OCTUBRE 2007
LA PAZ - BOLIVIA 1
Estándar de Controles y Auditoría
de Tecnología Informática
2
Misión: Soportar los objetivos empresariales
mediante el desarrollo, promoción y entrega de
investigaciones, estándares, competencias y
prácticas para un efectivo gobierno, control y
evaluación de los sistemas de información y la
tecnología relacionada
Information Information
Systems Audit and Systems Audit and
Control Control
Association Foundation
(ISACATM) (ISACFTM)
Es el resultado de uno de los mayores
proyectos de investigacion completa-
do y publicado por la Organización
Mundial de Auditores de Sistemas de
Informacion (ISACF).
4
COBIT Integra y concilia normas y
reglamentaciones existentes como:
ISO (9000-3)
Códigos de Conducta del Consejo Europeo
COSO, IFAC, IIA, ISACA, AICPA y Otras
Incluye el contenido de los Objetivos de Control
emitidos por ISACA (EDPAA)
Se publica Cobit 1 en Septiembre de 1996
Se publica Cobit 2 en Abril de 1998
Se publicó Cobit 3 en Marzo de 2000
Se publicó Cobit 4 en Diciembre de 2005
Se publicó Cobit 4.1 en Mayo de 2007
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas)
Objetivos
Es una guia para la gerencia en la toma
de decisiones sobre riesgos y controles.
Ayuda al usuario de tecnologia a obtener
seguridad y control sobre los productos y
servicios que adquiere.
Provee a la A.S.I., una herramienta
fundamental para evaluar controles
internos y gerenciales, y los minimos
requerimientos de control compatibles
con el necesario balance Costo-Beneficio
de la organización. 7
¿Qué es Cobit?
Modelo para implantar Gobierno de TI
Es un estándar abierto y de amplia
difusión.
Consta de 34 procesos y 220 objetivos
de Control.
Es 100% compatible con ISO 17799,
COSO I y II, y con otros estándares de
menor nivel de abstracción.
Cobit fija el Qué y los estánderes de
apoyo el Cómo en materia de
implantación de Gobierno de TI.
8
La necesidad del aseguramiento del
valor de TI, la administración de los
riesgos asociados a TI, así como el
incremento de requerimientos para
controlar la información, se entienden
ahora como elementos clave del
gobierno de la empresa. El valor, el
riesgo y el control constituyen la
esencia del gobierno de TI. 9
El gobierno de TI es responsabilidad
de los ejecutivos, del consejo de
directores y consta de liderazgo,
estructuras y procesos
organizacionales que garantizan que
la TI de la empresa sostiene y
extiende las estrategias y objetivos
organizacionales.
10
Cobit, brinda buenas práctica a través
de un marco de trabajo de dominios y
procesos, y presenta las actividades
en una estructura manejable y lógica.
Las buenas prácticas de Cobit
representan el consenso de los
expertos. Están enfocados
fuertemente en el control y menos en
la ejecución 11
Preguntas frecuentes !!!
12
Gobierno de TI
IT Governance. Es un término
que representa el sistema que
establece la alta gerencia para
asegurar el logro de los
objetivos de una organización.
13
Cobit como soporte
Profesionales en gobierno,
aseguramiento, control y
seguridad 18
Marco de trabajo
Se basa en el principio de
proporcionar la información que la
empresa requiere para lograr sus
objetivos, la empresa necesita
administrar y controlar los recursos
de TI, usando un conjunto
estructurado de procesos que
ofrezcan los servicios requeridos de
información.
21
Marco Cobit
REQUERIMIENTOS
DE NEGOCIO
CRITERIOS DE
INFORMACIÓN
PROCESOS DE
• efectividad
TI • eficiencia
• confidencialidad
• integridad
• disponibilidad
• cumplimiento
• confiabilidad
RECURSOS DE TI
•
•
•
•
?
aplicaciones
información
infraestructura
personal
22
Controles
Los procesos requieren controles.
Control se define como las políticas,
procedimientos, prácticas y estructuras
organizacionales diseñadas para brindar una
seguridad razonable que los objetivos del
negocio se alcanzarán, y los eventos no
deseados serán prevenidos o detectados y
corregidos.
25
Objetivo de Control
29
Marco de Trabajo
Las metas se definen de arriba hacia
abajo con base en las metas de negocio
que determinarán el número de metas
que soportará TI, las metas de TI
decidirán las diferentes necesidades de
las metas de proceso, y cada meta,
establecerá las metas de las actividades.
34
Procesos de TIC
- Los Tres Niveles
Agrupación Natural de procesos,
Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
unidas con delimitación o cortes de
control.
Actividades
Acciones requeridas para lograr un
o tareas resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.
35
El marco de trabajo se creó para
satisfacer las necesidades de
gobernabilidad de TI. Está orientado a:
Negocios
Procesos
Basado en controles
Impulsado por mediciones 36
Orientado al negocio
DOMINIOS
fi
PROCESOS
ca
ACTIVIDADES
ci
Ef a
ic
ie
n c
C ia
on
fi
de
a n
In d cia
te lid
gr
id
D
ad
is
pon
i b
C
i li
on
d
f
NEGOCIO
or
ad
m
i
S
d
APLICACIONES
Figura 15 – El Cubo Cobit
eg
R
ad
E
ri
REQUERIMIENTOS DE
C
d
U INFORMACION
R
ad
S
O
S INFRAESTRUCTURA
D
E
T PERSONAS
I
50
En detalle, el marco de trabajo general
Cobit se muestra en el siguiente gráfico,
con el modelo de procesos de Cobit
compuesto de 4 dominios que contienen
34 procesos genéricos, administrando los
recursos de TI para proporcionar
información al negocio de acuerdo con los
requerimientos del negocio y del gobierno.
51
Objetivos del PO1 Definir un plan estratégico de TI
PO2 Definir la arquitectura de información
Negocio PO3 Determinar la dirección tecnológica
PO4 Definir procesos, organización y relac.
PO5 Administrar la inversión en TI
ME1 Monitorear y evaluar el desempeño Objetivos del gobierno
PO6 Comunicar aspiraciones y la direc.ger.
ME2 Monitorear y evaluar el control Interno
PO7 Administración del Recurso Humano
ME3 Garantizar cumplimiimiento regulatorio
ME4 Proporcionar gobierno de TI CobiT PO8 Administrar calidad
PO9 Evaluar y administrar Riesgos
PO10 Administración de Proyectos
Req. Información
Efectividad, Eficiencia,
Monitorear Confidencialidad, Integridad,
Disponibilidad, Planear y
Y evaluar Cumplimiento, Confiabilidad Organizar
Recursos de TI
Aplicaciones
DS1 Definir y administrar niveles de servicio
DS2 Administrar servicios de terceros Información, Adquirir e
DS3 Adm. Desempeño y capacidad Infraestructura,Personas Implantar
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de serv. e incidentes
DS9 Administrar la configuración Servicios y AI1 Identificar soluciones automatizadas
DS10 Administrar los problemas
DS11 Administración de datos
Soporte AI2 Adquirir y mantener el Sw aplicativo
AI3 Adquirir y mantener la infraestructura tecnológica
DS12 Administrar el ambiente físico AI4 Facilitar la operación y el uso
DS13 Administrar las Operaciones AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
52
Requerimientos de
Información del Negocio
Entrega y
Control sobre el Proceso de TI Soporte
Nombre del Proceso
Evaluación y
Que satisface el requerimiento de negocios de TI para Monitoreo
Resumen de las metas de negocio más importantes
Focalizándose en
Resumen de las metas de TI más importantes
Es conseguido por
Control claves
Gobierno
de TI
Y medido por
Indicadores claves (Métrica)
Administración
de Recursos
P=Primario; S=Secundario 62