You are on page 1of 19

COBIT

Cobit (Control Objectives for


Information and related
Technology) ofrece un conjunto
de “mejores prácticas” para la
gestión de los Sistemas de
Información de las
organizaciones.
Control
OBjectives
for Information
and related Technology

MISIÓN VISION
Investigar, desarrollar y
promover un conjunto
de objetivos de control SER EL MODELO
relacionados con la TI.
Su uso y aplicación DE
puede ser tanto para la CONTROL
Dirección como la para la
Auditoria PARA TI
PO1 Definir el plan estratégico de TI
PO2 Definir la arquitectura de la información
Objetivos del Negocio PO3 Determinar la dirección tecnológica
PO4 Definir procesos, organización y relaciones de TI
PO5 Administrar la inversión de TI
PO6 Comunicar las aspiraciones y la dirección de la gerencia
PO7 Administrar recursos humanos de TI
PO8 Administrar calidad
PO9 Evaluar y administrar riesgos de TI
ME1 Monitorear y evaluar el desempeño TI Información PO10 Administrar proyectos
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio Efectividad, Eficiencia
ME4 Proporcionar gobierno TI Confidencialidad
Integridad, Disponibilidad
Cumplimiento y Confiabilidad

Monitorear Planear y
y evaluar Recursos
Organizar
Aplicaciones
Información
Infraestructura
Personas

Adquirir e
Entregar y implantar
DS1 Definir y administrar niveles de servicio
DS2 Administrar servicios de terceros
dar soporte
DS3 Administrar desempeño y capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar datos AI1 Identificar soluciones automatizadas
DS7 Educar y entrenar a los usuarios AI2 Adquirir y mantener el software aplicativo
DS8 Administrar la mesa de servicio y los incidentes AI3 Adquirir y mantener la infraestructura tecnológica
DS9 Administrar la configuración AI4 Administrar cambio
DS10 Administrar los problemas AI5 Instalar y acreditar soluciones y cambios
DS11 Administrar los datos
DS12 Administrar el ambiente físico
DS13 Administrar las operaciones
Definiendo los Dominios

Planificación/
Organización

Adquisición /
Supervisión Implementación

Entrega /
Soporte
ADQUIRIR E IMPLEMENTAR

Para llevar a cabo la estrategia de TI, las soluciones


de TI deben ser identificadas, desarrolladas o
adquiridas, así como implementadas e integradas
dentro del proceso del negocio.
¿Los nuevos proyectos generan soluciones que
satisfagan las necesidades?
¿Los nuevos proyectos son entregados a tiempo y
dentro del presupuesto?
¿Trabajarán adecuadamente los nuevos sistemas una
vez sean implementados?
¿Los cambios afectarán las operaciones actuales del
negocio?

5/28
Adquirir e Implementar
• Objetivos
– Identificar, desarrollar, adquirir, implementar, e integrar
soluciones de IT.
– Cambios y mantenimiento de sistemas existentes.
– Garantizar el cumplimiento normativo del sector al que
pertenezca la organización.
– Mejorar la eficacia i eficiencia de los procesos y
actividades de la organización.
– Garantizar la confidencialidad, integridad y disponibilidad
de la información
Identificar soluciones automatizadas

NECESIDADES ANALISIS COMPRA

Aplicaciones enfoque DESARROLLO

Funcionalidades
Objetivos de control detallados

• AI1.1 Definición de requerimientos de


información.
• AI1.2 Estudio de factibilidad.
• AI1.3Arquitectura de información.
• AI1.4 Análisis de pistas de auditoría.
• AI1.5Aceptación de instalaciones y tecnología
a través del contrato con el Proveedor.
Adquirir y mantener software aplicativo

• Objetivo de control de alto nivel

Requerimiento
de negocios inclusión apropiada de
controles aplicativos,
requerimientos de
Disponibilidad seguridad, desarrollo, y
configuración de acuerdo a
estándares
Aplicaciones
Objetivo de control de alto nivel
– La traducción de requerimientos de negocio a
especificaciones de diseño
– La adhesión a los estándares de desarrollo para
todas las modificaciones
– La separación de las actividades de desarrollo, de
pruebas y operativas y se mide con:
• Número de problemas en producción por aplicación,
que causan tiempo perdido significativo
• Porcentaje de usuarios satisfechos con la funcionalidad
entregada
Objetivos de control detallados
•Cambios Significativos a Sistemas Actuales
• Requerimientos de archivo, entrada, proceso y salida.
• Interface usuario-maquina.
• Personalización de paquetes
• Controles de aplicación y requerimientos funcionales
• Documentación con el objeto de que los usuarios
puedan aprender a utilizar el sistema o puedan sacarse
todas aquellas inquietudes que se les puedan presentar.
Adquirir y mantener infraestructura
tecnológica
• Objetivos de control de alto nivel
Procesos:
Adquirir Enfoque planeado para
Implementar adquirir, mantener y
Actualizar proteger la
Infraestructura infraestructura de
Tecnológica acuerdo con las
estrategias
tecnológicas
Organización
Objetivos de control de alto nivel
se logran:
– El establecimiento de un plan de adquisición de tecnología que se alinea con el
plan de infraestructura tecnológica
– La planeación de mantenimiento de la infraestructura

y se mide con:
– El porcentaje de plataformas que no se alinean con la arquitectura de TI
definida y los estándares de tecnología
– El número de procesos de negocio críticos soportados por infraestructura
obsoleta (o que pronto lo será) .
Objetivos de control detallados

•Evaluación de Nuevo Hardware y Software


•Mantenimiento Preventivo para Hardware
•Seguridad del Software del Sistema
•Instalación del Software del Sistema
•Mantenimiento del Software del Sistema
DESARROLLO Y MANTENIMIENTO DE
PROCEDIMIENTOS DE TI

OBJETIVOS DE CONTROL
•Futuros Requerimientos y Niveles de Servicios
Operacionales
•Manual de Procedimientos para Usuario
•Manual de Operaciones
•Material de Entrenamiento
INSTALACIÓN Y ACEPTACIÓN DE LOS SISTEMAS

Objetivo de control de alto nivel

se logra con:
– El establecimiento de una metodología de prueba
– Realizar la planeación de la liberación (release)
– Evaluar y aprobar los resultados de las pruebas por parte de la gerencia
del negocio
y se mide con
– Tiempo perdido de la aplicación o problemas de datos provocados por
pruebas inadecuadas
– Porcentaje de sistemas que satisfacen los beneficios esperados,
medidos en el proceso posterior a la implantación
Objetivos de control
•Entrenamiento
•Adecuación del Desempeño del Software de Aplicación
•Conversión
•Pruebas de Cambios
•Prueba de Aceptación Final
•Pruebas y Acreditación de Seguridad
•Evaluación de la Satisfacción de los Requerimientos del
Usuario
•Revisión Gerencial Post – Implementación
ADMINISTRAR CAMBIOS
Objetivos de control de alto nivel

se logran con:
– La definición y comunicación de los procedimientos de cambio, que incluyen cambios de
emergencia
– La evaluación, la asignación de prioridad y autorización de cambios • Seguimiento del
estatus y reporte de los cambios
y se mide con
• El número de interrupciones o errores de datos provocados por especificaciones
inexactas o una evaluación de impacto incompleta
• La repetición de aplicaciones o infraestructura debida a especificaciones de cambio
inadecuadas
• El porcentaje de cambios que siguen procesos de control de cambio formales
Objetivos de control
• AI6.1 Inicio y Control de Requisiciones de
Cambio.
• AI6.2 Evaluación de impacto, priorización y
autorización .
• AI6.3 Control de Cambios.
• AI6.4 Mantenimiento Autorizado.
• AI6.5 Documentación y Procedimientos.

You might also like