Modelo de Gestin de TI

Ing. Vctor Manuel Montao Ardila

RECORDEMOS
Para muchas empresas, la informacin y la tecnologa
que las soportan representan sus ms valiosos activos,
aunque con frecuencia son poco entendidos. Las
empresas exitosas reconocen los beneficios de la
tecnologa de informacin y la utilizan para impulsar el
valor de sus interesados (stakeholders). Estas empresas
tambin entienden y administran los riesgos asociados,
tales como el aumento en requerimientos regulatorios,
as como la dependencia crtica de muchos procesos de
negocio en TI.

Ing. Vctor Manuel Montao Ardila

RECORDEMOS
Estas empresas tambin entienden y administran los
riesgos asociados, tales como el aumento en
requerimientos regulatorios, as como la dependencia
crtica de muchos procesos de negocio en TI.

Ing. Vctor Manuel Montao Ardila

RECORDEMOS
El Gobierno De TI es responsabilidad de los ejecutivos,
del consejo de directores y consta de liderazgo,
estructuras y procesos organizacionales que garantizan
que la TI de la empresa sostiene y extiende las
estrategias y objetivos organizacionales.

Ing. Vctor Manuel Montao Ardila

RECORDEMOS
Ms an, el gobierno de TI integra e institucionaliza las
buenas prcticas para garantizar que la TI de la empresa
sirve como base a los objetivos del negocio. De esta
manera, el gobierno de TI facilita que la empresa
aproveche al mximo su informacin, maximizando as
los beneficios, capitalizando las oportunidades y
ganando ventajas competitivas.

Ing. Vctor Manuel Montao Ardila

RECORDEMOS
Para que la TI tenga xito en satisfacer los
requerimientos del negocio, la direccin debe implantar
un sistema de control interno o un marco de trabajo. El
marco de trabajo de control COBIT contribuye a estas
necesidades de la siguiente manera:
1. Estableciendo un vnculo con los requerimientos del
negocio
2. Organizando las actividades de TI en un modelo de
procesos generalmente aceptado
3. Identificando los principales recursos de TI a ser
utilizados
4. Definiendo los objetivos de control gerenciales a ser
considerados

Ing. Vctor Manuel Montao Ardila

Ing. Vctor Manuel Montao Ardila
Ing. Vctor Manuel Montao Ardila
 Modelo COBIT
Mejores prcticas para Gestin de
Tecnologas Informticas

Ing. Vctor Manuel Montao Ardila

CONCEPTO BSICOS
MODELO COBIT
(Control Objectives for
Information Systems and
related Technology)
Modelo para evaluar y/o auditar la
gestin y control de los de
Sistemas de Informacin y
Tecnologa relacionada (IT):

Es el resultado de una investigacin con expertos de varios paises,

desarrollada por la Information, Systems Audit and Control
Association ISACA.
Esta asociacin se ha constituido en el organismo normalizador y
orientador en el control y la auditora de los sistemas de Informacin
y Tecnologa (IT).
El modelo CobIT ha sido aceptado y adoptado por organizaciones en
el mbito mundial.

Ing. Vctor Manuel Montao Ardila

CONCEPTO BSICOS
LEGISLADORES / REGULADORES
Modelo COBIT USUARIOS PRESTADORES
DE SERVICIOS
Origen
MARCO UNICO
REFERENCIA
PRACTICAS
SEGURIDAD
Y CONTROL

USUARIOS DE TI
ALTA GERENCIA

INVERSION CONTROL TI ACREDITACON CONTROL /SEGURIDAD

BALANCE RIESGO/CONTROL POR AUDITORES O TERCEROS
BASE BENCHMARKING CONFUSIN ESTANDARES

DESGASTE
OPINION V.S.
ALTA GCIA.
CONSULTORES EN
CONTROL/SEG.
TI

AUDITORES
Ing. Vctor Manuel Montao Ardila
CONCEPTO BSICOS
Proveer un marco nico reconocido a nivel mundial de las
mejores prcticas de control y seguridad de TI
Consolidar y armonizar estndares originados en diferentes
pases desarrollados.
Concientizar a la comunidad sobre importancia del control y la
auditora de TI.
Enlaza los objetivos y estrategias de los negocios con la
estructura de control de la TI, como factor crtico de xito
Aplica a todo tipo de organizaciones independiente de sus
plataformas de TI
Ratifica la importancia de la informacin, como uno de los
recursos ms valiosos de toda organizacin exitosa

Ing. Vctor Manuel Montao Ardila

CONCEPTO BSICOS
ISACA - 95 paises 20.000 miembros

COBIT
Representatividad Investigacin: E.U-Europa-Australia-Japn

Consolidacin y armonizacin 18 estndares

COSO : (Committe Of Sponsoring Org. of the Treadway Commission)

OECD : (Organizarion for Economic Cooperation and Development)
ISO 9003 : (International Standars Organization)
NIST : (National Institute of Standars and Technology)
DTI : (Departament of Trade and Industry of the U.K)
ITSEC : (Information Technology Security Evaluation Criteria - Europa)
TCSEC : (Trusted Computer Evaluacin Criteria - Orange Book- E.U)
IIA SAC : (Institute of Internal Auditors - Systems Auditability and Control)
IS : Auditing Standars Japn Ing. Vctor Manuel Montao Ardila
REGLA DE ORO DEL COBIT

A fin, de proveer la informacin que la

organizacin requiere para lograr sus
objetivos, los recursos de TI deben ser
administrados por un conjunto de
procesos, agrupados de forma
adecuada y normalmente aceptada.

Ing. Vctor Manuel Montao Ardila

POR QU COBIT?
La Tecnologa se ve como un costo,
no hay una terminologa comn
con el negocio, y se recorta el
presupuesto en la seguridad, ya
que la falta de difusion de normas
y buenas prcticas que ayuden a
generar conciencia de los riesgos
mantiene la quimera del :
A mi no me va pasar..

Ing. Vctor Manuel Montao Ardila

POR QU COBIT?
Gobierno de Tecnologa de Informacin
El rol de la Direccin

La Direccin, a travs de su
Gobierno Corporativo debe
garantizar la debida diligencia por
parte de todos los individuos
involucrados en la administracin,
uso, diseo, desarrollo,
mantenimiento u operacin de los
sistemas de informacin.

Ing. Vctor Manuel Montao Ardila

 QUINES NECESITAN REGLAS DE JUEGO
DEFINIDAS?
Los Mandos Gerenciales para saber que
deben exigir, como medir los resultados y
cuales son sus responsabilidades en esos
temas.

Balancear el riesgo y la inversin en control
de un ambiente a menudo impredecible

El Auditor para sustentar sus opiniones sobre

los riesgos y la adecuacin de la tecnologa a
las mejores prcticas. Ser asesores proactivos
del negocio

Ing. Vctor Manuel Montao Ardila

ADEMS...

El rea usuaria para saber que puede pedir a

tecnologa y que se le va a exigir sobre el control
de los procesos del negocio.
Son los interesados en saber si los recursos de
Tecnologa de Informacin se utilizan
adecuadamente y les ayudan a alcanzar sus
objetivos
El Gerente de Tecnologa para definir un acuerdo
de servicios y justificar su inversin
Los Organismos estatales de control, para saber
que es lo mnimo que pueden exigir.

Ing. Vctor Manuel Montao Ardila

ORIENTACIN DE COBIT
Su orientacin hacia el negocio consiste en vincular
objetivos de negocio con objetivos de TI, facilitar
mtricas y modelos de madurez para medir su xito, e
identificar las responsabilidades asociadas del negocio
y los propietarios de los procesos de TI.

ENFOCADO EN EL NEGOCIO, ORIENTADO

A PROCESO, BASADO EN CONTROLES Y
DIRIGIDO POR MEDIDAS.

Ing. Vctor Manuel Montao Ardila

DEFINICIONES
Las Plticas, Procedimientos, Prcticas y
Estructuras Organizacionales, diseadas
para asegurar razonablemente el logro
de los objetivos del negocio y que los
CONTROL
eventos indeseables sern prevenidos o
detectados o corregidos.

Son declaraciones del resultado

Objetivos de esperado o del propsito a lograr
mediante la implementacin de los
Control de IT
controles en una actividad de IT
especfica.

Ing. Vctor Manuel Montao Ardila

PRINCIPIOS
Se refiere a la informacin que es relevante para
Efectividad el negocio y que debe ser entregada de manera
correcta, oportuna, consistente y usable.

Se refiere a la provisin de informacin a travs

Eficiencia del ptimo (ms productivo y econmico) uso
de los recursos.

Relativa a la proteccin de la informacin

Confidencialidad sensitiva de su revelacin no autorizada.

Se refiere a la exactitud y completitud de la

informacin, as como su validez, en
Integridad concordancia con los valores y expectativas del
negocio.

Ing. Vctor Manuel Montao Ardila

 PRINCIPIOS
Se refiere a la que la informacin debe estar
disponible cuando es requerida por los procesos
Disponibilidad del negocio ahora y en el futuro. Involucra la
salvaguarda de los recursos y sus capacidades
asociadas.

Se refiere a cumplir con aquellas leyes,

regulaciones y acuerdos contractuales, a los que
Cumplimiento estn sujetos los procesos del negocio.

Se refiere a la provisin de la informacin

apropiada a la alta gerencia, para operar la
Confiabilidad entidad y para ejercer sus responsabilidades
finacieras y de cumplir con los reportes de su
gestin.

Ing. Vctor Manuel Montao Ardila

NECESIDAD DE RESPUESTA A LOS RETOS
DE TI
Los 7 retos:

Qu no se interrumpa el servicio
Qu aporte valor
Administrar los costos
Dominar la complejidad
Alineacin con el Negocio
Cumplimiento de Regulaciones
Seguridad.

Ing. Vctor Manuel Montao Ardila

BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas

Los 4 principios:

Dirigir y controlar
Con responsabilidad
Con imputabilidad (Accountability)
Mediante actividades (Procesos)

Ing. Vctor Manuel Montao Ardila

NECESIDAD DE RESPUESTA A LOS RETOS DE TI
Principios, participantes, mbito, ventajas

Los participantes (stakeholders):

Internos
Externos

Ing. Vctor Manuel Montao Ardila

BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas

Las 5 reas:

Alineacin estratgica
Aportacin de Valor
Gestin de Riesgos
Gestin de Recursos
Medidas de Rendimiento

Ing. Vctor Manuel Montao Ardila

BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas

Las 5 ventajas:

Confianza de la Alta Direccin

TI es co-responsable al negocio
Retorno de Inversin Superior
Servicios ms confiables
Mayor transparencia

Ing. Vctor Manuel Montao Ardila

MARCOS DE BUEN GOBIERNO Y DE TI

Las 5 caractersticas generales de un buen marco:

Enfocado al Negocio
Orientado a Procesos
Generalmente aceptado
Utilice un lenguaje comn
Cumpla con los requisitos regulatorios

Ing. Vctor Manuel Montao Ardila

Propuesta de Solucin
Expectativas sobre COBIT (1)

Alta Gerencia:
Utilizar los procesos de COBIT para lograr un lenguaje
comn entre el negocio y TI y asignar responsabilidades
claras

Gerencias Usuarias:
Utilizar los objetivos de control de COBIT para
determinar las necesidades que sern cubiertas por los
Acuerdos de Niveles de Servicio

Ing. Vctor Manuel Montao Ardila

Propuesta de Solucin
Expectativas sobre COBIT (2)

Auditora Interna:
Utilizar los objetivos de control de COBIT como un criterio
para evaluar y definir el alcance a revisar

Gerente TI:
Utilizar los objetivos de control de COBIT para:
1. Estructurar los procesos
2. Establecer objetivos de los procesos
3. Medir el desempeo de los procesos / gestin
4. Generar polticas y procedimientos

Ing. Vctor Manuel Montao Ardila

 Fase 1
Levantamiento de procesos actuales

Recursos Procesos de Criterios

de TI trabajo de Informacin

Datos Planeacin y organizacin Efectividad

Sistemas de Adquisicin e implantacin Eficiencia
Aplicacin
de soluciones Confidencialidad
Infraestructura
Entrega de servicio y Integridad
Tecnolgica
soporte Disponibilidad
Instalaciones
Monitoreo Cumplimiento
Fsicas
Confiabilidad
Recursos humanos

Ing. Vctor Manuel Montao Ardila

Fase 1
Levantamiento de procesos actuales

Recursos Procesos de Criterios

de TI
Recursos trabajo de Informacin
de TI

Objetivos de Control

Factores Crticos de xito

Indicadores de Resultados

Indicadores de Desempeo
Ing. Vctor Manuel Montao Ardila
EL MODELO DEL MARCO DE TRABAJO DE COBIT
Administracin, Control, Alineacin y Monitoreo de Cobit. El marco de trabajo COBIT,
OBJETIVOS DE NEGOCIO relaciona los requerimientos
de informacin y de gobierno
Drivers de Gobernabilidad
Criterios de a los objetivos de la funcin
Resultados de Negocio Informacin de servicio de TI. El modelo
de procesos COBIT permite
que las actividades de TI y los
recursos que los soportan
Infraestructura

sean administrados y
Aplicaciones

controlados basados en los

Informacin

Recursos objetivos de control de COBIT,

de TI y alineados y monitoreados
Gente

usando las mtricas KGI y KPI

de COBIT

Indicadores clave
de Rendiemiento
Procesos
Procesos de TI
de TI
Indicadores clave
de Objetivos
Objetivos de Control de
Objetivos de TI
Alto Nivel

Ing. Vctor Manuel Montao Ardila

ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL
Criterios de Informacin

Informacin
Dominios

Infraestructura
Dominios

Aplicaciones
Personas
Procesos
Procesos

Actividades
Actividades

Ing. Vctor Manuel Montao Ardila

CLASIFICACIN
Agrupamiento lgico de procesos, a
menudo se concibe como dominios de
responsabilidad dentro de una estructura
y se relaciona con el ciclo de vida
Dominios
aplicable a los procesos de Tecnologa de
Informacin.
Una serie de actividades o tareas
vinculadas con cortes (de control)
naturales.
Procesos Son necesarias para lograr un resultado
mensurable. Las actividades tienen un
ciclo de vida mientras que las tareas son
Actividades
o tareas discretas.

Ing. Vctor Manuel Montao Ardila

Ing. Vctor Manuel Montao Ardila
CobiT: enfoque e implementacin
Resumen Ejecutivo

Herramientas de
implementacin
Resumen Ejecutivo
Marco Referencial-Esquema Casos de Estudio
Objetivos de Alto Nivel Preguntas Frecuentes
Presentaciones Power Point
Guas de Implementacin
Diagnstico Conciencia Administrativa
Diagnstico Control de TI

Lineamientos Objetivos de Control Guas de Prcticas de

Gerenciales Detallados Auditora Control

Modelos de Factores Crticos Indicadores Indicadores

Madurez de Exito Clave de Clave de Logros
Rendimiento

Ing. Vctor Manuel Montao Ardila

DOMINIOS DEL COBIT

Planeacin y Organizacin
Abarca aspectos estratgicos y tcticos
Se vincula con la identificacin de la forma en que
la tecnologa de informacin puede contribuir ms
adecuadamente con el logro de los objetivos del
negocio.
Incluye las actividades de planificar, comunicar y
administrar la realizacin de la visin estratgica
desde distintas perspectivas.

Ing. Vctor Manuel Montao Ardila

 DOMINIO
Planificacin y Organizacin
Proceso: PO1 Definicin de un plan estratgico de TI

Proceso: PO2 Definicin de la arquitectura de la informacin

Proceso: PO3 Determinacin de la direccin tecnolgica

Proceso: PO4 Definicin de la organizacin y el relacionamiento en TI

Proceso: PO5 Administracin de la inversin en TI

Proceso: PO6 Comunicacin de los objetivos y directivas de la gerencia

Proceso: PO7 Administracin de los recursos humanos

Proceso: PO8 Aseguramiento del cumplimiento de los requerimientos externos

Proceso: PO9 Evaluacin de riesgos

Proceso: PO10 Administracin de proyectos

Proceso: PO11 Administracin de la calidad

Ing. Vctor Manuel Montao Ardila
 DOMINIOS DEL COBIT
Adquisicin e Implementacin

Identificacin, desarrollo o adquisicin de

soluciones de Ti
Implantacin e integracin en el proceso de
negocio.
Cambios y mantenimiento de los sistemas
existentes para garantizar la natural
continuidad del ciclo de vida para estos
sistemas.

Ing. Vctor Manuel Montao Ardila

 DOMINIO
Adquisicin e Implementacin
Proceso: AI12 Identificacin de soluciones

Proceso: AI13 Adquisicin y mantenimiento de software de aplicacin

Proceso: AI14 Adquisicin y mantenimiento de la infraestructura tecnolgica

Proceso: AI15 Desarrollo y mantenimiento de procedimientos de TI

Proceso: AI16 Instalacin y certificacin de sistemas

Proceso: AI17 Administracin de cambios

Ing. Vctor Manuel Montao Ardila

DOMINIOS DEL COBIT

Entrega y Soporte

Prestacin efectiva de los servicios

requeridos, que comprenden desde
las operaciones tradicionales sobre
aspectos de seguridad y continuidad
hasta la capacitacin.
Procesos de soporte necesarios.
Procesamiento real de los datos por
los sistemas de aplicacin.

Ing. Vctor Manuel Montao Ardila

 DOMINIO
Entrega y Soporte

Proceso: DS18 Definicin de los niveles del servicio

Proceso: DS19 Administracin de los servicios prestados terceros

Proceso: DS20 Administracin de la capacidad y del desempeo del sistema

Proceso: DS21 Aseguramiento de la continuidad del servicio

Proceso: DS22 Establecimiento de pautas para la seguridad de los sistemas

Proceso: DS23 Identificacin e imputacin de costos

Ing. Vctor Manuel Montao Ardila

DOMINIO
Entrega y Soporte
Proceso: DS24 Educacin y capacitacin de los usuarios

Proceso: DS25 Asistencia y asesoramiento a los clientes de TI

Proceso: DS26 Administracin de la configuracin

Proceso: DS27 Administracin de problemas e incidentes

Proceso: DS28 Administracin de datos

Proceso: DS29 Administracin de instalaciones

Proceso: DS30 Administracin de las operaciones

Ing. Vctor Manuel Montao Ardila

DOMINIOS DE COBIT
Monitoreo

Evaluar regularmente todos los procesos de

TI para determinar su calidad y el
cumplimiento de los requerimientos de
control.
Seguimiento de la gerencia sobre los
procesos de control de la organizacin
Garanta independiente provista por la
auditoria interna y externa u obtenida de
fuentes alternativas.

Ing. Vctor Manuel Montao Ardila

DOMINIO
Monitoreo
Proceso: ME31 Monitoreo de los procesos

Proceso: ME32 Evaluacin de la adecuacin del control interno

Proceso: ME33 Obtencin de aseguramiento independiente

Proceso: ME34 Provisin de auditoria independiente

Ing. Vctor Manuel Montao Ardila

PROCESOS

CONFIDENCIALIDAD
COBIT DOMINIO AI:

DISPONIBILIDAD

CONFIABILIDAD
CUMPLIMIENTO

APLICACIONES
TECNOCLOGA
FACILIDADES
EFECTIVIDAD
Navegacin Adquisicin e

INTEGRIDAD

PERSONAS
EFICIENCIA
(Matriz) Implementacin

DATOS
Identificar soluciones P S
AI1 de IT
Adquirir y mantener P P S S S
AI2 software aplicativo
Adquirir y mantener P P S
AI3 arquitectura tecnolgica
Desarrollar y mantener P P S S S
AI4 procedimientos de IT
Instalar y acreditar
AI5 sistemas P S S
Administrar los cambios P P P P S
AI6
CRITERIOS RECURSOS

Ing. Vctor Manuel Montao Ardila

DEFINICIN DE PROCESOS DE TI
PO1: Definir el Plan estratgico de IT
La funcin de servicios de informacin debera asegurar que hay planes a
corto y largo plazo para administrar y orientar todos los recursos de IT de la
organizacin. Estos planes deben ser actualizados de manera correcta y
oportuna para adecuarlos a los cambios de las condiciones de la IT. La
evaluacin de los sistemas existentes debe realizarse antes de desarrollar o
modificar el plan estratgico de IT. As mismo, la funcin de administracin
de los servicios de informacin debe asegurar que el plan estratgico de IT es
consistente con los objetivos del negocio, y los planes a corto y largo plazo de
la organizacin.
Ing. Vctor Manuel Montao Ardila
OBJETIVOS DE CONTROL DE TI - DETALLADOS
DOMINIO PO: Planeacin y Organizacin

PROCESO: PO1: Definir el Plan Estratgico de TI

Y tiene en consideracin:
Objetivos de Control - Detallados
1 2 3 4 5
La TI como Enfoque y Cambios Plan corto
parte de los Plan a estructura al Plan a plazo de
planes a largo del Plan a largo la funcin
corto/largo plazo de largo plazo plazo de
plazo de la la TI de la TI de la TI servicios
empresa de TI

Evaluacin objetivos de control detallados

Ing. Vctor Manuel Montao Ardila
PRODUCTOS DE COBIT

Ing. Vctor Manuel Montao Ardila

CONTROLES GENERALES

Desarrollo de soluciones
Controles Generales Administracin de Cambios
sobre procesos de
TI
Seguridad
Operacin del Computador

Integridad (completitud)
Controles sobre Precisin
procesos de negocio Validez
que utilizan TI Autorizacin
Segregacin de Funciones

Ing. Vctor Manuel Montao Ardila