Objetivos de Control para la Informacin y Tecnologas Relacionadas

Carolina Alvarado 8-825-1209 Jairo Vsquez 8-819-1380 Ingrid Yez PE-12-67

Qu es COBIT?
El significado de COBIT viene del ingles Control Objectives for Information

and related Technology, que significa Objetivos de Control para la informacin y Tecnologas relacionadas.
Conjunto de buenas prcticas para el manejo de informacin que ha sido

creado por la Asociacin para la Auditora y Control de Sistemas de Informacin,(ISACA, en ingls: Information Systems Audit and Control Association), y el Instituto de Administracin de las Tecnologas de la Informacin (ITGI, en ingls: IT Governance Institute)
La cuarta edicin de COBIT est clasificada en cuatro dominios: Planificacin y Organizacin Adquisicin e Implementacin Entrega y Soporte

Supervisin y Evaluacin

Madurez del COBIT

No existe: Los procesos gerenciales no son aplicados Inicial: Los procesos son desorganizados: Existe la evidencia de que la organizacin ha reconocido que existe un problema y la necesidad de resolverlo. Repetitivo: Los procesos siguen un patrn regular: Los procesos se han desarrollado en un nivel y con un procedimiento similar. Definido: Los procesos estn documentados y comunicados Gerenciado: Los procesos son monitoreados y medidos: Es posible la medicin y monitorizacin conforme a los procedimientos y realizar acciones donde existan procesos que no parezcan estar funcionando con efectividad. Optimizado: Basados en mejores prcticas y estn automatizadas: Los procesos han sido refinados a nivel de mejores prcticas, basados en resultados de mejoras continuas y modelos de madurez respecto de otras organizaciones

El ambiente de negociones; Competencia, Cambio y Costos

Las organizaciones se reestructuran con el fin de perfeccionar sus

operaciones y al mismo tiempo aprovechar los avances en tecnologa de sistemas de informacin para mejorar su posicin competitiva.
La reingeniera en los negocios, las reestructuraciones, el outsourcing, las

organizaciones horizontales y el procesamiento distribuido son cambios que impactan la manera en la que operan tanto los negocios como las entidades gubernamentales
Los administradores, los especialistas SI y los auditores desean ser capaces de

cumplir con sus tareas en forma efectiva dentro de un marco de cambios acelerados, debern aumentar y mejorar sus habilidades tan rpidamente como lo demandan la tecnologa y el ambiente

Misin
Investigar, desarrollar, publicar y promocionar un

conjunto de objetivos de control generalmente aceptados las tecnologas de la informacin que sean autorizados, actualizados, e internacionales para el uso de los gestores de negocios y auditores.

Audiencia: Administracin Usuarios y Auditores

El COBIT esta diseado para ser utilizado por tres audiencias distintas: Administracin:

Para ayudarlos a lograr un balance entre los riesgos y las inversiones.

Usuarios:

Para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa de informacin proporcionados internamente o por terceras partes.
Auditores de sistemas de informacin:

Para dar soporte a las opiniones mostradas a la administracin sobre los controles internos.

Resumen Ejecutivo
La administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) relacionada es un elemento crtico para el xito y la supervivencia de las organizaciones. En esta sociedad global (donde la informacin viaja a travs del "ciberespacio" sin las restricciones de tiempo, distancia y velocidad) esta criticalidad emerge de: La creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin. La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las "ciber amenazas" y la guerra de informacin. la escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin. El potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos.

Las organizaciones deben cumplir con requerimientos de calidad, de reportes fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La administracin deber obtener un balance adecuado en el empleo de sus recursos disponibles, los cuales incluyen: Personal Instalaciones Tecnologa sistemas de aplicacin Datos Para cumplir con esta responsabilidad, as como para alcanzar sus expectativas, la administracin deber establecer un ssistema adecuado de control interno.

El impacto en los recursos de TI es enfatizado en el Marco Referencial de CObIT conjuntamente a los requerimientos de informacin del negocio que deben ser alcanzados: efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad. Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una actividad de TI.

La orientacin a negocios
La orientacin a negocios es el tema principal de COBIT.

Esta diseado no solo para ser utilizado por usuarios y auditores, sino que en forma ms importante, esta diseado para ser utilizado como una lista de verificacin. Detallada para los propietarios de los procesos de negocio. El Marco Referencial de COBIT proporciona herramientas al propietario de procesos de negocio que facilitan el cumplimiento de esta responsabilidad. El Marco Referencial comienza con una premisa simple y prctica: Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural.

Contina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: planeacin & organizacin adquisicin & implementacin, entrega (de servicio) y monitoreo. Esta estructura cubre todos los aspectos de informacin y de la tecnologa que la soporta. Dirigiendo estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin. COBIT esta orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de riesgos asociados con tecnologa de informacin y con tecnologas relacionadas.

Objetivo del negocio COBIT

Antecedentes Desarrollo del Producto COBIT

COBIT ha sido desarrollado como un estndar generalmente

aplicable y aceptado para las buenas prcticas de seguridad y control en Tecnologa de Informacin (TI). COBIT es la herramienta innovadora para el gobierno de TI (Governance. Trmino aplicado para definir un control total). COBIT se fundamenta en los Objetivos de Control existentes de la Information Systems Audit and Control Foundation (ISACF), mejorados a partir de estndares internacionales tcnicos, profesionales, regulatorios y especficos para la industria, tanto existentes como en surgimiento. . El desarrollo de COBIT ha trado como resultado la publicacin del Marco Referencial general y de los Objetivos de Control detallados, y le seguirn actividades educativas. Estas actividades asegurarn el uso general de los resultados del Proyecto de Investigacin CObIT.

Se determin que las mejoras a los objetivos de control originales debera consistir en:
el desarrollo de un marco referencial para control en TI como fundamento para

los objetivos de control en TI y como una gua para la investigacin consistente en auditora y control de TI; una alineacin del marco referencial general y de los objetivos de control individuales, con estndares y regulaciones internacionales existentes de hecho y de derecho; y una revisin crtica de las diferentes actividades y tareas que conforman los dominios de control en TI y, cuando fuese posible, la especificacin de indicadores de desempeo relevantes (normas, reglas, etc.) y una revisin crtica y actualizacin de las guas actuales para desarrollo de auditoras de sistemas de informacin.

Definicin del Producto COBIT

El desarrollo de COBIT ha resultado en la publicacin de:

un Resumen Ejecutivo consiste en un Sntesis Ejecutiva (que proporciona a la alta gerencia entendimiento y conciencia sobre los conceptos clave y principios de COBIT. el Marco Referencial que describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la informacin y los recursos de TI.

Objetivos de Control, los cuales contienen declaraciones de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de 302 objetivos de control detallados y especficos a travs de los 34 procesos de TI.

Guas de Auditora, las cuales contienen los pasos de auditora correspondientes a cada uno de los 34 objetivos de control de TI de alto nivel para proporcionar asistencia a los auditores de sistemas en la revisin de los procesos de TI con respecto a los 302 objetivos detallados de control recomendados para proporcionar a la gerencia certeza o una recomendaciones de mejoramiento. un Conjunto de Herramientas de Implementacin, el cual proporciona lecciones aprendidas por organizaciones que han aplicado CObIT rpida y exitosamente en sus ambientes de trabajo.

 El concepto fundamental del marco

referencial COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que deben ser administrados por procesos de TI.

Enfoque del control de TI para llevar a cabo el COBIT

Requerimiento del Negocio

Procesos de TI

Recursos de TI

 Para satisfacer los

Requerimientos de calidad Calidad

objetivos del negocio, la informacin necesita concordar con ciertos criterios a los que COBIT hace referencia como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos:

Costo Entrega (de servicio)

Requerimientos

Fiduciarios (COSO) Efectividad & eficiencia de operaciones Confiabilidad de la informacin Cumplimiento de las leyes & regulaciones
Requerimientos de

Seguridad Confidencialidad Integridad Disponibilidad

Definiciones del Trabajo de COBIT

Efectividad Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Eficiencia Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Confidencialidad Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Integridad Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Cumplimiento Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente. Confiabilidad de la informacin. Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

Recursos de TI identificados en COBIT

Datos: Los elementos de datos en su ms amplio sentido, (por

ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc. Aplicaciones: Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados. Tecnologa: La tecnologa cubre hardware, software, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. Instalaciones: Recursos para alojar y dar soporte a los sistemas de informacin. Personal: Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin.

Relacin de los Recursos de TI con respecto a la entrega de servicios

Eventos Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulacin Riesgos

TECNOLOGA INSTALACIONES GENTE

Informacin Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

Sistemas de Aplicacin Datos

Mensaje de Entrada

Servicio de Salida

Cmo pueden entonces las empresas estar satisfechas respecto de la informacin Obtenida presente las caractersticas que necesitan? Proceso del negocio
Lo que se obtiene Lo que se necesita
Criterios

Informacin

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

Recursos de TI Datos Aplicaciones Tecnologa Instalaciones Recurso Humano

Concuerdan?

 El marco referencial consta de Objetivos de Control de TI de alto nivel y de una

estructura general para su clasificacin y presentacin. La teora subyacente para la clasificacin seleccionada se refiere a que existen, en esencia, tres niveles de actividades de TI al considerar la administracin de sus recursos. Comenzando por la base, encontramos las actividades y las tareas necesarias para encontrar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras son consideradas ms discretas. Algunos ejemplos de esta categora son las actividades de desarrollo de sistemas, administracin de la configuracin y manejo de cambios. La segunda categora incluye tareas llevadas a cabo como soporte para la planeacin estratgica de TI, evaluacin de riesgos, planeacin de la calidad, administracin de la capacidad y el desempeo. Los procesos se definen entonces en un nivel superior como una serie de actividades o tareas conjuntas con cortes naturales (de control). Al nivel ms alto, los procesos son agrupados de manera natural en dominios. Su agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad en una estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de vida aplicable a los procesos de TI.

Resumen
Los Recursos de TI necesitan ser administrados por

un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos.