UNIVERSIDAD TECNOLÓGICA DE CANDELARIA.

ING. EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN.

AUDITORIA DE SISTEMA DE TI.

“UNIDAD II”

TEMA:

COBIT

ALUMNO:

EZEQUIEL SANCHEZ FRANCISCO

10º “B”

Mtro. GILBERTO GARCÍA DELGADO

COBIT

MODELO PARA AUDITORIA Y

CONTROL DE SISTEMAS DE INFORMACIÓN

El COBIT es un modelo para auditar la gestión y control de los sistemas de

información y tecnología, orientado a todos los sectores de una organización, es

decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el

proceso, y para la evaluación y monitoreo que enfatiza en el control de negocios y

la seguridad IT y que abarca controles específicos de IT desde una perspectiva de

negocios.

Las siglas COBIT significan Objetivos de Control para Tecnología de Información y

Tecnologías relacionadas (Control Objectives for Information Systems and related

Technology). El modelo es el resultado de una investigación con expertos de

varios países, desarrollado por ISACA (Information Systems Audit and Control

Association), fue lanzado en 1996, es una herramienta de gobierno de TI que ha

cambiado la forma en que trabajan los profesionales de tecnología. Vinculando

tecnología informática y prácticas de control, el modelo COBIT consolida y

armoniza estándares de fuentes globales prominentes en un recurso crítico para la

gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los

computadores personales y las redes. Está basado en la filosofía de que los

recursos TI necesitan ser administrados por un conjunto de procesos naturalmente

agrupados para proveer la información pertinente y confiable que requiere una

organización para lograr sus objetivos.

La estructura del modelo COBIT propone un marco de acción donde se evalúan

los criterios de información, como por ejemplo la seguridad y calidad, se auditan

los recursos que comprenden la tecnología de información, como por ejemplo el

recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una

evaluación sobre los procesos involucrados en la organización.

La adecuada implementación de un modelo COBIT en una organización, provee

una herramienta automatizada, para evaluar de manera ágil y consistente el

cumplimiento de los objetivos de control y controles detallados, que aseguran que

1EZEQUIEL SÁNCHEZ FRANCISCO

los procesos y recursos de información y tecnología contribuyen al logro de los

objetivos del negocio en un mercado cada vez más exigente, complejo y

diversificado.

El

conjunto de lineamientos y estándares internacionales conocidos como COBIT,

define un marco de referencia que clasifica los procesos de las unidades de

2EZEQUIEL SÁNCHEZ FRANCISCO

tecnología de información de las organizaciones en cuatro “dominios” principales,

a saber:

PLANIFICACION Y ORGANIZACIÓN

Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la

forma en que la tecnología de información puede contribuir de la mejor manera al

logro de los objetivos del negocio. Además, la consecución de la visión estratégica

necesita ser planeada, comunicada y administrada desde diferentes perspectivas.

Finalmente, deberán establecerse una organización y una infraestructura

tecnológica apropiadas.

ADQUISION E IMPLANTACION

Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,

desarrolladas o adquiridas, así como implementadas e integradas dentro del

proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento

realizados a sistemas existentes.

SOPORTE Y SERVICIOS

En este dominio se hace referencia a la entrega de los servicios requeridos, que

abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por

seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán

establecerse los procesos de soporte necesarios. Este dominio incluye el

procesamiento de los datos por sistemas de aplicación, frecuentemente

clasificados como controles de aplicación.

MONITOREO

Todos los procesos necesitan ser evaluados regularmente a través del tiempo

para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los

aspectos de información, como de la tecnología que la respalda. Estos dominios y

objetivos de control facilitan que la generación y procesamiento de la información

cumplan con las características de efectividad, eficiencia, confidencialidad,

integridad, disponibilidad, cumplimiento y confiabilidad.

3EZEQUIEL SÁNCHEZ FRANCISCO

Principios: El enfoque del control en TI se lleva a cabo visualizando la

información necesaria para dar soporte a los procesos de negocio y considerando

a la información como el resultado de la aplicación combinada de recursos

relacionados con las TI que deben ser administrados por procesos de TI.

Requerimientos de la información del negocio: Para alcanzar los requerimientos

de negocio, la información necesita satisfacer ciertos criterios:

Requerimientos de Calidad: Calidad, Costo y Entrega.

Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de

los reportes financieros y Cumplimiento le leyes y regulaciones.

Efectividad: La información debe ser relevante y pertinente para los procesos del

negocio y debe ser proporcionada en forma oportuna, correcta, consistente y

utilizable.

Eficiencia: Se debe proveer información mediante el empleo óptimo de los

recursos (la forma más productiva y económica).

Confiabilidad: Proveer la información apropiada para que la administración tome

las decisiones adecuadas para manejar la empresa y cumplir con sus

Responsabilidades.

Cumplimiento: De las leyes, regulaciones y compromisos contractuales con los

cuales está comprometida la empresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad

Confidencialidad: Protección de la información sensible contra divulgación no

autorizada.

Integridad: Refiere a lo exacto y completo de la información así como a su validez

de acuerdo con las expectativas de la empresa.

Disponibilidad: Accesibilidad a la información cuando sea requerida por los

procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a

4EZEQUIEL SÁNCHEZ FRANCISCO

la misma. En COBIT se establecen los siguientes recursos en TI necesarios para

alcanzar los objetivos de negocio:

Datos: Todos los objetos de información. Considera información interna y

externa, estructurada o no, gráficas, sonidos, etc.

Aplicaciones: Entendidas como sistemas de información, que integran

procedimientos manuales y sistematizados.

Tecnología: incluye hardware y software básico, sistemas operativos,

sistemas de administración de bases de datos, de redes,

telecomunicaciones, multimedia, etc.

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a

los sistemas de información.

Recurso humano: Por la habilidad, conciencia y productividad del personal

para planear, adquirir, prestar servicios, dar soporte y monitorear los

sistemas de Información, o de procesos de TI.

USUARIOS

o La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre

el rendimiento de las mismas, analizar el costo beneficio del control.

o Los Usuarios Finales: quienes obtienen una garantía sobre la

seguridad y el control de los productos que adquieren interna y

externamente.

o Los Auditores: para soportar sus opiniones sobre los controles de los

proyectos de TI, su impacto en la organización y determinar el control

mínimo requerido.

o Los Responsables de TI: para identificar los controles que requieren en sus

áreas. También puede ser utilizado dentro de las empresas por el

responsable de un proceso de negocio en su responsabilidad de controlar

los aspectos de información del proceso, y por todos aquellos con

responsabilidades en el campo de la TI en las empresas.

5EZEQUIEL SÁNCHEZ FRANCISCO

Implementación de COBIT 4.0 en Scotiabank, Costa Rica Por Francisco

Herrera Hernández y Manuel Vargas Roldán

Scotiabank conocido como BNS (Bank of Nova Scotia) es uno de los cinco

grandes bancos de Canadá. Ha existido por más de 178 años y tiene presencia en

más de 50 países, siendo el banco más "internacional" de los bancos canadienses

por la cantidad de sucursales que tiene fuera del país, utilizando la red

internacional de sucursales y oficinas en Latinoamérica, Canadá y Estados

Unidos, el Caribe, Europa, Asia y el Pacífico.

En BNS se dio inicio con el proyecto de implementación de COBIT 4.0 con una

encuesta internacional dirigida a los encargados de las direcciones de TI en BNS,

para conocer si alguno de ellos aplica una normativa que implique la

obligatoriedad de contar con procesos basados en el marco de referencia de

COBIT en cualquiera de sus versiones; encontramos gran cantidad de

“scotiabankers” con certificaciones de ISACA, pero ninguna otra sucursal

manifestó poseer regulaciones semejantes a la costarricense, tales como el

acuerdo SUGEF 14-09 aprobado por el Consejo Nacional de Supervisión del

Sistema Financiero de Costa Rica (SUGEF), y tampoco existen otras sucursales

que estén sujetas a lineamientos o directrices parecidos a los que rigen a los

bancos en Costa Rica en el “reglamento sobre la gestión de la tecnología de

información TI incluido en el acuerdo SUGEF 14-09.

Enfrentando el Reto

Para enfrentar el reto de la implementación de los procesos obligatorios siguiendo

los términos y condiciones establecidos por el regulador local, en este caso el

SUGEF, BNS diseñó un plan de ruta (plan diseñado para lograr cumplir en el

menor tiempo posible los objetivos de control de COBIT 4.0) para la priorización

de las medidas a seguir para cumplir con éxito el requerimiento. Este plan

contempló en primer término, el involucramiento del comité de TI con la

participación activa de la alta gerencia y los principales ejecutivos del banco.

6EZEQUIEL SÁNCHEZ FRANCISCO

En un segundo plano se verificó la adecuada implementación de los controles

utilizando los documentos existentes y realizar la tarea de acondicionarlos,

referenciarlos y realizar las homologaciones necesarias, para cumplir tanto con los

controles detallados como con los requerimientos de los niveles de madurez de

COBIT requeridos por el SUGEF, para cada uno de los procesos. Se asignaron

dos funcionarios dedicados de tiempo completo al proyecto, para asegurar la

continuidad y el seguimiento del plan de ruta.

Estrategia de Implementación

La estrategia de implementación definió con claridad los objetivos generales y

específicos, que permitieran al equipo de TI alcanzar los objetivos de manera

efectiva, eficiente y económica, así como de garantizar la disponibilidad de los

recursos requeridos de acuerdo a las tareas programadas, la asignación de

personal comprometido y capaz de ejecutar con excelencia las labores

encomendadas y el seguimiento activo permanente del avance del proyecto por

parte del comité de TI.

El plan analizó en su primera fase, 17 procesos que requieren cumplir con los

niveles de madurez 2 y 3 de acuerdo con el proceso seleccionado. Los procesos

incluidos fueron: PO1, PO3, PO5, PO9, PO10, AI3, AI5, AI6, DS2, DS3, DS4, DS5,

DS9, DS10, DS11, DS12, y el ME2. En la segunda fase de implementación se

analizaron los 17 procesos restantes que deben alcanzar el nivel de madurez 1

para posteriormente alcanzar de manera paulatina el nivel de madurez 3 en un

máximo de 3 años a partir del año 2010.

Dentro del proceso se incluyeron capacitaciones en COBIT y de buen gobierno de

TI, éstas se enfocaron a fortalecer los conocimientos del personal participante en

la implementación.

Resultados Obtenidos

Entre los beneficios que BNS ha recibido al utilizar el marco conceptual de COBIT

4.0 se encuentran los siguientes:

7EZEQUIEL SÁNCHEZ FRANCISCO

Fortalecimiento del alineamiento entre las estrategias de negocio y de TI,

por medio de la coherencia entre dominios y procesos de COBIT

Creación de procesos definidos con estructuras internacionalmente

aceptadas, auditables, medibles y que integren las mejores prácticas de la

industria bancaria

Identificación de los controles claves que deben ser reforzados e

implementados para asegurar un adecuado control interno para TI

Procesos mejorados y más confiables que fortalecen la aplicación de las

prácticas relacionadas con la gestión de los cinco elementos de control que

constituyen el buen gobierno de TI

Lecciones Aprendidas

Esta primera experiencia relacionada con la implementación simultánea de varios

procesos de alto nivel, muchos de los cuales son sumamente complejos y

detallados; además de la necesidad de crear condiciones para que rindan los

beneficios esperados, ha demandado un esfuerzo significativo por parte de la

institución, pero con excelentes resultados.

El esfuerzo ha sido cuantioso en lo económico así como en la cantidad de tiempo

dedicado por los líderes de procesos de BNS, el demandante y continuo

seguimiento, monitoreo y control, como también el involucramiento constante de

toda la organización, la junta directiva, la administración, las jefaturas y la

dirección de TI.

A pesar de las dificultades y el riesgo que involucra la ejecución de un proyecto de

estas dimensiones, la estrategia planteada con anticipación, el seguimiento y toma

de decisiones oportunas y acertadas para retomar el rumbo han rendido los

resultados esperados, que si bien apenas comienzan a emerger, seguramente

generarán un banco más competitivo, ágil, con procesos fortalecidos, con mayor

enfoque de negocio y con una cultura tecnológica envidiable.

8EZEQUIEL SÁNCHEZ FRANCISCO

9EZEQUIEL SÁNCHEZ FRANCISCO

BIBLIOGRAFÍA

http://www.isaca.org/cobit/pages/default.aspx

http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx

http://www.hacienda.go.cr/cifh/sidovih/spaw2/uploads/images/file/COBIT%20audit

%20y%20ctrol%20sists%20inf.pdf

http://www.isaca.org/Knowledge-Center/cobit/cobit-focus/Pages/Implementacion-

de-COBIT-4-0-en-Scotiabank-Costa-Rica.aspx

10EZEQUIEL SÁNCHEZ FRANCISCO