Modelo COBIT

Mejores prcticas para Gestin

de
Tecnologas Informticas

CONCEPTO BSICOS
MODELO COBIT
(Control Objectives for
Information Systems and
related Technology)

Modelo para evaluar y/o auditar la

gestin y control de los de
Sistemas de Informacin y
Tecnologa relacionada (IT):

Es el resultado de una investigacin con expertos de

varios paises, desarrollada por la Information,
Systems Audit and Control Association ISACA.
Esta asociacin se ha constituido en el organismo
normalizador y orientador en el control y la auditora
de los sistemas de Informacin y Tecnologa (IT).
El modelo CobIT ha sido aceptado y adoptado por
organizaciones en el mbito mundial.

CONCEPTO
BSICOS
Modelo COBIT

MARCO UNICO
REFERENCIA
PRACTICAS
SEGURIDAD
Y CONTROL

INVERSION CONTROL TI
BALANCE RIESGO/CONTROL
BASE BENCHMARKING

ACREDITACON CONTROL
/SEGURIDAD POR
AUDITORES O TERCEROS
CONFUSIN ESTANDARES

DESGASTE
OPINION V.S.
ALTA GCIA.
CONSULTORES EN
CONTROL/SEG.
TI

AUDITORES

USUARIOS DE TI

ALTA GERENCIA

Origen

LEGISLADORES /
REGULADORES
USUARIOS PRESTADORES
DE SERVICIOS

CONCEPTO
BSICOS

Proveer un marco nico reconocido a nivel mundial de las

mejores prcticas de control y seguridad de TI

Consolidar y armonizar estndares originados en diferentes

pases desarrollados.

Concientizar a la comunidad sobre importancia del control y la

auditora de TI.

Enlaza los objetivos y estrategias de los negocios con la

estructura de control de la TI, como factor crtico de xito

Aplica a todo tipo de organizaciones independiente de sus

plataformas de TI

Ratifica la importancia de la informacin, como uno de los

recursos ms valiosos de toda organizacin exitosa

REGLA DE ORO DEL COBIT

A fin, de proveer la informacin
que la organizacin requiere para
lograr sus objetivos, los recursos
de TI deben ser administrados por
un
conjunto
de
procesos,
agrupados de forma adecuada y
normalmente aceptada.

POR QU COBIT?
La Tecnologa se ve como un
costo, no hay una terminologa
comn con el negocio, y se recorta
el presupuesto en la seguridad, ya
que la falta de difusion de normas
y buenas prcticas que ayuden a
generar conciencia de los riesgos
mantiene la quimera del :
A mi no me va pasar..

POR QU
COBIT?
Gobierno de Tecnologa de Informacin
El rol de la Direccin

La Direccin, a travs de su
Gobierno
Corporativo
debe
garantizar la debida diligencia por
parte de todos los individuos
involucrados en la administracin,
uso,
diseo,
desarrollo,
mantenimiento u operacin de los
sistemas de informacin.

QUINES NECESITAN REGLAS

DE JUEGO DEFINIDAS?
Los Mandos Gerenciales para saber que
deben exigir, como medir los resultados y
cuales son sus responsabilidades en esos
temas.

Balancear el riesgo y la inversin en

control de un ambiente a menudo
impredecible

El Auditor para sustentar sus opiniones

sobre los riesgos y la adecuacin de la
tecnologa a las mejores prcticas. Ser
asesores proactivos del negocio

ADEMS...
El rea usuaria para saber que puede pedir

a tecnologa y que se le va a exigir sobre el

control de los procesos del negocio.
Son los interesados en saber si los recursos
de Tecnologa de Informacin se utilizan
adecuadamente y les ayudan a alcanzar
sus objetivos

El Gerente de Tecnologa para definir un

acuerdo de
inversin

servicios

justificar

su

Los Organismos estatales de control, para

saber que es lo mnimo que pueden exigir.

ORIENTACIN DE COBIT
Su orientacin hacia el negocio consiste en vincular
objetivos de negocio con objetivos de TI, facilitar
mtricas y modelos de madurez para medir su
xito, e identificar las responsabilidades asociadas
del negocio y los propietarios de los procesos de TI.

ENFOCADO EN EL NEGOCIO, ORIENTADO

A PROCESO, BASADO EN CONTROLES Y
DIRIGIDO POR MEDIDAS.

DEFINICION
ES

PRINCIPIOS
Efectividad

Eficiencia

Confidencialidad

Se refiere a la informacin que es

relevante para el negocio y que debe
ser entregada de manera correcta,
oportuna, consistente y usable.
Se
refiere
a
la
provisin
de
informacin a travs del ptimo (ms
productivo y econmico) uso de los
recursos.
Relativa a la proteccin de la
informacin sensitiva de su revelacin
no autorizada.

PRINCIPIOS
Disponibilidad

Se refiere a la que la informacin debe

estar disponible cuando es requerida
por los procesos del negocio ahora y
en el futuro. Involucra la salvaguarda
de los recursos y sus capacidades
asociadas.

Confiabilidad

Se refiere a la provisin de la
informacin apropiada a la alta
gerencia, para operar la entidad y
para ejercer sus responsabilidades
finacieras y de cumplir con los
reportes de su gestin.

NECESIDAD DE RESPUESTA A
LOS RETOS DE TI
Los 7 retos:
Qu no se interrumpa el
servicio
Qu aporte valor
Administrar los costos
Dominar la complejidad
Alineacin con el Negocio
Cumplimiento de Regulaciones
Seguridad.

BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas

Los 4 principios:
Dirigir y controlar
Con responsabilidad
Con imputabilidad (Accountability)
Mediante actividades (Procesos)

NECESIDAD DE RESPUESTA A LOS

RETOS DE TI
Principios, participantes, mbito, ventajas

Los participantes (stakeholders):

Internos
Externos

BUEN GOBIERNO DE TI

Principios, participantes, mbito, ventajas

Las 5 reas:
Alineacin estratgica
Aportacin de Valor
Gestin de Riesgos
Gestin de Recursos
Medidas de Rendimiento
Ing. Vctor Manuel Montao Ardila

BUEN GOBIERNO DE TI

Principios, participantes, mbito, ventajas

Las 5 ventajas:
Confianza de la Alta Direccin
TI es co-responsable al negocio
Retorno de Inversin Superior
Servicios ms confiables
Mayor transparencia
Ing. Vctor Manuel Montao Ardila

MARCOS DE BUEN
GOBIERNO Y DE TI
Las 5 caractersticas generales de un
buen marco:
Enfocado al Negocio
Orientado a Procesos
Generalmente aceptado
Utilice un lenguaje comn
Cumpla con los requisitos regulatorios

Ing. Vctor Manuel Montao Ardila

Propuesta de Solucin
Expectativas sobre COBIT (1)
Alta Gerencia:
Utilizar los procesos de COBIT para lograr un
lenguaje comn entre el negocio y TI y
asignar responsabilidades claras
Gerencias Usuarias:
Utilizar los objetivos de control de COBIT para
determinar las necesidades que sern
cubiertas por los Acuerdos de Niveles de
Servicio
Ing. Vctor Manuel Montao Ardila

Propuesta de
Solucin
Expectativas sobre COBIT (2)
Auditora Interna:
Utilizar los objetivos de control de COBIT como
un criterio para evaluar y definir el alcance a
revisar
Gerente TI:
Utilizar los objetivos de control de COBIT para:
1. Estructurar los procesos
2. Establecer objetivos de los procesos
3. Medir el desempeo de los procesos / gestin
4. Generar polticas y procedimientos

Fase 1
Levantamiento de procesos actuales
Recursos
de TI

Datos
Sistemas de
Aplicacin
Infraestructura
Tecnolgica
Instalaciones
Fsicas
Recursos
humanos

Criterios
de Informacin

Procesos de
trabajo
Planeacin y
organizacin
Adquisicin e
implantacin de
soluciones
Entrega de servicio y
soporte
Monitoreo

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad

Cumplimiento
Confiabilidad

Ing. Vctor Manuel Montao Ardila

Fase 1

Levantamiento de procesos actuales

Recursos
de TI
Recursos
de TI

Criterios
de Informacin

Procesos de
trabajo

Objetivos de Control
Factores Crticos de
xito
Indicadores de
Resultados
Ing. Vctor Manuel Montao Ardila

EL MODELO DEL MARCO DE TRABAJO DE

racin,
Control, Alineacin y Monitoreo de Cobit.
COBIT
El marco
OBJETIVOS DE NEGOCIO

Drivers de Gobernabilidad

Gente

Infraestructura

Informacin

Aplicaciones

Resultados de Negocio

Procesos de TI

de trabajo
COBIT, relaciona los
requerimientos
de
informacin
y
de
Criterios de
gobierno a los objetivos
Informacin
de la funcin de servicio
de TI. El modelo de
procesos COBIT permite
que las actividades de
TI y los recursos que los
soportan
sean
Recursos
administrados
y
de TI
controlados basados en
los objetivos de control
de COBIT, y alineados y
Indicadores
clave
monitoreados
usando
de Rendiemiento
las mtricas KGI y KPI
Procesos
de COBIT
de TI
Indicadores clave
de Objetivos

Objetivos de TI

Objetivos de
Control de Alto
Nivel

Ing. Vctor Manuel Montao Ardila

Procesos
Procesos

Personas

Procesos y
Objetivos de
Control de TI

Dominios

Aplicaciones

Dominios

Infraestructura

ad to
d
ad d
d
a
d
i
i
l ien ilida
a
d
a
l
i
i
i
a
d
i
tiv enc onib egri enc lim fab
c
i
e
Ef Efc Disp Int nfd ump Con
C
Co
d

Informacin

ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y

Criterios de
OBJETIVOS DE CONTROL
Informacin

Actividades
Actividades

c
e
R
TI

os
s
ur

CLASIFICACIN

Agrupamiento lgico de procesos, a

menudo se concibe como dominios
de responsabilidad dentro de una
estructura y se relaciona con el ciclo
de vida aplicable a los procesos de
Tecnologa de Informacin.

Dominios

Una serie de actividades o tareas

vinculadas con cortes (de control)
naturales.

Son necesarias para lograr un

Procesos

Actividades
o tareas

resultado
mensurable.
Las
actividades tienen un ciclo de vida
mientras que las tareas son
discretas.

CobiT: enfoque e implementacin

Resumen Ejecutivo

Herramientas de
implementacin

Marco Referencial-Esquema
Objetivos de Alto Nivel

Lineamientos
Gerenciales

Modelos de
Madurez

Objetivos de Control
Detallados

Factores Crticos
de Exito

Resumen Ejecutivo
Casos de Estudio
Preguntas Frecuentes
Presentaciones Power Point
Guas de Implementacin
Diagnstico Conciencia Administrativa
Diagnstico Control de TI

Guas de
Auditora

Indicadores
Clave de
Rendimiento

Prcticas de
Control

Indicadores
Clave de Logros

DOMINIOS DEL COBIT

Planeacin y Organizacin

Abarca aspectos estratgicos y tcticos

Se vincula con la identificacin de la

forma en que la tecnologa de

informacin
puede
contribuir
ms
adecuadamente con el logro de los
objetivos del negocio.

Incluye las actividades de planificar,

comunicar y administrar la realizacin
de la visin estratgica desde distintas
perspectivas.

DOMINIO

Planifcacin y Organizacin
Proceso: PO1 Defnicin de un plan estratgico de TI
Proceso: PO2 Defnicin de la arquitectura de la informacin
Proceso: PO3 Determinacin de la direccin tecnolgica
Proceso: PO4 Defnicin de la organizacin y el relacionamiento en TI
Proceso: PO5 Administracin de la inversin en TI
Proceso: PO6 Comunicacin de los objetivos y directivas de la gerencia
Proceso: PO7 Administracin de los recursos humanos
Proceso: PO8 Aseguramiento del cumplimiento de los requerimientos
externos
Proceso: PO9 Evaluacin de riesgos
Proceso: PO10 Administracin de proyectos
Proceso: PO11 Administracin de la calidad

DOMINIOS DEL COBIT

Adquisicin e Implementacin

Identificacin,

desarrollo
adquisicin de soluciones de Ti

Implantacin e integracin en el
proceso de negocio.

Cambios y mantenimiento de los

sistemas existentes para garantizar
la natural continuidad del ciclo de
vida para estos sistemas.

DOMINIO

Adquisicin e Implementacin
Proceso: AI12
Proceso:

Identifcacin de soluciones

AI13
software

Adquisicin y
de aplicacin

mantenimiento

de

Proceso: AI14
Adquisicin y mantenimiento de la
infraestructura tecnolgica
Proceso:

AI15
Desarrollo y
procedimientos de TI

mantenimiento

de

Proceso: AI16

Instalacin y certifcacin de sistemas

Proceso: AI17

Administracin de cambios

DOMINIOS DEL COBIT

Entrega y Soporte
Prestacin

efectiva
de
los
servicios
requeridos,
que
comprenden
desde
las
operaciones tradicionales sobre
aspectos
de
seguridad
y
continuidad hasta la capacitacin.

Procesos de soporte necesarios.

Procesamiento real de los datos
por los sistemas de aplicacin.

DOMINIO

Entrega y Soporte
Proceso: DS18
Proceso:

Defnicin de los niveles del servicio

DS19
Administracin
prestados terceros

de

los

servicios

Proceso: DS20
Administracin de la capacidad y del
desempeo del sistema
Proceso: DS21
Aseguramiento de la continuidad del
servicio
Proceso: DS22
Establecimiento de pautas para la
seguridad de los sistemas
Proceso: DS23

Identifcacin e imputacin de costos

DOMINIO

Entrega y Soporte
Proceso:

DS24
Educacin
usuarios

capacitacin

Proceso:

DS25
clientes

asesoramiento

Proceso: DS26
Proceso:

Asistencia
de TI

de

los

los

Administracin de la confguracin

DS27
Administracin
incidentes

de

problemas

Proceso: DS28

Administracin de datos

Proceso: DS29

Administracin de instalaciones

Proceso: DS30

Administracin de las operaciones

DOMINIOS DE COBIT
Monitoreo

Evaluar

regularmente
todos
los
procesos de TI para determinar su
calidad
y el cumplimiento de los
requerimientos de control.

Seguimiento de la gerencia sobre los

procesos de control de la organizacin

Garanta independiente provista por

la auditoria interna y externa
obtenida de fuentes alternativas.

DOMINIO
Monitoreo

Proceso: ME31
Proceso:
Proceso:

Monitoreo de los procesos

ME32
Evaluacin
control interno
ME33
Obtencin
independiente

Proceso: ME34

de

la
de

adecuacin

del

aseguramiento

Provisin de auditoria independiente

Navegacin
(Matriz)

DOMINIO AI:
Adquisicin e
Implementaci
n

solucionesP S
AI1Identifcar
de IT
Adquirir
y P
mantener
software
Adquirir
y mantener
P
aplicativo
AI3arquitectura
tecnolgica
y P
AI4 Desarrollar
mantener
procedimientos de
y P
IT
AI5 Instalar
acreditar
sistemas
los
P
AI6 Administrar
cambios

AI2

APLICACIONES
TECNOCLOGA
FACILIDADES
DATOS
PERSONAS

COBIT

EFECTIVIDAD
EFICIENCIA
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
CUMPLIMIENTO
CONFIABILIDAD

PROCESOS

SS

S S

SS

PP

CRITERIOS

RECURSO
S

DEFINICIN DE PROCESOS DE TI
PO1: Defnir el Plan estratgico de IT
La funcin de servicios de informacin debera asegurar que hay planes
a corto y largo plazo para administrar y orientar todos los recursos de
IT de la organizacin. Estos planes deben ser actualizados de manera
correcta y oportuna para adecuarlos a los cambios de las condiciones
de la IT.

La evaluacin de los sistemas existentes debe realizarse

antes de desarrollar o modificar el plan estratgico de IT. As mismo, la

funcin de administracin de los servicios de informacin debe
asegurar que el plan estratgico de IT es consistente con los objetivos
del negocio, y los planes a corto y largo plazo de la organizacin.

OBJETIVOS DE CONTROL DE TI DETALLADOS

DOMINIO PO: Planeacin y
Organizacin

PROCESO: PO1: Defnir el Plan

Y tiene en
consideracin:

Estratgico de TI

Objetivos de Control - Detallados

Cambios Plan corto

La TI
Enfoque
y
Plan a estructura al Plan a
plazo de
como
largo del Plan a largo
la
parte de
plazo
funcin
plazo
los
largo
de
planes a ladeTI plazo de la de la TI
servicios
TI
de TI
corto/larg
o
Evaluacin objetivos de
plazo de
control detallados
la
empresa

PRODUCTOS DE
COBIT

INTERRELACIN DE LOS COMPONENTES

DE COBIT
Negocio
Requerimientos

Informacin

Procesos de TI
Con
t

Para resultados

o
m
pe

de
se
Pa
ra

an
Tr

Logra
ndo
Efecti
vidad
y
Efcie
ncia c
on

m
or
f
s

Guas de
Auditora

op
or

Objetivos
de Control
en
o
ad

Implementado
con

ez
ur
ad

Modelo de
Madurez

or
op

Indicadores
Clave de
Metas

Metas de
las Actividades

d
ita

ra
Pa

Indicadores
Clave de
Desempeo

id

rola
d

d
Au

d
Me

ra
a
ap

Practicas
de Control