1 - curso cobit - introduccion
TRANSCRIPT
COBIT 4.1:El enfoque de control
interno de TI
ING. ERIKA ZEVALLOS VERA
Introducción a COBIT
Por qué TI necesita un marco de control de TI?
Quién necesita un marco de control de TI?
Cómo y por qué es utilizado COBIT?
Por qué TI necesita un marco de control?
Algunas de estas condiciones le son familiares?
• Crecimiento en la complejidad de los ambientes de TI• Infraestructuras fragmentadas de TI• Ausencia de comunicación entre los gerentes de
negocio y de TI• Frustración del usuario ante la implementación de
soluciones empíricas• Percepción de costos de TI fuera de control
Antecedentes
Control Objectives for Information and related TechnologyOriginalmente desarrollado por ISACF (Information Systems Audit and Control Foundation), hoy llamada ITGI ( Information Technology Governance Institute)
Proporciona panorama para control de TI
Versión 3 desarrollada en el año 2000
Versión On-line lanzada en el año 2003
Versión 4 lanzada en octubre de 2005
Composición• Conformado por 34 objetivos de control de alto nivel en sus cuatro
dominios
• Cada objetivo de control está soportado por los Lineamientos de Auditoría
• Los Lineamientos de Auditoría en total contienen 318 objetivos de control recomendados
• Lineamientos Gerenciales, orientados a la implementación de la metodología
• Directrices de Gerencia (Management Guidelines)
• Resumen Ejecutivo (Executive Summary)
• Marco Referencial (Framework)
• Objetivos de Control (Control Objectives)
• Directrices de Auditoría (Audit Guidelines)
• Conjunto de Herramientas de Implementación (Implementation Tool Set)
Familia de productos COBIT
COBIT esta orientado a ser la herramienta de
gobierno de TI que ayude al entendimiento y a la
administración de riesgos asociados con
tecnología de información y con tecnologías
relacionadas.
Reconocida como líder mundial en el gobierno, control y
evaluación de TI.
IT Governance Institute
¿Quiénes están detrás de CobiT?
COBIT – Cualidades Información
COBIT – Recursos de TI
Marco COBIT
0 1 2 3 4 5
0 .. No existe1 .. Básico2 .. Repetible3 .. Documentado y comunicado4 .. Función de monitoreo5 .. Optimizado y automatizado
0 .. No existe1 .. Básico2 .. Repetible3 .. Documentado y comunicado4 .. Función de monitoreo5 .. Optimizado y automatizado
Estado actual
Estado internacional
Mejor práctica
Objetivo estratégico
Estado actual
Estado internacional
Mejor práctica
Objetivo estratégico
Leyenda:Leyenda: Nivel de madurez:Nivel de madurez:
Modelo de Madurez
• Proveer un marco único reconocido a nivel mundial de las “mejores prácticas” de control y seguridad de TI.
• Consolidar y armonizar estándares originados y desarrollados en diferentes países.
• Concientizar a la comunidad sobre importancia del control y la auditoria de TI.
• Enlazar los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito
• Aplicar a todo tipo de organizaciones independiente de sus plataformas de TI.
• Reiterar sobre la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa.
Objetivos y Beneficios
Recursos de TIDatos, Aplicaciones
Tecnología, Instalaciones, Recurso Humano
Req. InformaciónEfectividad, Eficiencia,
Confidencialidad, Integridad, Disponibilidad, Cumplimiento,
Confiabilidad
CobiT
Objetivos del Negocio
Planear y Organizar
Adquirir eImplementar
Monitorear y Evaluar
Entregar y Soportar
1. Monitorear y evaluar rendimiento de TI2. Monitorear y evaluar control interno3. Asegurar cumplimiento con requerimientos externos4. Proveer gobierno de TI
1. Identificar soluciones automatizadas2. Adquirir y mantener software de aplicación 3. Adquirir y mantener infraestructura de TI4. Establecer operación y uso5. Asignar recursos de TI6. Administrar Cambios7. Instalar y acreditar soluciones y cambios
Gobierno de TI
1. Definir un plan estratégico de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica 4. Definir la organización y relaciones de TI 5. Manejo de la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Administrar calidad 9. Evaluar y administrar Riesgos10. Administración de Proyectos
1.Definir y administrar niveles de servicio 2.Administrar servicios de terceros 3.Administrar rendimiento y capacidad 4.Asegurar servicio continuo 5.Asegurar seguridad de sistemas 6.Identificar y asignar costos 7.Educar y entrenar usuarios 8.Administrar mesa de ayuda e incidentes 9.Administrar la configuración10.Administrar problemas11.Administrar datos12.Administrar el ambiente físico13.Administrar las Operaciones
Panorama de COBIT
Panorama del COBIT
• ITIL (IT Infrastructure Library)
• ISO 17799 (Information Security Management)
• German Baseline Standards (Technical Security)
• ISO 13335 (Risk Management)
• ISO 15408 (Common Criteria)
• CoSo (Control System)
• Ensec (German TUEV)
• …
• …
Integración de otros estándares
COBIT y otros estándares
Deliver IT Services-Capacity Management-Financial Management-Customer Relationship Mgmt-Service Level Management-Continuity Management-Availability Management
Support IT Services-Service Desk-Incident Management-Problem Management-Configuration Management-Change Management-Release Management
-Business Continuity-Partnership and Outsourcing-Surviving Change-Transformation of business practiseThe Business Perspective
-Network Service Management-Operations Management-Management of local processors-Computer Installation-Systems ManagementManage the Infrastructure
-Software development lifecycle-Software lifecycle support-Testing IT Services
Manage Applications
Deliver IT Services-Capacity Management-Financial Management-Customer Relationship Mgmt-Service Level Management-Continuity Management-Availability Management
Support IT Services-Service Desk-Incident Management-Problem Management-Configuration Management-Change Management-Release Management
-Business Continuity-Partnership and Outsourcing-Surviving Change-Transformation of business practiseThe Business Perspective
-Network Service Management-Operations Management-Management of local processors-Computer Installation-Systems ManagementManage the Infrastructure
-Software development lifecycle-Software lifecycle support-Testing IT Services
Manage Applications
COBIT e ITIL
COBIT e ISO/IEC 17799:2000