Professional Documents
Culture Documents
1
DOMINIOS Y PROCESOS
SIS-303 Auditoria de Sistemas
PPT4
COBIT 4.1
CRITERIOS DE INFORMACIN DE
COBIT [1]
Para satisfacer los objetivos del negocio, la informacin necesita adaptarse a ciertos criterios de
control, los cuales son referidos en COBIT como requerimientos de informacin del negocio.
Con base en los requerimientos ms amplios de calidad, fiduciarios y de seguridad, se
definieron los siguientes siete criterios de informacin:
La efectividad tiene que ver con que la informacin sea relevante y pertinente a los
procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y
utilizable.
La eficiencia consiste en que la informacin sea generada con el ptimo (ms productivo y
econmico) uso de los recursos.
La confidencialidad se refiere a la proteccin de informacin sensitiva contra revelacin
no autorizada.
La integridad est relacionada con la precisin y completitud de la informacin, as como
con su validez de acuerdo a los valores y expectativas del negocio.
La disponibilidad se refiere a que la informacin est disponible cuando sea requerida
por los procesos del negocio en cualquier momento. Tambin concierne a la proteccin de
los recursos y las capacidades necesarias asociadas.
El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales a los cuales est sujeto el proceso de negocios, es decir, criterios de negocios
impuestos externamente, as como polticas internas.
La confiabilidad se refiere a proporcionar la informacin apropiada para que la gerencia
administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.
RECURSOS DE TI
Los recursos de TI identificados en COBIT se pueden definir como
sigue [1]:
Las aplicaciones incluyen tanto sistemas de usuario automatizados
como procedimientos manuales que procesan informacin.
La informacin son los datos en todas sus formas, de entrada,
procesados y generados por los sistemas de informacin, en cualquier
forma en que sean utilizados por el negocio.
La infraestructura es la tecnologa y las instalaciones (hardware,
sistemas operativos, sistemas de administracin de base de datos,
redes, multimedia, etc., as como el sitio donde se encuentran y el
ambiente que los soporta) que permiten el procesamiento de las
aplicaciones.
Las personas son el personal requerido para planear, organizar,
adquirir, implementar, entregar, soportar, monitorear y evaluar los
sistemas y los servicios de informacin. Estas pueden ser internas,
por outsourcing o contratadas, de acuerdo a como se requieran.
EL CUBO DE COBIT
PROCESOS: ADQUIRIR E
IMPLEMENTAR(AI)
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura
tecnolgica
AI4 Facilitar la operacin y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar soluciones y cambios.
IMPORTANCIA DE LA MEDICION
Una necesidad bsica de toda empresa es entender el estado de sus propios
sistemas de TI y decidir qu nivel de administracin y control debe
proporcionar. Para decidir el nivel correcto, la gerencia debe preguntarse:
Hasta dnde debemos ir?, y est el costo justificado por el beneficio?
La obtencin de una visin objetiva del nivel de desempeo propio de una
empresa no es sencilla. Qu se debe medir y cmo? Las empresas deben
medir dnde se encuentran y dnde se requieren mejoras, e implementar
un juego de herramientas gerenciales para monitorear esta mejora. COBIT
atiende estos temas a travs de:
Modelos de madurez que facilitan la evaluacin por medio de
benchmarking y la identificacin de las mejoras necesarias en la capacidad
Metas y mediciones de desempeo para los procesos de TI, que
demuestran cmo los procesos satisfacen las necesidades del negocio y de
TI, y cmo se usan para medir el desempeo de los procesos internos
basados en los principios de un marcador de puntuacin balanceado
(balanced scorecard) .
Metas de actividades para facilitar el desempeo efectivo de los procesos
MODELOS DE MADUREZ
Utilizando los modelos de madurez desarrollados
para cada uno de los 34 procesos TI de COBIT, la
gerencia podr identificar:
El desempeo real de la empresaDnde se
encuentra la empresa hoy
El estatus actual de la industriaLa
comparacin
El objetivo de mejora de la empresaDnde
desea estar la empresa
El crecimiento requerido entre como es y
como ser
MODELOS DE MADUREZ
Cada vez con ms frecuencia, se les pide a los directivos de
empresas corporativas y pblicas que consideren qu tan bien se
est administrando TI. Como respuesta a esto, se debe desarrollar
un plan de negocio para mejorar y alcanzar el nivel apropiado de
administracin y control sobre la infraestructura de informacin.
Aunque pocos argumentaran que esto no es algo bueno, se debe
considerar el equilibrio del costo beneficio y stas preguntas
relacionadas:
Qu est haciendo nuestra competencia en la industria, y cmo
estamos posicionados en relacin a ellos?
Cules son las mejores prcticas aceptables en la industria, y cmo
estamos posicionados con respecto a estas prcticas?
Con base en estas comparaciones, se puede decir que estamos
haciendo lo suficiente?
Cmo identificamos lo que se requiere hacer para alcanzar un nivel
adecuado de administracin y control sobre nuestros procesos de TI?
MODELOS DE MADUREZ
(REP.GRAFICA [1])
PROCESS CONTROL
Cada proceso COBIT tiene requerimientos de control genricos que se
identifican con PCn, que significa nmero de control de proceso:
PC1 Dueo del proceso Asignar un dueo para cada proceso COBIT de
tal manera que la responsabilidad sea clara.
PC2 Reiterativo Definir cada proceso COBIT de tal forma que sea
repetitivo.
PC3 Metas y objetivos Establecer metas y objetivos claros para cada
proceso COBIT para una ejecucin efectiva.
PC4 Roles y responsabilidades Definir roles, actividades y
responsabilidades claros en cada proceso COBIT para una ejecucin
eficiente.
PC5 Desempeo del proceso Medir el desempeo de cada proceso
COBIT en comparacin con sus metas.
PC6 Polticas, planes y procedimientos Documentar, revisar,
actualizar, formalizar y comunicar a todas las partes involucradas
cualquier poltica, plan procedimiento que impulse un proceso COBIT.
CONTROLES
Los objetivos de control de TI proporcionan un conjunto completo de
requerimientos de alto nivel a considerar por la gerencia para un
control efectivo de cada proceso de TI. Ellos:
Son sentencias de acciones de gerencia para aumentar el valor o
reducir el riesgo
Consisten en polticas, procedimientos, prcticas y estructuras
organizacionales.
Estn diseadas para proporcionar un aseguramiento razonable de
que los objetivos de negocio se conseguirn y que los eventos no
deseables se prevendrn, detectarn y corregirn.
La gerencia de la empresa necesita tomar decisiones relativas a estos
objetivos de control:
Seleccionando aquellos aplicables.
Decidir aquellos que deben implementarse.
Elegir como implementarlos (frecuencia, extensin, automatizacin,
etc.)
Aceptar el riesgo de no implementar aquellos que podran aplicar.
REFERENCIAS