Anda di halaman 1dari 42

Enfoque de Control Interno

COBIT

Relator. Marcelo Faundez P.


Septiembre 2017
La Administracin con la TI
-Rediseo de procesos
-La necesidad de calidad aumenta
-Mejoramiento continuo
Expectativas -Ciclo de vida de los productos disminuye
-Procesos distribuidos
-El nivel del Servicio aumenta
-Organizaciones aplanadas
-Los costos en TI aumentan

Responsabilidades
-Salvaguardar
Expectativas y
activos Responsabilidad
necesitan de un
-La informacin
ha llegado a ser -Retorno sobre
la inversin TI
ambiente de control
el bien de mayor
valor

La Administracin y el Control
La Administracin para concentrarse en el logro de sus objetivos debe
establecer adecuados sistema de CI. El SCI existe para dar soporte a los
procesos del negocio, para promover la eficiencia/eficacia de las operaciones,
dar cumplimiento al marco normativo y lograr la confiabilidad de los informes
Financieros (COSO)
2 Marcelo Faundez P. 21-11-2017
La necesidad del aseguramiento del valor de TI,
la administracin de los riesgos asociados a TI,
as como el incremento de requerimientos para
controlar la informacin, se entiende ahora como
elementos claves del gobierno de las
organizaciones.
El valor, el riesgo y el control constituyen la
esencia del

Gobierno del TI
El Gobierno del TI es responsabilidad de la Alta Direccin,
de los equipos directivos y consta de liderazgos, estructuras
y procesos organizacionales que garantizan que la TI de la
organizacin sostiene y extiende las estrategias y objetivos
institucionales.

3 Marcelo Faundez P. 21-11-2017


Control
OBjectives
for Information
and related Technology

Misin VISION
Investigar, desarrollar
y promover un set
internacional de
objetivos de control
SER EL MODELO
relacionados con la TI. DE
Su uso y aplicacin
puede ser tanto para
CONTROL
la Direccin como la PARA TI
para la Auditoria
4 Marcelo Faundez P. 21-11-2017
reas focales del -Alineacin Estratgica: se enfoca en garantizar el
vnculo entre los planes de negocio y de TI; en definir,
mantener y validar la propuesta de valor de TI; y en
Gobierno TI alinear las operaciones de TI con las operaciones de la
organizacin.
-Entrega de Valor: se refiere a ejecutar la propuesta
de valor a todo lo largo del ciclo de entrega,
asegurando que TI genere los beneficios prometidos
en la estrategia, concentrndose en optimizar los
costos y en brindar el valor intrnseco de la TI
-Administracin de recursos: se trata de la
inversin ptima, as como la administracin adecuada
de los recursos crticos de TI: aplicaciones,
informacin, infraestructura y personas.
-Administracin de Riesgos: requiere conciencia de
los riesgos por parte de los altos ejecutivos, un claro
entendimiento del deseo de riesgo que tiene la
organizacin, comprender los requerimientos
de cumplimiento, transparencia de los riesgos
significativos, y la inclusin de las responsabilidades
de adm. de riesgos dentro de la organizacin.
-Medicin del Desempeo: Rastrear y monitorear la
estrategia de implementacin, la terminacin del
proyecto, el uso de los recursos, el desempeo de los
procesos y la entrega del servicio.

5 Marcelo Faundez P. 21-11-2017


Productos de Cobit
Se organizan en tres niveles:
Administracin y Consejo Ejecutivo
Administracin del negocio y de TI
Profesionales en gobierno, aseguramiento, control y
seguridad

6 Marcelo Faundez P. 21-11-2017


7 Marcelo Faundez P. 21-11-2017
Por qu necesita COBIT?
Alta Direccin
-Para evaluar las decisiones de inversin en TI
-Para balancear riesgos y controles de las inversiones
-Para comparar lo existente y el ambiente futuro de TI
En definitiva: Lograr una seguridad razonable que los objetivos del negocio,
apoyados por TI, sern alcanzados, y que la exposicin al riesgo es tratada.

Auditores
Provee criterios para la revisin Informtica
y evaluacin de ambientes TI. Adems, Para evaluar su gestin
Permite mejora la eficacia y efectividad Y mejorar sus actividades
de la auditoria.
Permite dar respuesta a la pregunta:
Qu controles mnimos son necesarios?

Usuarios
Para tener certeza sobre el nivel de control de los productos
que provee el servicio y terceras partes.

8 Marcelo Faundez P. 21-11-2017


COBIT: En qu consiste?
Consiste en un medio de control de la TI, basado en criterios
de negocios, documentado por objetivos de control,
organizado en dominios, procesos y actividades TI

Aspectos principales
del mbito COBIT

9 Marcelo Faundez P. 21-11-2017


Requerimientos de la organizacin

Requerimiento de Calidad: Calidad,


entrega y costo Efectividad,
Requerimiento de Seguridad: Eficiencia
Privacidad, Integridad y
disponibilidad Siete criterios
Confidencialidad
Requerimientos Fidiuciarios: de la Integridad,
informacin
Efectividad y eficiencia de las
operaciones, Cumplimiento con
Disponibilidad
leyes y regulaciones, y Confiabilidad Cumplimiento
en los reportes financieros
Confiabilidad

10 Marcelo Faundez P. 21-11-2017


Requerimientos de la organizacin

Metas de
negocio y de TI

11 Marcelo Faundez P. 21-11-2017


-Las aplicaciones incluyen, tanto
sistemas de usuario automatizados
Recursos TI como procedimientos manuales que
procesan informacin
-La informacin son los datos en todas
sus formas de entrada, procesados y
generados por los sistemas de
informacin, en cualquier forma en que
son utilizados por el negocio.
-La infraestructura es la tecnologa y las
instalaciones (hardware, sistemas
operativos, sistemas de administracin
de base de datos, redes, multimedia,
etc., as como el sitio donde se
encuentran y el ambiente que los
soportan), que permiten el
procesamiento de las aplicaciones.
-Las personas son los funcionarios
requeridos para planear, organizar,
adquirir, implementar, entregar,
soportar, monitorear y evaluar los
Marcelo Faundez P.
sistemas y los servicios de informacin.
12 21-11-2017
Proceso TI: Dominios

Dominios de COBIT
Dominio: -Planeacin y organizacin
Agrupacin natural de -Adquisicin e implementacin
procesos -Entrega y soporte
-Monitoreo y evaluacin

Los cuatros dominios estn compuestos de 34 subdominios/procesos

Cada subdominio tiene registrado:


-El criterio de la TI al cual es relevante
-Recursos TI involucrados
-Objetivos de control
-Pruebas detalladas de auditoria

13 Marcelo Faundez P. 21-11-2017


El Cubo
de COBIT

14 Marcelo Faundez P. 21-11-2017


Orientacin a los procesos
Planeacin y organizacin
Descripcin

Este dominio cubre las estrategias y las tcticas y se refiere a la


identificacin de la forma en que la tecnologa de informacin puede
contribuir de la mejor manera al logro de los objetivos del negocio.
Adems, la consecucin de la visin estratgica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente,
deber establecerse una organizacin y una infraestructura tecnolgica
apropiada.
1. Estn las TI y los negocios estratgicamente
alineados?
Tpicos
Preguntas

2. Esta alcanzando la entidad un ptimo uso de


sus recursos
-Estrategia y tcticas 3. Alguien en las organizacin entiende los
-Visin planeada objetivos de TI
-Organizacin e 4. Son los riesgos de TI entendidos y estn siendo
infraestructura administrados?
5. Es la calidad de los sistema de TI apropiada
para las necesidades de la entidad?
15 Marcelo Faundez P. 21-11-2017
Orientacin a los procesos
Adquisicin e Implementacin
Descripcin

Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser


identificadas, desarrolladas o adquiridas, as como implementadas e
integradas dentro del proceso del negocio. Adems, este dominio
cubre los cambios y el mantenimiento realizados a sistemas existentes,
para asegurar que el ciclo de vida es continuo para esos sistemas

1. Los nuevos proyectos tienen probabilidad de


entregar soluciones que satisfagan las
Tpicos
Preguntas

necesidades de la entidad?
2. Los nuevos proyectos tienen probabilidad de
-Soluciones de TI entregar a tiempo y dentro de presupuesto?
-Cambios y 3. Los nuevos sistemas trabajaran apropiadamente
mantenimientos cuando se entreguen?
4. Los cambios sern realizados sin alterar las
actuales operaciones de la organizacin?

16 Marcelo Faundez P. 21-11-2017


Orientacin a los procesos
Entrega y soporte
Descripcin

A este dominio le concierne la entrega efectiva de los servicios


requeridos, que van desde las operaciones tradicionales pasando por
los aspectos de seguridad y continuidad hasta el entrenamiento. Para
prestar servicios, se deben establecer los procesos de soporte
necesarios. Este dominio incluye el procesamiento efectivo de datos
mediante los sistemas de aplicacin, clasificados a menudo bajo los
controles de aplicacin.

Tpicos 1. Estn siendo los servicios de TI entregados en


Preguntas

lnea con las prioridades de la entidad?


-Entrega de los 2. Son los costos de TI optimizados?
servicios requeridos 3. Es capaz la fuerza de trabajo de usar los
-Establecer los sistemas productivamente y seguramente?
4. Es adecuada la seguridad, integridad y
procesos de soporte disponibilidad?
-Procesamiento por
los sistemas aplicados
17 Marcelo Faundez P. 21-11-2017
Orientacin a los procesos
Monitorear y Evaluar
Descripcin

Todos los procesos de TI necesitan ser evaluados regularmente a


travs del tiempo por su calidad y el cumplimiento con los
requerimientos de control. Este dominio resuelve as la supervisin del
proceso de control de la administracin y el aseguramiento
independiente suministrada por la auditora interna y externa u
obtenida por fuentes alternativas

Tpicos 1. Se puede medir el desempeo de TI y los


Preguntas

problemas pueden ser detectados antes que sea


-Evaluar sobre tiempos, tarde?
asegura la entrega 2. Se necesita aseguramiento independiente para
-Supervisin del asegurarse que las reas crticas estn operando
sistema de control como se espera?
-Medir desempeo

18 Marcelo Faundez P. 21-11-2017


19 Marcelo Faundez P. 21-11-2017
MODELO DEL MARCO DE TRABAJO DEL COBIT

20 Marcelo Faundez P. 21-11-2017


PO1 Definir el plan estratgico de TI
PO2 Definir la arquitectura de la informacin
Objetivos del Negocio PO3 Determinar la direccin tecnolgica
PO4 Definir procesos, organizacin y relaciones de TI
PO5 Administrar la inversin de TI
PO6 Comunicar las aspiraciones y la direccin de la gerencia
PO7 Administrar recursos humanos de TI
PO8 Administrar calidad
PO9 Evaluar y administrar riesgos de TI
ME1 Monitorear y evaluar el desempeo TI Informacin PO10 Administrar proyectos
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio Efectividad, Eficiencia
ME4 Proporcionar gobierno TI Confidencialidad
Integridad, Disponibilidad
Cumplimiento y Confiabilidad

Monitorear Planear y
y evaluar Recursos
Organizar
Aplicaciones
Informacin
Infraestructura
Personas

Adquirir e
DS1 Definir y administrar niveles de servicio
Entregar y implantar
DS2 Administrar servicios de terceros
DS3 Administrar desempeo y capacidad
dar soporte
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar datos
DS7 Educar y entrenar a los usuarios AI1 Identificar soluciones automatizadas
DS8 Administrar la mesa de servicio y los incidentes AI2 Adquirir y mantener el software aplicativo
DS9 Administrar la configuracin AI3 Adquirir y mantener la infraestructura tecnolgica
DS10 Administrar los problemas AI4 Facilitar la operacin y el uso
DS11 Administrar los datos AI5 Adquirir recursos de TI
21AdministrarMarcelo
DS12 Faundez
el ambiente fsico P. AI6 Administrar cambio 21-11-2017
DS13 Administrar las operaciones AI7 Instalar y acreditar soluciones y cambios
SEGURIDAD DE LA
INFORMACION

Relator. Marcelo Faundez P.


Enero 2011
Qu es la seguridad de la informacin ?

La seguridad de la informacin protege la informacin de


una amplia gama de amenazas con el fin de asegurar la
continuidad del negocio, minimizar el dao del negocio y
maximizar el retorno de la inversin y las oportunidades
de negocio.

23 Marcelo Faundez P. 21-11-2017


Qu es la seguridad de la informacin ?
La seguridad de informacin se caracteriza como la
preservacin de la:

Confidencialidad: asegurar que la informacin sea


accesible slo para aquellos usuarios autorizados para
tener acceso
Integridad: salvaguardar que la informacin y los
mtodos de procesamiento sean exactos y completos
Disponibilidad: asegurar que los usuarios autorizados
tengan acceso a la informacin y bienes asociados
cuando lo requieran

24 Marcelo Faundez P. 21-11-2017


Qu es la seguridad de la informacin ?

25 Marcelo Faundez P. 21-11-2017


Qu es la seguridad de la informacin ?

La seguridad de informacin se logra mediante la


implementacin de un adecuado conjunto de controles, los
que podran ser:

Polticas, prcticas, procedimientos, estructuras


organizacionales y funciones de software.

Se necesita establecer estos controles para asegurar que se


cumplan los objetivos especficos de seguridad de la
organizacin.

26 Marcelo Faundez P. 21-11-2017


Por qu es necesaria la Seguridad de
Informacin ?
La informacin y los procesos de apoyo, sistemas y redes son
importantes bienes del negocio

La confidencialidad, integridad y disponibilidad de la informacin


puede ser esencial para mantener el margen de competitividad,
flujo de caja, utilidad, cumplimiento legal e imagen del negocio.

27 Marcelo Faundez P. 21-11-2017


Por qu es necesaria la Seguridad de
Informacin ?
Las organizaciones y sus sistemas de informacin y redes estn
enfrentados en forma creciente a las amenazas de la seguridad
desde una amplia gama de fuentes, incluyendo

Fraudes apoyados por computador


Espionaje
Sabotaje
Vandalismo
Fuego o inundacin.

28 Marcelo Faundez P. 21-11-2017


Por qu es necesaria la Seguridad de
Informacin ?

Las fuentes de dao tales como los virus


computacionales, hacking por computador y ataques de
denegacin de servicio han llegado a ser ms comunes,
ms ambiciosas y cada vez ms sofisticadas.

La dependencia en los sistemas de informacin y de


servicios implica que las organizaciones son ms
vulnerables a amenazas de Seguridad.

29 Marcelo Faundez P. 21-11-2017


Por qu es necesaria la Seguridad de
Informacin ?

La interconexin de las redes pblicas y privadas y la


comparticin de los recursos de la informacin, aumenta la
dificultad de lograr proteccin en control de acceso.

La tendencia a los sistemas de computacin distribuidos ha


debilitado la efectividad del control central especializado

30 Marcelo Faundez P. 21-11-2017


Por qu es necesaria la Seguridad de
Informacin ?
Muchos sistemas de informacin no se han diseado para ser
seguros

La seguridad que se puede lograr a travs de dispositivos


tcnicos es limitada, y debera ser apoyada por procedimientos
y una gestin apropiada

Identificar que controles y en qu lugar deberan estar, requiere


una planificacin cuidadosa y una atencin detallada

31 Marcelo Faundez P. 21-11-2017


Por qu es necesaria la Seguridad de
Informacin ?
La gestin de seguridad de la informacin necesita, como
mnimo, la participacin de los proveedores, clientes o
accionistas.

Tambin puede ser necesarias las opiniones de especialistas


de organizaciones externas

Los controles de seguridad de la informacin son


considerablemente ms baratos y ms efectivos si son
incorporados en la etapa de diseo y especificacin de los
requisitos
32 Marcelo Faundez P. 21-11-2017
Cmo establecer los requisitos de
Seguridad ?
Es esencial que una organizacin identifique sus requisitos de
seguridad

Existen tres fuentes principales:

La primera fuente se obtiene de evaluar los riesgos de la


organizacin. A travs de esta evaluacin, se identifican las
amenazas a los bienes, la vulnerabilidad, se evala la probabilidad
de ocurrencia y se estima el impacto potencial
La segunda fuente es legal, estatutaria, regulatoria y los requisitos
contractuales que tiene que satisfacer tanto la organizacin, como
sus socios comerciales, los proveedores y personal externo de
servicios
33 Marcelo Faundez P. 21-11-2017
Cmo establecer los requisitos de
Seguridad ?
Fuentes principales

La tercera fuente es un conjunto particular de principios,


objetivos y requisitos para el procesamiento de la
informacin que una organizacin ha desarrollado para el
apoyo a sus operaciones

34 Marcelo Faundez P. 21-11-2017


Evaluacin de Riesgos de la Seguridad
Los requisitos de seguridad se identifican mediante una
evaluacin metdica de los riesgos de ella.

El gasto en los controles es necesario compararlo con el


probable perjuicio que resulte de fallas en la seguridad

Las tcnicas de evaluacin de riesgos se pueden aplicar a


toda la organizacin, o solamente a partes de ella, como
tambin a los sistemas de informacin individuales,
componentes especficos de un sistema o servicios, cuando
sea prctico, realista y til
35 Marcelo Faundez P. 21-11-2017
Evaluacin de Riesgos de la
Seguridad
La evaluacin del riesgo es la consideracin sistemtica de:

El probable perjuicio al negocio que resulte de una falla en la


seguridad, tomando en cuenta las consecuencias potenciales de
una prdida de confidencialidad, integridad o disponibilidad
La probabilidad realista de que tal falla ocurra, en vista de las
amenazas y vulnerabilidades efectivas, y los controles
actualmente implementados

36 Marcelo Faundez P. 21-11-2017


Evaluacin de Riesgos de la
Seguridad
Los resultados de esta evaluacin sern una gua y
determinarn la accin de una gestin apropiada, as
como las prioridades de la gestin de los riesgos de
seguridad de la informacin, y la seleccin de la
implementacin de controles para protegerla de estos
riesgos
Puede ser necesario realizar varias veces el proceso de
evaluacin de los riesgos y seleccionar los controles
para cubrir diferentes partes de la organizacin o
sistemas de informacin individuales

37 Marcelo Faundez P. 21-11-2017


Evaluacin de Riesgos de la
Seguridad
Es importante realizar revisiones peridicas de los
riesgos de seguridad e implementar controles para:
Tomar en cuenta los cambios en las prioridades y requisitos
del negocio
Considerar nuevas amenazas y vulnerabilidades
Confirmar que los controles permanecen efectivos y
apropiados

38 Marcelo Faundez P. 21-11-2017


Evaluacin de Riesgos de la
Seguridad
Las revisiones se deberan realizar en diferentes niveles
de profundidad, dependiendo de los resultados de las
evaluaciones previas y de los cambios de niveles de
riesgo que la direccin est preparada para aceptar
Las evaluaciones de riesgo, a menudo se realizan
primero a alto nivel, como una forma de priorizar los
recursos en reas de alto riesgo, y luego en un nivel ms
detallado, para abordar riesgos especficos

39 Marcelo Faundez P. 21-11-2017


Factores Crticos para el xito
Poltica, objetivos y actividades de Seguridad que
reflejen los objetivos del negocio
Una aproximacin para la implementacin de la
seguridad que sea consistente con la cultura
organizacional
Apoyo visible y compromiso de la direccin
Buen entendimiento de los requisitos de seguridad,
evaluacin y gestin del riesgo
Difusin efectiva de la seguridad por todos los
directivos y empleados

40 Marcelo Faundez P. 21-11-2017


Factores Crticos para el xito

Distribucin de las normas y de la gua de la poltica de


seguridad de la informacin a todos los empleados y
personal externo
Provisin de entrenamiento y educacin adecuada
Utilizacin de un sistema de medicin equilibrado y
completo para evaluar el comportamiento de la gestin
de seguridad de la informacin y la realimentacin de
sugerencias para su mejoramiento

41 Marcelo Faundez P. 21-11-2017


A quin va dirigida ISO 17799?
Tipo de empresa Tamao Objetivo Principal Utilizacin de la
norma
Pequea empresa u Inferior a 200 Sensibilizar a la La norma ISO 17799
organismo empleados direccin general de la contiene los temas de
seguridad de la seguridad que deben
informacin tratarse como base de
gestin
Empresa media Inferior a Crear una cultura de La norma contiene las
(centralizada o 5000 seguridad global prcticas necesarias para
descentralizada) empleados compatible constituir una poltica de
seguridad de la
informacin
Empresa muy Superior a Obtener una Utilizacin de BS7799-2
grande 5000 certificacin de para crear un documento
empleados seguridad referencial de seguridad
Interno.

21-11-2017 Marcelo Faundez P. 42