Upload
cheke-sanchez
View
5
Download
0
Embed Size (px)
DESCRIPTION
COBIT
Citation preview
UNIVERSIDAD TECNOLÓGICA DE CANDELARIA.
ING. EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN.
AUDITORIA DE SISTEMA DE TI.
“UNIDAD II”
TEMA:
COBIT
ALUMNO:
EZEQUIEL SANCHEZ FRANCISCO
10º “B”
Mtro. GILBERTO GARCÍA DELGADO
COBIT
MODELO PARA AUDITORIA Y
CONTROL DE SISTEMAS DE INFORMACIÓN
El COBIT es un modelo para auditar la gestión y control de los sistemas de
información y tecnología, orientado a todos los sectores de una organización, es
decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el
proceso, y para la evaluación y monitoreo que enfatiza en el control de negocios y
la seguridad IT y que abarca controles específicos de IT desde una perspectiva de
negocios.
Las siglas COBIT significan Objetivos de Control para Tecnología de Información y
Tecnologías relacionadas (Control Objectives for Information Systems and related
Technology). El modelo es el resultado de una investigación con expertos de
varios países, desarrollado por ISACA (Information Systems Audit and Control
Association), fue lanzado en 1996, es una herramienta de gobierno de TI que ha
cambiado la forma en que trabajan los profesionales de tecnología. Vinculando
tecnología informática y prácticas de control, el modelo COBIT consolida y
armoniza estándares de fuentes globales prominentes en un recurso crítico para la
gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los
computadores personales y las redes. Está basado en la filosofía de que los
recursos TI necesitan ser administrados por un conjunto de procesos naturalmente
agrupados para proveer la información pertinente y confiable que requiere una
organización para lograr sus objetivos.
La estructura del modelo COBIT propone un marco de acción donde se evalúan
los criterios de información, como por ejemplo la seguridad y calidad, se auditan
los recursos que comprenden la tecnología de información, como por ejemplo el
recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una
evaluación sobre los procesos involucrados en la organización.
La adecuada implementación de un modelo COBIT en una organización, provee
una herramienta automatizada, para evaluar de manera ágil y consistente el
cumplimiento de los objetivos de control y controles detallados, que aseguran que
1EZEQUIEL SÁNCHEZ FRANCISCO
los procesos y recursos de información y tecnología contribuyen al logro de los
objetivos del negocio en un mercado cada vez más exigente, complejo y
diversificado.
El
conjunto de lineamientos y estándares internacionales conocidos como COBIT,
define un marco de referencia que clasifica los procesos de las unidades de
2EZEQUIEL SÁNCHEZ FRANCISCO
tecnología de información de las organizaciones en cuatro “dominios” principales,
a saber:
PLANIFICACION Y ORGANIZACIÓN
Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la
forma en que la tecnología de información puede contribuir de la mejor manera al
logro de los objetivos del negocio. Además, la consecución de la visión estratégica
necesita ser planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, deberán establecerse una organización y una infraestructura
tecnológica apropiadas.
ADQUISION E IMPLANTACION
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas dentro del
proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.
SOPORTE Y SERVICIOS
En este dominio se hace referencia a la entrega de los servicios requeridos, que
abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por
seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán
establecerse los procesos de soporte necesarios. Este dominio incluye el
procesamiento de los datos por sistemas de aplicación, frecuentemente
clasificados como controles de aplicación.
MONITOREO
Todos los procesos necesitan ser evaluados regularmente a través del tiempo
para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los
aspectos de información, como de la tecnología que la respalda. Estos dominios y
objetivos de control facilitan que la generación y procesamiento de la información
cumplan con las características de efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad.
3EZEQUIEL SÁNCHEZ FRANCISCO
Principios: El enfoque del control en TI se lleva a cabo visualizando la
información necesaria para dar soporte a los procesos de negocio y considerando
a la información como el resultado de la aplicación combinada de recursos
relacionados con las TI que deben ser administrados por procesos de TI.
Requerimientos de la información del negocio: Para alcanzar los requerimientos
de negocio, la información necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de
los reportes financieros y Cumplimiento le leyes y regulaciones.
Efectividad: La información debe ser relevante y pertinente para los procesos del
negocio y debe ser proporcionada en forma oportuna, correcta, consistente y
utilizable.
Eficiencia: Se debe proveer información mediante el empleo óptimo de los
recursos (la forma más productiva y económica).
Confiabilidad: Proveer la información apropiada para que la administración tome
las decisiones adecuadas para manejar la empresa y cumplir con sus
Responsabilidades.
Cumplimiento: De las leyes, regulaciones y compromisos contractuales con los
cuales está comprometida la empresa.
Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad
Confidencialidad: Protección de la información sensible contra divulgación no
autorizada.
Integridad: Refiere a lo exacto y completo de la información así como a su validez
de acuerdo con las expectativas de la empresa.
Disponibilidad: Accesibilidad a la información cuando sea requerida por los
procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a
4EZEQUIEL SÁNCHEZ FRANCISCO
la misma. En COBIT se establecen los siguientes recursos en TI necesarios para
alcanzar los objetivos de negocio:
Datos: Todos los objetos de información. Considera información interna y
externa, estructurada o no, gráficas, sonidos, etc.
Aplicaciones: Entendidas como sistemas de información, que integran
procedimientos manuales y sistematizados.
Tecnología: incluye hardware y software básico, sistemas operativos,
sistemas de administración de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a
los sistemas de información.
Recurso humano: Por la habilidad, conciencia y productividad del personal
para planear, adquirir, prestar servicios, dar soporte y monitorear los
sistemas de Información, o de procesos de TI.
USUARIOS
o La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre
el rendimiento de las mismas, analizar el costo beneficio del control.
o Los Usuarios Finales: quienes obtienen una garantía sobre la
seguridad y el control de los productos que adquieren interna y
externamente.
o Los Auditores: para soportar sus opiniones sobre los controles de los
proyectos de TI, su impacto en la organización y determinar el control
mínimo requerido.
o Los Responsables de TI: para identificar los controles que requieren en sus
áreas. También puede ser utilizado dentro de las empresas por el
responsable de un proceso de negocio en su responsabilidad de controlar
los aspectos de información del proceso, y por todos aquellos con
responsabilidades en el campo de la TI en las empresas.
5EZEQUIEL SÁNCHEZ FRANCISCO
Implementación de COBIT 4.0 en Scotiabank, Costa Rica Por Francisco
Herrera Hernández y Manuel Vargas Roldán
Scotiabank conocido como BNS (Bank of Nova Scotia) es uno de los cinco
grandes bancos de Canadá. Ha existido por más de 178 años y tiene presencia en
más de 50 países, siendo el banco más "internacional" de los bancos canadienses
por la cantidad de sucursales que tiene fuera del país, utilizando la red
internacional de sucursales y oficinas en Latinoamérica, Canadá y Estados
Unidos, el Caribe, Europa, Asia y el Pacífico.
En BNS se dio inicio con el proyecto de implementación de COBIT 4.0 con una
encuesta internacional dirigida a los encargados de las direcciones de TI en BNS,
para conocer si alguno de ellos aplica una normativa que implique la
obligatoriedad de contar con procesos basados en el marco de referencia de
COBIT en cualquiera de sus versiones; encontramos gran cantidad de
“scotiabankers” con certificaciones de ISACA, pero ninguna otra sucursal
manifestó poseer regulaciones semejantes a la costarricense, tales como el
acuerdo SUGEF 14-09 aprobado por el Consejo Nacional de Supervisión del
Sistema Financiero de Costa Rica (SUGEF), y tampoco existen otras sucursales
que estén sujetas a lineamientos o directrices parecidos a los que rigen a los
bancos en Costa Rica en el “reglamento sobre la gestión de la tecnología de
información TI incluido en el acuerdo SUGEF 14-09.
Enfrentando el Reto
Para enfrentar el reto de la implementación de los procesos obligatorios siguiendo
los términos y condiciones establecidos por el regulador local, en este caso el
SUGEF, BNS diseñó un plan de ruta (plan diseñado para lograr cumplir en el
menor tiempo posible los objetivos de control de COBIT 4.0) para la priorización
de las medidas a seguir para cumplir con éxito el requerimiento. Este plan
contempló en primer término, el involucramiento del comité de TI con la
participación activa de la alta gerencia y los principales ejecutivos del banco.
6EZEQUIEL SÁNCHEZ FRANCISCO
En un segundo plano se verificó la adecuada implementación de los controles
utilizando los documentos existentes y realizar la tarea de acondicionarlos,
referenciarlos y realizar las homologaciones necesarias, para cumplir tanto con los
controles detallados como con los requerimientos de los niveles de madurez de
COBIT requeridos por el SUGEF, para cada uno de los procesos. Se asignaron
dos funcionarios dedicados de tiempo completo al proyecto, para asegurar la
continuidad y el seguimiento del plan de ruta.
Estrategia de Implementación
La estrategia de implementación definió con claridad los objetivos generales y
específicos, que permitieran al equipo de TI alcanzar los objetivos de manera
efectiva, eficiente y económica, así como de garantizar la disponibilidad de los
recursos requeridos de acuerdo a las tareas programadas, la asignación de
personal comprometido y capaz de ejecutar con excelencia las labores
encomendadas y el seguimiento activo permanente del avance del proyecto por
parte del comité de TI.
El plan analizó en su primera fase, 17 procesos que requieren cumplir con los
niveles de madurez 2 y 3 de acuerdo con el proceso seleccionado. Los procesos
incluidos fueron: PO1, PO3, PO5, PO9, PO10, AI3, AI5, AI6, DS2, DS3, DS4, DS5,
DS9, DS10, DS11, DS12, y el ME2. En la segunda fase de implementación se
analizaron los 17 procesos restantes que deben alcanzar el nivel de madurez 1
para posteriormente alcanzar de manera paulatina el nivel de madurez 3 en un
máximo de 3 años a partir del año 2010.
Dentro del proceso se incluyeron capacitaciones en COBIT y de buen gobierno de
TI, éstas se enfocaron a fortalecer los conocimientos del personal participante en
la implementación.
Resultados Obtenidos
Entre los beneficios que BNS ha recibido al utilizar el marco conceptual de COBIT
4.0 se encuentran los siguientes:
7EZEQUIEL SÁNCHEZ FRANCISCO
Fortalecimiento del alineamiento entre las estrategias de negocio y de TI,
por medio de la coherencia entre dominios y procesos de COBIT
Creación de procesos definidos con estructuras internacionalmente
aceptadas, auditables, medibles y que integren las mejores prácticas de la
industria bancaria
Identificación de los controles claves que deben ser reforzados e
implementados para asegurar un adecuado control interno para TI
Procesos mejorados y más confiables que fortalecen la aplicación de las
prácticas relacionadas con la gestión de los cinco elementos de control que
constituyen el buen gobierno de TI
Lecciones Aprendidas
Esta primera experiencia relacionada con la implementación simultánea de varios
procesos de alto nivel, muchos de los cuales son sumamente complejos y
detallados; además de la necesidad de crear condiciones para que rindan los
beneficios esperados, ha demandado un esfuerzo significativo por parte de la
institución, pero con excelentes resultados.
El esfuerzo ha sido cuantioso en lo económico así como en la cantidad de tiempo
dedicado por los líderes de procesos de BNS, el demandante y continuo
seguimiento, monitoreo y control, como también el involucramiento constante de
toda la organización, la junta directiva, la administración, las jefaturas y la
dirección de TI.
A pesar de las dificultades y el riesgo que involucra la ejecución de un proyecto de
estas dimensiones, la estrategia planteada con anticipación, el seguimiento y toma
de decisiones oportunas y acertadas para retomar el rumbo han rendido los
resultados esperados, que si bien apenas comienzan a emerger, seguramente
generarán un banco más competitivo, ágil, con procesos fortalecidos, con mayor
enfoque de negocio y con una cultura tecnológica envidiable.
8EZEQUIEL SÁNCHEZ FRANCISCO
9EZEQUIEL SÁNCHEZ FRANCISCO
BIBLIOGRAFÍA
http://www.isaca.org/cobit/pages/default.aspx
http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx
http://www.hacienda.go.cr/cifh/sidovih/spaw2/uploads/images/file/COBIT%20audit
%20y%20ctrol%20sists%20inf.pdf
http://www.isaca.org/Knowledge-Center/cobit/cobit-focus/Pages/Implementacion-
de-COBIT-4-0-en-Scotiabank-Costa-Rica.aspx
10EZEQUIEL SÁNCHEZ FRANCISCO