AUDITORIA EN INFORMATICA
METODOS DE CONTROL EN TI
Control Interno y Auditoría
El Proceso de Auditoría según ISO 12207 (i)
PROCESOS PRINCIP PRINCIPALES ALES
ADQUISICIÓN SUMINISTRO DESARROLLO CALIDAD EXPLOTACIÓN MANTENIMIENTO
PROCESOS DE SOPORTE
DOCUMENTACIÓN GESTIÓN DE CONFIGURACIÓN ASEGURAMIENTO DE VERIFICACIÓN VALIDACIÓN REVISIÓN CONJUNT CONJUNTA A AUDITORÍA RESOLUCION DE PROBLEMAS
PROCESOS DE LA ORGANIZACIÓN
GESTIÓN MEJORA
INFRAESTRUCTURA FORMACIÓN
El Proceso de Auditoría según ISO (ii) ISO 12207, el Proceso de Auditoría del Software (PAS) es uno de los procesos de soporte. • Según la norma
• Se define como el proceso para determinar el cumplimiento
con los requerimientos, los planes o los contratos. • Debe ser realizado por personas autorizadas con el
propósito de mantener una valoración independiente de los productos y procesos del software. • Intervienen dos participantes: la parte auditora y la parte
auditada. ISO 14764 determina que el PAS da soporte en las siguientes actividades del PMS (Proceso de Mantenimiento del Software): – Aceptación/Revisión del Mantenimiento. – Migración. • La norma
El Proceso de Auditoría según ISO (iii) • Consta de dos actividades: – Implementación del Proceso ; y – Auditoría .
Implementación del Proceso se realizan las siguientes tareas: • Durante la
– Se efectúan auditorías de los hitos
predeterminados
en el plan del proyecto. – El personal auditor no tendrá responsabilidad directa sobre los productos software y actividades auditados. – Todos los recursos necesarios para realizar la auditoría deberán ser acordados por las partes (incluyendo personal de apoyo, locales, infraestructura, hardware, software y herramientas).
El Proceso de Auditoría según ISO (iv) …
– Para cada auditoría las partes
deberán acordar siguientes
puntos: agenda; productos software ( y resultados de alguna actividad ) que serán revisados; alcance y procedimientos de la auditoría; y criterios de entrada y salida para la auditoría. – Los problemas descubiertos durante las auditorías se registrarán y se pasarán al Proceso de Resolución de Problemas. – Después de completar una auditoría, los resultados se documentarán y se proporcionarán a la parte auditada. – Las partes deberán acordar el resultado de la auditoría y cualquier responsabilidad y criterio de cierre.
El Proceso de Auditoría según ISO (v) • La actividad de auditoría propiamente dicha consta de una
única tarea tendiente a garantizar que: – Los elementos software (código, etc.) reflejan la documentación de diseño. – La revisión de aceptación y los requerimientos de
prueba prescritos por la documentación son adecuados para la aceptación de los productos software. – Los datos de prueba cumplen con
la especificación.
El Proceso de Auditoría según ISO (vi) – Los productos software fueron suficientemente
probados y sus especificaciones cumplidas. – Los informes de pruebas son correctos y las discrepancias entre resultados actuales y esperados han sido resueltas. – La documentación de usuario cumple los estándares especificados. – Las actividades han sido conducidas de acuerdo con los requerimientos, planes y contratos aplicables. – Los costes y calendarios se ajustan a los planes establecidos.
COBIT : Modelo de Gestión de TI
DEFINICIÓN Control OB jectives for Information and Related Technology (Objetivos de Control para Tecnología de la Información y Tecnologías relacionadas)
DEFINICIÓN COBIT es un modelo de gestión y control de TI, con el objetivo de consensuar: •los riesgos del negocio •las necesidades de control •y los aspectos tecnológicos,
mediante la entrega de buenas prácticas aplicables a una estructura lógica de procesos y actividades
MISIÓN “Investigar, desarrollar, publicitar y promover un
actualizado, confiable e internacionalmente aceptado conjunto de Objetivos para el control de TI, a ser utilizados en el desarrollo habitual de las operaciones tanto por gerentes del negocio, como por auditores.”
CARACTERÍSTICAS
Orientado al negocio
Alineado con estándares y regulaciones
“de facto” (COSO, IFAC, IIA, ISACA,
AICPA)
Íntegro (basado en una revisión crítica y analítica de las tareas y actividades en TI) Flexible
Razones que llevan a considerar implantar un modelo de gestión de TI •Dependencia creciente del negocio frente a la
información •La Tecnología soporta casi la totalidad de los procesos del negocio •Los desarrollos constantes en TI y en las prácticas de negocio •La responsabilidad por el uso de la tecnología se extiende en la organización •Los cambios más importantes se realizan pero igual continúa la presión hacia el cambio. •Nivel de inversiones en tecnología
Razones que llevan a considerar implantar un modelo de gestión de TI •Constante aumento de vulnerabilidades y un amplio
espectro de amenazas. •Potencial de TI para efectuar cambios profundos en las organizaciones, crear nuevas oportunidades de negocios y reducir los costos •Incremento de la necesidad de contar con un modelo adecuado de gobernabilidad corporativa (“corporate governance”) •Nuevas normativas (Sarbanes-Oxley act,
comunicación 2003/179, NTPs)
La Metodología CobiT • Control Ob jectives for Information and Related Technologies. • Propuesta por la ISACF (Information Systems Audit and Control
Foundation). • Es la principal propuesta metodológica realizada a nivel internacional
para abordar la Auditoría de Sistemas de Información. • Supone un paso muy importante al considerar que, a efectos de
auditoría, el sistema de información de una organización es UNICO, aunque ciertos procesos se realicen de forma manual y otros mediante el uso de la informática. • La filosofía de CobiT asimila los principios de reingeniería de empresas (BPR) y divide las funciones que ha de realizar un sistema de información en procesos que, a su vez, están subdivididos en actividades y tareas más simples. • Los sistemas de información están orientados a los procesos y por tanto su auditoría se debe adaptar a estos conceptos.
La Metodología CobiT - Audiencia • CobiT esta diseñado para ser utilizado por tres audiencias distintas: – Gestores: • Para ayudarlos a lograr un balance entre los riesgos y las
inversiones en control en un ambiente de Tecnologías de la Información (TI) frecuentemente impredecible. – Usuarios: • Para obtener una garantía en cuanto a la seguridad y control de los
servicios de TI proporcionados internamente o por terceras partes. – Auditores de Sistemas de Información: • Para dar soporte a las opiniones mostradas a los Gestores sobre los
controles internos. • También puede ser utilizado dentro de las empresas por el
responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquéllos con responsabilidades en el campo de las TI en las empresas.
PRINCIPIOS DE COBIT Requerimientos del negocio
Procesos de TI
Recursos de TI
El concepto o enfoque del marco COBIT, se basa en que el control en TI se logra obteniendo la información necesaria para apoyar los requerimientos ó procesos del negocio, y considerando la información como resultado de la aplicación combinada de recursos de TI que necesitan ser administrados por procesos de TI
La Metodología CobiT - Fundamentos (ii) • Para alcanzar los requerimientos de negocio, la
necesita satisfacer ciertos criterios: – Requerimientos de • Calidad • Coste • Entrega (servicio)
Calidad:
– Requerimientos Fiduciarios: • Efectividad y eficiencia de las operaciones • Fiabilidad de la información • Cumplimiento de leyes y normas – Requerimientos de • Confidencialidad • Integridad
Seguridad:
información
Requerimientos de la Información para el Negocio Para satisfacer los objetivos del negocio la información debe cumplir con criterios que COBIT extrae de los más reconocidos modelos:
Requerimientos de calidad (ISO 9000-3)
{
Calidad Costo Entrega
{ {
Requerimientos fiduciarios (Informe COSO)
Requerimientos de seguridad (libro rojo, naranja y otros)
Eficacia y eficiencia Confiabilidad de la información Cumplimiento de leyes y reglamentaciones Disponibilidad Integridad Confidencialidad
Requerimientos de la Información para el Negocio Partiendo de estos tres requerimientos ó criterios amplios, se identifican las siguientes siete categorías: Eficacia:
Eficiencia:
se refiere a la relevancia y pertinencia de la información para el proceso de negocio y a su entrega en forma oportuna, correcta, consistente y útil. se vincula con la provisión de información mediante el uso óptimo (el más productivo y económico) de los recursos.
Confidencialidad: se refiere a la protección de la información crítica, contra su divulgación no autorizada. Integridad:
se vincula con la exactitud y la totalidad de la información, así como también con su validez de acuerdo con los valores y las expectativas de negocio.
Disponibilidad:
se relaciona con el hecho de que la información se encuentre disponible cuando la necesite el proceso de negocio, en el presente y en el futuro. También se asocia con la protección de los recursos necesarios y las capacidades asociadas.
Cumplimiento: se refiere al cumplimiento de las leyes, reglamentaciones y disposiciones contractuales a las que está sujeto el proceso de negocio, vale decir, los criterios de negocio impuestos a nivel externo. Confiabilidad de la información: se vincula con la provisión de la información adecuada, para que la gerencia maneje la entidad y ejerza sus responsabilidades de presentación de informes financieros y de cumplimiento.
RECURSOS DE TI Los recursos de TI, identificados en COBIT, para alcanzar los objetivos del negocio son los siguientes : Datos: objetos en su sentido más amplio, es decir, internos y externos, estructurados y no estructurados, gráficos, sonidos, etc. Sistemas de aplicación: se entiende por tales la suma de los procedimientos manuales y programados.
Tecnología: la tecnología abarca el hardware, los sistemas operativos, los sistemas de administración de bases de datos, las redes, los multimedios, etc. Instalaciones: recursos diversos utilizados para alojar y dar soporte a los sistemas de d e información Personas: habilidades, aptitudes, conocimientos y productividad del personal para planificar, organizar, adquirir, entregar, brindar soporte y monitorear los sistemas y servicios de información.
PROCESOS DE TI “Los recursos de las Tecnologías Tecnologías de la
Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos”.
PROCESOS DE TI Dominios
Procesos
Actividades o tareas
Agrupación natural natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional Conjuntos o series de actividades unidas con delimitación o cortes de control. Acciones requeridas para lograr un Acciones resultado medible. Las actividad actividades es tienen un ciclo de vida mientras que las tareas son discretas.
PROCESOS DE TI Los procesos se agrupan en cuatro grandes dominios: Planeación y Organización (Planning and Organization) Adquisición e implementación (Acquisition and Implementation)
Prestación de Servicios y Soporte (Delivery and Support)
Seguimiento (monitoring)
PROCESOS DE TI Las definiciones de los cuatro dominios identificados para la clasificación de alto nivel son: Planificación y Organización
Este dominio abarca aspectos estratégicos y tácticos y se vincula con la identificación de la forma en que la tecnología de información puede contribuir más adecuadamente con el logro de los objetivos del negocio. Además, es preciso planificar, comunicar y administrar la realización de la visión estratégica desde distintas perspectivas. Por último, debe existir una correcta organización e infraestructura tecnológica.
PROCESOS DE TI Adquisición e Implementación Para realizar la estrategia de Ti, deben identificarse, desarrollarse o adquirirse soluciones de Ti y luego implantarse e integrarse en el proceso de negocio. Además, este dominio abarca los cambios y el mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.
PROCESOS DE TI Entrega y Soporte
En este dominio nos ocupamos de la entrega o prestación efectiva de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitación. Para prestar los servicios, deben establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento real de los datos por los sistemas de aplicación, a menudo clasificados como controles de aplicaciones.
PROCESOS DE TI Monitoreo
Es preciso evaluar regularmente todos los procesos de TI, a medida que trascurre el tiempo para determinar su calidad y el cumplimiento de los requerimientos de control. De este modo, este dominio corresponde al seguimiento de la gerencia sobre los procesos de control de la organización y la garantía independiente provista por la auditoria interna y externa u obtenida de fuentes alternativas.
PROCESOS DE TI Se definen 34 objetivos de control generales (OCGs), uno para cada uno de los procesos de las TI Planeación y Organización
Adquisición e Implementación
Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios
PROCESOS DE TI Servicios y Soporte
Seguimiento
Definición del nivel de servicio Administración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditoría independiente
DEFINICIÓN DE CONTROL EN COBIT Las políticas, procedimientos prácticas y estructuras organizacionales diseñadas para proveer una razonable confiabilidad de que los objetivos del negocio serán alcanzados y que los eventos indeseables serán prevenidos o detectados y corregidos
DEFINICIÓN DE OBJETIVO DE CONTROL EN COBIT Es la declaración del resultado deseable o el propósito a lograr ( el Que) mediante la implantación de recomendaciones, procedimientos o técnicas de control (el Como) en determinada actividad de tecnología de la información COBIT explicita cada objetivo del control a nivel de actividades Los 34 OCGs propuestos se concretan en 302 objetivos de control detallados (OCDs).
La metodología CobiT - Estructura (iii)
Las tres dimensiones conceptuales de CobiT
COBIT: Estructura conceptual Se puede enfocar desde
tres puntos de vista :
Criterios de Información
Dominios
I T e d s Procesos o s e c o r Actividades P
s o v i t s e s a c n i a a o s l í n p i o g c t o A a o s l a r s l a D t e a o n s P m c n I e e t T s i S
Proyecto COBIT •Steering Comittee
representantes de distintos ámbitos •Coordinación
ISACAF •Grupos de investigación
USA, Europa y Australia
EL PRODUCTO COBIT 3ra EDICIÓN Resumen Ejecutivo Herramientas de implementación
Marco ReferencialEsquema Objetivos de Alto Nivel Lineamientos Gerenciales
Modelos de Madurez
Objetivos de Control Detallados Factores Críticos de Éxito
Guías de Auditoría
Indicadores Clave de Rendimiento
Indicadores Clave de Logros
ELEMENTOS
• •
Executive Summary – “Presentación del método” Framework -- “Explicación del método” Control Objectives -- “Controles mínimos” Audit Guidelines -- “Como auditar” Management Guidelines -- “Como medir la performance”
Implementation Guide -- “Como implementar el método”
ESTRUCTURA INFORMACIÓN
EVENTOS Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulación Riesgos
Datos Applicaciones Tecnología Instalaciones Recursos Humanos
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Objetivos del Negocio Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento inndependiente Proveer una auditoría independiente
CobiT
Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad
Req. Información
Seguimiento
Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad
Planeación y Organización
Recursos de TI
Definición del nivel de servicio Admistración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones
Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano
Servicios y Soporte
Adquisición e Implementación Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas
MARCO DE REFERENCIA Lo que usted Obtiene
Procesos del Negocio
Lo que Usted Necesita
Criterios Información Recursos de TI Datos Aplicaciones Tecnología Instalaciones Recurso Humano
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Concuerdan
MARCO DE REFERENCIA El control de
Procesos de TI
que satisfacen
Requerimientos
de negocios
se habilitan por
Objetivos De control
Prácticas De Control
Diagrama de cascada
ASISTENTE DE NAVEGACIÓN Planificación y Organización
S
Vínculo entre Procesos, Recursos y Criterios
P
Procesos de TI que satisface los
Procesos de TI
Recursos de TI
Tres posiciones ventajosas
Entrega y Soporte Monitoreo
El contol de los
Criterios de información
Adquisición e Implementación
Requerimientos de Negocio
es habilitado por las
Declaraciones de Control
considerando las
Prácticas de Control
OBJETIVOS DE CONTROL DE ALTO NIVEL: DS5 El control sobre el proceso de:
Organización y planeación
administrar la seguridad de los sistemas
Adquisición e implementación
Satisface los requerimientos del negocio: salvaguardar información contra uso, difusión o modificaciones no autorizadas, daño o pérdida
Entrega y soporte Monitoreo
Es posible por: controles de acceso lógico que aseguren que el acceso a sistemas, datos y programas se encuentra restringido a usuarios autorizados
Considerando:
P P S S S
autorización, autenticación, uso de perfiles e identificaciones, firewalls, detección y protección de virus, manejo de incidentes, etc.
Actividades de Control •Administrar Medidas de Seguridad
•Reacreditación
•Identificación, Autenticación y Acceso
•Confianza en Contrapartes
•Seguridad de Acceso a Datos en Línea
•Autorización de transacciones
•Administración de Cuentas de Usuario
•No negación
•Revisión Gerencial de Cuentas de Usuario
•Sendero Seguro
•Control de Usuarios sobre Cuentas de
•Protección de funciones de seguridad
Usuario •Vigilancia de Seguridad
•Administración de Llaves Criptográficas •Prevención, Detección y Corrección de
•Clasificación de Datos
Software "Malicioso”
•Identificación y administración de
•Arquitectura de Fire Walls y conexión a
asignación de derechos
redes públicas
•Reportes de Violación y de Actividades de
•Protección de
Seguridad •Manejo de Incidentes
Valores Electrónicos
Las cinco formas de utilizar COBIT Como una herramienta de comunicación Como una herramienta de organización Como una herramienta para estructurar consenso Como una herramienta de autoevaluación de TI Como una herramienta para determinar el alcance de la tarea de auditoría
COBIT PERMITE •Posibilidad de aplicar las prácticas en
un amplio espectro de sistemas de información, independientemente de la tecnología empleada •Cumplimiento de las generalmente aplicables y
aceptadas prácticas para el control de TI •Aumentar el valor de la empresa •Gestión orientada hacia el enfoque de dueños de
procesos
•Alineación de objetivos de TI con objetivos del negocio •Utilización eficiente y eficaz de los •Gestión medible y auditable
recursos de TI
COBIT NECESITA •CONCIENTIZACIÓN, CAPACITACIÓN Y
ENTRENAMIENTO •ADAPTACIÓN A LA ORGANIZACIÓN •FIJAR ROLES Y RESPONSABILIDADES •SER COMPLEMENTADA CON OTROS
MODELOS QUE ME PERMITAN CONTAR CON UN GOBIERNO CORPORATIVO ADECUADO
COBIT
Dominio: Planificación y organización • Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio.
• Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas.
DOMINIO: Planificación y Organización Proceso: 1
Definición de un plan estratégico de TI
Proceso: 2
Definición de la arquitectura de la información
Proceso: 3
Determinación de la dirección tecnológica
Proceso: 4
Definición de la organización y el relacionamiento en TI
Proceso: 5
Administración de la inversión en TI
Proceso: 6
Comunicación de los objetivos y directivas de la gerencia
DOMINIO: Planificación y Organización Proceso: 7
Administración de los recursos humanos
Proceso: 8
Aseguramiento del cumplimiento de los requerimientos externos
Proceso: 9
Evaluación de riesgos
Proceso: 10
Administración de proyectos
Proceso: 11
Administración de la calidad
Dominio: Planificación y organización • PO1 Definición de un plan Estratégico – Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos de TI de negocio, para asegurar sus logros futuros.
– La definición de objetivos de negocio y necesidades de TI, la alta gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas generales de la organización. – El inventario de soluciones tecnológicas e infraestructura actual, se deberá evaluar los sistemas existentes en términos de: nivel de automatización de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el propósito de determinar el nivel de soporte que reciben los requerimientos del negocio de los sistemas existentes. – Los cambios organizacionales, se deberá asegurar que se establezca un proceso para modificar oportunamente y con precisión el plan a largo plazo de tecnología de información con el fin de adaptar los cambios al plan a largo plazo de la organización y los cambios en las condiciones de la TI – Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos
Dominio: Planificación y organización
• PO1 Definición de un plan Estratégico
Dominio: Planificación y organización • PO2 Definición de la Arquitectura de Información – Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas de información, a través de la creación y mantenimiento de un modelo de información de negocio, asegurándose que se definan los sistemas apropiados para optimizar la utilización de esta información, tomando en consideración: – La documentación deberá conservar consistencia con las necesidades permitiendo a los responsables llevar a cabo sus tareas eficiente y oportunamente. – El diccionario de datos, el cual incorporara las reglas de sintaxis de datos de la organización y deberá ser continuamente actualizado. – La propiedad de la información y la clasificación de severidad con el que se establecerá un marco de referencia de clasificación general relativo a la ubicación de datos en clases de información.
Dominio: Planificación y organización • PO2 Definición de la Arquitectura de Información
Dominio: Planificación y organización • PO3 Determinación de la dirección tecnológica – Objetivo: Aprovechar al máximo de la tecnología disponible o
–
– – –
tecnología emergente, satisfaciendo los requerimientos de negocio, a través de la creación y mantenimiento de un plan de infraestructura tecnológica, tomando en consideración: La capacidad de adecuación y evolución de la infraestructura actual, que deberá concordar con los planes a largo y corto plazo de tecnología de información y debiendo abarcar aspectos tales como arquitectura de sistemas, dirección tecnológica y estrategias de migración. El monitoreo de desarrollos tecnológicos que serán tomados en consideración durante el desarrollo y mantenimiento del plan de infraestructura tecnológica. Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuación y evolución de la infraestructura), con lo que se evaluará sistemáticamente el plan de infraestructura tecnológica. Planes de adquisición, los cuales deberán reflejar las necesidades identificadas en el plan de infraestructura tecnológica.
Dominio: Planificación y organización • PO3 Determinación de la dirección tecnológica
Dominio: Planificación y organización • PO4 Definición de la organización y de las relaciones de TI – Objetivo: Prestación de servicios de TI – El comité de dirección el cual se encargara de vigilar la función de servicios de información y sus actividades.
– Supervisión – Segregación de funciones – Los roles y responsabilidades, – La descripción de puestos – Los niveles de asignación de personal – El personal clave
Dominio: Planificación y organización • PO4 Definición de la organización y de las relaciones de TI
Dominio: Planificación y organización • PO5 Manejo de la inversión – Objetivo: tiene como finalidad la satisfacción de los requerimientos de negocio, asegurando el financiamiento y el control de desembolsos de recursos financieros.
Dominio: Planificación y organización aspiraciones iones de • PO6 Comunicación de la dirección y aspirac la gerencia – Objetivo: Asegurar el conocimiento y comprensión de los usuarios sobre las aspiraciones del alto nivel
Dominio: Planificación y organización • PO7 Administración de recursos humanos – Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los requerimientos de negocio, a través de técnicas sólidas para administración de personal.
Dominio: Planificación y organización • PO8 Asegurar el cumplimiento con los requerimientos Externos – Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales – Para ello se realiza una identificación y análisis de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos
Dominio: Planificación y organización • PO9 Evaluación de riesgos – Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI – Para ello se logra la participación de la propia organización en la identificación de riesgos de TI y en el análisis de impacto, tomando medidas económicas para mitigar los riesgos
Dominio: Planificación y organización • PO10 Administración de proyectos – Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversión – Para ello se realiza una identificación y priorización de los proyectos en línea con el plan operacional por parte de la misma organización. Además, la organización deberá adoptar y aplicar sólidas técnicas de administración de proyectos para cada proyecto emprendido
DOMINIO: Adquisición e Implantación Proceso: 12
Identificación de soluciones
Proceso: 13
Adquisición y mantenimiento de software de aplicación
Proceso: 14
Adquisición y mantenimiento de la infraestructura tecnológica
Proceso: 15
Desarrollo y mantenimiento de procedimientos de TI
Proceso: 16
Instalación y certificación de sistemas
Proceso: 17
Administración de cambios
Dominio: Adquisición e implementación • Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
Dominio: Adquisición e implementación
• AI1 Identificación de Soluciones Automatizadas
– Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario
– Para ello se realiza un análisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios
Dominio: Adquisición e implementación • AI2 Adquisición y mantenimiento del software aplicativo – Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.
– Para ello se definen declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación estructurada con entregables claros
Dominio: Adquisición e implementación
• AI3 Adquisición y mantenimiento de la infraestructura tecnológica
– Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios
– Para ello se realizara una evaluación del desempeño del hardware y software, la provisión de mantenimiento preventivo de hardware y la instalación, seguridad y control del software del sistema
Dominio: Adquisición e implementación
• AI4 Desarrollo y mantenimiento de procedimientos
– Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas.
– Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de servicio y material de entrenamiento
Dominio: Adquisición e implementación
• AI5 Instalación y aceptación de los sistemas
– Objetivo: Verificar y confirmar que la solución sea adecuada para el propósito deseado
– Para ello se realiza una migración de instalación, conversión y plan de aceptaciones adecuadamente formalizadas
Dominio: Adquisición e implementación • AI6 Administración de los cambios – Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.
– Esto se hace posible a través de un sistema de administración que permita el análisis, implementación y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual
DOMINIO: Entrega y Soporte Proceso: 18
Definición de los niveles del servicio
Proceso: 19
Administración de los servicios prestados por terceros
Proceso: 20
Administración de la capacidad y del desempeño del sistema
Proceso: 21
Aseguramiento de la continuidad del servicio
Proceso: 22
Establecimiento de pautas para la seguridad de los sistemas
Proceso: 23
Identificación e imputación de costos
DOMINIO: Entrega y Soporte Proceso: 24
Educación y capacitación de los usuarios
Proceso: 25
Asistencia y asesoramiento a los clientes de TI
Proceso: 26
Administración de la configuración
Proceso: 27
Administración de problemas e incidentes
Proceso: 28
Administración de datos
Proceso: 29
Administración de instalaciones
Proceso: 30
Administración de las operaciones
Dominio: Prestación y soporte •
Procesos
– Ds1 Definición de niveles de servicio – Ds2 Administración de servicios prestados por terceros – Ds3 Administración de desempeño y capacidad – Ds4 Asegurar el Servicio Continuo – Ds5 Garantizar la seguridad de sistemas – Ds6 Educación y entrenamiento de usuarios – Ds7 Identificación y asignación de costos – Ds8 Apoyo y asistencia a los clientes de TI – Ds9 Administración de la configuración – Ds10 Administración de Problemas – Ds11 Administración de Datos – Ds12 Administración de las instalaciones Ds13 Administración de la operación
Dominio: Prestación y soporte • En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios.
• Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.
Dominio: Prestación y soporte • Ds1 Definición de niveles de servicio – Objetivo: Establecer una comprensión común del nivel de servicio requerido
– Para ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeño contra los cuales se medirá la cantidad y la calidad del servicio
Dominio: Prestación y soporte • Ds2 Administración de servicios prestados por terceros – Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estén claramente definidas, que cumplan y continúen satisfaciendo los requerimientos – Para ello se establecen medidas de control dirigidas a la revisión y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las políticas de la organización
Dominio: Prestación y soporte • Ds3 Administración de desempeño y capacidad – Objetivo: Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado.
– Para ello se realizan controles de manejo de capacidad y desempeño que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamaño de aplicaciones, manejo y demanda de recursos
Dominio: Prestación y soporte • Ds4 Asegurar el Servicio Continuo – Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en caso de interrupciones
– Para ello se tiene un plan de continuidad probado y funcional, que esté alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio
Dominio: Prestación y soporte • Ds5 Garantizar la seguridad de sistemas – Objetivo: salvaguardar la información contra uso no autorizados, divulgación, modificación, daño o pérdida – Para ello se realizan controles de acceso lógico que aseguren que el acceso a sistemas, datos y programas está restringido a usuarios autorizados
Dominio: Prestación y soporte • Ds6 Educación y entrenamiento de usuarios – Objetivo: Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados
– Para ello se realiza un plan completo de entrenamiento y desarrollo.
Dominio: Prestación y soporte • Ds7 Identificación y asignación de costos – Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI
– Para ello se realiza un sistema de contabilidad de costos que asegure que éstos sean registrados, calculados y asignados a los niveles de detalle requeridos
Dominio: Prestación y soporte • Ds8 Apoyo y asistencia a los clientes de TI – Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente
– Para ello se realiza un Buró de ayuda que proporcione soporte y asesoría de primera línea
Dominio: Prestación y soporte • Ds9 Administración de la configuración – Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de cambios – Para ello se realizan controles que identifiquen y registren todos los activos de TI así como su localización física y un programa regular de verificación que confirme su existencia
Dominio: Prestación y soporte • Ds10 Administración de Problemas – Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder.
– Para ello se necesita un sistema de manejo de problemas que registre y dé seguimiento a todos los incidentes, además de un conjunto de procedimientos de escalamiento de problemas para resolver de la manera más eficiente los problemas identificados
Dominio: Prestación y soporte • Ds11 Administración de Datos – Objetivo: Asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento.
– Lo cual se logra a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI
Dominio: Prestación y soporte
• Ds12 Administración de las instalaciones
– Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad física.
Dominio: Prestación y soporte • Ds13 Administración de la operación – Objetivo: Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo regularmente y de una manera ordenada
– Esto se logra a través de una calendarización de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades
DOMINIO: Monitoreo Proceso: 31
Monitoreo de los procesos
Proceso: 32
Evaluación de la adecuación del control interno
Proceso: 33
Obtención de aseguramiento independiente
Proceso: 34
Provisión de auditoría independiente
Dominio: Monitoreo • Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Este es, precisamente, el ámbito de este dominio.
Dominio: Monitoreo •
Procesos
– M1 Monitoreo del Proceso – M2 Evaluar lo adecuado del Control Interno – M3 Obtención de Aseguramiento Independiente – M4 Proveer Auditoria Independiente
Dominio: Monitoreo • M1 Monitoreo del Proceso – Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeño gerenciales y la implementación de sistemas de soporte así como la atención regular a los reportes emitidos.
Dominio: Monitoreo
• M2 Evaluar lo adecuado del Control Interno – Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI. – Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a través de actividades administrativas y de supervisión, comparaciones, reconciliaciones y otras acciones rutinarias., evaluar su efectividad y emitir reportes sobre ellos en forma regular.
Dominio: Monitoreo
• M4 Proveer Auditoria Independiente
– Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prácticas de su implementación, lo que se logra con el uso de auditorias independientes desarrolladas a intervalos regulares de tiempo. – Para ello la gerencia deberá establecer los estatutos para la función de auditoria, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoria
• En resumen, la estructura conceptual se puede enfocar desde tres puntos de vista: – Los criterios empresariales que deben satisfacer la información
– Los recursos de las TI – Los procesos de TI Las tres dimensiones conceptuales de COBIT
