¿Qué es COBIT?

Es un conjunto de mejores prácticas (marco de referencia o framework) para la administración IT creado por ISACA (Information Systems Audit and Control Association), e ITGI (IT Governance Institute)

COBIT brinda a managers, auditores, y usuarios IT, un set de medidas, indicadores, procesos y mejores prácticas de consenso general para asistirlos en maximizar los beneficios derivados del uso de las tecnologías de información y para obtener un control y gerenciamiento apropiado de IT en la organización

La primera edición de COBIT data de 1996

El paquete completo de COBIT consiste en: Executive Summary (Resumen Ejecutivo) que provee una

completa noción y entendimiento de los conceptos y principios claves de COBIT.

Framework (Marco de referencia) explica como los procesos IT producen información que el negocio necesita para alcanzar sus objetivos.

Control Objectives (Objetivos de Control) Aquí se incluyen los enunciados de los resultados deseados o propósitos a alcanzarse.

Management Guidelines (Lineamientos Gerenciales) ayuda a determinar las etapas y níveles de control y compararlos contra estandares coorporativos.

IT Assurance Guide (Guía de Aseguramiento IT) provee las herramientas para asegurar los controles en toda forma necesaria, desde su diseño hasta sus resultados.

Características Orientado al negocio

Alineado con estándares y regulaciones “de facto”

Basado en una revisión crítica y analítica de las tareas y actividades en TI

Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

¿A quiénes está dirigido?

La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.

Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.

Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.

Los Responsables de TI: para identificar los controles que requieren en sus áreas.

Alcances y Objetivos Estándares generalmente aplicados y aceptados para las

buenas prácticas de control en TI (Tecnologías de la Información)

Para Sistemas de Información de la Organización

Fundamentado en una estructura de control de las TI

Basado en los Objetivos de Control de ISACF

La misión de COBIT Es Investigar, Desarrollar, Publicar y promocionar

Objetivos de Control de TI internacionales, actualizados a la realidad actual para ser usado por los Gerentes de Negocios y Auditores.

Principio Básico de COBIT

CRITERIOS DE INFORMACIÓN DE COBIT

La efectividad que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.

La eficiencia consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos.

La confidencialidad La integridad La disponibilidad La confiabilidad proporcionar la información apropiada para que la

gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.

El cumplimiento acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

Definir las Metas de TI y la Arquitectura Empresarial para TI

RECURSOS DE TI Las aplicaciones incluyen tanto sistemas de usuario automatizados

como procedimientos manuales que procesan información. La información son los datos en todas sus formas, de entrada,

procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio.

La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.

Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.

Procesos TI

Dominios COBIT define las actividades de TI en un modelo genérico de procesos organizado en cuatro dominios.

o Planear y Organizar (PO) – Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS).

o Adquirir e Implementar (AI) – Proporciona las soluciones y las pasa para convertirlas en servicios.

o Entregar y Dar Soporte (DS) – Recibe las soluciones y las hace utilizables por los usuarios finales.

o Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar que se sigue la dirección provista.

Los 4 dominios interrelacionados

PLANEAR Y ORGANIZAR (PO) Este dominio cubre estrategia y táctica, y se relaciona

con la identificación de la forma en que TI puede contribuir mejor al logro de los objetivos de negocios. Más aún, la realización de la visión estratégica debe ser planificada, comunicada y administrada para diferentes perspectivas. Finalmente, se debe poseer una apropiada organización además de una infraestructura tecnológica.

ADQUIRIR E IMPLEMENTAR (AI) Para realizar la estrategia TI, se deben identificar,

desarrollar o adquirir las necesidades TI, así como implementarlas e incorporarlas a los procesos de negocios. Además, los cambios en y la mantención de sistemas existentes son cubiertas por éste dominio, para asegurarse que el ciclo de vida útil es continuo para estos sistemas.

ENTREGAR Y DAR SOPORTE (DS) Este dominio cubre la entrega en sí de los servicios

requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos.

MONITOREAR Y EVALUAR (ME) Todos los procesos de TI deben evaluarse de forma

regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno.

A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados. COBIT proporciona una lista completa de procesos que puede ser utilizada para verificar que se completan las actividades y responsabilidades; sin embargo, no es necesario que apliquen todas, y, aun más, se pueden combinar como se necesite por cada empresa.

Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI que soporta. Información de cómo se pueden medir las metas, también se proporcionan cuales son sus actividades clave y entregables principales, y quién es el responsable de ellas.

Procesos PLANEAR Y ORGANIZAR PO1 Definir un Plan Estratégico de TI

PO2 Definir la Arquitectura de la Información

PO3 Determinar la Dirección Tecnológica

PO4 Definir los Procesos, Organización y Relaciones de TI

PO5 Administrar la Inversión en TI

PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia

PO7 Administrar Recursos Humanos de TI

PO8 Administrar la Calidad

PO9 Evaluar y Administrar los Riesgos de TI

PO10 Administrar Proyectos

Procesos ADQUIRIR E IMPLEMENTAR

AI1 Identificar soluciones automatizadas

AI2 Adquirir y mantener software aplicativo

AI3 Adquirir y mantener infraestructura tecnologica

AI4 Facilitar la operacion y uso

AI5 Adquirir recursos TI

AI6 Administrar cambios

AI7 Instalar y acreditar soluciones y cambios

Procesos ENTREGAR Y DAR SOPORTE DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones

Procesos MONITOREAR Y EVALUAR

ME1 Monitorear y Evaluar el Desempeño de TI

ME2 Monitorear y Evaluar el Control Interno

ME3 Garantizar el Cumplimiento Regulatorio

ME4 Proporcionar Gobierno de TI

Control se define como las políticas, procedimientos, prácticas

y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos.

El Modelo del Marco de Trabajo de COBIT

Cubo COBIT