Professional Documents
Culture Documents
MISIN
COBIT
Investigar, desarrollar, publicar y promover un conjunto de
objetivos de control para tecnologa de informacin, que
sea internacional y este actualizado para uso cotidiano de
gerentes, auditores y usuarios.
VISIN
COBIT
Ser el modelo de control para la TI.
agrupados
acorde
de
a
forma
prcticas
adecuada
normalmente
USUARIOS COBIT
La Gerencia: Apoyo a decisiones de inversin en TI y control sobre su desempeo, balanceo del riesgo
y el control de la inversin en un ambiente a menudo impredecible.
Los Usuarios Finales: Obtienen una garanta sobre el control y seguridad de los productos que
adquieren interna y externamente.
Los Auditores: :Soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la
organizacin y determinar el control mnimo requerido.
Los Responsables de TI: Para identificar los controles que requieren en sus reas.
Organismos estatales de control: Para saber que es lo mnimo que pueden exigir.
Se encargan de
DISEO
DESARROLL
O
FOMENTO
D
E
INFORMACION
MANTENIMIEN
TO
ADMINISTRACI
ON
Por medio de
SISTEMAS
INFORMATICOS
PRINCIPIOS COBIT
REQUERIMIENTOS
DE INFORMACIN
DEL NEGOCIO
PROCESOS
DE TI
RECURSOS
DE TI
REQUERIMIENTOS DE LA
INFORMACIN DEL NEGOCIO
CobiT combina los principios contenidos por modelos
existentes y conocidos, como COSO, SAC y SAS
Requerimientos
de Calidad
Calidad
(cumplimiento
de
requerimientos) Costo (dentro del
presupuesto). Oportunidad (en el
tiempo indicado)
Requerimientos
Financieros
(COSO)
Requerimientos
de Seguridad
Confidencialidad.
Integridad.
Disponibilidad.
REQUERIMIENTOS DE LA
INFORMACIN DEL NEGOCIO
Efectividad
Eficiencia
Confidencialidad
Integridad
Relativa a la proteccin de
informacin
sensitiva
de
revelacin no autorizada.
la
su
Se
refiere
a
la
exactitud
y
completitud de la informacin, as
como su validez, en concordancia con
los valores y expectativas del negocio.
REQUERIMIENTOS DE LA
INFORMACIN DEL NEGOCIO
Disponibilidad
Cumplimiento
Confiabilidad
RECURSOS DE TI
Datos: Todos los objetos de informacin. Considera informacin interna y
externa, estructurada o no, grficas, sonidos, etc.
Aplicaciones: Entendido como los sistemas de informacin, que integran
procedimientos manuales y sistematizados.
Tecnologa: Incluye hardware y software bsico, sistemas operativos,
sistemas de administracin de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte
a los sistemas de informacin.
Recurso Humano: Por la habilidad, conciencia y productividad del
personal para planear, adquirir, prestar servicios, dar soporte y
monitorear los sistemas de Informacin.
RECURSOS DE TI
Microcomputador o terminal
Seguridad de la==========================
Aplicaciones en funcionamiento
informacin
(1),(2),(3),(4),(8),(10),(11)
Seguridad fsica
(1) Sistemas Operacionales
(2) Software de Seguridad
(3) Sistemas Manejadores de
Bases de Datos y Diccionarios de
Datos
Equipo central
=========================
Operacin del sistema
(1),(2),(6),(7),(8),(9)
(4) Monitores de
Teleprocesamiento
(5) Ayudas para el desarrollo de
programas
(6) Control del Cambio y
Administracin de libreras
(7) Editores en lnea
(8) Software de
Telecomunicaciones
Sistema de comunicaciones
(8),(11)
Red local
=============== (10) Sistemas de oficina
(1),(2),(3),(4),(5),(6), (11) Intercambio electrnico de
(7),(8),(9),(10),(11) datos
PROCESOS DE TI - LOS 3
NIVELES
Dominios
Agrupacin
natural
de
procesos,
normalmente
corresponden
a
una
responsabilidad organizacional
Procesos
Conjuntos
de
actividades
unidas con delimitacin o
cortes de control.
Actividades
o tareas
Acciones
requeridas
para
lograr un resultado medible.
Las
Actividades tienen un
ciclo de vida mientras que las
tareas son discretas.
DOMINIOS DE TI
Planeacin y Organizacin
Adquisicin e implementacin
Seguimiento o monitoreo
DOMINIOS DE TI
Planeacin y Organizacin
Se vincula con la identificacin de la forma en que la tecnologa de
informacin puede contribuir de la manera ms adecuada con el logro de los
objetivos del negocio.
PROCESOS DE TI
Planeacin y
Organizacin
PROCESOS DE TI
Planeacin y
Organizacin
Toma en consideracin
PROCESOS DE TI
Planeacin y
Organizacin
Documentacin
Diccionario de datos
Reglas sintcticas de datos
Propiedad de datos y clasificacin crtica
PROCESOS DE TI
Planeacin y
Organizacin
PROCESOS DE TI
Planeacin y
Organizacin
Comit de direccin
Consejo de nivel de responsabilidad
Propiedad, custodia
Supervisin
Segregacin de obligaciones
Roles y responsabilidades
Descripciones del trabajo
Provisin de niveles
Clave personal
PROCESOS DE TI
Planeacin y
Organizacin
Toma en consideracin
Consolidacin de alternativas
Control del gasto efectivo
Justificacin de los costes
Justificacin de los beneficios
PROCESOS DE TI
Planeacin y
Organizacin
Cdigo de conducta/tica
Directrices de tecnologa
Conformidad
Comisin de calidad
Polticas de seguridad
Polticas de control interno
PROCESOS DE TI
Planeacin y
Organizacin
Toma en consideracin
Refuerzo y promocin
Requisitos de calidad
Entrenamiento
Construccin del conocimiento
Evaluacin de la ejecucin objetiva y medible
PROCESOS DE TI
Planeacin y
Organizacin
PROCESOS DE TI
Planeacin y
Organizacin
Toma en consideracin
Diferentes tipos de riesgos de TI (tecnologa, seguridad, continuidad, etc.)
Alcance: global o sistemas especficos
Evaluacin de riesgos hasta la fecha
Metodologa de anlisis de riesgos
Medidas de riesgo cuantitativas y/o cualitativas
Plan de accin de riesgos
PROCESOS DE TI
PLANEARYORGANIZAR
PO9 Evaluar y administrar los riesgos de TI
PROCESOS DE TI
Planeacin y
Organizacin
DOMINIOS DE TI
Adquisicin e Implementacin
Cambios y mantenimiento de los sistemas existentes para
garantizar la natural continuidad del ciclo de vida para estos
sistemas.
Los
nuevos
proyectos
generan
soluciones
que
PROCESOS DE TI
Adquisicin e
Implementacin
PROCESOS DE TI
Adquisicin e
Implementacin
PROCESOS DE TI
Adquisicin e
Implementacin
PROCESOS DE TI
Adquisicin e
Implementacin
PROCESOS DE TI
Adquisicin e
Implementacin
PROCESOS DE TI
Adquisicin e
Implementacin
Control de adquisicin
Administracin de contratos con proveedores
Seleccin de proveedores
Adquisicin de software
Adquisicin de recursos de desarrollo
Adquisicin de infraestructura, instalaciones y servicios relacionados
PROCESOS DE TI
Adquisicin e
Implementacin
Toma en consideracin
Estndares y procedimientos para cambios
Evaluacin de impacto, priorizacin y autorizacin
Cambios de emergencia
Seguimiento y reporte del estatus de cambio
Cierre y documentacin del cambio
PROCESOS DE TI
ADQUIRIR E IMPLANTAR
Iso/iec12207
5.2 Suministro
AI06 Administrar cambios
5.5 Mantenimiento
7.3 Mejoras
5.2 Suministro:
El proceso de suministro contiene las actividades y tareas del proveedor:
Actividades
Inicio
Preparacin de respuesta
Contrato
Planificacin
Ejecucin y control
Revisin y evaluacin
Entrega y finalizacin
PROCESOS DE TI
Adquisicin e
Implementacin
DOMINIOS DE TI
Prestacin de Servicios y Soporte
PROCESOS DE TI
Prestacin de Servicio
y Soporte
PROCESOS DE TI
Prestacin de Servicio
y Soporte
Definicin de servicios
Definicin de responsabilidades
Garantas de integridad
Monitoreo y reporte del cumplimento de los niveles de servicio
Revisin de los acuerdos de niveles de servicio y de los contratos
ENTREGAR Y DA R SOPORTE
Definir y administrar los niveles de servicio
PROCESOS DE TI
Prestacin de Servicio
y Soporte
PROCESOS DE TI
Prestacin de Servicio
y Soporte
PROCESOS DE TI
Prestacin de Servicio
y Soporte
PROCESOS DE TI
Prestacin de Servicio
y Soporte
Autorizacin
Autenticidad
Acceso
Uso de proteccin e identificacin
Gestin de clave criptogrfica
Deteccin y prevencin de virus
Cortafuegos
PROCESOS DE TI
Prestacin de Servicio
y Soporte
Toma en consideracin
Recursos identificables y medibles
Modelacin de costos y cargos
Imponer valores
PROCESOS DE TI
Prestacin de Servicio
y Soporte
PROCESOS DE TI
Prestacin de Servicio
y Soporte
PROCESOS DE TI
Prestacin de Servicio
y Soporte
Medios de registro
Gestin del cambio de configuracin
Chequeo del software no autorizado
Controles de almacenamiento de software
PROCESOS DE TI
Prestacin de Servicio
y Soporte
PROCESOS DE TI
Prestacin de Servicio
y Soporte
PROCESOS DE TI
Prestacin de Servicio
y Soporte
Identificacin de la situacin
Seguridad fsica
Salud y seguridad del personal
Proteccin de amenazas del entorno
PROCESOS DE TI
Prestacin de Servicio
y Soporte
DOMINIOS DE TI
Monitoreo/Seguimiento
Evaluar regularmente todos los procesos de TI para determinar su
calidad y el cumplimiento de los requerimientos de control.
internos
son
efectivos
eficientes?
Puede
PROCESOS DE TI
Monitoreo /
Seguimiento
PROCESOS DE TI
Monitoreo /
Seguimiento
PROCESOS DE TI
Monitoreo /
Seguimiento
Toma en consideracin
Monitorear el marco de trabajo de control interno
Revisiones de Auditora
Auto-evaluacin de control
Control interno para terceros
Acciones correctivas
Monitorear y evaluar
Monitorear y evaluar el control interno
control interno situaciones a informar
Como ya se indic las "situaciones a informar", son asuntos que llaman la
atencin del auditor, pues representan deficiencias importantes en el diseo y
operacin de la estructura del control interno, que a su juicio podran afectar
negativamente la capacidad de la organizacin.
PROCESOS DE TI
Monitoreo /
Seguimiento
PROCESOS DE TI
Monitoreo /
Seguimiento
RESUMEN
1.
2.
3.
4.
Seguimiento
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
Y CONCLUSIONES
Objetivos del
Negocio
1.
2.
3.
4.
CobiT
5.
6.
7.
8.
9.
10.
Req. Informacin
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad, Cumplimiento,
Confiabilidad
Planeacin y
Organizacin
Recursos de TI
Adquisicin e
Implementacin
Datos, Aplicaciones
Tecnologa, Instalaciones,
Recurso Humano
Prestacin de
Servicio y
Soporte
1.
2.
3.
4.
5.
6.
7.
Identificacin de soluciones
Adquisicin y mantenimiento de SW aplicativo
Adquisicin y mantenimiento de arquitectura TI
Facilitar la Operacin y el uso
Adquirir recursos de TI
Administrar Cambios
Instalar y acreditar soluciones y cambios
BIBLIOGRAFIA
!
S
K
N
A
TH