COBIT 4.

1
PORQUE NACE COBIT? Un elemento crtico para el xito y la supervivencia de las organizaciones es la administracin efectiva de la informacin y la tecnologa de la informacin (TI) relacionada. Ello a implicado una creciente dependencia en la informacin y en los sistemas que proporcionan o soportan dicha informacin, una creciente vulnerabilidad y un amplio espectro de amenazas; altos costos de inversiones en TI; y el considerable impacto que estas TI producen en las organizaciones creando adems nuevas prcticas de negocios (WcS ERP BRP). Es por eso que para muchas organizaciones, la informacin y la tecnologa que la soporta, representa los activos ms valiosos de la empresa.

EVOLUCION DE COBIT

OBIT 1.0 (1996) - Objetivo de control

COBIT 3.0 (2001) - Guias de Adm. Jul, 02 - Sox May, 07 - V4.1

COBIT 2.0 (1998) - Herramienta Impl

Nov - Enron

Dic, 05 - V4

DEFINICIN Es un modelo de referencia que permite a la Audiencia (administradores, usuarios, auditores) reducir los espacios existentes entre los riesgos(rba) de negocio, las necesidades de control y los aspectos tecnolgicos inherentes con el fin de lograr una adecuada gobernabilidad de los recursos de tecnologas de informacin (COSO & COBIT). En efecto Cobit apoya la gobernabilidad de los recursos de TI; mediante la comprensin y la administracin de los riesgos asociados a la tecnologa de la informacin a travs de un marco referencial de dominios, procesos y tareas estructuradas en forma simple y lgica

CoBIT ha sido desarrollado como un estndar generalmente aplicable y aceptado para las buenas prcticas de seguridad y control en Tecnologas de laInformacin. Se fundamenta en los "Objetivos de Control existentes de laInformationSystemsAudit and Control Foundation (ISACF)", mejorados a partir de estndares internacionales tcnicos, profesionales, regulatorios y especficos para la industria, tanto existentes como en surgimiento. Una herramienta de soporte que permite harmonizar los requisitos de control, las cuestiones tcnicas y los riesgos empresariales. CobiT posibilita el desarrollo de polticas claras y la implantacin de Mejores Prcticas en el mbito del control dentro de una organizacin. CobiT proporciona un marco que permite asegurar la alineacin de las TI con el negocio de manera que las TI faciliten el desarrollo del mismo y maximicen la generacin de beneficios, que los recursos TI son utilizados de manera responsable y que los riesgos derivados son gestionados apropiadamente. DEFINICIONES PREVIAS Control: se define como las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que los eventos no deseables sern prevenidos o detectados y corregidos. Objetivo de control de T.I.: Propsitos que se desea alcanzar implementando procedimientos de control en una actividad de T.I. particular. Requerimientos de Calidad: (calidad-costo- entrega de servicio) Este concepto no se refiere tanslo a la confiabilidad, no fallas, aspectos subjetivos, o funcionamiento continuo etc; sino msbien se refiere a la prioridad que deber asignarse al manejo de los riesgos al compararlos con lasoportunidades. Es decir bajo un criterio de efectividad. Requerimientos Fiduciarios (Mandatarios, Obligatorios): Efectividad & Eficiencia de Operaciones, Confiabilidad de la Informacin, Cumplimiento de las Leyes & Regulaciones.(concepto basado del modelo COSO- informacin no slo financiera) Requerimientos de Seguridad de la Informacin: Confidencialidad, Integridad, Disponibilidad. QUES ES? COBIT ha sido desarrollado como standares generalmente aplicables y aceptadospara mejorar las prcticas de control y seguridad de las Tecnologas deInformacin (TI) que provean un marco de referencia para la Administracin,Usuarios y Auditores. Bsicamente consta de 4 libros, a saber: 1. Resumen Ejecutivo consiste de una Visin Ejecutiva, la cual provee a laAdministracin un entendimiento de los principios y conceptos claves de COBITy el marco que provee a la Administracin con ms detalle y entendimiento deCOBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 entotal. 2. Marco de Referencia El marco describe en detalle los 34 Objetivos deCOntrol de TI a un nivel macro, e identifica los requerimientos del negocio parala informacin e impactos preliminares de recursos de TI

Pgina 2

para cada objetivo decontrol. Los objetivos de control contiene declaraciones de los resultadosdeseados o propsitos a ser alcanzados para la Implementacin de 302 objetivosde control especficos a travs de los 34 Procesos de TI. Guas de Auditora Las Guas de Auditora, las cuales contienen pasos deauditora sugeridos correspondientes a cada uno de los 34 Objetivos de Controlmacro para asistir a los auditores de sistemas de informacin en revisar losprocesos de TI junto a los 302 detalles de objetivos de control para proveerseguridad a la administracin y/o aconsejar sus mejoras. 4. Herramientas de Implementacin Una Herramienta de Implementacin, lacual contiene el Conocimiento de la Administracin y Diagnstico de Control deTI, una Gua de Implementacin, FAQ, casos de estudio de organizacionesactualmente usando Cobit, y presentaciones que pueden ser usadas para introducirCOBIT dentro de la organizacin. Esta nueva herramienta es diseada parafacilitar la Implementacin de COBIT, relacionar sesiones aprendidas desdeorganizaciones que rpidamente y exitosamente aplicaron COBIT en susambientes de trabajo. OBJETIVOS Estndares generalmente aplicados y aceptados para las buenas practicas de control en TI Para sistemas de informacin de la organizacin Fundamentado en una estructura

PRINCIPIOS DE COBIT

Pgina 3

CUBO DE COBIT 4.1

En detalle, el marco de trabajo general C OBIT se muestra grficamente en la figura , con el modelo de procesos de COBIT compuesto de cuatro dominios que contienen 34 procesos genricos, administrando los recursos de TI para proporcionar informacin al negocio de acuerdo con los requerimientos del negocio y de gobierno.

MODELO DE MADUREZ

0 No existe

1 Inicial

2 Receptible

3 Definido

4 Administrativo

5 Optimizado

LEYENDA PARA SIMBOLOS USADOS ESTADO ACTUAL DE LA EMPRESA PROMEDIO DE LA INDUSTRIA OBJETIVO DE LA EMPRESA

LEYENDA PARA LA CALIFICACION USADA 0.- no se aplican procesos administrativos en lo absoluto 1.- los procesos son ad- hoc y desorganizados 2.- los procesos siguen un patrn regular 3.- los procesos se documentan y se comunican 4.- los procesos se monitorean y se miden 5.- las buenas prcticas se siguen y se automatizan

Pgina 4

MODELO BASICO DE NEGOCIO: TI

PROCESOS Y TI

Pgina 5

DOMINIOS PROCESOS

Resume cmo los distintos elementos del marco de trabajo de COBIT se relacionan con las reas de enfoque del gobierno de TI.

CICLO DE INFORMACION

PROCESOS DE NEGOCIOS

REQUERIMIENTOS - Efectividad informacion - Eficiencia - Confidencialidad - Disponibilidad - Cumplimiento - Confiabilidad

RECURSOS TI

Datos Aplicaciones Tecnologas Instalaciones Personas

Pgina 6

NAVEGACION EN COBIT Dentro de cada proceso TI, se proporcionan objetivos de control como declaraciones de acciones es genricas de la gestin mnima de buenas prcticas para asegurar que el proceso se mantiene bajo control.

El marco de trabajo de COBIT est compuesto de los siguientes componentes esenciales, incluidos en el resto de esta publicacin y organizados en los 34 procesos de TI, brindando as una visin completa de cmo controlar, administrar y medir cada proceso. Cada proceso est cubierto en cuatro secciones, y

Cada seccin constituye aproximadamente una pgina, de la manera siguiente:

- LA SECCIN 1 contiene una descripcin del proceso que resume los objetivos del proceso, con el
objetivo de control de alto nivel representado en formada de cascada. Esta pgina tambin muestra el mapeo de este proceso con los criterios de informacin, con los recursos de TI y con las reas de enfoque de gobierno de TI, indicando con una P la relacin primaria y con una S la secundaria.

- LA SECCIN 2 contiene los objetivos de control detallados para este proceso. - LA SECCIN 3 contiene las entradas y salidas del proceso, la matriz RACI, las metas y las mtricas. - LA SECCIN 4 contiene el modelo de madurez para el proceso. NIVELES DE COBIT

Pgina 7

Hay en esencia tres niveles, en donde debemos poner nuestros esfuerzos cuando consideramos el manejo de los recursos T.I.

PROCESO GLOBAL DE AUDITORIA Un proceso T.I. es auditado, para:

Obtener una comprensin de los requerimientos de negocios relativo a los riesgos e identificar las medidas de control

Evaluar lo apropiado de los controles identificados Asegurar el cumplimiento al chequear si los controles identificados trabajan prescribiendo, consistentemente y continuamente en el tiempo

Substantivar el riesgo de los objetivos de control no logrados (asignar valor al riesgo)

EJES CENTRALES DEL COBIT

Requerimientos de Negociosobre la Informacin Efectividad Eficiencia Confiabilidad Confidencialidad Integridad Disponibilidad Cumplimiento

RECURSOS TECNOLGICOS Datos Sistemas y Aplicaciones Tecnologa Instalaciones Personas

Pgina 8

PLANEAR Y ORGANIZAR UN TI

DEFINIR UN PLAN ESTRATGICO DE TI. La planeacin estratgica de TI es necesaria para gestionar y dirigir todos los recursos de TI en lnea con la estrategia y prioridades del negocio. La funcin de TI y los interesados del negocio son responsables de asegurar que el valor ptimo se consigue desde los proyectos y el portafolio de servicios. El plan estratgico mejora la comprensin de los interesados clave de las oportunidades y limitaciones de TI, evala el desempeo actual, identifica la capacidad y los requerimientos de recursos humanos, y clarifica el nivel de investigacin requerido. La estrategia de negocio y prioridades se reflejarn en portafolios y se ejecutarn por los planes estratgicos de TI, que especifican objetivos concisos, planes de accin y tareas que estn comprendidas y aceptadas tanto por el negocio como por TI.

Que satisface el requerimiento del negocio de TI para Sostener o extender los requerimientos de gobierno y de la estrategia del negocio, al mismo tiempo que se mantiene la transparencia sobre los beneficios, costos y riesgos Enfocndose en La incorporacin de TI y de la gerencia del negocio en la traduccin de los requerimientos del negocio a ofertas de servicio, y el desarrollo de estrategias para entregar estos servicios de una forma transparente y rentable Se logra con El compromiso con la alta gerencia y con la gerencia del negocio para alinear la planeacin estratgica de TI con las necesidades del negocio actuales y futuras El entendimiento de las capacidades actuales de TI La aplicacin de un esquema de prioridades para los objetivos del negocio que cuantifique los requerimientos del negocio Y se mide con El porcentaje de objetivos de TI en el plan estratgico de TI, que dan soporte al plan estratgico del negocio El porcentaje de proyectos TI en el portafolio de proyectos que se pueden rastrear hacia el plan tctico de TI

Pgina 9

El retraso entre las actualizaciones del plan estratgico de TI y las actualizaciones de los planes tcticos de TI

DIRECTRICES GERENCIALES DEFINIR UN PLAN ESTRATEGICO TI

MATRIZ RACI

Pgina 10

COBIT 4.1 WEBGRAFIA: - http://www.slideshare.net/mausinho/resumen-de-cobit-41trabajo-de-grupo-8994946 - http://www.slideshare.net/carloschavezmonzon/cobit-41-castellano - http://www.sisteseg.com/files/Microsoft_PowerPoint_-_COBIT_4.1.pdf - http://www.isaca.org/Knowledge-Center/Research/Documents/Alineando-Cobit-4.1,-ITIL-v3-yISO-27002-en-beneficio-de-la-empresa-v2,7.pdf - http://www.chullohack.com/2009/07/31/cobit-4-1-en-espanol/

Pgina 11