www.seguridadinformacion.

cl

C OB I T

Control OBjectives for Information and Related Technology

Origen de COBIT
Actualizacin de los objetivos de control de ISACF Expansin del enfoque a las necesidades de la Administracin y el Usuario Perspectiva Global

Comit de Anlisis

Misin del COBIT

Para investigar, desarrollar, publicar y promover un conjunto actualizado e internacional de objetivos de control de Tecnologa de la Informacin generalmente aceptado, para su uso diario por los administradores del negocio y los auditores.

Alcances y objetivos:
Estndares generalmente aplicados y aceptados para las buenas prcticas de control en TI (Tecnologas de la Informacin) Para Sistemas de Informacin de la Organizacin Fundamentado en una estructura de control de las TI Basado en los Objetivos de Control de ISACF.

Componentes del COBIT

Resumen Ejecutivo Descripcin de la Estructura Objetivos de Control Guas de Auditora

 Visin Ejecutiva Antecedentes La Estructura del COBIT Definiciones Los Principios de la Estructura Dominios y Procesos Relaciones entre Principios, Dominios y Procesos

Necesidad por una Estructura

Orientacin al Control Relacionar objetivos de control individuales con los Estndares, Regulaciones y Prcticas existentes. Usado por Auditores, Administradores y Usuarios

Expectativas de la Administracin en TI
Proceso de Re-Ingeniera Proceso Distribudo

Outsourcing

Responsabilidades Administrativas TI
Salvaguardar Activos La Informacin como el ACTIVO ms importante

La Necesidad del Control en TI Administradores Usuarios

Auditores

Definicin de Control

Las Polticas, Procedimientos, Prcticas

y Estructura Organizacional, diseadas para proveer una razonable seguridad de que los objetivos del negocio sern alcanzados y los eventos indeseados sern prevenidos o detectados y corregidos.

Recursos de Tecnologa de Informacin

Datos Sistemas de Aplicacin Tecnologa Instalaciones Personal

Requerimientos del Negocio hacia la Informacin

Requerimientos de calidad Calidad Costo Entrega Efectividad & Eficiencia de operaciones Confiabilidad de Informacin Cumplimiento con leyes & regulaciones

Requerimientos Fiduciarios (Informe COSO) Requerimientos de Seguridad

Confidencialidad Integridad Disponibilidad

Requerimientos del Negocio hacia la Informacin

Efectividad

Trata con informacin que es relevante y pertinente al proceso de negocio, adems de ser entregada de una manera oportuna, correcta, consistente y utilizable. Se relaciona con la provisin de informacin a travs del ptimo (ms productivo y econmico ) uso de recursos.

Eficiencia

Confidencialida d

Se relaciona con la proteccin de informacin sensible a divulgacin No autorizada.

Se relaciona con la exactitud e integridad de informacin as como tambin con su validez en conformidad con valores y expectativas del NEGOCIO.

Integridad

Requerimientos del negocio hacia la Informacin

Disponibilidad

Se relaciona con informacin disponible al ser requerida por el proceso de negocio ahora y en el futuro. Se relaciona con el resguardo de recursos necesarios y capacidades asociadas. Trata con el cumplimiento de aquellas leyes, regulaciones y arreglos contractuales a los cuales est sujeto el proceso de negocio; es decir, criterios de negocios impuestos externamente.

Cumplimiento

Confiabilidad de Informacin

Se relaciona con la provisin de informacin apropiada a la gerencia para operar la entidad y para que la gerencia ejerza sus responsabilidades de informar
cumplimiento.

Recursos de la Tecnologa de la Informacin (T.I.)

Datos

Objetos en su ms amplio sentido (es decir, externos e internos), estructurados y no

estructurados, grficos, sonidos, etc.

Sistemas de Aplicacin

Los sistemas de aplicacin, se entienden como la suma de procedimientos manuales y

programados.

Cpallavicini@pallavicini.cl Pallavicini Consultores www.seguridadinformatica.cl

Recursos de la Tecnologa de la Informacin (T.I.)

Tecnologa Tecnologa

Tecnologa cubre hardware, sistemas operativos, Sistemas de administracin de bases de datos, redes, multimedia, etc.

Instalacin Instalaciones Instalaciones son todos los recursos para albergar y

respaldar Sistemas de informacin.

Gente incluye las destrezas, conciencia y productividad Gente del personal para planificar, organizar, adquirir, entregar, respaldar y Monitorear sistemas y servicios de informacin.

Gente

Procesos de Informacin Tres Niveles

Dominios
Procesos

Actividades

Dominios del Cobit

Planificacin y Organizacin Este dominio cubre estrategia y tctica, y se relaciona con la identificacin de la forma en que TI puede contribuir mejor al logro de los objetivos de negocios. Ms an, la realizacin de la visin estratgica debe ser planificada, comunicada y administrada para diferentes perspectivas. Finalmente, se debe poseer una apropiada organizacin adems de una infraestructura tecnolgica.

Dominios del Cobit

Adquisicin e Implementacin

Para realizar la estrategia TI, se deben identificar,

desarrollar o adquirir las necesidades TI, as como implementarlas e incorporarlas a los procesos de negocios. Adems, los cambios en y la mantencin de sistemas existentes son cubiertas por ste dominio, para asegurarse que el ciclo de vida til es continuo para estos sistemas.

Dominios del Cobit

Entrega y Respaldo

Procedimientos manuales y programados. real de servicios requeridos, la cual va desde operaciones tradicionales en seguridad y aspectos de continuidad a capacitacin. Para entregar servicios, se deben preparar los procesos de respaldo necesarios. Este dominio incluye procesamiento real de datos mediante procesos de aplicaciones, a menudo clasificados bajo controles de aplicaciones. .

.
www.seguridadinformacion.cl

Dominios del Cobit

Monitoreo Todos los procesos TI deben ser evaluados regularmente en el tiempo para su calidad y
cumplimiento con requerimientos de control. Este dominio, por consiguiente, aborda la supervisin por parte de la gerencia del proceso de control de la organizacin y la garanta independiente proporcionada por auditora interna y externa, o se obtiene de fuentes alternativas.

OBJETIVOS DE NEGOCIOS

M1 monitorear los procesos M2 evaluar adecuacin de control interno M3 lograr garanta independiente M4 disponer de auditora interna

COBIT
INFORMACION

PO1 definir un plan TI estratgico PO2 definir la arquitectura de informacin PO3 determinar la direccin tecnolgica PO4 definir la organizacin TI y relaciones PO5 administrar la inversin en TI PO6 comunicar a gerencia metas y direccin PO7 administrar recursos humanos PO8 asegurar cumplimiento con requerimientos externos PO9 evaluar riesgos PO10 administrar proyectos PO11 administrar calidad

MONITOREO

efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad

RECURSOS TI

PLANIFICACION & ORGANIZACION

ENTREGA & RESPALDO

ADQUISICIN & IMPLEMENTACION

DS1 definir niveles de servicio DS2 administrar servicios de terceros DS3 administrar desempeo y capacidad DS4 asegurar servicio continuo DS5 asegurar seguridad de sistemas DS6 identificar y atribuir costos DS7 adecuar y capacitar a usuarios DS8 ayudar y aconsejar a clientes de TI DS9 administrar la configuracin DS10 administrar problemas e incidentes DS11 administrar datos DS12 administrar instalaciones DS13 administrar operaciones

gente sistemas de aplicaciones tecnologa instalaciones datos

AI1 identificar soluciones AI2 adquirir y mantener software de aplicaciones AI3 adquirir y mantener arquitectura de tecnologa AI4 desarrollar y mantener recursos TI AI5 instalar y acreditar sistemas AI6 administrar cambios

Dominio Planificacin y Organizacin

1. Definicin del Plan Estratgico
2. Definicin de la Arquitectura de la Informacin 3. Determinacin de la Direccin Tecnolgica 4. Definicin de la organizacin y sus relaciones

Dominio Planificacin y Organizacin

(CONTINUACIN)

5. Manejo de la Inversin
6. Comunicacin de Polticas y los Objetivos de la Direccin 7. Administracin del Personal 8. Requerimientos de Organismos Contralores Externos

Dominio Planificacin y Organizacin

(CONTINUACIN)

9. Evaluacin de riesgos
10. Administracin de Proyectos

11. Administracin de la Calidad

Dominio Adquisicin e Implementacin

1. 2. 3.
4. 5. 6.

Identificar soluciones. Adquirir y mantener software de aplicaciones. Adquirir y mantener arquitectura de tecnologa. Desarrollar y mantener recursos TI. Instalar y acreditar sistemas. Administrar cambios.

Dominio Entrega y Soporte

1.
2. 3.

4.
5. 6.

7.

Definir niveles de servicio. Administrar servicios de terceros. Administrar desempeo y capacidad Asegurar servicio continuo. Asegurar seguridad de sistemas. Identificar y atribuir costos. Adecuar y capacitar a usuarios.

Dominio Entrega y Soporte

(continuacin)

8.
9. 10.

11.
12. 13.

Ayudar y aconsejar a clientes de TI. Administrar la configuracin. Administrar problemas e incidentes. Administrar datos. Administrar instalaciones. Administrar operaciones.

Dominio Monitoreo
1. 2. 3. 4. Monitorear los procesos. Evaluar la adecuacin del control interno. Lograr garanta independiente. Disponer de auditora interna.

PO5. Manejo de la Inversin en Tecnologa de Informacin

5.1. Presupuesto Operativo Anual para Funcin de Servicios de Informacin.

la

Proceso de definicin de presupuesto operativo. Consideracin en el proceso de:

Plan

de la organizacin. Plan Informtico.

Proceso de anlisis financiamiento.

de

alternativas

de

PO5. Manejo de la Inversin en Tecnologa de la Informacin

(continuacin)

5.2. Monitoreo de Costo - Beneficios.

Proceso de medicin, registro y control de costos contra presupuesto. Identificacin, medicin y reporte de los beneficios de la TI. Sistema de costos asociado a la Contabilidad. Proceso periodico de revisin de las unidades de medicin de beneficios de la TI.

PO5. Manejo de la Inversin en Tecnologa de la Informacin

(continuacin)

5.3. Justificacin del Costo - Beneficio.

Proceso de verificacin de los costos del servicio de TI v/s la Industria (benchmarking). Proceso de verificacin del nivel de actividades de la TI con respecto a la Industria.

PO7. Administracin de Recursos Humanos

7.1. Reclutamiento personal

promocin

de

Polticas de reclutamiento y promocin del personal. Proceso formal de reclutamiento y promocin del personal. Aspectos a considerar como la educacin, experiencia y responsabilidad.

PO7. Administracin de Recursos Humanos

7.2. Personal calificado.

(CONTINUACIN)

Definicin de requerimientos del puesto. Proceso de verificacin de la calificacin de las personas.

PO7. Administracin de Recursos Humanos

(CONTINUACIN)

7.3. Entrenamiento del personal.

Proceso de induccin de nuevos empleados en la Empresa. Programa de capacitacin de acuerdo a los requerimientos de cargo. Proceso peridico de revisin del programa de capacitacin.

PO7. Administracin de Recursos Humanos

(CONTINUACIN)

7.4. Proceso cruzado o respaldo de personal.

Identificacin de los puestos claves. Programa de entrenamiento cruzado (puestos claves). Programa de vacaciones/control de cumplimiento.

PO7. Administracin de Recursos Humanos

(CONTINUACIN)

7.5. Procedimiento de acreditacin del personal

Procedimiento de verificacin de antecedentes del personal previo a su contratacin o cambio. Consideracin en el procedimiento de su situacin financiera.

Cpallavicini@pallavicini.cl Pallavicini Consultores propiedad intelectual reservada

PO7. Administracin de Recursos Humanos

(CONTINUACIN)

7.6. Evaluacin desempeo de los empleados.

Pauta de evaluacin del desempeo de los empleados. Consideracin de estndares y responsabilidades del cargo que ocupa el empleado. Procedimiento formal de aplicacin peridica de dicha pauta. Procedimiento formal de entrega de resultados al empleado.

PO7. Administracin de Recursos Humanos

7.7. Cambios de puesto y despidos.

(CONTINUACIN)

Procedimiento formal y conocido, para el despido y cambio del puesto, del personal Procedimiento para la eliminacin/suspensin inmediata de las passwords de acceso a los ambientes computacionales, sistemas y datos, de cada persona despedida o trasladada a otro cargo.
Cpallavicini@pallavicini.cl Pallavicini Consultores
propiedad intelectual del resumen en Powerpoint reservada