COBIT_v2.1

CobiTCobiT75 46 Ad i i i C l d P II75.46 Administracin y Control de Proyectos II

Abril de 2008Abril de 2008

AgendaAgendaAgendaAgenda

y PresentacinPresentaciny Introduccin

P i i i d l M d ly Principios del Modeloy Enfoque de Control de CobiTy Los Procesos del Modeloy Mapeo de los Procesosp

PRESENTACINPRESENTACINCobiT

PRESENTACINPRESENTACIN

INTRODUCCININTRODUCCINCobiT

INTRODUCCININTRODUCCIN

ConceptosConceptosConceptosConceptos

y Qu es CobiT?Qu es CobiT?y Cul es el seno de CobiT?y Cmo evolucion?Cmo evolucion?y Cul es el foco de CobiT?

CobiTCobiT: Objetivos de Control para la : Objetivos de Control para la I f l T l l d I f l T l l d Informacin y la Tecnologa relacionada Informacin y la Tecnologa relacionada

y Conjunto de buenas prcticasConjunto de buenas prcticas.y Marco de trabajo de dominios y procesos.

E t t j bl l i d y Estructura manejable y lgica de actividades.F f d l l y Fuertemente enfocadas en el control y menos en la ejecucin.

ISACAISACAInformationInformation SystemsSystems AuditAudit and Control and Control AssociationAssociation

y Lidera mundialmente la profesin de Lidera mundialmente la profesin de control de TI.y Presente en ms de 70 pasesy Presente en ms de 70 pases.y Tiene ms de 65.000 miembros en 140

pases

AntecedentesAntecedentesAntecedentesAntecedentes

y 1992: objetivos de control1992: objetivos de control.y 1996: marco de prcticas de control de TI.

1998 h i t d i l t iy 1998: herramientas de implantacin.y 1999: objetivos de control para redes.y 2000: tercera edicin.y 2006: cuarta edicin.

Cambios desde 1992Cambios desde 1992Cambios desde 1992Cambios desde 1992

y Fuerte dependencia de TI en los procesos de Fuerte dependencia de TI en los procesos de negocio crticos.

y Se ha incrementado el foco en la administracin Se ha incrementado el foco en la administracin de valor, riesgos y costos de TI.

y Mayor preocupacin por el gobierno y Mayor preocupacin por el gobierno corporativo.

y Los estndares de TI han maduradoy Los estndares de TI han madurado.y La regulacin ha crecido.

Respuesta de Respuesta de CobiTCobiT a los cambiosa los cambiosRespuesta de Respuesta de CobiTCobiT a los cambiosa los cambios

GobiernoGobierno

Administracin

Control

Auditora

CobiT 4CobiT 3CobiT 2CobiT 11996 1998 2000 2005

El foco de El foco de CobiTCobiT 4.04.0El foco de El foco de CobiTCobiT 4.04.0

y Gobierno de TIGobierno de TI.y Armonizacin con otros estndares.y Flujo de procesos.y Lenguaje ms conciso y orientado a la Lenguaje ms conciso y orientado a la

accin.

y Consolidacin en un libroy Consolidacin en un libro.

Gobierno de TIGobierno de TIGobierno de TIGobierno de TI

Conduccin de las estructuras y procesos Conduccin de las estructuras y procesos

organizacionales que garantiza que la TI de la

empresa sostiene y extiende las estrategias y

objetivos de negocioobjetivos de negocio.

Aceptabilidad de Aceptabilidad de CobiTCobiTAceptabilidad de Aceptabilidad de CobiTCobiT

Componentes de Componentes de CobiTCobiTComponentes de Componentes de CobiTCobiT

Secciones de Secciones de CobiTCobiT 4.04.0Secciones de Secciones de CobiTCobiT 4.04.0

1 Resumen ejecutivo1. Resumen ejecutivo.2. Marco CobiT (framework).3 C t id t l (34 ) 3. Contenido central (34 procesos):

a) Objetivos de control.b) G d d b) Guas de administracin.c) Modelos de madurez.

4. Apndices.

PRINCIPIOS DEL PRINCIPIOS DEL CobiT

PRINCIPIOS DEL PRINCIPIOS DEL MODELOMODELO


y Cules son los recursos de TI?Cules son los recursos de TI?y Cmo se estructuran los procesos de TI?y Cules son los requerimientos de informacin Cules son los requerimientos de informacin

del negocio?y Cules son los criterios de control de la

informacin?y Cules son los dominios de control de TI?

Valor de TIValor de TIValor de TIValor de TI

REC

IN

NECESIDADES

URSO

NFOR

NEGOPROCESOS DE TIO

S

D

MACI

OCIO

PROCESOS DE TI

E

TI

IN

RESPUESTAS

Recursos de TIRecursos de TIRecursos de TIRecursos de TI

Datos Aplicaciones Infraestructura Personal

Sistemas informticos

para procesar la i f i

Hardware, software de Habilidades

Todos los objetos de datos en su sentido ms

amplio

informacin. software de base, y

elementos de comunicaciones que junto con las aplicaciones

Habilidades, conocimiento y productividad del personal para ejecutar

los procesos de amplio.

Procedimientos y manuales.

las aplicaciones conforman los servicios de TI.

los procesos de TI.

Procesos de TIProcesos de TIProcesos de TIProcesos de TI

Dominios Procesos Actividades

Agrupamiento lgico de los

procesos

Conformadas por un conjunto de tareas y pasosprocesos.

Secuencia lgica de actividades,

roles y responsabilidades.

tareas y pasos.

N i Determina el ciclo de vida de los

procesos de TI.

responsabilidades. Necesarias para alcanzar el

objetivo de un proceso.

Requerimientos de informacin del Requerimientos de informacin del negocionegocio

C lid d Fid i i S id dCalidad Fiduciarios(COSO 1992 y 2004)

Seguridad(ISO 17799)

Calidad Eficacia y eficiencia Confidencialidad

Costo Confiabilidad Integridad

Entrega Cumplimiento Disponibilidad

Criterios de Control de la InformacinCriterios de Control de la InformacinCriterios de Control de la InformacinCriterios de Control de la Informacin

Relevancia y pertinencia de la informacin para los procesos del negocio,Efectividad Que se proporcione de una manera oportuna, correcta, consistente y utilizable.Efectividad

Optimizacin de recursos para su generacin. Eficiencia

Proteccin de informacin sensitiva contra revelacin no autorizada. Confiden-cialidad

Precisin y completitud de la informacin. Integridad

Que la informacin est disponible cuando sea requerida por los procesos del Disponibilidad negocio.Disponibilidad

Leyes, reglamentos y acuerdos contractuales a los cuales est sujeto el proceso de negocios. Cumplimiento

Proporcionar la informacin apropiada para la gestin del negocio. Confiabilidad

Valor de TI y Valor de TI y CobiTCobiTValor de TI y Valor de TI y CobiTCobiT

REC

IN

NECESIDADES Planificar y organizar Adquirir e implementar Entregar y soportar Monitorear y evaluar EficaciaU

RSO

NFOR

NEGOPROCESOS DE TI

Monitorear y evaluar Eficacia Eficiencia Confidencialidad Integridad DisponibilidadO

S

D

MACI

OCIO

PROCESOS DE TI Disponibilidad Cumplimiento Confiabilidad

E

TI

IN

RESPUESTAS

Datos Aplicaciones Infraestructura Personal

El cubo de El cubo de CobiTCobiTEl cubo de El cubo de CobiTCobiT

Los recursos de TI

son administrados

por los procesos de

TI para alcanzar los

objetivos de TI en

respuesta a los respuesta a los

requerimientos de

ne ocionegocio

ENFOQUE DE ENFOQUE DE CobiT

ENFOQUE DE ENFOQUE DE CONTROL ADOPTADO CONTROL ADOPTADO POR POR COBITCOBITPOR POR COBITCOBIT


y Qu es Control segn CobiT?Q gy Qu es un Objetivo de Control?y Cules son los niveles de madurez de los procesos Cules son los niveles de madurez de los procesos

utilizados por el modelo?

y Cules son las dimensiones de la madurez de los Cu es so as e s o es e a a u e e os procesos?

y Cules son los tipos de mtricas y niveles de p ymedicin?

y Cules son las reas focales del Gobierno de TI?

RecordandoRecordandoRecordandoRecordando

ControlControlS S C b TC b TSegn Segn CobiTCobiT

P lti di i t ti Polticas, procedimientos, prcticas y

estructuras organizacionales concebidas g

para brindar garanta razonable de que se

lograrn los objetivos de negocio y que los

t d d i di eventos no deseados se impedirn o se

detectarn y corregirn oportunamente.y g p

Objetivo de control de TIObjetivo de control de TIObjetivo de control de TIObjetivo de control de TI

y Es la declaracin del resultado o fin a Es la declaracin del resultado o fin a lograr mediante la implementacin de procedimientos de control en una procedimientos de control en una determinada actividad de TI.y Pueden ser:y Pueden ser:

Genricos (para todos los procesos) Detallados (especficos para cada proceso) Detallados (especficos para cada proceso)

Controles Genricos de ProcesosControles Genricos de ProcesosControles Genricos de ProcesosControles Genricos de Procesos

y PC1 Dueo del procesoA i d d C biT d t l l bilid d Asignar un dueo para cada proceso CobiT de tal manera que la responsabilidad sea clara.

y PC2 Repetitivo Definir cada proceso CobiT de tal forma que sea repetitivo. PC3 M bj iy PC3 Metas y objetivos Establecer metas y objetivos claros para cada proceso CobiT para una ejecucin

efectiva.

y PC4 Roles y responsabilidades Definir roles, actividades y responsabilidades claros en cada proceso CobiT para una

ejecucin eficiente.

y PC5 Desempeo del proceso Medir el desempeo de cada proceso CobiT en comparacin con sus metas.

y PC6 Polticas, planes y procedimientos Documentar, revisar, actualizar, formalizar y comunicar a todas las partes involucradas

cualquier poltica, plan procedimiento que impulse un proceso CobiT.

Interrelaciones de los componentes de Interrelaciones de los componentes de C biTC biTCobiTCobiT

De la Estrategia del Negocio a la De la Estrategia del Negocio a la A i C i d TIA i C i d TIArquitectura Corporativa de TIArquitectura Corporativa de TI

Modelo de madurez (ISO 15504)Modelo de madurez (ISO 15504)Modelo de madurez (ISO 15504)Modelo de madurez (ISO 15504)

Dimensiones de la madurezDimensiones de la madurezDimensiones de la madurezDimensiones de la madurez

Medicin del desempeoMedicin del desempeoMedicin del desempeoMedicin del desempeo

y Tres niveles de medicin Las metas y mtricas de TI: que definen lo que el negocio espera de TI. Metas y mtricas de procesos: que definen lo que el proceso de TI debe

generar para dar soporte a los objetivos de TI

Mtricas de desempeo de los procesos: que miden el desempeo del proceso para indicar la probabilidad de alcanzar las metas.

y Dos tipos mtricas KGI: Definen mediciones para informar a la gerencia (despus del

hecho).

KPI: Definen mediciones que determinan el nivel de desempeo del proceso para alcanzar las metas.

y Los indicadores de metas de bajo nivel se convierten en indicadores de desempeo para los niveles altos.

Relacin entre Procesos, Metas y MtricasRelacin entre Procesos, Metas y MtricasRelacin entre Procesos, Metas y MtricasRelacin entre Procesos, Metas y Mtricas

reas focales del Gobierno de TIreas focales del Gobierno de TIreas focales del Gobierno de TIreas focales del Gobierno de TIy Alineacin estratgica

Se enfoca en garantizar el vnculo entre los planes de negocio y de TI; en definir, mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa. la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa.

y Entrega de valor Se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI

genere los beneficios prometidos en la estrategia, concentrndose en optimizar los costos y en brindar el valor intrnseco de la TI brindar el valor intrnseco de la TI.

y Administracin de recursos Se trata de la inversin ptima, as como la administracin adecuada de los recursos crticos de TI:,

aplicaciones, informacin, infraestructura y personas. Los temas claves se refieren a la optimizacin d d f de conocimiento y de infraestructura.

y Administracin de riesgos Requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro

entendimiento del deseo de riesgo que tiene la empresa, comprender los requerimientos de g q p p qcumplimiento, transparencia de los riesgos significativos para la empresa, y la inclusin de las responsabilidades de administracin de riesgos dentro de la organizacin.

y Medicin del desempeo Rastrea y monitorea la estrategia de implementacin, la terminacin del proyecto, el uso de los Rastrea y monitorea la estrategia de implementacin, la terminacin del proyecto, el uso de los

recursos, el desempeo de los procesos y la entrega del servicio, con el uso, por ejemplo, de balanced scorecards que traducen la estrategia en accin para lograr las metas que se puedan medir ms all del registro convencional.

CobiTCobiT y las reas focales del Gobierno y las reas focales del Gobierno d TId TIde TIde TI

Apoyo de los elementos del modelo CobiT alas distintas reas focales del Gobierno de TIlas distintas reas focales del Gobierno de TI.

LOS PROCESOS DEL LOS PROCESOS DEL CobiT

LOS PROCESOS DEL LOS PROCESOS DEL MODELOMODELO


y Cmo es el ciclo de vida del Gobierno de TI?Cmo es el ciclo de vida del Gobierno de TI?y Cules son los procesos del modelo?y Cmo es la estructura de un proceso en el y Cmo es la estructura de un proceso en el

modelo?

Ejemplo de un procesoy Ejemplo de un proceso.

El cubo de El cubo de CobiTCobiTEl cubo de El cubo de CobiTCobiT

Los recursos de TI

son administrados

por los procesos de

TI para alcanzar los

objetivos de TI en

respuesta a los respuesta a los

requerimientos de

ne cinegocio

Dominios de control en TIDominios de control en TIDominios de control en TIDominios de control en TI

Objetivos de Gobierno de TI

Objetivos de Negocio

InformacinGobierno

de TI

Monitorear y Evaluar

Eficacia Eficiencia Confidencialidad Integridad Disponibilidad

Planificar y Organizar

R d TI

Disponibilidad Cumplimiento Confiabilidad

Entregar y Soportar

Recursos de TI

Informacin Aplicaciones Infraestructura

Adquirir e Implementar

Personal

Procesos del dominio Planificar y OrganizarProcesos del dominio Planificar y OrganizarProcesos del dominio Planificar y OrganizarProcesos del dominio Planificar y Organizar

PO1 Definir el plan estratgico de TI.

PO2 Definir la arquitectura de la informacin.

PO3 Determinar la direccin tecnolgica.

PO4 Definir los procesos la organizacin y las relaciones de TIPO4 Definir los procesos, la organizacin y las relaciones de TI.

PO5 Administrar la inversin en TI.

PO6 Comunicar los objetivos y directivas a la gerencia.

InformacinGobierno

d TI

PO7 Administrar los recursos humanos de TI.

PO8 Gestionar la calidad.

PO9 Evaluar y manejar los riesgos de TI.



Eficacia Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

Informacinde TIPO9 Evaluar y manejar los riesgos de TI.

PO10 Administrar los proyectos de TI.


Entregar y Soportar

Recursos de TI

InformacinAplicaciones Infraestructura Personal

Procesos del dominio Adquirir e Procesos del dominio Adquirir e I l I l Implementar Implementar

AI1 Identificar soluciones automatizadas.

AI2 Adquirir y mantener el software de aplicacin.

AI3 Adquirir y mantener la infraestructura tecnolgica.

AI4 Facilitar la operacin y el usoAI4 Facilitar la operacin y el uso.

AI5 Adquirir los recursos de TI.

AI6 Administrar los cambios.

InformacinGobierno

d TI

AI7 Instalar y acreditar soluciones y cambios.




Informacinde TI


Entregar y Soportar

Recursos de TI


Procesos del dominio Entregar y SoportarProcesos del dominio Entregar y SoportarProcesos del dominio Entregar y SoportarProcesos del dominio Entregar y Soportar

ES1 Definir y administrar los niveles de servicio.ES2 Administrar los servicios prestados por terceros.ES3 Administrar la capacidad de desempeo.ES4 Garantizar la continuidad de los servicios de TI.ES5 Garantizar la seguridad de los sistemas.ES6 Identificar y asignar costos.ES7 Educar y entrenar a los usuarios de los servicios de TI.

InformacinGobierno

d TI

ES7 Educar y entrenar a los usuarios de los servicios de TI.ES8 Gestionar la mesa de ayuda e incidentes.ES9 Gestionar la configuracin.ES10 Gestionar los problemas




Informacinde TIES10 Gestionar los problemas.ES11 Gestionar los datos.ES12 Administrar el ambiente fsico.ES13 G l


Entregar y Soportar

Recursos de TI


ES13 Gestionar las operaciones.

Procesos del dominio Monitorear y EvaluarProcesos del dominio Monitorear y EvaluarProcesos del dominio Monitorear y EvaluarProcesos del dominio Monitorear y Evaluar

ME1 Monitorear y evaluar el desempeo de TI.

ME2 Monitorear y evaluar el control interno.

ME3 Garantizar el cumplimiento regulatorio.

ME4 Proporcionar gobierno de TIME4 Proporcionar gobierno de TI.

InformacinGobierno

d TI




Informacinde TI


Entregar y Soportar

Recursos de TI


Estructura de cada proceso en Estructura de cada proceso en CobiTCobiTEstructura de cada proceso en Estructura de cada proceso en CobiTCobiT

1. Objetivo de control de alto nivel.1. Objetivo de control de alto nivel.

2. Objetivos de control detallado.

3 G d d i i t i3. Guas de administracin.a) Entradas y salidas de los procesos.

b) Grficas RACI.

c) Mtricas de metas (KGI) y de desempeo (KPI) de ti id d d TIprocesos y actividades de TI.

4. Modelo de madurez del proceso.

El modelo de cascada de El modelo de cascada de CobiTCobiTEl modelo de cascada de El modelo de cascada de CobiTCobiT

Planificar yO i

El control de los

Organizar


P PS

Procesos de TI

Metas del Que satisface las

Entregar ySoportar

Monitorear yEjecutarnegocio

Metas de TI

Poniendo foco en

S l

Ejecutar

Controles clave

Mtricas

Se logra con

Y es medido porGobierno

de TI

Mtricas clave

Administracinde recursos

Dimensiones delGobierno de TI

AI6 AI6 Administracin de CambiosAdministracin de CambiosAI6 AI6 Administracin de CambiosAdministracin de Cambios

MAPEO DE LOS MAPEO DE LOS CobiT

MAPEO DE LOS MAPEO DE LOS PROCESOSPROCESOS


y Cmo apoyan los procesos a las reas focales Cmo apoyan los procesos a las reas focales del Gobierno de TI?

y Cmo apoyan los procesos a los Criterios de Cmo apoyan los procesos a los Criterios de la Informacin (requerimientos del negocio)?

y Cules son los recursos involucrados en cada y Cules son los recursos involucrados en cada proceso?

Mapeo de procesos del dominio Planificar y Mapeo de procesos del dominio Planificar y O i l A d G bi d TIO i l A d G bi d TIOrganizar con los Aspectos de Gobierno de TIOrganizar con los Aspectos de Gobierno de TI

Aspectos de Gobierno de TI

Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Planificar y Mapeo de procesos del dominio Planificar y O i l R i i d N iO i l R i i d N iOrganizar con los Requerimientos de NegocioOrganizar con los Requerimientos de Negocio

Criterios de la Informacin de

CobiTCobiT

Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Planificar y Mapeo de procesos del dominio Planificar y O i l R d TIO i l R d TIOrganizar con los Recursos de TIOrganizar con los Recursos de TI

Recursos de TI de CobiT

Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Adquirir e Mapeo de procesos del dominio Adquirir e I l l A d G bi d TII l l A d G bi d TIImplementar con los Aspectos de Gobierno de TIImplementar con los Aspectos de Gobierno de TI


Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Adquirir e Mapeo de procesos del dominio Adquirir e I l l R i i d N iI l l R i i d N iImplementar con los Requerimientos de NegocioImplementar con los Requerimientos de Negocio


CobiTCobiT

Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Adquirir e Mapeo de procesos del dominio Adquirir e I l l R d TII l l R d TIImplementar con los Recursos de TIImplementar con los Recursos de TI


Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Entregar y Soportar con Mapeo de procesos del dominio Entregar y Soportar con l A t d G bi d TIl A t d G bi d TIlos Aspectos de Gobierno de TIlos Aspectos de Gobierno de TI


Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Entregar y Soportar con Mapeo de procesos del dominio Entregar y Soportar con l R i i t d N il R i i t d N ilos Requerimientos de Negociolos Requerimientos de Negocio


CobiTDominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Entregar y Soportar con Mapeo de procesos del dominio Entregar y Soportar con l R d TIl R d TIlos Recursos de TIlos Recursos de TI


Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Mapeo de procesos del dominio Monitorear y Monitorear y E lE l l A d G bi d TI l A d G bi d TIEvaluarEvaluar con los Aspectos de Gobierno de TIcon los Aspectos de Gobierno de TI


Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Monitorear y Mapeo de procesos del dominio Monitorear y E l l R i i d N iE l l R i i d N iEvaluar con los Requerimientos de NegocioEvaluar con los Requerimientos de Negocio


CobiTCobiT

Dominio de TI

Procesos del

Dominio

Mapeo de procesos del dominio Monitorear y Mapeo de procesos del dominio Monitorear y E l l R d TIE l l R d TIEvaluar con los Recursos de TIEvaluar con los Recursos de TI


Dominio de TI

Procesos del

Dominio

FINFINCobiT

FINFINMUCHAS GRACIASMUCHAS GRACIAS

COBIT_v2.1

Documents

Transcript of COBIT_v2.1