Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
n
I
n
f
r
a
e
s
t
r
u
c
t
u
r
a
G
e
n
t
e
Criterios de
Informacin
Recursos
de TI
Procesos
de TI
Objetivos de Control de
Alto Nivel
Indicadores clave
de Objetivos
Indicadores clave
de Rendiemiento
Resultados de Negocio
Drivers de Gobernabilidad
Procesos de TI
Objetivos de TI
El marco de trabajo COBIT,
relaciona los requerimientos
de informacin y de gobierno
a los objetivos de la funcin
de servicio de TI. El modelo
de procesos COBIT permite
que las actividades de TI y los
recursos que los soportan
sean administrados y
controlados basados en los
objetivos de control de COBIT,
y alineados y monitoreados
usando las mtricas KGI y KPI
de COBIT
Administracin, Control, Alineacin y Monitoreo de Cobit.
Ing. Vctor Manuel Montao Ardila
ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL
Dominios
Procesos
Actividades
P
e
r
s
o
n
a
s
A
p
l
i
c
a
c
i
o
n
e
s
I
n
f
r
a
e
s
t
r
u
c
t
u
r
a
Dominios
Procesos
Actividades
I
n
f
o
r
m
a
c
i
n
Criterios de Informacin
Ing. Vctor Manuel Montao Ardila
CLASIFICACIN
Agrupamiento lgico de procesos, a
menudo se concibe como dominios de
responsabilidad dentro de una estructura
y se relaciona con el ciclo de vida
aplicable a los procesos de Tecnologa de
Informacin.
Una serie de actividades o tareas
vinculadas con cortes (de control)
naturales.
Son necesarias para lograr un resultado
mensurable. Las actividades tienen un
ciclo de vida mientras que las tareas son
discretas.
Procesos
Actividades
o tareas
Dominios
Ing. Vctor Manuel Montao Ardila
Ing. Vctor Manuel Montao Ardila
Resumen Ejecutivo
Casos de Estudio
Preguntas Frecuentes
Presentaciones Power Point
Guas de Implementacin
Diagnstico Conciencia Administrativa
Diagnstico Control de TI
Resumen Ejecutivo
Marco Referencial-Esquema
Objetivos de Alto Nivel
Lineamientos
Gerenciales
Objetivos de Control
Detallados
Guas de
Auditora
Modelos de
Madurez
Factores Crticos
de Exito
Indicadores
Clave de
Rendimiento
Indicadores
Clave de Logros
Herramientas de
implementacin
CobiT: enfoque e implementacin
Prcticas de
Control
Ing. Vctor Manuel Montao Ardila
DOMINIOS DEL COBIT
Abarca aspectos estratgicos y tcticos
Se vincula con la identificacin de la forma en que
la tecnologa de informacin puede contribuir ms
adecuadamente con el logro de los objetivos del
negocio.
Incluye las actividades de planificar, comunicar y
administrar la realizacin de la visin estratgica
desde distintas perspectivas.
Planeacin y Organizacin
Ing. Vctor Manuel Montao Ardila
DOMINIO
Planificacin y Organizacin
Proceso: PO1 Definicin de un plan estratgico de TI
Proceso: PO2 Definicin de la arquitectura de la informacin
Proceso: PO3 Determinacin de la direccin tecnolgica
Proceso: PO4 Definicin de la organizacin y el relacionamiento en TI
Proceso: PO5 Administracin de la inversin en TI
Proceso: PO6 Comunicacin de los objetivos y directivas de la gerencia
Proceso: PO7 Administracin de los recursos humanos
Proceso: PO8 Aseguramiento del cumplimiento de los requerimientos externos
Proceso: PO9 Evaluacin de riesgos
Proceso: PO10 Administracin de proyectos
Proceso: PO11 Administracin de la calidad
Ing. Vctor Manuel Montao Ardila
DOMINIOS DEL COBIT
Identificacin, desarrollo o adquisicin de
soluciones de Ti
Implantacin e integracin en el proceso de
negocio.
Cambios y mantenimiento de los sistemas
existentes para garantizar la natural
continuidad del ciclo de vida para estos
sistemas.
Adquisicin e Implementacin
Ing. Vctor Manuel Montao Ardila
DOMINIO
Adquisicin e Implementacin
Proceso: AI12 Identificacin de soluciones
Proceso: AI13 Adquisicin y mantenimiento de software de aplicacin
Proceso: AI14 Adquisicin y mantenimiento de la infraestructura tecnolgica
Proceso: AI15 Desarrollo y mantenimiento de procedimientos de TI
Proceso: AI16 Instalacin y certificacin de sistemas
Proceso: AI17 Administracin de cambios
Ing. Vctor Manuel Montao Ardila
DOMINIOS DEL COBIT
Prestacin efectiva de los servicios
requeridos, que comprenden desde
las operaciones tradicionales sobre
aspectos de seguridad y continuidad
hasta la capacitacin.
Procesos de soporte necesarios.
Procesamiento real de los datos por
los sistemas de aplicacin.
Entrega y Soporte
Ing. Vctor Manuel Montao Ardila
DOMINIO
Entrega y Soporte
Proceso: DS18 Definicin de los niveles del servicio
Proceso: DS19 Administracin de los servicios prestados terceros
Proceso: DS20 Administracin de la capacidad y del desempeo del sistema
Proceso: DS21 Aseguramiento de la continuidad del servicio
Proceso: DS22 Establecimiento de pautas para la seguridad de los sistemas
Proceso: DS23 Identificacin e imputacin de costos
Ing. Vctor Manuel Montao Ardila
DOMINIO
Entrega y Soporte
Proceso: DS24 Educacin y capacitacin de los usuarios
Proceso: DS25 Asistencia y asesoramiento a los clientes de TI
Proceso: DS26 Administracin de la configuracin
Proceso: DS27 Administracin de problemas e incidentes
Proceso: DS28 Administracin de datos
Proceso: DS29 Administracin de instalaciones
Proceso: DS30 Administracin de las operaciones
Ing. Vctor Manuel Montao Ardila
DOMINIOS DE COBIT
Evaluar regularmente todos los procesos de
TI para determinar su calidad y el
cumplimiento de los requerimientos de
control.
Seguimiento de la gerencia sobre los
procesos de control de la organizacin
Garanta independiente provista por la
auditoria interna y externa u obtenida de
fuentes alternativas.
Monitoreo
Ing. Vctor Manuel Montao Ardila
DOMINIO
Monitoreo
Proceso: ME31 Monitoreo de los procesos
Proceso: ME32 Evaluacin de la adecuacin del control interno
Proceso: ME33 Obtencin de aseguramiento independiente
Proceso: ME34 Provisin de auditoria independiente
Ing. Vctor Manuel Montao Ardila
PROCESOS
AI1
Identificar soluciones
de IT
Administrar los cambios
Adquirir y mantener
software aplicativo
Adquirir y mantener
arquitectura tecnolgica
Desarrollar y mantener
procedimientos de IT
Instalar y acreditar
sistemas
AI2
AI3
AI4
AI5
AI6
P S
P P S S
P P S
S
P P S S S
P S S
P P P S P
CRITERIOS RECURSOS
E
F
E
C
T
I
V
I
D
A
D
E
F
I
C
I
E
N
C
I
A
C
O
N
F
I
D
E
N
C
I
A
L
I
D
A
D
I
N
T
E
G
R
I
D
A
D
D
I
S
P
O
N
I
B
I
L
I
D
A
D
C
U
M
P
L
I
M
I
E
N
T
O
C
O
N
F
I
A
B
I
L
I
D
A
D
A
P
L
I
C
A
C
I
O
N
E
S
T
E
C
N
O
C
L
O
G
A
F
A
C
I
L
I
D
A
D
E
S
D
A
T
O
S
P
E
R
S
O
N
A
S
DOMINIO AI:
Adquisicin e
Implementacin
COBIT
Navegacin
(Matriz)
Ing. Vctor Manuel Montao Ardila
DEFINICIN DE PROCESOS DE TI
PO1: Definir el Plan estratgico de IT
La funcin de servicios de informacin debera asegurar que hay planes a
corto y largo plazo para administrar y orientar todos los recursos de IT de la
organizacin. Estos planes deben ser actualizados de manera correcta y
oportuna para adecuarlos a los cambios de las condiciones de la IT. La
evaluacin de los sistemas existentes debe realizarse antes de desarrollar o
modificar el plan estratgico de IT. As mismo, la funcin de administracin
de los servicios de informacin debe asegurar que el plan estratgico de IT es
consistente con los objetivos del negocio, y los planes a corto y largo plazo de
la organizacin.
Ing. Vctor Manuel Montao Ardila
OBJETIVOS DE CONTROL DE TI - DETALLADOS
1
La TI como
parte de los
planes a
corto/largo
plazo de la
empresa
2
Plan a
largo
plazo de
la TI
3
Enfoque y
estructura
del Plan a
largo plazo
de la TI
4
Cambios
al Plan a
largo
plazo
de la TI
Plan corto
plazo de
la funcin
de
servicios
de TI
5
PROCESO: PO1: Definir el Plan Estratgico de TI
DOMINIO PO: Planeacin y Organizacin
Objetivos de Control - Detallados
Y tiene en consideracin:
Evaluacin objetivos de control detallados
Ing. Vctor Manuel Montao Ardila
PRODUCTOS DE COBIT
Ing. Vctor Manuel Montao Ardila
INTERRELACIN DE LOS COMPONENTES DE COBIT
Negocio
Procesos de TI
Requerimientos
Informacin
Objetivos
de Control
Practicas
de Control
Guas de
Auditora
Metas de
las Actividades
Modelo de
Madurez
Indicadores
Clave de
Metas
Indicadores
Clave de
Desempeo
I
m
p
l
e
m
e
n
t
a
d
o
c
o
n
P
a
r
a
r
e
s
u
l
t
a
d
o
s
Ing. Vctor Manuel Montao Ardila
CONTROLES GENERALES
Controles Generales
sobre procesos de
TI
Controles sobre
procesos de negocio
que utilizan TI
Desarrollo de soluciones
Administracin de Cambios
Seguridad
Operacin del Computador
Integridad (completitud)
Precisin
Validez
Autorizacin
Segregacin de Funciones
Ing. Vctor Manuel Montao Ardila
CONTROLES DE APLICACIN - ORIGEN
Autorizacin
de Datos
ORIGEN
Ingreso de
Datos
INPUT
Procesamiento
de Datos
Salida de
Datos
OUTPUT
ENTORNO CON TERCEROS
Preparacin de Datos (AC1)
Autorizacin de documentos fuente (AC2)
Recoleccin de datos fuente (AC3)
Manejo de errores en documentos fuente (AC4)
Retencin de documentos fuente (AC5)
Ing. Vctor Manuel Montao Ardila
Los procedimientos de manejo de errores durante la generacin
de los datos aseguran de forma razonable la deteccin, el
reporte y la correccin de errores e irregularidades.
El personal autorizado, actuando dentro de su autoridad,
prepara los documentos fuente de forma adecuada y existe
una segregacin de funciones apropiada con respecto a la
generacin y aprobacin de los documentos fuente.
Los procedimientos garantizan que todos los documentos
fuente autorizados son completos y precisos, debidamente
justificados y transmitidos de manera oportuna para su
captura.
Existen procedimientos para garantizar que los documentos
fuente originales son retenidos o pueden ser reproducidos
por la organizacin durante un lapso adecuado de tiempo
para facilitar el acceso o reconstruccin de datos as como
para satisfacer los requerimientos legales.
Preparacin de Datos (AC1)
Autorizacin de documentos fuente (AC2)
Recoleccin de datos fuente (AC3)
Manejo de errores en documentos fuente (AC4)
Retencin de documentos fuente (AC5)
Los departamentos usuarios implementan y dan seguimiento
a los procedimientos de preparacin de datos. En este
contexto, el diseo de los formatos de entrada asegura que
los errores y las omisiones se minimicen. Los procedimientos
de manejo de errores durante la generacin de los datos
aseguran de forma razonable que los errores y las
irregularidades son detectadas, reportadas y corregidas
Ing. Vctor Manuel Montao Ardila
CONTROLES DE APLICACIN - INPUT
Autorizacin
de Datos
ORIGEN
Ingreso de
Datos
INPUT
Procesamiento
de Datos
Salida de
Datos
OUTPUT
ENTORNO CON TERCEROS
Ing. Vctor Manuel Montao Ardila
Existen y se siguen procedimientos para la correccin y re-
captura de datos que fueron ingresados de manera
incorrecta.
Los datos de transacciones, ingresados para ser procesados
(generados por personas, por sistemas o entradas de
interfases) estn sujetos a una variedad de controles para
verificar su precisin, integridad y validez. Los procedimientos
tambin garantizan que los datos de entrada son validados y
editados tan cerca del punto de origen como sea posible.
Los procedimientos aseguran que solo el personal autorizado
capture los datos de entrada.
Procedimientos de autorizacin de captura de datos
(AC6)
Verificacin de precisin, integridad y autorizacin
(AC7)
Manejo de errores en la entrada de datos (AC8)
Ing. Vctor Manuel Montao Ardila
CONTROLES DE APLICACIN -
PROCESAMIENTO
Autorizacin
de Datos
ORIGEN
Ingreso de
Datos
INPUT
Procesamiento
de Datos
Salida de
Datos
OUTPUT
ENTORNO CON TERCEROS
Integridad en el procesamiento de datos (AC9)
Validacin y edicin del procesamiento de datos
(AC10)
Manejo de errores en el procesamiento de datos
(AC11)
Ing. Vctor Manuel Montao Ardila
Los procedimientos garantizan que la validacin,
la autenticacin y la edicin del procesamiento
de datos se realizan tan cerca como sea posible
del punto de generacin. Los individuos aprueban
decisiones vitales que se basan en sistemas de
inteligencia artificial.
Los procedimientos de manejo de errores en el
procesamiento de datos permiten que las
transacciones errneas sean identificadas sin ser
procesadas y sin una indebida interrupcin del
procesamiento de otras transacciones vlidas.
Los procedimientos para el procesamiento de
datos aseguran que la separacin de funciones se
mantiene y que el trabajo realizado de forma
rutinaria se verifica. Los procedimientos
garantizan que existen controles de actualizacin
adecuados, tales como totales de control de
corrida-a-corrida, y controles de actualizacin de
archivos maestros
Procedimientos de autorizacin de captura
de datos (AC6)
Verificacin de precisin, integridad y
autorizacin (AC7)
Manejo de errores en la entrada de datos
(AC8)
Ing. Vctor Manuel Montao Ardila
CONTROLES DE APLICACIN - OUTPUT
Autorizacin
de Datos
ORIGEN
Ingreso de
Datos
INPUT
Procesamiento
de Datos
Salida de
Datos
OUTPUT
ENTORNO CON TERCEROS
Manejo y retencin de salidas (AC12)
Distribucin de Salidas (AC13)
Cuadre y conciliacin de salidas (AC14)
Revisin de Salidas y Manejo de errores
(AC13)
Provisin de seguridad para reportes de salida
(AC14)
Ing. Vctor Manuel Montao Ardila
Existen procedimientos para garantizar que se
mantiene la seguridad de los reportes de salida,
tanto para aquellos que esperan ser distribuidos
como para aquellos que ya estn entregados a
los usuarios.
Los procedimientos garantizan que tanto el
proveedor como los usuarios relevantes revisan
la precisin de los reportes de salida. Tambin
existen procedimientos para la identificacin y el
manejo de errores contenidos en las salidas.
Las salidas cuadran rutinariamente con los
totales de control relevantes. Las pistas de
auditora facilitan el rastreo del procesamiento de
las transacciones y la conciliacin de datos
alterados.
Los procedimientos para la distribucin de las
salidas de TI se definen, se comunican y se les
da seguimiento.
El manejo y la retencin de salidas provenientes
de aplicaciones de TI siguen procedimientos
definidos y tienen en cuenta los requerimientos
de privacidad y de seguridad.
Manejo y retencin de salidas (AC12)
Distribucin de Salidas (AC13)
Cuadre y conciliacin de salidas (AC14)
Revisin de Salidas y Manejo de errores
(AC13)
Provisin de seguridad para reportes de
salida (AC14)
Ing. Vctor Manuel Montao Ardila
CONTROLES DE APLICACIN ENTORNO CON TERCEROS
Autorizacin
de Datos
ORIGEN
Ingreso de
Datos
INPUT
Procesamiento
de Datos
Salida de
Datos
OUTPUT
ENTORNO CON TERCEROS
Autenticidad e Integridad (AC15)
Proteccin de informacin sensitiva durante
su transmisin y transporte (AC16)
Ing. Vctor Manuel Montao Ardila
Se proporciona una proteccin adecuada
contra accesos no autorizados, modificaciones
y envos incorrectos de informacin sensitiva
durante la transmisin y el transporte.
Se verifica de forma apropiada la autenticidad
e integridad de la informacin generada fuera
de la organizacin, ya sea que haya sido
recibida por telfono, por correo de voz, como
documento en papel, fax o correo electrnico,
antes de que se tomen medidas
potencialmente crticas.
Autenticidad e Integridad (AC15)
Proteccin de informacin sensitiva durante
su transmisin y transporte (AC16)
Ing. Vctor Manuel Montao Ardila