Jenny Alexandra Marin Luis Carlos Avila Javier Murcia Juan Carlos Lopera Camilo Andrés Forero 1

AGENDA Introducción. Enfocado al negocio. Orientado a procesos. Basado en el Control. Orientado a la medición. Bibliografía. Preguntas.

COBIT C Control OB Objectives I for Information T Systems and related Technology Objetivos de Control para Tecnología de Información y Tecnologías relacionadas. COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.

MISIÓN DE COBIT “Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento”.

USUARIOS DE COBIT Gerencia Auditores Usuario Final Responsables de TI

AGENDA Introducción. Enfocado al negocio. Orientado a procesos. Basado en el Control. Orientado a la medición. Bibliografía. Preguntas.

Requerimientos negocio PRINCIPIO BÁSICO DE COBIT Requerimientos negocio Dirige Inversión Responde a Información Empresa Cobit Recursos de TI Es utilizado por Entrega Procesos TI

¿COMO SATISFACER LOS REQUERIMIENTOS DEL NEGOCIO? Validar Información entregada a los procesos sea útil. La información debe ser: Efectiva: Relevante – Pertinente. Eficiente: Optimo uso de recursos. Confidencial: Protección. Integral: Precisión – Completa. Disponibilidad: Cuando se requiere. Cumplimiento: Leyes – Políticas internas. Confiabilidad: Toma Decisiones

¿COMO SATISFACER LOS REQUERIMIENTOS DEL NEGOCIO?

INTEGRANDO TI CON EL NEGOCIO Para cumplir las metas se definen procesos. Meta Negocio 1 para TI Información Valida para el negocio. (Cumplir con los criterios de la información) Meta Negocio 2 para TI Meta 1 de TI Meta 2 de TI Meta 3 de TI Meta Negocio 3 para TI Meta Negocio 4 para TI

RESPONDIENDO A LOS REQUERIMIENTOS DE NEGOCIO. La empresa debe invertir en Recursos de TI

AGENDA Introducción. Enfocado al negocio. Orientado a procesos. Basado en el Control. Orientado a la medición. Bibliografía. Preguntas.

Cobit define las actividades de TI en 4 dominios y 34 procesos ORIENTADO EN PROCESOS Cobit define las actividades de TI en 4 dominios y 34 procesos Los procesos dicen QUE hay que hacer, pero no dicen COMO Los dominios mapean las actividades comunes de TI: planear, construir , ejecutar y monitorear Los procesos tienen objetivos de control Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

Planear y organizar (PO) Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). Adquirir e implementar (AI) Proporciona las soluciones y luego las entrega para convertirlas en servicios.. Entregar y dar soporte (DS) Recibe las soluciones y las hace utilizables por los usuarios finales. Monitorear y evaluar (ME) Monitorear todos los procesos para asegurar que se sigue la dirección provista.

Navegación de los procesos Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

AGENDA Introducción. Enfocado al negocio. Orientado a procesos. Basado en el Control. Orientado a la medición. Bibliografía. Preguntas.

OBJETIVOS DE CONTROL DE COBIT Objetivos de control para los 34 procesos de gerencia de TI. Aumentar valor y disminuir riesgo. Nivel de certeza para el cumplimiento de objetivos de negocio. Objetivos de control de Negocio Objetivos de control para aplicación y el proceso general de COBIT. Desarrollo de sistemas Administración de cambios Seguridad

Modelo Genérico de control Notación CONTROL DE PROCESOS Modelo Genérico de control Notación Objetivos detallados PO<# proceso><# objetivo control> AI <# proceso><# objetivo control> DS <# proceso><# objetivo control> ME <# proceso><# objetivo control> Objetivos genéricos PC1 Metas y Objetivos del Proceso PC2 Propiedad del Proceso PC3 Proceso Repetible PC4 Roles y Responsabilidades PC5 Políticas, Planes y Procedimientos PC6 Desempeño del Proceso Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

CONTROL DE NEGOCIO Control a nivel de gerencia ejecutiva. El ambiente de control de TI es guiado (limitado) por los objetivos de negocio, políticas y decisiones de alto nivel diseñadas para ejecutar la estrategia de la compañía. Control a nivel procesos de negocio. Control de actividades especificas del negocio de manera automatizada o manual Son responsabilidad de negocio en cuanto a definición y administración. Control a nivel de soporte a procesos de negocio. Dar confiabilidad a los procesos de control de aplicaciones. Controles a servicios generales que soportan la infraestructura de TI

CONTROL DE APLICACIONES Controles incluidos en las aplicaciones de los procesos del negocio. Integridad (Completitud) Precisión Validez Autorización Segregación de funciones El control a nivel de aplicaciones es responsabilidad de: Responsabilidades de la empresa Definir apropiadamente los requisitos funcionales y de control . Uso adecuadamente los servicios automatizados. Responsabilidades de TI Automatizar e implementar los requisitos de las funciones de negocio y de control . Establecer controles para mantener la integridad de controles de aplicación.

FRONTERAS DE CONTROLES DE COBIT Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

AGENDA Introducción. Enfocado al negocio. Orientado a procesos. Basado en el Control. Orientado a la medición. Bibliografía. Preguntas.

Administración de la Información ¿Qué se debe medir y como? Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

Administración de la Información Como da respuesta a estas incógnitas: Benchmarking  Modelos de madurez. Metas y Métricas  Balanced Score Card. Metas de actividades  Objetivos de Control. La medición de despeño es esencial en los procesos de TI. Figura tomada de COBIT 4.1

Los modelos de madurez se utilizan para cada uno de los procesos. El modelo de madurez para la administración y el control de los procesos de TI se basa en un método de evaluación de la organización. Diferente evaluación que el CMM original del SEI. Esta requiere cumplir todas las condiciones del nivel anterior para poder pasar al siguiente nivel. Los modelos de madurez se utilizan para cada uno de los procesos. Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

Modelos de Madurez Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

Mediciones de Desempeño Niveles Metas y métricas de TI que definen lo que el negocio espera de TI. Metas y métricas de procesos que definen lo que el proceso de TI debe generar para dar soporte a los objetivos de TI. Métricas de desempeño de los procesos. Una meta de negocio determina varias metas de TI, una meta de TI ayuda a definir diferentes metas de proceso, una meta de proceso establece metas de actividades. Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

Medidas de Resultado  Estas se obtienen cuando se cumplen las metas. Medidas e Indicadores Medidas de Resultado  Estas se obtienen cuando se cumplen las metas. Indicadores de Desempeño  Indica si es probable cumplir una meta. La medidas de resultado de un nivel mas bajo se convierten en indicadores de despeño de un nivel mas alto. Las metas y métricas son presentadas en cobit de la siguiente forma. Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

Enlaces de interés http://www.isaca.org/

GRACIAS !!!