Derechos reservados Lucio Augusto Molina Focazzio COBIT Un estándar global Derechos reservados Lucio Augusto Molina Focazzio

COBIT … sus antecedentes La comunidad de profesionales relacionados con TI mostró preocupación por la falta de una guía estándar sobre control en TI, que sirviera para diferentes grupos de interés La ISACF, como órgano que agrupa a profesionales de distintas áreas de actuación interesadas en el control de TI se dió a la tarea de desarrollar un cuerpo comun de conocimientos sobre la materia ISACF Information Systems Audit and Control Foundation Derechos reservados Lucio Augusto Molina Focazzio

COBIT … sus antecedentes Integra y concilia normas y reglamentaciones existentes Estándares técnicos de ISO, EDIFACT Códigos de conducta Consejo Europeo, OECD Criterios de calificación para sistemas y procesos ITSEC, ISO 9000-3, TCSEC Estándares profesionales COSO, GAO, IFAC, IIA, ISACA, AICPA, etc Derechos reservados Lucio Augusto Molina Focazzio

COBIT … sus antecedentes Integra y concilia normas y reglamentaciones existentes Prácticas y requerimientos de la Industria ESF-4 Requerimientos gubernamentales IBAG, NIST, DTI Requerimientos específicos de nuevas tendencias E-banking, EDI, Comercio Electrónico Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio COBIT … su definición C Control OB OBjectives I for Information T and Related Technology Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio COBIT … su definición COBIT es en realidad un acrónimo formado por las siglas derivadas de Control Objectives for Information and Related Technology (objetivos de control para la información y las tecnologías relacionadas). Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio COBIT … su definición Ahora COBIT es: Governance indica que el Cobit también incluye directrices gerenciales Control and Audit for Information and Related Technology Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio COBIT … su misión Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado y actual de objetivos de control en tecnología de información generalmente aceptados para el uso cotidiano de gerentes de empresa y auditores. Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio COBIT … sus usuarios La alta gerencia puede fundamentar decisiones sobre inversiones en TI y el rendimiento de las mismas Los usuarios de TI pueden obtener una garantía sobre la seguridad y el control de productos adquiridos en forma externa Los auditores pueden fundamentar sus opiniones sobre el control en TI y su impacto en la empresa Los responsables de TI pueden identificar los controles que requieren establecer en su área Derechos reservados Lucio Augusto Molina Focazzio

COBIT … sus características Orientación al negocio Alineación con estándares y regulaciones “de jure” y “de facto” Basado en una revisión critica de tareas y actividades en tecnología de información. Alineamiento con estándares de control y auditoría: COSO, IFAC, IIA, ISACA, AICPA Derechos reservados Lucio Augusto Molina Focazzio

COBIT … Marco referencial Orientado a los controles Alineando objetivos de control específicos con estándares, regulaciones y prácticas existentes en la Organización Utilizado por la Administración, los Auditores y los usuarios Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio COBIT … los productos Resumen ejecutivo  Para la Alta Gerencia Marco referencial (framework)  Para los gerentes de Sistemas y Auditores de Sistemas Objetivos de control  Para la Gerencia media Guías de auditoría  Para los Auditores de Sistemas Directrices Gereciales  Para la alta Dirección Derechos reservados Lucio Augusto Molina Focazzio

COBIT Estructura Resumen Ejecutivo Resumen con Objetivos de Control de Alto Nivel Herramientas de Implementación Estructura - Resumen Ejecutivo - Estudio de casos - FAQs - Presentaciones en Power point - Guías de Implementación + Diagnóstico de la Administración + Diagnóstico de Control en TI Objetivos de Con- trol detallados Directrices Gerenciales Guías de Auditoría Describe the COBIT structure using the diagram on this slide. Note that this structure is completely in effect as of Release 3   Factores Críticos de éxito Indicadores clave de desempeño Ind. clave por Objetivo Derechos reservados Lucio Augusto Molina Focazzio

COBIT … Resumen ejecutivo El resumen ejecutivo es un documento dirigido a la alta gerencia, que presenta los antecedentes y la estructura básica de COBIT. Hace un descripción general de los procesos, los recursos y los criterios de información que determinan la “columna vertebral” de COBIT. Derechos reservados Lucio Augusto Molina Focazzio

COBIT … Marco referencial El marco referencial incluye la introducción presentada en el resumen ejecutivo, presentando las “guías de navegación” que orientan al lector en la exploración del material de COBIT. El Marco Referencial hace una presentación más detallada de los objetivos de control de alto nivel para los cuatro dominios. Derechos reservados Lucio Augusto Molina Focazzio

COBIT … Objetivos de Control Los objetivos de control integran en su contenido el material del resumen ejecutivo y del marco referencial. Adicionalmente, presenta objetivos de control detallados para cada objetivo de alto nivel. Derechos reservados Lucio Augusto Molina Focazzio

COBIT … Guías de Auditoría Las guías de auditóría también incorporan el resumen ejecutivo y el marco referencial. Hacen una presentación del proceso generalmente aceptado de auditoría (obtener entendimiento, evaluar los controles, evaluar el cumplimiento y comprobar los riesgos). Algunas son Guías genéricas que identifican varias tareas que se realizan en el análisis de cualquier proceso dentro de un objetivo de control Otras son tareas orientadas a procesos específicos para proveer a la Gerencia la seguridad que los controles funcionan Derechos reservados Lucio Augusto Molina Focazzio

COBIT … Directrices Gerenciales Dirigidas a la Alta gerencia Genéricas y orientadas a la acción con el propósito de responder las siguientes preguntas: ¿Qué tan lejos debemos ir y el costo estará justificado por el beneficio? ¿Cuáles son los indicadores de mejor rendimiento? ¿Cuáles son los factores Críticos de Éxito? ¿Cuales son los riesgos de no lograr nuestros objetivos? ¿Qué hacen otros? ¿Cómo nos podemos medir y comparar? Derechos reservados Lucio Augusto Molina Focazzio

La Gerencia necesita COBIT Tomar decisiones relacionadas con la inversión en TI Balancear los riesgos y los controles de las inversiones en TI Llevar a cabo un benchmark para establecer el adecuado ambiente de tecnología vipersonas y futuro Derechos reservados Lucio Augusto Molina Focazzio

Los usuarios necesitan COBIT Obtener garantía del retorno de inversión sobre la seguridad, los controles y los productos y servicios que ellos adquieren interna y externamente. Derechos reservados Lucio Augusto Molina Focazzio

Los Auditores necesitan COBIT Soportar ante la Gerencia la opinión sobre los controles internos. Preguntarse y responder: ¿cuáles son los controles mínimos necesarios? Derechos reservados Lucio Augusto Molina Focazzio

Principios de la Infraestructura M A C E V E N T O S Datos Sistemas de Aplicación TECNOLOGIA mensaje entrada servicio salida INSTALACIONES PERSONAS PERSONAS OBJETOS Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio Marco referencial PROCESOS DE NEGOCIO Criterios efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad INFORMACION RECURSOS DE TI datos sistemas de aplicación tecnología instalaciones personas ¿ Concuerdan ? ? Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio PROCESOS DE NEGOCIO Criterios efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad COBIT INFORMACION RECURSOS DE TI En resumen ….. datos sistemas de aplicación tecnología instalaciones personas PLANEACON Y ORGANIZACION MONITOREO ADQUISICION E IMPLEMENTACION PRESTACION DE SERVICIOS Y SOPORTE Derechos reservados Lucio Augusto Molina Focazzio

Procesos de TI y sus dominios Definición de un Plan Estratégico de Tecnología de Información Definición de la Arquitectura de Información Determinación de la dirección tecnológica Definición de la Organización y de las Relaciones de TI Manejo de la Inversión en Tecnología de Información Comunicación de la dirección y aspiraciones de la gerencia Administración de Recursos Humanos Aseguramiento del Cumplimiento de Requerimientos Externos Evaluación de Riesgos Administración de proyectos Administración de Calidad Monitoreo del procesos Obtención de aseguramiento independiente RECURSOS DE TI datos sistemas de aplicación tecnología instalaciones personas PLANEACON Y ORGANIZACION Procesos de TI y sus dominios MONITOREO ADQUISICION E IMPLEMENTACION Definición de Niveles de Servicio Administración de Servicios prestados por Terceros Administración de Desempeño y Capacidad Aseguramiento de Servicio Continuo Garantizar la Seguridad de Sistemas Identificación y Asignación de Costos Educación y Entrenamiento de Usuarios Apoyo y Asistencia a los Clientes de Tecnología de Información Administración de la Configuración Administración de Problemas e Incidentes Administración de Datos Administración de Instalaciones Administración de Operaciones PRESTACION DE SERVICIOS Y SOPORTE Identificación de Soluciones Adquisición y Mantenimiento de Software de Aplicación Adquisición y Mantenimiento de Arquitectura de Tecnología Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnología de Información Instalación y Acreditación de Sistemas Administración de Cambios Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio El “Cubo” de COBIT Procesos de TI personas Sistemas Tecnología Instalaciones Datos Recursos de TI Calidad Cumplimiento Seguridad Criterios de información Dominios Procesos Actividades Relaciones vs componentes Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio Estructura de COBIT El control de Que satisface Es habilitado por Considerando Proceso de TI Requerimiento de Negocio Declaración de Control Prácticas de control Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad S P Ayudas de Navegación Planeación y Organización Adquisición e Implementación Prestación de servicios y soporte Monitoreo Tres puntos de posición Ayudas de Navegación Dominios de TI Recursos Criterios de Información personas aplicaciones tecnología instalaciones datos Derechos reservados Lucio Augusto Molina Focazzio

Como se relacionan Recursos de TI Procesos de trabajo Requerimientos de negocio Datos Sistemas de Información Tecnología Instalaciones Recursos humanos Planeación y organización Adquisición e implementación Prestación de servicios y soporte Monitoreo Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad de la información Derechos reservados Lucio Augusto Molina Focazzio

Planeación y organización Dominios (procesos) Requerimientos Recursos Datos Sistemas de información Tecnología Instalaciones personas Planeación y organización Adquisición e implementación Monitoreo Prestación de servicio y soporte Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad de la información El proceso de planeación debe tomar en consideración los requerimientos de integridad de datos Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio Recursos de TI Datos: Incluye a los objetos de información en su sentido más amplio, considerando información interna y externa, estructurada y no estructurada, gráficas, sonidos, etc. Sistemas: Este concepto se entiende como los sistemas de información (aplicaciones) que integran tanto procedimientos manuales como procedimientos programados (basados en tecnología) Tecnología: Incluye hardware (equipos), sistemas operativos, sistemas de administración de bases de datos, de redes y de telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recursos humanos: Este concepto incluye habilidades, conciencia y productividad del personal para planear, adquirir, prestar servicios, proporcionar soporte y monitorear los sistemas y servicios de información. Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio Procesos de TI Dominios Agrupación natural de procesos, normalmente correspondientes a un dominio o responsabilidad organizacional Procesos Series de actividades unidas con cortes naturales de control. Actividades o tareas Acciones necesarias para lograr un resultado medible. Las actividades tienen un ciclo de vida, mientras que las tareas son discretas. Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio Dominios Planeación y Organización - Planning and organization - Adquisición e Implementación - Acquisition and implementation - Prestación de Servicios y Soporte - Delivery and support - Monitoreo - Monitoring - Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio Procesos Planeación y Organización Definir un Plan Estratégico de Tecnología de Información Definir la Arquitectura de Información Determinar la Dirección tecnológica Definir la Organización y las Relaciones con TI Administrar la Inversión en Tecnología de Información Comunicar la Dirección y aspiraciones de la gerencia Administrar Recursos Humanos Asegurar el Cumplimiento de Requerimientos Externos Evaluar Riesgos Administrar Proyectos Administrar Calidad Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio Procesos Adquisición e Implementación: Identificar Soluciones Adquirir y Mantener Software de Aplicación Adquirir y Mantener la Arquitectura de Tecnología Desarrollar y Mantener Procedimientos relacionados con Tecnología de Información Instalar y Acreditar Sistemas Administrar Cambios Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio Procesos Prestación de Servicios y Soporte: Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeño y Capacidad Asegurar un Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a Usuarios Apoyar y Asesorar a los Clientes de Tecnología de Información Administrar la Configuración Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio Procesos Monitoreo: Monitorear el proceso Obtener aseguramiento independiente Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio Objetivos de control 3. Prestación de servicio y soporte (dominio) DS.2 Administrar servicios de terceros (proceso) 2.3 Contratos con terceros (actividad o tarea). Objetivo de control: “La gerencia debe definir procedimientos específicos para asegurar que un contrato formal sea definido y acordado para cada relación de servicios con un proveedor”. Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio Objetivos de Control Encadena los procesos a los Objetivos de Control Controles sobre los procesos de TI sobre el establecimiento de un Plan Estratégico de Sistemas Que satisfacen los requerimientos del negocio establecidos para lograr un balance óptimo entre las oportunidades de TI y los requerimientos del negocio así como asegurar su cumplimiento Teniendo en consideración la definición de los objetivos del negocio y las necesidades de TI Derechos reservados Lucio Augusto Molina Focazzio

Requerimientos de negocio Efectividad: Se refiere a que la información debe ser relevante y pertinente para los procesos de negocio así como ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se refiere a proveer información mediante el empleo óptimo (la forma más productiva y económica) de recursos. Confidencialidad: Se refiere a la protección de información sensitiva contra divulgación no autorizada. Integridad: Se refiere a lo exacto y completo de la información así como a su validez de acuerdo a los valores y expectativas de la empresa Derechos reservados Lucio Augusto Molina Focazzio

Requerimientos de negocio Disponibilidad: Se refiere a la accesibilidad a la información cuando sea requerida por los procesos de negocio ahora y en el futuro. También se relaciona con la salvaguarda de los recursos necesarios y las capacidades asociadas a los mimos. Cumplimiento: Se refiere al cumplimiento de leyes, regulaciones y compromisos contractuales a los cuales esta comprometida la empresa ej. criterios de negocio impuestos en forma externa Confiabilidad de la información: Se refiere a proveer la información apropiada para que la administración maneje la empresa y cumpla con sus responsabilidades en cuanto a reportes financieros y cumplimiento de normas. Derechos reservados Lucio Augusto Molina Focazzio

Como se relacionan los elementos Recursos de TI Procesos de trabajo Requerimientos de negocio Incluyen controles que permiten satisfacer los objetivos de negocio. En caso de que dichos controles no sean efectivos los requerimientos de negocio se verán afectados Derechos reservados Lucio Augusto Molina Focazzio

Derechos reservados Lucio Augusto Molina Focazzio Muchas Gracias Derechos reservados Lucio Augusto Molina Focazzio