Gobierno de Tecnologías de la Información con CObIT por Mauricio Mejía

Transcript

1. Gobierno de Tecnologías de la Información con CObIT

2. “TI ha estado corriendo por un largo tiempo desatendiendo en

   los últimos 30 años el negocio” J. Welch 1997

3. TI / Governance y COBIT “Gobierno, Riesgo, y cumplimiento GRC

   de TI están evolucionando en COBIT hacía el más amplio concepto de IT Governance; una parte integral de Enterprise Governance” TI está teniendo un impacto creciente en el funcionamiento de las empresas y en el logro de los objetivos que ellas definen. Governance está orientado a asegurar que las empresas cumplan sus objetivos, en dirigir a la gerencia en ese sentido, en enseñarle buenas prácticas de planeación y organización en respuesta a la dirección recibida, y en proveer gobierno al siguiente nivel en la empresa.

4. Definición de Cobit: Control OBjectives for Information and Related Technology

   Governance, Control and Audit for Information and Related Technology

5. Reconocida como líder mundial en el gobierno, control y evaluación

   de TI. Information systems audit and control association

6. • Fundada en 1969, como EDP Auditors Association (35 años)

   • Más de 30,000 miembros en más de 100 países • Más de 170 capítulos alrededor del mundo • Líder en Certificaciones: CISA, CISM, CRISK y CGEIT • Existe el capítulo Colombia, con diferentes opciones de afiliación

7. • Proveer un marco único reconocido a nivel mundial de

   las “mejores prácticas” de control y seguridad de TI. • Consolidar y armonizar estándares originados y desarrollados en diferentes países. • Concientizar a la comunidad sobre importancia del control y la auditoria de TI. • Enlazar los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito • Aplicar a todo tipo de organizaciones independiente de sus plataformas de TI. • Reiterar sobre la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa. Objetivos y Beneficios de CObIT

8. Antecedentes • Se publica por 1ra vez en Septiembre de

   1996 • Se publica la 2a Edición en Abril de 1988 • Se publicó la 3a Edición en Marzo de 2000 • Se publicó la 4a Edición en Nov de 2005 • La 5ª Edición se publicó en abril de 2012, con un alcance de Gobierno Corporativo de TI. Integrando ValIT, RiskIT, ITIL e ISO 38500 O Objetivos de Control bjetivos de Control para Información para Información y y T Tecnologías Relacionadas ecnologías Relacionadas

9. Usuarios • La Gerencia: apoyo a decisiones de inversión en

   TI y control sobre su desempeño, balanceo del riesgo y el control de la inversión en un ambiente a menudo impredecible • Los Usuarios Finales: obtienen una garantía sobre el control y seguridad de los productos que adquieren interna y externamente • Los Auditores : soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido. • Los Responsables de TI: para identificar los controles que requieren en sus áreas. • Organismos estatales de control: para saber que es lo mínimo que pueden exigir.

10. COBIT Negocio Empresa TI Objetivos De Control Características

11. Características • Orientado al negocio • Alineado con estándares y

    regulaciones “de facto” • Basado en una revisión crítica y analítica de las tareas y actividades en TI • Alineado con estándares de control y auditoría (COSO, IFAC, IIA, ISACA, AICPA)

12. Principios REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO RECURSOS DE TI PROCESOS

    DE TI

13. Requerimientos de la Información del Negocio Requerimientos de Calidad Requerimientos

    Financieros (COSO) Requerimientos de Seguridad Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Calidad (cumplimiento de requerimientos) Costo (dentro del presupuesto). Oportunidad (en el tiempo indicado) Confidencialidad. Integridad. Disponibilidad. CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS

14. Recursos de TI Información: Todos los objetos de información. Considera

    información interna y externa, estructurada o no, gráficas, sonidos, etc. Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Infraestructura: incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Personas: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.

15. Recursos de TI Información, Aplicaciones Infraestructura, Personas Req. Información Efectividad,

    Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad CobiT Objetivos del Negocio Planeación y Organización Adquisición e Implementación Seguimiento Prestación de Servicio y Soporte 1. Seguimiento de los procesos 2. Evaluar lo adecuado del control Interno 3. Obtener aseguramiento inndependiente 4. Proveer una auditoría independiente 1. Identificación de soluciones 2. Adquisición y mantenimiento de SW aplicativo 3. Adquisición y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalación y Acreditación de sistemas 6. Administración de Cambios IT. Governance 1. Definir un plan estratégico de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica 4. Definir la organización y relaciones de TI 5. Manejo de la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Asegurar el cumplir requerimientos externos 9. Evaluación de Riesgos 10. Administración de Proyectos 11. Administración de Calidad 1.Definición del nivel de servicio 2.Admistración del servicio de terceros 3.Admon de la capacidad y el desempeño 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificación y asignación de costos 7.Capacitación de usuarios 8.Soporte a los clientes de TI 9.Admistración de la configuración 10.Administración de problemas e incidentes 11.Administración de datos 12.Administración de Instalaciones 13.Administración de Operaciones

16. El Cubo de COBIT Agrupación natural de procesos, normalmente corresponden

    a una responsabilidad organizacional Conjuntos de actividades unidas con delimitación o cortes de control. Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas.

17. Planeación y Organización (Planning and Organization) Adquisición e implementación (Acquisition

    and Implementation) Prestación de Servicios y Soporte (Delivery and Support) Seguimiento (monitoring) Dominios de TI

18. Procesos de TI Planeación y Organización 1. Definir un plan

    estratégico de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica 4. Definir la organización y relaciones de la Función TI 5. Administrar la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Asegurar el cumplimiento d requerimientos externos 9. Evaluación de Riesgos 10. Administración de Proyectos 11. Administración de Calidad

19. Procesos de TI Adquisición e Implementación 1. Identificación de soluciones

    2. Adquisición y mantenimiento de SW aplicativo 3. Adquisición y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalación y Certificación de sistemas 6. Administración de Cambios

20. Procesos de TI Prestación de Servicio y Soporte 1. Definición

    del nivel de servicio 2. Administración del servicio de terceros 3. Administración de la capacidad y el desempeño 4. Asegurar el servicio continuo 5. Garantizar la seguridad del sistema 6. Identificación y asignación de costos 7. Capacitación de usuarios 8. Soporte a los clientes de TI 9. Administración de la configuración 10. Administración de problemas e incidentes 11. Administración de datos 12. Administración de Instalaciones 13. Administración de Operaciones

21. Procesos de TI Monitoreo / Seguimiento 1. Seguimiento de los

    procesos 2. Evaluación de lo adecuado del control Interno 3. Obtener aseguramiento independiente 4. Proveer una auditoría independiente

22. CObIT contiene: • 4 dominios, • 34 Objetivos de alto

    nivel y • 210 objetivos detallados. • Adicionalmente cuenta con su propio modelo de madurez, • La matriz RACI, • Y los indicadores KPI y KGI.

23. Modelo de Madurez

24. Matriz RACI

25. ¡Gracias!