Definicin de Cobit

OBJETIVOS DE CONTROL PARA LA INFORMACION Y LA TECNOLOGIA RELACIONADA

Misin COBIT
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control para tecnologa de
informacin, que sea internacional y este actualizado para uso cotidiano de gerentes, auditores y
usuarios.
Visin COBIT
Ser el modelo de control para la TI.
REGLA DE ORO DE COBIT
Para proveer la informacin que requiere la organizacin para lograr sus objetivos, los recursos
de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y
ejecutados acorde a prcticas normalmente aceptadas

Usuarios COBIT
La Gerencia: Apoyo a decisiones de inversin en TI y control sobre su desempeo,
balanceo del riesgo y el control de la inversin en un ambiente a menudo impredecible.
Los Usuarios Finales: Obtienen una garanta sobre el control y seguridad de los productos
que adquieren interna y externamente.
Los Auditores: Soportar sus opiniones sobre los controles de los proyectos de TI, su
impacto en la organizacin y determinar el control mnimo requerido.
Los Responsables de TI: Para identificar los controles que requieren en sus reas.
Organismos estatales de control: Para saber que es lo mnimo que pueden exigir.

QUE SON LAS TI
(Tecnologas de Informtica)

Principios COBIT

Requerimientos de la Informacin del Negocio
CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y
SAS








Requerimientos de Calidad
Calidad (cumplimiento de requerimientos)
Costo (dentro del presupuesto). Oportunidad
(en el tiempo indicado)
Requerimientos Financieros
(COSO)
Efectividad y eficiencia operacional.
Confiabilidad de los reportes financieros.
Cumplimiento de leyes y regulaciones.
Requerimientos de
Seguridad
Confidencialidad.
Integridad.
Disponibilidad.
Requerimientos de la informacin del negocio























Recursos de TI
Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada
o no, grficas, sonidos, etc.
Aplicaciones: Entendido como los sistemas de informacin, que integran procedimientos
manuales y sistematizados.
Se refiere a la informacin que es relevante para el
negocio y que debe ser entregada de manera
correcta, oportuna, consistente y usable.
Efectividad
Se refiere a la provisin de informacin a travs del
ptimo (ms productivo y econmico) uso de los
recursos.
Eficiencia
Relativa a la proteccin de la informacin
sensitiva de su revelacin no autorizada.
Confidencialidad
Se refiere a la exactitud y completitud de la informacin, as
como su validez, en concordancia con los valores y
expectativas del negocio.
Integridad
Se refiere a que la informacin debe estar disponible cuando es
requerida por los procesos del negocio ahora y en el futuro.
Involucra la salvaguarda de los recursos y sus capacidades
asociadas.
Disponibilidad
Se refiere a cumplir con aquellas leyes, regulaciones y
acuerdos contractuales, a los que estn sujetos los
procesos del negocio.
Cumplimiento
Se refiere a la provisin de la informacin apropiada a
la alta gerencia, para operar la entidad y para ejercer
sus responsabilidades financieras y de cumplir con los
reportes de su gestin.
Confiabilidad
Tecnologa: Incluye hardware y software bsico, sistemas operativos, sistemas de administracin
de bases de datos, de redes, telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de
informacin.
Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir,
prestar servicios, dar soporte y monitorear los sistemas de Informacin.




Dominios de TI
Planeacin y Organizacin
Adquisicin e implementacin
Prestacin de Servicios y Soporte
Seguimiento o monitoreo
Planeacin y Organizacin
Se vincula con la identificacin de la forma en que la tecnologa de informacin puede
contribuir de la manera ms adecuada con el logro de los objetivos del negocio.
Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso
ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos
de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas
de TI para las necesidades del negocio?
Procesos de TI
Planeacin y Organizacin
1. Definir un plan estratgico de TI
2. Definir la arquitectura de informacin
3. Determinar la direccin tecnolgica
4. Definir la organizacin y relaciones de la Funcin TI
5. Administrar la inversin en TI
6. Comunicacin de la directrices Gerenciales
7. Administracin del Recurso Humano
8. Administrar la Calidad
9. Evaluacin y Administracin de Riesgos
10. Administracin de Proyectos

1. Definir un plan estratgico de TI
Que satisface el requisito de negocio para
Hallar un balance ptimo de oportunidades de tecnologa de la informacin y los requisitos de
negocio as como tambin asegurar su realizacin adicional
Toma en consideracin
Definicin de los objetivos de negocio y necesidades para las TI
Inventario de soluciones tecnolgicas e infraestructura actual
Cambios organizativos
Estudio de viabilidad oportuno
Existencia de evaluaciones de sistemas

2. Definir la arquitectura de informacin
Que satisface el requisito de negocio para
Una mejor organizacin de los sistemas de informacin
Toma en consideracin
Documentacin
Diccionario de datos
Reglas sintcticas de datos
Propiedad de datos y clasificacin crtica

3. Determinar la direccin tecnolgica
Que satisface el requisito de negocio para
Tomar ventaja de la tecnologa disponible y emergente
Toma en consideracin
Adecuacin y evolucin de la capacidad de la infraestructura actual
Monitorizacin de los desarrollos tecnolgicos
Contingencias
Planes de adquisicin

4. Definir la organizacin y relaciones de la Funcin TI
Que satisface el requisito de negocio para
Entregar los servicios de las TI
Toma en consideracin
Comit de direccin
Consejo de nivel de responsabilidad
Propiedad, custodia
Supervisin
Segregacin de obligaciones
Roles y responsabilidades
Descripciones del trabajo
Provisin de niveles
Clave personal

5. Administrar la inversin en TI
Que satisface el requisito de negocio para
Garantizar la consolidacin y controlar el gasto de los recursos financieros
Toma en consideracin
Consolidacin de alternativas
Control del gasto efectivo
Justificacin de los costes
Justificacin de los beneficios

6. Comunicacin de la directrices Gerenciales
Que satisface el requisito de negocio para
Garantizar el conocimiento del usuario y entendimiento de esos fines
Toma en consideracin
Cdigo de conducta/tica
Directrices de tecnologa
Conformidad
Comisin de calidad
Polticas de seguridad
Polticas de control interno

7. Administracin del Recurso Humano

Que satisface el requisito de negocio para
Maximizar las contribuciones del personal a los procesos de TI
Toma en consideracin
Refuerzo y promocin
Requisitos de calidad
Entrenamiento
Construccin del conocimiento
Evaluacin de la ejecucin objetiva y medible

8. Administracin de Calidad
Que satisface el requisito de negocio para
La mejora continua y medible de la calidad de los servicios prestados por TI
Toma en consideracin
Plan de estructura de la calidad
Estndares y prcticas de calidad
Metodologa del ciclo de vida del desarrollo del sistema
Estndares de desarrollo y de adquisicin
Medicin, monitoreo y revisin de la calidad

9. Evaluacin de Riesgos
Que satisface el requisito de negocio para
De asegurar la realizacin de los objetivos de TI, respondiendo a las amenazas para el suministro
de los servicios de TI
Toma en consideracin
Diferentes tipos de riesgos de TI (tecnologa, seguridad, continuidad, etc.)
Alcance: global o sistemas especficos
Evaluacin de riesgos hasta la fecha
Metodologa de anlisis de riesgos
Medidas de riesgo cuantitativas y/o cualitativas
Plan de accin de riesgos

P L A N E A R Y O R G A N I Z A R
PO9 Evaluar y administrar los riesgos de TI
BS 7799 Security Standard
"BS 7799-3:2005 sistemas de gestin seguridad de la informacin. Directrices para la gestin de
riesgos de seguridad de la informacin "
Abarca las siguientes:
# Evaluacin de riesgos
# Tratamiento del riesgo
# Gestin de la toma de decisiones
# Nueva evaluacin de riesgo
# La vigilancia y el examen de perfil de riesgo
# Riesgo de la seguridad de la informacin en el contexto de la gobernanza empresarial
# El cumplimiento de otras normas basadas en los riesgos y los reglamentos

10. Administracin de Proyectos
Que satisface el requisito de negocio para
La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad
acordados.
Toma en consideracin
Marco de trabajo para la administracin de programas de inversin en TI
Marco de trabajo para la administracin de proyectos
Interrupcin de tareas
Distribucin de responsabilidades
Proyecto y fase de aprobacin
Costes y presupuesto del personal
Planes de seguridad de la calidad y mtodos
Recursos del proyecto

Adquisicin e Implementacin
Cambios y mantenimiento de los sistemas existentes para garantizar la natural
continuidad del ciclo de vida para estos sistemas.
Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Los
nuevos proyectos son entregados a tiempo y dentro del presupuesto? Trabajarn
adecuadamente los nuevos sistemas una vez sean implementados? Los cambios afectarn las
operaciones actuales del negocio?
Adquisicin e Implementacin
1. Identificacin de soluciones Automatizada
2. Adquisicin y mantenimiento de SW aplicativo
3. Adquisicin y mantenimiento de arquitectura TI
4. Facilitar la Operacin y el uso
5. Adquirir recursos de TI
6. Administrar Cambios
7. Instalar y acreditar soluciones y cambios