Principios De Cobit

47 %
53 %
Information about Principios De Cobit
Business & Mgmt

Published on March 5, 2009

Author: cairiza

Source: slideshare.net

Description

Para proveer la información que requiere la organización para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas.

 

OBJETIVOS DE CONTROL PARA LA INFORMACION Y LA TECNOLOGIA RELACIONADA DEFINICIÓN DE COBIT

MISIÓN COBIT Investigar, desarrollar, publicar y promover un conjunto de objetivos de control para tecnología de información, que sea internacional y este actualizado para uso cotidiano de gerentes, auditores y usuarios. VISIÓN COBIT Ser el modelo de control para la TI .

REGLA DE ORO DE COBIT Para proveer la información que requiere la organización para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos , agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas.

USUARIOS COBIT La Gerencia : A poyo a decisiones de inversión en TI y control sobre su desempeño, balanceo del riesgo y el control de la inversión en un ambiente a menudo impredecible. Los Usuarios Finales : O btienen una garantía sobre el control y seguridad de los productos que adquieren interna y externamente. Los Auditores: : So portar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido. Los Responsables de TI : P ara identificar los controles que requieren en sus áreas. Organismos estatales de control: P ara saber que es lo mínimo que pueden exigir.

La Gerencia : A poyo a decisiones de inversión en TI y control sobre su desempeño, balanceo del riesgo y el control de la inversión en un ambiente a menudo impredecible.

Los Usuarios Finales : O btienen una garantía sobre el control y seguridad de los productos que adquieren interna y externamente.

Los Auditores: : So portar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.

Los Responsables de TI : P ara identificar los controles que requieren en sus áreas.

Organismos estatales de control: P ara saber que es lo mínimo que pueden exigir.

(Tecnologías de Informática ) Se encargan de Por medio de SISTEMAS INFORMATICOS DE INFORMACION QUE SON LAS TI DISEÑO FOMENTO DESARROLLO MANTENIMIENTO ADMINISTRACION

REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO RECURSOS DE TI PROCESOS DE TI PRINCIPIOS COBIT

Requerimientos de Calidad Requerimientos Financieros (COSO) Requerimientos de Seguridad Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Calidad (cumplimiento de requerimientos) Costo (dentro del presupuesto). Oportunidad (en el tiempo indicado) Confidencialidad. Integridad. Disponibilidad. CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS REQUERIMIENTOS DE LA INFORMACIÓN DEL NEGOCIO

Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Efectividad Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos. Eficiencia Relativa a la protección de la información sensitiva de su revelación no autorizada. Confidencialidad Se refiere a la exactitud y completitud de la información, así como su validez, en concordancia con los valores y expectativas del negocio. Integridad REQUERIMIENTOS DE LA INFORMACIÓN DEL NEGOCIO

Se refiere a que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas. Disponibilidad Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio. Cumplimiento Se refiere a la provisión de la información apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades financieras y de cumplir con los reportes de su gestión. Confiabilidad REQUERIMIENTOS DE LA INFORMACIÓN DEL NEGOCIO

Datos: Todos los objetos de información. Considera información interna y externa, estructurada o no, gráficas, sonidos, etc. Aplicaciones: E ntendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología: I ncluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recurso Humano : Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información. RECURSOS DE TI

Microcomputador o terminal ========================== Aplicaciones en funcionamiento (1),(2),(3),(4),(8),(10),(11) Red local =============== (1),(2),(3),(4),(5),(6), (7),(8),(9),(10),(11) Sistema de comunicaciones (8),(11) Seguridad de la información Seguridad física (1) Sistemas Operacionales (2) Software de Seguridad (3) Sistemas Manejadores de Bases de Datos y Diccionarios de Datos (4) Monitores de Teleprocesamiento (5) Ayudas para el desarrollo de programas (6) Control del Cambio y Administración de librerías (7) Editores en línea (8) Software de Telecomunicaciones (9) Sistema de soporte a operaciones (10) Sistemas de oficina (11) Intercambio electrónico de datos Equipo central ========================= Operación del sistema (1),(2),(6),(7),(8),(9) RECURSOS DE TI

PROCESOS DE TI - LOS 3 NIVELES Dominios Agrupación natural de procesos, normalmente corresponden a una responsabilidad organizacional Procesos Conjuntos de actividades unidas con delimitación o cortes de control. Actividades o tareas Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas.

DOMINIOS DE TI Planeación y Organización Adquisición e implementación Prestación de Servicios y Soporte Seguimiento o monitoreo

Planeación y Organización

Adquisición e implementación

Prestación de Servicios y Soporte

Seguimiento o monitoreo

Planeación y Organización Se vincula con la identificación de la forma en que la tecnología de información puede contribuir de la manera más adecuada con el logro de los objetivos del negocio. • ¿Están alineadas las estrategias de TI y del negocio? • ¿La empresa está alcanzando un uso óptimo de sus recursos? • ¿Entienden todas las personas dentro de la organización los objetivos de TI? • ¿Se entienden y administran los riesgos de TI? • ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio? DOMINIOS DE TI

Planeación y Organización

Se vincula con la identificación de la forma en que la tecnología de información puede contribuir de la manera más adecuada con el logro de los objetivos del negocio.

• ¿Están alineadas las estrategias de TI y del negocio? • ¿La empresa está alcanzando un uso óptimo de sus recursos? • ¿Entienden todas las personas dentro de la organización los objetivos de TI? • ¿Se entienden y administran los riesgos de TI? • ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

Planeac i ón y Organización PROCESOS DE TI

Planeac i ón y Organización Que satisface el requisito de negocio para Hallar un balance óptimo de oportunidades de tecnología de la información y los requisitos de negocio así como también asegurar su realización adicional Toma en consideración • Definición de los objetivos de negocio y necesidades para las TI • Inventario de soluciones tecnológicas e infraestructura actual • Cambios organizativos • Estudio de viabilidad oportuno • Existencia de evaluaciones de sistemas PROCESOS DE TI

Planeac i ón y Organización Que satisface el requisito de negocio para Una mejor organización de los sistemas de información Toma en consideración • Documentación • Diccionario de datos • Reglas sintácticas de datos • Propiedad de datos y clasificación crítica PROCESOS DE TI

Planeac i ón y Organización Que satisface el requisito de negocio para Tomar ventaja de la tecnología disponible y emergente Toma en consideración • Adecuación y evolución de la capacidad de la infraestructura actual • Monitorización de los desarrollos tecnológicos • Contingencias • Planes de adquisición PROCESOS DE TI

Planeac i ón y Organización Que satisface el requisito de negocio para Entregar los servicios de las TI Toma en consideración • Comité de dirección • Consejo de nivel de responsabilidad • Propiedad, custodia • Supervisión • Segregación de obligaciones • Roles y responsabilidades • Descripciones del trabajo • Provisión de niveles • Clave personal PROCESOS DE TI

Planeac i ón y Organización Que satisface el requisito de negocio para Garantizar la consolidación y controlar el gasto de los recursos financiero s Toma en consideración • Consolidación de alternativas • Control del gasto efectivo • Justificación de los costes • Justificación de los beneficios PROCESOS DE TI

Planeac i ón y Organización Que satisface el requisito de negocio para Garantizar el conocimiento del usuario y entendimiento de esos fines Toma en consideración • Código de conducta/ética • Directrices de tecnología • Conformidad • Comisión de calidad • Políticas de seguridad • Políticas de control interno PROCESOS DE TI

Planeac i ón y Organización Que satisface el requisito de negocio para Maximizar las contribuciones del personal a los procesos de TI Toma en consideración • Refuerzo y promoción • Requisitos de calidad • Entrenamiento • Construcción del conocimiento • Evaluación de la ejecución objetiva y medible PROCESOS DE TI

Planeac i ón y Organización Que satisface el requisito de negocio para La mejora continua y medible de la calidad de los servicios prestados por TI Toma en consideración • Plan de estructura de la calidad • Estándares y prácticas de calidad • Metodología del ciclo de vida del desarrollo del sistemas • Estándares de desarrollo y de adquisición • Medición, monitoreo y revisión de la calidad PROCESOS DE TI

Planeac i ón y Organización Que satisface el requisito de negocio para De asegurar la realización de los objetivos de TI, respondiendo a las amenazas para el suministro de los servicios de TI Toma en consideración • Diferentes tipos de riesgos de TI (tecnología, seguridad, continuidad, etc.) • Alcance: global o sistemas específicos • Evaluación de riesgos hasta la fecha • Metodología de análisis de riesgos • Medidas de riesgo cuantitativas y/o cualitativas • Plan de acción de riesgos PROCESOS DE TI

P L A N E A R Y O R G A N I Z A R PO9 Evaluar y administrar los riesgos de TI BS 7799 Security Standard "BS 7799-3:2005 sistemas de gestión seguridad de la información. Directrices para la gestión de riesgos de seguridad de la información " Abarca las siguientes: # Evaluación de riesgos # Tratamiento del riesgo # Gestión de la toma de decisiones # Nueva evaluación de riesgo # La vigilancia y el examen de perfil de riesgo # Riesgo de la seguridad de la información en el contexto de la gobernanza empresarial # El cumplimiento de otras normas basadas en los riesgos y los reglamentos PROCESOS DE TI

Planeac i ón y Organización Que satisface el requisito de negocio para La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados. Toma en consideración • Marco de trabajo para la administración de programas de inversión en TI • Marco de trabajo para la administración de proyectos • Interrupción de tareas • Distribución de responsabilidades • Proyecto y fase de aprobación • Costes y presupuesto del personal • Planes de seguridad de la calidad y métodos Recursos del proyecto PROCESOS DE TI

Toma en consideración

• Marco de trabajo para la administración de programas de inversión en TI

• Marco de trabajo para la administración de proyectos

• Interrupción de tareas

• Distribución de responsabilidades

• Proyecto y fase de aprobación

• Costes y presupuesto del personal

• Planes de seguridad de la calidad y métodos

Recursos del proyecto

Adquisición e Implementación Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas. • ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? • ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? • ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? • ¿Los cambios afectarán las operaciones actuales del negocio? DOMINIOS DE TI

Adquisición e Implementación

Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.

• ¿Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? • ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? • ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? • ¿Los cambios afectarán las operaciones actuales del negocio?

Adquisición e Implementación PROCESOS DE TI

Adquisición e Implementación Que satisface el requisito de negocio para Asegurar la mejor aproximación para satisfacer los requisitos del usuario Toma en consideración • Definición de la información de requisitos • Estudios factibles (costes, beneficios, alternativas, etc.) • Requisitos de usuario • Arquitectura de la información • Seguridad del coste-efectivo • Contratación externa PROCESOS DE TI

Adquisición e Implementación Que satisface el requisito de negocio para Suministrar funciones automáticas que soporten de forma efectiva los procesos de negocio Toma en consideración Requisitos de usuario Diseño de alto nivel Diseño detallado Archivo, gasto, proceso y requisitos externos Interfaz de la máquina-usuario Controles de aplicación y requisitos de seguridad Documentación PROCESOS DE TI

Toma en consideración

Requisitos de usuario

Diseño de alto nivel

Diseño detallado

Archivo, gasto, proceso y requisitos externos

Interfaz de la máquina-usuario

Controles de aplicación y requisitos de seguridad

Documentación

Adquisición e Implementación Que satisface el requisito de negocio para Adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI Toma en consideración • Asentamiento de la tecnología • Mantenimiento del hardware preventivo • Seguridad del sistema software, instalación, mantenimiento y cambio de controles PROCESOS DE TI

Adquisición e Implementación Que satisface el requisito de negocio para Garantizar la satisfacción de los usuarios finales mediante ofrecimientos de servicios, y de forma transparente integrar las soluciones de aplicación y tecnología dentro de los procesos del negocio. Toma en consideración Plan para soluciones de operación Transferencia de conocimiento a la gerencia del negocio Transferencia de conocimiento a usuarios finales Transferencia de conocimiento al personal de operaciones y soporte PROCESOS DE TI

Toma en consideración

Plan para soluciones de operación

Transferencia de conocimiento a la gerencia del negocio

Transferencia de conocimiento a usuarios finales

Transferencia de conocimiento al personal de operaciones y soporte

Adquisición e Implementación Que satisface el requisito de negocio para Mejorar la rentabilidad de TI y su contribución a la utilidad del negocio. Toma en consideración Control de adquisición Administración de contratos con proveedores Selección de proveedores Adquisición de software Adquisición de recursos de desarrollo Adquisición de infraestructura, instalaciones y servicios relacionados PROCESOS DE TI

Toma en consideración

Control de adquisición

Administración de contratos con proveedores

Selección de proveedores

Adquisición de software

Adquisición de recursos de desarrollo

Adquisición de infraestructura, instalaciones y servicios relacionados

Adquisición e Implementación Que satisface el requisito de negocio para Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio. Toma en consideración Estándares y procedimientos para cambios Evaluación de impacto, priorización y autorización Cambios de emergencia Seguimiento y reporte del estatus de cambio Cierre y documentación del cambio PROCESOS DE TI

Toma en consideración

Estándares y procedimientos para cambios

Evaluación de impacto, priorización y autorización

Cambios de emergencia

Seguimiento y reporte del estatus de cambio

Cierre y documentación del cambio

A D Q U I R I R E I M P L A N T A R AI06 Administrar cambios Iso/iec12207 5.2 Suministro 5.5 Mantenimiento 7.3 Mejoras 5.2 Suministro: El proceso de suministro contiene las actividades y tareas del proveedor: Actividades Inicio Preparación de respuesta Contrato Planificación Ejecución y control Revisión y evaluación Entrega y finalización PROCESOS DE TI

5.2 Suministro:

El proceso de suministro contiene las actividades y tareas del proveedor:

Actividades

Inicio

Preparación de respuesta

Contrato

Planificación

Ejecución y control

Revisión y evaluación

Entrega y finalización

Adquisición e Implementación Que satisface el requisito de negocio para Contar con sistemas nuevos o modificados que trabajen sin problemas importantes después de la instalación Toma en consideración Entrenamiento Plan de prueba Plan de implantación Ambiente de prueba Conversión de sistema y datos Distribución del sistema PROCESOS DE TI

Toma en consideración

Entrenamiento

Plan de prueba

Plan de implantación

Ambiente de prueba

Conversión de sistema y datos

Distribución del sistema

Prestación de Servicios y Soporte Prestación efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitación. • ¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? •¿Están optimizados los costos de TI? •¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? •¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad? DOMINIOS DE TI

Prestación de Servicios y Soporte

Prestación efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitación.

• ¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? •¿Están optimizados los costos de TI? •¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? •¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

Prestación de Servicio y Soporte PROCESOS DE TI

Prestación de Servicio y Soporte Que satisface el requisito de negocio para Asegurar la alineación de los servicios claves de TI con la estrategia del negocio Toma en consideración Definición de servicios Definición de responsabilidades Garantías de integridad Monitoreo y reporte del cumplimento de los niveles de servicio Revisión de los acuerdos de niveles de servicio y de los contratos PROCESOS DE TI

Toma en consideración

Definición de servicios

Definición de responsabilidades

Garantías de integridad

Monitoreo y reporte del cumplimento de los niveles de servicio

Revisión de los acuerdos de niveles de servicio y de los contratos

ENTREGAR Y DA R SOPORTE Definir y administrar los niveles de servicio SLA (Service Level Agreement) o Acuerdo de Nivel de Servicio es un contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad del servicio. Si se utiliza correctamente debe: * Identificar y definir las necesidades del cliente * Proporcionar un marco para la comprensión * Simplificar cuestiones complejas * Reducir las zonas de conflicto * Alentar el diálogo en caso de litigio * Eliminar las expectativas poco realistas Concretamente, debe abarcar una amplia gama de cuestiones. Entre estos suelen ser los siguientes: Servicios a ser entregados Rendimiento, seguimiento y presentación de informes Problema de gestión Cumplimiento legal y Resolución de Conflictos Deberes y Responsabilidades del cliente Seguridad Derechos de propiedad intelectual y la información confidencial Terminación

Prestación de Servicio y Soporte Que satisface el requisito de negocio para Asegurar que las reglas y las responsabilidades de terceras partes están definidas de forma clara, adheridas y continuar satisfaciendo los requisitos Toma en consideración Identificación de las relaciones con todos los proveedores Administración de las relaciones con los proveedores Administración de riesgos del proveedor Monitoreo del desempeño del proveedor PROCESOS DE TI

Toma en consideración

Identificación de las relaciones con todos los proveedores

Administración de las relaciones con los proveedores

Administración de riesgos del proveedor

Monitoreo del desempeño del proveedor

Prestación de Servicio y Soporte Que satisface el requisito de negocio para Optimizar el desempeño de la infraestructura, los recursos y las capacidades de TI en respuesta a las necesidades del negocio. Toma en consideración Disponibilidad y cumplimiento de los requisitos Capacidad y desempeño actual Capacidad y desempeño futuros Disponibilidad de recursos TI Monitoreo y reporte PROCESOS DE TI

Toma en consideración

Disponibilidad y cumplimiento de los requisitos

Capacidad y desempeño actual

Capacidad y desempeño futuros

Disponibilidad de recursos TI

Monitoreo y reporte

Prestación de Servicio y Soporte Que satisface el requisito de negocio para Hacer que los servicios de TI requeridos estén disponibles y asegurar un impacto de negocio mínimo en caso de una ruptura mayor Toma en consideración • Clasificación crítica • Plan de continuidad documentado • Recursos críticos de TI Mantenimiento, Pruebas, Entrenamiento y Distribución del plan de continuidad de TI PROCESOS DE TI

Toma en consideración

• Clasificación crítica

• Plan de continuidad documentado

• Recursos críticos de TI

Mantenimiento, Pruebas, Entrenamiento y Distribución del plan de continuidad de TI

Prestación de Servicio y Soporte Que satisface el requisito de negocio para Salvaguardar la información contra el uso no autorizado, descubrimiento o modificación, daño o pérdida Toma en consideración • Autorización • Autenticidad • Acceso • Uso de protección e identificación • Gestión de clave criptográfica • Detección y prevención de virus • Cortafuegos PROCESOS DE TI

Prestación de Servicio y Soporte Que satisface el requisito de negocio para Asegurar un correcto conocimiento de los costes atribuidos a los servicios de TI Toma en consideración • Recursos identificables y medibles • Modelación de costos y cargos • Imponer valores PROCESOS DE TI

Prestación de Servicio y Soporte Que satisface el requisito de negocio para Asegurar que los usuarios son eficientes en el uso de la tecnología y que son conscientes de los riesgos y responsabilidades en las que están involucrados Toma en consideración • Plan de estudios de entrenamiento • Campañas de conocimiento • Técnicas de conocimiento PROCESOS DE TI

Prestación de Servicio y Soporte Que satisface el requisito de negocio para Permitir el efectivo uso de los sistemas de TI garantizando la resolución y el análisis de las consultas de los usuarios finales, incidentes y preguntas. Toma en consideración • Cuestiones del cliente y respuestas al problema • Monitorización de cuestiones y aclaraciones • Análisis de tendencias e información PROCESOS DE TI

Prestación de Servicio y Soporte Que satisface el requisito de negocio para Considerar todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proveer de un fundamento para una gestión de cambio firme Toma en consideración • Medios de registro • Gestión del cambio de configuración • Chequeo del software no autorizado • Controles de almacenamiento de software PROCESOS DE TI

Prestación de Servicio y Soporte Que satisface el requisito de negocio para Asegurar que los problemas e incidentes serán resueltos, e investigando la causa para prevenir una nueva aparición de estos Toma en consideración • Reglas suficientes de auditoría de problemas y soluciones • Resolución oportuna de problemas anunciados • Informes de incidentes PROCESOS DE TI

Prestación de Servicio y Soporte Que satisface el requisito de negocio para Asegurar que los datos permanecen completos, correctos y válidos durante su introducción, actualización y almacenamiento Toma en consideración • Diseño del modelo • Controles de entrada • Controles de proceso • Controles de salida • Almacenamiento multimedia y gestión de copias de seguridad • Autenticidad e integridad PROCESOS DE TI

Prestación de Servicio y Soporte Que satisface el requisito de negocio para Proveer de un medio físico apropiado que proteja el equipamiento de las TI y a las personas contra riesgos naturales y riesgos provocados por el hombre Toma en consideración • Identificación de la situación • Seguridad física • Salud y seguridad del personal • Protección de amenazas del entorno PROCESOS DE TI

Prestación de Servicio y Soporte Que satisface el requisito de negocio para Asegurar que las funciones importantes soportadas de las TI son realizadas regularmente y de una forma ordenada Toma en consideración • Manual de procedimiento de operaciones • Documentación del proceso puesto en marcha • Gestión de servicios de la red • Planificación del trabajo y el personal PROCESOS DE TI

Monitoreo/Seguimiento Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control. • ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? •¿La Gerencia garantiza que los controles internos son efectivos y eficientes? •¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? •¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño? DOMINIOS DE TI

Monitoreo/Seguimiento

Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control.

• ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? •¿La Gerencia garantiza que los controles internos son efectivos y eficientes? •¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? •¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?

Monitoreo / Seguimiento PROCESOS DE TI

Monitoreo / Seguimiento Que satisface el requisito de negocio para Transparencia y entendimiento de los costos, beneficios, estrategia, políticas y niveles de servicio de TI de acuerdo con los requisitos de gobierno. Toma en consideración Método de monitoreo Evaluación del desempeño Reportes al consejo directivo y a ejecutivos Acciones correctivas PROCESOS DE TI

Toma en consideración

Método de monitoreo

Evaluación del desempeño

Reportes al consejo directivo y a ejecutivos

Acciones correctivas

Monitoreo / Seguimiento Que satisface el requisito de negocio para Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI. Toma en consideración Monitorear el marco de trabajo de control interno Revisiones de Auditoría Auto-evaluación de control Control interno para terceros Acciones correctivas PROCESOS DE TI

Toma en consideración

Monitorear el marco de trabajo de control interno

Revisiones de Auditoría

Auto-evaluación de control

Control interno para terceros

Acciones correctivas

Monitorear y evaluar Monitorear y evaluar el control interno control interno situaciones a informar Como ya se indicó las "situaciones a informar", son asuntos que llaman la atención del auditor, pues representan deficiencias importantes en el diseño y operación de la estructura del control interno, que a su juicio podrían afectar negativamente la capacidad de la organización. Deficiencia en el diseño de la estructura del control interno Diseño inadecuado de la estructura del control interno en general. - Ausencia de una adecuada segregación de funciones, acorde con los objetivos de control establecidos. - Falta de revisión y aprobación adecuada de las transacciones, pólizas contables o reportes emitidos. Fallas en el suministro de información completa y correcta de acuerdo con los objetivos de la entidad, como consecuencia de omisiones en la aplicación de los procedimientos de control. - Violación intencional de los controles establecidos, por parte de personal de alto nivel jerárquico. - Fallas en la protección de los activos, contra pérdidas, daños o uso indebido de los mismos .

Monitoreo / Seguimiento Que satisface el requisito de negocio para Cumplir las leyes y regulaciones. Toma en consideración Identificar las leyes y regulaciones con impacto potencial sobre TI Optimizar la respuesta a requerimientos regulatorios Evaluación del cumplimiento con requerimientos regulatorios Aseguramiento positivo del cumplimiento Reportes integrados PROCESOS DE TI

Toma en consideración

Identificar las leyes y regulaciones con impacto potencial sobre TI

Optimizar la respuesta a requerimientos regulatorios

Evaluación del cumplimiento con requerimientos regulatorios

Aseguramiento positivo del cumplimiento

Reportes integrados

Monitoreo / Seguimiento Que satisface el requisito de negocio para La integración de un gobierno de TI con objetivos de gobierno corporativo y el cumplimiento con las leyes y regulaciones Toma en consideración Establecer un marco de trabajo de gobierno para TI Alineamiento estratégico Entrega de valor Administración de recursos Administración de riesgos Medición del desempeño PROCESOS DE TI

Toma en consideración

Establecer un marco de trabajo de gobierno para TI

Alineamiento estratégico

Entrega de valor

Administración de recursos

Administración de riesgos

Medición del desempeño

Recursos de TI Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano Objetivos del Negocio Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad CobiT Planeación y Organización Adquisición e Implementación Seguimiento Prestación de Servicio y Soporte Monitorear y Evaluar el desempeño de TI Monitorear y Evaluar el control interno Garantizar el cumplimiento regulatorio Proporcionar gobierno de TI Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Facilitar la Operación y el uso Adquirir recursos de TI Administrar Cambios Instalar y acreditar soluciones y cambios Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de la Función TI Administrar la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Administrar la Calidad Evaluación y Administración de Riesgos Administración de Proyectos Definición del nivel de servicio Administración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones (Ambiente Físico) Administración de Operaciones RESUMEN Y CONCLUSIONES

Monitorear y Evaluar el desempeño de TI

Monitorear y Evaluar el control interno

Garantizar el cumplimiento regulatorio

Proporcionar gobierno de TI

Identificación de soluciones

Adquisición y mantenimiento de SW aplicativo

Adquisición y mantenimiento de arquitectura TI

Facilitar la Operación y el uso

Adquirir recursos de TI

Administrar Cambios

Instalar y acreditar soluciones y cambios

Definir un plan estratégico de TI

Definir la arquitectura de información

Determinar la dirección tecnológica

Definir la organización y relaciones de la Función TI

Administrar la inversión en TI

Comunicación de la directrices Gerenciales

Administración del Recurso Humano

Administrar la Calidad

Evaluación y Administración de Riesgos

Administración de Proyectos

Definición del nivel de servicio

Administración del servicio de terceros

Administración de la capacidad y el desempeño

Asegurar el servicio continuo

Garantizar la seguridad del sistema

Identificación y asignación de costos

Capacitación de usuarios

Soporte a los clientes de TI

Administración de la configuración

Administración de problemas e incidentes

Administración de datos

Administración de Instalaciones (Ambiente Físico)

Administración de Operaciones

BIBLIOGRAFIA COBIT 4.0 (PDF). Planificación y Gestión de Sistemas de Información . TRABAJO DE TEORÍA. Roberto Sobrinos Sánchez. 19 de Mayo de 1999. COBIT: Herramienta de IT Governance. Fernando Ferrer Olivares, CISA - Presidente ISACA – Colombia. Administración de Riesgos de TI. Fernando Izquierdo Duarte, CISA - Ingeniero de Sistemas.

COBIT 4.0 (PDF).

Planificación y Gestión de Sistemas de Información . TRABAJO DE TEORÍA. Roberto Sobrinos Sánchez. 19 de Mayo de 1999.

COBIT: Herramienta de IT Governance. Fernando Ferrer Olivares, CISA - Presidente ISACA – Colombia.

Administración de Riesgos de TI. Fernando Izquierdo Duarte, CISA - Ingeniero de Sistemas.

 

THANKS!

THANKS!

Add a comment

Related presentations

Related pages

Principios de COBIT 5 (1/5) - YouTube

COBIT 5: Marco de referencia del Negocio para el Gobierno y la Gestión de TI en la empresa. Se describe el principio de COBIT: Satisfacer las ...
Read more

PRINCIPIOS DEL COBIT - YouTube

Universidad De San Carlos de Guatemala ... This feature is not available right now. Please try again later.
Read more

Principios de COBIT 5 para el gobierno efectivo de TI

En una nueva guía, titulada “Los principios de COBIT 5: ¿De dónde vinieron?”, ISACA resumió cinco acciones que las organizaciones pueden realizar ...
Read more

Gestão de TI inteligente: COBIT – Princípios Básicos

Para que possamos entender o modelo do Cobit, precisamos identificar as características gerais que o norteiam, pois são elas que embasam toda a ...
Read more

COBIT 5 y la Seguridad de la Información - Presentación ...

Title: COBIT 5 y la Seguridad de la Información - Presentación de PowerPoint Author: Usuaria2 Last modified by: lwogelius Created Date: 11/21/2011 12:59 ...
Read more

PRINCIPIOS DE COBIT 5 | chauditoriaucaldas1700813714

COBIT 5 Es el principal producto, que cubre (overarching) a los demás de la familia COBIT 5. Contiene el resumen ejecutivo y la descripción completa de ...
Read more

Principios Cobit 5 | chae201521700911004

Los principios y habilitadores de Cobit 5 son genéricos y útiles para las organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro ...
Read more

Estándar COBIT - Wikiversidad

COBIT se basa en 5 principios claves, para el gobierno y la gestión de las TI empresariales. Principio 1. Satisfacer las Necesidades de las Partes ...
Read more

Acerca de ISACA - Information Technology - Information ...

COBIT 5 Español ISACA ... ISACA Glossary English-Spanish; Principios rectores para la adopción y el uso de la computación en la nube;
Read more