OBJETIVOS DE CONTROL PARA LA INFORMACION Y LA TECNOLOGIA RELACIONADA
Misin COBIT Investigar, desarrollar, publicar y promover un conjunto de objetivos de control para tecnologa de informacin, que sea internacional y este actualizado para uso cotidiano de gerentes, auditores y usuarios. Visin COBIT Ser el modelo de control para la TI. REGLA DE ORO DE COBIT Para proveer la informacin que requiere la organizacin para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prcticas normalmente aceptadas
Usuarios COBIT La Gerencia: Apoyo a decisiones de inversin en TI y control sobre su desempeo, balanceo del riesgo y el control de la inversin en un ambiente a menudo impredecible. Los Usuarios Finales: Obtienen una garanta sobre el control y seguridad de los productos que adquieren interna y externamente. Los Auditores: Soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: Para identificar los controles que requieren en sus reas. Organismos estatales de control: Para saber que es lo mnimo que pueden exigir.
QUE SON LAS TI (Tecnologas de Informtica)
Principios COBIT
Requerimientos de la Informacin del Negocio CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS
Requerimientos de Calidad Calidad (cumplimiento de requerimientos) Costo (dentro del presupuesto). Oportunidad (en el tiempo indicado) Requerimientos Financieros (COSO) Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Requerimientos de Seguridad Confidencialidad. Integridad. Disponibilidad. Requerimientos de la informacin del negocio
Recursos de TI Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: Entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Se refiere a la informacin que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Efectividad Se refiere a la provisin de informacin a travs del ptimo (ms productivo y econmico) uso de los recursos. Eficiencia Relativa a la proteccin de la informacin sensitiva de su revelacin no autorizada. Confidencialidad Se refiere a la exactitud y completitud de la informacin, as como su validez, en concordancia con los valores y expectativas del negocio. Integridad Se refiere a que la informacin debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas. Disponibilidad Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que estn sujetos los procesos del negocio. Cumplimiento Se refiere a la provisin de la informacin apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades financieras y de cumplir con los reportes de su gestin. Confiabilidad Tecnologa: Incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.
Dominios de TI Planeacin y Organizacin Adquisicin e implementacin Prestacin de Servicios y Soporte Seguimiento o monitoreo Planeacin y Organizacin Se vincula con la identificacin de la forma en que la tecnologa de informacin puede contribuir de la manera ms adecuada con el logro de los objetivos del negocio. Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio? Procesos de TI Planeacin y Organizacin 1. Definir un plan estratgico de TI 2. Definir la arquitectura de informacin 3. Determinar la direccin tecnolgica 4. Definir la organizacin y relaciones de la Funcin TI 5. Administrar la inversin en TI 6. Comunicacin de la directrices Gerenciales 7. Administracin del Recurso Humano 8. Administrar la Calidad 9. Evaluacin y Administracin de Riesgos 10. Administracin de Proyectos
1. Definir un plan estratgico de TI Que satisface el requisito de negocio para Hallar un balance ptimo de oportunidades de tecnologa de la informacin y los requisitos de negocio as como tambin asegurar su realizacin adicional Toma en consideracin Definicin de los objetivos de negocio y necesidades para las TI Inventario de soluciones tecnolgicas e infraestructura actual Cambios organizativos Estudio de viabilidad oportuno Existencia de evaluaciones de sistemas
2. Definir la arquitectura de informacin Que satisface el requisito de negocio para Una mejor organizacin de los sistemas de informacin Toma en consideracin Documentacin Diccionario de datos Reglas sintcticas de datos Propiedad de datos y clasificacin crtica
3. Determinar la direccin tecnolgica Que satisface el requisito de negocio para Tomar ventaja de la tecnologa disponible y emergente Toma en consideracin Adecuacin y evolucin de la capacidad de la infraestructura actual Monitorizacin de los desarrollos tecnolgicos Contingencias Planes de adquisicin
4. Definir la organizacin y relaciones de la Funcin TI Que satisface el requisito de negocio para Entregar los servicios de las TI Toma en consideracin Comit de direccin Consejo de nivel de responsabilidad Propiedad, custodia Supervisin Segregacin de obligaciones Roles y responsabilidades Descripciones del trabajo Provisin de niveles Clave personal
5. Administrar la inversin en TI Que satisface el requisito de negocio para Garantizar la consolidacin y controlar el gasto de los recursos financieros Toma en consideracin Consolidacin de alternativas Control del gasto efectivo Justificacin de los costes Justificacin de los beneficios
6. Comunicacin de la directrices Gerenciales Que satisface el requisito de negocio para Garantizar el conocimiento del usuario y entendimiento de esos fines Toma en consideracin Cdigo de conducta/tica Directrices de tecnologa Conformidad Comisin de calidad Polticas de seguridad Polticas de control interno
7. Administracin del Recurso Humano
Que satisface el requisito de negocio para Maximizar las contribuciones del personal a los procesos de TI Toma en consideracin Refuerzo y promocin Requisitos de calidad Entrenamiento Construccin del conocimiento Evaluacin de la ejecucin objetiva y medible
8. Administracin de Calidad Que satisface el requisito de negocio para La mejora continua y medible de la calidad de los servicios prestados por TI Toma en consideracin Plan de estructura de la calidad Estndares y prcticas de calidad Metodologa del ciclo de vida del desarrollo del sistema Estndares de desarrollo y de adquisicin Medicin, monitoreo y revisin de la calidad
9. Evaluacin de Riesgos Que satisface el requisito de negocio para De asegurar la realizacin de los objetivos de TI, respondiendo a las amenazas para el suministro de los servicios de TI Toma en consideracin Diferentes tipos de riesgos de TI (tecnologa, seguridad, continuidad, etc.) Alcance: global o sistemas especficos Evaluacin de riesgos hasta la fecha Metodologa de anlisis de riesgos Medidas de riesgo cuantitativas y/o cualitativas Plan de accin de riesgos
P L A N E A R Y O R G A N I Z A R PO9 Evaluar y administrar los riesgos de TI BS 7799 Security Standard "BS 7799-3:2005 sistemas de gestin seguridad de la informacin. Directrices para la gestin de riesgos de seguridad de la informacin " Abarca las siguientes: # Evaluacin de riesgos # Tratamiento del riesgo # Gestin de la toma de decisiones # Nueva evaluacin de riesgo # La vigilancia y el examen de perfil de riesgo # Riesgo de la seguridad de la informacin en el contexto de la gobernanza empresarial # El cumplimiento de otras normas basadas en los riesgos y los reglamentos
10. Administracin de Proyectos Que satisface el requisito de negocio para La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados. Toma en consideracin Marco de trabajo para la administracin de programas de inversin en TI Marco de trabajo para la administracin de proyectos Interrupcin de tareas Distribucin de responsabilidades Proyecto y fase de aprobacin Costes y presupuesto del personal Planes de seguridad de la calidad y mtodos Recursos del proyecto
Adquisicin e Implementacin Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas. Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? Trabajarn adecuadamente los nuevos sistemas una vez sean implementados? Los cambios afectarn las operaciones actuales del negocio? Adquisicin e Implementacin 1. Identificacin de soluciones Automatizada 2. Adquisicin y mantenimiento de SW aplicativo 3. Adquisicin y mantenimiento de arquitectura TI 4. Facilitar la Operacin y el uso 5. Adquirir recursos de TI 6. Administrar Cambios 7. Instalar y acreditar soluciones y cambios