Curso Gap Integrado

Programa:
Martes: Introducción, presentación aspectos de relevancia,
Presentación estándares

Miércoles : Detalle materiales y definición ejercicios

Jueves : Trabajo de equipos

Viernes: Presentación caso

CobiT

Oscar Bize
CISM - CISA

Control Assurance Training Week - Learning & Growth 2005

CobiT: Un Marco de Trabajo de Control y Gobierno TI

Usuarios de un Marco de Trabajo TI

• Directorio y ejecutivos
– Asegurarse de la gestión, seguimiento e implementación de las
estrategias
– Direccionamiento de TI
• Gerencia
– Decisiones en las inversiones TI
– Balance en inversiones de riesgo y control
– Comparativos del ambiente actual y futuro de TI
• Usuarios
– Obtener seguridad y control de productos y servicios que
adquieran interna o externamente
• Auditores
– Opinar sobre la gestión de los controles internos para determinar
los controles mínimos necesarios

2
CobiT: Un Marco de Trabajo de Control y Gobierno TI

Visión General
IT necesita entregar información que
Objetivos de Control
requiere el negocio en orden a
Prácticas de Control
Métricas de obtener sus objetivos
rendimiento Orientado a Procesos - Planificar y
Factores críticos – Foco en la gestión Organizar
- Adquirir e
de éxito – Gestión de los recursos TI de soporte
Modelo de Madurez Implementar
- Entregar y dar
34 procesos agrupados en 4 dominios Soporte
- Monitoreo
Resumen ejecutivo Focalizado en las necesidades de
Marco de Trabajo finanzas, calidad y seguridad de
Efectividad
Objetivos de Control las organizaciones
Guías de auditoría
Eficiencia
Guías de Gestión Disponibilidad
Puede ser alineado con los estándares TI
Herramientas de Integridad
más usados
Implementación Confidencialidad
Confiabilidad
314 objetivos de control detallados
Cumplimiento

Datos – Aplicaciones – Personas - Infraestructura

3
 4 dominios

34 procesos
Cubo COBIT

314 objetivos de control

Procesos TI

Ef
ec
t iv
DOMINIOS

id
PROCESOS

ACTIVIDADES ad
Ef
ic
ie
C nc
on ia
fid
en
In ci
te al
gr id
ad
id
Di ad
s po
n ib
C il i
um da
pl
im d
ie
Co n to
nf
Aplicaciones ia
b ili
da
R

Información d
e
Requerimiento del Negocio

cu
r

Infraestructura
sos

Personas
TI

4
Entendiendo COBIT

¿Qué se entiende por CobiT?

Control
objectives for
information and related
Technology

Objetivos de Control para la

Información y la Tecnología
relacionada
5
Entendiendo COBIT

COBIT Alcance & Objetivos

• Generalmente aplicado y aceptado como una buena práctica
internacional para controles de Tecnologías de Información

• Independiente de infraestructura tecnológica

• Focalizado en los requerimientos del negocio para la información

• Orientado a los dueños de procesos de negocios y gestión

– ITIL esta enfocado de similar manera

8
Estructura del Marco de
Trabajo
Estructura del Marco de Trabajo

Las Piezas de COBIT

• Resumen ejecutivo - Ejecutivos Senior (CEO, CIO)

• Marco de Trabajo – Gerencia Operacional (Directores de TI o
contralores y auditores de SI)
• Objetivos de control – Gerencia Media (Gerencia media de TI y
auditores senior de SI)
• Guías de auditoría - Gerencias de Línea (jefes de aplicaciones y
operaciones y auditores)
• Guías de administración – Gerencia Senior de operaciones,
Director de SI, Gerencia media de TI y auditores de SI
• Herramientas de Implementación -- Director de SI y Gerencia
media de TI o auditoría de SI

10
Estructura del Marco de Trabajo

El Principio COBIT

11
Estructura del Marco de Trabajo

El Principio COBIT

12
 Procesos TI
Cubo COBIT

Ef
ec
t iv
DOMINIOS
id

PROCESOS
ad

ACTIVIDADES
Ef
ic
ie
C nc
on ia
fid
en
In ci
te al
gr id
ad
id
Di ad
s po
n ib
C
Estructura del Marco de Trabajo

um il i
da
pl
im d
ie
Co n to
nf
Aplicaciones ia
b ili
da
R
Información d
e
Requerimiento del Negocio

cu
r

Infraestructura
sos

Personas
TI

13
Estructura del Marco de Trabajo

Criterios de la Información

Efectividad Integridad

Eficiencia
Requerimiento del Negocio

d
gr ida
Confidencialidad

da

ad
o
ad

ia

nt
ad
al

il i

lid
nc
id

ie
ci

ib
id

bi
iv

ie

im
en

on

ia
t

ic
ec

pl
fid

te

nf
sp
Ef

um
Ef

In

Co
on

Di

C
C

Infraestructura
Personas
Disponibilidad
DOMINIOS

Información
Aplicaciones
PROCESOS

Procesos TI
Cumplimiento
ACTIVIDADES
TI
s
so
Confiabilidad R
ec
ur

14
Estructura del Marco de Trabajo

Recursos TI

Datos
Requerimiento del Negocio

Aplicaciones

d
gr ida

da

ad
o
ad

ia

nt
ad
al

il i

lid
nc
id

ie
ci

ib
id

bi
iv

ie

im
en

on

ia
t

ic
ec

pl
fid

te

nf
sp
Ef

um
Ef

In

Co
on

Di

C
C
Tecnologías

Infraestructura
Personas
DOMINIOS

Información
Aplicaciones
PROCESOS

Dependencias Procesos TI

ACTIVIDADES

Personas so
s
TI

ur
ec
R

15
Estructura del Marco de Trabajo

Procesos COBIT CobiT está organizado en 4 dominios:

-Planificación y Organización (PO)

-Adquisición e Implementación (AI)
-Entrega y Soporte (DS)
-Monitoreo y Evaluar (ME)
Cada dominio tiene una lista de procesos:

PO1 Definir el plan estratégico de TI.

PO2 Definir la arquitectura de la
información
PO3 Determinar la dirección tecnológica.
...

Cada proceso tiene un grupo de

actividades de control, por ejemplo:

PO1.1 Administración del valor de TI

Trabajar con el negocio para garantizar

que el portafolio de inversiones de TI de
la empresa contenga programas con
casos de negocio sólidos. Reconocer que
existen inversiones …

16
zz zz

17
El Poder de CobiT
Un Marco de Gobierno TI

18
El poder de CobiT

19
Modelo de Madurez

23
24
El Poder de CobiT

Interrelaciones

25
Integración con otros modelos
El Poder de CobiT

Interrelaciones

27
Integración con otros estándares

CobiT & SOX

28
CobiT & ROP

29
CobiT & ROP

30
CobiT & ROP

31
CobiT & ROP

32
Integración con otros estándares

Objetivos Componentes
CobiT COSO
• CobiT provee un marco de trabajo
de 34 procesos TI y 318 actividades
COSO Component

Communication
Information &
Environment

Assessment
de control

Monitoring
Activities
Control

Control
Risk
CobiT Control Objectives

Planning & Organization

Define a strategic IT plan   
Define the information architecture

• El marco de trabajo para CobiT SOA

 
Determine technological direction
Define the IT organization and relationships  

identifica un subset de áreas

Manage the IT investment
Communicate management aims and direction   
Manage human resources  

focalizadas en los requerimientos Ensure compliance with external requirements

Assess risks 
 

de SOA :
Manage projects
Manage quality    
Acquisition & Implementation

– 27 Procesos TI
Identify automated solutions
Acquire and maintain application software 
Acquire and maintain technology infrastructure 
Develop and maintain procedures

– 134 Objetivos de control

 
Install and accredit systems 
Manage changes  
Delivery & Support
Define and manage service levels   
Manage third-party services    
Manage performance and capacity 

• Algunos procesos y actividades

Ensure continuous service  
Ensure systems security   

CobiT IT no son aplicables del todo

Identify and allocate costs
Educate and train users  
Assist and advise customers
Manage the configuration  
Manage problems and incidents   
Manage data  
Manage facilities 
Manage operations  
Monitoring
Monitor the processes  
Assess internal control adequacy 
Obtain independent assurance  
Provide for independent audit

33
Integración con otros modelos

CobiT,ITIL & Cumplimiento

• Implementation of internal control

Certification
• Ongoing assessment & testing
• Positive evidence of control
• Accountability

ITIL Value Added CobiT

IT Internal Control
• A best practice for IT Compliance • Commonly accepted control
service delivery framework
• Process oriented • Objectives, practices,
• Publicly available measures

• Designed to gather, use • Maturity assessment

and maintain information • Publicly available &
maintained
34
Integración con otros modelos

35
Integración con otros modelos

36
Integración con otros Modelos

Alineamiento
Nombre del
Nombre del Libro de
Proceso de Referencia ITIL
Proceso referencia ITIL
Control CobiT
Assist and advise DS 8.1 Help Desk ITIL Service ITIL Service
customers Desk/Incident Support
Management

Assist and advise DS 8.2 Registration of Incident ITIL Service

customers Customer Queries Management Support

Assist and advise DS 8.3 Customer Query Incident ITIL Service

customers Escalation Management Support

Assist and advise DS 8.4 Monitoring of Incident ITIL Service

customers Clearance Management Support

Manage problems DS 10.1 Problem Incident ITIL Service

and incidents Management Management Support
System

Manage problems DS 10.2 Problem Incident ITIL Service

and incidents Escalation Management Support

37
Integración con otros modelos

ITIL & CobiT

AI 5.1,
5.3, 5.4,
5.5, 5.8,
5.9, 5.10,
5.12, 5.14
DS 8.1,8.2,
8.3, 8.4

DS 10.1,
AI 6.7, 6.8
10.2

DS 9.1 to
9.8

38
Preguntas?