Escolar Documentos
Profissional Documentos
Cultura Documentos
Fundamentos de COBIT
Introduccin al Curso
Introduccin al Curso
Bienvenido al Curso
Fundamentos de COBIT (Control Objectives for
Information and related Technology)
Introduccin al Curso
ISACA
Con mas de 70,000 miembros en mas de 140 pases, ISACA (
www.isaca.org) es un lder internacionalmente reconocido en Gobierno,
control, seguridad y aseguramiento de TI. Desde que fue fundado en
1969 patrocina conferencias internacionales, publica Information Systems
Control Journal, desarrolla estndares internacionales de control y
auditoria de sistemas de informacin y administra globalmente las
certificaciones CISA y CISM.
ITGI
IT Governance Institute (ITGI) (www.itgi.org) fue establecido por ISACA en
1998 para proveer estandares orientados a la direccin y control de
tecnologas de informacin de las organizaciones. ITGI desarroll Control
Objectives for Information and related Technology (COBIT), ahora en su
4ta versin. Ellos tambin ofrecen investigaciones y casos de estudio
para asistir a las directores y lideres de las empresas en sus
responsabilidades de gobierno de TI.
4
Objetivos de Aprendizaje
Objetivos de Aprendizaje
Al final de este curso, usted entender:
4. Componentes de COBIT
5. COBIT y el ambiente de TI
Valores, limitaciones,
componentes y beneficios
COBIT y Gobierno de TI
Premisas y principios de COBIT
Cubo COBIT
Objetivos de negocio, Objetivos
de TI y Procesos de TI
Control, objetivos de control y
prcticas de control
Lineamientos gerenciales
Guas de auditoria
Alineamiento con otros
estndares
Cumplimiento con leyes y
regulaciones
Retos de la Organizaciones de TI
Lectura:
IT doesnt Matter
By Nicholas G. Carr
10
Retos de la Organizaciones de TI
11
2. Introduccin al Gobierno de TI y
COBIT
Definiciones Qu es un Riesgo?
Son eventos no deseados que impiden el cumplimiento
de los objetivos y metas de una organizacin.
Administracin de Riesgos cubre mltiples reas que
una organizacin necesita monitorear y administrar para
ser efectivo y rentable.
Creditos
Marketing
Legal
Riesgo
laboral
Comercial
Seguridad
Operaciones
Identificar riesgos >>> Medir riesgos >>> reducir impacto >>> reportar >>> actualizar
poltica de riesgos
13
Definiciones Qu es
Cumplimiento?
Es la funcin de la gerencia el cual asegura que
todas las reglas y regulaciones obligatorias
requeridos por clientes, estndares o entidades
regulatorias para mantenerse en el negocio son
seguidas.
14
Definiciones Qu es
Alineamiento?
Estrategias competiticas
La capacidad de las organizaciones
para convertir sus gastos de TI en
valor para el negocio y ventaja
competitiva.
Resulta del uso planeado y continuo
de un conjunto de prcticas de
negocio que colectivamente derivan
valor de las inversiones de TI.
Un resultado de alineamiento es
portafolios de inversiones de TI,
proyectos y sistemas de informacin
instalados que reflejan las
prioridades estratgicas de la
organizacin.
Inversiones y
Activos de TI
Procesos de
Negocio
15
Definicin Qu es Gobierno de TI
Gobierno
Gobierno de TI - Framework
Qu cubre el Gobierno de TI?
IT
Governance
Domains
Resource
Management
17
Gobierno de TI - Framework
Alineamiento Estratgico
Enfocado en asegurar el vnculo de negocio y los planes de
tecnologa de informacin; la definicin, mantenimiento y
validacin de la propuesta de valor de TI; y alinear las
operaciones de TI con las operaciones del negocio.
18
Gobierno de TI - Framework
Entrega de Valor
Esta relacionado con la ejecucin de la propuesta de valor a
travs del ciclo de entrega, asegurando que TI entrega los
beneficios prometidos contra la estrategia, concentrando se en la
optimizacin de costos y probando el valor intrnseco de TI.
19
Gobierno de TI - Framework
Administracin de Recursos
Esta relacionado con la inversin ptima y adecuada administracin
de los recursos crticos de TI: aplicaciones, informacin,
infraestructura y las personas. Problemas claves relacionados a la
optimizacin del conocimiento e infraestructura.
20
Gobierno de TI - Framework
Medicin de Rendimiento
Registra y monitorea la implantacin de la estrategia, culminacin
de los proyectos, uso de los recursos, rendimiento de los procesos
y entrega del servicio, usando por ejemplo, el balancescorecard
que traduce la estrategia en accin para lograr los objetivos
medibles
21
Gobierno de TI - Framework
Administracin de Riesgos
Requiere concientizacin de riesgo por la gerencia, un claro
entendimiento del apetito de riesgo, entendimiento de los
requerimientos de cumplimiento, transparencia acerca de los
riesgos significativos para la empresa, y responsabilidades de
administracin de riesgos en la organizacin.
I cannot imagine any condition which could cause this ship to founder. I
cannot conceive of any vital disaster happening to this vessel.Captain of
the Titanic, 1912
22
Gobierno de TI - Framework
Responsabilidades
Directorio
Gerente de
Negocio
Gerencia de TI
Auditoria de TI
Riesgos y
Cumplimiento
Seguridad
Alinear TI con
el Negocio
Valor/Costo
Mantener
Disponibilidad
Manejar TI
TI
Compleja
Cumplimiento
Regulatorio
Iteracin de objetivos y
Actividades de TI
Gobierno de TI - Definicin
Alcance de Gobierno de TI
IT Resource
Management
Soportado en:
IT Value
Delivery
IT
Strategic
Alignment
Stakeholder
value
Drivers
Risk
Manageme
nt
a) Adecuada administracin
de recursos
b) Medicin de rendimiento.
Performanc
e
Measureme
nt
26
Gobierno de TI - Principios
Estrategia: Es la inversin:
a)Alineada con nuestra visin
b)Consistente con nuestros principios de
negocio
c)Contribuyendo a nuestros objetivos
estratgicos
d)Proveyendo valor ptimo, a un costo
asequible y con un nivel de riesgo
aceptable.
Arquitectura: Es la inversin:
a)Alineada con nuestra arquitectura
b)Consistente con nuestros principios
arquitectural
c)Contribuye a la poblacin de nuestra
arquitectura
d)Alineada con otras iniciativas.
Are we
doing the
right
things?
Are we
doing
them
way?
Are we
getting
the
benefits?
Are we
getting
done
well?
Valor: Tenemos:
a)Un claro y compartido entendimiento de
los beneficios esperados
b)Responsabilidades claras para realizar
los beneficios
c)Mtricas relevantes
d)Proceso de realizacin beneficios
efectivos
Entrega: Tenemos:
a)Procesos de administracin de cambio
y entrega efectivos y disciplinados.
b)Recursos de negocios y tcnicos
competentes y confiables para entregar:
a) Las capacidades requeridas
b) Cambios organizacionales
requeridos para apalancar las
capacidades.
Necesidad de Gobierno de TI
Cumplimiento
Business/IT
Alignment ROI
Project
Execution
Security
28
Code of Practice for Information Security management (ISO/IEC 17799) toma una
linea base (baseline) para la seguridad de informacin. Provee 127 guias de seguridad
de informacin estructuradas bajo 11 dominios.
Quality Models (Deming, EFQM, BNQP, ISO9000) los modelos de calidad estn
orientados a controlar y mejorar productos y procesos. Aunque la teora de calidad se
origina en los procesos de negocios, en muchos casos la ideas tambin han sido
adoptados dentro de TI.
Act
Plan
Check
Do
30
31
Gobierno
Cobit 4.0
Gestin
Cobit 3.0
Control
Cobit 2
Auditoria
Cobit 1
1996
1998
2000
2005
33
Requerimientos
Goals
Objetivos
de Control
Negocio
Gobierno
TI
Informacin que el
negocio necesita para
lograr sus objetivos
Responsabilidades
IT Governance
34
COBIT - Orientacin de
Procesos
Business
Requirements
IT
Processes
IT
Resources
Dominios
Procesos
Acciones requeridas para lograr un
resultado medible Actividades
tienen un ciclo de vida.
Actividades o
Tareas
36
COBIT - Orientacin de
Procesos
Dominios de TI
Planificar y
Organizar
Adquirir e
Implantar
Entregar y
soportar
Monitorear y
evaluar
Agrupacin natural de
procesos, frecuentemente
alineado a un dominio
organizacional de
responsabilidad
Business
Requirements
IT
Processes
IT
Resources
Procesos de TI
Estrategia de TI
Operacin de Computadoras
Activities
Manejo de Incidentes
Registrar un problema.
Gestin de Proyectos
Analizar.
Gestin de Cambios
Continuidad del Negocio Proponer soluciones.
Monitorear solucin.
Gestin de Problemas
Registrar un incidente
Un conjunto de actividades
Etc.
relacionadas
El control de
Procesos de TI
Que satisface
Requerimientos
Es habilitado por
de negocio
Declaraciones
considerando
de Control
Prcticas de
control
Es internacionalmente aceptado.
Mapas a todos los frameworks y estndares relacionados y es
reconocido como un integrador de frameworks, estndares y
mejores prcticas
Soporta los componentes relacionados a TI de existentes y
emergentes regulaciones, particularmente relacionados a
gobierno corporativo y cumplimiento.
Es una familia completa de productos que evolucionan
continuamente.
Es soportado por herramientas y entrenamiento.
Es mantenido por una reconocida organizacin sin fines de lucro.
Es neutral e independiente de plataformas y tecnologas
Esta basado por el input de voluntarios
Esta orientado a la administracin y al aseguramiento.
39
Debilidades:
Percepcin como un
estndar de auditoria.
Marketing y
comunicaciones
Ausencia de certificaciones
Ausencia de estrategia de
implantacin
Oportunidades:
Desarrollar una profesin en
IT Governance
Influye en regulaciones y
estndares
Desde el cumplimiento a la
creacin de valor
Satisface necesidades de
industria, tamao y geografa
Amenazas:
Competencia con frameworks y
estndares
40
alineado con otros estndares y buenas prcticas que debern ser usados
juntos.
Framework
COBIT provee
COBIT provee
41
COBIT y Gobierno de TI
COBIT provee un framework para manejar y controlar las actividades de TI y soporta cinco
actividades para un framework de control
Provee valor al
negocio
Asegura una
orientacin a
procesos
Define un
lenguaje
comn
Control
Framework
Ayuda a cumplir
con
requerimientos
regulatorios
Tiene
aceptabilidad
general entre las
organizaciones
42
COBIT Premisas
El
Para lograr
Objetivos de
Negocio
Procesos de
Negocio
Informacion
provee
Recursos y
Procesos de TI
El
COBIT Principios
El principio de COBIT es vincular las expectativas de TI la gerencia con las
responsabilidades de la administracin de TI. El objetivo es facilitar el Gobierno de TI praa
entregar valor y manejando los riesgos de TI.
Recursos de TI
Estrategia de
Negocios
Procesos de TI
Criterios de
Informacin
44
COBIT Framework
Como un framework de gobierno y control de TI, COBIT se enfoca en dos reas claves:
Proveer la informacin requerida para soportar los objetivos y requerimientos del negocio.
Procesos de TI
Requerimiento de Negocio
Enfoque de Control
Recursos de TI
Procesos de TI
Consideracin
....
Dominios
Procesos
Actividades
Aplicaciones
Informacin
Infraestructura
Personas
45
COBIT Cubo
El COBIT framework describe como los procesos de TI entregan la informacin que el negocio necesita
para lograr sus objetivos.
Para controlar la entrega, COBIT provee tres componentes claves, cada uno formando una dimensin
del cubo COBIT.
Recursos de TI
Procesos de TI
46
Los procesos son una serie de actrividades con mecanismos de control. Existen 34 procesos a
travs de los cuatro dominios. Estos procesos especifican que necesidades de negocio son
necesarios para lograr los objetivos.
Actividades son acciones que son requeridas para lograr resultados medibles.
Criterios de Informacin
Recursos de TI
Dominios
Procesos
Actividades
Procesos de TI
47
TI y el Negocio
48
Planificar y Organizar
Acquire and
Implement
Plan and
Organise
IT Processes
Deliver and
Support
Monitor and
Evaluate
49
Objetivos:
Identificar, desarrollar o adquirir, implantar e integrar soluciones de TI
Cambiar y mantenimiento de sistemas existentes
Alcance:
Estn los nuevos proyectos listos para satisfacer las necesidades del negocio?
Es probable que los proyectos que se entreguen a tiempo y dentro del presupuesto?
El nuevo sistema trabajar apropiadamente cuando sea implantado?
?
Nuevos Proyectos
Organizacion
50
Adquirir e implantar
Plan and
Organise
Acquire and
Implement
IT Processes
Deliver and
Support
Monitor and
Evaluate
51
Objetivos
Administrar la seguridad, continuidad datos y facilidades operacionales.
Servicio de soporte para los usuarios
Alcance:
Estn los servicios de TI siendo entregados con las prioridades de negocios?
Son los costos de TI optimizados?
Estn los empleados listos para usar sistemas de TI en forma productiva y segura?
Son adecuados los niveles de confidencialidad, integridad y disponibilidad?
Servicios de TI
Prioridades de Negocio
52
Acquire and
Implement
Plan and
Organise
IT Processes
Deliver and
Support
Monitor and
Evaluate
53
Objetivos
Administrar el rendimiento
Monitorear control interno
Cumplimiento regulatorio
Gobierno de TI
Alcance:
Es el rendimiento de TI medido para detectar problemas antes que sea tarde?
La gerencia asegura que los controles internos son efectivos y eficientes?
Puede el rendimiento de TI ser vinculado con los objetivos del negocio?
Los riesgos, controles, cumplimiento y rendimiento medidos y reportados?
IT
Performance
54
Monitorear y Evaluar
ME1 Monitorear y Evaluar rendimiento de TI.
ME2 Monitorear y Evaluar Control Interno.
ME3 Asegurar el cumplimiento con requerimientos
externos .
ME4 Proveer Gobierno de TI.
Acquire and
Implement
Plan and
Organise
IT Processes
Deliver and
Support
Monitor and
Evaluate
55
Calidad
Fiduciarios
Seguridad
Requerimientos de Calidad
Requerimientos fiduciarios
Requerimientos de calidad
Criterios de informacin
Recursos de TI
Procesos de TI
56
Eficiencia
Confidencialidad
Integridad
Requerimientos de calidad
Fiduciary Requirements
Security Requirements
Information Criteria
IT Processes
IT Resources
57
Cumplimiento
Confiabilidad
Information Criteria
IT Resources
IT Processes
58
Los proceso manejan recursos de TI para generar, entregar y almacenar informacin que la
organizacin necesita para lograr sus objetivos.
IT Processes
Infrastructure
People
IT Resources
59
COBIT Cubo
Los recursos de TI son manejados por procesos de TI para lograr los objetivos de TI
que respondan a los requerimientos de negocio. Este el el principio bsico del
framework de COBIT como se ilustra en el cubo COBIT:.
60
Enfoque de Procesos
PO2-Definir
Arquitectura
Informacin
PO1-Definir Plan
Estratgico de TI
Necesidades de Usuarios
PO6-Comunicar
Direccin y Objetivos
de TI
PO7-Manejar
Recursos Humanos de
TI
PO3-Determinar
Direccin Tecnolgica
PO8-Manejar Calidad
Adquirir e Implantar
AI1-Identificar
Soluciones
Automatizadas
AI3 -Adquirir y
Mantener
Infraestructura
Tecnolgica
PO5-Administrar la
Inversin de TI
PO9-Evaluar y
Manejar Riesgos de TI
PO10-Administracin
de Proyectos
Entregar y Soportar
AI2 - Adquirir y
Mantener
Software de
Aplicacin
AI4-Habilitar
Operacin y Uso
AI5-Obtener
Recursos de TI
PO4-Definir Procesos,
Org. & Relaciones de
TI
AI6
Manejar
Cambios
DS1 -Definir y
Manejar Niveles de
Servicio
DS2 -Manejar
Servicios de
Terceros
DS3-Manejar
Capacidad y
Rendimiento
DS4- Garantizar
Continuidad del
Servicio
DS5-Garantizar
Seguridad de los
Sistemas
DS6-Identificar y
Asignar Costos
DS7-Educar y
Entrenar Usuarios
DS8-Administrar
Service Desk e
Incidentes
DS9-Administrar la
Configuracin (1)
DS10-administrar
Problemas
DS11-Administrar
Datos
DS12-Administrar
Ambientes Fsicos
Satisfaccin de Usuarios
Planificar y Organizar
DS13-Administrar
Operaciones
AI7 - Instalar y
Acreditar
Soluciones y
Cambios
Monitorear y Evaluar
ME1-Monitorear y
Evaluar
Rendimiento de TI
ME2-Monitorear y
Evaluar Control Interno
ME3 - Asegurar
Cumplimiento con
requerimientos
Externos
ME4-Proveer Gobierno
de TI
61
Modelos de Madurez
Calidad
5=Optimizado
Automatizacin
4=Medido
Cuantitativo (Procesos
medidos)
Estructura de control
completo, Anlisis de
rendimiento
3=Definido
Cualitativo (Procesos
definidos e institucionalizados)
Polticas,
procedimientos y
estndares
2= Repetido
Calidad de las
personas. Tareas
definidas
1=Inicial
Adhoc /Catico
Tareas indefinidas
Depende de iniciativas
Riesgo
62
Modelos de Madurez
Que factores se evalan para determinar la madurez de los procesos?
1. Comunicacin y Concientizacin
2. Polticas, Planes y Procedimientos
3. Herramientas y Automatizacin
4. Experiencia y Conocimientos
5. Roles y Responsabilidades
6. Establecimiento de Metas y Mediciones
63
Objetivo de
TI
Objetivo de
Negocio
Entender
requerimientos
de seguridad,
amenazas y
vulnerabilidades
Detectar y
resolver accesos
no autorizados a
la informacin,
aplicaciones e
infraestructura.
Mantener
reputacin y
liderazgo de la
empresa
Frecuencia de
revisin de los
tipos de eventos
de seguridad a
ser monitoreado
Nmero de
violaciones de
acceso
Nmero de
incidentes de TI
con impacto en el
negocio
Nmero de
incidentes que
daan la imagen
de la empresa
Mejora y Alinea
Objetivo de
Actividad
Maneja Rendimientos
64
4. Componentes de COBIT
COBIT - Componentes
Una organizacin depende en la confiabilidad y oportunidad de los datos e
informacin. Los componentes COBIT proveen un framework detallado para
entregar valor mientras se maneja los riesgos y controles.
Recursos de TI
Estrategia de
Negocio
Procesos de TI
Criterios de
Informacin
66
67
68
69
COBIT Framework
BUSINESS OBJECTIVES AND
GOVERNANCE OBJECTIVES
C
ME1
ME2
ME3
ME4
O B I
F R AM E W O R K
PO1
PO2
INFORMATION
Integrity
Efficiency
Effectiveness
Compliance
Availability
Confidentiality
Reliability
PLAN
AND
ORGANISE
MONITOR
AND
EVALUATE
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
IT
RESOURCES
Applications
Information
Infrastructure
People
DELIVER
AND
SUPPORT
AI1
AI2
ACQUIRE
AND
IMPLEMENT
AI3
AI4
AI5
AI6
AI7
70
Para lograr
objetivos
de negocio
Para evitar
riesgos,
amenazas y
exposiciones
71
Objetivos de Control
CobiT promueve el entendimiento de
aseguramiento razonable y riesgo residual
72
Objetivos de Control
Nivel de Aseguramiento
100%
Riesgo
Residual
Aseguramiento
Razonable
0%
73
Objetivos de Control
Objetivos de control son
Sentencias de resultados deseados
Logrados implementando prcticas de control
Requerimientos de alto nivel
Prcticas gerenciales orientadas a la accin.
Frecuentemente con una secuencia lgica de ciclo de vida
74
Prcticas de Control
75
Lineamientos Gerenciales
Criterio de
Informacin
Cascada
Gobierno de
TI
Recursos de
TI
76
Lineamientos Gerenciales
77
Lineamientos Gerenciales
78
Lineamientos Gerenciales
79
Lineamientos Gerenciales
DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS
0- No existente cuando
Las responsabilidades y la rendicin de cuentas no estn definidas. No hay polticas y procedimientos
formales respecto a la contratacin con terceros. Los servicios de terceros no son ni aprobados ni
revisados por la gerencia. No hay actividades de medicin y los terceros no reportan. A falta de una
obligacin contractual de reportar, la alta gerencia no est al tanto de la calidad del servicio prestado.
1 Inicial/Ad Ho cuando
La gerencia est consciente de la importancia de la necesidad de tener polticas y procedimientos
documentados para la administracin de los servicios de terceros, incluyendo la firma de contratos.
No hay condiciones estandarizadas para los convenios con los prestadores de servicios. La medicin
de los servicios prestados es informal y reactiva. Las prcticas dependen de la experiencia de los
individuos y del proveedor (por ejemplo, por demanda).
2 Repetible pero intuitiva cuando
El proceso de supervisin de los proveedores de servicios de terceros, de los riesgos asociados y de la
prestacin de servicios es informal. Se utiliza un contrato pro-forma con trminos y condiciones
estndares del proveedor (por ejemplo, la descripcin de servicios que se prestarn). Los reportes
sobre los servicios existen, pero no apoyan los objetivos del negocio.
80
Lineamientos Gerenciales
DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS
3 Proceso definido cuando
Hay procedimientos bien documentados para controlar los servicios de terceros con procesos claros
para tratar y negociar con los proveedores. Cuando se hace un acuerdo de prestacin de servicios, la
relacin con el tercero es meramente contractual. La naturaleza de los servicios a prestar se detalla en
el contrato e incluye requerimientos legales, operacionales y de control. Se asigna la responsabilidad
de supervisar los servicios de terceros. Los trminos contractuales se basan en formatos
estandarizados. El riesgo del negocio asociado con los servicios del tercero est valorado y reportado.
4 Administrado y medible cuando
Se establecen criterios formales y estandarizados para definir los trminos de un acuerdo, incluyendo
alcance del trabajo, servicios/entregables a suministrar, suposiciones, calendario, costos, acuerdos de
facturacin y responsabilidades. Se asignan las responsabilidades para la administracin del contrato
y del proveedor. Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma
continua. Los requerimientos del servicio estn definidos y alineados con los objetivos del negocio.
Existe un proceso para comparar el desempeo contra los trminos contractuales, lo cual proporciona
informacin para evaluar los servicios actuales y futuros del tercero. Se utilizan modelos de fijacin
de precios de transferencia en el proceso de adquisicin. Todas las partes involucradas tienen
conocimiento de las expectativas del servicio, de los costos y de las etapas. Se acordaron los KPIs y
KGIs para la supervisin del servicio.
81
Guas de Auditoras
Emitido en el ao 2007
Trabajo colaborativo de los
grupos de desarrollo CobiT a
nivel mundial
Guide : Como usar COBIT para
soportar las actividades de
aseguramiento de TI.
Busca un desarrollo efectivo y
eficiente del trabajo de
aseguramiento de TI
(Planificacin, alcance y
ejecucin)
No son programas detallados
de aseguramiento.
Es parte de IT Assurance
Framework (ITAF)
82
5. COBIT y el Ambiente de TI
Las organizaciones debern considerar usar una variedad de modelos, estndares y mejores
practicas de TI por lo tanto asegrese de que entiende esto con el fin de considerar como pueden
usarse juntos, con COBIT actuando como consolidador (Sombrilla).
COSO
COBIT
QUE
ISO 9000
ISO 17799
ITIL
COMO
CAMPO DE COBERTURA
84
Procesos de ITIL
85
Implementacin de ITIL
86
The Calder-Moir
87
La implementacin del
Gobierno de TI disminuye y
controla los riesgos e
incrementa el nivel de
seguridad
88
Quien es quien?
89
90
Agradecemos tu
participacin
Para informaciones adicionales sobre el curso puede contactar
directamente al instructor a:
Eduardo.luyo@gmail.com
92