Cobit exposicion
Descargar como PPTX, PDF0 recomendaciones122 vistas
COBIT (Control Objectives for Information and Related Technology) es un conjunto de buenas prácticas para el manejo de información creado por ISACA e ITGI. COBIT tiene la misión de investigar, desarrollar, publicar y promover un conjunto actualizado e internacionalmente aceptado de objetivos de control de tecnología de la información para su uso por administradores de negocios y auditores. COBIT define siete criterios de información y organiza las actividades de TI en 34 procesos agrupados en cuatro dominios: planeación y organización, adquisición e
Cobit exposicion
- 1. COBIT Control Objectives for information and related technology Expositor Héctor Josué Ardón Morga
- 2. Introducción Conjunto de buenas practicas para el manejo de información que ha sido creado por la asociación para la auditoria y control de sistemas de información (ISACA en ingles) y el instituto de administración de las tecnologías de la información (ITGI en inglés). COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las mini computadora, computadoras personales y ambientes distribuidos
- 3. Misión de COBIT Investigar, desarrollar, publicar y promover un conjunto actualizado e internacional de objetivos de control de tecnología de la información generalmente aceptado, para su uso diario por los administradores del negocio y los auditores
- 4. Criterios de información de COBIT Con base en los requerimientos más amplios de calidad, fiduciarios y de seguridad, se definieron los siguientes siete criterios de información Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
- 5. Características de COBIT Orientación al negocio. Ha sido diseñado como un estándar habitualmente aceptado y ajustable a las buenas practicas de seguridad y control en TIC. Suministra herramientas al responsable de los procesos que facilitan el cumplimiento de esta tarea
- 6. Tiene una premisa practica y simple: Con el fin de facilitar la información que la organización requiere para alcanzar sus objetivos, señala que los recursos de TIC deben ser administrados por un conjunto de procesos de TIC agrupados en forma natural. Es la herramienta innovadora para el manejo de TIC que ayuda a la gerencia a comprender y administrar los riesgos asociados con TIC. Está desarrollado no solo para ser utilizado por usuarios y auditores, sino que en forma más importante, está diseñado para ser utilizado como un Check List detallado para los responsables de cada proceso
- 10. Enfoque de ciclo de vida
- 11. Marco de referencia de trabajo Los Objetivos de Control para la información y la tecnología relacionada COBIT Brindan buenas practicas a través de un marco de trabajo de dominios y procesos y presenta las actividades en una estructura manejable
- 14. Control Las políticas, procedimientos, practicas y estructuras organizacionales diseñadas para brindar una seguridad razonable para Que los objetivos del negocio se alcancen. Que los eventos no deseados sean prevenidos o detectados y corregidos
- 16. Requerimientos del negocio Vincular las metas de negocio con las metas de TI Brindar métricas y modelos de madurez para medir sus logros. Identificar las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI
- 18. Organizando las actividades de TI en un modelo de procesos generalmente aceptado COBIT subdivide la actividad de TI en 34 procesos de acuerdo a las áreas de responsabilidad o dominios: 34 procesos MonitorizaciónConstrucción EjecuciónPlanificación TI
- 19. Dominios de COBIT La gerencia de tecnologías de la información (TI) involucra el estudio de 4 dominios de acción los cuales son: Planeación y organización Adquisición e implementación Prestación de servicios y soporte Monitoreo
- 20. Planeación y organización Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). Cubre los siguientes cuestionamientos típicos de la gerencia: ¿Están alineadas las estrategias de TI y del negocio? ¿La empresa está alcanzando un uso óptimo de sus recursos? ¿Entienden todas las personas dentro de la organización los objetivos de TI? ¿Se entienden y administran los riesgos de TI? ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
- 21. Adquisición e implementación Proporciona las soluciones y las pasa para convertirlas en servicios. por lo general, cubre los siguientes cuestionamientos de la gerencia: ¿Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? ¿Los cambios no afectarán a las operaciones actuales del negocio?
- 22. Prestación de servicios y soporte Recibe las soluciones y las hace utilizables por los usuarios finales. Por lo general cubre las siguientes preguntas de la gerencia: ¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? ¿Están optimizados los costos de TI? ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
- 23. Monitorear y evaluar Monitorear todos los procesos para asegurar que se sigue la dirección provista. Por lo general abarca las siguientes preguntas de la gerencia: ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? ¿La Gerencia garantiza que los controles internos son efectivos y eficientes? ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
- 25. Dominio Planear y organizar PO1: Definir un plan estratégico de sistemas PO2: Definir la arquitectura de la información PO3: Determinar la dirección tecnológica PO4: Definir la organización y sus relaciones PO5: Administrar las inversiones en TI PO6: Comunicar la dirección y objetivos de la gerencia PO7: Administrar los recursos humanos PO8: Asegurar el apego a disposiciones externas PO9: Evaluar riesgos PO10: Administrar proyectos PO11: Administrar calidad
- 26. Adquisición e implementación AI1: Identificar soluciones de automatización AI2: Adquirir y mantener software de aplicaciones AI3: Adquirir y mantener la arquitectura tecnológica AI4: Desarrollar y mantener procedimientos AI5: Instalar y acreditar sistemas de información AI6: Administrar cambios
- 27. Prestación de servicios y soporte (DS) DS1: Definir niveles de servicio. DS2: Administrar servicios de terceros. DS3: Administrar desempeño y capacidad. DS4: Asegurar la continuidad de servicio. DS5: Garantizar la seguridad de sistemas. DS6: Identificar y asignar costos. DS7: Educar y capacitar usuarios. 21 DS8: Apoyar y orientar a clientes. DS9: Administrar la configuración. DS10: Administrar problemas e incidentes. DS11: Administrar la información. DS12: Administrar las instalaciones. DS13: Administrar la operación.
- 28. Monitoreo M1: Monitorear el proceso. M2: Evaluar lo adecuado del control interno. M3: Obtener aseguramiento independiente. M4: Proporcionar auditoría independiente.
- 29. Definir un plan estratégico de TI para Satisfacer: El requerimiento del negocio de TI para sostener o extender los requerimientos de gobierno y la estrategia de negocio, manteniendo transparencia en los beneficios y costos. Enfocándose en la traducción de los requerimientos del negocio a ofertas de servicio y el desarrollo de estrategias para entregar estos servicios de forma transparente. Lográndolo con la alineación de la planeación con las necesidades del negocio actual, aplicando un esquema de prioridades para los objetivos del negocio. Midiéndolo con el porcentaje de objetivos de TI que dan soporte al plan estratégico, los proyectos de TI que se pueden rastrear hacia el plan táctico de TI.
- 30. Ejemplo de planeación estratégica de TI
- 31. Ejemplo de planeación estratégica de TI