Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas Agenda
Significado Gobierno de TI Caractersticas Audiencia Principios

COBIT

Jaime E. Daz Snchez Ing. Sistemas C.I.P. 73304 jdiazunt@yahoo.com

Recursos Marco de trabajo Modelos de madurez

2

Universidad Nacional de Trujillo

Auditora de Sistemas Qu significa COBIT?
COBIT es un acrnimo formado por
las siglas derivadas de

Universidad Nacional de Trujillo

Auditora de Sistemas Gobierno de TI Es el conjunto de acciones que realiza el rea de TI en coordinacin con la Alta Direccin para movilizar sus recursos de la forma ms eficiente en respuesta a requisitos regulatorios, operativos o del negocio.

Control OBjectives for Information and related Technology Misin:

Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de Gerentes de empresas y Auditores. 3

Universidad Nacional de Trujillo

Auditora de Sistemas Gobierno de TI Constituye una parte esencial del gobierno de la empresa en su conjunto y aglutina la estructura organizativa y directiva necesaria para asegurar que TI soporta y facilita el desarrollo de los objetivos estratgicos definidos.

Universidad Nacional de Trujillo

Auditora de Sistemas reas de enfoque del Gobierno de TI

COBIT - Pgina 1

Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas COBIT sus antecedentes
COBIT ha sido desarrollado como un estndar generalmente aplicable y aceptado para las buenas prcticas de seguridad y control en Tecnologa de Informacin (TI) COBIT es la herramienta innovadora para el gobierno de TI .

Universidad Nacional de Trujillo

Auditora de Sistemas Caractersticas
COSO (Committee Of Sponsoring Org. of the Treadway OECD (Organization for Economic Cooperation and ISO 9003 (International Standards Organization) NIST (National Institute of Standards and Technology) DTI (Department of Trade and Industry of the U.K.) ITSEC (Information Technology Security Evaluation Criteria Europa) Commission)

Development)

COBIT se fundamenta en los Objetivos de Control existentes de la Information Systems Audit and Control Foundation (ISACF), mejorados a partir de estndares internacionales tcnicos, profesionales, regulatorios y especficos para la industria, tanto existentes como en surgimiento.

7

TCSEC (Trusted Computer Evaluation Criteria - Orange Book-E.U.) IIA SAC (Institute of Internal Auditors - Systems Auditability and Control) IS Auditing Standards (IS Auditing Standards Japan)
8

Universidad Nacional de Trujillo

Auditora de Sistemas Caractersticas
Orientado el negocio: COBIT ayuda a alinear IT con el negocio. Orientado a los procesos: Al medir el desempeo de IT se soporta mejor la estrategia del negocio. Dirigido por las mediciones: Al soportar COBIT unas mtricas enfocadas al negocio se asegura as una mejor entrega de valor y no el logro de la excelencia tecnolgica.
9

Universidad Nacional de Trujillo

Auditora de Sistemas Audiencia COBIT

COBIT
GERENTES
Balancear la inversin en controles, en un ambiente de riesgos frecuentemente impredecible

USUARIOS
Obtener el aseguramiento de los controles y seguridades que proveen los servicios de IT internos / Externos

AUDITORES
Sustentar ante la gerencia su opinin de la efectividad del control interno y actuar como asesores del negocio proactivos

Mejores Prcticas para la Gestin y Control (IT)

10

Universidad Nacional de Trujillo

Auditora de Sistemas Audiencia COBIT

Universidad Nacional de Trujillo

Auditora de Sistemas Requerimientos de informacin para el Negocio
Requerimientos de Calidad Calidad. Costo. Oportunidad. Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Confidencialidad. Integridad. Disponibilidad.

GERENTES

USUARIOS

AUDITORES
Requerimientos Financieros (COSO)

Adems de responder a las necesidades de la audiencia inmediata de la Alta Gerencia, a los auditores y a los profesionales dedicados al control y seguridad, COBIT puede ser utilizado dentro de las empresas por el propietario de procesos de negocio en su responsabilidad de control sobre los aspectos de informacin del proceso, y por todos aquellos responsables de TI en la empresa.

Requerimientos de Seguridad

11

12

COBIT - Pgina 2

Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas Requerimientos de informacin para el Negocio
Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica). Confidencialidad: Proteccin de la informacin sensitiva contra divulgacin no autorizada. Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa.
13

Universidad Nacional de Trujillo

Auditora de Sistemas Requerimientos de informacin para el Negocio
Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa. Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo.
14

Universidad Nacional de Trujillo

Auditora de Sistemas Recursos de Tecnologa de Informacin
PROCESOS
Funciones de negocio y actividades que utilizan la tecnologa de informacin

Universidad Nacional de Trujillo

Auditora de Sistemas Procesos de TI
Dominios

DATOS

Los objetos de datos en su sentido ms amplio, es decir: externos internos, estructurados y no estructurados, grficos, sonido, etc. La suma de programas de aplicacin, funciones de procesamiento y procedimientos manuales

Agrupacin natural de procesos, normalmente correspondientes a un dominio o responsabilidad organizacional Series de actividades unidas con cortes naturales de control.

APLICACIONES

Procesos TECNOLOGA
Hardware, sistemas operativos, manejo de bases de datos, trabajo en redes, multimedia, Telecomunicaciones y telefona

. INSTALACIONES
Ambientes que albergan y soportan los sistemas y procesos informticos Habilidades, conocimientos y productividad del personal para planificar, organizar, adquirir, entregar y dar soporte y monitorear servicios y sistemas de informacin

PERSONAL

Actividades o tareas

Acciones necesarias para lograr un resultado medible. Las actividades tienen un ciclo de vida.

15

16

Universidad Nacional de Trujillo

Auditora de Sistemas Dominio de Planificacin y organizacin Cubre las estrategias y tcticas de cmo la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos de negocio. Adems, la consecucin de la visin estratgica que necesita ser planeada, comunicada y administrada desde diferentes perspectivas, para finalmente establecer una organizacin e infraestructura tecnolgica apropiadas.

Universidad Nacional de Trujillo

Auditora de Sistemas Dominios de Adquisicin e implementacin Para llevar a cabo la estrategia de TI, las soluciones deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems cubre los cambios y el mantenimiento necesarios a sistemas existentes.

Docente: Ing. Jaime Daz Snchez

17

Docente: Ing. Jaime Daz Snchez

18

COBIT - Pgina 3

Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas Dominio de Entrega y Soporte Entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, considerando seguridad y aspectos de continuidad de negocios. A fin de proveer servicios, se deber establecer procesos de soporte necesarios.

Universidad Nacional de Trujillo

Auditora de Sistemas Dominio de Monitoreo Los procesos de una organizacin necesitan ser evaluados regularmente a travs del tiempo, con la finalidad de verificar su calidad y suficiencia en concordancia con los requerimientos de control, integridad y confidencialidad.

Docente: Ing. Jaime Daz Snchez

19

Docente: Ing. Jaime Daz Snchez

20

Universidad Nacional de Trujillo

Auditora de Sistemas COBIT

Universidad Nacional de Trujillo

Auditora de Sistemas

Procesos de TI y sus dominios

Monitoreo del procesos Obtencin de aseguramiento independiente

Recursos de TI

Definicin de un Plan Estratgico de Tecnologa de Informacin Definicin de la Arquitectura de Informacin Determinacin de la direccin tecnolgica Definicin de la Organizacin y de las Relaciones de TI Manejo de la Inversin en Tecnologa de Informacin Comunicacin de la direccin y aspiraciones de la gerencia Administracin de Recursos Humanos Aseguramiento del Cumplimiento de Requerimientos Externos Evaluacin de Riesgos Administracin de proyectos Administracin de Calidad

datos sistemas de aplicacin tecnologa instalaciones personas

Planeacin y Organizacin

Monitoreo Adquisicin e Implementacin

Docente: Ing. Jaime Daz Snchez

21

Definicin de Niveles de Servicio Administracin de Servicios prestados por Terceros Administracin de Desempeo y Capacidad Aseguramiento de Servicio Continuo Garantizar la Seguridad de Sistemas Identificacin y Asignacin de Costos Educacin y Entrenamiento de Usuarios Apoyo y Asistencia a los Clientes de TI Administracin de la Configuracin Administracin de Problemas e Incidentes Administracin de Datos Administracin de Instalaciones Administracin de Operaciones

Soporte
Identificacin de Soluciones Adquisicin y Mantenimiento de Software de Aplicacin Adquisicin y Mantenimiento de Arquitectura de Tecnologa Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnologa de Informacin Instalacin y Acreditacin de Sistemas Administracin de Cambios
22

Universidad Nacional de Trujillo

Auditora de Sistemas Planear y Organizar (PO)
Objetivos
Formular estrategias y tcticas Identificar como IT contribuye al negocio Planear, Comunicar, y gestionar la realizacin de la visin estratgica

Universidad Nacional de Trujillo

Auditora de Sistemas Planear y Organizar (PO)

Alcance
Est IT alineado estratgicamente? Se hace uso ptimo de los recursos? Entienden todos los objetivos de IT? Se comprenden los riesgos de IT? Es la calidad de IT apropiada a las necesidades de los negocios?

Docente: Ing. Jaime Daz Snchez

23

Docente: Ing. Jaime Daz Snchez

24

COBIT - Pgina 4

Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas Adquirir e implementar (AI)
Objetivos
Identificar, desarrollar, adquirir, implementar, e integrar soluciones de IT. Cambios y mantenimiento de sistemas existentes

Universidad Nacional de Trujillo

Auditora de Sistemas Adquirir e implementar (AI)

Alcance
Son los nuevos productos capaces de entregar soluciones adecuadas al negocio? Se realizarn los proyectos a tiempo? Trabajarn los sistemas apropiadamente cuando implementados? Los cambios afectarn las operaciones diarias?

Docente: Ing. Jaime Daz Snchez

25

Docente: Ing. Jaime Daz Snchez

26

Universidad Nacional de Trujillo

Auditora de Sistemas Soporte y entrega (DS)
Objetivos
La real entrega de los servicios requeridos La gestin de la seguridad, continuidad, datos y facilidades operacionales

Universidad Nacional de Trujillo

Auditora de Sistemas Soporte y entrega (DS)

Alcance
Son los servicios de IT entregados de acuerdo a las prioridades del negocio Se optimizan los costos de IT Se utiliza IT de manera productiva y segura Se mantiene la confidencialidad, integridad, y disponibilidad

Docente: Ing. Jaime Daz Snchez

27

Docente: Ing. Jaime Daz Snchez

28

Universidad Nacional de Trujillo

Auditora de Sistemas Monitoreo y Evaluacin (ME)
Objetivos
Gestin del desempeo Monitoreo y control interno Cumplimiento de regulaciones Gobierno

Universidad Nacional de Trujillo

Auditora de Sistemas Monitoreo y evaluacin

Alcance
Es el desempeo de IT medido con el fin de detectar problemas antes de que sea tarde? Asegura la gestin que los controles internos son efectivos y eficiente Puede el desempeo de IT relacionarse con los objetivos del negocio Son los riesgos, controles, el cumplimiento y el desempeo, medidos y reportados

Docente: Ing. Jaime Daz Snchez

29

Docente: Ing. Jaime Daz Snchez

30

COBIT - Pgina 5

Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Universidad Nacional de Trujillo

Auditora de Sistemas El cubo COBIT

Universidad Nacional de Trujillo

Auditora de Sistemas Estructura de COBIT
El control de

Proceso de TI Que satisface Requerimiento de Negocio

Es habilitado por

Declaracin de Control

Considerando

Prcticas de control

Docente: Ing. Jaime Daz Snchez

31

32

COBIT - Pgina 6