Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

COBIT

Objetivos de Control para Tecnología de Información y Tecnologías relacionadas
by

Claudia Sánchez

on 20 October 2012

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of COBIT

- Determinación del
Riesgo de Control
- Determinación del
Riesgo de Detección COBIT Contiene 34 Procesos que se
agrupan en 4 Dominios: Modelo de procesos Objetivos de control e interventoría RESEÑA HISTORICA Auditoria basada
en riesgos Conclusiones Objetivos de Control para Tecnología de Información y
Tecnologías relacionadas (Marco de referencia) *Planear y Organizar *Adquirir e implementar *Entregar y Dar soporte *Monitorear y Evaluar Como se relacionan? De que se tratan? Estos dominios agrupan objetivos de
control de alto nivel, que cubren tanto
los aspectos de información, como de la
tecnología que la respalda. PERMITIENDO CUMPLIR CON LAS CARACTERISTICAS ... Gobierno TI y COBIT CUBO DE COBIT RECORDEMOS... COBIT describe como los procesos de TI entregan la información al negocio para lograr sus objetivos... Para LOGRAR esta entrega existe componentes claves... Formando así, el CUBO CUBO COBIT - COMPONENTES CRITERIOS DE INFORMACIÓN IT PROCESOS IT RECURSOS CUBO COBIT - COMPONENTES 34 Procesos x Dominio
34 Objetivos x Proceso 1 Dominio -> 1 Proceso
1 Proceso -> * Actividad
1 Actividad -> * Acciones Información como Requerimientos de negocio Generan, entregan y almacenan información Matriz RACI Conocida como la matriz de asignación de responsabilidades. RACI RACI-VS Ejemplo Sencillo - RACI Medición La necesidad básica de la empresa es entender el estado de sus SISTEMAS... Para decidir, el NIVEL de: Administración y Control ¿Hasta dónde debemos ir?
¿Está el costo justificado por el beneficio? MODELOS DE MADUREZ Donde se podrá identificar: Desempeño REAL de la Empresa -> EL El estado actual de la industria ->La comparación El objetivo de mejora de la empresa -> Donde debe estar Crecimiento requerido entre:

Como es
Como será Niveles de Madurez - COBIT En síntesis: Aplicaciones de COBIT Se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, computadoras y ambientes distribuidos. LA FILOSOFÍA ES... ...Que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. Esquema Matriz RACI Control sobre el proceso de TI Nombre del proceso xxxxx Que satisface el requerimiento del negocio de TI para Sostener los requerimientos xxxxx Enfocándose en: La incorporación xxxx Se logran con: Elemento uno xxxx Elemento dos xxxx Y se miden con: Objetivos uno xxxx Objetivos dos xxxx APLICACIÓN MATRIZ EVOLUCIÓN CARACTERISTICAS DESCRIPCIÓN GOBIERNO TI PRINCIPIOS DE COBIT 1996 1998 2000 2005 Orientado al negocio.
Alineado con estándares y regulaciones "de facto".
Basado en una revisión crítica y analítica de las tareas y actividades en TI.
Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA). Resultado de una investigación
con expertos desarrollada por ISACA Conjunto de objetivos de
controles para las
aplicaciones de negocio Segunda versión, añade lineamientos de gestión, incluye herramientas de soporte, implementación y especificaciones de objetivos de alto nivel y a nivel de detalle Tercera versión, incluye normas y guías asociadas a gestión. Torna su primer editor de framework Cuarta versión, mejoría de controles para asegurar la seguridad y disponibilidad de los activos de TI 2007 2012 Versión 4.1. Incluye cambios en las
descripciones de los objetivos del negocio relacionados con los procesos y objetivos de TI Versión 5. Integración de cobit
4.1, 2.0, Ival TI y modelo de negocio para la seguridad de la información Estado actual de objetivos de control Cobit 4.1 Cobit 5 Los objetivos de control de TI proporcionan
un conjunto completo de requerimientos de alto nivel
a considerar por la gerencia para un control
efectivo de cada proceso de TI - Seleccionar los que se puedan implementar - Cuales se van a implementar - Como se van a implementar - Conocer el riesgo de no implementarlos "los Objetivos de Control han desaparecido.
Realmente se han convertido en prácticas de gestión o de Gobierno de las TI" Erik Guldentops 90's soporte a las practicas establecidas
Cobertura en el sector publico.
COBIT Quickstart (pequeñas empresas).
COBIT 4 Presentación dominio, proceso frente a objetivo de control Definición de plan estratégico de tecnología de información PO1 Tecnología de Información como parte del Plan a largo y corto plazo
Plan a largo plazo de Tecnología de Información
Plan a largo plazo de Tecnología de Información - Enfoque y Estructura
Cambios al Plan a largo plazo de Tecnología de Información
Planeación a corto plazo para la Función de Servicios de Información
Evaluación de los sistemas existentes Objetivos
de Control Identificación de soluciones AI1 Definición de Requerimientos de Información
Formulación de Acciones Alternativas
Formulación de la Estrategia de Adquisición
Paquetes de Software de Aplicación
Estudio de Factibilidad Tecnológica
Estudio de Factibilidad Económica
Arquitectura de Información
Reporte de Análisis de Riesgos
Controles Económicos de Seguridad
Diseño de Pistas de Auditoría
Ergonomía
Selección del Software del Sistema
Control de Abastecimiento
Adquisición de Productos de Software
Mantenimiento de Software de Terceras Partes
Contratos de Programación de Aplicaciones
Aceptación de Instalaciones
Aceptación de Tecnología Objetivos
de Control Definición de niveles de servicio DS1 Marco de Referencia para el Convenio de Nivel de Servicio
Aspectos sobre los Acuerdos de Nivel de Servicio
Procedimientos de Ejecución
Monitoreo y Reporte
Revisión de Convenios y Contratos de Nivel de Servicio
Elementos sujetos a Cargo
Programa de Mejoramiento del Servicio Objetivos
de Control Monitoreo del proceso ME1 Recolectar Datos de Monitoreo
Evaluar el Desempeño
Evaluar la Satisfacción del Cliente
Reporte Administrativo Objetivos
de Control Interventoría Revisar alcance preliminar del proyecto con el fin de asegurarse de que todas las necesidades de los stakeholders sean tenidas en cuenta durante la realización del proyecto. Aprobar el plan de ejecución Realiza el control de calidad a los entregables
Se toman decisiones para corregir las desviaciones presentadas en la ejecución
Se revisan los nuevos riesgos Aclarar las cuentas del contrato y se da cierre oficial al proyecto Interventoria - COBIT Evaluación de selección de objetivos de control Las practicas para la implementación estén dentro de lo establecido por COBIT Apoyar la ejecución de actividades de control Preparación informes (avance, riesgos, cuadros de control,...) Generación recomendaciones enfocadas a mitigar riesgos Definición de plan estratégico de tecnología de información PO1 Identificación de soluciones AI1 Definición de niveles de servicio DS1 Monitoreo del proceso ME1 Las políticas y procedimientos de negocios de la función de servicios de información siguen un enfoque de planeación estructurado.
Vigencia de los planes de tecnologia a corto y largo plazo.
Se llevan a cabo revisiones y aprobaciones formales.
El plan de la tecnología de información SI evalúa los sistemas de información existentes. Fallas en la tecnología de información para satisfacer lineamientos de costos y tiempos.
Oportunidades de negocios no aprovechadas.
Oportunidades de tecnología de información no aprovechadas Los requerimientos hayan claramente definidos, revisados y aprobados por escrito por parte del usuario enterado antes del desarrollo, implementación o modificación del proyecto.
Todas las debilidades y deficiencias de procesamiento en la solucion existente hayan sido identificadas.
Todos los costos y beneficios identificables asociados con cada alternativa hayan sido soportados apropiadamente La manera en la que se administra el mantenimiento de terceras partes.la seguridad, los controles interno y las pistas de auditoría disponibles o "desarrollables" para la solución identificada y seleccionada.
La consideración de diseños amigables al usuario(ergonomía, facilidad de navegación, acceso, tiempo de respuesta, entre otros).
La manera en la que se administra el mantenimiento de terceras partes Se identifica por política un proceso de acuerdo de nivel de servicio.
La participación en el proceso por parte del usuario en la definición del acuerdo.
Documentación de la función de servicios de información Cálculos incorrectos para categorías seleccionadas de información.
Revisiones continuas y acciones correctivas por los reportes del nivel de servicio.
No se tengan en cuenta procedimientos de desempeño bajo de solución dentro de los acuerdos de niveles de servicio. Existen reportes de monitoreo del desempeño de la información.
La alta administración está satisfecha con los reportes sobre el monitoreo del desempeño.
Existe revisión administrativa de los reportes de monitoreo del desempeño e iniciativas de acciones correctivas. La relevancia de los datos dentro de los procesos que se están monitoreando.
Nivel bajo de implantación de las recomendaciones de la administración.
Falta de conocimiento total del personal de monitoreo dentro de la organización de sistemas de información Que es un Riesgo Riesgo Inherente
Riesgo de fraude
Riesgo de Control
Riesgo Combinado
Riesgo de deteccion OBJETIVOS - Incorporar la visión de riesgo
- Desarrollar procesos de auditoría basada en riesgos
- Diseñar un programa de auditoría basada en los principales riesgos del negocio
- Evaluar la suficiencia y efectividad CI DETERMINACION DEL RIESGO OBJETIVOS DE CONTROL EN LA ADMINISTRACION DE RIESGOS - Alineación de la administración de riesgos de TI y del negocio
- Establecimiento del contexto del riesgo
- Identificación de eventos
- IT Evaluación de riesgos
- Respuesta a los riesgos
- Mantenimiento y monitoreo de un plan de acción de riesgos MODELO DE MADUREZ - 0: No existe
- 1: Inicial /Ad hoc
- 2: Repetible pero intuitivo
- 3: Definido
- 4: Administrado y medible
- 5: Optimizado
Full transcript