Cobit
Karencientis
2,134 views
57 slides
Jul 16, 2013
Slide 1 of 57
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
About This Presentation
No description available for this slideshow.
Slide Content
C OBI T Objetivos de Control para tecnología de la información y relacionada Elaborado por: Ayala Padilla Karen Bautista Márquez Elizabeth Echevarri Maldonado Stephania Franco Bernal Elda Santos Ocaña Carla Profesora: M. en A. Irma Hernández Balderas Fundamentos de Gestión de Servicios de TI Junio 2013
RESUMEN EJECUTIVO ¿COBIT? ¿Qué es eso? Información y Tecnología como capital más valioso de una organización. CobiT brinda buenas prácticas a través de un marco de trabajo de 34 procesos genéricos agrupados en 4 dominios y presenta las actividades en una estructura manejable y lógica “Buenas prácticas enfocadas más en el control y menos en la ejecución” El marco de trabajo de CobiT contribuye en los siguientes aspectos: Estableciendo un vínculo con los requerimientos del negocio Organizando las actividades de TI en un modelo de procesos Identificando los principales recursos de TI Definiendo los objetivos de control gerenciales
RESUMEN EJECUTIVO COBIT y las áreas del gobierno de TI COBIT da soporte al gobierno de TI al brindar un marco de trabajo que garantiza que: • TI está alineada con el negocio • TI capacita el negocio y maximiza los beneficios • Los recursos de TI se usen de manera responsable • Los riesgos de TI se administren apropiadamente Áreas focales del gobierno de TI
RESUMEN EJECUTIVO COBIT y las áreas del gobierno de TI Alineación estratégica: se enfoca en garantizar el vínculo entre los planes de negocio y de TI ; definir, mantener y validar la propuesta de valor de TI; y en alinear las operaciones de TI con las operaciones de la empresa. Entrega de valor: ejecutar la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI genere los beneficios prometidos en la estrategia . Administración de recursos: inversión y administración adecuada de los recursos críticos de TI:, aplicaciones, información, infraestructura y personas. Administración de riesgos: conciencia de los riesgos por parte de los altos ejecutivos de la empresa , comprender los requerimientos de cumplimiento, transparencia de los riesgos significativos para la empresa, inclusión de las responsabilidades de administración de riesgos. Medición del desempeño: rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio
RESUMEN EJECUTIVO Una interrelación Todos los componentes de COBIT se interrelacionan, ofreciendo soporte para las necesidades de gobierno, de administración, de control y de auditoría de los distintos interesados.
MARCO DE TRABAJO ¿Por qué un marco de trabajo? Porque con la información suministrada por las TI debe ser posible: Garantizar el logro de objetivos empresariales Tener suficiente flexibilidad para aprender y adaptarse Contar con un manejo juicioso de los riesgos que se enfrentan Reconocer de forma apropiada las oportunidades y actuar de acuerdo a ellas Además, las empresas exitosas entienden sus riesgos y aprovechan los beneficios de las TI para: Alinear la estrategia de TI con la estrategia del negocio Lograr que toda la estrategia de TI, así como las metas fluyan de forma gradual a toda la empresa Proporcionar estructuras organizacionales que faciliten la implementación de estrategias y metas Crear relaciones constructivas y comunicaciones efectivas entre el negocio y TI, y con socios externos Medir el desempeño de TI
MARCO DE TRABAJO ¿Por qué un marco de trabajo? “El gobierno y los marcos de trabajo de control están siendo parte de las mejores prácticas de la administración de TI y sirven como facilitadores para establecer el gobierno de TI” Las mejores prácticas de TI se han vuelto significativas debido a diversos factores: Preocupación por el creciente nivel de gasto en TI Selección de proveedores de servicio y el manejo de Outsourcing y de Adquisición de servicios Riesgos crecientemente complejos de la TI como la seguridad de redes Necesidad de las empresas de valorar su desempeño en comparación con estándares generalmente aceptados y con respecto a su competencia
MARCO DE TRABAJO ¿A quién va dirigido? “Un marco de referencia de gobierno y de control requiere servir a interesados internos y externos, cada uno con necesidades específicas” Interesados dentro de la empresa que tengan un interés en generar valor de las inversiones en TI: Aquellos que tomen decisiones de inversiones Aquellos que deciden respecto a los requerimientos Aquellos que utilicen los servicios de TI Interesados internos y externos que proporcionen servicios de TI: Aquellos que administren la organización y los procesos de TI Aquellos que desarrollen capacidades Aquellos que operen los servicios Interesados internos y externos con responsabilidades de control/riesgo: Aquellos con responsabilidades de seguridad, privacidad y/o riesgo Aquellos que realicen funciones de cumplimiento Aquellos que requieran o proporcionen servicios de aseguramiento
MARCO DE TRABAJO ¿Para qué? Un marco de referencia para el gobierno y el control de TI deben satisfacer las siguientes especificaciones generales Brindar un enfoque de negocios que permita la alineación entre los objetivos de negocio y de TI . Proporcionar un lenguaje común, con un juego de términos y definiciones comprensibles para todos los Interesados. Ser consistente con las mejores prácticas y estándares de TI aceptados
MARCO DE TRABAJO Principio básico de CobiT “Proporcionar la información que la empresa requiere para lograr sus objetivos, la empresa necesita administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información .”
MARCO DE TRABAJO 7 CRITERIOS DE INFORMACIÓN DE COBIT La efectividad: información relevante y pertinente a los procesos del negocio, proporcionada de forma oportuna , correcta, consistente y utilizable. La eficiencia: información generada optimizando los recursos (más productivo y económico). La confidencialidad: protección de información sensitiva contra revelación no autorizada. La integridad: precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio. La disponibilidad: información disponible cuando sea requerida por los procesos del negocio. Cumplimiento: acatar aquellas leyes y reglamentos empresariales. Confiabilidad: información apropiada para que la gerencia administre la entidad
MARCO DE TRABAJO Recursos de TI Los recursos de TI identificados en COBIT son: Aplicaciones Información Personas Infraestructura
MARCO DE TRABAJO Procesos Orientados El marco de trabajo de COBIT proporciona un modelo de procesos de referencia y un lenguaje común para que cada uno en la empresa visualice y administre las actividades de TI. PLANEAR Y ORGANIZAR (PO) MONITOREAR Y EVALUAR (ME) ENTREGAR Y DAR SOPORTE (DS) ADQUIRIR E IMPLEMENTAR (AI)
MARCO DE TRABAJO COBIT: procesos basados en controles Cuando un proceso se ajusta a un objetivo, estándar o norma , se comparará de forma constante la información de control y se actuará con el fin de mejorar, mantener o corregir dicho proceso. MODELO DE CONTROL
MARCO DE TRABAJO ¿ Qué tan lejos debemos ir? Midiendo el desempeño : Modelos de Madurez Representación gráfica de los modelos de madurez
MARCO DE TRABAJO Resumiendo: Cubo COBIT Los recursos de TI son manejados por procesos de TI para lograr metas que respondan a los requerimientos del negocio.
Primer dominio: PLANEAR Y ORGANIZAR (PO) PLANEACION Y ORGANIZACION PO1 Definir un plan Estratégico PO2 Definir la Arquitectura de Información. PO3 Determinar la Dirección tecnológica PO4 Definir los procesos Organización y relaciones De TI PO5 Administrar los Recursos de TI PO6 Comunicar las Aspiraciones y la dirección De la gerencia PO7 Administrar los Recurso humanos de TI PO8 Administrar la Calidad P O9 Evaluar y Administrar los Riesgos de TI PO10 Administrar Proyectos
Primer dominio: PLANEAR Y ORGANIZAR (PO ) PO1: Definir un plan estratégico de TI PLAN ESTRATÉGICO DE TI Es necesaria para Gestionar y dirigir todos los Recursos de TI en línea con la estrategia y prioridades del negocio. Administración del valor de TI Alineación de TI con el negocio Evaluación del desempeño y la capacidad actual. Plan estratégico Planes tácticos Administración del portafolio de TI Definición Objetivos Táctica: Método o sistema para ejecutar o conseguir algo . Estrategia : Arte, traza para dirigir un asunto.
Primer dominio: PLANEAR Y ORGANIZAR (PO ) PO1 : Definir un plan estratégico de TI MODELO DE MADUREZ PO1 Cuando se conoce la necesidad de una planeación estratégica. Cuando ocurren respuestas a las solicitudes de la información. Cuando se sigue un enfoque que garantiza la facilidad de la planeación. Se define con responsabilidades de alto nivel. Se toma en cuenta el establecimiento de las metas del negocio. Inicial Repetible Definido Administrado Optimizado
Primer dominio: PLANEAR Y ORGANIZAR (PO ) PO2 Definir la arquitectura de la información OBJETIVOS Administración de integridad Modelo de arquitectura de información empresarial Esquema de clasificación de datos Diccionario de datos empresariales
Primer dominio: PLANEAR Y ORGANIZAR (PO ) PO2 Definir la arquitectura de la información MODELO DE MADUREZ PO2 Cuando se reconoce la necesidad de una arquitectura de información Cuando existen procedimientos similares que siguen los individuos. Se acepta la responsabilidad en la aplicación en la cual se comunicara Se otorga el soporte completo al desarrollo de implantación por medio de técnicas. El personal de TI tiene la experiencia y habilidades necesarias para desarrollar Inicial Repetible Definido Administrado Optimizado
Primer dominio: PLANEAR Y ORGANIZAR (PO ) PO3- Determinar la dirección tecnológic a Creación de un plan de infraestructura tecnológica Actualizar Arquitectura de Sistemas Dirección tecnológica. Planes de adquisición. Estándares . Estrategias de migración. Contingencias Comité de Arquitectura . Establecer y administrar lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación.
Primer dominio: PLANEAR Y ORGANIZAR (PO) PO3- Determinar la dirección tecnológic a Objetivos de Control Plan de infraestructura tecnológica. Monitoreo de tendencias y regulaciones futuras. Estándares tecnológicos. Consejo de arquitectura de TI Planeación de la dirección tecnológica
Primer dominio: PLANEAR Y ORGANIZAR ( PO) PO4-Definir los Procesos, Organización y relaciones TI PO4 Agiliza la respuesta a las estrategias del negocio mientras se cumplan los requerimientos del gobierno Se enfoca en el establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables y en la definición e implementación de procesos de TI. Se logra con el establecimiento de un cuerpo y una estructura organizacional apropiada. La definición de roles y responsabilidades Se mide a través de l número de procesos de negocio que no reciben soporte de TI y que deberían de recibirlo.
Primer dominio: PLANEAR Y ORGANIZAR (PO ) PO5: Administrar la inversión en TI PO5 Establece y mantiene un marco de trabajo Para administrar los programas de inversion en TI El pronóstico de presupuestos Definición de criterios formales Medición del valor del negocio A través de Objetivos de Control Marco de trabajo para la administracion financiera Prioridades dentro del presupuesto de TI Proceso presupuestal Administración de costos de TI Administracion de beneficios
Primer dominio: PLANEAR Y ORGANIZAR (PO ) PO6,PO7,PO8 PO6.COMUNICAR LAS ASPIRACIONES Y LA DIRECCION DE LA GERENCIA Objetivos de control Ambiente de politicas y de control Riesgo corporativo Administration de politicas para TI Implantación de políticas de TI Comunicación de los objetivos PO7 ADMINISTRAR LOS RECURSOS HUMANOS DE TI Objetivos de control Reclutamiento y Retención Asignación de Roles Dependencia sobre individuos Evaluación del Desempeño Cambios y Terminación del trabajo Proce dimientos de investigación del personal PO8 ADMINISTRAR LA CALIDAD Objetivos de Control Sistema de Administración de Calidad Estándares y practices de calidad Estándares de desarrollo y adquisición Enfoque en el cliente de TI Mejora Continua Medición , monitoreo y control de calidad
Primer dominio: PLANEAR Y ORGANIZAR (PO) PO9,PO10 PO9 . EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI Objetivos de Control Marco de Trabajo de administración de riesgos . Identificación de eventos. Respuesta a los riesgos Mantenimiento y monitoreo . PO10 ADMINISTRACIÓN DE PROYECTOS Objetivos de Control Coordinación de todos los proyectos y programas de TI que se han establecido. Incluir un Plan Maestro de recursos , asegurar y garantizar la calidad y definición de un plan formal. Garantiza a la Administración de los posibles Riesgos del Proyecto
Segundo Dominio: ADQUIRIR E IMPLANTAR (AI) ADQUIRIR E IMPLANTAR AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener software AI3 Adquirir y mantener infraestructura AI4 Facilitar operación y uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios
Segundo Dominio: ADQUIRIR E IMPLANTAR (AI ) AI1: Identificar soluciones automatizadas La necesidad de una nueva aplicación o función requiere de un análisis antes de la compra o desarrollo para garantizar que los requisitos del negocio se satisfacen eficazmente. ¿Para qué? Actividades: AI1.1 Definición y mantenimiento de los requerimientos técnicos y funcionales del negocio AI1.2 Reporte de análisis de riesgos AI1.3 Estudio de factibilidad y formulación de cursos de acción alternativos AI1.4 Requerimientos, decisión de factibilidad y aprobación
Segundo Dominio: ADQUIRIR E IMPLANTAR (AI ) AI2: Adquirir y mantener software Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad , y el desarrollo y la configuración en sí de acuerdo a los estándares. ¿Para qué? Actividades: AI2.1 Diseño de alto nivel AI2.2 Diseño detallado AI2.3 Control y posibilidad de auditar las aplicaciones AI2.4 Seguridad y disponibilidad de las aplicaciones AI2.5 Configuración e implementación de software adquirido AI2.6 Actualizaciones de sistemas AI2.7 Desarrollo de software AI2.8 Aseguramiento de la calidad AI2.9 Administración de los requerimientos AI2.10 Mantenimiento de software
Segundo Dominio: ADQUIRIR E IMPLANTAR (AI ) AI3: Adquirir y mantener infraestructura tecnológica ¿Para qué? Para proporcionar las plataformas apropiadas para soportar aplicaciones de negocios. Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones. Actividades AI3.1 Plan de adquisición de infraestructura tecnológica AI3.2 Protección y disponibilidad del recurso de infraestructura AI3.3 Mantenimiento de la infraestructura AI3.4 Ambiente de prueba de factibilidad
Segundo Dominio: ADQUIRIR E IMPLANTAR (AI ) AI4: Facilitar la operación y el uso Este proceso requiere la generación de documentación y manuales para usuarios de TI, y proporcionar entrenamiento para garantizar el uso y la operación correcta de las aplicaciones y la infraestructura Actividades: AI4.1 Plan para soluciones de operación AI4.2 Transferencia de conocimiento a la gerencia del negocio AI4.3 Transferencia de conocimiento a usuarios finales AI4.4 Transferencia de conocimiento a personal de operaciones y soporte
Segundo Dominio: ADQUIRIR E IMPLANTAR (AI ) AI5: Adquirir recursos de TI Se deben suministrar recursos de TI. Esto requiere la definición y ejecución de los procedimientos de adquisición, elección de proveedores, etc. El hacerlo así, garantiza que la organización tenga todos los recursos necesarios de forma oportuna y rentable. Actividades: AI5.1 Control de adquisición AI5.2 Administración de contratos con proveedores AI5.3 Selección de proveedores AI5.4 Adquisición de recursos de TI
Segundo Dominio: ADQUIRIR E IMPLANTAR (AI ) AI6: Administrar cambios Todos los cambios, incluyendo el mantenimiento de emergencias y parches, relacionados con la infraestructura y las aplicaciones dentro del ambiente de producción, deben ser registrados, evaluado y autorizados. Esto garantiza la reducción de riesgos negativos para la organización. Actividades: AI6.1 Estándares y procedimientos para cambios AI6.2 Evaluación de impacto AI6.3 Cambios de emergencia AI6.4 Seguimiento y reporte de estado de cambio AI6.5 Cierre y documentación del cambio
Segundo Dominio: ADQUIRIR E IMPLANTAR (AI ) AI7: Instalar y acreditar soluciones y cambios Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo termina. Esto requiere pruebas adecuadas. Se debe planear la liberación y transición al ambiente de producción. Actividades AI7.1 Entrenamiento AI7.2 Plan de prueba AI7.3 Plan de implementación AI7.4 Ambiente de prueba AI7.5 Conversión de sistemas y datos AI7.6 Pruebas de cambios AI7.7 Prueba de aceptación final AI7.8 Promoción a producción AI7.9 Revisión posterior a implantación
Tercer dominio: ENTREGAR Y DAR SOPORTE (DS) Entregar y dar soporte DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones
Tercer dominio: ENTREGAR Y DAR SOPORTE (DS ) Ds1: definir y administrar niveles de servicio Este domino se refiere a la comunicación efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. También incluye el monitoreo y la notificación oportuna a los participantes sobre el cumplimiento de los niveles de servicio. Actividades: DS1.1 Marco de trabajo de la administración de los niveles de servicio DS1.2 Definición de servicios DS1.3 Acuerdo de niveles de servicio DS1.4 Acuerdos de niveles de operación DS1.5 Monitoreo y reporte del cumplimiento de los niveles de servicio DS1.6 Revisión de los acuerdos de niveles de servicio y de los contratos
Tercer dominio: ENTREGAR Y DAR SOPORTE (DS ) DS2: Administrar los servicios de terceros Clara definición de roles, responsabilidades y expectativas en los acuerdos con los terceros, así como con la revisión y monitoreo de la efectividad y cumplimiento de dichos acuerdos. Actividades: DS2.1 Identificación de todas las relaciones con proveedores DS2.2 Gestión de relaciones con proveedores DS2.3 Administración de riesgos del proveedor DS2.4 Monitoreo del desempeño del proveedor
Tercer dominio: ENTREGAR Y DAR SOPORTE (DS ) DS3: Administración de desempeño y capacidad Este proceso incluye el pronóstico de las necesidades futuras, basadas en los requerimientos de carga de trabajo, almacenamiento y contingencias. Brinda la seguridad de que los recursos de información que soportan los requerimientos del negocio están disponibles de manera continua. Actividades: DS3.1 Planeación del desempeño y la capacidad DS3.2 Capacidad y desempeño actual DS3.3 Capacidad y desempeño futuros DS3.4 Disponibilidad de recursos de TI DS3.5 Monitoreo y reporte
Tercer dominio: ENTREGAR Y DAR SOPORTE (DS ) DS4: Garantizar la continuidad del servicio D esarrollar , mantener y probar planes de continuidad de TI, almacenar respaldos fuera de las instalaciones y entrenar de forma periódica sobre los planes de continuidad. Un proceso efectivo de continuidad de servicios, minimiza la probabilidad y el impacto de interrupciones mayores en los servicios de TI . Actividades: DS4.1 Marco de trabajo de continuidad de TI DS4.2 Planes de continuidad de TI DS4.3 Recursos críticos de TI DS4.4 Mantenimiento del plan de continuidad de TI DS4.5 Pruebas del plan de continuidad de TI
Tercer dominio: ENTREGAR Y DAR SOPORTE (DS) DS5: Garantizar la seguridad de los sistemas Salvaguardar la información contra uso no autorizado, divulgación, modificación, daño o pérdida. Actividades : DS5.1 Administración de la seguridad de TI DS5.2 Plan de seguridad de TI DS5.3 Administración de identidad DS5.4 Administración de cuentas de usuario DS5.5 Pruebas, vigilancia y monitoreo. Actividades : DS5.6 Definición de incidente de seguridad DS5.7 Protección de la tecnología de seguridad DS5.8 Administración de las llaves criptográficas DS5.9 Detección de software malicioso DS5.10 Seguridad de la red
Tercer dominio: ENTREGAR Y DAR SOPORTE ( DS) DS6: Identificar y asignar costos Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI. Pe rmite al negocio tomar decisiones más informadas respectos al uso de los servicios de TI. Actividades: DS6.1 Definición de servicios DS6.2 Contabilización de TI DS6.3 Modelación de costos y cargos DS6.4 Mantenimiento del modelo de costos
Tercer dominio: ENTREGAR Y DAR SOPORTE (DS) DS7: Educar y entrenar a los usuarios Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados Actividades: DS7.1 Identificación de necesidades de entrenamiento y educación DS7.2 Impartición de entrenamiento y educación DS7.3 Evaluación del entrenamiento recibido
Tercer dominio: ENTREGAR Y DAR SOPORTE (DS ) DS8: Administrar la mesa de servicio y los incidentes Asegurar que se responda de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI Actividades: DS8.1 Mesa de servicios DS8.2 Registro de consultas de clientes DS8.3 Escalamiento de incidentes DS8.4 Cierre de incidentes DS8.5 Análisis de tendencias
Tercer dominio: ENTREGAR Y DAR SOPORTE (DS) DS9: Administración de configuración Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de cambios Actividades: DS9.1 Repositorio y línea base de configuración DS9.2 Identificación y mantenimiento de elementos de configuración DS9.3 Revisión de integridad de la configuración
Tercer dominio: ENTREGAR Y DAR SOPORTE (DS) DS10: Administración de problemas Este proceso incluye la identificación y clasificación de problemas, el análisis de las causas desde su raíz, y la resolución de los mismos. Un efectivo proceso de administración de problemas mejora los niveles de servicio, reduce costos y mejora la conveniencia y satisfacción del usuario. Actividades: DS10.1 Identificación y clasificación de problemas DS10.2 Rastreo y resolución de problemas DS10.3 Cierre de problemas DS10.4 Integración de las administraciones de cambios, configuración y problemas
Tercer dominio: ENTREGAR Y DAR SOPORTE (DS) DS11: Administración de datos Asegurar que los datos estén completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento Actividades: DS11.1 Requerimientos del negocio para la administración de datos DS11.2 Acuerdos de almacenamiento y conservación DS11.3 Administración de librerías de medios DS11.4 Eliminación DS11.5 Respaldo y restauración DS11.6 Requerimientos de seguridad para la administración de datos
Tercer dominio: ENTREGAR Y DAR SOPORTE (DS) DS12: Administración del ambiente físico Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (polvo, fuego, calor excesivo) o fallas humanas. Actividades: DS12.1 Selección y diseño del centro de datos DS12.2 Medidas de seguridad física DS12.3 Acceso físico DS12.4 Protección contra factores ambientales DS12.5 Administración de instalaciones físicas
Tercer dominio: ENTREGAR Y DAR SOPORTE (DS) DS13: Administración de operaciones Este proceso incluye la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado, protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware Actividades: DS13.1 Procedimientos e instrucciones de operación DS13.2 Programación de tareas DS13.3 Monitoreo de la infraestructura DS13.4 Documentos sensitivos y dispositivos de salida DS13.5 Mantenimiento preventivo de hardware
Cuarto dominio: Monitorear y Evaluar (ME ) Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? ¿La gerencia garantiza que los controles internos son efectivos y eficientes? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
Cuarto dominio: Monitorear y Evaluar (ME) Actividades Monitorear y Evaluar ME1 Monitorear y Evaluar el desempeño de TI ME3 Garantizar el cumplimiento regulatorio ME4 Proporcionar gobierno de TI ME2 Monitorear y Evaluar el control interno
Cuarto dominio: Monitorear y Evaluar (ME) ME2: Monitorear y evaluar el desempeño de TI Transparencia y entendimiento de los costos, beneficios, estrategia, políticas y niveles de servicio de TI de acuerdo con los requisitos de gobierno. Actividades: Acciones correctivas Evaluación del desempeño Reportes al consejo directivo Enfoque del monitoreo
Cuarto dominio: Monitorear y Evaluar (ME) ME2: Monitorear y evaluar el control interno Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados ME2.1 Monitoreo del marco de trabajo de control interno ME2.2 Revisiones de auditoria ME2.3 Excepciones de control ME2.4 Auto evaluación del control ME2.5 Aseguramiento del control interno ME2.6 Control interno para terceros ME2.7 Acciones correctivas
Cuarto dominio: Monitorear y Evaluar (ME) ME2: Monitorear y evaluar el control interno Las “situaciones a informar” son asuntos que llaman la atención del auditor, pues representan deficiencias importantes en el diseño y operación de la estructura del control interno, y que a su juicio afectan negativamente a la organización. Por ejemplo: Ausencia de adecuada segregación de funciones Falta de revisión y aprobación de transacciones Fallas en el suministro de información completa y correcta de acuerdo con los objetivos de la organización Violación intencional de los controles establecidos Fallas en la protección de los activos
Cuarto dominio: Monitorear y Evaluar (ME) ME3: Garantizar el cumplimiento regulatorio Cumplir las leyes y regulaciones de TI. Actividades ME3.1: Identificar las leyes y regulaciones con impacto potencial en TI ME3.2 Optimizar la respuesta a requerimientos regulatorios ME3.3 Evaluación del cumplimiento con requerimientos regulatorios ME3.4 Aseguramiento positivo del cumplimiento ME3.5 Reportes integrados
Cuarto dominio: Monitorear y Evaluar (ME) ME4: Proporcionar gobierno de TI La integración de un gobierno de TI con objetivos de gobierno corporativo y el cumplimiento con las leyes y regulaciones Establecer un marco de trabajo de gobierno para TI Alineamiento estratégico Entrega de valor Administración de recursos Administración de riesgos Medición del desempeño
¿Dudas?
Tags
Categories
GeneralDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 2,134
- Slides 57
- Favorites 1
- Age 4522 days
Related Slideshows
22
Pray For The Peace Of Jerusalem and You Will Prosper
RodolfoMoralesMarcuc
32 views
26
Don_t_Waste_Your_Life_God.....powerpoint
chalobrido8
33 views
31
VILLASUR_FACTORS_TO_CONSIDER_IN_PLATING_SALAD_10-13.pdf
JaiJai148317
31 views
14
Fertility awareness methods for women in the society
Isaiah47
30 views
35
Chapter 5 Arithmetic Functions Computer Organisation and Architecture
RitikSharma297999
27 views
5
syakira bhasa inggris (1) (1).pptx.......
ourcommunity56
29 views