slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
COBIT PowerPoint Presentation
Download Presentation
COBIT

Loading in 2 Seconds...

play fullscreen
1 / 41

COBIT - PowerPoint PPT Presentation


  • 237 Views
  • Uploaded on

COBIT. César Pallavicini Z. www.seguridadinformacion.cl. C Control OB OBjectives I for Information T and Related Technology. Origen de COBIT Actualización de los objetivos de control de ISACF

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'COBIT' - ghalib


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

COBIT

César Pallavicini Z.

www.seguridadinformacion.cl

slide2

C Control

OB OBjectives

I for Information

T and Related Technology

slide3

Origen de COBIT

  • Actualización de los objetivos de control de ISACF
  • Expansión del enfoque a las necesidades de la Administración y el Usuario
  • Perspectiva Global
  • Comité de Análisis
slide4

Misión del COBIT

“Para investigar, desarrollar, publicar y promover un conjunto actualizado e internacional de objetivos de control de Tecnología de la Información generalmente aceptado, para su uso diario por los administradores del negocio y los auditores”.

slide5

Alcances y objetivos:

  • Estándares generalmente aplicados y aceptados para las buenas prácticas de control en TI (Tecnologías de la Información)
  • Para Sistemas de Información de la Organización
  • Fundamentado en una estructura de control de las TI
  • Basado en los Objetivos de Control de ISACF.
slide6

Componentes del COBIT

Resumen Ejecutivo

Descripción de la Estructura

Objetivos de Control

Guías de Auditoría

slide7

Visión Ejecutiva

  • Antecedentes
  • La Estructura del COBIT
  • Definiciones
  • Los Principios de la Estructura
  • Dominios y Procesos
  • Relaciones entre Principios, Dominios y Procesos
slide8

Necesidad por una Estructura

  • Orientación al Control
  • Relacionar objetivos de control individuales con los Estándares, Regulaciones y Prácticas existentes.
  • Usado por Auditores, Administradores y Usuarios
slide9

Expectativas de la

  • Administración en TI
  • Proceso de Re-Ingeniería
  • Proceso Distribuído
  • Outsourcing
slide10

Responsabilidades Administrativas TI

  • Salvaguardar Activos
  • La Información como el ACTIVO más importante
slide11

La Necesidad del Control en TI

  • Administradores
  • Usuarios
  • Auditores
slide12

Definición de Control

“Las Políticas, Procedimientos, Prácticas y Estructura Organizacional, diseñadas para proveer una razonable seguridad de que los objetivos del negocio serán alcanzados y los eventos indeseados serán prevenidos o detectados y corregidos.”

slide13

Recursos de Tecnología de

Información

  • Datos
  • Sistemas de Aplicación
  • Tecnología
  • Instalaciones
  • Personal
requerimientos del negocio hacia la informaci n

Requerimientos

de calidad

Requerimientos

Fiduciarios

(Informe COSO)

Requerimientos

de Seguridad

Requerimientos del Negocio hacia la Información

Calidad

Costo

Entrega

Efectividad & Eficiencia de operaciones

Confiabilidad de Información

Cumplimiento con leyes & regulaciones

Confidencialidad

Integridad

Disponibilidad

requerimientos del negocio hacia la informaci n1
Requerimientos del Negocio hacia la Información

Trata con información que es relevante y pertinente al proceso de negocio, además de ser entregada de una manera oportuna, correcta, consistente y utilizable.

Efectividad

Se relaciona con la provisión de información a través del óptimo

(más productivo y económico ) uso de recursos.

Eficiencia

Confidencialidad

Se relaciona con la protección de información sensible a divulgación

No autorizada.

Se relaciona con la exactitud e integridad de información así como también con su validez en conformidad con valores y expectativas

del NEGOCIO.

Integridad

requerimientos del negocio hacia la informaci n2
Requerimientos del negocio hacia la Información

Se relaciona con información disponible al ser requerida por el proceso de negocio ahora y en el futuro. Se relaciona con el resguardo de recursos necesarios y capacidades asociadas.

Disponibilidad

Trata con el cumplimiento de aquellas leyes, regulaciones y arreglos contractuales a los cuales está sujeto el proceso de negocio; es decir, criterios de negocios impuestos externamente.

Cumplimiento

Se relaciona con la provisión de información apropiada a la gerencia para operar la entidad y para que la gerencia ejerza sus responsabilidades de informar cumplimiento.

Confiabilidad de

Información

recursos de la tecnolog a de la informaci n t i
Recursos de la Tecnología de la Información (T.I.)

Objetos en su más amplio sentido (es decir, externos e internos), estructurados y no estructurados, gráficos, sonidos, etc.

Datos

Los sistemas de aplicación, se entienden como la suma de procedimientos manuales y programados.

Sistemas de

Aplicación

Cpallavicini@pallavicini.cl Pallavicini Consultores www.seguridadinformatica.cl

recursos de la tecnolog a de la informaci n t i1
Recursos de la Tecnología de la Información (T.I.)

Tecnología cubre hardware, sistemas operativos, Sistemas de administración de bases de datos, redes, multimedia, etc.

Tecnología

Tecnología

Instalación

Instalaciones son todos los recursos para albergar y respaldar Sistemas de información.

Instalaciones

Gente incluye las destrezas, conciencia y productividad del personal para planificar, organizar, adquirir, entregar, respaldar y Monitorear sistemas y servicios de información.

Gente

Gente

slide19

Procesos de Información

Tres Niveles

Dominios

Procesos

Actividades

dominios del cobit
Dominios del Cobit

Este dominio cubre estrategia y táctica, y se relaciona con la identificación de la forma en que TI puede contribuir mejor al logro de los objetivos de negocios.

Más aún, la realización de la visión estratégica debe ser planificada, comunicada y administrada para diferentes perspectivas.

Finalmente, se debe poseer una apropiada organización además de una infraestructura tecnológica.

Planificación

y

Organización

dominios del cobit1
Dominios del Cobit

Para realizar la estrategia TI, se deben identificar,

desarrollar o adquirir las necesidades TI, así como implementarlas e incorporarlas a los procesos de negocios. Además, los cambios en y la mantención

de sistemas existentes son cubiertas por éste dominio, para asegurarse que el ciclo de vida útil es continuo para estos sistemas.

Adquisición e

Implementación

dominios del cobit2
Dominios del Cobit

Procedimientos manuales y programados. real de servicios requeridos, la cual va desdeoperaciones tradicionales en seguridad y aspectos de continuidad a capacitación. Para entregar servicios, se deben preparar los procesos de respaldo necesarios. Este dominio incluye procesamiento real de datos mediante procesos de aplicaciones, a menudo clasificados bajo controles de aplicaciones.

Entrega y Respaldo

.

.

www.seguridadinformacion.cl

dominios del cobit3
Dominios del Cobit

Todos los procesos TI deben ser evaluados regularmente en el tiempo para sucalidad y cumplimiento

con requerimientos de control. Este dominio, por consiguiente, aborda la supervisión por parte de la gerencia del proceso de control de la organización y la garantía independiente proporcionada por auditoría interna y externa, o se obtiene de fuentes alternativas.

Monitoreo

slide24

PO1 definir un plan TI estratégico

PO2 definir la arquitectura de información

PO3 determinar la dirección tecnológica

PO4 definir la organización TI y relaciones

PO5 administrar la inversión en TI

M1 monitorear los procesos

PO6 comunicar a gerencia metas y dirección

M2 evaluar adecuación de control

PO7 administrar recursos humanos

interno

PO8 asegurar cumplimiento con

M3 lograr garantía independiente

requerimientos externos

M4 disponer de auditoría interna

PO9 evaluar riesgos

PO10 administrar proyectos

PO11 administrar calidad

OBJETIVOS DE

NEGOCIOS

COBIT

INFORMACION

Æ

·

efectividad

Ê

·

eficiencia

·

confidencialidad

·

integridad

·

disponibilidad

PLANIFICACION &

MONITOREO

·

cumplimiento

·

ORGANIZACION

confiabilidad

Ç

Ã

RECURSOS TI

ENTREGA &

ADQUISICIÓN &

ç

RESPALDO

IMPLEMENTACION

·

gente

·

sistemas de

aplicaciones

·

tecnología

·

instalaciones

·

DS1 definir niveles de servicio

datos

DS2 administrar servicios de terceros

DS3 administrar desempeño y capacidad

DS4 asegurar servicio continuo

DS5 asegurar seguridad de sistemas

AI1 identificar soluciones

DS6 identificar y atribuir costos

AI2 adquirir y mantener software de

DS7 adecuar y capacitar a usuarios

aplicaciones

DS8 ayudar y aconsejar a clientes de TI

AI3 adquirir y mantener arquitectura de

DS9 administrar la configuración

tecnología

DS10 administrar problemas e incidentes

AI4 desarrollar y mantener recursos TI

DS11 administrar datos

AI5 instalar y acreditar sistemas

DS12 administrar instalaciones

AI6 administrar cambios

DS13 administrar operaciones

dominio planificaci n y organizaci n
Dominio Planificación y Organización

1. Definición del Plan Estratégico

2. Definición de la Arquitectura de la Información

3. Determinación de la Dirección Tecnológica

4. Definición de la organización y sus relaciones

dominio planificaci n y organizaci n continuaci n
Dominio Planificación y Organización (CONTINUACIÓN)

5. Manejo de la Inversión

6. Comunicación de Políticas y los Objetivos de la Dirección

7. Administración del Personal

8. Requerimientos de Organismos Contralores Externos

dominio planificaci n y organizaci n continuaci n1
Dominio Planificación y Organización (CONTINUACIÓN)

9. Evaluación de riesgos

10. Administración de Proyectos

11. Administración de la Calidad

dominio adquisici n e implementaci n
Dominio Adquisición e Implementación

1. Identificar soluciones.

2. Adquirir y mantener software de aplicaciones.

3. Adquirir y mantener arquitectura de tecnología.

4. Desarrollar y mantener recursos TI.

5. Instalar y acreditar sistemas.

6. Administrar cambios.

dominio entrega y soporte
Dominio Entrega y Soporte

1. Definir niveles de servicio.

2. Administrar servicios de terceros.

3. Administrar desempeño y capacidad

4. Asegurar servicio continuo.

5. Asegurar seguridad de sistemas.

6. Identificar y atribuir costos.

7. Adecuar y capacitar a usuarios.

dominio entrega y soporte continuaci n
Dominio Entrega y Soporte (continuación)

8. Ayudar y aconsejar a clientes de TI.

9. Administrar la configuración.

10. Administrar problemas e incidentes.

11. Administrar datos.

12. Administrar instalaciones.

13. Administrar operaciones.

dominio monitoreo
Dominio Monitoreo

1. Monitorear los procesos.

2. Evaluar la adecuación del control interno.

3. Lograr garantía independiente.

4. Disponer de auditoría interna.

po5 manejo de la inversi n en tecnolog a de informaci n
PO5. Manejo de la Inversión en Tecnología de Información

5.1. Presupuesto Operativo Anual para la Función de Servicios de Información.

  • Proceso de definición de presupuesto operativo.
  • Consideración en el proceso de:
    • Plan de la organización.
    • Plan Informático.
  • Proceso de análisis de alternativas de financiamiento.
po5 manejo de la inversi n en tecnolog a de la informaci n continuaci n
PO5. Manejo de la Inversión en Tecnología de la Información (continuación)

5.2. Monitoreo de Costo - Beneficios.

  • Proceso de medición, registro y control de costos contra presupuesto.
  • Identificación, medición y reporte de los beneficios de la TI.
  • Sistema de costos asociado a la Contabilidad.
  • Proceso periodico de revisión de las unidades de medición de beneficios de la TI.
po5 manejo de la inversi n en tecnolog a de la informaci n continuaci n1
PO5. Manejo de la Inversión en Tecnología de la Información (continuación)

5.3. Justificación del Costo - Beneficio.

  • Proceso de verificación de los costos del servicio de TI v/s la Industria (benchmarking).
  • Proceso de verificación del nivel de actividades de la TI con respecto a la Industria.
po7 administraci n de recursos humanos
PO7. Administración de Recursos Humanos

7.1. Reclutamiento y promoción de personal

  • Políticas de reclutamiento y promoción del personal.
  • Proceso formal de reclutamiento y promoción del personal.
  • Aspectos a considerar como la educación, experiencia y responsabilidad.
po7 administraci n de recursos humanos continuaci n
PO7. Administración de Recursos Humanos (CONTINUACIÓN)

7.2. Personal calificado.

  • Definición de requerimientos del puesto.
  • Proceso de verificación de la calificación de las personas.
po7 administraci n de recursos humanos continuaci n1
PO7. Administración de Recursos Humanos (CONTINUACIÓN)

7.3.Entrenamiento del personal.

  • Proceso de inducción de nuevos empleados en la Empresa.
  • Programa de capacitación de acuerdo a los requerimientos de cargo.
  • Proceso periódico de revisión del programa de capacitación.
po7 administraci n de recursos humanos continuaci n2
PO7. Administración de Recursos Humanos (CONTINUACIÓN)

7.4. Proceso cruzado o respaldo de personal.

  • Identificación de los puestos claves.
  • Programa de entrenamiento cruzado (puestos claves).
  • Programa de vacaciones/control de cumplimiento.
po7 administraci n de recursos humanos continuaci n3
PO7. Administración de Recursos Humanos (CONTINUACIÓN)

7.5. Procedimiento de acreditación del personal

  • Procedimiento de verificación de antecedentes del personal previo a su contratación o cambio.
  • Consideración en el procedimiento de su situación financiera.

Cpallavicini@pallavicini.cl Pallavicini Consultores propiedad intelectual reservada

po7 administraci n de recursos humanos continuaci n4
PO7. Administración de Recursos Humanos (CONTINUACIÓN)

7.6. Evaluación desempeño de los empleados.

  • Pauta de evaluación del desempeño de los empleados.
  • Consideración de estándares y responsabilidades del cargo que ocupa el empleado.
  • Procedimiento formal de aplicación periódica de dicha pauta.
  • Procedimiento formal de entrega de resultados al empleado.
po7 administraci n de recursos humanos continuaci n5
PO7. Administración de Recursos Humanos (CONTINUACIÓN)

7.7.Cambios de puesto y despidos.

  • Procedimiento formal y conocido, para el despido y cambio del puesto, del personal
  • Procedimiento para la eliminación/suspensión inmediata de las passwords de acceso a los ambientes computacionales, sistemas y datos, de cada persona despedida o trasladada a otro cargo.

Cpallavicini@pallavicini.cl Pallavicini Consultores propiedad intelectual del resumen en Powerpoint reservada