Professional Documents
Culture Documents
METODOS DE CONTROL EN TI
PROCESOS DE SOPORTE DOCUMENTACIN GESTIN DE CONFIGURACIN ASEGURAMIENTO DE VERIFICACIN VALIDACIN REVISIN CONJUNTA AUDITORA RESOLUCION DE PROBLEMAS
MANTENIMIENTO
Para cada auditora las partes debern acordar siguientes puntos: agenda; productos software ( y resultados de alguna actividad ) que sern revisados; alcance y procedimientos de la auditora; y criterios de entrada y salida para la auditora. Los problemas descubiertos durante las auditoras se registrarn y se pasarn al Proceso de Resolucin de Problemas.
Despus de completar una auditora, los resultados se documentarn y se proporcionarn a la parte auditada.
Las partes debern acordar el resultado de la auditora y cualquier responsabilidad y criterio de cierre.
Los informes de pruebas son correctos y las discrepancias entre resultados actuales y esperados han sido resueltas. La documentacin de usuario cumple los estndares especificados.
Las actividades han sido conducidas de acuerdo con los requerimientos, planes y contratos aplicables. Los costes y calendarios se ajustan a los planes establecidos.
DEFINICIN
Control OBjectives for Information and Related Technology
(Objetivos de Control para Tecnologa de la Informacin y Tecnologas relacionadas)
DEFINICIN
COBIT es un modelo de gestin y control de TI, con el objetivo de consensuar: los riesgos del negocio las necesidades de control
MISIN
Investigar, desarrollar, publicitar y promover un actualizado, confiable e internacionalmente aceptado conjunto de Objetivos para el control de TI, a ser utilizados en el desarrollo habitual de las operaciones tanto por gerentes del negocio, como por auditores.
CARACTERSTICAS
Orientado al negocio
Alineado con estndares y regulaciones de facto (COSO, IFAC, IIA, ISACA, AICPA) ntegro (basado en una revisin crtica y analtica de las tareas y actividades en TI) Flexible
Potencial de TI para efectuar cambios profundos en las organizaciones, crear nuevas oportunidades de negocios y reducir los costos
Incremento de la necesidad de contar con un modelo adecuado de gobernabilidad corporativa (corporate governance) Nuevas normativas (Sarbanes-Oxley act, comunicacin 2003/179, NTPs)
La Metodologa CobiT
Control Objectives for Information and Related Technologies. Propuesta por la ISACF (Information Systems Audit and Control Foundation). Es la principal propuesta metodolgica realizada a nivel internacional para abordar la Auditora de Sistemas de Informacin. Supone un paso muy importante al considerar que, a efectos de auditora, el sistema de informacin de una organizacin es UNICO, aunque ciertos procesos se realicen de forma manual y otros mediante el uso de la informtica. La filosofa de CobiT asimila los principios de reingeniera de empresas (BPR) y divide las funciones que ha de realizar un sistema de informacin en procesos que, a su vez, estn subdivididos en actividades y tareas ms simples. Los sistemas de informacin estn orientados a los procesos y por tanto su auditora se debe adaptar a estos conceptos.
PRINCIPIOS DE COBIT
Requerimientos del negocio
Procesos de TI
Recursos de TI
El concepto o enfoque del marco COBIT, se basa en que el control en TI se logra obteniendo la informacin necesaria para apoyar los requerimientos procesos del negocio, y considerando la informacin como resultado de la aplicacin combinada de recursos de TI que necesitan ser administrados por procesos de TI
{ {
Eficiencia:
Disponibilidad:
se relaciona con el hecho de que la informacin se encuentre disponible cuando la necesite el proceso de negocio, en el presente y en el futuro. Tambin se asocia con la proteccin de los recursos necesarios y las capacidades asociadas.
Cumplimiento: se refiere al cumplimiento de las leyes, reglamentaciones y disposiciones contractuales a las que est sujeto el proceso de negocio, vale decir, los criterios de negocio impuestos a nivel externo.
Confiabilidad de la informacin: se vincula con la provisin de la informacin adecuada, para que la gerencia maneje la entidad y ejerza sus responsabilidades de presentacin de informes financieros y de cumplimiento.
RECURSOS DE TI
Los recursos de TI, identificados en COBIT, para alcanzar los objetivos del negocio son los siguientes : Datos: objetos en su sentido ms amplio, es decir, internos y externos, estructurados y no estructurados, grficos, sonidos, etc. Sistemas de aplicacin: se entiende por tales la suma de los procedimientos manuales y programados.
Tecnologa: la tecnologa abarca el hardware, los sistemas operativos, los sistemas de administracin de bases de datos, las redes, los multimedios, etc. Instalaciones: recursos diversos utilizados para alojar y dar soporte a los sistemas de informacin Personas: habilidades, aptitudes, conocimientos y productividad del personal para planificar, organizar, adquirir, entregar, brindar soporte y monitorear los sistemas y servicios de informacin.
PROCESOS DE TI
Los recursos de las Tecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la informacin que la empresa necesita para alcanzar sus objetivos.
PROCESOS DE TI
Dominios Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional Conjuntos o series de actividades unidas con delimitacin o cortes de control. Acciones requeridas para lograr un resultado medible. Las actividades tienen un ciclo de vida mientras que las tareas son discretas.
Procesos
Actividades o tareas
PROCESOS DE TI
Los procesos se agrupan en cuatro grandes dominios: Planeacin y Organizacin (Planning and Organization) Adquisicin e implementacin (Acquisition and Implementation) Prestacin de Servicios y Soporte (Delivery and Support) Seguimiento (monitoring)
PROCESOS DE TI
Las definiciones de los cuatro dominios identificados para la clasificacin de alto nivel son: Planificacin y Organizacin Este dominio abarca aspectos estratgicos y tcticos y se vincula con la identificacin de la forma en que la tecnologa de informacin puede contribuir ms adecuadamente con el logro de los objetivos del negocio. Adems, es preciso planificar, comunicar y administrar la realizacin de la visin estratgica desde distintas perspectivas. Por ltimo, debe existir una correcta organizacin e infraestructura tecnolgica.
PROCESOS DE TI
Adquisicin e Implementacin Para realizar la estrategia de Ti, deben identificarse, desarrollarse o adquirirse soluciones de Ti y luego implantarse e integrarse en el proceso de negocio. Adems, este dominio abarca los cambios y el mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.
PROCESOS DE TI
Entrega y Soporte
En este dominio nos ocupamos de la entrega o prestacin efectiva de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitacin. Para prestar los servicios, deben establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento real de los datos por los sistemas de aplicacin, a menudo clasificados como controles de aplicaciones.
PROCESOS DE TI
Monitoreo Es preciso evaluar regularmente todos los procesos de TI, a medida que trascurre el tiempo para determinar su calidad y el cumplimiento de los requerimientos de control. De este modo, este dominio corresponde al seguimiento de la gerencia sobre los procesos de control de la organizacin y la garanta independiente provista por la auditoria interna y externa u obtenida de fuentes alternativas.
PROCESOS DE TI
Se definen 34 objetivos de control generales (OCGs), uno para cada uno de los procesos de las TI
Planeacin y Organizacin
Adquisicin e Implementacin
Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de TI Manejo de la inversin en TI Comunicacin de la directrices Gerenciales Administracin del Recurso Humano Asegurar el cumplir requerimientos externos Evaluacin de Riesgos Administracin de Proyectos Administracin de Calidad Identificacin de soluciones Adquisicin y mantenimiento de SW aplicativo Adquisicin y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalacin y Acreditacin de sistemas Administracin de Cambios
PROCESOS DE TI
Servicios y Soporte Definicin del nivel de servicio Administracin del servicio de terceros Administracin de la capacidad y el desempeo Asegurar el servicio continuo Garantizar la seguridad del sistema Identificacin y asignacin de costos Capacitacin de usuarios Soporte a los clientes de TI Administracin de la configuracin Administracin de problemas e incidentes Administracin de datos Administracin de Instalaciones Administracin de Operaciones Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditora independiente
Seguimiento
Criterios de Informacin
Dominios
Procesos de TI
Procesos
Actividades
Proyecto COBIT
Steering Comittee
representantes de distintos mbitos Coordinacin ISACAF Grupos de investigacin USA, Europa y Australia
EL PRODUCTO COBIT
3ra EDICIN
Resumen Ejecutivo Herramientas de implementacin
Lineamientos Gerenciales
Guas de Auditora
Modelos de Madurez
ELEMENTOS
Executive Summary Presentacin del mtodo Framework -- Explicacin del mtodo Control Objectives -- Controles mnimos Audit Guidelines -- Como auditar Management Guidelines -- Como medir la performance Implementation Guide -- Como implementar el mtodo
ESTRUCTURA
EVENTOS
Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulacin Riesgos
CobiT
Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de TI Manejo de la inversin en TI Comunicacin de la directrices Gerenciales Administracin del Recurso Humano Asegurar el cumplir requerimientos externos Evaluacin de Riesgos Administracin de Proyectos Administracin de Calidad
Req. Informacin
Seguimiento
Planeacin y Organizacin
Recursos de TI
Definicin del nivel de servicio Admistracin del servicio de terceros Administracin de la capacidad y el desempeo Asegurar el servicio continuo Garantizar la seguridad del sistema Identificacin y asignacin de costos Capacitacin de usuarios Soporte a los clientes de TI Administracin de la configuracin Administracin de problemas e incidentes Administracin de datos Administracin de Instalaciones Administracin de Operaciones
Adquisicin e Implementacin
Servicios y Soporte
Identificacin de soluciones Adquisicin y mantenimiento de SW aplicativo Adquisicin y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalacin y Acreditacin de sistemas Administracin de Cambios
MARCO DE REFERENCIA
Lo que usted Obtiene
Criterios
Informacin
Recursos de TI
Datos Aplicaciones Tecnologa Instalaciones Recurso Humano
Concuerdan
MARCO DE REFERENCIA
El control de
Procesos de TI que satisfacen Requerimientos
de negocios
Prcticas
De Control
Diagrama de cascada
ASISTENTE DE NAVEGACIN
Planificacin y Organizacin Adquisicin e Implementacin Entrega y Soporte Monitoreo
Procesos de TI
que satisface los
Criterios de informacin
Requerimientos de Negocio
Declaraciones de Control
considerando las
Procesos de TI
Recursos de TI
Prcticas de Control
Entrega y soporte
Monitoreo
Es posible por:
controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas se encuentra restringido a usuarios autorizados
Considerando:
autorizacin, autenticacin, uso de perfiles e identificaciones, firewalls, deteccin y proteccin de virus, manejo de incidentes, etc.
P P S S S
Actividades de Control
Administrar Medidas de Seguridad Reacreditacin
Confianza en Contrapartes
Autorizacin de transacciones No negacin Sendero Seguro
Como una herramienta de autoevaluacin de TI Como una herramienta para determinar el alcance de la tarea de auditora
COBIT PERMITE
Posibilidad de aplicar las prcticas en un amplio espectro de sistemas de informacin, independientemente de la tecnologa empleada Cumplimiento de las generalmente aplicables y aceptadas prcticas para el control de TI Aumentar el valor de la empresa Gestin orientada hacia el enfoque de dueos de procesos Alineacin de objetivos de TI con objetivos del negocio Utilizacin eficiente y eficaz de los recursos de TI
COBIT NECESITA
CONCIENTIZACIN, CAPACITACIN Y ENTRENAMIENTO
ADAPTACIN A LA ORGANIZACIN
COBIT
Proceso: 3
Proceso: 4 Proceso: 5 Proceso: 6
Proceso: 10
Proceso: 11
Administracin de proyectos
Administracin de la calidad
Identificacin de soluciones
Adquisicin y mantenimiento de software de aplicacin
Proceso: 14
Proceso: 15 Proceso: 16 Proceso: 17
Proceso: 20
Proceso: 21 Proceso: 22
Proceso: 23
Proceso: 26
Proceso: 27 Proceso: 28 Proceso: 29 Proceso: 30
Administracin de la configuracin
Administracin de problemas e incidentes Administracin de datos Administracin de instalaciones Administracin de las operaciones
Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI Para ello se realiza un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos
Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de cambios Para ello se realizan controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia
Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder. Para ello se necesita un sistema de manejo de problemas que registre y d seguimiento a todos los incidentes, adems de un conjunto de procedimientos de escalamiento de problemas para resolver de la manera ms eficiente los problemas identificados
Objetivo: Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad fsica.
Objetivo: Asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada Esto se logra a travs de una calendarizacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades
DOMINIO: Monitoreo
Proceso: 31 Proceso: 32 Proceso: 33 Proceso: 34 Monitoreo de los procesos Evaluacin de la adecuacin del control interno Obtencin de aseguramiento independiente Provisin de auditora independiente
Dominio: Monitoreo
Todos los procesos de una organizacin necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Este es, precisamente, el mbito de este dominio.
Dominio: Monitoreo
Procesos
M1 Monitoreo del Proceso M2 Evaluar lo adecuado del Control Interno M3 Obtencin de Aseguramiento Independiente M4 Proveer Auditoria Independiente
Dominio: Monitoreo
M1 Monitoreo del Proceso
Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeo gerenciales y la implementacin de sistemas de soporte as como la atencin regular a los reportes emitidos.
Dominio: Monitoreo
Dominio: Monitoreo
Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas de su implementacin, lo que se logra con el uso de auditorias independientes desarrolladas a intervalos regulares de tiempo. Para ello la gerencia deber establecer los estatutos para la funcin de auditoria, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoria
FIN