COBIT.ppt - DSpace en ESPOL

Report
Slide 1

www.seguridadinformacion.cl


Slide 2

C
OB
I
T

Control
OBjectives
for Information
and Related Technology


Slide 3

Origen de COBIT
 Actualización de los objetivos de
control de ISACF
 Expansión del enfoque a las
necesidades de la Administración
y el Usuario
 Perspectiva Global
 Comité de Análisis


Slide 4

Misión del COBIT
“Para investigar, desarrollar, publicar y
promover un conjunto actualizado
e
internacional de objetivos de control de
Tecnología de la Información generalmente
aceptado,
para su uso diario por los
administradores del negocio
y
los
auditores”.


Slide 5

Alcances y objetivos:
 Estándares
generalmente
aplicados
y
aceptados para las buenas prácticas de
control en TI (Tecnologías de la Información)
 Para Sistemas de Información de la
Organización
 Fundamentado en una estructura de control de
las TI
 Basado en los Objetivos de Control de ISACF.


Slide 6

Componentes del COBIT
Resumen Ejecutivo
Descripción de la Estructura
Objetivos de Control
Guías de Auditoría


Slide 7

• Visión Ejecutiva
• Antecedentes
• La Estructura del COBIT
• Definiciones
• Los Principios de la Estructura
• Dominios y Procesos
• Relaciones entre Principios, Dominios y
Procesos


Slide 8

Necesidad por una Estructura
 Orientación al Control
 Relacionar
objetivos
de
control
individuales
con
los
Estándares,
Regulaciones y Prácticas existentes.
 Usado por Auditores, Administradores y
Usuarios


Slide 9

Expectativas de la
Administración en TI
 Proceso de Re-Ingeniería
 Proceso Distribuído

 Outsourcing


Slide 10

Responsabilidades Administrativas TI
 Salvaguardar Activos
 La Información como el ACTIVO más
importante


Slide 11

La Necesidad del Control
en TI
 Administradores

 Usuarios
 Auditores


Slide 12

Definición de Control

“Las Políticas, Procedimientos, Prácticas

y Estructura Organizacional, diseñadas
para proveer una razonable seguridad de
que los objetivos del negocio
serán
alcanzados y los
eventos
indeseados
serán prevenidos o
detectados
y
corregidos.”


Slide 13

Recursos de Tecnología de
Información
 Datos
 Sistemas de Aplicación
 Tecnología
 Instalaciones
 Personal


Slide 14

Requerimientos del Negocio
hacia la Información
Requerimientos
de calidad

Calidad
Costo
Entrega

Requerimientos
Fiduciarios
(Informe COSO)

Efectividad & Eficiencia de operaciones
Confiabilidad de Información
Cumplimiento con leyes & regulaciones

Requerimientos
de Seguridad

Confidencialidad
Integridad
Disponibilidad


Slide 15

Requerimientos del Negocio
hacia la Información
Efectividad

Eficiencia

Confidencialida
d

Integridad

Trata con información que es relevante y pertinente al proceso de
negocio, además de ser entregada de una manera oportuna,
correcta, consistente y utilizable.
Se relaciona con la provisión de información a través del óptimo
(más productivo y económico ) uso de recursos.

Se relaciona con la protección de información sensible a divulgación
No autorizada.
Se relaciona con la exactitud e integridad de información así como
también con su validez en conformidad con valores y expectativas
del NEGOCIO.


Slide 16

Requerimientos del negocio
hacia la Información
Disponibilidad

Se relaciona con información disponible al
ser
requerida por el proceso de negocio ahora y en el
futuro. Se relaciona con el resguardo de recursos
necesarios y capacidades asociadas.

Cumplimiento

Trata con el cumplimiento de aquellas
leyes,
regulaciones y arreglos contractuales a los cuales está
sujeto el proceso de negocio; es decir, criterios de
negocios impuestos externamente.

Confiabilidad de

Se relaciona con la provisión de información apropiada
a la gerencia para operar la entidad y para que la
gerencia ejerza sus responsabilidades de
informar

Información

cumplimiento.


Slide 17

Recursos de la Tecnología de
la Información (T.I.)
Datos

Objetos en su más amplio sentido (es decir,
externos e internos), estructurados y no
estructurados, gráficos, sonidos, etc.

Sistemas de
Aplicación

Los sistemas de aplicación, se entienden como
la suma de procedimientos manuales y
programados.

[email protected] Pallavicini Consultores www.seguridadinformatica.cl


Slide 18

Recursos de la Tecnología de
la Información (T.I.)
Tecnología
Tecnología

Tecnología cubre hardware, sistemas operativos,
Sistemas de administración de bases de datos, redes,
multimedia, etc.

Instalación
Instalaciones Instalaciones son todos los recursos para albergar y

respaldar Sistemas de información.

Gente

Gente incluye las destrezas, conciencia y productividad
Gente del personal para planificar, organizar, adquirir, entregar,
respaldar y Monitorear sistemas y servicios de información.


Slide 19

Procesos de Información
Tres Niveles
Dominios
Procesos

Actividades


Slide 20

Dominios del Cobit
Planificación
y
Organización

Este dominio cubre estrategia y táctica, y se relaciona
con la identificación de la forma en que TI puede
contribuir mejor al logro de los objetivos de negocios.
Más aún, la realización de la visión estratégica debe ser
planificada, comunicada y administrada para diferentes
perspectivas.
Finalmente, se debe poseer una apropiada organización
además de una infraestructura tecnológica.


Slide 21

Dominios del Cobit
Adquisición e
Implementación

Para realizar la estrategia TI, se deben identificar,
desarrollar o adquirir las necesidades TI, así como
implementarlas e incorporarlas a los procesos de
negocios. Además, los cambios en y la mantención
de sistemas existentes son cubiertas por éste
dominio, para asegurarse que el ciclo de vida útil es
continuo para estos sistemas.


Slide 22

Dominios del Cobit
Procedimientos manuales y programados. real de
servicios requeridos, la cual va desde operaciones
tradicionales en seguridad y aspectos de continuidad a
capacitación. Para entregar servicios, se deben
preparar los procesos de respaldo necesarios. Este
dominio incluye procesamiento real de datos mediante
procesos de aplicaciones, a menudo clasificados bajo
controles de aplicaciones.

Entrega y
Respaldo

.

.
www.seguridadinformacion.cl


Slide 23

Dominios del Cobit
Monitoreo

Todos los procesos TI deben ser evaluados
regularmente en el tiempo
para su calidad y
cumplimiento
con requerimientos de control. Este dominio, por
consiguiente, aborda la supervisión por parte de la
gerencia del proceso de control de la organización y la
garantía independiente proporcionada por auditoría
interna y externa, o se obtiene de fuentes alternativas.


Slide 24

OBJETIVOS DE
NEGOCIOS

M1 monitorear los procesos
M2 evaluar adecuación de control
interno
M3 lograr garantía independiente
M4 disponer de auditoría interna

PO1 definir un plan TI estratégico
PO2 definir la arquitectura de información
PO3 determinar la dirección tecnológica
PO4 definir la organización TI y relaciones
PO5 administrar la inversión en TI
PO6 comunicar a gerencia metas y dirección
PO7 administrar recursos humanos
PO8 asegurar cumplimiento con
requerimientos externos
PO9 evaluar riesgos
PO10 administrar proyectos
PO11 administrar calidad

COBIT
INFORMACION


MONITOREO


ENTREGA &
RESPALDO

DS1 definir niveles de servicio
DS2 administrar servicios de terceros
DS3 administrar desempeño y capacidad
DS4 asegurar servicio continuo
DS5 asegurar seguridad de sistemas
DS6 identificar y atribuir costos
DS7 adecuar y capacitar a usuarios
DS8 ayudar y aconsejar a clientes de TI
DS9 administrar la configuración
DS10 administrar problemas e incidentes
DS11 administrar datos
DS12 administrar instalaciones
DS13 administrar operaciones

· efectividad
· eficiencia
· confidencialidad
· integridad
· disponibilidad
· cumplimiento
· confiabilidad


PLANIFICACION &
ORGANIZACION



RECURSOS TI



ADQUISICIÓN &
IMPLEMENTACION

· gente
· sistemas de
aplicaciones
·tecnología
·instalaciones
· datos
AI1 identificar soluciones
AI2 adquirir y mantener software de
aplicaciones
AI3 adquirir y mantener arquitectura de
tecnología
AI4 desarrollar y mantener recursos TI
AI5 instalar y acreditar sistemas
AI6 administrar cambios


Slide 25

Dominio Planificación y
Organización
1. Definición del Plan Estratégico
2. Definición de la Arquitectura de la
Información
3. Determinación de la Dirección
Tecnológica
4. Definición de la organización y sus
relaciones


Slide 26

Dominio Planificación y
Organización
(CONTINUACIÓN)

5. Manejo de la Inversión
6. Comunicación de Políticas y los
Objetivos de la Dirección
7. Administración del Personal
8. Requerimientos de Organismos
Contralores Externos


Slide 27

Dominio Planificación y
Organización
(CONTINUACIÓN)

9. Evaluación de riesgos
10. Administración de Proyectos
11. Administración de la Calidad


Slide 28

Dominio Adquisición e
Implementación
1.
2.

3.
4.
5.
6.

Identificar soluciones.
Adquirir y mantener software de
aplicaciones.
Adquirir y mantener arquitectura de
tecnología.
Desarrollar y mantener recursos TI.
Instalar y acreditar sistemas.
Administrar cambios.


Slide 29

Dominio Entrega y Soporte
1.
2.
3.
4.
5.
6.
7.

Definir niveles de servicio.
Administrar servicios de terceros.
Administrar desempeño y capacidad
Asegurar servicio continuo.
Asegurar seguridad de sistemas.
Identificar y atribuir costos.
Adecuar y capacitar a usuarios.


Slide 30

Dominio Entrega y Soporte
(continuación)

8.
9.
10.
11.
12.
13.

Ayudar y aconsejar a clientes de TI.
Administrar la configuración.
Administrar problemas e incidentes.
Administrar datos.
Administrar instalaciones.
Administrar operaciones.


Slide 31

Dominio Monitoreo
1.
2.

3.
4.

Monitorear los procesos.
Evaluar la adecuación del control
interno.
Lograr garantía independiente.
Disponer de auditoría interna.


Slide 32

PO5. Manejo de la Inversión
en Tecnología de Información
5.1. Presupuesto Operativo Anual para
Función de Servicios de Información.




la

Proceso de definición de presupuesto operativo.
Consideración en el proceso de:
 Plan

de la organización.
 Plan Informático.


Proceso de análisis
financiamiento.

de

alternativas

de


Slide 33

PO5. Manejo de la Inversión
en Tecnología de la
Información
(continuación)

5.2. Monitoreo de Costo - Beneficios.







Proceso de medición, registro y control de costos
contra presupuesto.
Identificación, medición y reporte de los
beneficios de la TI.
Sistema de costos asociado a la Contabilidad.
Proceso periodico de revisión de las unidades de
medición de beneficios de la TI.


Slide 34

PO5. Manejo de la Inversión en
Tecnología de la Información
(continuación)

5.3. Justificación del Costo - Beneficio.




Proceso de verificación de los costos del servicio
de TI v/s la Industria (benchmarking).
Proceso de verificación del nivel de actividades
de la TI con respecto a la Industria.


Slide 35

PO7. Administración de
Recursos Humanos
7.1. Reclutamiento
personal






y

promoción

de

Políticas de reclutamiento y promoción del
personal.
Proceso formal de reclutamiento y
promoción del personal.
Aspectos a considerar como la educación,
experiencia y responsabilidad.


Slide 36

PO7. Administración de
Recursos Humanos

(CONTINUACIÓN)

7.2. Personal calificado.




Definición de requerimientos del puesto.
Proceso de verificación de la calificación
de las personas.


Slide 37

PO7. Administración de
Recursos Humanos

(CONTINUACIÓN)

7.3. Entrenamiento del personal.






Proceso de inducción de nuevos
empleados en la Empresa.
Programa de capacitación de acuerdo a
los requerimientos de cargo.
Proceso periódico de revisión del
programa de capacitación.


Slide 38

PO7. Administración de
Recursos Humanos

(CONTINUACIÓN)

7.4. Proceso cruzado o respaldo de personal.






Identificación de los puestos claves.
Programa de entrenamiento cruzado (puestos
claves).
Programa de vacaciones/control de cumplimiento.


Slide 39

PO7. Administración de
Recursos Humanos

(CONTINUACIÓN)

7.5. Procedimiento de acreditación del personal




Procedimiento de verificación de antecedentes del
personal previo a su contratación o cambio.
Consideración en el procedimiento de su situación
financiera.

[email protected] Pallavicini Consultores propiedad intelectual reservada


Slide 40

PO7. Administración de
Recursos Humanos

(CONTINUACIÓN)

7.6. Evaluación desempeño de los empleados.








Pauta de evaluación del desempeño de los
empleados.
Consideración de estándares y responsabilidades
del cargo que ocupa el empleado.
Procedimiento formal de aplicación periódica de
dicha pauta.
Procedimiento formal de entrega de resultados al
empleado.


Slide 41

PO7. Administración de
Recursos Humanos

(CONTINUACIÓN)

7.7. Cambios de puesto y despidos.




Procedimiento formal y conocido, para el despido y
cambio del puesto, del personal
Procedimiento para la eliminación/suspensión
inmediata de las passwords de acceso a los
ambientes computacionales, sistemas y datos, de
cada persona despedida o trasladada a otro cargo.
[email protected] Pallavicini Consultores
propiedad intelectual del resumen en Powerpoint reservada


similar documents