Gobernabilidad de TI COBIT

Elsa Estevez Departamento de Ciencias e Ingeniera de la Computacin Universidad Nacional del Sur
2do. Cuatrimestre 2010

T. 2

Contenido
Introduccin a la Gobernabilidad de TI Herramientas de Gobernabilidad de TI - COBIT

T. 3

Agradecimientos
El material de este curso ha sido preparado en base a material del Center for Electronic Governance, en United Nations University International Institute for Software Technology (UNU-IIST) (http://www.egov.iist.unu.edu)

T. 4

Definiciones
La Gobernabilidad de TI es una disciplina subconjunto de la Gobernabilidad Corporativa enfocada en sistemas de TI, su desempeo y la gestin del riesgo. La Gobernabilidad de TI trata de especificar los derechos de decisin y el marco de responsabilidad para promover el comportamiento deseable en el uso de TI. [Weill y Ross]

Gobernabilidad de TI se refiere al liderazgo, las estructuras y procesos organizacionales que aseguran que las TI de la organizacin sostienen y extienden las estrategias y objetivos de la organizacin. [Instituto de Gobernabilidad de TI]

T. 5

Metas
Las metas primarias para la Gobernabilidad de TI son: 1) asegurar que las inversiones en TI generan un valor de negocio 2) mitigar los riesgos que estn asociados con las TI.

Esto se realiza mediante la implementacin de una estructura organizacional con roles bien definidos para la responsabilidad de la informacin, los procesos de negocio, las aplicaciones, la infraestructura, etc.

T. 6

Relacin con otras Disciplinas

La Gobernabilidad de TI est soportada por disciplinas como:
1) 2) 3) 4) 5)

Gestin de Activos de TI Gestin del Portafolio de TI Gestin de Infraestructura de TI y Arquitectura de la Empresa Estndares de TI Gestin del Programa y Gestin del Proyecto en el contexto de TI de la empresa (incluyendo la ingeniera de software) Gestin del Servicio de TI Gestin de la Seguridad de TI otros

6) 7) 8)

T. 7

Marcos de Soporte
Biblioteca de Infraestructura de TI (BITI) Objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT) Un marco detallado con la informacin sobre cmo alcanzar el xito en la gobernabilidad. Desarrollado y mantenido por la Oficina de Comercio del Gobierno del Reino Unido [http://www.ogc.gov.uk] Enfoque para estandarizar la buena tecnologa de la informacin y controlar las prcticas. Proveer herramientas para acceder y medir el desempeo de los 34 procesos de TI de una organizacin. Desarrollado y mantenido por el Instituto de Gobernabilidad de TI . [http://www.itgi.org/] Conjunto de mejores prcticas a seguir por las empresas para implementar y mantener un programa de seguridad. Proceso basado en el modelo de madurez de gestin de la seguridad de la informacin [http://www.ism3.com]

ISO 27001 Gestin de la Seguridad de la Informacin Modelo de Madurez de la Seguridad (ISM3) AS8015-2005

Estndar Australiano para la Gobernabilidad Corporativa de la Tecnologa de la Informacin y la Comunicacin

T. 8

Gobernabilidad de TI
Cuatro preguntas: 1) Estamos haciendo las cosas correctas? 2) Estamos hacindolas de la forma correcta? 3) Estamos obtenindolas bien? 4) Estamos obteniendo los beneficios?
1)

La pregunta de la estrategia La pregunta de la arquitectura La pregunta de la entrega La pregunta del valor

2)

3)

4)

T. 9

Pregunta 1- Estrategia
La inversin de TI a) est en lnea con nuestra visin? b) es consistente con nuestros principios de negocio? c) est contribuyendo con nuestros objetivos estratgicos? d) est proveyendo el valor ptimo, a un costo posible de financiar, a un nivel de riesgo aceptable?

T. 10

Pregunta 2 - Arquitectura
La inversin de TI a) est en lnea con nuestra arquitectura? b) es consistente con nuestros principios arquitectnicos? c) est contribuyendo con la poblacin de nuestra arquitectura? d) est en lnea con otras iniciativas?

T. 11

Pregunta 3 - Entrega
Tenemos a) procesos de gestin efectivos y disciplinados, de gestn del cambio y entrega? b) recursos de negocio tcnicos disponibles y competentes para entregar: las capacidades requeridas, los cambios organizacionales requeridos para apalancar las capacidades?

T. 12

Pregunta 4 - Valor
Tenemos a) una comprensin clara y compartida de los beneficios esperados? b) responsabilidades claras para realizar los beneficios? c) mtricas relevantes para medir los beneficios? d) un proceso de realizacin de los beneficios efectivo?

T. 13

Contenido
Introduccin a la Gobernabilidad de TI Herramientas de Gobernabilidad de TI - COBIT

T. 14

COBIT
DEFINICION - Los Objetivos de Control para la Informacin y Tecnologa relacionada (COBIT, por sus siglas en ingls) es un conjunto de recursos que contiene toda la informacin que necesita una organizacin para adoptar un marco de control y de gobernabilidad de TI. EL COBIT fue creado por la Asociacin de Control y Auditora de Sistemas de Informacin (ISACA por sus siglas en ingls) y el Instituto de Gobierno de TI en 1992. 1996 1998 2000 2003 2005 2007 HISTORIA Primera edicin Segunda edicin Tercera edicin Edicin En lnea Cuarta edicin Versin 4.1 (disponible en www.isaca.org)

T. 15

Enfoque de COBIT
Alineacin Estratgica - alinea los negocios y planes de TI y de las operaciones de TI con las operaciones del negocio. Entrega de Valor - asegura que las TI entreguen los beneficios prometidos para la estrategia Gestin del Recurso - comprende la inversin ptima en/y la gestin apropiada de los recursos de TI crticos: aplicaciones, informacin, infraestructura y personas. Gestin del Riesgo - involucra la conciencia del riesgo y la introduccin de responsabilidades de la gestin del riesgo en la organizacin. Medicin del Desempeo - rastrea y monitorea la implementacin de la estrategia, la finalizacin del proyecto, el uso de recursos, el desempeo de procesos y la entrega de servicios.

T. 16

Principios Bsicos del COBIT

los cuales responden al

Requerimiento conduce las del negocio inversiones en

1) Requerimientos del negocio (metas) son el punto de inicio para el marco de gobernabilidad de TI del COBIT.

Informacin de la empresa

COBIT

2) El negocio requiere Informacin Recursos de de la Empresa para alcanzar TI sus metas de negocio. 3) Los servicios de TI que estn compuestos de Procesos de TI que son entregan la Informacin de la usados por Empresa requerida. 4) Los procesos de TI se ejecutan en base a un conjunto de Recursos de TI.

para llevar

Procesos de TI

T. 17

Requerimientos de Negocio

T. 18

Metas de TI y Arquitectura de TI
Toda organizacin usa TI para posibilitar iniciativas de negocio, las cuales pueden ser representadas como metas de negocio para TI.

T. 19

Recursos de TI

T. 20

Recursos de TI
COBIT identifica los siguientes recursos de TI: Aplicaciones Informacin Sistemas de usuario automatizados y procedimientos manuales que procesan la informacin Datos, en todas sus formas, insumo, procesados y resueltos por sistemas de informacin en cualquier forma usada por el negocio

Infraestructura Tecnologa y facilidades (e.g. hardware, sistemas operativos, conexin de redes, DBMS, facilidades de centros de datos) que posibilitan el procesamiento de las aplicaciones Personas Personal requerido para planear y organizar, adquirir e implementar, entregar y apoyar, monitorear y evaluar los servicios y sistemas de informacin

T. 21

Procesos de TI

T. 22

Procesos de TI
COBIT provee un modelo de proceso de referencia y un lenguaje comn para comprender y gestionar los servicios de TI. COBIT subdivide las elementos de TI en 4 dominios y 34 procesos: 1) Procesos de Planear y Organizar (PO) proveen una direccin para solucionar la entrega (AI) y la Entrega del Servicio (ES). 2) Procesos de Adquirir e Implementar (AI) provee soluciones y las pasa para convertirlas en servicios. 3) Procesos de Entrega y Soporte (ES) recibe soluciones y las hace utilizables para los usuarios finales. 4) Procesos de Monitorear y Evaluar (ME) monitorean todos los procesos para asegurar que la direccin provista es seguida

T. 23

Relaciones entre Procesos de TI

Planeacin y Organizacin

Adquisicin e Implementacin

Entrega y Soporte

Monitoreo y Evaluacin

T. 24

Controles de Procesos de TI
COBIT provee un total de 318 objetivos de control para los 34 procesos de TI, los cuales proveen un conjunto completo de requerimientos de alto nivel para ser considerados por la gerencia para el control efectivo. Objetivos de Control: consisten en polticas, procedimientos, prcticas y estructuras organizacionales son designados para proveer un seguro razonable que los objetivos del negocio sern alcanzados y que los eventos indeseados sern prevenidos o corregidos son declaraciones de acciones gerenciales para incrementar el valor o reducir los riesgos La gestin debe: elegir qu controles son aplicables, cules sern implementados y cmo aceptar el riesgo de no implementar aqullos que son aplicables

T. 25

Identificacin de Controles
En COBIT, cada proceso de TI tiene una descripcin del proceso y un nmero de objetivos de control. Los objetivos de control son identificados por : una referencia de dominio - PO, AI, ES, ME un nmero de proceso, y un nmero del objetivo de control. Ejemplo: PO3.4 Estndares de Tecnologa PO 3 4 dominio Planear y Organizar proceso Determinar la Direccin Tecnolgica objetivo de control Estndares de Tecnologa

T. 26

Requerimientos de Control
Adicionalmente, para los objetivos de control especficos, cada proceso del COBIT tiene requerimientos de control genricos que estn identificados por un cdigo - CPn (nmero de control del proceso) .
CP1 Metas y objetivos definen y comunican metas y objetivos de procesos, de control orientados a resultados, realistas, accionables, y medibles, especficos para la ejecucin de cada proceso CP2 Propiedad del proceso CP3 Repetibilidad del Proceso asignan un propietario para cada responsabilidades claramente definidas proceso con

disea y establece cada proceso clave de TI de forma que sea repetible y consistentemente produzca los resultados esperados

CP4 Roles y define las actividades clave y entregables del proceso responsabilidades as como las responsabilidades para la ejecucin CP5 Poltica, planes y procedimientos define cmo la poltica, los planes y los procedimientos conducirn el proceso de TI

CP6 Mejoramiento del identifica un conjunto de mtricas que proveen los desempeo del resultados y desempeo del proceso proceso

T. 27

Madurez del Proceso de TI

La madurez del proceso para la gestin y el control sobre los procesos de TI est basada sobre un mtodo de evaluacin de la organizacin, as que puede ser clasificado desde un nivel de madurez de inexistente (0) a optimizado (5). Los niveles de madurez son perfiles de procesos de TI que una empresa reconocera como descripciones de posibles estados actuales o futuros. Un mayor propsito de la modelacin de madurez, es por lo tanto la identificacin de temas y el establecimiento de prioridades para el mejoramiento. La escala de clasificacin no debera ser demasiado granular ya que si es as esto resultara difcil para usar en el sistema. COBIT provee una definicin en una escala genrica para cada uno de los 34 procesos.

T. 28

Niveles de Madurez
0 Inexistente Carencia completa de cualquier proceso reconocible. La organizacin ha reconocido que hay un tema para ser dirigido. La organizacin ha reconocido que hay un tema para ser dirigido pero solo existen enfoques desorganizados y ad hoc.

1 2

Inicial/ Ad Hoc

Repetible pero Procedimientos similares son seguidos por gente diferente intuitivo emprendiendo la misma tarea, aunque no hay capacitacin formal y la responsabilidad recae en los individuos de quienes depende la organizacin Definido Los procedimientos han sido estandarizados y documentados as como ordenados y comunicados a travs de capacitacin. Los procedimientos en s mismos no estn optimizados. Hay monitores de gestin, medidas conforme a los procedimientos y se toman acciones correctivas si se requiere. Los procesos han sido refinados a un nivel de buena prctica, basados en resultados de mejoramiento continuo y comparacin con organizaciones pares.

4 5

Gestionado y Medible Optimizados

T. 29

Ejemplo: Modelo de Madurez - 0

ES5 Dominio de Entrega y Soporte Asegura la Seguridad de los Sistemas

Inexistente 1) la entidad no reconoce la necesidad de seguridad de la TI 2) responsabilidades y rendiciones de cuenta no son asignadas para asegurar la seguridad 3) medidas que apoyan la gestin de la seguridad de la TI no han sido implementadas 4) no hay reporte de seguridad de la TI ni procesos de respuesta para las infracciones a la seguridad de la TI 5) hay un completo y reconocido proceso de administracin de sistemas

T. 30

Ejemplo: Modelo de Madurez - 1

ES5 Dominio de Entrega y Soporte Asegura la Seguridad de los Sistemas 1 Inicial / Ad Hoc 1) la entidad reconoce la necesidad por la seguridad de la TI 2) la conciencia de la seguridad depende fundamentalmente de un individuo 3) la seguridad de la TI es dirigida sobre una base reactiva 4) la seguridad de la TI no es medida 5) las infracciones de seguridad de la TI detectadas invocan respuestas de sealamientos, porque las responsabilidades no son claras 6) las respuestas a las infracciones a la seguridad de la TI son imprevisibles

T. 31

Ejemplo: Modelo de Madurez - 2

ES5 Dominio de Entrega y Soporte Asegura la Seguridad de los Sistemas
2 Repetible pero Intuitivo 1) las responsabilidades y rendiciones de cuentas para la seguridad de TI son asignadas a un coordinador de seguridad de TI, aunque su gestin es limitada 2) la conciencia de la fragmentada y limitada necesidad por la seguridad es

3) la informacin relacionada a la seguridad, la cual es producida por los sistemas, no es analizada 4) las polticas de seguridad estn siendo desarrolladas pero las habilidades y herramientas son inadecuadas 5) la capacitacin en seguridad est disponible fundamentalmente por la iniciativa de un individuo pero

6) la seguridad de la TI es vista fundamentalmente como la responsabilidad y del dominio de TI y el negocio no ve a las TI dentro de su dominio

T. 32

Ejemplo: Modelo de Madurez - 3

ES5 Dominio de Entrega y Soporte Asegura la Seguridad de los Sistemas (de los servicios de e-Gobierno)
3 Definido 1) la conciencia de seguridad existe y es promovida por la gestin 2) los procedimientos de seguridad de TI estn definidos y alineados con la poltica de seguridad de TI 3) las responsabilidades para la seguridad de la TI son asignadas y entendidas, aunque no se obliga su cumplimiento consistentemente 4) un plan de seguridad de TI y soluciones de seguridad existen, as como un anlisis del riesgo 5) el reporte sobre la seguridad no contiene un claro enfoque del negocio 6) se desarrolla una prueba de seguridad ad hoc 7) la capacitacin en seguridad est disponible para la TI y la organizacin, pero es gestionada y programada informalmente

T. 33

Ejemplo: Modelo de Madurez - 4

ES5 Dominio de Entrega y Soporte Asegura la Seguridad de los Sistemas (de los servicios de e-Gobierno)
4 Gestionado y 1) las responsabilidades por la seguridad de la TI estn Medible claramente asignadas, gestionadas y forzadas 2) el riesgo de seguridad de TI y el anlisis de impacto est desarrollado consistentemente 3) las polticas y procedimientos de seguridad son completados con lneas de base de seguridad especficas 4) la conciencia de la seguridad se promueve obligatoriamente 5) la identificacin del usuario, la autenticacin y la autorizacin estn estandarizadas 6) la certificacin de la seguridad es perseguida por los miembros del personal que son responsables por la gestin y auditora de los niveles de seguridad 7) los procesos de seguridad son coordinados en toda la funcin de seguridad de la organizacin 8) las metas y mtricas para la gestin de la seguridad han sido definidas, pero todava no se han medido.

T. 34

Ejemplo: Modelo de Madurez - 5

ES5 Dominio de Entrega y Soporte Asegura la Seguridad de los Sistemas (de los servicios de e-Gobierno) 5 Optimizado 1) la seguridad una responsabilidad conjunta de la entidad y la gestin de TI y est integrada a los objetivos de negocio de seguridad de la entidad 2) los requerimientos de seguridad de la TI estn claramente definidos e incluidos en un plan de seguridad aprobado 3) los incidentes de seguridad son dirigidos prontamente por herramientas automatizadas 4) las valoraciones de seguridad peridicas estn dirigidas a evaluar la efectividad de la implementacin del plan de seguridad 5) las pruebas de seguridad, el anlisis de la causa originaria de los incidentes de seguridad y la identificacin proactiva del riesgo son usados para continuos mejoramientos del proceso. 6) las mtricas para la gestin de la seguridad son medidas, reunidas y documentadas. La gerencia usa estas medidas para ajustar el plan en un proceso de mejora continua.

T. 35

Dominio: Planear y Organizar (PO)

Este dominio cubre la estrategia y las tcticas, e identifica de qu manera las TI pueden contribuir a mejorar el logro de metas del negocio.

La realizacin de la visin debe ser planeada, comunicada y gestionada. Una organizacin e infraestructura apropiadas deberan implementarse

Este dominio responde las siguientes preguntas de gestin: Estn las TI y la estrategia de negocio alineados? Est la empresa alcanzando el uso ptimo de sus recursos? Entiende todo el mundo en la organizacin los objetivos de las TI? Son los riesgos de las TI entendidos y estn siendo gestionados? Es la calidad del sistema de la TI apropiada para las necesidades de negocio?

T. 36

Procesos de Planear y Organizar

P01 P02 P03 P04 P05 P06 P07 P08 P09 P10 Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica (para ser ilustrada) Definir las relaciones, la organizacin y los procesos de TI Gestionar la inversin en TI Comunicar la direccin y el objetivo de gestin Gestionar los recursos humanos de TI Gestionar la calidad Valorar y gestionar los riesgos de TI Gestionar los proyectos

T. 37

Ejemplo Proceso P03

Este proceso satisface el requerimiento de negocio para que la TI tengan sistemas de aplicacin estndares, integrados, efectivos en costo y estables, y recursos y capacidades que satisfagan los requerimientos de negocio actuales y futuros. Est enfocado en definir e implementar un plan de infraestructura de tecnologa, estndares y una arquitectura que potencie oportunidades de tecnologa. Es alcanzado: estableciendo un foro para guiar la arquitectura, verificar la conformidad e infraestructura del plan contra los costos, riesgos, y requerimientos definiendo los estndares de infraestructura de tecnologa basado en los requerimientos de la arquitectura de informacin

T. 38

Ejemplo Medicin de PO3

El proceso P03 Descripcin del Proceso es medido mediante: nmero y tipo de desviaciones al plan de infraestructura de tecnologa la frecuencia de la revisin y actualizacin del plan de infraestructura de tecnologa nmero de plataformas de tecnologa por funcin en la empresa

T. 39

Ejemplo - Objetivos de Control

P03.1 Planeacin de el plan debera dirigir la arquitectura de los sistemas, la direccin potenciales para crear oportunidades de negocio, tecnolgica estrategias de migracin y aspectos de contingencia de los componentes de infraestructura P03.2 Plan de infraestructura de tecnologa P03.3 Monitorear regulaciones y tendencias futuras P03.4 Estndares de tecnologa el plan debera estar en concordancia con los planes estratgicos y tcticos de TI as como con la direccin tecnolgica establecer un proceso para monitorear el sector del negocio, y las tendencias del entorno regulatorio y legal, de la industria, la tecnologa y la infraestructura establecer un foro de tecnologa para proveer lineamientos de tecnologa, aconsejar sobre productos de infraestructura y guiar la seleccin de tecnologa. Medir conforme a estos estndares y lineamientos establecer una junta de arquitectura de TI para proveer lineamientos de arquitectura de TI, consejos sobre su aplicacin y verificar la conformidad

P03.5 - Junta de arquitectura de TI

T. 40

Ejemplo - Modelo de Madurez 1

0 1 Inexistente Inicial/ Ad Hoc cuando no hay conciencia de la importancia de la planeacin de la infraestructura de tecnologa para la organizacin cuando la gestin reconoce la necesidad de la planeacin de la infraestructura de tecnologa, pero esto es hecho de manera reactiva y operacional, de forma aislada y ad hoc cuando la necesidad por la planeacin de la tecnologa es comunicada. La planeacin es tctica y enfocada en la generacin de soluciones a los problemas tcnicos, ms que al uso de la tecnologa para satisfacer las necesidades de negocio.

Repetible pero Intuitivo

T. 41

Ejemplo - Modelo de Madurez 2

3 Definido cuando la gestin es conciente de la importancia del plan de infraestructura de tecnologa, cuyo desarrollo est alineado con el plan estratgico de TI

Gestionado y cuando la gestin asegura el desarrollo y el mantenimiento del Medible plan de infraestructura tomando en cuenta el impacto del cambio y la emergencia de tecnologas Optimized cuando una funcin de investigacin existe para revisar tecnologas emergentes y en evolucin, y comparar la organizacin con otras organizaciones similares.

T. 42

Ejemplo Recursos de P03

Desde P01 P02 AI3 ES3 Insumos Planes de TI tcticos y estratgicos Plan de sistemas de negocio optimizados, arquitectura de informacin Estndares de tecnologa actualizados Informes de capacidad y desempeo

T. 43

Ejemplo Resultados de PO3

Para AI3 AI1, AI3, AI7, DS5 AI1, AI2, AI3 AI3 PO5 Resultados Oportunidades de tecnologa Estndares de tecnologa Actualizaciones regulares del Estado de la Tecnologa Plan de infraestructura de tecnologa Requerimientos de infrastructura

T. 44

Dominio Adquirir e Implementar

Para realizar la estrategia de la TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas, as como implementadas integradas en el proceso del negocio. Los cambios y el mantenimiento de los sistemas existentes estn cubiertos por este dominio para asegurar que las soluciones continan satisfaciendo las metas del negocio. Este dominio se dirige a responder las siguientes preguntas: Es probable que los nuevos proyectos generen soluciones que satisfagan las necesidades del negocio? Es probable que los nuevos proyectos se lleven a cabo en, a tiempo y dentro del presupuesto? Trabajarn los nuevos sistemas apropiadamente cuando se implementen? Sern hechos los cambios sin perturbar las actuales operaciones del negocio ?

T. 45

Procesos de Adquirir e Implementar

AI1 AI2 AI3 AI4 AI5 AI6 AI7 Identificar soluciones automatizadas Adquirir y mantener un software de aplicacin Adquirir y mantener una infraestructura de tecnologa Posibilitar operaciones y uso Obtener recursos de TI Gestionar cambios Instalar y acreditar soluciones y cambios

T. 46

Dominio de Entrega y Soporte

Este dominio se preocupa por la actual entrega de servicios requeridos, incluyendo la gestin de la seguridad y continuidad, el servicio de soporte para los usuarios, la gestin de datos y las facilidades operacionales. Este dominio se dirige a responder las siguientes preguntas: Estn los servicios de la TI siendo entregados en lnea con las prioridades del negocio? Son los costos de la TI optimizados? Es la fuerza de trabajo capaz de usar los sistemas de TI productivamente de manera segura? Son confidencialmente adecuados, y estn los controles de integridad y disponibilidad en el lugar para la seguridad de la informacin? La mayora de estos temas estn cubiertos por la Gestin del Servicio de TI.

T. 47

Procesos de Entrega y Soporte

DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 Determinar y gestionar los niveles del servicio Gestionar servicios de terceras partes Gestionar el desempeo y la capacidad Asegurar servicios continuos Asegurar el sistema de seguridad Identificar y asignar costos Educar y capacitar a los usuarios Gestionar los incidentes y el escritorio de servicios Gestionar la configuracin Gestionar los problemas Gestionar los datos Gestionar el entorno fsico Gestionar las operaciones

T. 48

Dominio Monitorear y Evaluar

Todos los procesos de TI necesitan ser regularmente valorados en el tiempo, para su calidad y conformidad con los requerimientos de control. Este dominio dirige la gestin del desempeo, el monitoreo y control interno, la gobernabilidad y conformidad reguladora. Este dominio se dirige a responder las siguientes preguntas de gestin: Es el desempeo de TI medido para detectar los problemas antes que sea demasiado tarde? Asegura la gestin que los controles internos son eficientes y efectivos? Puede el desempeo de TI estar vinculado con las metas del negocio? Son confidencialmente adecuados, y estn los controles de integridad y disponibilidad en el lugar para la seguridad de la informacin?

T. 49

Procesos de Monitorear y Evaluar

ME1 ME2 ME3 ME4 Monitorear y evaluar el desempeo de la TI Monitorear y evaluar los controles internos Asegurar la conformidad con los requerimientos externos Proveer gobernabilidad de TI

T. 50

Informacin de la Empresa

T. 51

Informacin de la Empresa
Efectividad La informacin debera ser relevante y pertinente para el negocio y entregada de una manera que sea utilizable, consistente, correcta y en el tiempo oportuno. La informacin debera ser provista a travs del uso ptimo de los recursos, i.e. costo productivo y econmico. La informacin debera ser precisa y completa as como vlida, de acuerdo a las expectativas y los valores del negocio La informacin debera estar disponible cuando la requiera el negocio, ahora o en el futuro. Tambin debe preocuparse por la seguridad de los recursos necesarios y las capacidades asociadas La informacin y los procesos de negocio deberan cumplir las leyes, normas, regulaciones y arreglos contractuales, considerando criterios impuestos externamente as como las polticas internas La informacin debera ser provista para que la gerencia pueda operar y ejecutar sus responsabilidades financieras y de gobernabilidad

Eficiencia

Confidencialidad La informacin sensitiva debera ser protegida contra su revelacin Integridad

Disponibilidad

Conformidad

Fiabilidad

T. 52

Resumen
Introduccin a la Gobernabilidad de TI COBIT elementos del framework, dominios, 34 procesos y algunos ejemplos