jenny alexandra marin luis carlos avila javier murcia juan carlos lopera camilo andrés forero
TRANSCRIPT
Jenny Alexandra MarinLuis Carlos AvilaJavier MurciaJuan Carlos LoperaCamilo Andrés Forero
Page 2
AGENDA
• Introducción.• Enfocado al negocio.• Orientado a procesos.• Basado en el Control.• Orientado a la medición.• Bibliografía.• Preguntas.
Page 3
C Control OB Objectives I for Information T Systems and related Technology
Objetivos de Control para Tecnología de Información y Tecnologías relacionadas.
COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.
COBIT
Page 4
“Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento”.
MISIÓN DE COBIT
Page 5
USUARIOS DE COBIT
Gerencia
Auditores
Responsables de TI
Usuario Final
Page 6
AGENDA
• Introducción.• Enfocado al negocio.• Orientado a procesos.• Basado en el Control.• Orientado a la medición.• Bibliografía.• Preguntas.
Page 7
PRINCIPIO BÁSICO DE COBIT
Requerimientos negocio
Recursos de TI
Procesos TI
Información Empresa Cobit
Dirige Inversión
Es utilizado porEntrega
Responde a
Page 8
¿COMO SATISFACER LOS REQUERIMIENTOS DEL NEGOCIO?
Validar Información entregada a los procesos sea útil. La información debe ser:
• Efectiva: Relevante – Pertinente.• Eficiente: Optimo uso de recursos.• Confidencial: Protección.• Integral: Precisión – Completa.• Disponibilidad: Cuando se requiere.• Cumplimiento: Leyes – Políticas internas.• Confiabilidad: Toma Decisiones
Page 9
¿COMO SATISFACER LOS REQUERIMIENTOS DEL NEGOCIO?
Page 10
INTEGRANDO TI CON EL NEGOCIO
Meta Negocio 1 para TI
Meta Negocio 2 para TI
Meta Negocio 3 para TI
Meta Negocio 4 para TI
Me
ta 1
de
TI
Me
ta 2
de
TI
Me
ta 3
de
TI Información Valida
para el negocio. (Cumplir con los
criterios de la información)
Para cumplir las metas se definen procesos.
Page 11
RESPONDIENDO A LOS REQUERIMIENTOS DE NEGOCIO.La empresa debe invertir en Recursos de TI
Page 12
AGENDA
• Introducción.• Enfocado al negocio.• Orientado a procesos.• Basado en el Control.• Orientado a la medición.• Bibliografía.• Preguntas.
Page 13
Cobit define las actividades de TI en 4 dominios y 34 procesos
ORIENTADO EN PROCESOS
• Los procesos dicen QUEhay que hacer, pero no dicen COMO
• Los dominios mapeanlas actividades comunes de TI: planear, construir , ejecutar y monitorear
• Los procesos tienen objetivos de control
Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.
Page 14
Planear y organizar (PO)
• Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS).
Adquirir e implementar (AI)
• Proporciona las soluciones y luego las entrega para convertirlas en servicios..
Entregar y dar soporte (DS)
• Recibe las soluciones y las hace utilizables por los usuarios finales.
Monitorear y evaluar (ME)
• Monitorear todos los procesos para asegurar que se sigue la dirección provista.
Page 15
Navegación de los procesos
Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.
Page 16
AGENDA
• Introducción.• Enfocado al negocio.• Orientado a procesos.• Basado en el Control.• Orientado a la medición.• Bibliografía.• Preguntas.
Page 17
- Objetivos de control para los 34 procesos de gerencia de TI.
- Aumentar valor y disminuir riesgo.
- Nivel de certeza para el cumplimiento de objetivos de negocio.
- Objetivos de control de Negocio
- Objetivos de control para aplicación y el proceso general de COBIT.
- Desarrollo de sistemas
- Administración de cambios
- Seguridad
OBJETIVOS DE CONTROL DE COBIT
Page 18
CONTROL DE PROCESOS
Modelo Genérico de control Notación
Objetivos detallados
- PO<# proceso><# objetivo control>- AI <# proceso><# objetivo control>- DS <# proceso><# objetivo control>- ME <# proceso><# objetivo control>
Objetivos genéricos
- PC1 Metas y Objetivos del Proceso - PC2 Propiedad del Proceso - PC3 Proceso Repetible - PC4 Roles y Responsabilidades - PC5 Políticas, Planes y Procedimientos - PC6 Desempeño del Proceso
Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.
Page 19
- Control a nivel de gerencia ejecutiva.
- El ambiente de control de TI es guiado (limitado) por los objetivos de negocio, políticas y decisiones de alto nivel diseñadas para ejecutar la estrategia de la compañía.
- Control a nivel procesos de negocio.
- Control de actividades especificas del negocio de manera automatizada o manual
- Son responsabilidad de negocio en cuanto a definición y administración.
- Control a nivel de soporte a procesos de negocio.
- Dar confiabilidad a los procesos de control de aplicaciones.
- Controles a servicios generales que soportan la infraestructura de TI
CONTROL DE NEGOCIO
Page 20
Controles incluidos en las aplicaciones de los procesos del negocio.
- Integridad (Completitud) - Precisión - Validez - Autorización - Segregación de funciones
El control a nivel de aplicaciones es responsabilidad de: - Responsabilidades de la empresa
- Definir apropiadamente los requisitos funcionales y de control .
- Uso adecuadamente los servicios automatizados.
- Responsabilidades de TI - Automatizar e implementar los requisitos de las funciones de negocio y de control .
- Establecer controles para mantener la integridad de controles de aplicación.
CONTROL DE APLICACIONES
Page 21
FRONTERAS DE CONTROLES DE COBIT
Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.
Page 22
AGENDA
• Introducción.• Enfocado al negocio.• Orientado a procesos.• Basado en el Control.• Orientado a la medición.• Bibliografía.• Preguntas.
Page 23
Administración de la Información
¿Qué se debe medir y como?
Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.
Page 24
Administración de la Información
Como da respuesta a estas incógnitas:
• Benchmarking Modelos de madurez.• Metas y Métricas Balanced Score Card.• Metas de actividades Objetivos de Control.
La medición de despeño es esencial en los procesos de TI.
Figura tomada de COBIT 4.1
Page 25
Modelos de Madurez
• El modelo de madurez para la administración y el control de los procesos de TI se basa en un método de evaluación de la organización.
• Diferente evaluación que el CMM original del SEI. Esta requiere cumplir todas las condiciones del nivel anterior para poder pasar al siguiente nivel.
• Los modelos de madurez se utilizan para cada uno de los procesos.
Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.
Page 26
Modelos de Madurez
Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.
Page 27
Mediciones de Desempeño
Niveles
• Metas y métricas de TI que definen lo que el negocio espera de TI.• Metas y métricas de procesos que definen lo que el proceso de TI debe
generar para dar soporte a los objetivos de TI.• Métricas de desempeño de los procesos.Una meta de negocio determina varias metas de TI, una meta de TI ayuda a
definir diferentes metas de proceso, una meta de proceso establece metas de actividades.
Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.
Page 28
Medidas e Indicadores
Medidas de Resultado Estas se obtienen cuando se cumplen las metas.Indicadores de Desempeño Indica si es probable cumplir una meta.
La medidas de resultado de un nivel mas bajo se convierten en indicadores de despeño de un nivel mas alto.
Las metas y métricas son presentadas en cobit de la siguiente forma.
Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.
Page 29
Enlaces de interés
http://www.isaca.org/
Page 30
GRACIAS !!!