Professional Documents
Culture Documents
Tema.
El COBIT
CA 10-2
Semestre
Septiembre 2014 - Marzo 2015
Quito - Ecuador
Auditoria de Sistemas Informticos II
Pgina 0
El COBIT
NDICE
PORTADA...............................................................................................................................
NDICE....................................................................................................................................I
ILUSTRACIONES.................................................................................................................II
EL COBIT...............................................................................................................................1
INTRODUCCIN...............................................................................................................1
DEFINICION..........................................................................................................................2
OBJETIVO..........................................................................................................................2
CARACTERSTICAS.........................................................................................................2
EDICIONES............................................................................................................................5
COBIT MODELO PARA AUDITORIA Y CONTROL DE SISTEMAS DE
INFORMACIN....................................................................................................................7
PLANIFICACIN Y ORGANIZACIN:..........................................................................9
ADQUISICIN E IMPLANTACIN................................................................................9
SOPORTE Y SERVICIOS................................................................................................10
MONITOREO...................................................................................................................10
USUARIOS.......................................................................................................................10
CARACTERSTICAS:......................................................................................................11
PRINCIPIOS.....................................................................................................................12
REQUERIMIENTOS DE SEGURIDAD: CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD...........................................................................................................13
TECNOLOGAS DE INFORMACIN...........................................................................15
UN MARCO DE NEGOCIO PARA EL GOBIERNO Y LA GESTIN DE LAS TI DE LA
EMPRESA............................................................................................................................17
INTRODUCION...................................................................................................................17
MISIN................................................................................................................................19
VISIN.................................................................................................................................19
OBJETIVO GENERAL........................................................................................................20
OBJETIVOS ESPECFICOS................................................................................................20
ANEXOS.................................................................................................................................I
DINAMICAS A DESARROLLAS (TEST DE PARTICIPACION INMEDIATA).............I
PRIMER EXPOSITOR....................................................................................................i
SEGUNDO EXPOSITOR................................................................................................i
TERCER EXPOSITOR...................................................................................................ii
MODELO DE TEST DE EVALUACION...........................................................................I
EXPOSICIN DEL COBIT.............................................................................................. IV
Pgina 1
El COBIT
ILUSTRACIONES
1 Gobierno de TI.....................................................................................................................1
2 Evaluacin de la Capacidad de Procesos.............................................................................4
3 Imagen del COBIT...............................................................................................................5
4 Imagen COBIT 5..................................................................................................................6
5 Estructura del Modelo COBIT.............................................................................................8
6 Imagen ISACA...................................................................................................................11
7 Principios...........................................................................................................................12
Pgina 2
El COBIT
EL COBIT
INTRODUCCIN
Las empresas poseen un capital activo muy valioso: informacin y tecnologa. Cada vez en
mayor medida, el xito de una empresa depende de la comprensin de ambos componentes.
Las buenas prcticas concentradas en el marco de referencia COBIT, permiten que los
negocios se alineen con la tecnologa de la informacin para as alcanzar los mejores
resultados.
La informacin y la tecnologa que la soporta representan los activos ms valiosos de
muchas empresas, aunque con frecuencia son poco entendidos. Las empresas exitosas
reconocen los beneficios de la tecnologa de informacin y la utilizan para impulsar el valor
de sus interesados. Estas empresas tambin entienden y administran los riesgos asociados,
es decir, el aumento en los requerimientos regulatorios, as como tambin una gran
dependencia de muchos de los procesos de negocio en TI. Pero todos estos elementos son
clave para el gobierno de la empresa. El valor, el riesgo y el control constituyen la esencia
del gobierno de TI.
1 Gobierno de TI
Pgina 1
El COBIT
DEFINICION
COBIT es un acrnimo para Control Objectives for Information and related Technology
(Objetivos de Control para tecnologa de la informacin y relacionada); desarrollada por la
Information Systems Audit and Control Association (ISACA) y el IT Governance Institute
(ITGI).
COBIT es una metodologa aceptada mundialmente para el adecuado control de proyectos
de tecnologa, los flujos de informacin y los riesgos que stas implican. La metodologa
COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC;
incorporando objetivos de control, directivas de auditora, medidas de rendimiento y
resultados, factores crticos de xito y modelos de madurez.
Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos
tecnolgicos. Ello a partir de parmetros generalmente aplicables y aceptados, para mejorar
las prcticas de planeacin, control y seguridad de las Tecnologas de Informacin.
OBJETIVO
Investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control
generalmente aceptados las tecnologas de la informacin que sean autorizados,
actualizados, e internacionales para el uso de los gestores de negocios y auditores.
CARACTERSTICAS
COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los
beneficios, riesgos, necesidades de control y aspectos tcnicos propios de un proyecto TIC;
proporcionando un Marco Referencial Lgico para su direccin efectiva.
Pgina 2
El COBIT
Los Objetivos de Control para la Informacin y la Tecnologa relacionada brindan buenas
prcticas a travs de un marco de trabajo de dominios y procesos, y presenta las actividades
en una estructura manejable y lgica. Las buenas prcticas de COBIT estn enfocadas
fuertemente en el control y menos en la ejecucin. Estas prcticas ayudarn a optimizar las
inversiones facilitadas por la TI, asegurarn la entrega del servicio y brindarn un patrn de
medicin con el cual se podr calificar cuando las cosas no vayan bien. Para que la TI tenga
xito en satisfacer los requerimientos del negocio, la direccin empresarial debe implantar
un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT
contribuye a estas necesidades de la siguiente manera:
La orientacin al negocio que realiza COBIT consiste en vincular las metas del negocio con
las metas de TI, brindando mtricas y modelos de madurez para medir los logros, e
identificando las responsabilidades asociadas de los propietarios de los procesos de negocio
y de TI. El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual
subdivide TI en 34 procesos de acuerdo a las responsabilidades de planear, construir,
ejecutar y monitorear; de esta manera, se ofrece una visin de punta a punta de la TI. El
concepto de arquitectura empresarial ayuda a identificar aquellos recursos esenciales para
el xito de los procesos, es decir, aplicaciones, informacin, infraestructura y personas. En
resumen, para proporcionar la informacin que la empresa necesita de acuerdo a sus
objetivos, los recursos de TI deben ser administrados por un conjunto de procesos
agrupados de forma natural.
Una respuesta al requerimiento de determinar y monitorear el nivel apropiado de control y
desempeo de TI, son los conceptos que COBIT define especficamente:
Benchmarking de la capacidad de los procesos de TI. Son modelos de madurez derivados
del Modelo de Madurez de la Capacidad del Instituto de Ingeniera de Software
Pgina 3
El COBIT
Metas y mtricas de los procesos de TI para definir y medir sus resultados y su desempeo,
basados en los principios de balanced business Scorecard de Robert Kaplan y David Norton
Objetivos de las actividades para controlar estos procesos, con base en los objetivos de
control detallados de COBIT
La evaluacin de la capacidad de los procesos basada en los modelos de madurez de
COBIT es una parte clave de la implementacin del gobierno de TI. Despus de identificar
los procesos y controles crticos de TI, el modelado de la madurez permite identificar y
demostrar a la direccin las brechas en la capacidad.
Pgina 4
El COBIT
EDICIONES
La primera edicin fue publicada en 1996; la segunda edicin en 1998; la tercera edicin en
2000 (la edicin on-line estuvo disponible en 2003); y la cuarta edicin en diciembre de
2005, y la versin 4.1 est disponible desde mayo de 2007.
COBIT 4.1.- En su cuarta edicin, COBIT tiene 5221154el que cubren 210 objetivos de
control (especficos o detallados) clasificados en cuatro dominios: Planificacin y
Organizacin, Adquisicin e Implementacin, Entrega y Soporte, y, Supervisin y
Evaluacin. En ingls: Plan and Organize, Acquire and Implement, Deliver and Support,
and Monitor and Evaluate.
COBIT 5.- ISACA lanz el 10 de abril del 2012 la nueva edicin de este marco de
referencia. COBIT 5 es la ltima edicin del framework mundialmente aceptado, el cual
proporciona una visin empresarial del Gobierno de TI que tiene a la tecnologa y a la
informacin como protagonistas en la creacin de valor para las empresas.
Pgina 5
El COBIT
COBIT 5 se basa en COBIT 4.1, y a su vez lo ampla mediante la integracin de otros
importantes marcos y normas como Val IT y Risk IT, Information Technology
Infrastructure Library (ITIL ) y las normas ISO relacionadas.
4 Imagen COBIT 5
polticas
Gestin de nuevas tecnologas de informacin
En el mes de junio del 2012, ISACA lanz "COBIT 5 para la seguridad de la informacin",
actualizando la ltima versin de su marco a fin de proporcionar una gua prctica en la
seguridad de la empresa, en todos sus niveles prcticos.
COBIT 5 para seguridad de la informacin puede ayudar a las empresas a reducir sus
perfiles de riesgo a travs de la adecuada administracin de la seguridad. La informacin
especfica y las tecnologas relacionadas son cada vez ms esenciales para las
organizaciones, pero la seguridad de la informacin es esencial para la confianza de los
accionistas
Pgina 6
El COBIT
COBIT MODELO PARA AUDITORIA Y CONTROL DE SISTEMAS DE
INFORMACIN
La evaluacin de los requerimientos del negocio, los recursos y procesos IT, son puntos
bastante importantes para el buen funcionamiento de una compaa y para el aseguramiento
de su supervivencia en el mercado. El COBIT es precisamente un modelo para auditar la
gestin y control de los sistemas de informacin y tecnologa, orientado a todos los sectores
de una organizacin, es decir, administradores IT, usuarios y por supuesto, los auditores
involucrados en el proceso. El COBIT es un modelo de evaluacin y monitoreo que
enfatiza en el control de negocios y la seguridad IT y que abarca controles especficos de IT
desde una perspectiva de negocios. Las siglas COBIT significan Objetivos de Control para
Tecnologa de Informacin y Tecnologas relacionadas (Control Objectives for Information
Systems and related Technology). El modelo es el resultado de una investigacin con
expertos de varios pases, desarrollado por ISACA (Information Systems Audit and Control
Association).
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma
en que trabajan los profesionales de tecnologa. Vinculando tecnologa informtica y
prcticas de control, el modelo COBIT consolida y armoniza estndares de fuentes globales
prominentes en un recurso crtico para la gerencia, los profesionales de control y los
auditores.
Pgina 7
El COBIT
Pgina 8
El COBIT
PLANIFICACIN Y ORGANIZACIN:
Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en
que la tecnologa de informacin puede contribuir de la mejor manera al logro de los
objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser
planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica
apropiadas.
ADQUISICIN E IMPLANTACIN
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del
negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas
existentes.
SOPORTE Y SERVICIOS: En
este dominio se hace referencia
a la entrega de los servicios
requeridos, que abarca desde las
operaciones tradicionales hasta
el entrenamiento, pasando por
seguridad y aspectos de
continuidad.
Pgina 9
El COBIT
SOPORTE Y SERVICIOS
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca
desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y
aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos
de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de
aplicacin, frecuentemente clasificados como controles de aplicacin.
MONITOREO
Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar
su calidad y suficiencia en cuanto a los requerimientos de control. Estos dominios agrupan
objetivos de control de alto nivel, que cubren tanto los aspectos de informacin, como de la
tecnologa que la respalda. Estos dominios y objetivos de control facilitan que la generacin
y procesamiento de la informacin cumplan con las caractersticas de efectividad,
eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
USUARIOS
La Gerencia: para apoyar sus decisiones de inversin en TI y control sobre el rendimiento
de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes
obtienen una garanta sobre la seguridad y el control de los productos que adquieren interna
y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los
proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido.
Los Responsables de TI: para identificar los controles que requieren en sus reas. Tambin
puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en
su responsabilidad de controlar los aspectos de informacin del proceso, y por todos
aquellos con responsabilidades en el campo de la TI en las empresas.
Pgina 10
El COBIT
CARACTERSTICAS:
1.
2.
3.
4.
Orientado al negocio
Alineado con estndares y regulaciones "de facto"
Basado en una revisin crtica y analtica de las tareas y actividades en TI
Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
O RIE N
TA D O
AL
N EG O
C IO
A LIN E
ADO
CON
ESTN
D A R ES
CA RA C TER STI
CA S
B A SA
D O EN
UNA
R EV ISI
N
C RTIC
A
6 Imagen ISACA
Pgina 11
El COBIT
PRINCIPIOS
El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar
soporte a los procesos de negocio y considerando a la informacin como el resultado de la
aplicacin combinada de recursos relacionados con las TI que deben ser administrados por
procesos de TI. Requerimientos de la informacin del negocio: Para alcanzar los
requerimientos de negocio, la informacin necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad, Costo y Entrega. Requerimientos Fiduciarios:
Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y
Cumplimiento le leyes y regulaciones.
EFECTIVIDA
D
CONFIABILI
DAD
EFICIENCIA
CUMPLIMIE
NTO
7 Principios
Pgina 12
El COBIT
1. EFECTIVIDAD.- La informacin debe ser relevante y pertinente para los procesos
del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y
utilizable.
1. CONFIDENCIALIDAD.-
Proteccin
de
la
informacin
sensible
contra
divulgacin no autorizada.
Pgina 13
El COBIT
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos
de negocio:
1. DATOS.- Todos los objetos de informacin. Considera informacin interna y
externa, estructurada o no, grficas, sonidos, etc.
4. INSTALACIONES.- Incluye los recursos necesarios para alojar y dar soporte a los
sistemas de informacin.
Pgina 14
El COBIT
TECNOLOGAS DE INFORMACIN
Un elemento crtico para el xito y la supervivencia de las organizaciones, es la
administracin efectiva de la informacin y de la Tecnologa de Informacin (TI)
relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio
sin las restricciones de tiempo, distancia y velocidad) esta criticidad emerge de:
informacin
La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber
informacin; y
El potencial que tienen las tecnologas para cambiar radicalmente las organizaciones
y las prcticas de negocio, crear nuevas oportunidades y reducir costos.
Pgina 15
El COBIT
que clasifica los procesos de las unidades de tecnologa de informacin de las
organizaciones en cuatro dominios principales, a saber:
1.
2.
3.
4.
Planificacin y organizacin
Adquisicin e implantacin
Soporte y Servicios
Monitoreo
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de
informacin, como de la tecnologa que la respalda. En conjunto, estos dominios y los
objetivos de control, facilitan que la generacin y procesamiento de la informacin
cumplan con las caractersticas de efectividad, eficiencia, confidencialidad, integridad,
disponibilidad, cumplimiento y confiabilidad. Asimismo, se deben tomar en cuenta los
recursos que proporciona la Tecnologa de Informacin, tales como: datos, sistemas de
aplicacin, tecnologa (plataformas), instalaciones y el recurso humano.
Pgina 16
El COBIT
UN MARCO DE NEGOCIO PARA EL GOBIERNO Y LA GESTIN DE LAS TI DE
LA EMPRESA
INTRODUCION
1996
Se emprendi el
proyecto COBIT con
el fin de crear un
mayor
producto
global que pudiese
tener un impacto
duradero sobre el
campo de visin de
los negocios, as
como
sobre
los
controles
de
los
sistemas
de
informacin
implantados.
Fue publicada La
primera edicin
del COBIT y fue
vendida en 98
pases de todo el
mundo.
La segunda edicin,
fue publicada en
Abril
desarrolla y mejora
lo que posea la
anterior mediante la
incorporacin de un
mayor nmero de
documentos de
referencia
fundamentales,
nuevos y revisados
1995
1998
Pgina 17
El COBIT
La organizacin ISACF, espera que el COBIT sea adoptado por las comunidades de auditora y
negocio como un estndar generalmente aceptado para el control de las Tecnologas de la
Informacin
Pgina 18
El COBIT
de los interesados, y alinearse a las actuales tendencias sobre tcnicas de gobierno y
administracin relacionadas con la TI
MISIN
investigar, desarrollar,
publicar y promocionar un
conjunto de objetivos de
control generalmente
aceptados para las
tecnologas de la
informacin
MISIN DE
COBIT
mediante el desarrollo de
un modelo de
administracin de las
tecnologas de la
informacin.
VISIN
Cubrir completamente las responsabilidades funcionales de TI , del negocio y de todos los
aspectos que llevan a la gestin y el gobierno eficaz de las TI de la empresa ,mediante un
mejor control sobre las soluciones TI adquiridas y controladas por los usuarios, creando
valor a travs del uso efectivo e innovador de la TI de la empresa y obteniendo
satisfaccin del usuario de negocio con el nivel de compromiso y los servicios de la TI
Pgina 19
El COBIT
OBJETIVO GENERAL
Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional
de objetivos de control de tecnologas de la informacin, generalmente aceptadas, para el
uso diario por parte de gestores de negocio, que cubren tanto los aspectos de informacin,
como de la tecnologa que la respalda. Estos dominios y objetivos de control facilitan que la
generacin y procesamiento de la informacin cumplan con las caractersticas de
efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad. Su flexibilidad y versatilidad nos permite adaptarlo a cualquier tipo y tamao
de empresa, realizando una implementacin gradual y progresiva acorde a los recursos
disponibles y acompasando la estrategia empresarial.
OBJETIVOS ESPECFICOS
Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la
forma en que la tecnologa de informacin puede contribuir de la mejor manera al
logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica
necesita ser planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica
apropiadas.
Pgina 20
El COBIT
ANEXOS
DINAMICAS A DESARROLLAS (TEST DE PARTICIPACION INMEDIATA)
PRIMER EXPOSITOR
Para la primera dinmica se les presentara diferentes cuadros e imgenes en Microsoft
PowerPoint que los alumnos deben completar la forma de seleccin de estos estudiantes
ser mediante un juego conocido como tingo tingo tango para animar la situacin y aligerar
la presin eligiendo a 10 personas para intervenir en la dinmica.
SEGUNDO EXPOSITOR
En el transcurso de la exposicin se realiza la siguiente dinmica denominada:
El Globo Sorpresa
La cual consiste en la elaboracin de 10 preguntas, las mismas sern insertadas en cada uno
de los globos, con el fin de ser contestadas a medida que el juego se desarrolla.
Se eligen dos representantes por cada una de las filas, los cuales tomarn uno de los globos
y se harn acreedores a una recompensa, en el caso de que su respuesta fue correcta.
Pgina 1
El COBIT
TERCER EXPOSITOR
CRUCIGRAMA
1) ISACF espera que el COBIT sea adoptado por las comunidades
de.. y negocio como un estndar generalmente aceptado para el
control de las Tecnologas de la Informacin.
2) El COBIT 5 fue creado para ayudar a las organizaciones a obtener el valor ptimo
de. De la Informacin manteniendo un balance
entre la realizacin de beneficios, la utilizacin de recursos y los niveles de riesgo
asumidos.
3) La misin de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto
de de control generalmente aceptados para las
tecnologas de la informacin
4) Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, as como implementadas e integradas dentro
del.. del negocio.
5) COBIT 5 un Marco de Negocio para el Gobierno y la de las TI
de la Empresa
2.
1
.
T
E
C
N
5
.
4.
3
. O
L
O
G
I
A
S
Pgina 2
El COBIT
SOPA DE LETRA:
1. COBIT
2. ISACF
3. TECNOLOGIAS DE
INFORMACIN
4. ISACA
5. CONFIDENCIALIDAD
6. INTEGRIDAD
7. SISTEMAS
8. CONTROL
9. USUARIOS
10. CUMPLIMIENTO
Pgina 3
El COBIT
MODELO DE TEST DE EVALUACION
Pgina 1
El COBIT
Pgina 2
El COBIT
Pgina 3
El COBIT
EXPOSICIN DEL COBIT
Pgina 4
El COBIT
Pgina 5
El COBIT
Pgina 6
El COBIT
Pgina 7
El COBIT
Pgina 8