Upload
hernangq
View
2
Download
0
Tags:
Embed Size (px)
DESCRIPTION
Introduccion a Cobit
Citation preview
1
COBIT: Vision General
Desarrollado por:
ISACA
Information Systems Audit and Control Foundation
¿Qué significa COBIT?
2
C Control
OB OBjectives
I for Information
T and Related Technology
3
COBIT - MARCO REFERENCIAL
Audiencia -- Gerencia: Para Ayudarle a Medir el Riesgo y Controlar la Inversión
en un ambiente de TI frecuentemente Impredecible
Audiencia -- Usuarios:
Para tener tranquilidad respecto a la Seguridad y los
Controles de los servicios de TI, Internos y de Terceros
Audiencia -- Auditores: Para Sustentar sus Opiniones y/o Asesorar a la Gerencia
en cuanto a los Controles Internos
COBIT según el nivel y función
• Director Ejecutivo
– Aceptar y proponer COBIT como un modelo para la empresa.
Complementar el entorno de control existente . Además
establecer un lenguaje común entre el negocio y TI
• Gerente de Sistemas
– Aceptar y proponer COBIT como un modelo para planificar,
implementar y monitorear la actividad de TI en toda la
organización. Como un código de Best Practices que
relacionan TI con el negocio. Para detectar y cubrir
necesidades del negocio, nivel de servicio interno o externo
4
COBIT según el nivel y función
• Jefe de Área de TI
– Para detallar los objetivos de control para la estructura de los
servicios de TI, evaluando y focalizándolos en relación con su
aporte al negocio.
• Evaluador de Proyectos
– Como un modelo de aseguramiento de calidad. Un modelo
que asegure la inclusión de las fases mínimas para proyectos
de TI.
• Analista y Desarrollador
– Un modelo que asegure la inclusión de las fases mínimas y
requerimientos básicos (criterios de información) para
desarrollo de sistemas de información.
5
COBIT según el nivel y función
• Operadores / Administradores de sistemas o BD
• Usuarios
– Define los servicios y nivel de los mismos
• Encargados de la Seguridad de la Información
– Para relacionar los objetivos y parámetros de control en la
seguridad de la información con los objetivos del negocio
en cada ciclo.
• Auditores
– Como base que defina el universo y marco referencial de TI
bajo el cual debe ejecutarse la auditoría.
6
7
Principios del
Marco Referencial
Requerimientos del Negocio
Procesos TI Recursos TI
8
Requerimientos del Negocio = Criterios de Información
Requerimientos de Calidad
Calidad
Costo
Entrega
Requerimientos Fiduciarios (Informe COSO)
Eficacia y Eficiencia en las Operaciones
Confiabilidad de la Información
Cumplimiento de Leyes y Regulaciones
Requerimientos de Seguridad Confidencialidad
Integridad
Disponibilidad
9
Datos Objetos de datos en su sentido más amplio; es decir, externos e
internos, estructurados y no estructurados, gráficos, sonidos, etc.
Sistemas de Aplicación Entendidos como la suma de los procedimientos manuales y
programados.
Tecnología Comprende el hardware, los sistemas operativos, los sistemas para
manejo de bases de datos, las redes, multimedia, etc.
Instalaciones Recursos para albergar y soportar los sistemas de información.
Gente Habilidades personales, conciencia y productividad para planear,
organizar, adquirir, entregar y monitorear los sistemas y servicios de
información.
Recursos de la Tecnología de Información
10
Dominios y Procesos TI
Agrupación natural de procesos,
frecuentemente igual al dominio de
responsabilidad organizacional.
Serie de actividades unidas, con
quiebres (controles) naturales.
Acciones necesarias para lograr
un resultado medible. Tienen un
ciclo de vida, en tanto que las
tareas son discretas.
Dominios
Procesos
Actividades
11
El Cubo COBIT
Dominios
Procesos
Actividades
Tareas
Seguridad
Calidad
Fiduciario
s
Gen
teSi
stem
as d
e A
plic
ació
nT
ecno
logí
aIn
stal
acio
nes
Criterios de Información
Pro
ceso
s de
TI
Recurso
s de T
I
Dat
os
12
Principios del Marco Referencial
Procesos del
negocio
Eficacia
Eficiencia
Confidencialidad
Integridad
Disponiblidad
Cumplimiento
Confiabilidad
Gente
Sistemas de Aplicación
Tecnología
Instalaciones
Datos
¿ Lo que recibes concuerdacon lo que necesitas ?
Información
Recursos de TI
Procesos de
control
Criterios de
información
?
13
Los DOMINIOS
* Planeamiento y Organización
* Adquisición e Implantación
* Entrega y Soporte
* Monitoreo
OBJETIVOS DE CONTROL
Guía para el uso de los objetivos
de control
14
Tomando en cuenta
Es habilitado por
Satisface
Requerimientos
de Negocios
Sentencias de
Control
Practicas de
Control
El control de
Procesos de TI
15
Procesos de TI Planeamiento y Organización
•PO 1 Definir un Plan Estratégico de TI
•PO 2 Definir la Arquitectura de Información
•PO 3 Establecer la Orientación Tecnológica
•PO 4 Definir la Organización y las Relaciones de TI
•PO 5 Administrar la Inversión en TI
•PO 6 Comunicar los Objetivos y la Orientación de la Gerencia
•PO 7 Administrar los Recursos Humanos
•PO 8 Asegurar el Cumplimiento de los Requerimientos
Externos
•PO 9 Evaluar los Riesgos
•PO 10 Administrar Proyectos
•PO 11 Administrar la Calidad
16
Procesos de IT
Adquisición e Implantación
AI 1 Identificar Soluciones
AI 2 Adquirir y Mantener el Software Aplicativo
AI 3 Adquirir y Mantener la ArquitecturaTecnológica
AI 4 Desarrollar y Mantener los Procedimientos en TI
AI 5 Instalar y Accredit los Sistemas
AI 6 Manejar los Cambios
17
Procesos de TI
Entrega y Soporte
DS 1 Definir Niveles de Servicio
DS 2 Administrar los Servicios de Terceros
DS 3 Administrar la Performance y la Capacidad
DS 4 Asegurar la Continuidad del Servicio
DS 5 Asegurar la Seguridad de los Sistemas
DS 6 Identificar y Asignar los Costos
DS 7 Educar y Entrenar a los Usuarios
DS 8 Ayudar y Asesorar a los Clientes de TI
DS 9 Administrar la Configuración
DS 10 Administrar los Problemas e Incidentes
DS 11 Administrar los Datos
DS 12 Administrar las Instalaciones
DS 13 Administrar las Operaciones
18
Monitoreo
M 1 Monitorear los Procesos
M 2 Evaluar la Suficiencia del Control Interno
M 3 Obtener Aseguramiento Independiente
M 4 Considerar una Auditoría Independiente
Procesos de TI
19
Los objetivos de la auditoría son:
* brindar a la gerencia una seguridad razonable
de que se están logrando los objetivos de control;
* sustentar los riesgos resultantes provenientes de
las deficiencias de control significativas; y
* asesorar a la gerencia respecto a las acciones
correctivas.
GUÍAS DE AUDITORÍA
20
GUÍAS DE AUDITORÍA
El proceso se audita:
Logrando un conocimiento de lo que requiere el negocio,
los riesgos relacionados y las medidas de control pertinentes
Evaluando cuán adecuados son los controles definidos
Determinando el nivel de cumplimiento mediante
pruebas para verificar que los controles definidos funcionan
según lo establecido, de manera consistente y permanente
Sustentando el riesgo de que no se logren los objetivos
de control, mediante el uso de técnicas analíticas y o fuentes
de consulta alternativas.
Gracias ….
21