COBIT

EQUIPO 1

COBIT
Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas

COBIT, lanzado en 1996

IT Governance Institute e ISACA.

Concepto

Misin

Investigar, desarrollar, hacer pblico y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopcin por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento

A quienes ayuda?
La gerencia

Usuarios finales

Auditores

Responsables de TI

Contribuciones

Estableciendo un vnculo con los requerimientos del negocio

Organizando las actividades de TI en un modelo de procesos generalmente aceptado

Identificando los principales recursos de TI a ser utilizados

Definiendo los objetivos de control gerenciales a ser considerados

Caractersticas

Orientado al negocio

Basado en una revisin crtica y analtica de las tareas y actividades en TI

Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

Compendio de mejores prcticas aceptadas internacionalmente

Orientado al gerenciamiento de las tecnologas

Complementado con herramientas y capacitacin

Gratuito

Respaldado por una comunidad de expertos

En evolucin permanente

Mantenido por una organizacin sin fines de lucro, con reconocimiento internacional

Mapeado con otros estndares

Orientado a Procesos, sobre la base de Dominios de Responsabilidad

Beneficios a la organizacin
Mantener el riesgo relacionado con TI a niveles aceptables. Lograr una excelencia operativa mediante la aplicacin eficiente y fiable de la tecnologa. Optimizar el costo de la tecnologa y los servicios de TI

Mantener informacin de calidad para apoyar las decisiones del negocio.

Generar un valor comercial de las inversiones habilitadas por la Tecnologa de la Informacin (TI)

Evolucin
Governance of Enterprise IT

Evolution of scope

IT Governance Val IT 2.0 Management Control Risk IT

(2009) (2008)

Audit
COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996

1998

2000

2005/7

2012

De una herramienta de auditora a un marco de gobierno de las TI

Marcos referenciales de ISACA

Val IT es un marco de referencia de gobierno que incluye principios rectores generalmente aceptados y procesos de soporte relativos a la evaluacin y seleccin de inversiones de negocios de TI

Risk IT es un marco de referencia normativo basado en un conjunto de principios rectores para una gestin efectiva de riesgos de TI.

ITAF (IT Assurance Framework) un marco para el diseo, la ejecucin y reporte de auditorias de TI y de tareas de evaluacin de cumplimiento.

BMIS (Business Model for Information Security) una aproximacin holstica y orientada al negocio para la administracin de la seguridad informtica

COBIT 5
Toma como base el modelo relacional que utiliza BMIS (Business Model for Information Security), incorporando su visin integral y sus componentes a la nueva versin

Diferencias entre COBIT 4.1 y 5

9.- Modelos de Madurez de Capacidad de Procesos y Evaluaciones 1.- Nuevos principios de Gob. de TI 2.-Mayor foco en facilitadores

8.- Cuadros RACI

3.- Nuevo modelo de referencia de procesos

Cambios

7.-Entradas y Salidas

4.- Procesos nuevos y modificados

6.- Objetivos y Mtricas

5.- Practicas y actividades

MARCO Y ARQUITECTURA

Qu se debe medir y cmo?

Ayudan a asignar responsabilidades, medir el desempeo, llevar a cabo benchmarks y manejar brechas en la capacidad.

Se basa en un mtodo de evaluacin de la organizacin, de tal forma que se pueda evaluar a s misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5).

El fin es identificar dnde se encuentran los problemas y cmo fijar prioridades para las mejoras

rea de enfoque de Gobierno de TI

Alineacin Estratgica
Garantizar la alineacin entre los planes de negocio y TI.

Entrega de Valor

Ejecutar la propuesta de valor a lo largo del ciclo de entrega, asegurando que TI entregue los beneficios prometidos en la estrategia.

Administracin de recursos

Inversin ptima as como la administracin adecuada de los recursos de TI.

Administracin de riesgos

Requiere conciencia de los riesgos por parte de los ejecutivos de la empresa.

Medicin del desempeo

Rastrea y monitorea la estrategia de la implementacin , terminacin.

COBIT como producto

Los productos COBIT se han organizado en tres niveles diseados para dar soporte a:
Administracin y consejos ejecutivos Administracin del negocio y de TI

Profesionales en Gobierno, aseguramiento, control y seguridad.

Productos COBIT
El resumen informativo
Directrices Gerenciales / Modelos de madurez

Ayuda a los ejecutivos a entender porqu el gobierno de TI es importante, cules son sus intereses y sus responsabilidades para administrarlo. Ayudan a asignar responsabilidades, medir el desempeo, llevar a cabo benchmarks y manejar brechas en la capacidad. Explica cmo COBIT organiza los objetivos de gobierno y las mejores prcticas de TI con base en dominios y procesos de TI, y los alinea a los requerimientos del negocio. Brindan objetivos a la direccin basados en las mejores prcticas genricas para todas los procesos de TI Proporciona un mapa de ruta para implementar gobierno TI utilizando los recursos COBIT y Val TI Proporciona una gua de por qu vale la pena implementar controles y cmo implementarlos. Proporciona una gua de cmo COBIT puede utilizarse para soportar una variedad de actividades de aseguramiento junto con los pasos de prueba sugeridos para todos los procesos de TI y objetivos de control.

Marco de Referencia Objetivos de control

Gua de Implementacin de Gobierno de TI

Prcticas de Control de COBIT

Gua de Aseguramiento de TI: Usando COBIT

PRINCIPIOS COBIT

Criterios del negocio

CALIDAD
Calidad Costo Entrega del Servicio Efectividad y eficiencia de operaciones Confiabilidad de la informacin Cumplimiento de las leyes y regulaciones Confidencialidad Integridad disponibilidad

FIDUCIARIOS (COSO)

SEGURIDAD

Efectividad

Eficiencia
Disponibilidad

Confiabilidad

Criterios de la informacin del negocio

Confidenciali dad

Cumplimi ento

Integridad

Recursos de TI

Datos

Aplicaciones

Tecnologa

Instalaciones

Recurso Humano

Procesos de TI

DOMINIOS COBIT

Dominios
Planeacin y Organizacin

Monitoreo

Adquisicin e Implementaci n

Entrega y Soporte

Planear y organizar
P01. Definir un plan estratgico de TI (6)
P02. Definir la arquitectura de informacin (4) P03. Determinar la direccin de tecnologa (5) P04. Definir los Procesos, Organizacin y Relaciones de TI (15) P05. Administrar la Inversin en TI (5) P06. Comunicar las Aspiraciones y la Direccin de la Gerencia (5) P07. Administrar los Recursos Humanos de TI (8)

P08. Administrar la Calidad (6)

P09. Evaluar y Administrar los riesgos de TI (6) P10. Administrar Proyectos (14)

Adquirir e implementar
AI1. Identificar soluciones automatizadas (4) AI2. Adquirir y Mantener Software Aplicativo (4) AI3. Adquirir y Mantener Infraestructura Tecnolgica (4) AI4. Facilitar la Operacin y el Uso (4) AI5. Adquirir Recursos de TI (4) AI6. Administrar Cambios (5)

AI7. Instalar y Acreditar Soluciones y Cambios (5)

Entregar y dar soporte

DS1 Definir y administrar los niveles de servicio (6) DS5 Garantizar la seguridad de los sistemas (11)
DS2 Administrar los servicios de terceros (4) DS3 Administrar el desempeo y la capacidad (5) DS4 Garantizar la continuidad del servicio (10) DS8 Administrar la mesa de servicio y los incidentes (5) DS12 Administrar el ambiente fsico (5)

DS6 Identificar y asignar costos (4)

DS7 Educar y entrenar a los usuarios (3)

DS9 Administrar la configuracin (5)

DS10 Administrar los problemas (4)

DS11 Administrar los datos (6)

DS13 Administrar las operaciones (5)

Monitorear y evaluar
ME1 Monitorear y Evaluar el Desempeo de TI (6)

ME4 Proporcionar Gobierno de TI (7)

ME2 Monitorear y Evaluar el Control Interno (7)

ME3 Garantizar el Cumplimiento Regulatorio (5)

Impulsado por la medicin

Las empresas deben medir dnde se encuentran y dnde se requieren mejoras, e implementar un juego de herramientas gerenciales para monitorear esta mejora. COBIT atiende estos temas a travs de:
Modelos de madurez Metas y mediciones de desempeo Metas de actividades
Facilitan la evaluacin por medio de benchmarking y la identificacin de las mejoras necesarias en la capacidad

Demuestran cmo los procesos satisfacen las necesidades del negocio y de TI, y cmo se usan para medir el desempeo de los procesos internos basados en los principios de un marcador de puntuacin balanceado (balanced scorecard) .

Para facilitar el desempeo efectivo de los procesos

Modelo de Madurez
El desempeo real de la empresaDnde se encuentra la empresa hoy El estatus actual de la industriaLa comparacin El objetivo de mejora de la empresaDnde desea estar la empresa El crecimiento requerido entre como es y como ser

Medicin del desempeo

Las metas y mtricas de TI Metas y mtricas de procesos Mtricas de desempeo de los procesos
Definen lo que el negocio espera de TI (lo que el negocio usara para medir a TI)

Definen lo que el proceso de TI debe generar para dar soporte a los objetivos de TI (cmo sera medido el dueo del proceso de TI)

Miden qu tan bien se desempea el proceso para indicar si es probable alcanzar las metas.