Gobierno de Tecnologas de la Informacin

Ing. Miguel Chvez chavezhm@gmail.com

Introduccin a COBIT
Por qu TI necesita un marco de control de TI?
Quin necesita un marco de control de TI?

Cmo y por qu es utilizado COBIT?

COBIT esta orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la

administracin de riesgos asociados con tecnologa

de informacin y con tecnologas relacionadas.

Por qu TI necesita un marco de control?

Crecimiento en la complejidad de los ambientes de TI Infraestructuras fragmentadas de TI. Ausencia de comunicacin entre los gerentes de negocio y de TI. Frustracin del usuario ante la implementacin de soluciones empricas. Percepcin de costos de TI fuera de control.

Composicin
Conformado por 34 objetivos de control de alto nivel en sus cuatro dominios Cada objetivo de control est soportado por los Lineamientos de Auditoria Los Lineamientos de Auditoria en total contienen 318 objetivos de control recomendados Lineamientos Gerenciales, orientados implementacin de la metodologa a la

COBIT Cualidades Informacin

Objetivos y Beneficios
Proveer un marco nico reconocido a nivel mundial de las mejores prcticas de control y seguridad de TI. Consolidar y armonizar estndares originados y desarrollados en diferentes pases. Concientizar a la comunidad sobre importancia del control y la auditoria de TI. Enlazar los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crtico de xito Aplicar a todo tipo de organizaciones independiente de sus plataformas de TI. Reiterar sobre la importancia de la informacin, como uno de los recursos ms valiosos de toda organizacin exitosa.

Panorama de COBIT
Objetivos del Negocio

Gobierno de TI
Monitorear y Evaluar
1. Monitorear y evaluar rendimiento de TI 2. Monitorear y evaluar control interno 3. Asegurar cumplimiento con requerimientos externos 4. Proveer gobierno de TI

Planear y Organizar

CobiT
1. Definir un plan estratgico de TI 2. Definir la arquitectura de informacin 3. Determinar la direccin tecnolgica 4. Definir la organizacin y relaciones de TI 5. Manejo de la inversin en TI 6. Comunicacin de la directrices Gerenciales 7. Administracin del Recurso Humano 8. Administrar calidad 9. Evaluar y administrar Riesgos 10. Administracin de Proyectos

Req. Informacin
Entregar y Soportar
1.Definir y administrar niveles de servicio 2.Administrar servicios de terceros 3.Administrar rendimiento y capacidad 4.Asegurar servicio continuo 5.Asegurar seguridad de sistemas 6.Identificar y asignar costos 7.Educar y entrenar usuarios 8.Administrar mesa de ayuda e incidentes 9.Administrar la configuracin 10.Administrar problemas 11.Administrar datos 12.Administrar el ambiente fsico 13.Administrar las Operaciones

Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad

Recursos de TI
Datos, Aplicaciones Tecnologa, Instalaciones, Recurso Humano

Adquirir e Implementar
1. Identificar soluciones automatizadas 2. Adquirir y mantener software de aplicacin 3. Adquirir y mantener infraestructura de TI 4. Establecer operacin y uso 5. Asignar recursos de TI 6. Administrar Cambios 7. Instalar y acreditar soluciones y cambios

Dominio: Planear y Organizar

Este dominio cubre la estrategia, tcticas e inquietudes para la identificacin de la forma como TI puede contribuir mejor a alcanzar los objetivos de negocio.
Asimismo, permite la comprensin de las necesidades de visin estratgica a ser planeadas, comunicadas y administradas desde diferentes perspectivas.

Preguntas claves sin respuesta

Se encuentran alineadas la estrategia de TI y del negocio? Est la empresa alcanzando un ptimo uso de sus recursos de TI? Todos en la organizacin entienden los objetivos de TI? Los riesgos de TI son entendidos y estn siendo administrados? La calidad de los sistemas de TI es apropiada para las necesidades del negocio?

Contenido del Dominio

PO1 PO2 PO3 PO4 Definir un Plan Estratgico de TI. Definir la Arquitectura de Informacin. Determinar la Direccin Tecnolgica. Definir los Procesos de TI, Organizacin y Relaciones. Administrar la Inversin en TI. Comunicar Objetivos y Direccin de la Gerencia. Administrar los Recursos Humanos de TI. Administrar la Calidad. Evaluar y Administrar los Riesgos de TI. Administrar Proyectos.

PO5 PO6 PO7 PO8 PO9 PO10

Dominio: Adquirir e Implementar

Este dominio cubre las acciones necesarias para alcanzar la estrategia de TI, las soluciones de TI que necesitan ser identificadas, desarrolladas o adquiridas, as como tambin implementadas e integradas en el proceso de negocio.
Cambios y mantenimiento de sistemas existentes son cubiertos por este dominio para asegurar que las soluciones alcancen los objetivos de negocio.

Preguntas claves sin respuesta

Los nuevos proyectos entregarn soluciones que renan los requisitos de negocio? Los nuevos proyectos sern entregados a tiempo y dentro del presupuesto? Los nuevos sistemas trabajarn de forma apropiada cuando sean implementados? Los cambios sern realizados sin afectar las actuales operaciones de los procesos?

Contenido
AI1 AI2 AI3 AI4 AI5 AI6 AI7 Identificar soluciones automatizadas. Adquirir y mantener software de aplicacin. Adquirir y mantener infraestructura de TI. Establecer operacin y uso. Adquirir recursos de TI. Administrar cambios. Instalar y acreditar soluciones y cambios.

Dominio: Entregar y Soportar

Este dominio est relacionado con la entrega actual de los servicios requeridos de TI, los cuales incluyen la entrega del servicio, la administracin de la seguridad y continuidad, servicio de soporte para los usuarios, y la administracin de datos y facilidades operacionales.

Preguntas claves sin respuesta

Los servicios de TI estn siendo entregados en lnea con los requerimientos de negocio? Los costos de TI estn optimizados? Los usuarios pueden usar los servicios de TI de forma productiva y segura? Criterios de confidencialidad, integridad y disponibilidad estn implementados?.

Contenido
DS1 DS2 DS3 DS4 DS5 DS6 DS7 Definir y administrar niveles de servicio. Administrar servicios de terceros. Administrar rendimiento y capacidad. Asegurar servicio continuo. Asegurar seguridad en los sistemas. Identificar y asignar costos. Educar y entrenar a los usuarios.

Contenido
DS8 Administrar mesa de ayuda e incidentes. DS9 Administrar la configuracin. DS10 Administrar problemas. DS11 Administrar datos. DS12 Administrar el ambiente fsico. DS13 Administrar las operaciones.

Dominio: Monitorear y Evaluar

Este dominio est relacionado con que todos los procesos de TI necesitan ser regularmente evaluados en el tiempo para verificar su calidad y cumplimiento con los requerimientos de control. Este dominio considera la administracin del rendimiento, el monitoreo del control interno, el cumplimiento regulatorio y el gobierno de TI.

Preguntas claves sin respuesta

El rendimiento de TI es medido para detectar problemas antes que sea demasiado tarde? La administracin asegura que el control interno es efectivo y eficiente? El rendimiento de TI puede ser relacionado con los objetivos del negocio? Los riesgos, controles, cumplimiento y rendimiento son medidos y reportados?

Contenido
ME1 Monitorear y evaluar rendimiento de TI. ME2 Monitorear y evaluar control interno. ME3 Asegurar cumplimiento con requerimientos externos. ME4 Proveer Gobierno de TI.