Jenny Alexandra MarinLuis Carlos AvilaJavier MurciaJuan Carlos LoperaCamilo Andrés Forero

Page 2

AGENDA

• Introducción.• Enfocado al negocio.• Orientado a procesos.• Basado en el Control.• Orientado a la medición.• Bibliografía.• Preguntas.

Page 3

C Control OB Objectives I for Information T Systems and related Technology

Objetivos de Control para Tecnología de Información y Tecnologías relacionadas.

COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.

COBIT

Page 4

“Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento”.

MISIÓN DE COBIT

Page 5

USUARIOS DE COBIT

Gerencia

Auditores

Responsables de TI

Usuario Final

Page 6

AGENDA

• Introducción.• Enfocado al negocio.• Orientado a procesos.• Basado en el Control.• Orientado a la medición.• Bibliografía.• Preguntas.

Page 7

PRINCIPIO BÁSICO DE COBIT

Requerimientos negocio

Recursos de TI

Procesos TI

Información Empresa Cobit

Dirige Inversión

Es utilizado porEntrega

Responde a

Page 8

¿COMO SATISFACER LOS REQUERIMIENTOS DEL NEGOCIO?

Validar Información entregada a los procesos sea útil. La información debe ser:

• Efectiva: Relevante – Pertinente.• Eficiente: Optimo uso de recursos.• Confidencial: Protección.• Integral: Precisión – Completa.• Disponibilidad: Cuando se requiere.• Cumplimiento: Leyes – Políticas internas.• Confiabilidad: Toma Decisiones

Page 9

¿COMO SATISFACER LOS REQUERIMIENTOS DEL NEGOCIO?

Page 10

INTEGRANDO TI CON EL NEGOCIO

Meta Negocio 1 para TI

Meta Negocio 2 para TI

Meta Negocio 3 para TI

Meta Negocio 4 para TI

Me

ta 1

de

TI

Me

ta 2

de

TI

Me

ta 3

de

TI Información Valida

para el negocio. (Cumplir con los

criterios de la información)

Para cumplir las metas se definen procesos.

Page 11

RESPONDIENDO A LOS REQUERIMIENTOS DE NEGOCIO.La empresa debe invertir en Recursos de TI

Page 12

AGENDA

• Introducción.• Enfocado al negocio.• Orientado a procesos.• Basado en el Control.• Orientado a la medición.• Bibliografía.• Preguntas.

Page 13

Cobit define las actividades de TI en 4 dominios y 34 procesos

ORIENTADO EN PROCESOS

• Los procesos dicen QUEhay que hacer, pero no dicen COMO

• Los dominios mapeanlas actividades comunes de TI: planear, construir , ejecutar y monitorear

• Los procesos tienen objetivos de control

Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

Page 14

Planear y organizar (PO)

• Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS).

Adquirir e implementar (AI)

• Proporciona las soluciones y luego las entrega para convertirlas en servicios..

Entregar y dar soporte (DS)

• Recibe las soluciones y las hace utilizables por los usuarios finales.

Monitorear y evaluar (ME)

• Monitorear todos los procesos para asegurar que se sigue la dirección provista.

Page 15

Navegación de los procesos

Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

Page 16

AGENDA

• Introducción.• Enfocado al negocio.• Orientado a procesos.• Basado en el Control.• Orientado a la medición.• Bibliografía.• Preguntas.

Page 17

- Objetivos de control para los 34 procesos de gerencia de TI.

- Aumentar valor y disminuir riesgo.

- Nivel de certeza para el cumplimiento de objetivos de negocio.

- Objetivos de control de Negocio

- Objetivos de control para aplicación y el proceso general de COBIT.

- Desarrollo de sistemas

- Administración de cambios

- Seguridad

OBJETIVOS DE CONTROL DE COBIT

Page 18

CONTROL DE PROCESOS

Modelo Genérico de control Notación

Objetivos detallados

- PO<# proceso><# objetivo control>- AI <# proceso><# objetivo control>- DS <# proceso><# objetivo control>- ME <# proceso><# objetivo control>

Objetivos genéricos

- PC1 Metas y Objetivos del Proceso - PC2 Propiedad del Proceso - PC3 Proceso Repetible - PC4 Roles y Responsabilidades - PC5 Políticas, Planes y Procedimientos - PC6 Desempeño del Proceso

Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

Page 19

- Control a nivel de gerencia ejecutiva.

- El ambiente de control de TI es guiado (limitado) por los objetivos de negocio, políticas y decisiones de alto nivel diseñadas para ejecutar la estrategia de la compañía.

- Control a nivel procesos de negocio.

- Control de actividades especificas del negocio de manera automatizada o manual

- Son responsabilidad de negocio en cuanto a definición y administración.

- Control a nivel de soporte a procesos de negocio.

- Dar confiabilidad a los procesos de control de aplicaciones.

- Controles a servicios generales que soportan la infraestructura de TI

CONTROL DE NEGOCIO

Page 20

Controles incluidos en las aplicaciones de los procesos del negocio.

- Integridad (Completitud) - Precisión - Validez - Autorización - Segregación de funciones

El control a nivel de aplicaciones es responsabilidad de: - Responsabilidades de la empresa

- Definir apropiadamente los requisitos funcionales y de control .

- Uso adecuadamente los servicios automatizados.

- Responsabilidades de TI - Automatizar e implementar los requisitos de las funciones de negocio y de control .

- Establecer controles para mantener la integridad de controles de aplicación.

CONTROL DE APLICACIONES

Page 21

FRONTERAS DE CONTROLES DE COBIT

Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

Page 22

AGENDA

• Introducción.• Enfocado al negocio.• Orientado a procesos.• Basado en el Control.• Orientado a la medición.• Bibliografía.• Preguntas.

Page 23

Administración de la Información

¿Qué se debe medir y como?

Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

Page 24

Administración de la Información

Como da respuesta a estas incógnitas:

• Benchmarking Modelos de madurez.• Metas y Métricas Balanced Score Card.• Metas de actividades Objetivos de Control.

La medición de despeño es esencial en los procesos de TI.

Figura tomada de COBIT 4.1

Page 25

Modelos de Madurez

• El modelo de madurez para la administración y el control de los procesos de TI se basa en un método de evaluación de la organización.

• Diferente evaluación que el CMM original del SEI. Esta requiere cumplir todas las condiciones del nivel anterior para poder pasar al siguiente nivel.

• Los modelos de madurez se utilizan para cada uno de los procesos.

Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

Page 26

Modelos de Madurez

Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

Page 27

Mediciones de Desempeño

Niveles

• Metas y métricas de TI que definen lo que el negocio espera de TI.• Metas y métricas de procesos que definen lo que el proceso de TI debe

generar para dar soporte a los objetivos de TI.• Métricas de desempeño de los procesos.Una meta de negocio determina varias metas de TI, una meta de TI ayuda a

definir diferentes metas de proceso, una meta de proceso establece metas de actividades.

Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

Page 28

Medidas e Indicadores

Medidas de Resultado Estas se obtienen cuando se cumplen las metas.Indicadores de Desempeño Indica si es probable cumplir una meta.

La medidas de resultado de un nivel mas bajo se convierten en indicadores de despeño de un nivel mas alto.

Las metas y métricas son presentadas en cobit de la siguiente forma.

Tomado de: COBIT4.1, © 2007 IT Governance Institute. All rights reserved.

Page 29

Enlaces de interés

http://www.isaca.org/

Page 30

GRACIAS !!!