ASEGURAMIENTO DE ASEGURAMIENTO DE LA INFORMACIÓN LA INFORMACIÓN MEDIANTE CMEDIANTE COBIOBITT

HERRAMIENTAS MEYCORCOBIT CSA Y MEYCOR COBIT AG

Relación entre COSO y CRelación entre COSO y COBIOBITT

¿Qu¿Quéé es Ces COBIOBIT?T?

El modelo para implantar Gobierno de TI. Es un estándar abierto y de amplia difusión. Consta de 34 procesos y 220 Objetivos de Control de

bajo nivel.bajo nivel. Es 100 % compatible con ISO 17799, COSO I y II, y

con otros estándares de menor nivel de abstracciónen los que se apoya.

COBIT fija el Qué y los estándares de apoyo el Cómoen materia de implantación de Gobierno de TI.

CCOBIOBITT

Significa: Control Objectives forInformation and Related Technology. Modelo desarrollado por la ISACA y el Modelo desarrollado por la ISACA y el

IT Governance Institute (ITGI) parallevar a la práctica el Gobierno de TIen las organizaciones.

ISACAISACA Fundada en 1969. Es una organización líder en Gobernabilidad, Control,

Aseguramiento y Auditoría en TI. Con sede en Chicago USA. Tiene más de 60.000 miembros en más de 100 países. Tiene más de 60.000 miembros en más de 100 países. Realiza eventos, conferencias, desarrolla estándares

en IT Governance, Assurance and Security. COBIT:

1ra Edición 1996 2da Edición 1988 3ra Edición 2000 4ta Edición 2005 (Nov/Dic)

REQUERIMIENTOSDE NEGOCIO

REQUERIMIENTOSDE NEGOCIO

PROCESOS DEPROCESOS DE

CRITERIOS DE INFORMACIÓNCRITERIOS DE INFORMACIÓN

Marco CMarco COBIOBITT

PROCESOS DEINFORMACIÓNPROCESOS DEINFORMACIÓN

• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad

• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad

INFORMACIÓNINFORMACIÓN

• aplicaciones• información• infraestructura• personal

• aplicaciones• información• infraestructura• personal

RECURSOS DE TIRECURSOS DE TI

CCOBIOBIT 4.0T 4.0

Aseguramiento de la InformaciónAseguramiento de la Información El aseguramiento de la información es la base sobre la que

se construye la toma de decisiones de una organización. Sinaseguramiento, las empresas no tienen certidumbre de quela información sobre la que sustentan sus decisiones demisión crítica es confiable, segura y está disponible cuandose la necesita.

Definimos Aseguramiento de la Información como lautilización de información y de diferentes actividades

Definimos Aseguramiento de la Información como lautilización de información y de diferentes actividadesoperativas con el fin de proteger la información, los sistemasde información y las redes, de forma de preservar ladisponibilidad, la integridad, la confidencialidad, laautenticación y el no repudio, ante el riesgo de impacto deamenazas locales, o remotas a través de comunicaciones eInternet.

Veremos dos importantes técnicas de aseguramiento, la autoevaluación y la auditoría de sistemas de información.

CCOBIOBITT: Autoevaluación de : Autoevaluación de controles controles (Meycor C(Meycor COBIOBIT CSA)T CSA)

Es una técnica gerencial que asegura atodos aquellos con intereses en elnegocio, que el sistema de controlinterno del mismo es confiable. También asegura que los empleados son

concientes de los riesgos del negocio, yque llevan adelante revisiones proactivasperiódicas de los controles.

CCOBIOBIT Guías de AuditoríaT Guías de Auditoría(Meycor C(Meycor COBIOBIT AG)T AG)

Dan una estructura simple para auditarlos controles en TI.

Son genéricas y estructuradas a altonivel.

Permiten la revisión de Procesos contralos Objetivos de Control en TI.

Obtener un entendimiento de los requerimientosdel negocio, los riesgos relacionados, y las medidasde control relevantes.

Evaluar la conveniencia de los controlesestablecidos.

Evaluar el cumplimiento al probar si los controles

SSe audita mediante los siguientes pasos:e audita mediante los siguientes pasos:

Evaluar el cumplimiento al probar si los controlesestablecidos están funcionando como se espera, demanera consistente y continua.

Justificar el riesgo de que los objetivos de controlno se estén cumpliendo mediante el uso detécnicas analíticas y/o consultando fuentesalternativas.

Guía Genérica de AuditoríaGuía Genérica de AuditoríaObtener entendimiento Los pasos de auditoría a realizar para documentar las actividades

subyacentes a los objetivos de control, así como tambiénidentificar las medidas/procedimientos de control establecidas.

Entrevistar al personal administrativo y de staff indicado paralograr la comprensión de: Los requerimientos del negocio y los riesgos asociados. Los requerimientos del negocio y los riesgos asociados. La estructura organizacional. Los roles y responsabilidades. Las medidas de control establecidas. La actividad de reporte a la administración (estatus, desempeño,

acciones). Documentar los recursos de TI relacionados con el proceso que se

ven especialmente afectados por el proceso bajo revisión.Confirmar el entendimiento del proceso bajo revisión, losIndicadores Clave de Desempeño (KPI) del proceso, lasimplicaciones de control, por ejemplo, mediante un seguimientopaso a paso del proceso.

Guía Genérica de AuditoríaGuía Genérica de AuditoríaEvaluación de los controles Los pasos de auditoría a realizar en la evaluación de la eficacia de

las medidas de control establecidas o el grado en el que se lograel objetivo de control. Básicamente, decidir qué se va a probar, sise va a probar y cómo se va a probar.

Evaluar la conveniencia de las medidas de control para el procesobajo revisión mediante la consideración de los criteriosidentificados y las prácticas estándares de la industria, losbajo revisión mediante la consideración de los criteriosidentificados y las prácticas estándares de la industria, losFactores Críticos de Éxito (CSF) de las medidas de control y laaplicación del juicio profesional de auditor. Existen procesos documentados. Existen resultados apropiados. La responsabilidad y es clara y eficaz. Existen controles compensatorios en donde es necesario.

Concluir el grado en el que se cumple el objetivo de control.

Guía Genérica de AuditoríaGuía Genérica de AuditoríaValoración del cumplimiento Los pasos de auditoría a realizar para asegurar que las

medidas de control establecidas estén funcionandocomo es debido, de manera consistente y continua, yconcluir sobre la conveniencia de ambiente de control.

Obtener evidencia directa o indirecta depuntos/períodos seleccionados para asegurarse que se

Obtener evidencia directa o indirecta depuntos/períodos seleccionados para asegurarse que seha cumplido con los procedimientos durante el períodode revisión, utilizando evidencia tanto directa comoindirecta.

Realizar una revisión de la suficiencia de los resultadosdel proceso.

Determinar el nivel de pruebas justificantes y trabajoadicional necesarios para asegurar que el proceso de TIes adecuado.

Guía Genérica de AuditoríaGuía Genérica de Auditoría

Justificar el riesgo Los pasos de auditoría a realizar para justificar el

riesgo de que no se cumpla el objetivo de controlmediante el uso de técnicas analíticas y/o consultas afuentes alternativas.fuentes alternativas.

Documentar las debilidades del control y las amenazasy vulnerabilidades resultantes.

Identificar y documentar el impacto real y potencial;por ejemplo, mediante el análisis de causa-raíz.

Brindar información comparativa; por ejemplo,mediante puntos de referencia.

Descripción de los productosDescripción de los productosMeycor COBIT CSAMeycor COBIT CSA y y AGAGMeycor COBIT CSAMeycor COBIT CSA y y AGAG

Meycor CMeycor COBIOBIT CSAT CSAImportancia de los Procesos de TI

Para los procesos definidos por COBIT, seidentifica la importancia, el desempeño, siha sido auditado, cómo se procesa y quién esel responsable.

Para los procesos definidos por COBIT, seidentifica la importancia, el desempeño, siha sido auditado, cómo se procesa y quién esel responsable.

Meycor CMeycor COBIOBIT CSAT CSAAuto Evaluación sobre los controles

Meycor COBIT CSA incluye los Objetivos deControl de COBIT 4.0 y preguntas deseguridad de plataformas específicas.

Meycor COBIT CSA incluye los Objetivos deControl de COBIT 4.0 y preguntas deseguridad de plataformas específicas.

Meycor CMeycor COBIOBIT CSAT CSAReporte de la evaluación

Se presentan los resultados en puntajes.De este modo se pueden determinarvalores meta.

Se presentan los resultados en puntajes.De este modo se pueden determinarvalores meta.

Meycor CMeycor COBIOBIT CSAT CSADiagnóstico sobre los Procesos de TI

La línea roja indica el resultado obtenido.Cuanto mas próxima al centro, los riesgos seencuentran menos cubiertos por controles

La línea roja indica el resultado obtenido.Cuanto mas próxima al centro, los riesgos seencuentran menos cubiertos por controles

Meycor CMeycor COBIOBIT CSAT CSAEvaluaciones de varios Centros de Análisis

Se pueden ver los resultados en formacomparativa (plataformas, sucursales,tecnologías)

Se pueden ver los resultados en formacomparativa (plataformas, sucursales,tecnologías)

Meycor CMeycor COBIOBIT CSAT CSAProyectos de Auditoría

Permite crear proyectos de auditoría, asignarrecursos y gestionarlos.

El objetivo es determinar si los controles delproceso ofrecen aseguramiento.

Permite crear proyectos de auditoría, asignarrecursos y gestionarlos.

El objetivo es determinar si los controles delproceso ofrecen aseguramiento.

Meycor CMeycor COBIOBIT CSAT CSAAlineamiento con los Objetivos de negocio

Se identifica el alineamiento entre losObjetivos de TI y los Objetivos de negocioSe identifica el alineamiento entre losObjetivos de TI y los Objetivos de negocio

Meycor CMeycor COBIOBIT AT AGGInventario Tecnológico

Se identifica cómo los recursos de TIcontribuyen efectivamente al logro de losobjetivos.

Se identifica cómo los recursos de TIcontribuyen efectivamente al logro de losobjetivos.

Meycor CMeycor COBIOBIT AT AGGRelación entre procesos de COBIT y Procesos de Negocio

Se genera un mapa de calor a partir delos recursos de TI y los criterios deinformación requeridos.

Se genera un mapa de calor a partir delos recursos de TI y los criterios deinformación requeridos.

Meycor CMeycor COBIOBIT AT AGGInicio del proceso de auditoría

Se registra cuando el supervisor crea unproyecto y lo asigna a los auditores. Seestablece también cuando se está endesacuerdo con una observación.

Se registra cuando el supervisor crea unproyecto y lo asigna a los auditores. Seestablece también cuando se está endesacuerdo con una observación.

Meycor CMeycor COBIOBIT AT AGGAuditando un Proceso de TI

Meycor COBIT AG guía en las diversas Fases(entrevistas, etc.). Permite registrar tareas,adjuntar evidencias y registrar observaciones.

Meycor COBIT AG guía en las diversas Fases(entrevistas, etc.). Permite registrar tareas,adjuntar evidencias y registrar observaciones.

Meycor CMeycor COBIOBIT AT AGGGuías de Auditoría

Los auditores cuentan con guías de auditoríaque constituyen una base de conocimientoque mejora la calidad de la auditoría.

Los auditores cuentan con guías de auditoríaque constituyen una base de conocimientoque mejora la calidad de la auditoría.

Meycor CMeycor COBIOBIT AT AGGRegistro de tareas

Se identifica quién la ejecutó, el tiempoinvertido, comentarios, etc.Se identifica quién la ejecutó, el tiempoinvertido, comentarios, etc.

Meycor CMeycor COBIOBIT AT AGGHallazgos y recomendaciones

Las observaciones se definen en un formatoque incluye determinar los criterios contralos que se evalúa, las consecuencias, etc.

Las observaciones se definen en un formatoque incluye determinar los criterios contralos que se evalúa, las consecuencias, etc.

Meycor CMeycor COBIOBIT AT AGGEjemplos de Papeles de Trabajo (I)

Reporte del programa de auditoríapor proyecto.Reporte del programa de auditoríapor proyecto.

Meycor CMeycor COBIOBIT AT AGGEjemplos de Papeles de Trabajo (II)

Informe sobre el grado defortaleza de los controlesauditados.

Informe sobre el grado defortaleza de los controlesauditados.

Meycor CMeycor COBIOBIT AT AGGEjemplos de Papeles de Trabajo (III)

Identificación de hallazgos, opinióndel auditado, seguimiento, etc.Identificación de hallazgos, opinióndel auditado, seguimiento, etc.

DATASECDATASECIT Security & ControlIT Security & Control

Patria 716 - CP 11300 - Montevideo - UruguayTel: (+598 2) 711-58-78 / 711-04-20Fax: (+598 2) 711-58-94Sitio web: www.datasecwww.datasec--soft.comsoft.com