Objetivos de Control para la Información y Tecnologías Relacionadas

Anuncio
obit
Objetivos de Control para la Información y Tecnologías Relacionadas
ANTECEDENTES
• CObIT ha sido desarrollado como un estándar
generalmente aplicable y aceptado para las
buenas prácticas de seguridad y control en
Tecnología de Información (TI).
• CObIT es la herramienta innovadora para el
gobierno de TI
• CObIT se fundamenta en los Objetivos de Control
existentes de la ISACF.
• Los Objetivos de Control resultantes han sido
desarrollados para su aplicación en sistemas de
información en toda la empresa.
• CObIT ayuda a salvar las brechas existentes entre
riesgos de negocio, necesidades de control y aspectos
técnicos. Proporciona "prácticas sanas" a través de un
Marco Referencial de dominios y procesos y presenta
actividades en una estructura manejable y lógica.
• Las prácticas sanas de CObIT representan el
consenso de los expertos (le ayudarán a optimizar la
inversión en información, pero aún más importante,
representan aquello sobre lo usted será juzgado si las
cosas salen mal.
OBJETIVO
El objetivo principal de Cobit consiste en proporcionar
una guía a alto nivel sobre puntos en los que establecer
controles internos con tal de:
• Asegurar el buen gobierno, protegiendo los intereses de
los clientes, accionistas, empleados, etc.
• Garantizar el cumplimiento normativo del sector al que
pertenezca la organización
• Mejorar la eficacia y eficiencia de los procesos y
actividades de la organización
• Garantizar la confidencialidad, integridad y
disponibilidad de la información
La Misión de COBIT:
• Investigar, desarrollar, hacer público y promover un marco
de control de gobierno de TI autorizado, actualizado,
aceptado internacionalmente para la adopción por parte de
las empresas y el uso diario por parte de gerentes de
negocio, profesionales de TI y profesionales de
aseguramiento.
CObIT esta diseñado para ser utilizado por tres audiencias distintas
• Administración:
Para ayudarlos a lograr un balance entre los riesgos y las
inversiones en control en un ambiente de tecnología de
información frecuentemente impredecible.
• Usuarios:
Para obtener una garantía en cuanto a la seguridad y
controles de los servicios de tecnología de información
proporcionados internamente o por terceras partes.
• Auditores de sistemas de información:
Para dar soporte a las opiniones mostradas a la
administración sobre los controles internos.
POR QUE??
• La alta dirección se está dando cuenta del impacto significativo
que la información puede tener en el éxito de una empresa.
• Las empresas exitosas entienden los riesgos y aprovechan los
beneficios de TI
• Las empresas no pueden responder de forma efectiva a estos
requerimientos de negocio y de gobierno sin adoptar e
implementar un marco de Referencia de gobierno y de control
para TI
QUIENES??
• Interesados dentro de la empresa que tienen interés en
generar valor de las inversiones en TI:
• Interesados internos y externos que proporcionan servicios de
TI:
• Interesados internos y externos con responsabilidades de
control/riesgo:
Como Satisface
COBIT La Necesidad
• Como respuesta a las necesidades descritas en la sección anterior, el
marco de trabajo COBIT se creó con las características principales de ser:
orientado a negocios,
orientado a procesos,
basado en controles e impulsado por mediciones.
El marco de trabajo COBIT se basa en el
siguiente principio (Figura 5): Para
proporcionar la información que la empresa
requiere para lograr sus objetivos, la
empresa necesita invertir en, y administrar y
controlar los recursos de TI usando un
conjunto estructurado de procesos que
provean los servicios que entregan la
información empresarial requerida.
La orientación a negocios es el
tema principal de COBIT. Está
diseñado para ser utilizado no
sólo por proveedores de
servicios, usuarios y auditores
de TI, sino también y
principalmente, como guía
integral para la gerencia y para
los dueños de los procesos de
negocio.
CRITERIOS DE INFORMACIÓN DE COBIT
•
La efectividad tiene que ver con que la información sea relevante y pertinente a los
procesos del negocio, y se proporcione de una manera oportuna, correcta,
consistente y utilizable.
• La eficiencia consiste en que la información sea generada con el óptimo (más
productivo y económico) uso de los recursos.
• La confidencialidad se refiere a la protección de información sensitiva contra
revelación no autorizada.
• La integridad está relacionada con la precisión y completitud de la información, así
como con su validez de acuerdo a los valores y expectativas del negocio.
• La disponibilidad se refiere a que la información esté disponible cuando sea
requerida por los procesos del negocio en cualquier momento. También concierne
a la protección de los recursos y las capacidades necesarias asociadas.
• El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de
negocios impuestos externamente, así como políticas internas.
• La confiabilidad se refiere a proporcionar la información apropiada para que la
gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de
gobierno.
RECURSOS DE TI IDENTIFICADOS POR COBIT
• Los recursos de TI identificados en COBIT se pueden definir como sigue:
• Las aplicaciones incluyen tanto sistemas de usuario automatizados como
procedimientos manuales que procesan información.
• La información son los datos en todas sus formas, de entrada, procesados
y generados por los sistemas de información, en cualquier forma en que
sean utilizados por el negocio.
• La infraestructura es la tecnología y las instalaciones (hardware, sistemas
operativos, sistemas de administración de base de datos, redes,
multimedia, etc., así como el sitio donde se encuentran y el ambiente que
los soporta) que permiten el procesamiento de las aplicaciones.
• Las personas son el personal requerido para planear, organizar, adquirir,
implementar, entregar, soportar, monitorear y evaluar los sistemas y los
servicios de información. Estas pueden ser internas, por outsourcing o
contratadas, de acuerdo a como se requieran. y de gobierno.
Orientado a
Procesos
COBIT define las actividades de TI en un modelo genérico de
procesos organizado en cuatro dominios. Estos dominios son
Planear y Organizar, Adquirir e Implementar, Entregar y Dar
Soporte, Monitorear y Evaluar. Los dominios se equiparan a las
áreas tradicionales de TI de planear, construir, ejecutar y
monitorear.
Para gobernar efectivamente TI, es importante determinar las
actividades y los riesgos que requieren ser administrados.
Normalmente se ordenan dentro de dominios de
responsabilidad de plan, construir, ejecutar y Monitorear.
• Planear y Organizar (PO)
Proporciona dirección para la entrega de soluciones (AI) y
la entrega de servicio (DS).
• Adquirir e Implementar (AI)
Proporciona las soluciones y las pasa para convertirlas en
servicios.
• Entregar y Dar Soporte (DS)
Recibe las soluciones y las hace utilizables por los usuarios
finales.
• Monitorear y Evaluar (ME)
Monitorear todos los procesos para asegurar que se sigue
la dirección provista.
Basado en
controles
LOS PROCESOS REQUIEREN CONTROLES
Control se define como las políticas, procedimientos, prácticas y
estructuras organizacionales diseñadas para brindar una
seguridad razonable que los objetivos de negocio se alcanzarán,
y los eventos no deseados serán prevenidos o detectados y
corregidos.
COBIT brinda un modelo genérico de
procesos que representa todos los
procesos
que
normalmente
se
encuentran en las funciones de TI.
CONTROLES GENERALES DE TI Y
CONTROLES DE APLICACIÓN
Los controles generales son aquellos que están inmersos en los procesos
y servicios de TI. Algunos ejemplos son:
• Desarrollo de sistemas
• Administración de cambios
• Seguridad
• Operaciones de computo
Impulsado
por la medición
• Modelos de madurez que facilitan la evaluación por medio de
benchmarking y la identificación de las mejoras necesarias en la
capacidad
• Metas y mediciones de desempeño para los procesos de TI, que
demuestran cómo los procesos satisfacen las necesidades del
negocio y de TI, y cómo se usan para medir el desempeño de los
procesos internos basados en los principios de un marcador de
puntuación balanceado
• Metas de actividades para facilitar el desempeño efectivo de
los procesos.
Descargar