Asclases IV Cobit

108
METODOS DE CONTROL METODOS DE CONTROL EN TI EN TI AUDITORIA DE SISTEMAS AUDITORIA DE SISTEMAS

description

auditoria de sistemas

Transcript of Asclases IV Cobit

  • METODOS DE CONTROL EN TIAUDITORIA DE SISTEMAS

  • CONTROL INTERNO

    Se define ampliamente como un proceso realizado por la alta direccin, administradores y personal de la organizacin, para proporcionar seguridad razonable en el cumplimiento de los objetivos referidos a: Efectividad y eficiencia de las operaciones. Confiabilidad de la informacin administrativa, tcnica, econmica y financiera. Cumplimiento de leyes y regulaciones aplicables. Riesgo y Control Riesgo: cualquier amenaza a la que est expuesta una organizacin y que impide o va en contra del logro de los objetivos propuestos. Control: Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar el logro de los objetivos del negocio; previniendo, detectando y corrigiendo riesgos o eventos no deseables.

  • Tipos de Controles

    Controles Preventivos.- Operan en las primeras etapas en el flujo del proceso, a fin de prevenir la ocurrencia del error o riesgo. Apuntan especialmente a las causas del riesgo.Controles Detectivos.- Generalmente siguen a los controles preventivos y estn diseados para captar errores que escapan a los controles preventivos. Apuntan a la forma de ocurrencia del riesgo.Controles Correctivos.- Aseguran que los efectos de los errores o fraudes detectados se corrijan o disminuyan. En la realidad no son necesariamente parte inherente de los controles detectivos.

  • Control Interno y Auditora informticos

  • CONTROLES EN SISTEMAS DE INFORMACIN

    Controles Generales.- Son aquellos que se emplean en la mayora de las aplicaciones de sistemas, con la finalidad de asegurar la continuidad y operacin adecuadas. Autenticacin: Proceso en el cul un usuario intenta ingresar a una aplicacin por lo general a travs de un login y password y ste realiza una validacin de esta informacin para permitir el ingreso. Autorizacin : Se refiere a otorgar permisos sobre las transacciones o funciones a las que el usuario est autorizado, una vez superado exitosamente el proceso de autenticacin Rol : Conjunto de funciones o transacciones de un sistema. Los roles son utilizados en el proceso de autorizacin. Log de Auditora : Se refiere al registro cronolgico de las operaciones efectuadas por un sistema o una aplicacin en particular

  • CONTROLES EN SISTEMAS DE INFORMACIN

    Controles de Aplicacin .-Son propios de cada aplicacin y deben garantizar la integridad de la informacin durante todo su recorrido, desde la captacin, pasando por su procesamiento y salidas.Estos controles pueden estar incluidos en procedimientos manuales (controles manuales), generalmente realizados por el usuario, o en procedimientos automatizados (controles automatizados). Ambos tipos de procedimientos se combinan para lograr un control ms efectivo.Los Controles Generales que se aplican a los procesos de la organizacin, como:1. Organizacin y Procedimientos del Departamento de Informtica.2. Desarrollo y Mantenimiento de Aplicaciones3. Seguridad de Acceso (Lgico)4. Continuidad de operacionesLos controles para aplicaciones en funcionamiento, pueden ser:1. Ingreso de datos2. Procesamiento3. Salida de datos

  • El Proceso de Auditora segn ISO 12207 (i)

    PROCESOS PRINCIPALES PROCESOS DE SOPORTE

    ADQUISICIN DOCUMENTACINSUMINISTRO GESTIN DE DESARROLLO CONFIGURACIN ASEGURAMIENTO DE CALIDAD EXPLOTACIN VERIFICACIN VALIDACIN REVISIN CONJUNTAMANTENIMIENTO AUDITORA RESOLUCION DE PROBLEMAS

    PROCESOS DE LA ORGANIZACIN

    GESTIN INFRAESTRUCTURAMEJORAFORMACIN

  • El Proceso de Auditora segn ISO .. (ii)

    Segn la norma ISO 12207, el Proceso de Auditora del Software (PAS) es uno de los procesos de soporte. Se define como el proceso para determinar el cumplimiento con los requerimientos, los planes o los contratos. Debe ser realizado por personas autorizadas con el propsito de mantener una valoracin independiente de los productos y procesos del software. Intervienen dos participantes: la parte auditora y la parte auditada. La norma ISO 14764 determina que el PAS da soporte en las siguientes actividades del PMS (Proceso de Mantenimiento del Software): Aceptacin/Revisin del Mantenimiento. Migracin. Retirada.

  • El Proceso de Auditora segn ISO.. (iii)

    Consta de dos actividades: Implementacin del Proceso; y Auditora.Durante la Implementacin del Proceso se realizan las siguientes tareas:Se efectan auditoras de los hitos predeterminados en el plan del proyecto.El personal auditor no tendr responsabilidad directa sobre los productos software y actividades auditadosTodos los recursos necesarios para realizar la auditora debern ser acordados por las partes (incluyendo personal de apoyo, locales, Infraestructura, hardware, software y herramientas).

  • El Proceso de Auditora segn ISO .. (iv)Para cada auditora las partes debern acordar siguientes puntos: agenda; productos software ( y resultados de alguna actividad ) que sern revisados; alcance y procedimientos de la auditora; y criterios de entrada y salida para la auditora.Los problemas descubiertos durante las auditoras se registrarn y se pasarn al Proceso de Resolucin de Problemas.Despus de completar una auditora, los resultados se documentarn y se proporcionarn a la parte auditada.Las partes debern acordar el resultado de la auditora y cualquier responsabilidad y criterio de cierre.

  • El Proceso de Auditora segn ISO .. (v) La actividad de auditora propiamente dicha consta de una nica tarea tendiente a garantizar que: Los elementos del software (cdigo, etc.) reflejen la documentacin de diseo. La revisin de aceptacin y los requerimientos de prueba descritos por la documentacin son adecuados para la aceptacin de los productos software. Los datos de prueba cumplen con la especificacin. Los productos software fueron suficientemente probados y sus especificaciones cumplidas. Los informes de pruebas son correctos y las discrepancias entre resultados actuales y esperados han sido resueltas. La documentacin de usuario cumple los estndares especificados. Las actividades han sido conducidas de acuerdo con los requerimientos, planes y contratos aplicables. Los costes y calendarios se ajustan a los planes establecidos.

  • COBIT :Modelo de Gestin de TI

  • Control OBjectivesforInformation and Related Technology (Objetivos de Control para Tecnologa de la Informacin y Tecnologas relacionadas)DEFINICIN

  • DEFINICINCOBIT es un modelo de gestin y control de TI, con el objetivo de consensuar: los riesgos del negociolas necesidades de control y los aspectos tecnolgicos, mediante la entrega de buenas prcticas aplicables a una estructura lgica de procesos y actividades

  • Investigar, desarrollar, publicitar y promover un actualizado, confiable e internacionalmente aceptado conjunto de Objetivos para el control de TI, a ser utilizados en el desarrollo habitual de las operaciones tanto por gerentes del negocio, como por auditores.MISIN

  • CARACTERSTICASOrientado al negocio

    Alineado con estndares y regulaciones de facto (COSO, IFAC, IIA, ISACA, AICPA)

    ntegro (basado en una revisin crtica y analtica de las tareas y actividades en TI)

    Flexible (aplicados a los Sistemas de Informacin de toda la empresa )

  • Proyecto COBITSteering Comittee representantes de distintos mbitosCoordinacin ISACAFGrupos de investigacin USA, Europa y Australia

  • Razones que llevan a considerar implantar un modelo de gestin de TIDependencia creciente del negocio frente a la informacinLa Tecnologa soporta, casi la totalidad de los procesos del negocio.Los desarrollos constantes en TI y en las prcticas de negocio.La responsabilidad por el uso de la tecnologa se extiende en la organizacin.Los cambios ms importantes se realizan pero igual contina la presin hacia el cambio.Nivel de inversiones en tecnologa.

  • Razones que llevan a considerar implantar un modelo de gestin de TIConstante aumento de vulnerabilidades y un amplio espectro de amenazas.

    Potencial de TI para efectuar cambios profundos en las organizaciones, crear nuevas oportunidades de negocios y reducir los costos.

    Incremento de la necesidad de contar con un modelo adecuado de gobernabilidad corporativa (corporate governance).

    Nuevas normativas (Sarbanes-Oxley act, comunicacin 2003/179, NTPs).

  • La Metodologa CobiT Control Objectives for Information and Related Technologies.

    Desarrollada por la ISACF (Information Systems Audit and Control Foundation); es la principal propuesta metodolgica realizada a nivel internacional para la Auditora de Sistemas de Informacin. Considera que, para efectos de auditora, el sistema de informacin de una organizacin es UNICO, aunque ciertos procesos se realicen de forma manual y otros mediante el uso de la informtica. La filosofa de CobiT asimila los principios de reingeniera de empresas (BPR) y divide las funciones que ha de realizar un sistema de informacin en procesos que, a su vez, estn subdivididos en actividades y tareas ms simples. Los sistemas de informacin estn orientados a los procesos y por tanto su auditora se debe adaptar a estos conceptos.

  • La Metodologa CobiT - Audiencia

    CobiT esta diseado para ser utilizado por tres audiencias distintas: Gestores: Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control, en un ambiente de Tecnologas de la Informacin (TI) frecuentemente impredecible. Usuarios: Para obtener una garanta en cuanto a la seguridad y control de los servicios de TI proporcionados internamente o por terceras partes. Auditores de Sistemas de Informacin: Para dar soporte a las opiniones mostradas a los Gestores sobre los controles internos.

    Tambin puede ser utilizado dentro de las empresas por el responsa-ble de un proceso de negocio, en el control de los aspectos de infor-macin del proceso; y por todos aqullos con responsabilidades en el campo de las TI en las empresas.

  • PRINCIPIOS DE COBIT El concepto o enfoque del marco COBIT, se basa en que el control en TI se logra obteniendo la informacin necesaria para apoyar los requerimientos procesos del negocio, y considerando la informacin como resultado de la aplicacin combinada de recursos de TI que necesitan ser administrados por procesos de TI

  • Las polticas, procedimientos prcticas y estructuras organizacionales diseadas para proveer una razonable confiabilidad de que los objetivos del negocio sern alcanzados y que los eventos indeseables sern prevenidos o detectados y corregidos.DEFINICIN DE CONTROL EN COBIT

  • Es la declaracin del resultado deseable o el propsito a lograr (el Qu) mediante la implantacin de recomendaciones, procedimientos o tcnicas de control (el Cmo), en determinada actividad de tecnologa de la informacin

    COBIT explicita cada objetivo del control a nivel de actividades Los 34 OCGs propuestos se concretan en 302 objetivos de control detallados (OCDs). DEFINICIN DE OBJETIVO DE CONTROL EN COBIT

  • COBIT: Estructura conceptualDominiosProcesosActividadesPersonasSistemas AplicativosTecnologaDatosInstalacionesRecursos de TICriterios de InformacinProcesos de TICalidadSeguridadRequerimientos fiduciariosSe puede enfocar desde tres dimensiones :

  • INFORMACIN

    Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

    EVENTOS

    Objetivos de negocioOportunidades de negocioRequerimientos externosRegulacinRiesgosDatosAplicacionesTecnologaInstalacionesRecursos HumanosESTRUCTURA

  • Para satisfacer los objetivos del negocio la informacin debe satisfacer ciertos criterios, que COBIT extrae de los ms reconocidos modelos:Requerimientos de calidad (ISO 9000-3)CalidadCosto Entrega{La Metodologa CobiT - Fundamentos Requerimientos de la Informacin para el Negocio

  • Requerimientos de seguridad (libro rojo, naranja y otros)DisponibilidadIntegridad Confidencialidad{Requerimientos fiduciarios (Informe COSO)Eficacia y eficienciaConfiabilidad de la informacin Cumplimiento de leyes y reglamentaciones{Requerimientos de la Informacin para el Negocio

  • Partiendo de estos tres requerimientos criterios amplios, se identifican las siguientes siete categoras:Eficacia: Se refiere a la relevancia y pertinencia de la informacin para el proceso de negocio y a su entrega en forma oportuna, correcta, consistente y til.

    Eficiencia:Se vincula con la provisin de informacin mediante el uso ptimo (el ms productivo y econmico) de los recursos.

    Requerimientos de la Informacin para el Negocio

  • Confidencialidad: Se refiere a la proteccin de la informacin crtica, contra su divulgacin no autorizada.

    Integridad:Se vincula con la exactitud y la totalidad de la informacin, as como tambin con su validez de acuerdo con los valores y las expectativas de negocio.

    Disponibilidad:Se relaciona con el hecho de que la informacin se encuentre disponible cuando la necesite el proceso de negocio, en el presente y en el futuro.Tambin se asocia con la proteccin de los recursos necesarios y las capacidades asociadas.

  • Cumplimiento:Se refiere al cumplimiento de las leyes, reglamentaciones y disposiciones contractuales a las que est sujeto el proceso de negocio, vale decir, los criterios de negocio impuestos a nivel externo.

    Confiabilidad de la informacin:Se vincula con la provisin de la informacin adecuada, para que la gerencia maneje la entidad y ejerza sus responsabilidades de presentacin de informes financieros y de cumplimiento.

  • Los recursos de TI, identificados en COBIT, para alcanzar los objetivos del negocio son los siguientes :Datos:objetos en su sentido ms amplio, es decir, internos y externos, estructurados y no estructurados, grficos, sonidos, etc.

    Sistemas de aplicacin:se entiende por tales la suma de los procedimientos manuales y programados.

    La Metodologa CobiT FundamentosRECURSOS DE TI

  • Tecnologa: la tecnologa abarca el hardware, los sistemas operativos, los sistemas de administracin de bases de datos, las redes, los multimedios, etc.

    Instalaciones:recursos diversos utilizados para alojar y dar soporte a los sistemas de informacinPersonas: habilidades, aptitudes, conocimientos y productividad del personal para planificar, organizar, adquirir, entregar, brindar soporte y monitorear los sistemas y servicios de informacin.

  • La Metodologa CobiT - Fundamentos PROCESOS DE TILos recursos de las Tecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la informacin que la empresa necesita para alcanzar sus objetivos.

  • ProcesosActividades o tareasDominiosAgrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional

    Conjuntos o series de actividades unidas con delimitacin o cortes de control.

    Acciones requeridas para lograr un resultado medible. Las actividadestienen un ciclo de vida mientras que las tareas son discretas. PROCESOS DE TI

  • PROCESOS DE TILos procesos se agrupan en cuatro grandes dominios:

    Planeacin y Organizacin (Planning and Organization)Adquisicin e implementacin (Acquisition and Implementation)Prestacin de Servicios y Soporte (Delivery and Support)Seguimiento (monitoring)

  • Las definiciones de los cuatro dominios identificados para la clasificacin de alto nivel son:Planificacin y Organizacin

    Este dominio abarca aspectos estratgicos y tcticos y se vincula con la identificacin de la forma en que la tecnologa de informacin puede contribuir ms adecuadamente con el logro de los objetivos del negocio. Es preciso planificar, comunicar y administrar la realizacin de la visin estratgica desde distintas perspectivas. Debe existir una correcta organizacin e infraestructura tecnolgica.

    PROCESOS DE TI

  • Adquisicin e Implementacin

    Para realizar la estrategia de Ti, deben identificarse, desarrollarse o adquirirse soluciones de Ti y luego implantarse e integrarse en el proceso de negocio.

    Este dominio abarca los cambios y el mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.PROCESOS DE TI

  • Entrega y Soporte

    Este dominio se ocupa de la entrega o prestacin efectiva de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitacin. Para prestar los servicios, deben establecerse los procesos de soporte necesarios.

    Incluye el procesamiento real de los datos por los sistemas de aplicacin, a menudo clasificados como controles de aplicaciones.

    PROCESOS DE TI

  • Monitoreo

    Es preciso evaluar regularmente todos los procesos de TI, a medida que trascurre el tiempo para determinar su calidad y el cumplimiento de los requerimientos de control.

    Este dominio corresponde al seguimiento de la gerencia sobre los procesos de control de la organizacin y la garanta independiente provista por la auditoria interna y externa u obtenida de fuentes alternativas.PROCESOS DE TI

  • PROCESOS DE TISe definen 34 objetivos de control generales (OCGs), uno para cada uno de los procesos de las TI

  • PROCESOS DE TI

  • MARCO DE REFERENCIAProcesos del Negocio

  • MARCO DE REFERENCIAPrcticasDe ControlObjetivosDe ControlRequerimientosde NegociosProcesos de TIEl control deque satisfacense habilitan porDiagrama de cascada

  • ASISTENTE DE NAVEGACINpersonasaplicacionestecnologainstalacionesdatosVnculo entre Procesos, Recursos y Criterios

  • El control sobre el proceso de:administrar la seguridad de los sistemasSatisface los requerimientos del negocio:salvaguardar informacin contra uso, difusin o modificaciones no autorizadas, dao o prdidaConsiderando:autorizacin, autenticacin, uso de perfiles e identificaciones, firewalls, deteccin y proteccin de virus, manejo de incidentes, etc.Es posible por:controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas se encuentra restringido a usuarios autorizadosOrganizacin y planeacinAdquisicin e implementacinMonitoreoEntrega y soporteSSSPPEj: OBJETIVOS DE CONTROL DE ALTO NIVEL: DS5

  • Administrar Medidas de SeguridadIdentificacin, Autenticacin y AccesoSeguridad de Acceso a Datos en LneaAdministracin de Cuentas de UsuarioRevisin Gerencial de Cuentas de UsuarioControl de Usuarios sobre Cuentas de UsuarioVigilancia de SeguridadClasificacin de DatosIdentificacin y administracin de asignacin de derechosReportes de Violacin y de Actividades de SeguridadManejo de IncidentesReacreditacinConfianza en ContrapartesAutorizacin de transaccionesNo negacinSendero SeguroProteccin de funciones de seguridadAdministracin de Llaves CriptogrficasPrevencin, Deteccin y Correccin de Software "MaliciosoArquitectura de Fire Walls y conexin a redes pblicasProteccin de Valores ElectrnicosActividades de Control

  • EL PRODUCTO COBIT Resumen EjecutivoMarco Referencial-Esquema Objetivos de Alto NivelLineamientos GerencialesObjetivos de Control DetalladosGuas de AuditoraModelos de MadurezFactores Crticos de xitoIndicadores Clave de RendimientoIndicadores Clave de LogrosHerramientas de implementacin

  • Executive Summary Presentacin del mtodoFramework -- Explicacin del mtodoControl Objectives -- Controles mnimosAudit Guidelines -- Como auditarManagement Guidelines -- Como medir la performanceImplementation Guide -- Como implementar el mtodoELEMENTOS

  • Las cinco formas de utilizar COBITComo una herramienta de comunicacin

    Como una herramienta de organizacin

    Como una herramienta para estructurar consenso

    Como una herramienta de autoevaluacin de TI

    Como una herramienta para determinar el alcance de la tarea de auditora

  • COBIT PERMITEPosibilidad de aplicar las prcticas en un amplio espectro de sistemas de informacin, independiente-mente de la tecnologa empleada

    Cumplimiento de las generalmente aplicables y aceptadas prcticas para el control de TI

    Aumentar el valor de la empresa

    Gestin orientada hacia el enfoque de dueos de procesos

    Alineacin de objetivos de TI con objetivos del negocio

    Utilizacin eficiente y eficaz de los recursos de TI

    Gestin medible y auditable

  • COBIT NECESITACONCIENTIZACIN, CAPACITACIN Y ENTRENAMIENTOADAPTACIN A LA ORGANIZACINFIJAR ROLES Y RESPONSABILIDADESSER COMPLEMENTADA CON OTROS MODELOS QUE ME PERMITAN CONTAR CON UN GOBIERNO CORPORATIVO ADECUADO

  • Resumen Ejecutivo de COBIT Se basa en una visin ejecutiva, la cual provee a la administracin un entendimiento del marco, los principios y conceptos claves de COBIT, y define cuatro dominios con sus correspondientes procesos de TI, 34 en total. Guas de Auditora Son aquellas que contienen pasos de auditora sugeridos, correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a los auditores de sistemas de informacin en revisar los procesos de TI, junto a los 302 detalles de objetivos de control para proveer seguridad a la administracin y recomendar sus mejoras.

  • Dominio: Planificacin y organizacinEste dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos de negocio.

    Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas.

  • DOMINIO: Planificacin y OrganizacinProceso: 1Definicin de un plan estratgico de TI

    Proceso: 2Definicin de la arquitectura de la informacin

    Proceso: 3Determinacin de la direccin tecnolgica

    Proceso: 4Definicin de la organizacin y el relacionamiento en TI

    Proceso: 5Administracin de la inversin en TI

    Proceso: 6Comunicacin de los objetivos y directivas de la gerencia

  • Proceso: 7Administracin de los recursos humanos

    Proceso: 8Aseguramiento del cumplimiento de los requerimientos externos

    Proceso: 9Evaluacin de riesgos

    Proceso: 10Administracin de proyectos

    Proceso: 11Administracin de la calidad

    DOMINIO: Planificacin y Organizacin

  • Dominio: Planificacin y organizacinPO1 Definicin de un plan Estratgico Objetivo: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos de TI de negocio, para asegurar sus logros futuros.La definicin de objetivos de negocio y necesidades de TI.- la alta gerencia ser la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misin y las metas generales de la organizacin.El inventario de soluciones tecnolgicas e infraestructura actual.- se deber evaluar los sistemas existentes en trminos de: nivel de automatizacin de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el propsito de determinar el nivel de soporte que reciben los requerimientos del negocio de los sistemas existentes.Los cambios organizacionales.- se deber asegurar que se establezca un proceso para modificar oportunamente y con precisin el plan a largo plazo de tecnologa de informacin con el fin de adaptar los cambios al plan a largo plazo de la organizacin y los cambios en las condiciones de las TI.Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos.

  • Dominio: Planificacin y organizacinPO1 Definicin de un plan Estratgico

  • Dominio: Planificacin y organizacinPO2 Definicin de la Arquitectura de Informacin Objetivo: Satisfacer los requerimientos de negocio, organi-zando de la mejor manera posible los sistemas de informacin, a travs de la creacin y mantenimiento de un modelo de informacin de negocio, asegurndose que se definan los sistemas apropiados para optimizar la utilizacin de esta informacin; tomando en cuenta :La documentacin.- deber conservar consistencia con las necesidades permitiendo a los responsables llevar a cabo sus tareas eficiente y oportunamente.El diccionario de datos.- incorporar las reglas de sintaxis de datos de la organizacin y deber ser continuamente actualizado.La propiedad de la informacin y la clasificacin de severidad con el que se establecer un marco de referencia de clasificacin general, relativo a la ubicacin de datos en clases de informacin.

  • Dominio: Planificacin y organizacinPO2 Definicin de la Arquitectura de Informacin

  • Dominio: Planificacin y organizacinPO3 Determinacin de la direccin tecnolgica Objetivo: Aprovechar al mximo de la tecnologa disponible o tecnologa emergente, satisfaciendo los requerimientos de negocio, a travs de la creacin y mantenimiento de un plan de infraestructura tecnolgica, tomando en consideracin:La capacidad de adecuacin y evolucin de la infraestructura actual, que deber concordar con los planes a largo y corto plazo de tecnologa de informacin, abarcando aspectos tales como arquitectura de sistemas, direccin tecnolgica y estrategias de migracin.El monitoreo de desarrollos tecnolgicos que sern tomados en consideracin durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica.Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuacin y evolucin de la infraestructura), con lo que se evaluar sistemticamente el plan de infraestructura tecnolgica.Planes de adquisicin, los cuales debern reflejar las necesidades identificadas en el plan de infraestructura tecnolgica.

  • Dominio: Planificacin y organizacinPO3 Determinacin de la direccin tecnolgica

  • Dominio: Planificacin y organizacinPO4 Definicin de la organizacin y de las relaciones de TI Objetivo: Prestacin de servicios de TIEl comit de direccin el cual se encargar de vigilar la funcin de servicios de informacin y sus actividades.SupervisinSegregacin de funcionesLos roles y responsabilidades, La descripcin de puestosLos niveles de asignacin de personalEl personal clave

  • Dominio: Planificacin y organizacinPO4 Definicin de la organizacin y de las relaciones de TI

  • Dominio: Planificacin y organizacinPO5 Manejo de la inversin Objetivo: tiene como finalidad la satisfaccin de los requerimientos de negocio, asegurando el financiamiento y el control de desembolsos de recursos financieros.

  • Dominio: Planificacin y organizacinPO6 Comunicacin de la direccin y aspiraciones de la gerencia Objetivo: Asegurar el conocimiento y comprensin de los usuarios sobre las aspiraciones del alto nivel de la empresa

  • Dominio: Planificacin y organizacinPO7 Administracin de recursos humanos Objetivo: Maximizar las contribuciones del personal a los procesos de TI; satisfaciendo as los requerimientos de negocio, a travs de tcnicas slidas para administracin de personal.

  • Dominio: Planificacin y organizacinPO8 Asegurar el cumplimiento con los requerimientos Externos Objetivo: Cumplir con obligaciones legales, regulatorias y contractualesSe realiza una identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos

  • Dominio: Planificacin y organizacinPO9 Evaluacin de riesgos Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de servicios de TIPara ello se logra la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, tomando medidas econmicas para mitigar los riesgos

  • Dominio: Planificacin y organizacinPO10 Administracin de proyectos Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversinPara ello se realiza una identificacin y priorizacin de los proyectos en lnea con el plan operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido

  • Proceso: 12Identificacin de soluciones

    Proceso: 13Adquisicin y mantenimiento de software de aplicacin

    Proceso: 14Adquisicin y mantenimiento de la infraestructura tecnolgica

    Proceso: 15Desarrollo y mantenimiento de procedimientos de TI

    Proceso: 16Instalacin y certificacin de sistemas

    Proceso: 17Administracin de cambios

    DOMINIO: Adquisicin e Implantacin

  • Dominio: Adquisicin e implementacinPara llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

  • Dominio: Adquisicin e implementacinAI1 Identificacin de Soluciones Automatizadas Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuarioPara ello se realiza un anlisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios

  • Dominio: Adquisicin e implementacinAI2 Adquisicin y mantenimiento del software aplicativo Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.Para ello se definen declaraciones especficas sobre requerimientos funcionales y operacionales y una implementacin estructurada con entregables claros

  • Dominio: Adquisicin e implementacinAI3 Adquisicin y mantenimiento de la infraestructura tecnolgica Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negociosPara ello se realizara una evaluacin del desempeo del hardware y software, la provisin de mantenimiento preventivo de hardware y la instalacin, seguridad y control del software del sistema

  • Dominio: Adquisicin e implementacinAI4 Desarrollo y mantenimiento de procedimientos Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas.Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de servicio y material de entrenamiento

  • Dominio: Adquisicin e implementacinAI5 Instalacin y aceptacin de los sistemas Objetivo: Verificar y confirmar que la solucin sea adecuada para el propsito deseadoPara ello se realiza una migracin de instalacin, conversin y plan de aceptaciones adecuadamente formalizadas

  • Dominio: Adquisicin e implementacinAI6 Administracin de los cambios Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.Esto se hace posible a travs de un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual

  • Proceso: 18Definicin de los niveles del servicio

    Proceso: 19Administracin de los servicios prestados por terceros

    Proceso: 20Administracin de la capacidad y del desempeo del sistema

    Proceso: 21Aseguramiento de la continuidad del servicio

    Proceso: 22Establecimiento de pautas para la seguridad de los sistemas

    Proceso: 23Identificacin e imputacin de costosDOMINIO: Entrega y Soporte

  • Proceso: 24Educacin y capacitacin de los usuarios

    Proceso: 25Asistencia y asesoramiento a los clientes de TI

    Proceso: 26Administracin de la configuracin

    Proceso: 27Administracin de problemas e incidentes

    Proceso: 28Administracin de datos

    Proceso: 29Administracin de instalaciones

    Proceso: 30Administracin de las operaciones

    DOMINIO: Entrega y Soporte

  • Dominio: Prestacin y soporteProcesosDs1 Definicin de niveles de servicioDs2 Administracin de servicios prestados por tercerosDs3 Administracin de desempeo y capacidadDs4 Asegurar el Servicio ContinuoDs5 Garantizar la seguridad de sistemasDs6 Educacin y entrenamiento de usuariosDs7 Identificacin y asignacin de costosDs8 Apoyo y asistencia a los clientes de TIDs9 Administracin de la configuracinDs10 Administracin de ProblemasDs11 Administracin de DatosDs12 Administracin de las instalacionesDs13 Administracin de la operacin

  • Dominio: Prestacin y soporteEn este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin.

  • Dominio: Prestacin y soporteDs1 Definicin de niveles de servicioObjetivo: Establecer una comprensin comn del nivel de servicio requeridoPara ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio

  • Dominio: Prestacin y soporteDs2 Administracin de servicios prestados por terceros Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas, que cumplan y continen satisfaciendo los requerimientosPara ello se establecen medidas de control dirigidas a la revisin y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la organizacin

  • Dominio: Prestacin y soporteDs3 Administracin de desempeo y capacidad Objetivo: Asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado.Para ello se realizan controles de manejo de capacidad y desempeo que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos

  • Dominio: Prestacin y soporteDs4 Asegurar el Servicio Continuo Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en caso de interrupcionesPara ello se tiene un plan de continuidad probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio

  • Dominio: Prestacin y soporteDs5 Garantizar la seguridad de sistemas Objetivo: salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdidaPara ello se realizan controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados

  • Dominio: Prestacin y soporteDs6 Educacin y entrenamiento de usuariosObjetivo: Asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades involucrados Para ello se realiza un plan completo de entrenamiento y desarrollo.

  • Dominio: Prestacin y soporteDs7 Identificacin y asignacin de costos Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TIPara ello se realiza un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos

  • Dominio: Prestacin y soporteDs8 Apoyo y asistencia a los clientes de TI Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente Para ello se realiza un Bur de ayuda que proporcione soporte y asesora de primera lnea

  • Dominio: Prestacin y soporteDs9 Administracin de la configuracin Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de cambiosPara ello se realizan controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia

  • Dominio: Prestacin y soporteDs10 Administracin de Problemas Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder.Para ello se necesita un sistema de manejo de problemas que registre y d seguimiento a todos los incidentes, adems de un conjunto de procedimientos de escalamiento de problemas para resolver de la manera ms eficiente los problemas identificados

  • Dominio: Prestacin y soporteDs11 Administracin de DatosObjetivo: Asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin, salida y almacenamiento.Lo cual se logra a travs de una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI

  • Dominio: Prestacin y soporteDs12 Administracin de las instalaciones Objetivo: Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado, definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad fsica.

  • Dominio: Prestacin y soporteDs13 Administracin de la operacin Objetivo: Asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenadaEsto se logra a travs de una calendarizacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades

  • Proceso: 31Monitoreo de los procesos

    Proceso: 32Evaluacin de la adecuacin del control interno

    Proceso: 33Obtencin de aseguramiento independiente

    Proceso: 34Provisin de auditora independiente

    DOMINIO: Monitoreo

  • Dominio: MonitoreoTodos los procesos de una organizacin necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad.

  • Dominio: MonitoreoProcesosM1 Monitoreo del ProcesoM2 Evaluar lo adecuado del Control InternoM3 Obtencin de Aseguramiento Independiente M4 Proveer Auditoria Independiente

  • Dominio: MonitoreoM1 Monitoreo del Proceso Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI.- Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeo gerenciales y la implementacin de sistemas de soporte as como la atencin regular a los reportes emitidos.

  • Dominio: MonitoreoM2 Evaluar lo adecuado del Control Interno Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a travs de actividades administrativas y de supervisin, comparaciones, reconciliaciones y otras acciones rutinarias., evaluar su efectividad y emitir reportes sobre ellos en forma regular.

  • Dominio: MonitoreoM4 Proveer Auditoria Independiente Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas de su implementacin, lo que se logra con el uso de auditorias independientes desarrolladas a intervalos regulares de tiempo.Para ello la gerencia deber establecer los estatutos para la funcin de auditoria, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoria

  • Las tres dimensiones conceptuales de COBIT En resumen, la estructura conceptual se puede enfocar desde tres puntos de vista:Los criterios empresariales que deben satisfacer la informacinLos recursos de las TILos procesos de TI

  • FIN

  • La metodologa CobiT - Estructura (iii)Las tres dimensiones conceptuales de CobiT

    El propsito de este captulo es explicar como el Control Interno es de vital importancia para las empresas, y como los niveles directivos hacen fuertes exigencias para mejorar el control de las empresas que dirigen; as como tambin conocer como los controles internos promueven la eficiencia, reducen los riesgos de prdida de activos, y ayudan a asegurar la confiabilidad de los estados financieros y el cumplimiento de leyes y regulaciones Seleccione un determinado proceso de una organizacin y para el mismo identifique los riesgos y controles existentes para cada una de las reas mencionadas. *necesidad de contar con una metodologa para organizar las actividades de la Auditora de Sistemas de Informacin, la cual contribuya a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos tcnicos; que sea aplicable a todos los tamaos y tipos de organizacin, y que est dirigida no slo a auditores de sistemas, sino tambin a la administracin y a los usuarios; que permita adems, determinar el alcance de la tarea de auditora e identificar los controles mnimos, y que pueda utilizarse como una herramienta de autoevaluacin del rea de tecnologa informtica. ****est basado en los Objetivos de Control existentes de la Information Systems Audit an Control Foundation (ISACF) mejorados con los estndares internacionales existentes tcnicos, profesionales, regulatorios y especficos de la industria. Los Objetivos de Control resultantes, aplicables y aceptados en forma generalizada, han sido desarrollados para ser aplicados a los sistemas de informacin de toda la empres ****la estructura conceptual se puede enfocar desde tres puntos de vista (ver figura): Los recursos de las TI, Los criterios empresariales que debe satisfacer la informacin, y Los procesos de las TI.

    *****************