SEGURIDAD DE INFORMACION y

AUDITORIA DE SISTEMAS
Clase III

Plan de Auditoria

Objetivo: Conocer como se

desarrolla un Plan de Auditoria.
COBIT 5 como Marco de
Referencia para Seguridad y
Auditoria de Sistemas de
Información.

MA. Juan Carlos Reátegui Morales

Auditoría de Sistemas 1
 COBIT Modelo paraAuditoria y Seguridad
La seguridad no funciona si no se aplica un modelo.

El principal valor de CobIT 5 es precisamente la gran diversidad de modelos y

estándares a nivel global, resultado del trabajo de un gran grupo de
practicantes de diversas regiones geográficas, quienes analizan y desarrollan
un paraguas general que abarca estándares específicos para seguridad,
riesgos, etc.

El principal valor agregado es que no pretende sustituir los frameworks usados

en las empresas, sino aportar elementos adicionales como el tema de madurez
en los procesos de TI (ahora denominados capacidades en los procesos).

CobIT 5 ofrece una visión holística en temas de gestión y gobierno, que se

complementa con guías o publicaciones adicionales, específicas, para temas
de riesgos, cumplimiento, aseguramiento, gobierno de TI , etc.

Auditoría de Sistemas 2
La INFORMACIÓN es un recurso clave para
todas las empresas
Principales retos del uso de TI
 Principales retos del uso de TI:
Mantener TI funcionando

Mala
Errores al
planificación de
momento de
las capacidades de
introducir
almacenamiento
datos
necesarias para la
red
Resistencia y respaldo
insuficientes cuando
ocurre la falla de un
componente crítico de TI
- Continuidad de servicios de TI forzosa. Disponibilidad 24x7.
- Impacto de fallas: negocios perdidos, reducción de
ganancias, daño de la imagen, etc.
 Principales retos del uso de TI:
Alinear TI con el negocio
La brecha entre las expectativas de negocios y las capacidades de TI existe
por las siguientes razones:
-Falta de habilidad para alinearse con las prioridades del negocio
-Requerimientos de negocio mal definidos
-Brechas en la comunicación entre el negocio y TI
-Falta de conocimiento sobre las soluciones de TI potenciales

Es de suma importancia que el

negocio dirija las iniciativas de
TI con la finalidad de hacer
entrega de los beneficios y
cumplir los objetivos del negocio
 Principales retos del uso de TI:
Entregar valor
Los proyectos de TI fracasan en la entrega de valor por:
Principales retos del uso de TI:
Seguridad

¿Por qué falla la seguridad en TI?

 Principales retos del uso de TI:
Cumplimiento regulatorio

✓ Dado el intenso y generalizado uso de TI, las empresas se tienen que

asegurar de que los requerimientos legales, regulatorios y contractuales
sean entendidos y se hayan implementado medidas para atenderlos.
✓ El cumplimiento regulatorio debe darse dentro de la empresa, con
proveedores y socios comerciales.

Ley de promoción para el uso seguro y responsable de las tecnologías de

la información y comunicación (TIC) por parte de niños, niñas y
adolescentes
LEY Nº 29733 - LEY DE PROTECCIÓN DE DATOS
PERSONALES
Compendio de Normatividad sobre el uso de
Tecnologías de Información en el Perú
Principales retos del uso de TI:
Manejar la complejidad
 Gobierno de TI - Introducción

Un buen gobierno de TI asegura que los objetivos de la

empresa se cumplan, a través de:

El Gobierno de TI es parte
integral del gobierno de
una empresa.
 Gobierno de TI - Introducción

- Rendimiento: mejorar la rentabilidad, eficiencia, efectividad y

crecimiento.
- Cumplimiento: adherencia a las leyes, políticas internas y requisitos
contractuales.

El objetivo del Gobierno de TI

es equilibrar el rendimiento (un
buen desempeño) con el
cumplimiento (leyes, contratos,
etc.)

Ley N°29733 - Ley de

Protección de Datos
Personales.
Gobierno de TI - Introducción
 Gobierno de TI - Introducción

El Gobierno de TI genera valor para la empresa por medio

de las siguientes actividades:
Objetivos de Control para la
Información y la Tecnología relacionada
Familia de productos CobIT 5
Marco de Trabajo
 Principios de CobIT 5
para el Gobierno y Gestión de las TI
Principio 1: SATISFACER LAS
NECESIDADES DE LAS
PARTES INTERESADAS
Las empresas existen para crear valor para sus partes interesadas
manteniendo el equilibrio entre la realización de beneficios y la
optimización de los riesgos y el uso de recursos.
Principio 1: SATISFACER LAS
NECESIDADES DE LAS
PARTES INTERESADAS
CASCADA DE METAS

Las necesidades de las partes interesadas deben transformarse en

una estrategia corporativa factible. La cascada de metas de COBIT
5 es el mecanismo para traducir las necesidades de las partes
interesadas en metas corporativas, metas relacionadas con las TI y
metas catalizadoras específicas, útiles y a medida.

METAS
COORPOR
ATIVAS
METAS TI
PROCESO
S
ESPECÍFI
COS
Principio 1: SATISFACER LAS
NECESIDADES DE LAS
PARTES INTERESADAS

VISIÓN
GENERAL
DE LA
CASCADA
DE METAS
Principio 2: CUBRIR LA EMPRESA DE
EXTREMO A EXTREMO

COBIT 5 integra el gobierno y la gestión de TI en el gobierno

corporativo. Es decir, el sistema de gobierno para la empresa TI
propuesto por COBIT 5 se integra sin problemas en cualquier
sistema de gobierno.

✓ Cumbre todas las funciones y procesos dentro de la empresa, no

se enfoca solo en la función de TI.
✓ Trata a la información y a la tecnología relacionada como
cualquier otro activo dentro de la empresa.
✓ Los catalizadores deben ser a nivel de toda la empresa y de
principio a fin.
✓ Elemento principales del enfoque de gobierno: Objetivos,
Catalizadores, Alcance, Roles, Actividades y Relaciones.
Principio 2: CUBRIR LA EMPRESA DE
EXTREMO A EXTREMO
COMPONENTES CLAVE DE UN SISTEMA DE GOBIERNO
Principio 3: APLICAR UN MARCO DE
REFERENCIA ÚNICO
INTEGRADO
COBIT 5 se alinea a alto nivel con otros estándares y marcos de
trabajo relevantes, y de este modo puede hacer la función de
marco de trabajo principal para el gobierno y la gestión de las TI
de la empresa

✓ Proporciona una base para integrar otros marcos, estándares

y prácticas utilizadas.

✓ Proporciona una arquitectura simple para estructurar los

materiales de guía y producir un conjunto consistente.
Principio 4: HACER POSIBLE UN
ENFOQUE HOLÍSTICO
Un gobierno y gestión de las TI de la empresa efectivo y eficiente
requiere de un enfoque holístico. COBIT 5 define un conjunto de
catalizadores para apoyar la implementación de un sistema de
gobierno y gestión global para las TI de la empresa.

✓ Los catalizadores son “cualquier cosa” que puede ayudar a

conseguir las metas de la empresa.
✓ Son factores que influyen sobre si algo funcionará.
✓ Son guiados por la cascada de metas, es decir, objetivos de alto
nivel relacionados con TI definen lo que los diferentes
catalizadores deberían conseguir.
✓ Cobit 5 define 7 categorías de catalizadores.
Principio 4: HACER POSIBLE UN
ENFOQUE HOLÍSTICO
CATALIZADORES DE COBIT 5
Principio 4: HACER POSIBLE UN
ENFOQUE HOLÍSTICO

Algunos de los catalizadores son también recursos corporativos

que también necesitan ser gestionados y gobernados:
✓La información, necesita ser gestionada como un recurso. Por
ejemplo: los informes de gestión y de inteligencia de negocio son
importantes catalizadores para el gobierno y la gestión de la
empresa.
✓Servicios, infraestructura y aplicaciones.
✓Personas, habilidades y competencias.
Principio 4: HACER POSIBLE UN
ENFOQUE HOLÍSTICO

Algunos de los catalizadores son también recursos corporativos

que también necesitan ser gestionados y gobernados:
✓La información, necesita ser gestionada como un recurso. Por
ejemplo: los informes de gestión y de inteligencia de negocio son
importantes catalizadores para el gobierno y la gestión de la
empresa.
✓Servicios, infraestructura y aplicaciones.
✓Personas, habilidades y competencias.
Principio 4: HACER POSIBLE UN
ENFOQUE HOLÍSTICO

Interconexión de catalizadores:
✓Los catalizadores necesita del resultado de otros catalizadores
para ser completamente efectivo. Por ejemplo: los procesos
necesitan información, las estructuras organizativas necesitan
habilidades y comportamiento.
✓Los catalizadores proporcionan una salida para beneficio de
otros catalizadores. Por ejemplo: los procesos proporcionan
información, habilidades y el comportamiento hace los procesos
eficientes
Principio 5: SEPARAR EL GOBIERNO
DE LA
GESTIÓN
El marco de trabajo COBIT 5 establece una clara distinción entre
gobierno y gestión. Estas dos disciplinas engloban diferentes tipos
de actividades, requieren diferentes estructuras organizativas y
sirven a diferentes propósitos

El Gobierno asegura que se evalúan las necesidades, condiciones y

opciones de las partes interesadas para determinar que se
alcanzan las metas corporativas equilibradas y acordadas;
estableciendo la dirección a través de la priorización y la toma de
decisiones; y midiendo el rendimiento y el cumplimiento respecto
a la dirección y metas acordadas.
Principio 5: SEPARAR EL GOBIERNO
DE LA
GESTIÓN
La Gestión planifica, construye, ejecuta y controla actividades
alineadas con la dirección establecida por el cuerpo de gobierno
para alcanzar las metas empresariales.

Procesos de Gobierno: Son cinco procesos de gobierno; dentro de

cada proceso se definen prácticas de evaluación, orientación y
supervisión.

Procesos de Gestión: Contiene cuatro dominios: planificar,

construir, ejecutar y supervisar (Plan, Build, Run and Monitor-
PBRM). Estos dominios son una evolución de la estructura de
procesos y dominios de COBIT 4.1.
Principio 5: SEPARAR EL GOBIERNO
DE LA
GESTIÓN
ÁREAS CLAVE DE GOBIERNO Y GESTIÓN
 COBIT 5: Procesos

Evaluar, Dirijir y Monitorear Procesos para el Gobierno Corporativo de TI

EDM01 Asegurar
que se fija el Marco EDM02 Asegurar EDM04 Asegurar EDM05 Asegurar
EDM03 Asegurar
de Gobierno y su la Entrega de Valor la Optimización de la Transparencia a
la Optimización de
Mantenimiento los Recursos las partes
los Riesgos
interesadas

Alinear, Planear y Organizar Monitorear, Evaluar

y Valorar
APO01 Administrar APO03 Administrar APO05 Administrar APO07 Administrar
APO02 Administrar APO04 Administrar APO06 Administrar
el Marco de la la Arquitectura el Portafolio el Recurso Humano
la Estrategia la Innovación el Presupuesto y
Administración de Corporativa
los Costos
TI
MEA01 Monitorear,
Evaluar y Valorar el
APO09 Administrar Desempeño y
APO08 Administrar APO10 Administrar APO11 Administrar APO12 Administrar APO13 Administrar Cumplimiento
los Contratos de los Proveedores la Calidad los Riesgos la Seguridad
las Relaciones
Servicios

Construir, Adquirir e Implementar

BAI01 Administrar BAI02 Administrar BAI03 Administrar BAI05 Administrar BAI07 Administrar
BAI04 Administrar BAI06 Administrar
Programas y la Definición de la Identificación y la Habilitación del la Aceptación de
la Disponibilidad y Cambios
Proyectos Requerimientos Construcción de Cambio Cambios y
Capacidad
Soluciones Transiciones MEA02 Monitorear,
Evaluar y Valorar el
Sistema de Control
Interno

BAI08 Administrar BAI09 Administrar BAI10 Admnistrar la

el Conocimiento los Activos Configuración

Entregar, Servir y Dar Soporte

DSS02 Administrar MEA03 Monitorear,

DSS01 Administrar las Solicitudes de DSS03 Administrar DSS04 Administrar DSS05 Administrar DSS06 Administrar Evaluar y Valorar el
las Operaciones Servicios y los Problemas la Continuidad los Servicios de los Controles en los Cumplimiento con
Incidentes Seguridad Procesos de Requisitos Externos
Negocio

Procesos para la Administración de TI Corporativa

Auditoría de Sistemas 32
Fuente: COBIT® 5, Figura 16. © 2012 ISACA® Todos derechos reservados.
Auditoria de Sistemas de Gestión

PETI

Auditoría de Sistemas 33
Auditoria de Sistemas de Gestión

Auditoría de Sistemas 34
 Contra que Comparamos
Como estamos y como deberíamos estar.

COBIT 5.0

Normas ISO 12207 Ciclo de Vida de software

ISO 27001 Seguridad de Información

Informe COSO

Normas de la empresa.

Auditoría de Sistemas 35
Fuente: COBIT® 5, Figura 16. © 2012 ISACA® Todos derechos reservados.
 CHEQUEANDO LO APRENDIDO

¿Por que es importante COBIT?

¿Cuantos dominios tiene COBIT? ¿Cuáles son?
¿Cuantos procesos tiene COBIT? Señala 10 procesos.
Explique los tres (3) procesos a su juicio mas importantes de COBIT
¿Por qué es importante la auditoria de Sistemas?
¿Qué etapas tiene la Auditoria de Sistemas?
¿Por que es importante COBIT en las Auditorias de Sistemas?
¿Por que es importante la ISO 27001 en las Auditorias de Sistemas?
¿Por que es importante el COSO en las Auditorias de Sistemas?
¿Por que es importante la ISO 12207 en las Auditorias de Sistemas?

Auditoría de Sistemas 36
Muchas Gracias

Auditoría de Sistemas 37