fundamentos de cobit

Eduardo Luyo, CISA, CISM

Curso Fundamentos de COBIT

Introduccin al Curso


Introduccin al Curso

Bienvenido al Curso

Fundamentos de COBIT (Control Objectives for Information and related Technology)

*


Introduccin al CursoISACA Con mas de 70,000 miembros en mas de 140 pases, ISACA (www.isaca.org) es un lder internacionalmente reconocido en Gobierno, control, seguridad y aseguramiento de TI. Desde que fue fundado en 1969 patrocina conferencias internacionales, publica Information Systems Control Journal, desarrolla estndares internacionales de control y auditoria de sistemas de informacin y administra globalmente las certificaciones CISA y CISM.

ITGI IT Governance Institute (ITGI) (www.itgi.org) fue establecido por ISACA en 1998 para proveer estandares orientados a la direccin y control de tecnologas de informacin de las organizaciones. ITGI desarroll Control Objectives for Information and related Technology (COBIT), ahora en su 4ta versin. Ellos tambin ofrecen investigaciones y casos de estudio para asistir a las directores y lideres de las empresas en sus responsabilidades de gobierno de TI. *


Objetivos de Aprendizaje


Objetivos de AprendizajeAl final de este curso, usted entender:

Cmo los problemas de las tecnologas de informacin afectan a las organizaciones.

La necesidad de un marco de trabajo de control basado en Gobierno de TI. Cmo COBIT satisface los requerimientos para un marco de trabajo de Gobierno de TI.

Cmo COBIT es usado con otros estndares y mejores prcticas

Marco de trabajo COBIT y todos sus componentes Cmo aplicar COBIT en una situacin prctica *


Estructura del Curso


Estructura del Curso*

1. Retos de las Organizaciones de TI

2. Introduccin al Gobierno de TI y COBIT3. Visin General de COBITValores, limitaciones, componentes y beneficios COBIT y Gobierno de TI Premisas y principios de COBIT Cubo COBIT 4. Componentes de COBITObjetivos de negocio, Objetivos de TI y Procesos de TIControl, objetivos de control y prcticas de controlLineamientos gerencialesGuas de auditoria 5. COBIT y el ambiente de TIAlineamiento con otros estndaresCumplimiento con leyes y regulacionesSarbanes-Oxley Act


1. Retos de las Organizaciones de TI


Retos de la Organizaciones de TILectura:IT doesnt MatterBy Nicholas G. Carr*


Retos de la Organizaciones de TI*


Introduccin al Gobierno de TI y COBIT2.


Son eventos no deseados que impiden el cumplimiento de los objetivos y metas de una organizacin.

Administracin de Riesgos cubre mltiples reas que una organizacin necesita monitorear y administrar para ser efectivo y rentable.

Definiciones Qu es un Riesgo?*


Es la funcin de la gerencia el cual asegura que todas las reglas y regulaciones obligatorias requeridos por clientes, estndares o entidades regulatorias para mantenerse en el negocio son seguidas.

Definiciones Qu es Cumplimiento?*


La capacidad de las organizaciones para convertir sus gastos de TI en valor para el negocio y ventaja competitiva.

Resulta del uso planeado y continuo de un conjunto de prcticas de negocio que colectivamente derivan valor de las inversiones de TI.

Un resultado de alineamiento es portafolios de inversiones de TI, proyectos y sistemas de informacin instalados que reflejan las prioridades estratgicas de la organizacin. Inversiones y Activos de TIProcesos de NegocioEstrategias competiticas Definiciones Qu es Alineamiento?*


Definicin Qu es Gobierno de TI Gobierno de TI es responsabilidad del Directorio y Gerencia. Es parte integral de gobierno empresarial que consiste de liderazgo, estructuras organizacionales y procesos que aseguren que las organizaciones de TI soportan y cubran los objetivos y estrategias de la organizacinBoard Briefing on IT Governance, 2nd Edition 2003. *


Gobierno de TI - FrameworkQu cubre el Gobierno de TI?*


Enfocado en asegurar el vnculo de negocio y los planes de tecnologa de informacin; la definicin, mantenimiento y validacin de la propuesta de valor de TI; y alinear las operaciones de TI con las operaciones del negocio. Alineamiento EstratgicoGobierno de TI - Framework*


Entrega de ValorEsta relacionado con la ejecucin de la propuesta de valor a travs del ciclo de entrega, asegurando que TI entrega los beneficios prometidos contra la estrategia, concentrando se en la optimizacin de costos y probando el valor intrnseco de TI. Gobierno de TI - Framework*


Esta relacionado con la inversin ptima y adecuada administracin de los recursos crticos de TI: aplicaciones, informacin, infraestructura y las personas. Problemas claves relacionados a la optimizacin del conocimiento e infraestructura.Administracin de RecursosGobierno de TI - Framework*


Registra y monitorea la implantacin de la estrategia, culminacin de los proyectos, uso de los recursos, rendimiento de los procesos y entrega del servicio, usando por ejemplo, el balancescorecard que traduce la estrategia en accin para lograr los objetivos medibles Medicin de RendimientoGobierno de TI - Framework*


Requiere concientizacin de riesgo por la gerencia, un claro entendimiento del apetito de riesgo, entendimiento de los requerimientos de cumplimiento, transparencia acerca de los riesgos significativos para la empresa, y responsabilidades de administracin de riesgos en la organizacin.Administracin de RiesgosGobierno de TI - FrameworkI cannot imagine any condition which could cause this ship to founder. Icannot conceive of any vital disaster happening to this vessel.Captain ofthe Titanic, 1912*


Gerente de NegocioEstablece la direccin de TI, monitorea los resultados e insiste en medidas correctivas Define requerimientos de negocio para TI y asegura que el valor sea entregado y los riesgos sean manejados Entrega y mejora servicios de TI requeridos por el negocio. Provee una evaluacin independiente para demostrar que TI entrega lo requerido. Mide el cumplimiento con las polticas y se enfoca en alertar para nuevos riesgos. Riesgos y Cumplimiento

Auditoria de TIGerencia de TIDirectorioGobierno de TI - FrameworkResponsabilidades*


Importancia del Gobierno de TILas organizaciones requieren un enfoque estructurado para manejar los retos.

Asegurar que existan objetivos de TI acordados, buenos controles de administracin y un efectivo monitoreo del rendimiento para evitar resultados no esperados. MantenerDisponibilidadTISeguridad Valor/CostoManejar TIComplejaAlinear TI con el NegocioCumplimientoRegulatorio*


Interaccin de Objetivos y Actividades de TIEstablecer objetivos para TI (Direccin inicial) Medir rendimientoComparar con los objetivosProveer direccin Realizar actividades de TI

Iteracin de objetivos y Actividades de TI*


Gobierno de TI - DefinicinAlcance de Gobierno de TI

Entrega de Valor al negocio Mitigacin de Riesgos de TI

Soportado en: Adecuada administracin de recursosMedicin de rendimiento. IT ResourceManagement *


Gobierno de TI - PrincipiosAre we doing the right things?Are we getting the benefits?Are we getting done well?Are we doing them way?Valor: Tenemos:Un claro y compartido entendimiento de los beneficios esperados Responsabilidades claras para realizar los beneficiosMtricas relevantesProceso de realizacin beneficios efectivosEntrega: Tenemos:Procesos de administracin de cambio y entrega efectivos y disciplinados.Recursos de negocios y tcnicos competentes y confiables para entregar:Las capacidades requeridasCambios organizacionales requeridos para apalancar las capacidades.Estrategia: Es la inversin:

Alineada con nuestra visinConsistente con nuestros principios de negocioContribuyendo a nuestros objetivos estratgicosProveyendo valor ptimo, a un costo asequible y con un nivel de riesgo aceptable.Arquitectura: Es la inversin:

Alineada con nuestra arquitecturaConsistente con nuestros principios arquitecturalContribuye a la poblacin de nuestra arquitecturaAlineada con otras iniciativas.Lectura 2: The rule of Four of IT Governance*


Necesidad de Gobierno de TI

CumplimientoSecurityBusiness/IT Alignment ROIProject Execution*


COSO Internal Control Integrated Framework .- estableci un marco de trabajo para control interno y provey herramientas por la cual los negocios y otras entidades puedan usar para evaluar su sistema de control interno. Code of Practice for Information Security management (ISO/IEC 17799) toma una linea base (baseline) para la seguridad de informacin. Provee 127 guias de seguridad de informacin estructuradas bajo 11 dominios. ITIL IT Infrastructure Library , lineamientos desarrollados por la CCTA (ahora OGC) en inglaterra. Es un marco de trabajo de buenas prcticas para la administracin de servicios de TI. CMM /SPICE (ISO/IEC 15504) , es el primer modelo de Madurez de Capacidades. Desarrollado por el software Engineering Institute (SEI) de la Carnegue Mellon University y describe los principios y practicas para la madurez de los procesos de desarrollo de software. Antecedentes del COBIT*


Common Criteria (ISO/IEC 15408) .- Criterios de evaluacin de la seguridad de TIque son ampliamente utilizados en la comunidad internacional. Quality Models (Deming, EFQM, BNQP, ISO9000) los modelos de calidad estn orientados a controlar y mejorar productos y procesos. Aunque la teora de calidad se origina en los procesos de negocios, en muchos casos la ideas tambin han sido adoptados dentro de TI.PlanDoCheckActDisear y revisar componentes de procesos de negocios para mejorar resultadosImplementar el plan y medir rendimientoEvaluar las medidas y reportar los resultados.Decidir sobre cambios requeridos para mejorar el procesoAntecedentes del COBIT*


Balance Scorecard .- es un sistema de gestin que facilita a las organizaciones clarificar su visin y estrategia y traducirlas en accin.(Kaplan & Norton). Perspectiva Financiera Perspectiva de Procesos Internos Perspectiva de Aprendizaje y Crecimiento Perspectiva de ClienteIT Balance Scorecard .- (Van Grembergen) Contribucin al Negocios Excelencia Operacional Orientacin Futura Orientacin al UsuarioAntecedentes del COBIT*


Marco General de Trabajo (framework) que debe ser adecuado a una organizacin. Debe ser usado con otros recursos para customizar los lineamientos generales a un ambiente especifico. En estructura, es un conjunto de objetivos de control para las tecnologas de informacin diseados para facilitar una auditoria. Antecedentes del COBIT*


AuditoriaCobit 1Control Cobit 2 Gestin Cobit 3.0 Gobierno Cobit 4.0 1996199820002005Antecedentes del COBIT*


Como COBIT soporta el Gobierno de TI?IT Governance*


3. Visin General de COBIT


COBIT - Orientacin de Procesos*


Dominios de TIPlanificar y OrganizarAdquirir e ImplantarEntregar y soportar Monitorear y evaluar

Procesos de TIEstrategia de TIOperacin de ComputadorasManejo de IncidentesGestin de ProyectosGestin de CambiosContinuidad del NegocioGestin de ProblemasActivitiesRegistrar un problema.Analizar.Proponer soluciones.Monitorear solucin.Registrar un incidenteEtc. Agrupacin natural de procesos, frecuentemente alineado a un dominio organizacional de responsabilidad Un conjunto de actividades relacionadasAcciones requeridas para lograr un resultado medible Actividades tienen un ciclo de vida. COBIT - Orientacin de Procesos*


El control deQue satisfaceEs habilitado porconsiderando4 Dominios - 34 Procesos - 210 Objetivos de controlProcesos de TIRequerimientos de negocioDeclaraciones de ControlPrcticas de controlCOBIT - Modelo en Cascada*


COBIT Valor, Limitaciones y BeneficiosEs internacionalmente aceptado. Mapas a todos los frameworks y estndares relacionados y es reconocido como un integrador de frameworks, estndares y mejores prcticasSoporta los componentes relacionados a TI de existentes y emergentes regulaciones, particularmente relacionados a gobierno corporativo y cumplimiento.Es una familia completa de productos que evolucionan continuamente.Es soportado por herramientas y entrenamiento.Es mantenido por una reconocida organizacin sin fines de lucro. Es neutral e independiente de plataformas y tecnologasEsta basado por el input de voluntarios Esta orientado a la administracin y al aseguramiento.

*


COBIT Valor, Limitaciones y Beneficios*

Fortalezas: IndependenciaCredibilidadFramework abiertoMembresia base de ISACACubre necesidades de cumplimientoAgnstico a las tecnologasDebilidades:Percepcin como un estndar de auditoria.Marketing y comunicacionesAusencia de certificacionesAusencia de estrategia de implantacin

Oportunidades:Desarrollar una profesin en IT GovernanceInfluye en regulaciones y estndaresDesde el cumplimiento a la creacin de valorSatisface necesidades de industria, tamao y geografa Amenazas:

Competencia con frameworks y estndares


Algunos beneficios de adoptar COBIT son:COBIT esta alineado con otros estndares y buenas prcticas que debern ser usados juntos. Framework de COBIT y las mejores prcticas que lo soportan proveen un flexible y bien manejado ambiente de TI en una organizacin. COBIT provee un ambiente de control que responde a las necesidades del negocio y sirve a la gerencia y funciones de auditoria en trminos de sus responsabilidades de control. COBIT provee herramientas para ayudar a administrar las actividades de TI. COBIT Valor, Limitaciones y Beneficios*


COBIT se enfoca en mejorar el gobierno de TI en la organizacin. COBIT provee un framework para manejar y controlar las actividades de TI y soporta cinco actividades para un framework de control COBIT y Gobierno de TI*


El COBIT framework esta basado en la premisa que TI necesita entregar la informacin que una empresa requiere para lograr sus objetivos. El COBIT framework ayudad a alinear TI con el negocio enfocandose en requerimientos de informacin del negocio y organizando los recursos de TI. COBIT Premisas*


COBIT PrincipiosEl principio de COBIT es vincular las expectativas de TI la gerencia con las responsabilidades de la administracin de TI. El objetivo es facilitar el Gobierno de TI praa entregar valor y manejando los riesgos de TI.*


COBIT Framework Como un framework de gobierno y control de TI, COBIT se enfoca en dos reas claves: Proveer la informacin requerida para soportar los objetivos y requerimientos del negocio. Tratamiento de informacin como resultado de la aplicacin combinada de recursos de TI que necesita ser administrada por los procesos de TI. *


El COBIT framework describe como los procesos de TI entregan la informacin que el negocio necesita para lograr sus objetivos. Para controlar la entrega, COBIT provee tres componentes claves, cada uno formando una dimensin del cubo COBIT. COBIT Cubo*


COBIT describe el ciclo de vida de TI en cuatro dominios: Planificar y Organizar Adquirir e implementar Entregar y Soportar Monitorear y evaluar Los procesos son una serie de actrividades con mecanismos de control. Existen 34 procesos a travs de los cuatro dominios. Estos procesos especifican que necesidades de negocio son necesarios para lograr los objetivos. Actividades son acciones que son requeridas para lograr resultados medibles. COBIT Cubo: Procesos de TI*


Planificar y Organizar (PO)ObjetivosFormular estrategias y tcticasIdentificar como TI puede contribuir a lograr los objetivos de negocio Planificar, comunicar y administrar la realizacin de la visin estratgica Implantar infraestructura tecnolgica y organizacional Alcance:Estn TI y el negocio estratgicamente alineado? Est la organizacin alcanzando uso ptimo de los recursos? Alguien en la organizacin entiende los objetivos de TI?Son los riesgos de TI entendido y bien manejados? Es la calidad de los sistemas apropiado para las necesidades del negocio? COBIT Cubo: Dominios de TI*


COBIT Cubo: Dominios de TI*


Adquirir e Implantar (AI)Objetivos:Identificar, desarrollar o adquirir, implantar e integrar soluciones de TICambiar y mantenimiento de sistemas existentes Alcance:Estn los nuevos proyectos listos para satisfacer las necesidades del negocio? Es probable que los proyectos que se entreguen a tiempo y dentro del presupuesto? El nuevo sistema trabajar apropiadamente cuando sea implantado?COBIT Cubo: Dominios de TI*


Entrega y Soporte (DS)ObjetivosAdministrar la seguridad, continuidad datos y facilidades operacionales. Servicio de soporte para los usuarios Alcance:Estn los servicios de TI siendo entregados con las prioridades de negocios? Son los costos de TI optimizados? Estn los empleados listos para usar sistemas de TI en forma productiva y segura? Son adecuados los niveles de confidencialidad, integridad y disponibilidad? COBIT Cubo: Dominios de TI*


Monitorear y Evaluar (ME)ObjetivosAdministrar el rendimientoMonitorear control internoCumplimiento regulatorioGobierno de TIAlcance:Es el rendimiento de TI medido para detectar problemas antes que sea tarde? La gerencia asegura que los controles internos son efectivos y eficientes? Puede el rendimiento de TI ser vinculado con los objetivos del negocio? Los riesgos, controles, cumplimiento y rendimiento medidos y reportados? COBIT Cubo: Dominios de TI*


Los criterios de informacin estn basados en los siguientes requerimientos: Calidad Fiduciarios SeguridadCOBIT Cubo: Criterios de Informacin*


COBIT Cubo: Criterios de Informacin*


Los proceso manejan recursos de TI para generar, entregar y almacenar informacin que la organizacin necesita para lograr sus objetivos. Los recursos de TI identificados en COBIT son definidos como: Aplicaciones son procedimientos manuales y sistemas de usuarios automatizados que procesan informacin. Informacin es data que son ingresada, procesada y obtenida de los sistemas de informacin en cualquier formato usado por el negocio.Infraestructura incluye la tecnologa y facilidades tales como: hardware, sistemas operativos y redes que permiten el procesamiento de las aplicaciones. Personas son requeridos para planificar, organizar, adquirir, implantar, entregar, soportar, monitorear y evaluar los servicios y sistemas de informacin. Ellos podran ser internos, outsourcing o contratadoCOBIT Cubo: Recursos de TI*


Los recursos de TI son manejados por procesos de TI para lograr los objetivos de TI que respondan a los requerimientos de negocio. Este el el principio bsico del framework de COBIT como se ilustra en el cubo COBIT:.

COBIT Cubo*


Enfoque de Procesos*


Modelos de Madurez1=InicialAdhoc /CaticoTareas indefinidas Depende de iniciativas2= RepetidoIntuitivo (Procesos dependen de ciertos individuos)Calidad de las personas. Tareas definidas3=DefinidoCualitativo (Procesos definidos e institucionalizados)Polticas, procedimientos y estndares4=MedidoCuantitativo (Procesos medidos)Estructura de control completo, Anlisis de rendimiento5=OptimizadoMejora continua basado en indicadoresAutomatizacinCalidadRiesgo*


Modelos de MadurezComunicacin y Concientizacin

Polticas, Planes y Procedimientos

Herramientas y Automatizacin

Experiencia y Conocimientos

Roles y Responsabilidades

Establecimiento de Metas y MedicionesQue factores se evalan para determinar la madurez de los procesos?*


Entender requerimientos de seguridad, amenazas y vulnerabilidadesDetectar y resolver accesos no autorizados a la informacin, aplicaciones e infraestructura.Asegurar que los servicios de TI puedan resistir y recuperar de ataquesMantener reputacin y liderazgo de la empresaNmero de incidentes que daan la imagen de la empresaNmero de incidentes de TI con impacto en el negocioNmero de violaciones de accesoFrecuencia de revisin de los tipos de eventos de seguridad a ser monitoreadoObjetivo de NegocioObjetivo de TIObjetivo de ProcesoObjetivo de ActividadKPI Mtrica de Negocio KGIKPI - Mtrica de TI - KGIKPI - Mtrica de Proceso- KGIDefine ObjetivosMide Logros ObtenidosManeja RendimientosMejora y AlineaMedicin de Rendimiento (KGI,PKI)*


4. Componentes de COBIT


COBIT - ComponentesUna organizacin depende en la confiabilidad y oportunidad de los datos e informacin. Los componentes COBIT proveen un framework detallado para entregar valor mientras se maneja los riesgos y controles. *


Vinculando Objetivos de Negocios y Objetivos de TI El Gobierno de TI permite asegurar que las TI estn alineadas con los objetivos y las metas organizacionales*

Perspectiva Financiera1Proveer un optimo ROI de las inversiones de TI242Administrar los riesgos del negocio relacionados a TI21417182021223Mejorar gobierno corporativo y transparencia218Perspectiva de Cliente4Mejorar la orientacin y servicio al cliente3235Ofrecer productos y servicios competitivos5246Establecer continuidad y disponibilidad del servicio101622237Crear agilidad en respuesta a los cambios en requerimientos de negocio15258Lograr optimizacion de costos y entrega de servicios7810249Obtener informacin util y confiable para decisiones estrategias24122026Perspectiva Interna10Mejorar y mantener la funcionalidad de los procesos de negocios671111Reducir costos de procesos7813152412Proveer cumplimiento con leyes, regulaciones y contratos219202122262713Proveer cumplimiento a politicas internas21314Manejar cambios del negocio156112815Mejorar y mantener productividad operacional y del staff781113Perspectiva de Crecimiento y Aprendizaje16Manejar innovacin del negocio y productos5252817Adquirir y mantener personal motivado y entrenado9


Vinculando Objetivos de Negocios y Objetivos de TI *


BUSINESS OBJECTIVES ANDGOVERNANCE OBJECTIVESEfficiencyApplicationsInformationInfrastructurePeopleDELIVER ANDSUPPORTMONITORANDEVALUATEACQUIREANDIMPLEMENTINFORMATIONITRESOURCESC O B I TF R A M E W O R KEffectivenessConfidentialityIntegrityAvailabilityComplianceDS1 Define and manage service levels.DS2 Manage third-party services.DS3 Manage performance and capacity.DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical environment.DS13 Manage operations.

ME1 Monitor and evaluate IT performance.ME2 Monitor and evaluate internal control.ME3 Ensure compliance with external requirements.ME4 Provide IT governance.PO1 Define a strategic IT plan.PO2 Define the information architecture.PO3 Determine technological direction.PO4 Define the IT processes, organisation and relationships.PO5 Manage the IT investment.PO6 Communicate management aims and direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.PO10 Manage projects.

AI1 Identify automated solutions.AI2 Acquire and maintain application software.AI3 Acquire and maintain technology infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions and changes.PLANANDORGANISEReliabilityCOBIT Framework*


Source: COBIT Control Objectives. P. 12.Control (definido por COBIT)Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para proveer razonable aseguramiento que los objetivos del negocio sern logrados y que eventos no deseados sern prevenidos, detectados y corregidos. Para lograr objetivos de negocioPara evitar riesgos, amenazas y exposiciones *


Objetivos de Control CobiT promueve el entendimiento de aseguramiento razonable y riesgo residualConocimiento de niveles aceptables para un aseguramiento razonable y riesgos residuales es un factor crtico de xito para disear un adecuado framework de control *


Objetivos de Control Nivel de Aseguramiento 100%Riesgo Residual0%Aseguramiento Razonable*


Objetivos de Control Objetivos de control son Sentencias de resultados deseados Logrados implementando prcticas de control Requerimientos de alto nivel Prcticas gerenciales orientadas a la accin. Frecuentemente con una secuencia lgica de ciclo de vida

*


Prcticas de Control Objetivos de control indican que hacer Prcticas de control indican como hacerlo No son soluciones especficasRelacionados a otros estndares ms especficos: ITILPMBOKISO/IEC 27002

*


Lineamientos GerencialesCascadaCriterio de InformacinRecursos de TIGobierno de TI*


Lineamientos Gerenciales*


DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS

0- No existente cuandoLas responsabilidades y la rendicin de cuentas no estn definidas. No hay polticas y procedimientosformales respecto a la contratacin con terceros. Los servicios de terceros no son ni aprobados nirevisados por la gerencia. No hay actividades de medicin y los terceros no reportan. A falta de unaobligacin contractual de reportar, la alta gerencia no est al tanto de la calidad del servicio prestado.1 Inicial/Ad Ho cuandoLa gerencia est consciente de la importancia de la necesidad de tener polticas y procedimientosdocumentados para la administracin de los servicios de terceros, incluyendo la firma de contratos.No hay condiciones estandarizadas para los convenios con los prestadores de servicios. La medicinde los servicios prestados es informal y reactiva. Las prcticas dependen de la experiencia de losindividuos y del proveedor (por ejemplo, por demanda).2 Repetible pero intuitiva cuandoEl proceso de supervisin de los proveedores de servicios de terceros, de los riesgos asociados y de laprestacin de servicios es informal. Se utiliza un contrato pro-forma con trminos y condicionesestndares del proveedor (por ejemplo, la descripcin de servicios que se prestarn). Los reportessobre los servicios existen, pero no apoyan los objetivos del negocio.Lineamientos Gerenciales*


DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS

3 Proceso definido cuandoHay procedimientos bien documentados para controlar los servicios de terceros con procesos clarospara tratar y negociar con los proveedores. Cuando se hace un acuerdo de prestacin de servicios, larelacin con el tercero es meramente contractual. La naturaleza de los servicios a prestar se detalla enel contrato e incluye requerimientos legales, operacionales y de control. Se asigna la responsabilidadde supervisar los servicios de terceros. Los trminos contractuales se basan en formatosestandarizados. El riesgo del negocio asociado con los servicios del tercero est valorado y reportado.4 Administrado y medible cuandoSe establecen criterios formales y estandarizados para definir los trminos de un acuerdo, incluyendoalcance del trabajo, servicios/entregables a suministrar, suposiciones, calendario, costos, acuerdos defacturacin y responsabilidades. Se asignan las responsabilidades para la administracin del contratoy del proveedor. Las aptitudes, capacidades y riesgos del proveedor son verificadas de formacontinua. Los requerimientos del servicio estn definidos y alineados con los objetivos del negocio.Existe un proceso para comparar el desempeo contra los trminos contractuales, lo cual proporcionainformacin para evaluar los servicios actuales y futuros del tercero. Se utilizan modelos de fijacinde precios de transferencia en el proceso de adquisicin. Todas las partes involucradas tienenconocimiento de las expectativas del servicio, de los costos y de las etapas. Se acordaron los KPIs yKGIs para la supervisin del servicio.

Lineamientos Gerenciales*


Guas de AuditorasEmitido en el ao 2007Trabajo colaborativo de los grupos de desarrollo CobiT a nivel mundial Guide : Como usar COBIT para soportar las actividades de aseguramiento de TI. Busca un desarrollo efectivo y eficiente del trabajo de aseguramiento de TI (Planificacin, alcance y ejecucin) No son programas detallados de aseguramiento. Es parte de IT Assurance Framework (ITAF) *


5. COBIT y el Ambiente de TI


Relacin de COBIT con otros estndaresLas organizaciones debern considerar usar una variedad de modelos, estndares y mejores practicas de TI por lo tanto asegrese de que entiende esto con el fin de considerar como pueden usarse juntos, con COBIT actuando como consolidador (Sombrilla).

COBITISO 9000ISO 17799ITILCOSOQUECOMOCAMPO DE COBERTURA*


Procesos de ITIL*


Implementacin de ITILCompromiso de la direccin generalImplementar las funciones de ITIL juntas.Integrar y automatizar las mejores practicas.Crear CMDB (base de datos de configuraciones).Romper la inercia cultural. Implementar las prcticas que hagan sentido al negocio, dimensionar los requerimientos.*


The Calder-Moir *


Relacin Gobierno de TI y SGSILa implementacin del Gobierno de TI disminuye y controla los riesgos e incrementa el nivel de seguridad

El control del desempeo del rea de TI permite medir tambin el desempeo del SGSI*


ITIL estandariza procesos con un claro enfoque a la Gestin del Servicio Entregables.

ISO 17799 Normativa estndar de Seguridad de Informacin

COBIT Proporciona un enlace claro entre los Requerimientos del Gobierno de TI, los Procesos de TI y los Controles de TI

Quien es quien?*


COBIT, ITIL e ISO 17799 son normativas valiosas para el crecimiento y xito de una organizacin por las siguientes razones: COBIT, ITIL e ISO 17799La Alta Direccin exige mejores beneficios de las inversiones en TI.

Las mejores prcticas ayudan a cumplir los requisitos reglamentarios de los controles de las TI en reas como la confidencialidad y la preparacin de informes financieros.

Las organizaciones se enfrentan a riesgos relacionados con las TI, tales como la seguridad.

Las organizaciones pueden optimizar los costes siguiendo enfoques normalizados

Las mejores prcticas ayudan a las organizaciones a evaluar su rendimiento en comparacin con normas aceptadas generalmente

Utilizando COBIT como un marco de control general para la gestin de las TI, e ITIL e ISO 17799 proporcionan procesos normalizados pormenorizados.

*


COBIT:Parte de los requerimientos del negocioEs orientado a procesos, y organiza las actividades de TI en un modelo de procesos generalmente aceptadoIdentifica los principales recursos de TI que deben ser potencializados Define los objetivos de control administrativos a ser consideradosIncorpora los principales estndares internacionalesSe ha convertido en el estndar de facto para el control general de TICOBIT ayuda a salvar las brechas entre los riesgos del negocio, las necesidades de control y los asuntos tcnicos. Provee buenas prcticas a travs de un marco de referencia de dominios y procesos y presenta actividades en una estructura administrable y lgica. Los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados. COBIT proporciona un marco de referencia que logra este objetivo. COBIT proporciona framework para el Gobierno de TI*


Agradecemos tu participacin*Para informaciones adicionales sobre el curso puede contactar directamente al instructor a:[email protected]


*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Return on Investment (ROI)Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*This shows the framework from a different perspective using the cube.Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBITDisminuir los bomberazos dando lugar a un departamento de TI mejor organizado Contar con una visin clara de las capacidades reales de TI, aumentando la posibilidad de medirlas y por tanto de mejorarlas Incrementar el aprovechamiento de los recursos de TI Justificar el costo de los servicios de TI hacia sus clientes Establecer mecanismos formales para el aprendizaje de experiencias previas Mejorar los tiempos de implementacin de los cambios a los servicios de TI, e incrementar en el nmero de xitos de los mismos Aumentar la motivacin y satisfaccin del personal respecto a su trabajo gracias al mejor entendimiento de sus capacidades y mejor manejo de sus expectativas Disponer de informacin ms completa sobre los servicios de TI*Fundamentos de COBIT*Fundamentos de COBITImplementarse las funciones ITIL juntas para que la adopcin sea racional; por otro lado, deben integrarse y automatizarse las mejores prcticas empleando soluciones basadas en software; y finalmente, se debe sacar partido a una base de datos de gestin de configuracin (CMBD) para incrementar la distribucin y la precisin de la informacin en la organizacin de TI. Regla nmero 1. Implementar las funciones ITIL juntas Las organizaciones de TI necesitan agrupar las funciones ITIL como un medio que facilita su implementacin y aceptacin, y obtener beneficios de forma ms rpida. Elegir esta opcin permite a la gente con un rea comn de responsabilidad implementar los cambios juntos. Regla nmero 2. Integrar y automatizar las Mejores Prcticas En teora, se podra implementar ITIL requiriendo que la gente se apegue a los procesos; sin embargo, en la prctica se ver rpidamente la imposibilidad de reforzar y monitorear. Para muchas organizaciones, la implementacin ms efectiva de ITIL incluir una combinacin de gente, procesos y soluciones tecnolgicas. La adopcin de las mejores prcticas de ITIL es, a menudo, optimizada por aplicaciones de software y herramientas diseadas para el trabajo a mano. Las aplicaciones empleadas para integrar y automatizar los procesos ITIL deberan ser diseadas para aprovechar e institucionalizar las mejores prcticas de ITIL. Por ejemplo, los procesos y prcticas ITIL deberan ser funciones estndar out-of-the-box. Sacar provecho de los procedimientos y los flujos de trabajo desarrollados por el proveedor imprime velocidad a la implementacin y acelera el time to value o, lo que es lo mismo, se perciben antes los beneficios que aporta. Las herramientas deberan tambin ser fcilmente adaptadas para las necesidades especficas de cada organizacin. Regla 3. Aprovechar CMDB La implementacin de las mejores prcticas ITIL individuales conduce a mejoras operacionales. Sin embargo, las organizaciones deben asegurarse de que no se convierten en silos de datos y experiencia. Para integrar y automatizar procesos ITIL, los productores y consumidores de informacin compartiran el acceso a un almacn de datos comn. La aproximacin ideal a una base de datos de gestin de configuracin (CMBD) se caracteriza por ser una base de datos centralizada unida a otros almacenes de datos con un modelo federado que lleva informacin desde un punto a otro sin necesidad de duplicarlos. Documentacion.*Fundamentos de COBIT*Fundamentos de COBIT1)Uso el modelo Calder-Moir, para mostrar los diversos conceptos y modelos .2)

**Fundamentos de COBITFundamentos de COBITLas vulnerabilidades y control interno se reduce al controlar y medir el desempeo del area de sisteam.*Fundamentos de COBITFundamentos de COBIT*Fundamentos de COBITFundamentos de COBIT*Ejemplos de Riesgos del entorno: competencia, regulaciones, normativa fiscalEjemplos de riesgos de operaciones: satisfaccin del cliente, calidad del producto, falta de segregacin de funciones, eficiencia de las operacionesEjemplos de riesgos de informacin para la toma de decisiones: informacin para la fijacin de precios, planes y presupuestos.Fundamentos de COBITFundamentos de COBIT*Esta diapositiva resume los atributos principales del Marco de Referencia de CobiT

This slide summarises the main attributes of the CobiT FrameworkFundamentos de COBITFundamentos de COBIT

fundamentos de cobit

Documents

cmo cobit

curso bienvenido

objetivos de control

beneficios cobit

principios de cobit

control de tecnologas

gobierno de ti premisas

control basado