COBI 4.

UNIVERSIDAD NACIONAL JORGE BASADRE GROHMANN

RESUMEN DE COBIT 4.0

CURSO DOCENTE ESTUDIANTE CODIGO AO : : : : :

AUDITORIA DE SISTEMAS
CPC EDUARDO MIRANDA V. GLADYS ALANOCA RIVERA 05-27405 QUINTO A

TACNA PER 2009

COBI 4.0

LOS OBJETIVOS DE CONTROL PARA LA INFORMACIN Y LA TECNOLOGA

Brindan buenas prcticas a travs de un marco de trabajo de dominios y procesos, y representan el consenso de los expertos y ayudan a optimizar las inversiones facilitadas por la tecnologa de informacin

El marco de trabajo de COBIT contribuye a estas necesidades: Estableciendo un vnculo con los requerimientos del negocio Organizando las actividades de tecnologa de informacin en un modelo de procesos generalmente aceptado Identificando los principales recursos de tecnologa de informacin a ser utilizados Definiendo los objetivos de control gerenciales a ser considerados

Consiste en vincular las metas de negocio con las metas de tecnologa de informacin, brindando mtricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los propietarios de los procesos de negocio y de tecnologa de informacin

OPINION

Cobit 4.0 busca enlazar los objetivos empresariales con los objetivos tecnologa de informacin y los procesos. En la prctica esto se logra identificando los siguientes aspectos : 1.- requerimientos del negocio para la informacin 2.- recursos de tecnologa de informacin que son impactados en forma primaria por cada objetivo de control, asociado a cada proceso de tecnologa de informacin

CONCLUSION:
Proporciona a gerentes, interventores, y usuarios, con un juego de medidas generalmente aceptadas, indicadores, procesos y las mejores prcticas para ayudar a ellos en el maximizar las ventajas sacadas por el empleo de tecnologa de informacin y desarrollo

COBI 4.0
POR LO TANTO:

para investigar, desarrollar, hacer pblico y promover un juego autoritario, actualizado, internacional de objetivos de control de tecnologa de informacin generalmente aceptados para el empleo cotidiano por directores comerciales e interventores.

GOBIERNO DEL TI
Alineacin estratgica: Se enfoca en garantizar el vnculo entre los planes de negocio y de tecnologa de informacin en definir, mantener y validar la propuesta de valor de tecnologa de informacin y en alinear las operaciones Entrega de valor: Se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que tecnologa de informacin genere los beneficios prometidos en la estrategia, concentrndose Administracin de recursos se trata de la inversin ptima, as como la administracin adecuada de los recursos crticos de tecnologa de informacion, aplicaciones, informacin, infraestructura y personas. Los temas claves se refieren a la optimizacin de conocimiento y de infraestructura. Administracin de riesgos requiere conciencia de los riesgos por parte de los altos ejecutivos de la empresa, un claro entendimiento del deseo de riesgo que tiene la empresa, comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos para la empresa, y la inclusin de las responsabilidades de administracin de riesgos dentro de la organizacin. Medicin del desempeo rastrea y monitorea la estrategia de implementacin, la terminacin del proyecto, el uso de los recursos, el desempeo de los procesos y la entrega del servicio. Los objetivos de control de tecnologa de informacin de COBIT estn organizados por proceso de tecnologa de infromacion, por lo tanto, el marco de trabajo brinda un vnculo claro entre los requerimientos de gobierno de tecnologa de informacin los procesos de tecnologa de informacin y los controles

COBI 4.0
LA NECESIDAD DE UN MARCO DE TRABAJO PARA EL CONTROL DEL GOBIERNO DE TI
Por qu

La alta direccin necesita saber si con la informacin administrada en la empresa es posible que: Garantice el logro de sus objetivos Tenga suficiente flexibilidad para aprender y adaptarse Cuente con un manejo juicioso de los riesgos que enfrenta Reconozca de forma apropiada las oportunidades y acte de acuerdo a ellas

Las empresas exitosas entienden los riesgos y aprovechan los beneficios de tecnologa de informacion y encuentran maneras para: Alinear la estrategia de tecnologa de informacin con la estrategia del negocio Lograr que toda la estrategia de tecnologa de informacin as como las metas fluyan de forma gradual a toda la empresa Proporcionar estructuras organizacionales que faciliten la implementacin de estrategias y metas Crear relaciones constructivas y comunicaciones efectivas entre el negocio y tecnologa de informacin , y con socios externos

Las empresas no pueden responder de forma efectiva a estos requerimientos de negocio y de gobierno sin adoptar e implementar un marco de Referencia de gobierno y de control para TI, de tal manera que: Se forme un vnculo con los requerimientos del negocio El desempeo real con respecto a los requerimientos sea transparente Organice sus actividades en un modelo de procesos generalmente aceptado Identifique los principales recursos a ser aprovechados Se definan los objetivos de control Gerenciales a ser considerados

Quin
Un marco de referencia de gobierno y de control requiere servir a una variedad de interesados internos y externos, cada uno de los cuales tiene necesidades especficas: Interesados dentro de la empresa que tengan un inters en generar valor de las inversiones en tecnologa de informacin Aquellos que tomen decisiones de inversiones Aquellos que deciden respecto a los requerimientos Aquellos que utilicen los servicios de tecnologa de informacin

Interesados internos y externos que proporcionen servicios de tecnologa de informacin

COBI 4.0
Aquellos que administren la organizacin y los procesos de tecnologa de infromacion Aquellos que desarrollen capacidades Aquellos que operen los servicios

Interesados internos y externos con responsabilidades de control/riesgo: Aquellos con responsabilidades de seguridad, privacidad y/o riesgo Aquellos que realicen funciones de cumplimiento Aquellos que requieran o proporcionen servicios de aseguramiento

Qu
Para satisfacer los requerimientos previos, un marco de referencia para el gobierno y el control de TI deben satisfacer las siguientes especificaciones generales: Brindar un enfoque de negocios que permita la alineacin entre los objetivos de negocio y de TI. Establecer una orientacin a procesos para definir el alcance y el grado de cobertura, con una estructura definida que permita una fcil navegacin en el contenido. Ser generalmente aceptable al ser consistente con las mejores prcticas y estndares de TI aceptados, y que sea independiente de tecnologas especficas. Proporcionar un lenguaje comn, con un juego de trminos y definiciones que sean comprensibles en lo general para todos los Interesados. Ayudar a satisfacer requerimientos regulatorios, al ser consistente con estndares de gobierno corporativo generalmente aceptados (COSO) y con controles de tecnologa de informacin esperados por agentes reguladores y auditores externos.

COMO SATISFACE COBIT LA NECESIDAD El marco de trabajo COBIT se cre con las caractersticas principales de ser orientado a negocios, orientado a procesos, basado en controles e impulsado por mediciones.

LA ORIENTACIN A NEGOCIOS Diseado para ser utilizado no solo por proveedores de servicios, usuarios y auditores de tecnologa de informacion, sino tambin y principalmente, como gua integral para la gerencia y para los propietarios de los procesos de negocio

CRITERIOS DE INFORMACIN DE COBIT La informacin necesita adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de informacin del negocio. Con base en los requerimientos de calidad, fiduciarios y de seguridad, se definieron los siguientes siete criterios de informacin: o La efectividad: Tiene que ver con que la informacin sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable. o La eficiencia: Consiste en que la informacin sea generada optimizando los recursos (ms productivo y econmico).

COBI 4.0
o o o La confidencialidad: Se refiere a la proteccin de informacin sensitiva contra revelacin no autorizada. La integridad: Est relacionada con la precisin y completitud de la informacin, as como con su validez de acuerdo a los valores y La disponibilidad: Se refiere a que la informacin est disponible cuando sea requerida por los procesos del negocio en cualquier momento. Tambin concierne con la proteccin de los recursos y las capacidades necesarias asociadas. El cumplimiento: Tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales est sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, as como polticas internas. La confiabilidad: Significa proporcionar la informacin apropiada para que la gerencia administre la entidad y ejercite sus

METAS DE NEGOCIOS Y DE TI Las metas de negocios y de Tecnologia de informacin implica un conjunto de metas genricas de negocio y de tecnologa de informacin ofrece una base ms refinada y relacionada con el negocio para el establecimiento de requerimientos de negocio y para el desarrollo de mtricas que permitan la medicin con respecto a estas metas.

RECURSOS DE TI La organizacin de tecnologa de informacin se desempea con respecto a estas metas como un conjunto de procesos definidos con claridad que utiliza las habilidades de las personas, y la infraestructura de tecnologa para ejecutar aplicaciones automatizadas de negocio, mientras que al mismo tiempo toma ventaja de la informacin del negocio. Estos recursos, junto con los procesos, constituyen una arquitectura empresarial para tecnologa de informacin

PROCESOS ORIENTADOS COBIT define las actividades de tecnologa de informacion en un modelo genrico de procesos en cuatro dominios. Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte Monitorear y Evaluar.

Los dominios se equiparan a las reas tradicionales de tecnologa de informacin de planear, construir, ejecutar y monitorear. PLANEAR Y ORGANIZAR (PO) Cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la realizacin de la visin estratgica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnolgica apropiada.

ADQUIRIR E IMPLEMENTAR (AI)

COBI 4.0
Para llevar a cabo la estrategia de tecnologa de informacion, las soluciones de tecnologa de informacin necesitan ser identificadas, desarrolladas o adquiridas as como la implementacin e integracin en los procesos del negocio. Adems, el cambio y el mantenimiento de los sistemas existentes est cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.

ENTREGAR Y DAR SOPORTE (DS) Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operacionales.

MONITOREAR Y EVALUAR (ME) Todos los procesos de tecnologa de infromacion deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno.

LOS PROCESOS REQUIEREN CONTROLES Control se define como las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarn, y los eventos no deseados sern prevenidos o detectados y corregidos. Un objetivo de control de tecnologa de informacion es una declaracin del resultado o fin que se desea lograr al implantar procedimientos de control en una actividad de tecnologa de informacin en particular. Los objetivos de control de COBIT son los requerimientos mnimos para un control efectivo de cada proceso de tecnologa de informacin

INFORMACION DE CONTROL Brinda un modelo genrico de procesos que representa todos los procesos que normalmente se encuentran en las funciones de tecnologa de informacin, proporcionando un modelo de referencia general y entendible para la gerencia operacional de tecnologa de informacin y para la gerencia administrativa. Para lograr un gobierno efectivo, los gerentes operacionales deben implementar los controles necesarios dentro de un marco de control definido para todos los procesos tecnologa de informacin. Ya que los objetivos de control de tecnologa de informacin de COBIT estn organizados por procesos de tecnologa de informacin, el marco de trabajo brinda vnculos claros entre los requerimientos de gobierno de tecnologa de informacin, los procesos de tecnologa de informacin y los controles de tecnologa de informacin Los objetivos de control detallados se identifican por dos caracteres que representan el dominio ms un nmero de proceso y un nmero de objetivo de control. Adems de los objetivos de control detallados, cada proceso COBIT tiene requerimientos de control genricos que se identifica y que significa nmero de control de proceso. Se deben tomar como un todo junto con los objetivos de control del proceso para tener una visin completa de los requerimientos de control.

COBI 4.0

Controles de origen de datos/ autorizacin PC1 Dueo del proceso Asignar un dueo para cada proceso COBIT de tal manera que la responsabilidad sea clara.

PC2 Reiterativo Definir cada proceso COBIT de tal forma que sea repetitivo.

PC3 Metas y objetivos Establecer metas y objetivos claros para cada proceso COBIT para una ejecucin efectiva.

AC4 Manejo de errores en documentos fuente Los procedimientos de manejo de errores durante la generacin de los datos aseguran de forma razonable la deteccin, el reporte y la correccin de errores e irregularidades.

AC5 Retencin de documentos fuente Existen procedimientos para garantizar que los documentos fuente originales son retenidos o pueden ser reproducidos por la organizacin durante un lapso adecuado de tiempo para facilitar el acceso o reconstruccin de datos as como para satisfacer los requerimientos legales.

Controles de entrada de datos AC6 Procedimientos de autorizacin de captura de datos Los procedimientos aseguran que solo el personal autorizado capture los datos de entrada.

AC7 Verificaciones de precisin, integridad y autorizacin Los datos de transacciones, ingresados para ser procesados (generados por personas, por sistemas o entradas de interfases estn sujetos a una variedad de controles para verificar su precisin, integridad y validez. Los procedimientos tambin garantizan que los datos de entrada son validados y editados tan cerca del punto de origen como sea posible.

AC8 Manejo de errores en la entrada de datos Existen y se siguen procedimientos para la correccin y re-captura de datos que fueron ingresados de manera incorrecta.

Controles en el Procesamiento de datos AC9 Integridad en el procesamiento de datos Los procedimientos para el procesamiento de datos aseguran que la separacin de funciones se mantiene y que el trabajo realizado de forma rutinaria se verifica. Los

COBI 4.0
procedimientos garantizan que existen controles de actualizacin adecuados, tales como totales de control de corrida-a-corrida, y controles de actualizacin de archivos maestros. AC10 Validacin y edicin del procesamiento de datos Los procedimientos garantizan que la validacin, la autenticacin y la edicin del procesamiento de datos se realizan tan cerca como sea posible del punto de generacin. Los individuos aprueban decisiones vitales que se basan en sistemas de inteligencia artificial.

AC11 Manejo de errores en el procesamiento de datos Los procedimientos de manejo de errores en el procesamiento de datos permiten que las transacciones errneas sean identificadas sin ser procesadas y sin una indebida interrupcin del procesamiento de otras transacciones vlidas.

Controles de salida de datos AC12 Manejo y retencin de salidas El manejo y la retencin de salidas provenientes de aplicaciones de tecnologa de informacion siguen procedimientos definidos y tienen en cuenta los requerimientos de privacidad y de seguridad.

AC13 Distribucin de salidas Los procedimientos para la distribucin de las salidas de tecnologa de informacion se definen, se comunican y se les da seguimiento.

AC14 Cuadre y conciliacin de salidas Las salidas cuadran rutinariamente con los totales de control relevantes. Las pistas de auditora facilitan el rastreo del procesamiento de las transacciones y la conciliacin de datos alterados.

AC15 Revisin de salidas y manejo de errores Los procedimientos garantizan que tanto el proveedor como los usuarios relevantes revisan la precisin de los reportes de salida. Tambin existen procedimientos para la identificacin y el manejo de errores contenidos en las salidas.

AC16 Provisin de seguridad para reportes de salida Existen procedimientos para garantizar que se mantiene la seguridad de los reportes de salida, tanto para aquellos que esperan ser distribuidos como para aquellos que ya estn entregados a los usuarios.

Controles de lmites AC17 Autenticidad e integridad

COBI 4.0
Se verifica de forma apropiada la autenticidad e integridad de la informacin generada fuera de la organizacin, ya sea que haya sido recibida por telfono, por correo de voz, como documento en papel, fax o correo electrnico, antes de que se tomen medidas potencialmente crticas.

AC18 Proteccin de informacin sensitiva durante su transmisin y transporte Se proporciona una proteccin adecuada contra accesos no autorizados, modificaciones y envos incorrectos de informacin sensitiva durante la transmisin y el transporte.

Generadores de mediciones Una necesidad bsica de toda empresa es entender el estado de sus propios sistemas de TI y decidir qu nivel de administracin y control debe proporcionar la empresa. La obtencin de una visin objetiva del nivel de desempeo propio de una empresa no es sencilla. Qu se debe medir y cmo? Las empresas deben medir dnde se encuentran y dnde se requieren mejoras, e implementar un juego de herramientas gerenciales para monitorear esta mejora. Para decidir cul es el nivel correcto, la gerencia debe preguntarse a s misma: Qu tan lejos debemos ir, y est justificado el costo por el beneficio?

COBIT atiende estos temas por medio de: Modelos de madurez que facilitan la evaluacin por medio de benchmarking y la identificacin de las mejoras necesarias en la capacidad Metas y mediciones de desempeo para los procesos de tecnologa de informacion, que demuestran cmo los procesos satisfacen las necesidades del negocio y de tecnologa de informacion, y cmo se usan para medir el desempeo de los procesos internos basados en los principios de un marcador de puntuacin balanceado Metas de actividades para facilitar el desempeo efectivo de los procesos

MODELO GENRICO DE MADUREZ 10Modelo genrico de madurez 0 No existente. Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver. 1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administracin es desorganizado. 2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacin formal de los procedimientos estndar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. 3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a travs de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en s no son sofisticados pero formalizan las prcticas existentes.

10

COBI 4.0
4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo constante mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas de una manera limitada o fragmentada. 5 Optimizado. Los procesos se han refinado hasta un nivel de mejor prctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rpida.

CONCLUSION

COBIT Tiene como misin para investigar, desarrollar, hacer pblico y promover un juego autoritario, actualizado, internacional de objetivos de control de tecnologa de informacin generalmente aceptados para el empleo cotidiano por directores comerciales e interventores.

COBIT 4.0 ayudar a llevar las directrices de gobierno tecnologa de informacin a ms ejecutivos de negocio y de tecnologa de informacin

11