COBIT: OBJETIVOS DE CONTROL

PARA LA INFORMACIÓN Y

TECNOLOGÍAS RELACIONADAS

INTRODUCCIÓN

El significado de CObIT viene del ingles “Control Objectives for Information and related Technology”, que significa Objetivos de Control para la información y Tecnologías relacionadas.

Conjunto de buenas prácticas para el manejo de información que ha sido creado por la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés: Information Systems Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (ITGI, en inglés: IT Governance Institute)

INTRODUCCIÓN

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las mini computadoras, computadoras personales y ambientes distribuidos.

Esta basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

INTRODUCCIÓN

CObIT ha tenido varias ediciones:

Siendo publicada la primera en 1996;

La segunda edición en 1998;

La tercera edición en 2000 (la edición on-line estuvo disponible en 2003);

La cuarta edición en Diciembre de 2005,

La versión 4.1 está disponible desde Mayo de 2007 y;

La Versión 5 esta disponible en junio del 2012, la misma que se consolida e integra con la Versión 4.1 se basa significativamente del modelo de negocio para la seguridad de la información.

SUS SIGLAS EN INGLES SON:

C Control

OB OBjectives

I for Information

T and Related Technology

MISIÓN DE COBIT

La misión de CObIT es:

“Investigar, desarrollar, publicar y promover un conjunto actualizado e internacional de objetivos de control de Tecnología de la Información generalmente aceptado, para su uso diario por los administradores del negocio y los auditores”.

ANTECEDENTES

El gremio de profesionales en TI se mostró preocupado por la falta de una guía estándar sobre el control en TI, que sirviera para diferentes grupos de interés.

LA ISACF, como órgano que agrupa a profesionales de diferentes áreas interesados en el control de TI, se dio a la tarea de desarrollar un conjunto común de conceptos sobre la materia.

ISACF Information Systems Audit and Control Foundation

LA NECESIDAD DE COBIT

Competencia global sin proteccionismo

Mayor poder de negociación de clientes y proveedores

Encarecimiento de recursos

Demanda de valor agregado

Exigencia de mayor velocidad en servicios

Adelgazamiento de márgenes de utilidad

Nuevas oportunidades de negocios internacionales

CARACTERÍSTICAS DE COBIT

Orientación al negocio

Ha sido diseñado como un estándar habitualmente aceptado y ajustable a las buenas prácticas de seguridad y control en TIC.

Suministra herramientas al responsable de los procesos que facilitan el cumplimiento de esta tarea.

Tiene una premisa práctica y simple: con el fin de facilitar la información que la organización requiere para alcanzar sus objetivos, señala que los recursos de TIC deben ser administrados por un conjunto de procesos de TIC agrupados en forma natural.

CARACTERÍSTICAS DE COBIT

Es la herramienta innovadora para el manejo de TIC que ayuda a la gerencia a comprender y administrar los riesgos asociados con TIC

Está desarrollado no solo para ser utilizado por usuarios y auditores, sino que en forma más importante, esta diseñado para ser utilizado como un Check List detallado para los responsables de cada proceso.

GERENTES Balancear la inversión en

controles, en un ambiente de

riesgos frecuentemente

impredecible

USUARIOS Obtener el

aseguramiento de los controles y

seguridades que proveen los servicios

de IT internos / Externos

AUDITORES Sustentar ante la gerencia su opinión de la efectividad del control interno y actuar como asesores del negocio proactivos

AUDIENCIAS COBIT

Mejores Prácticas para la gestión y Control (IT)

SUS PRODUCTOS

• Para la Alta Gerencia Resumen ejecutivo

• Para los directivos de Sistemas y Auditoría de Sistemas

Marco referencial (framework)

• Para la Gerencia media y áreas de Sistemas

Objetivos de control

• Para los Auditores de Sistemas Guías de auditoría

• Para la alta Dirección y áreas de Gestión y Aseguramiento de Calidad

Directrices Gerenciales

RESUMEN EJECUTIVO

Proporciona a la alta gerencia un entendimiento más detallado de los conceptos clave y principios de CObIT e identifica los cuatro dominios de CObIT y los correspondientes 34 procesos

MARCO REFERENCIAL

(FRAMEWORK)

El Marco Referencial describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la información y los recursos de TI que son impactados en forma primaria por cada objetivo de control.

OBJETIVOS DE CONTROL

Contienen declaraciones de los resultados deseados o propósitos a ser alcanzados mediante la implementación de 302 objetivos de control detallados y específicos a través de los 34 procesos de TI

GUÍA DE AUDITORÍA

Hacen una presentación del proceso generalmente aceptado de auditoría (obtener entendimiento, evaluar los controles, evaluar el cumplimiento y comprobar los riesgos).

Algunas son Guías genéricas que identifican varias tareas que se realizan en el análisis de cualquier proceso dentro de un objetivo de control.

Otras son tareas orientadas a procesos específicos para proveer a la Gerencia la seguridad que los controles funcionan.

DIRECTRICES GERENCIALES

Dirigidas a la Alta gerencia.

Genéricas y orientadas a la acción con el propósito de responder las siguientes preguntas:

Qué tan lejos debemos ir y el costo estará justificado por el beneficio?

Cuáles son los indicadores de mejor rendimiento?

Cuáles son los factores Críticos de Éxito?

Cuales son los riesgos de no lograr nuestros objetivos?

Qué hacen otros?

Cómo nos podemos medir y comparar?

ESTRUCTURA DE COBIT

Proceso de TI • El control de

Requerimiento de Negocio • Que satisface

Declaración de Control

• Es habilitado por

Prácticas de control • Considerando

COMO SE RELACIONAN

Recursos de TI

• Datos

• Sistemas de Información

• Tecnología

• Instalaciones

• Recursos humanos

Procesos de trabajo

• Planeación y organización

• Adquisición e implementación

• Prestación de servicios y soporte

• Monitoreo

Requerimientos de negocio

• Efectividad

• Eficiencia

• Confidencialidad

• Integridad

• Disponibilidad

• Cumplimiento

• Confiabilidad de la información

DOMINIOS

Planeación y Organización - Planning and organization -

Adquisición e Implementación - Acquisition and implementation -

Prestación de Servicios y Soporte - Delivery and support -

Monitoreo - Monitoring -

20

PROCESOS

Planeación y Organización Definir un Plan Estratégico de Tecnología de Información

Definir la Arquitectura de Información

Determinar la dirección tecnológica

Definir la Organización y las Relaciones con TI

Administrar la Inversión en Tecnología de Información

Comunicar la dirección y aspiraciones de la gerencia

Administrar Recursos Humanos

Asegurar el Cumplimiento de Requerimientos Externos

Evaluar Riesgos

Administrar de proyectos

Administrar Calidad

21

PROCESOS

Adquisición e Implementación:

Identificar Soluciones

Adquirir y Mantener Software de Aplicación

Adquirir y Mantener la Arquitectura de Tecnología

Desarrollar y Mantener Procedimientos relacionados con Tecnología de Información

Instalar y Acreditar Sistemas

Administrar Cambios

PROCESOS

Prestación de Servicios y Soporte: Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeño y Capacidad Asegurar un Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a Usuarios Apoyar y Asesorar a los Clientes de Tecnología de

Información Administrar la Configuración Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones

23

PROCESOS

Monitoreo:

Monitorear el proceso

Evaluar lo adecuado del control interno

Obtener aseguramiento independiente

Proporcionar auditoría independiente

OBJETIVOS DE CONTROL

Objetivo de control: “La gerencia debe definir procedimientos específicos para asegurar que un contrato formal sea definido y acordado para cada relación de servicios con un proveedor”.

Prestación de servicio y soporte (dominio)

Administrar servicios de terceros (proceso)

Contratos con terceros (actividad o tarea).

OBJETIVOS DE CONTROL

Encadena los procesos a los Objetivos de Control

Controles sobre los procesos de TI sobre el establecimiento de un Plan Estratégico de Sistemas; que satisfacen los requerimientos del negocio establecidos para lograr un balance óptimo entre las oportunidades de TI y los requerimientos del negocio así como asegurar su cumplimiento; Teniendo en consideración la definición de los objetivos del negocio y las necesidades de TI

PROCESO DE IMPLEMENTACIÓN

A. Revise los Objetivos de Control de alto nivel y seleccione los que apliquen a su auditoría.

B. Describa los riesgos (exposiciones o efectos) que pueden resultar de la falla del objetivo de control seleccionado en el paso A.

C. Seleccione de los Objetivos de Control detallados, aquellos que apliquen a este proceso. Generalmente usted debe solo revisar los de alto nivel escogidos en el paso A.

27

PROCESO DE IMPLEMENTACIÓN

D. Utilizando las Guías de Auditoría enumere los procedimientos de auditoría a ser ejecutados. Usted debe escoger aquellos procedimientos que estén relacionados con el objetivo de control seleccionado en el paso C.

E. Para completar el trabajo puede ser necesario reallizar pruebas de acuerdo con la plataforma que está siendo revisada. Por ejemplo, los manuales del sistema de administración de bases de datos seleccionado.

28