Asignacin Adicional

Anlisis del Manual

COBIT 4.1

Presentado por:
Abrego Luis
Aparicio Jennifer
Denis David
Olmos Yadira

COBIT Qu es?
COBIT: Objetivos de Control para la Informacion y
Tecnologas Relacionadas

Son las mejores prcticas de la Industria en
Seguridad y tecnologas de Informacin,
condensadas en Objetivos de Control.

Fue creada por ISACA (Information System Audit and
Control Association e IT Governance
Institute)

Un elemento crtico para el xito y la supervivencia de las
organizaciones, es la administracin efectiva de la
informacin y de la Tecnologa de Informacin (TI).

Muchas organizaciones reconocen los beneficios potenciales
que la tecnologa puede proporcionar.
Las organizaciones exitosas, sin embargo, tambin
comprenden y administran los riesgos asociados con la
implementacin de nuevas tecnologas.


La dependencia en la informacin
electrnica y en los sistemas de TI son
esenciales para soportar los procesos
crticos del negocio.

La administracin de los riesgos relacionados
con TI est siendo entendido como un aspecto
clave en el gobierno o direccin empresarial
Gobierno de TI
(IT Governance) es un
trmino que representa
el sistema de
control o administracin
que establece la
alta gerencia para asegurar
el logro de los
objetivos de la Organizacin.

COBIT Es la herramienta innovadora para el gobierno de TI que ayuda a
la gerencia a comprender y administrar los riesgos asociados con TI.

Objetivos de Control
Los Objetivos de Control muestran una relacin clara y
distintiva con los objetivos de negocio con el fin de apoyar su
uso en forma significativa fuera de las fronteras de la
comunidad de auditora.
Los objetivos de Control estn definidos con una orientacin a
los procesos, siguiendo el principio de reingeniera de
negocios.
Los Objetivos de Control, aseguran que se
proporciona un sistema de control adecuado
para el ambiente de tecnologa de
informacin.

Con el fin de proporcionar la informacin que la empresa
necesita para alcanzar sus objetivos, los recursos de TI
deben ser administrados por un conjunto de procesos de TI
agrupados en forma natural.

Sumado con un conjunto de 34 Objetivos de Control de alto
nivel, uno para cada uno de los Procesos de TI, agrupados
en cuatro dominios:
Planeacin y organizacin,
Adquisicin e implementacin,
Entrega (de servicio) y ,
Monitoreo.

Planeacin y organizacin.
Este dominio cubre la estrategia y las tcticas y se
refiere a la identificacin de la forma en que la
tecnologa de informacin puede contribuir de la
mejor manera al logro de los objetivos del negocio.
Adems, la consecucin de la visin estratgica
necesita ser planeada, comunicada y administrada
desde diferentes perspectivas.
Finalmente, debern establecerse una organizacin
y una infraestructura
tecnolgica apropiadas.

Adquisicin e implementacin.
Para llevar a cabo la estrategia de TI, las soluciones de TI
deben ser identificadas, desarrolladas o adquiridas, as como
implementadas e integradas dentro del proceso del negocio.
Adems, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.
Entrega y soporte.
En este dominio se hace referencia a la entrega de los servicios
requeridos, que abarca desde las operaciones tradicionales
hasta el entrenamiento, pasando por seguridad y aspectos de
continuidad.
Con el fin de proveer servicios, debern establecerse los
procesos de soporte necesarios.
Este dominio incluye el procesamiento de
los datos por sistemas de aplicacin,
frecuentemente clasificados como
controles de aplicacin.


Monitoreo.
Todos los procesos necesitan ser evaluados regularmente a
travs del tiempo para verificar su calidad y suficiencia en
cuanto a los requerimientos de control.


Control se define como:
Las polticas, procedimientos, prcticas y estructuras
organizacionales diseadas para garantizar razonablemente
que los objetivos del negocio sern alcanzados y que eventos
no deseables sern prevenidos o detectados y corregidos.
Objetivo de control en TI se define como:
Una definicin del resultado o propsito que se desea alcanzar
implementando procedimientos de control en una actividad de
TI particular.

El concepto fundamental de COBIT se refiere a que el enfoque
del control en TI se lleva a cabo visualizando la informacin
necesaria para dar soporte a los procesos de negocio

A continuacin los requerimientos para la Informacin - por
COBIT:

Efectividad. Se refiere a que la informacin relevante sea
pertinente para el proceso del negocio, as como a que su
entrega sea oportuna, correcta, consistente y de manera
utilizable.
Eficiencia. Se refiere a la provisin de informacin a travs
de la utilizacin ptima (ms productiva y econmica) de
recursos.
Confidencialidad. Se refiere a la proteccin de informacin
sensible contra divulgacin no autorizada.
Integridad. Se refiere a la precisin y
suficiencia de la informacin, as como a
su validez de acuerdo con los
valores y expectativas del negocio.
Disponibilidad. Se refiere a la disponibilidad de la informacin
cuando sta es requerida por el proceso de negocio ahora y en
el futuro. Tambin se refiere a la salvaguarda de los recursos
necesarios y capacidades asociadas.

Cumplimiento. Se refiere al cumplimiento de aquellas leyes,
regulaciones y acuerdos contractuales a los que el proceso de
negocios est sujeto, por ejemplo, criterios de negocio
impuestos externamente.

Confiabilidad. Se refiere a la provisin de informacin
apropiada para la administracin con el fin de operar la entidad
y para ejercer sus responsabilidades de reportes
financieros y de cumplimiento.

Los recursos de TI identificados en COBIT pueden
explicarse/definirse como se muestra a continuacin:

Datos. Los elementos de datos en su ms amplio
sentido, (por ejemplo, externos e internos),
estructurados y no estructurados, grficos, sonido, etc.
Aplicaciones. Se entiende como sistemas de
aplicacin la suma de procedimientos manuales y
programados.
Tecnologa. La tecnologa cubre hardware, software,
sistemas operativos, sistemas de
administracin de bases de datos,
redes, multimedia, etc.

Instalaciones. Recursos para alojar y dar soporte a los sistemas
de informacin.
Personal. Habilidades del personal, conocimiento,
conciencia y productividad para planear,organizar, adquirir,
entregar, soportar y monitorear servicios y sistemas de
informacin.

Especficamente Cobit provee Modelos de Madurez para el
control sobre los procesos de TI, de tal forma que la
administracin pueda ubicarse en el punto donde la
organizacin est hoy, donde est en relacin con los
mejores de su clase en su industria y
con los estndares internacionales
y as mismo determinar a donde
quiere llegar.


Modelos de Madurez
Para el control sobre los procesos TI consisten en el desarrollo
de un mtodo de puntaje que una organizacin puede graduar
desde un no existente a un optimizado, es decir, de 0 a 5.
Contra estos niveles se desarroll para cada uno de los 34
objetivos de procesos de Cobit la administracin puede
mapear:
El estado actual de la organizacin es decir donde la
organizacin est hoy da.
El estado actual de (los mejores en su clase) la industria
comparacin
El estado actual de los estndares internacionales
comparacin adicional
Y la estrategia de la organizacin
para mejorar es decir,
donde la organizacin desea estar.

MODELO GENERICO DE MADUREZ

0 No-Existente. Falta completa de cualquier proceso reconocible. La
organizacin no ha reconocido an que hay un elemento a ser
dirigido.
1 Inicial. No hay procesos estndares y en su reemplazo hay
aproximaciones que tienden a ser aplicadas en forma individual o
caso a caso. El enfoque general es desorganizado.
2 Repetible. Los procesos se han desarrollados en la etapa donde
procedimientos similares son seguidos por diferentes personas que
realizan la misma tarea. No existe capacitacin formal o comunicacin
de procedimientos estndares y la responsabilidad recae en el
individuo. Hay un alto grado de confianza en los
conocimientos individuales y por lo tanto,
los errores son probables.

3 Definido. Los procedimientos han sido estandarizados y
documentados y comunicados a travs de capacitacin. Sin embargo,
los individuos dejan de cumplir los procesos y es improbable que las
desviaciones sern detectadas. Los procedimientos no son
terminados pero formalizan las practicas existentes.
4 Administrado. Es posible monitorear y medir el cumplimiento con
los procedimientos y tomar acciones cuando stos no estn
trabajando efectivamente. Los procesos estn bajo constante
mejoramiento y proveen de buenas practicas. La automatizacin y
herramientas son utilizadas en forma limitada.
5 Optimizado. Los procesos se han refinado al nivel de mejores
prcticas , basado en el resultado de mejoramiento continuo y
modelamiento de madurez.
La TI es usada como una forma integrada
para automatizar los flujos de trabajo,
entregando herramientas para mejorar
la calidad y la efectividad, permitiendo
a la empresa adaptarse.
FIN