Auditoria Informatica _ COBIT

METODOS DE CONTROL EN TI

AUDITORIA EN INFORMATICA

Control Interno y Auditoría

El Proceso de Auditoría según ISO 12207 (i)

PROCESOS PRINCIPALES PROCESOS DE SOPORTE

ADQUISICIÓN DOCUMENTACIÓNSUMINISTRO GESTIÓN DE DESARROLLO CONFIGURACIÓN ASEGURAMIENTO DE CALIDAD EXPLOTACIÓN VERIFICACIÓN

VALIDACIÓN REVISIÓN CONJUNTA

MANTENIMIENTO AUDITORÍA RESOLUCION DE PROBLEMAS

PROCESOS DE LA ORGANIZACIÓN

GESTIÓN INFRAESTRUCTURAMEJORA FORMACIÓN

El Proceso de Auditoría según ISO (ii)

• Según la norma ISO 12207, el Proceso de Auditoría del Software (PAS) es uno de los procesos de soporte.• Se define como el proceso para determinar el cumplimiento con los requerimientos, los planes o los contratos.• Debe ser realizado por personas autorizadas con el propósito de mantener una valoración independiente de los productos y procesos del software.• Intervienen dos participantes: la parte auditora y la parte auditada.

• La norma ISO 14764 determina que el PAS da soporte en las siguientes actividades del PMS (Proceso de Mantenimiento del

Software):– Aceptación/Revisión del Mantenimiento.– Migración.– Retirada.

El Proceso de Auditoría según ISO (iii)

• Consta de dos actividades:– Implementación del Proceso; y– Auditoría.

• Durante la Implementación del Proceso se realizan las siguientes tareas:

– Se efectúan auditorías de los hitos predeterminados en el plan del proyecto.

– El personal auditor no tendrá responsabilidad directa sobre los productos software y actividades auditados.

– Todos los recursos necesarios para realizar la auditoría deberán ser acordados por las partes

(incluyendo personal de apoyo, locales, infraestructura, hardware, software y herramientas).

El Proceso de Auditoría según ISO (iv)…

– Para cada auditoría las partes deberán acordar siguientes puntos: agenda; productos software ( y resultados de alguna actividad ) que serán revisados; alcance y procedimientos de la auditoría; y criterios de entrada y salida para la auditoría.

– Los problemas descubiertos durante las auditorías se registrarán y se pasarán al Proceso de Resolución de Problemas.

– Después de completar una auditoría, los resultados se documentarán y se proporcionarán a la parte auditada.

– Las partes deberán acordar el resultado de la auditoría y cualquier responsabilidad y criterio de cierre.

El Proceso de Auditoría según ISO (v)

• La actividad de auditoría propiamente dicha consta de una única tarea tendiente a garantizar que:

– Los elementos software (código, etc.) reflejan la documentación de diseño.

– La revisión de aceptación y los requerimientos de prueba prescritos por la documentación son adecuados

para la aceptación de los productos software.

– Los datos de prueba cumplen con la especificación.

El Proceso de Auditoría según ISO (vi)

– Los productos software fueron suficientemente probados y sus especificaciones cumplidas.

– Los informes de pruebas son correctos y las discrepancias entre resultados actuales y esperados han sido resueltas.

– La documentación de usuario cumple los estándares especificados.

– Las actividades han sido conducidas de acuerdo con los requerimientos, planes y contratos aplicables.

– Los costes y calendarios se ajustan a los planes establecidos.

COBIT :COBIT :

Modelo de Modelo de Gestión de TIGestión de TI

CControlontrol

OBOBjectivesjectives

forfor IInformationnformation

and Related and Related TTechnologyechnology (Objetivos de Control para (Objetivos de Control para

Tecnología de la Información y Tecnología de la Información y Tecnologías relacionadas)Tecnologías relacionadas)

DEFINICIÓN

DEFINICIÓNCOBIT es un modelo de gestión y control de TI, con el objetivo de consensuar:

•los riesgos del negocio

•las necesidades de control

•y los aspectos tecnológicos,

mediante la entrega de buenas prácticas aplicables a una estructura lógica de procesos y actividades

“Investigar, desarrollar, publicitar y promover un actualizado, confiable e internacionalmente aceptado conjunto de Objetivos para el control de TI, a ser utilizados en el desarrollo habitual de las operaciones tanto por gerentes del negocio, como por auditores.”

MISIÓN

CARACTERÍSTICAS Orientado al negocioOrientado al negocio

Alineado con estándares y regulaciones Alineado con estándares y regulaciones “de facto” (COSO, IFAC, IIA, ISACA, “de facto” (COSO, IFAC, IIA, ISACA, AICPA)AICPA)

Íntegro (basado en una revisión crítica y Íntegro (basado en una revisión crítica y analítica de las tareas y actividades en analítica de las tareas y actividades en TI)TI)

FlexibleFlexible

Razones que llevan a considerar implantar un modelo de gestión de TI

•Dependencia creciente del negocio frente a la información•La Tecnología soporta casi la totalidad de los procesos del negocio•Los desarrollos constantes en TI y en las prácticas de negocio•La responsabilidad por el uso de la tecnología se extiende en la organización•Los cambios más importantes se realizan pero igual continúa la presión hacia el cambio.•Nivel de inversiones en tecnología

Razones que llevan a considerar implantar un modelo de gestión de TI

•Constante aumento de vulnerabilidades y un amplio espectro de amenazas.

•Potencial de TI para efectuar cambios profundos en las organizaciones, crear nuevas oportunidades de negocios y reducir los costos

•Incremento de la necesidad de contar con un modelo adecuado de gobernabilidad corporativa (“corporate governance”)

•Nuevas normativas (Sarbanes-Oxley act, comunicación 2003/179, NTPs)

La Metodología CobiT

• Control Objectives for Information and Related Technologies.• Propuesta por la ISACF (Information Systems Audit and Control Foundation).• Es la principal propuesta metodológica realizada a nivel internacional para abordar la Auditoría de Sistemas de Información.• Supone un paso muy importante al considerar que, a efectos de auditoría, el sistema de información de una organización es UNICO, aunque ciertos procesos se realicen de forma manual y otros mediante el uso de la informática.• La filosofía de CobiT asimila los principios de reingeniería de empresas (BPR) y divide las funciones que ha de realizar un sistema de información en procesos que, a su vez, están subdivididos en actividades y tareas más simples.• Los sistemas de información están orientados a los procesos y por tanto su auditoría se debe adaptar a estos conceptos.

La Metodología CobiT - Audiencia

• CobiT esta diseñado para ser utilizado por tres audiencias distintas:– Gestores:• Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de Tecnologías de la Información (TI) frecuentemente impredecible.– Usuarios:• Para obtener una garantía en cuanto a la seguridad y control de los servicios de TI proporcionados internamente o por terceras partes.– Auditores de Sistemas de Información:• Para dar soporte a las opiniones mostradas a los Gestores sobre los controles internos.

• También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquéllos con responsabilidades en el campo de las TI en lasempresas.

PRINCIPIOS DE COBITPRINCIPIOS DE COBIT

Recursos de TIRecursos de TIProcesos de TIProcesos de TI

Requerimientos Requerimientos del negociodel negocio

El concepto o enfoque del marco COBIT, se basa en que el El concepto o enfoque del marco COBIT, se basa en que el control en TI se logra obteniendo la información necesaria control en TI se logra obteniendo la información necesaria para apoyar los para apoyar los requerimientos ó procesos del negociorequerimientos ó procesos del negocio, y , y considerando considerando la informaciónla información como resultado de la aplicación como resultado de la aplicación combinada de combinada de recursos de TIrecursos de TI que necesitan ser administrados que necesitan ser administrados por por procesos de TIprocesos de TI

La Metodología CobiT - Fundamentos (ii)

• Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos criterios:

– Requerimientos de Calidad:• Calidad• Coste• Entrega (servicio)

– Requerimientos Fiduciarios:• Efectividad y eficiencia de las operaciones• Fiabilidad de la información• Cumplimiento de leyes y normas

– Requerimientos de Seguridad:• Confidencialidad• Integridad• Disponibilidad

Para satisfacer los objetivos del negocio la Para satisfacer los objetivos del negocio la información debe cumplir con criterios que COBIT información debe cumplir con criterios que COBIT

extrae de los más reconocidos modelos:extrae de los más reconocidos modelos:

Requerimientos Requerimientos de de calidad (ISO 9000-3)calidad (ISO 9000-3)

CalidadCalidad Costo Costo EntregaEntrega

{

Requerimientos de la Requerimientos de la Información para el NegocioInformación para el Negocio

Requerimientos Requerimientos de de seguridad (libro rojo, seguridad (libro rojo, naranja y otros)naranja y otros)

DisponibilidadDisponibilidad Integridad Integridad ConfidencialidadConfidencialidad{

Requerimientos Requerimientos fiduciarios (Informe fiduciarios (Informe COSO)COSO)

Eficacia y eficienciaEficacia y eficiencia Confiabilidad de la información Confiabilidad de la información Cumplimiento de leyes y Cumplimiento de leyes y

reglamentacionesreglamentaciones

{

Partiendo de estos tres requerimientos ó criterios amplios, se Partiendo de estos tres requerimientos ó criterios amplios, se identifican las siguientes siete categorías:identifican las siguientes siete categorías:

Eficacia:Eficacia: se refiere a la relevancia y pertinencia se refiere a la relevancia y pertinencia de de la información para el proceso la información para el proceso de negocio de negocio y a su entrega en forma y a su entrega en forma oportuna, oportuna, correcta, correcta, consistente y útil.consistente y útil.

Eficiencia:Eficiencia: se vincula con la provisión de se vincula con la provisión de información mediante el uso información mediante el uso

óptimo (el óptimo (el más productivo y más productivo y económico) de los económico) de los recursos.recursos.

Requerimientos de la Requerimientos de la Información para el NegocioInformación para el Negocio

Confidencialidad: Confidencialidad: se refiere a la protección de la se refiere a la protección de la información crítica, contra su información crítica, contra su

divulgación divulgación no autorizada.no autorizada.

Integridad:Integridad: se vincula con la exactitud y la totalidad se vincula con la exactitud y la totalidad de la información, así como también con de la información, así como también con

su su validez de acuerdo con los valores y las validez de acuerdo con los valores y las expectativas de negocio.expectativas de negocio.

Disponibilidad:Disponibilidad: se relaciona con el hecho de que la se relaciona con el hecho de que la información se encuentre información se encuentre

disponible disponible cuando la necesite el cuando la necesite el proceso de negocio, proceso de negocio, en el presente y en en el presente y en el futuro.el futuro.

También se asocia con la protección de También se asocia con la protección de los los recursos necesarios y las capacidades recursos necesarios y las capacidades

asociadas.asociadas.

Cumplimiento:Cumplimiento: se refiere al cumplimiento de las leyes, se refiere al cumplimiento de las leyes, reglamentaciones y reglamentaciones y

disposiciones disposiciones contractuales a contractuales a las que está sujeto el las que está sujeto el proceso de proceso de negocio, vale decir, los negocio, vale decir, los

criterios de negocio impuestos acriterios de negocio impuestos a nivel externo.nivel externo.

Confiabilidad deConfiabilidad de la información:la información: se vincula con la provisión de la se vincula con la provisión de la

información adecuada, para información adecuada, para que la que la gerencia maneje la entidad y gerencia maneje la entidad y ejerza sus ejerza sus responsabilidades de responsabilidades de presentación de presentación de informes informes financieros y de cumplimiento.financieros y de cumplimiento.

Los recursos de TI, identificados en COBIT, para Los recursos de TI, identificados en COBIT, para alcanzar los objetivos del negocio son los siguientes :alcanzar los objetivos del negocio son los siguientes :

Datos:Datos: objetos en su sentido más amplio, es objetos en su sentido más amplio, es decir, internos y externos, decir, internos y externos, estructurados y no estructurados y no estructurados, estructurados, gráficos, sonidos, etc.gráficos, sonidos, etc.

Sistemas de aplicación:Sistemas de aplicación: se entiende por tales la se entiende por tales la suma de los procedimientos manuales y suma de los procedimientos manuales y programados.programados.

RECURSOS DE TI

Tecnología:Tecnología: la tecnología abarca el hardware, los la tecnología abarca el hardware, los sistemas operativos, los sistemas de administración sistemas operativos, los sistemas de administración de bases de de bases de datos, las redes, los multimedios, etc.datos, las redes, los multimedios, etc.

Instalaciones:Instalaciones: recursos diversos utilizados para recursos diversos utilizados para alojar y dar soporte a los sistemas de informaciónalojar y dar soporte a los sistemas de información

Personas: Personas: habilidades, aptitudes, habilidades, aptitudes, conocimientos y conocimientos y productividad del personal para planificar, productividad del personal para planificar, organizar, adquirir, entregar, brindar soporte y organizar, adquirir, entregar, brindar soporte y monitorear los sistemas y servicios de información.monitorear los sistemas y servicios de información.

PROCESOS DE TI

“Los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos”.

Procesos

Actividades o tareas

Dominios

Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional

Conjuntos o series de actividades unidas con delimitación o cortes de control.

Acciones requeridas para lograr un resultado medible. Las actividadestienen un ciclo de vida mientras que las tareas son discretas.

PROCESOS DE TI

PROCESOS DE TI

Los procesos se agrupan en cuatro grandes Los procesos se agrupan en cuatro grandes dominios:dominios:

Planeación y OrganizaciónPlaneación y Organización (Planning and Organization)Adquisición e implementaciónAdquisición e implementación (Acquisition and Implementation)Prestación de Servicios y SoportePrestación de Servicios y Soporte (Delivery and Support)SeguimientoSeguimiento (monitoring)

Las definiciones de los cuatro dominios identificados para la Las definiciones de los cuatro dominios identificados para la clasificación de alto nivel son:clasificación de alto nivel son:

Planificación y Planificación y OrganizaciónOrganización Este dominio abarca aspectos estratégicos Este dominio abarca aspectos estratégicos

y tácticos y se vincula con la y tácticos y se vincula con la identificación identificación de la forma en que la de la forma en que la tecnología de tecnología de información puede información puede contribuir más contribuir más adecuadamente con el logro de los adecuadamente con el logro de los

objetivos del negocio. Además, es preciso objetivos del negocio. Además, es preciso planificar, comunicar y administrar la planificar, comunicar y administrar la

realización de la visión estratégica realización de la visión estratégica desde desde distintas perspectivas. Por distintas perspectivas. Por último, debe último, debe existir una correcta existir una correcta organización e organización e infraestructura infraestructura tecnológica.tecnológica.

PROCESOS DE TI

Adquisición eAdquisición eImplementaciónImplementación Para realizar la estrategia de Ti, deben Para realizar la estrategia de Ti, deben

identificarse, desarrollarse o identificarse, desarrollarse o adquirirse adquirirse soluciones de Ti y luego soluciones de Ti y luego implantarse e implantarse e integrarse en el integrarse en el proceso de negocio. proceso de negocio. Además, este Además, este dominio abarca los cambios dominio abarca los cambios y el y el mantenimiento de los sistemas mantenimiento de los sistemas

existentes para garantizar la natural existentes para garantizar la natural continuidad del ciclo de vida para estos continuidad del ciclo de vida para estos

sistemas.sistemas.

PROCESOS DE TI

Entrega y Entrega y Soporte Soporte En este dominio nos ocupamos de la En este dominio nos ocupamos de la

entrega o prestación efectiva de entrega o prestación efectiva de los los servicios requeridos, que servicios requeridos, que comprenden comprenden desde las operaciones desde las operaciones tradicionales sobre tradicionales sobre aspectos de aspectos de seguridad y continuidad hasta seguridad y continuidad hasta la la capacitación. Para prestar los servicios, capacitación. Para prestar los servicios, deben establecerse los procesos de soporte deben establecerse los procesos de soporte

necesarios.necesarios.Este dominio incluye el procesamiento Este dominio incluye el procesamiento

real real de los datos por los sistemas de de los datos por los sistemas de aplicación, aplicación, a menudo clasificados como a menudo clasificados como controles de controles de aplicaciones.aplicaciones.

PROCESOS DE TI

MonitoreoMonitoreo Es preciso evaluar regularmente todos Es preciso evaluar regularmente todos los los procesos de TI, a medida que trascurre procesos de TI, a medida que trascurre el el tiempo para determinar su tiempo para determinar su calidad y el calidad y el cumplimiento de los cumplimiento de los requerimientos de requerimientos de control. De este control. De este modo, este dominio modo, este dominio corresponde al corresponde al seguimiento de la gerencia seguimiento de la gerencia sobre los procesos sobre los procesos de control de la de control de la organización y la garantía independiente organización y la garantía independiente

provista por la auditoria interna y externa provista por la auditoria interna y externa u obtenida de fuentes alternativas.u obtenida de fuentes alternativas.

PROCESOS DE TI

Adquisición eImplementación

Identificación de solucionesAdquisición y mantenimiento de SW aplicativoAdquisición y mantenimiento de arquitectura TIDesarrollo y mantenimiento de Procedimientos de TIInstalación y Acreditación de sistemasAdministración de Cambios

Planeación y Organización

Definir un plan estratégico de TIDefinir la arquitectura de informaciónDeterminar la dirección tecnológicaDefinir la organización y relaciones de TIManejo de la inversión en TIComunicación de la directrices GerencialesAdministración del Recurso HumanoAsegurar el cumplir requerimientos externosEvaluación de RiesgosAdministración de ProyectosAdministración de Calidad

PROCESOS DE TISe definen 34 objetivos de control generales (OCGs), uno para cada uno de los procesos de las TI

Servicios y Soporte

Definición del nivel de servicioAdministración del servicio de tercerosAdministración de la capacidad y el desempeñoAsegurar el servicio continuoGarantizar la seguridad del sistemaIdentificación y asignación de costosCapacitación de usuariosSoporte a los clientes de TIAdministración de la configuraciónAdministración de problemas e incidentesAdministración de datosAdministración de InstalacionesAdministración de Operaciones

Seguimiento

Seguimiento de los procesosEvaluar lo adecuado del control InternoObtener aseguramiento independienteProveer una auditoría independiente

PROCESOS DE TI

Las políticas, procedimientos prácticas y Las políticas, procedimientos prácticas y estructuras organizacionales diseñadas para estructuras organizacionales diseñadas para proveer una razonable confiabilidad de que proveer una razonable confiabilidad de que los objetivos del negocio serán alcanzados y los objetivos del negocio serán alcanzados y que los eventos indeseables serán prevenidos o que los eventos indeseables serán prevenidos o detectados y corregidosdetectados y corregidos

DEFINICIÓN DE CONTROL EN DEFINICIÓN DE CONTROL EN COBITCOBIT

Es la declaración del resultado deseable o el Es la declaración del resultado deseable o el propósito a lograr (propósito a lograr (el Queel Que) mediante la ) mediante la implantación de recomendaciones, procedimientos o implantación de recomendaciones, procedimientos o técnicas de control (técnicas de control (el Comoel Como) en determinada ) en determinada actividad de tecnología de la informaciónactividad de tecnología de la información

COBIT explicita cada objetivo del control a nivel de COBIT explicita cada objetivo del control a nivel de actividades actividades Los 34 OCGs propuestos se concretan en 302 objetivos de control detallados (OCDs).

DEFINICIÓN DE OBJETIVO DE DEFINICIÓN DE OBJETIVO DE CONTROL EN COBITCONTROL EN COBIT

La metodología CobiT - Estructura (iii)

Las tres dimensiones conceptuales de CobiT

COBIT: Estructura conceptualCOBIT: Estructura conceptual

DominiosDominios

ProcesosProcesos

ActividadesActividadesP

erso

nas

Sis

tem

as A

pli

cati

vos

Tec

no

log

ía

Dat

os

Inst

alac

ion

esRec

ursos

de TI

Recurs

os de

TI

Criterios de InformaciónCriterios de InformaciónP

roce

sos

de

TI

Pro

ceso

s d

e T

I

Calida

d

Segur

idad

Reque

rimien

tos

fiduc

iarios

Se puede enfocar desde tres puntos de vista :

Proyecto COBIT•Steering Comittee

representantes de distintos ámbitos

•Coordinación

ISACAF

•Grupos de investigación

USA, Europa y Australia

EL PRODUCTO COBIT 3ra EDICIÓN

Resumen Ejecutivo

Marco Referencial-Esquema Objetivos de

Alto Nivel

Lineamientos Gerenciales

Objetivos de Control

Detallados

Guías de Auditoría

Modelos de Madurez

Factores Críticos de Éxito

Indicadores Clave de

Rendimiento

Indicadores Clave de Logros

Herramientas de implementación

Executive Summary – Executive Summary – “Presentación del método”“Presentación del método” Framework -- Framework -- “Explicación del método”“Explicación del método” Control Objectives -- Control Objectives -- “Controles mínimos”“Controles mínimos”• Audit Guidelines -- Audit Guidelines -- “Como auditar”“Como auditar”• Management Guidelines -- Management Guidelines -- “Como medir la “Como medir la

performance”performance” Implementation Guide -- Implementation Guide -- “Como implementar el “Como implementar el

método”método”

ELEMENTOS

INFORMACIÓN

Efectividad Eficiencia

Confidencialidad Integridad

Disponibilidad Cumplimiento Confiabilidad

EVENTOS

Objetivos de negocio

Oportunidades de negocio

Requerimientos externos

RegulaciónRiesgos

DatosApplicaciones

TecnologíaInstalaciones

Recursos Humanos

ESTRUCTURA

Recursos de TIDatos, Aplicaciones

Tecnología, Instalaciones, Recurso Humano

Req. InformaciónEfectividad, Eficiencia,

Confidencialidad, Integridad, Disponibilidad,

Cumplimiento, Confiabilidad

CobiT

Objetivos del Negocio

Planeación y Organización

Definir un plan estratégico de TIDefinir la arquitectura de informaciónDeterminar la dirección tecnológicaDefinir la organización y relaciones de TIManejo de la inversión en TIComunicación de la directrices GerencialesAdministración del Recurso HumanoAsegurar el cumplir requerimientos externosEvaluación de RiesgosAdministración de ProyectosAdministración de Calidad


Identificación de solucionesAdquisición y mantenimiento de SW aplicativoAdquisición y mantenimiento de arquitectura TIDesarrollo y mantenimiento de Procedimientos de TIInstalación y Acreditación de sistemasAdministración de Cambios

Seguimiento

Seguimiento de los procesosEvaluar lo adecuado del control InternoObtener aseguramiento inndependienteProveer una auditoría independiente

Servicios y Soporte

Definición del nivel de servicioAdmistración del servicio de tercerosAdministración de la capacidad y el desempeñoAsegurar el servicio continuoGarantizar la seguridad del sistemaIdentificación y asignación de costosCapacitación de usuariosSoporte a los clientes de TIAdministración de la configuraciónAdministración de problemas e incidentesAdministración de datosAdministración de InstalacionesAdministración de Operaciones

MARCO DE REFERENCIA

Procesos del Negocio

Recursos de TI

DatosAplicacionesTecnología

InstalacionesRecurso Humano

Información

Lo que usted Obtiene

Lo que Usted Necesita

Criterios

Efectividad Eficiencia

Confidencialidad Integridad

Disponibilidad Cumplimiento Confiabilidad

Concuerdan

MARCO DE REFERENCIA

Prácticas

De Control

ObjetivosDe control

Requerimientos

de negocios

Procesos de TI

El control de

que satisfacen

se habilitan por

Diagrama de cascada

ASISTENTE DE NAVEGACIÓN

pers

onas

aplic

acio

nes

tecn

olog

ía

inst

alac

ione

sda

tos

Tres posiciones ventajosas

Criterios de información

Procesosde TI

Recursosde TI

efec

tivi

dad

efic

ienc

ia

Conf

iden

cial

idad

inte

grid

ad

disp

onib

ilida

d

cum

plim

ient

o

conf

iabi

lidad

S P

Declaraciones de Control

Prácticas de Control

es habilitado por las

considerando las

Procesos de TI

El contol de los

Requerimientosde Negocio

que satisface los

Planificación yOrganización


Entrega ySoporte

Monitoreo

Vínculo entre Procesos, Recursos y Criterios

El control sobre el proceso de:

administrar la seguridad de los sistemas

Satisface los requerimientos del negocio:

salvaguardar información contra uso, difusión o modificaciones no autorizadas, daño o pérdida

Considerando:

autorización, autenticación, uso de perfiles e identificaciones, firewalls, detección y protección de

virus, manejo de incidentes, etc.

Es posible por:

controles de acceso lógico que aseguren que el acceso a sistemas, datos y programas se encuentra restringido

a usuarios autorizados

Organización y planeación

Adquisición e implementación

Monitoreo

Entrega y soporte

efec

tivi

dad

efic

ienc

ia

Conf

iden

cial

idad

inte

grid

ad

disp

onib

ilida

d

cum

plim

ient

o

conf

iabi

lidad

SSSPP

OBJETIVOS DE CONTROL DE ALTO NIVEL: DS5

pers

onas

aplic

acio

nes

tecn

olog

ía

inst

alac

ione

sda

tos

•Administrar Medidas de Seguridad

•Identificación, Autenticación y Acceso

•Seguridad de Acceso a Datos en Línea

•Administración de Cuentas de Usuario

•Revisión Gerencial de Cuentas de Usuario

•Control de Usuarios sobre Cuentas de Usuario

•Vigilancia de Seguridad

•Clasificación de Datos

•Identificación y administración de asignación de derechos

•Reportes de Violación y de Actividades de Seguridad

•Manejo de Incidentes

•Reacreditación

•Confianza en Contrapartes

•Autorización de transacciones

•No negación

•Sendero Seguro

•Protección de funciones de seguridad

•Administración de Llaves Criptográficas

•Prevención, Detección y Corrección de Software "Malicioso”

•Arquitectura de Fire Walls y conexión a redes públicas

•Protección de Valores Electrónicos

Actividades de Control

Las cinco formas de utilizar COBITLas cinco formas de utilizar COBIT

Como una herramienta de comunicaciónComo una herramienta de comunicación

Como una herramienta de organizaciónComo una herramienta de organización

Como una herramienta para estructurar Como una herramienta para estructurar consensoconsenso

Como una herramienta de autoevaluación de TIComo una herramienta de autoevaluación de TI

Como una herramienta para determinar el Como una herramienta para determinar el alcance de la tarea de auditoríaalcance de la tarea de auditoría

COBIT PERMITE•Posibilidad de aplicar las prácticas en un amplio espectro de sistemas de información, independientemente de la tecnología empleada

•Cumplimiento de las generalmente aplicables y aceptadas prácticas para el control de TI

•Aumentar el valor de la empresa

•Gestión orientada hacia el enfoque de dueños de procesos

•Alineación de objetivos de TI con objetivos del negocio

•Utilización eficiente y eficaz de los recursos de TI

•Gestión medible y auditable

COBIT NECESITA

•CONCIENTIZACIÓN, CAPACITACIÓN Y ENTRENAMIENTO

•ADAPTACIÓN A LA ORGANIZACIÓN

•FIJAR ROLES Y RESPONSABILIDADES

•SER COMPLEMENTADA CON OTROS MODELOS QUE ME PERMITAN CONTAR CON UN GOBIERNO CORPORATIVO ADECUADO

Dominio: Planificación y organización• Este dominio cubre la estrategia y las tácticas y se

refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio.

• Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas.

DOMINIO: Planificación y OrganizaciónDOMINIO: Planificación y Organización

Proceso: 1Proceso: 1 Definición de un plan estratégico de TIDefinición de un plan estratégico de TI

Proceso: 2Proceso: 2 Definición de la arquitectura de la Definición de la arquitectura de la informacióninformación

Proceso: 3Proceso: 3 Determinación de la dirección Determinación de la dirección tecnológicatecnológica

Proceso: 4Proceso: 4 Definición de la organización y el Definición de la organización y el relacionamiento en TIrelacionamiento en TI

Proceso: 5Proceso: 5 Administración de la inversión en TIAdministración de la inversión en TI

Proceso: 6Proceso: 6 Comunicación de los objetivos y Comunicación de los objetivos y directivas directivas de la gerenciade la gerencia

Proceso: 7Proceso: 7 Administración de los recursos Administración de los recursos humanoshumanos

Proceso: 8Proceso: 8 Aseguramiento del cumplimiento de los Aseguramiento del cumplimiento de los requerimientos externosrequerimientos externos

Proceso: 9Proceso: 9 Evaluación de riesgosEvaluación de riesgos

Proceso: 10Proceso: 10 Administración de proyectosAdministración de proyectos

Proceso: 11Proceso: 11 Administración de la calidadAdministración de la calidad

DOMINIO: Planificación y OrganizaciónDOMINIO: Planificación y Organización

Dominio: Planificación y organización

• PO1 Definición de un plan Estratégico

– Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos de TI de negocio, para asegurar sus logros futuros.

– La definición de objetivos de negocio y necesidades de TI, la alta gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas generales de la organización.

– El inventario de soluciones tecnológicas e infraestructura actual, se deberá evaluar los sistemas existentes en términos de: nivel de automatización de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el propósito de determinar el nivel de soporte que reciben los requerimientos del negocio de los sistemas existentes.

– Los cambios organizacionales, se deberá asegurar que se establezca un proceso para modificar oportunamente y con precisión el plan a largo plazo de tecnología de información con el fin de adaptar los cambios al plan a largo plazo de la organización y los cambios en las condiciones de la TI

– Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos

Dominio: Planificación y organización• PO1 Definición de un plan Estratégico


• PO2 Definición de la Arquitectura de Información– Objetivo: Satisfacer los requerimientos de negocio, organizando

de la mejor manera posible los sistemas de información, a través de la creación y mantenimiento de un modelo de información de negocio, asegurándose que se definan los sistemas apropiados para optimizar la utilización de esta información, tomando en consideración:

– La documentación deberá conservar consistencia con las necesidades permitiendo a los responsables llevar a cabo sus tareas eficiente y oportunamente.

– El diccionario de datos, el cual incorporara las reglas de sintaxis de datos de la organización y deberá ser continuamente actualizado.

– La propiedad de la información y la clasificación de severidad con el que se establecerá un marco de referencia de clasificación general relativo a la ubicación de datos en clases de información.


• PO2 Definición de la Arquitectura de Información


• PO3 Determinación de la dirección tecnológica– Objetivo: Aprovechar al máximo de la tecnología disponible o tecnología

emergente, satisfaciendo los requerimientos de negocio, a través de la creación y mantenimiento de un plan de infraestructura tecnológica, tomando en consideración:

– La capacidad de adecuación y evolución de la infraestructura actual, que deberá concordar con los planes a largo y corto plazo de tecnología de información y debiendo abarcar aspectos tales como arquitectura de sistemas, dirección tecnológica y estrategias de migración.

– El monitoreo de desarrollos tecnológicos que serán tomados en consideración durante el desarrollo y mantenimiento del plan de infraestructura tecnológica.

– Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuación y evolución de la infraestructura), con lo que se evaluará sistemáticamente el plan de infraestructura tecnológica.

– Planes de adquisición, los cuales deberán reflejar las necesidades identificadas en el plan de infraestructura tecnológica.


• PO3 Determinación de la dirección tecnológica


• PO4 Definición de la organización y de las relaciones de TI– Objetivo: Prestación de servicios de TI– El comité de dirección el cual se encargara de vigilar la

función de servicios de información y sus actividades.– Supervisión– Segregación de funciones– Los roles y responsabilidades, – La descripción de puestos– Los niveles de asignación de personal– El personal clave


• PO4 Definición de la organización y de las relaciones de TI

Dominio: Planificación y organización• PO5 Manejo de la inversión

– Objetivo: tiene como finalidad la satisfacción de los requerimientos de negocio, asegurando el financiamiento y el control de desembolsos de recursos financieros.

Dominio: Planificación y organización• PO6 Comunicación de la dirección y aspiraciones de la

gerencia– Objetivo: Asegurar el conocimiento y comprensión de los

usuarios sobre las aspiraciones del alto nivel

Dominio: Planificación y organización• PO7 Administración de recursos humanos

– Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los requerimientos de negocio, a través de técnicas sólidas para administración de personal.

Dominio: Planificación y organización• PO8 Asegurar el cumplimiento con los requerimientos

Externos– Objetivo: Cumplir con obligaciones legales, regulatorias y

contractuales– Para ello se realiza una identificación y análisis de los requerimientos

externos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos

Dominio: Planificación y organización• PO9 Evaluación de riesgos

– Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI

– Para ello se logra la participación de la propia organización en la identificación de riesgos de TI y en el análisis de impacto, tomando medidas económicas para mitigar los riesgos

Dominio: Planificación y organización• PO10 Administración de proyectos

– Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversión

– Para ello se realiza una identificación y priorización de los proyectos en línea con el plan operacional por parte de la misma organización. Además, la organización deberá adoptar y aplicar sólidas técnicas de administración de proyectos para cada proyecto emprendido

Proceso: 12Proceso: 12 Identificación de solucionesIdentificación de soluciones

Proceso: 13Proceso: 13 Adquisición y mantenimiento de software Adquisición y mantenimiento de software de aplicaciónde aplicación

Proceso: 14Proceso: 14 Adquisición y mantenimiento de la Adquisición y mantenimiento de la infraestructura tecnológicainfraestructura tecnológica

Proceso: 15Proceso: 15 Desarrollo y mantenimiento de Desarrollo y mantenimiento de procedimientos de TIprocedimientos de TI

Proceso: 16Proceso: 16 Instalación y certificación de sistemasInstalación y certificación de sistemas

Proceso: 17Proceso: 17 Administración de cambiosAdministración de cambios

DOMINIO: Adquisición e ImplantaciónDOMINIO: Adquisición e Implantación

Dominio: Adquisición e implementación

• Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

Dominio: Adquisición e implementación• AI1 Identificación de Soluciones Automatizadas

– Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario

– Para ello se realiza un análisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios

Dominio: Adquisición e implementación• AI2 Adquisición y mantenimiento del software aplicativo

– Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.

– Para ello se definen declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación estructurada con entregables claros

Dominio: Adquisición e implementación• AI3 Adquisición y mantenimiento de la infraestructura

tecnológica– Objetivo: Proporcionar las plataformas apropiadas para soportar

aplicaciones de negocios– Para ello se realizara una evaluación del desempeño del hardware

y software, la provisión de mantenimiento preventivo de hardware y la instalación, seguridad y control del software del sistema

Dominio: Adquisición e implementación• AI4 Desarrollo y mantenimiento de procedimientos

– Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas.

– Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de servicio y material de entrenamiento

Dominio: Adquisición e implementación• AI5 Instalación y aceptación de los sistemas

– Objetivo: Verificar y confirmar que la solución sea adecuada para el propósito deseado

– Para ello se realiza una migración de instalación, conversión y plan de aceptaciones adecuadamente formalizadas

Dominio: Adquisición e implementación• AI6 Administración de los cambios

– Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.

– Esto se hace posible a través de un sistema de administración que permita el análisis, implementación y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual

Proceso: 18Proceso: 18 Definición de los niveles del servicioDefinición de los niveles del servicio

Proceso: 19Proceso: 19 Administración de los servicios prestados Administración de los servicios prestados por tercerospor terceros

Proceso: 20Proceso: 20 Administración de la capacidad y del Administración de la capacidad y del desempeño del sistemadesempeño del sistema

Proceso: 21Proceso: 21 Aseguramiento de la continuidad del Aseguramiento de la continuidad del servicioservicio

Proceso: 22Proceso: 22 Establecimiento de pautas para la Establecimiento de pautas para la seguridad de los sistemasseguridad de los sistemas

Proceso: 23Proceso: 23 Identificación e imputación de costosIdentificación e imputación de costos

DOMINIO: Entrega y SoporteDOMINIO: Entrega y Soporte

Proceso: 24Proceso: 24 Educación y capacitación de los usuariosEducación y capacitación de los usuarios

Proceso: 25Proceso: 25 Asistencia y asesoramiento a los clientes de Asistencia y asesoramiento a los clientes de TITI

Proceso: 26Proceso: 26 Administración de la configuraciónAdministración de la configuración

Proceso: 27Proceso: 27 Administración de problemas e incidentesAdministración de problemas e incidentes

Proceso: 28Proceso: 28 Administración de datosAdministración de datos

Proceso: 29Proceso: 29 Administración de instalacionesAdministración de instalaciones

Proceso: 30Proceso: 30 Administración de las operacionesAdministración de las operaciones

DOMINIO: Entrega y SoporteDOMINIO: Entrega y Soporte

Dominio: Prestación y soporte

• Procesos– Ds1 Definición de niveles de servicio– Ds2 Administración de servicios prestados por terceros– Ds3 Administración de desempeño y capacidad– Ds4 Asegurar el Servicio Continuo– Ds5 Garantizar la seguridad de sistemas– Ds6 Educación y entrenamiento de usuarios– Ds7 Identificación y asignación de costos– Ds8 Apoyo y asistencia a los clientes de TI– Ds9 Administración de la configuración– Ds10 Administración de Problemas– Ds11 Administración de Datos– Ds12 Administración de las instalaciones– Ds13 Administración de la operación

Dominio: Prestación y soporte

• En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios.

• Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.

Dominio: Prestación y soporte• Ds1 Definición de niveles de servicio

– Objetivo: Establecer una comprensión común del nivel de servicio requerido

– Para ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeño contra los cuales se medirá la cantidad y la calidad del servicio

Dominio: Prestación y soporte• Ds2 Administración de servicios prestados por terceros

– Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estén claramente definidas, que cumplan y continúen satisfaciendo los requerimientos

– Para ello se establecen medidas de control dirigidas a la revisión y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las políticas de la organización

Dominio: Prestación y soporte• Ds3 Administración de desempeño y capacidad

– Objetivo: Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado.

– Para ello se realizan controles de manejo de capacidad y desempeño que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamaño de aplicaciones, manejo y demanda de recursos

Dominio: Prestación y soporte• Ds4 Asegurar el Servicio Continuo

– Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en caso de interrupciones

– Para ello se tiene un plan de continuidad probado y funcional, que esté alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio

Dominio: Prestación y soporte• Ds5 Garantizar la seguridad de sistemas

– Objetivo: salvaguardar la información contra uso no autorizados, divulgación, modificación, daño o pérdida

– Para ello se realizan controles de acceso lógico que aseguren que el acceso a sistemas, datos y programas está restringido a usuarios autorizados

Dominio: Prestación y soporte• Ds6 Educación y entrenamiento de usuarios

– Objetivo: Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados

– Para ello se realiza un plan completo de entrenamiento y desarrollo.

Dominio: Prestación y soporte• Ds7 Identificación y asignación de costos

– Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI

– Para ello se realiza un sistema de contabilidad de costos que asegure que éstos sean registrados, calculados y asignados a los niveles de detalle requeridos

Dominio: Prestación y soporte• Ds8 Apoyo y asistencia a los clientes de TI

– Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente

– Para ello se realiza un Buró de ayuda que proporcione soporte y asesoría de primera línea

Dominio: Prestación y soporte• Ds9 Administración de la configuración

– Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de cambios

– Para ello se realizan controles que identifiquen y registren todos los activos de TI así como su localización física y un programa regular de verificación que confirme su existencia

Dominio: Prestación y soporte• Ds10 Administración de Problemas

– Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder.

– Para ello se necesita un sistema de manejo de problemas que registre y dé seguimiento a todos los incidentes, además de un conjunto de procedimientos de escalamiento de problemas para resolver de la manera más eficiente los problemas identificados

Dominio: Prestación y soporte• Ds11 Administración de Datos

– Objetivo: Asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento.

– Lo cual se logra a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI

Dominio: Prestación y soporte• Ds12 Administración de las instalaciones

– Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad física.

Dominio: Prestación y soporte• Ds13 Administración de la operación

– Objetivo: Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo regularmente y de una manera ordenada

– Esto se logra a través de una calendarización de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades

Proceso: 31Proceso: 31 Monitoreo de los procesosMonitoreo de los procesos

Proceso: 32Proceso: 32 Evaluación de la adecuación del control Evaluación de la adecuación del control internointerno

Proceso: 33Proceso: 33 Obtención de aseguramiento independienteObtención de aseguramiento independiente

Proceso: 34Proceso: 34 Provisión de auditoría independienteProvisión de auditoría independiente

DOMINIO: MonitoreoDOMINIO: Monitoreo

Dominio: Monitoreo

• Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Este es, precisamente, el ámbito de este dominio.

Dominio: Monitoreo

• Procesos– M1 Monitoreo del Proceso– M2 Evaluar lo adecuado del Control Interno– M3 Obtención de Aseguramiento Independiente – M4 Proveer Auditoria Independiente

Dominio: Monitoreo• M1 Monitoreo del Proceso

– Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeño gerenciales y la implementación de sistemas de soporte así como la atención regular a los reportes emitidos.

Dominio: Monitoreo• M2 Evaluar lo adecuado del Control Interno

– Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.

– Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a través de actividades administrativas y de supervisión, comparaciones, reconciliaciones y otras acciones rutinarias., evaluar su efectividad y emitir reportes sobre ellos en forma regular.

Dominio: Monitoreo• M4 Proveer Auditoria Independiente

– Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prácticas de su implementación, lo que se logra con el uso de auditorias independientes desarrolladas a intervalos regulares de tiempo.

– Para ello la gerencia deberá establecer los estatutos para la función de auditoria, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoria

• En resumen, la estructura conceptual se puede enfocar desde tres puntos de vista:– Los criterios empresariales que deben satisfacer la

información– Los recursos de las TI– Los procesos de TI

Las tres dimensiones conceptuales de COBIT

Auditoria Informatica _ COBIT

Documents

Transcript of Auditoria Informatica _ COBIT