cobit 4
TRANSCRIPT
COBIT 4COBIT 4Objetivos de Control para tecnología de la información y
relacionada
UNIVERSIDAD VERACRUZANAUNIVERSIDAD VERACRUZANA
E. E.: Administración de Tecnologías de E. E.: Administración de Tecnologías de InformaciónInformación
Tema: COBIT 4Tema: COBIT 4
Profesor: Profesor: Carlos Arturo Torres GastelúCarlos Arturo Torres Gastelú
Equipo 2Equipo 2
Martha Teresa Lechuga GonzálezMartha Teresa Lechuga González
¿Que es?¿Que es?
Es una metodología aceptada Es una metodología aceptada mundialmente para el adecuado mundialmente para el adecuado control de proyectos de tecnología, control de proyectos de tecnología, los flujos de información y los los flujos de información y los riesgos que éstas implican. riesgos que éstas implican.
¿Para que se utiliza?¿Para que se utiliza? Para planear, implementar, controlar y Para planear, implementar, controlar y
evaluar el gobierno sobre TIC; evaluar el gobierno sobre TIC; incorporando objetivos de control, incorporando objetivos de control, directivas de auditoria, medidas de directivas de auditoria, medidas de rendimiento y resultados, factores rendimiento y resultados, factores críticos de éxito y modelos de madurez.críticos de éxito y modelos de madurez.
COBIT permite el desarrollo claro de políticas y COBIT permite el desarrollo claro de políticas y la práctica buena para el control de TI en todas la práctica buena para el control de TI en todas las partes de la organización. las partes de la organización.
El modelo COBIT es El modelo COBIT es constantemente actualizado, constantemente actualizado, siendo siendo COBIT 4.0COBIT 4.0 la última la última actualización relevante; el actualización relevante; el cual permite a las empresas:cual permite a las empresas:
Aumentar su valor en TI yAumentar su valor en TI y Reducir los riesgos Reducir los riesgos
asociados a proyectos asociados a proyectos tecnológicos. tecnológicos.
Gracias a que COBIT 4.0 se Gracias a que COBIT 4.0 se estructura a partir de estructura a partir de parámetros generalmente parámetros generalmente aplicables y aceptados, para aplicables y aceptados, para mejorar las prácticas de mejorar las prácticas de planeación, control y planeación, control y seguridad de las seguridad de las Tecnologías de Tecnologías de Información. Información.
¿Qué ofrece COBIT?¿Qué ofrece COBIT?
Proporciona una Proporciona una visión integral, capaz visión integral, capaz de responder a las de responder a las necesidades de necesidades de directivos, usuarios.directivos, usuarios.
COBIT 4.0 busca enlazar los objetivos COBIT 4.0 busca enlazar los objetivos empresariales con los objetivos y los empresariales con los objetivos y los procesos TI. En la práctica esto se logra procesos TI. En la práctica esto se logra identificando los :identificando los :
1). Requerimientos del negocio para la 1). Requerimientos del negocio para la información y los información y los
2) Recursos de TI que son impactados 2) Recursos de TI que son impactados en forma primaria por cada objetivo de en forma primaria por cada objetivo de control, asociado a cada …control, asociado a cada …
3) Proceso TI3) Proceso TI
Requerimientos de negocio para la información:Requerimientos de negocio para la información: Efectividad Efectividad Eficiencia Eficiencia Confidencialidad Confidencialidad Integridad Integridad Disponibilidad Disponibilidad Cumplimiento Cumplimiento ConfiabilidadConfiabilidad Recursos TI:Recursos TI: Datos Datos Aplicaciones Aplicaciones Tecnología Tecnología Instalaciones Instalaciones PersonalPersonalProcesos de TIProcesos de TI DominiosDominios en línea con el ciclo administrativo o ciclo de vida aplicable a los en línea con el ciclo administrativo o ciclo de vida aplicable a los
procesos de TI: procesos de TI: Planeación y organización Planeación y organización Adquisición e implementación Adquisición e implementación Entrega y soporte Entrega y soporte MonitoreoMonitoreo
Para cada medida de control se lleva a cabo Para cada medida de control se lleva a cabo una clasificación dentro del marco referencial una clasificación dentro del marco referencial COBIT: COBIT:
PrimarioPrimario: es el grado al cual el objetivo de : es el grado al cual el objetivo de control definido impacta directamente el control definido impacta directamente el requerimiento de información de interés. requerimiento de información de interés.
SecundarioSecundario: es el grado al cual el objetivo de : es el grado al cual el objetivo de control definido satisface únicamente de forma control definido satisface únicamente de forma indirecta o en menor medida el requerimiento indirecta o en menor medida el requerimiento de información de interés. de información de interés.
Blanco (vacío)Blanco (vacío): podría aplicarse; sin embargo, : podría aplicarse; sin embargo, los requerimientos son satisfechos más los requerimientos son satisfechos más apropiadamente por otro criterio en este apropiadamente por otro criterio en este proceso.proceso.
La misión COBIT es "La misión COBIT es " investigar, investigar, desarrollar, hacer público y promover desarrollar, hacer público y promover un juego autoritario, actualizado, un juego autoritario, actualizado, internacional de objetivos de control de internacional de objetivos de control de tecnología de información tecnología de información generalmente aceptados para el generalmente aceptados para el empleo cotidiano por directores empleo cotidiano por directores comerciales e interventores.comerciales e interventores. " "
COMO SE APLICA O COMO SE USACOMO SE APLICA O COMO SE USA Organizaciones acertadas entienden las ventajas de tecnología de Organizaciones acertadas entienden las ventajas de tecnología de
información (TI) y usan este conocimiento para conducir el valor de información (TI) y usan este conocimiento para conducir el valor de sus accionistas. sus accionistas.
El acercamiento a la utilización COBIT El acercamiento a la utilización COBIT
Maneja riesgos relacionados de negocioManeja riesgos relacionados de negocio El empleo sobre objetivos de negocio en el Marco COBIT: El empleo sobre objetivos de negocio en el Marco COBIT: Selecciona, procesa y controla TI apropiadas para la organizaciónSelecciona, procesa y controla TI apropiadas para la organización Evalúan procedimientos y los resultados con Directrices de Evalúan procedimientos y los resultados con Directrices de
Revisión de cuentas de COBIT Revisión de cuentas de COBIT Evalúan el estado de la organización, identifican factores de éxito Evalúan el estado de la organización, identifican factores de éxito
críticos, miden el funcionamiento con las Directrices de Dirección críticos, miden el funcionamiento con las Directrices de Dirección
COBIT Para desarrollar un juego sano de procesos:COBIT Para desarrollar un juego sano de procesos: Escoge los Objetivos de Control que caben los objetivos de negocio Escoge los Objetivos de Control que caben los objetivos de negocio Identifican los modelos de industria que proporcionan la dirección Identifican los modelos de industria que proporcionan la dirección
para apoyar procesos .para apoyar procesos .
COBIT cubre cuatro dominios:COBIT cubre cuatro dominios: La Planificación y el dominio de Organización cubren el empleo de la La Planificación y el dominio de Organización cubren el empleo de la
tecnología y como esto puede ser usado de una mejor manera en una tecnología y como esto puede ser usado de una mejor manera en una empresa para ayudar alcanzar los objetivos de la empresa. Esto también empresa para ayudar alcanzar los objetivos de la empresa. Esto también destaca la forma de organización e infraestructural TI debe tomar para destaca la forma de organización e infraestructural TI debe tomar para alcanzar los resultados óptimos y generar la mayor parte de ventajas del alcanzar los resultados óptimos y generar la mayor parte de ventajas del empleo de TI. empleo de TI.
A continuación se cataloga los objetivos de control nivel altos para el A continuación se cataloga los objetivos de control nivel altos para el dominio de Organización y la Planificación.dominio de Organización y la Planificación.
OBJETIVOS DE CONTROL NIVEL ALTOSOBJETIVOS DE CONTROL NIVEL ALTOSPlanificación y OrganizaciónPlanificación y Organización
PO1 Definen un Plan de TI Estratégico PO1 Definen un Plan de TI Estratégico PO2 Definen la Información Arquitectura PO2 Definen la Información Arquitectura PO3 Determinan Dirección Tecnológica PO3 Determinan Dirección Tecnológica PO4 Definen los Procesos de TI, Organización y Relaciones PO4 Definen los Procesos de TI, Organización y Relaciones PO5 Manejan la Inversión TI PO5 Manejan la Inversión TI PO6 Comunican Objetivos de Dirección y Dirección PO6 Comunican Objetivos de Dirección y Dirección PO7 Manejan Recursos TI Humanos PO7 Manejan Recursos TI Humanos PO8 Manejan Calidad PO8 Manejan Calidad PO9 Evalúan y Manejan Riesgos de TI PO9 Evalúan y Manejan Riesgos de TI PO10 Manejan Proyectos PO10 Manejan Proyectos
Adquiera e Instrumente Adquiera e Instrumente Identificación de sus exigencias TI, adquiriendo la tecnología, y Identificación de sus exigencias TI, adquiriendo la tecnología, y
poniéndolo en práctica dentro de los procesos de negocio. Este poniéndolo en práctica dentro de los procesos de negocio. Este dominio también dirige el desarrollo de un plan de dominio también dirige el desarrollo de un plan de mantenimiento que una empresa debería adoptar para mantenimiento que una empresa debería adoptar para prolongar la vida de un sistema TI y sus componentes. prolongar la vida de un sistema TI y sus componentes.
A continuación se cataloga los objetivos de control nivel altos A continuación se cataloga los objetivos de control nivel altos para el dominio de Puesta en práctica y la Adquisición.para el dominio de Puesta en práctica y la Adquisición.
OBJETIVOS DE CONTROL NIVEL ALTOSOBJETIVOS DE CONTROL NIVEL ALTOSAdquiera e InstrumenteAdquiera e Instrumente
AI1 Identifican Soluciones Automatizadas AI1 Identifican Soluciones Automatizadas AI2 Adquieren y Mantienen Software De aplicación AI2 Adquieren y Mantienen Software De aplicación AI3 Adquieren y Mantienen Infraestructura de Tecnología AI3 Adquieren y Mantienen Infraestructura de Tecnología AI4 Permiten Operación y Usan AI5 Procuran Recursos TI AI4 Permiten Operación y Usan AI5 Procuran Recursos TI AI6 Manejan Cambios AI6 Manejan Cambios AI7 Instalan y Acreditan Soluciones y Cambios AI7 Instalan y Acreditan Soluciones y Cambios
Entrega y Apoyo Entrega y Apoyo La Entrega y el dominio de Apoyo se enfocan en los aspectos de entrega de La Entrega y el dominio de Apoyo se enfocan en los aspectos de entrega de
la tecnología de información. Esto cubre áreas como la ejecución de los usos la tecnología de información. Esto cubre áreas como la ejecución de los usos dentro del sistema TI y sus resultados, así como, los procesos de apoyo que dentro del sistema TI y sus resultados, así como, los procesos de apoyo que permiten la ejecución eficaz y eficiente de estos sistemas TI). permiten la ejecución eficaz y eficiente de estos sistemas TI).
A continuación se cataloga los objetivos de control nivel altos para el dominio A continuación se cataloga los objetivos de control nivel altos para el dominio de Apoyo y la Entrega.de Apoyo y la Entrega.
OBJETIVOS DE CONTROL NIVEL ALTOSOBJETIVOS DE CONTROL NIVEL ALTOSEntrega y ApoyoEntrega y Apoyo
DS1 Definen y Manejan Niveles de Servicio DS1 Definen y Manejan Niveles de Servicio DS2 Manejan Servicios de Tercero DS2 Manejan Servicios de Tercero DS3 Manejan Funcionamiento y Capacidad DS3 Manejan Funcionamiento y Capacidad DS4 Aseguran Servicio Continuo DS4 Aseguran Servicio Continuo DS5 Aseguran Seguridad de Sistemas DS5 Aseguran Seguridad de Sistemas DS6 Identifican y Asignan Gastos DS6 Identifican y Asignan Gastos DS7 Educan y Entrenan a Usuarios DS7 Educan y Entrenan a Usuarios DS8 Manejan Escritorio de Servicio e Incidentes DS8 Manejan Escritorio de Servicio e Incidentes DS9 Manejan la Configuración DS9 Manejan la Configuración DS10 Manejan Problemas DS10 Manejan Problemas DS11 Manejan Datos DS11 Manejan Datos DS12 Manejan el Ambiente Físico DS12 Manejan el Ambiente Físico DS13 Manejan Operaciones DS13 Manejan Operaciones
Monitor y Evaluación Monitor y Evaluación La Supervisión y el dominio de Evaluación tratan con la estrategia de La Supervisión y el dominio de Evaluación tratan con la estrategia de
una empresa en la evaluación de las necesidades de la empresa y si una empresa en la evaluación de las necesidades de la empresa y si realmente la corriente TI.realmente la corriente TI.
Si el sistema todavía encuentra los objetivos para los cuales fue Si el sistema todavía encuentra los objetivos para los cuales fue diseñado y los mandos necesarios de cumplir con exigencias diseñado y los mandos necesarios de cumplir con exigencias reguladoras. La supervisión también cubre la cuestión de una reguladoras. La supervisión también cubre la cuestión de una evaluación independiente de la eficacia de sistema TI en su capacidad evaluación independiente de la eficacia de sistema TI en su capacidad de encontrar objetivos de negocio y los procesos de control de la de encontrar objetivos de negocio y los procesos de control de la empresa por interventores internos y externos. empresa por interventores internos y externos.
A continuación se cataloga los objetivos de control nivel altos para la A continuación se cataloga los objetivos de control nivel altos para la Supervisión del dominio.Supervisión del dominio.
OBJETIVOS DE CONTROL NIVEL ALTOSOBJETIVOS DE CONTROL NIVEL ALTOSMonitor y EvalúaMonitor y Evalúa
ME1 Supervisan y Evalúan Procesos de TI ME1 Supervisan y Evalúan Procesos de TI ME2 Supervisan y Evalúan Control Interno ME2 Supervisan y Evalúan Control Interno ME3 Aseguran Cumplimiento Regulador ME3 Aseguran Cumplimiento Regulador ME4 Proporcionan Gobernación TIME4 Proporcionan Gobernación TI