P. 1
Auditoria Informatica _ COBIT

Auditoria Informatica _ COBIT

|Views: 836|Likes:
Publicado porjhzcueva

More info:

Published by: jhzcueva on Mar 14, 2013
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PPT, PDF, TXT or read online from Scribd
See more
See less

07/14/2015

pdf

text

original

AUDITORIA EN INFORMATICA

METODOS DE CONTROL EN TI

Control Interno y Auditoría

El Proceso de Auditoría según ISO 12207 (i)

PROCESOS PRINCIPALES ADQUISICIÓN SUMINISTRO DESARROLLO CALIDAD EXPLOTACIÓN

PROCESOS DE SOPORTE DOCUMENTACIÓN GESTIÓN DE CONFIGURACIÓN ASEGURAMIENTO DE VERIFICACIÓN VALIDACIÓN REVISIÓN CONJUNTA AUDITORÍA RESOLUCION DE PROBLEMAS

MANTENIMIENTO

PROCESOS DE LA ORGANIZACIÓN GESTIÓN MEJORA INFRAESTRUCTURA FORMACIÓN

• Debe ser realizado por personas autorizadas con el propósito de mantener una valoración independiente de los productos y procesos del software. • La norma ISO 14764 determina que el PAS da soporte en las siguientes actividades del PMS (Proceso de Mantenimiento del Software): – Aceptación/Revisión del Mantenimiento.El Proceso de Auditoría según ISO (ii) • Según la norma ISO 12207. los planes o los contratos. – Retirada. el Proceso de Auditoría del Software (PAS) es uno de los procesos de soporte. . • Se define como el proceso para determinar el cumplimiento con los requerimientos. – Migración. • Intervienen dos participantes: la parte auditora y la parte auditada.

– Todos los recursos necesarios para realizar la auditoría deberán ser acordados por las partes (incluyendo personal de apoyo. software y herramientas). • Durante la Implementación del Proceso se realizan las siguientes tareas: – Se efectúan auditorías de los hitos predeterminados en el plan del proyecto. locales. – El personal auditor no tendrá responsabilidad directa sobre los productos software y actividades auditados. infraestructura. hardware. y – Auditoría. .El Proceso de Auditoría según ISO (iii) • Consta de dos actividades: – Implementación del Proceso.

y criterios de entrada y salida para la auditoría. los resultados se documentarán y se proporcionarán a la parte auditada. – Las partes deberán acordar el resultado de la auditoría y cualquier responsabilidad y criterio de cierre. – Después de completar una auditoría. . – Los problemas descubiertos durante las auditorías se registrarán y se pasarán al Proceso de Resolución de Problemas. productos software ( y resultados de alguna actividad ) que serán revisados.El Proceso de Auditoría según ISO (iv) … – Para cada auditoría las partes deberán acordar siguientes puntos: agenda. alcance y procedimientos de la auditoría.

– Los datos de prueba cumplen con la especificación.) reflejan la documentación de diseño. etc.El Proceso de Auditoría según ISO (v) • La actividad de auditoría propiamente dicha consta de una única tarea tendiente a garantizar que: – Los elementos software (código. – La revisión de aceptación y los requerimientos de prueba prescritos por la documentación son adecuados para la aceptación de los productos software. .

El Proceso de Auditoría según ISO (vi) – Los productos software fueron suficientemente probados y sus especificaciones cumplidas. – La documentación de usuario cumple los estándares especificados. – Las actividades han sido conducidas de acuerdo con los requerimientos. – Los costes y calendarios se ajustan a los planes establecidos. planes y contratos aplicables. – Los informes de pruebas son correctos y las discrepancias entre resultados actuales y esperados han sido resueltas. .

COBIT : Modelo de Gestión de TI .

DEFINICIÓN Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de la Información y Tecnologías relacionadas) .

con el objetivo de consensuar: •los riesgos del negocio •las necesidades de control •y los aspectos tecnológicos.DEFINICIÓN COBIT es un modelo de gestión y control de TI. mediante la entrega de buenas prácticas aplicables a una estructura lógica de procesos y actividades .

publicitar y promover un actualizado. como por auditores. desarrollar.” . confiable e internacionalmente aceptado conjunto de Objetivos para el control de TI.MISIÓN “Investigar. a ser utilizados en el desarrollo habitual de las operaciones tanto por gerentes del negocio.

AICPA) Íntegro (basado en una revisión crítica y analítica de las tareas y actividades en TI) Flexible   . IIA. ISACA. IFAC.CARACTERÍSTICAS   Orientado al negocio Alineado con estándares y regulaciones “de facto” (COSO.

•Nivel de inversiones en tecnología .Razones que llevan a considerar implantar un modelo de gestión de TI •Dependencia creciente del negocio frente a la información •La Tecnología soporta casi la totalidad de los procesos del negocio •Los desarrollos constantes en TI y en las prácticas de negocio •La responsabilidad por el uso de la tecnología se extiende en la organización •Los cambios más importantes se realizan pero igual continúa la presión hacia el cambio.

crear nuevas oportunidades de negocios y reducir los costos •Incremento de la necesidad de contar con un modelo adecuado de gobernabilidad corporativa (“corporate governance”) •Nuevas normativas (Sarbanes-Oxley act. •Potencial de TI para efectuar cambios profundos en las organizaciones. NTPs) . comunicación 2003/179.Razones que llevan a considerar implantar un modelo de gestión de TI •Constante aumento de vulnerabilidades y un amplio espectro de amenazas.

a su vez. . aunque ciertos procesos se realicen de forma manual y otros mediante el uso de la informática. • La filosofía de CobiT asimila los principios de reingeniería de empresas (BPR) y divide las funciones que ha de realizar un sistema de información en procesos que. a efectos de auditoría. están subdivididos en actividades y tareas más simples.La Metodología CobiT • Control Objectives for Information and Related Technologies. • Los sistemas de información están orientados a los procesos y por tanto su auditoría se debe adaptar a estos conceptos. • Es la principal propuesta metodológica realizada a nivel internacional para abordar la Auditoría de Sistemas de Información. • Propuesta por la ISACF (Information Systems Audit and Control Foundation). el sistema de información de una organización es UNICO. • Supone un paso muy importante al considerar que.

– Usuarios: • Para obtener una garantía en cuanto a la seguridad y control de los servicios de TI proporcionados internamente o por terceras partes. • También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso. – Auditores de Sistemas de Información: • Para dar soporte a las opiniones mostradas a los Gestores sobre los controles internos.Audiencia • CobiT esta diseñado para ser utilizado por tres audiencias distintas: – Gestores: • Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de Tecnologías de la Información (TI) frecuentemente impredecible. . y por todos aquéllos con responsabilidades en el campo de las TI en las empresas.La Metodología CobiT .

y considerando la información como resultado de la aplicación combinada de recursos de TI que necesitan ser administrados por procesos de TI . se basa en que el control en TI se logra obteniendo la información necesaria para apoyar los requerimientos ó procesos del negocio.PRINCIPIOS DE COBIT Requerimientos del negocio Procesos de TI Recursos de TI El concepto o enfoque del marco COBIT.

La Metodología CobiT . la información necesita satisfacer ciertos criterios: – Requerimientos de Calidad: • Calidad • Coste • Entrega (servicio) – Requerimientos Fiduciarios: • Efectividad y eficiencia de las operaciones • Fiabilidad de la información • Cumplimiento de leyes y normas – Requerimientos de Seguridad: • Confidencialidad • Integridad • Disponibilidad .Fundamentos (ii) • Para alcanzar los requerimientos de negocio.

Requerimientos de la Información para el Negocio Para satisfacer los objetivos del negocio la información debe cumplir con criterios que COBIT extrae de los más reconocidos modelos: Requerimientos de calidad (ISO 9000-3) {  Calidad  Costo  Entrega .

Requerimientos fiduciarios (Informe COSO) { {  Eficacia y eficiencia  Confiabilidad de la información  Cumplimiento de leyes y reglamentaciones Requerimientos de seguridad (libro rojo. naranja y otros)  Disponibilidad  Integridad  Confidencialidad .

correcta. se identifican las siguientes siete categorías: Eficacia: se refiere a la relevancia y pertinencia de la información para el proceso de negocio y a su entrega en forma oportuna. consistente y útil. Eficiencia: .Requerimientos de la Información para el Negocio Partiendo de estos tres requerimientos ó criterios amplios. se vincula con la provisión de información mediante el uso óptimo (el más productivo y económico) de los recursos.

Integridad: se vincula con la exactitud y la totalidad de la información.Confidencialidad: se refiere a la protección de la información crítica. También se asocia con la protección de los recursos necesarios y las capacidades asociadas. . contra su divulgación no autorizada. Disponibilidad: se relaciona con el hecho de que la información se encuentre disponible cuando la necesite el proceso de negocio. en el presente y en el futuro. así como también con su validez de acuerdo con los valores y las expectativas de negocio.

Cumplimiento: se refiere al cumplimiento de las leyes. Confiabilidad de la información: se vincula con la provisión de la información adecuada. los criterios de negocio impuestos a nivel externo. vale decir. reglamentaciones y disposiciones contractuales a las que está sujeto el proceso de negocio. para que la gerencia maneje la entidad y ejerza sus responsabilidades de presentación de informes financieros y de cumplimiento. .

sonidos. etc. estructurados y no estructurados. es decir. para alcanzar los objetivos del negocio son los siguientes : Datos: objetos en su sentido más amplio.RECURSOS DE TI Los recursos de TI. . Sistemas de aplicación: se entiende por tales la suma de los procedimientos manuales y programados. gráficos. internos y externos. identificados en COBIT.

Tecnología: la tecnología abarca el hardware, los sistemas operativos, los sistemas de administración de bases de datos, las redes, los multimedios, etc. Instalaciones: recursos diversos utilizados para alojar y dar soporte a los sistemas de información Personas: habilidades, aptitudes, conocimientos y productividad del personal para planificar, organizar, adquirir, entregar, brindar soporte y monitorear los sistemas y servicios de información.

PROCESOS DE TI
“Los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos”.

PROCESOS DE TI
Dominios Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional Conjuntos o series de actividades unidas con delimitación o cortes de control. Acciones requeridas para lograr un resultado medible. Las actividades tienen un ciclo de vida mientras que las tareas son discretas.

Procesos

Actividades o tareas

PROCESOS DE TI Los procesos se agrupan en cuatro grandes dominios: Planeación y Organización (Planning and Organization) Adquisición e implementación (Acquisition and Implementation) Prestación de Servicios y Soporte (Delivery and Support) Seguimiento (monitoring) .

PROCESOS DE TI Las definiciones de los cuatro dominios identificados para la clasificación de alto nivel son: Planificación y Organización Este dominio abarca aspectos estratégicos y tácticos y se vincula con la identificación de la forma en que la tecnología de información puede contribuir más adecuadamente con el logro de los objetivos del negocio. . comunicar y administrar la realización de la visión estratégica desde distintas perspectivas. Además. es preciso planificar. Por último. debe existir una correcta organización e infraestructura tecnológica.

este dominio abarca los cambios y el mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas. . desarrollarse o adquirirse soluciones de Ti y luego implantarse e integrarse en el proceso de negocio.PROCESOS DE TI Adquisición e Implementación Para realizar la estrategia de Ti. deben identificarse. Además.

que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitación. Este dominio incluye el procesamiento real de los datos por los sistemas de aplicación. Para prestar los servicios. deben establecerse los procesos de soporte necesarios. a menudo clasificados como controles de aplicaciones.PROCESOS DE TI Entrega y Soporte En este dominio nos ocupamos de la entrega o prestación efectiva de los servicios requeridos. .

a medida que trascurre el tiempo para determinar su calidad y el cumplimiento de los requerimientos de control. . De este modo.PROCESOS DE TI Monitoreo Es preciso evaluar regularmente todos los procesos de TI. este dominio corresponde al seguimiento de la gerencia sobre los procesos de control de la organización y la garantía independiente provista por la auditoria interna y externa u obtenida de fuentes alternativas.

PROCESOS DE TI Se definen 34 objetivos de control generales (OCGs). uno para cada uno de los procesos de las TI Planeación y Organización Adquisición e Implementación Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios .

PROCESOS DE TI Servicios y Soporte Definición del nivel de servicio Administración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditoría independiente Seguimiento .

procedimientos prácticas y estructuras organizacionales diseñadas para proveer una razonable confiabilidad de que los objetivos del negocio serán alcanzados y que los eventos indeseables serán prevenidos o detectados y corregidos .DEFINICIÓN DE CONTROL EN COBIT Las políticas.

DEFINICIÓN DE OBJETIVO DE CONTROL EN COBIT Es la declaración del resultado deseable o el propósito a lograr (el Que) mediante la implantación de recomendaciones. . procedimientos o técnicas de control (el Como) en determinada actividad de tecnología de la información COBIT explicita cada objetivo del control a nivel de actividades Los 34 OCGs propuestos se concretan en 302 objetivos de control detallados (OCDs).

Estructura (iii) Las tres dimensiones conceptuales de CobiT .La metodología CobiT .

COBIT: Estructura conceptual Se puede enfocar desde tres puntos de vista : Criterios de Información Dominios Procesos de TI Procesos Actividades Personas Sistemas Aplicativos Tecnología Instalaciones Datos .

Europa y Australia .Proyecto COBIT •Steering Comittee representantes de distintos ámbitos •Coordinación ISACAF •Grupos de investigación USA.

EL PRODUCTO COBIT 3ra EDICIÓN Resumen Ejecutivo Herramientas de implementación Marco ReferencialEsquema Objetivos de Alto Nivel Lineamientos Gerenciales Objetivos de Control Detallados Guías de Auditoría Modelos de Madurez Factores Críticos de Éxito Indicadores Clave de Rendimiento Indicadores Clave de Logros .

.

“Como medir la performance” Implementation Guide -.ELEMENTOS    • •  Executive Summary – “Presentación del método” Framework -.“Como auditar” Management Guidelines -.“Controles mínimos” Audit Guidelines -.“Como implementar el método” .“Explicación del método” Control Objectives -.

ESTRUCTURA EVENTOS Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulación Riesgos INFORMACIÓN Datos Applicaciones Tecnología Instalaciones Recursos Humanos Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad .

Recurso Humano Adquisición e Implementación Servicios y Soporte Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios . Confiabilidad Planeación y Organización Recursos de TI Definición del nivel de servicio Admistración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones Datos. Información Seguimiento Efectividad. Aplicaciones Tecnología. Instalaciones. Integridad. Cumplimiento. Eficiencia.Objetivos del Negocio Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento inndependiente Proveer una auditoría independiente CobiT Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Req. Disponibilidad. Confidencialidad.

MARCO DE REFERENCIA Lo que usted Obtiene Procesos del Negocio Lo que Usted Necesita Criterios Información Recursos de TI Datos Aplicaciones Tecnología Instalaciones Recurso Humano Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Concuerdan .

MARCO DE REFERENCIA El control de Procesos de TI que satisfacen Requerimientos de negocios se habilitan por Objetivos De control Prácticas De Control Diagrama de cascada .

Recursos y Criterios El contol de los Procesos de TI que satisface los Criterios de información Requerimientos de Negocio es habilitado por las Declaraciones de Control considerando las Procesos de TI Recursos de TI Prácticas de Control Tres posiciones ventajosas .ASISTENTE DE NAVEGACIÓN Planificación y Organización Adquisición e Implementación Entrega y Soporte Monitoreo S P Vínculo entre Procesos.

P P S S S . difusión o modificaciones no autorizadas. etc. autenticación. manejo de incidentes. uso de perfiles e identificaciones. detección y protección de virus. daño o pérdida Entrega y soporte Monitoreo Es posible por: controles de acceso lógico que aseguren que el acceso a sistemas.OBJETIVOS DE CONTROL DE ALTO NIVEL: DS5 El control sobre el proceso de: administrar la seguridad de los sistemas Organización y planeación Adquisición e implementación Satisface los requerimientos del negocio: salvaguardar información contra uso. firewalls. datos y programas se encuentra restringido a usuarios autorizados Considerando: autorización.

Autenticación y Acceso •Seguridad de Acceso a Datos en Línea •Administración de Cuentas de Usuario •Revisión Gerencial de Cuentas de Usuario •Confianza en Contrapartes •Autorización de transacciones •No negación •Sendero Seguro •Control de Usuarios sobre Cuentas de Usuario •Vigilancia de Seguridad •Clasificación de Datos •Protección de funciones de seguridad •Administración de Llaves Criptográficas •Prevención.Actividades de Control •Administrar Medidas de Seguridad •Reacreditación •Identificación. Detección y Corrección de Software "Malicioso” •Identificación y administración de asignación de derechos •Reportes de Violación y de Actividades de Seguridad •Manejo de Incidentes •Arquitectura de Fire Walls y conexión a redes públicas •Protección de Valores Electrónicos .

Las cinco formas de utilizar COBIT Como una herramienta de comunicación Como una herramienta de organización Como una consenso herramienta para estructurar Como una herramienta de autoevaluación de TI Como una herramienta para determinar el alcance de la tarea de auditoría .

COBIT PERMITE •Posibilidad de aplicar las prácticas en un amplio espectro de sistemas de información. independientemente de la tecnología empleada •Cumplimiento de las generalmente aplicables y aceptadas prácticas para el control de TI •Aumentar el valor de la empresa •Gestión orientada hacia el enfoque de dueños de procesos •Alineación de objetivos de TI con objetivos del negocio •Utilización eficiente y eficaz de los recursos de TI •Gestión medible y auditable .

CAPACITACIÓN Y ENTRENAMIENTO •ADAPTACIÓN A LA ORGANIZACIÓN •FIJAR ROLES Y RESPONSABILIDADES •SER COMPLEMENTADA CON OTROS MODELOS QUE ME PERMITAN CONTAR CON UN GOBIERNO CORPORATIVO ADECUADO .COBIT NECESITA •CONCIENTIZACIÓN.

.

COBIT .

. la consecución de la visión estratégica necesita ser planeada. comunicada y administrada desde diferentes perspectivas.Dominio: Planificación y organización • Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio. • Además.

DOMINIO: Planificación y Organización Proceso: 1 Proceso: 2 Definición de un plan estratégico de TI Definición de la arquitectura de la información Proceso: 3 Proceso: 4 Proceso: 5 Proceso: 6 Determinación de la dirección tecnológica Definición de la organización y el relacionamiento en TI Administración de la inversión en TI Comunicación de los objetivos y directivas de la gerencia .

DOMINIO: Planificación y Organización Proceso: 7 Proceso: 8 Proceso: 9 Administración de los recursos humanos Aseguramiento del cumplimiento de los requerimientos externos Evaluación de riesgos Proceso: 10 Proceso: 11 Administración de proyectos Administración de la calidad .

se deberá evaluar los sistemas existentes en términos de: nivel de automatización de negocio. la alta gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas generales de la organización. costo y fortalezas y debilidades. se deberá asegurar que se establezca un proceso para modificar oportunamente y con precisión el plan a largo plazo de tecnología de información con el fin de adaptar los cambios al plan a largo plazo de la organización y los cambios en las condiciones de la TI – Estudios de factibilidad oportunos. – Los cambios organizacionales. – La definición de objetivos de negocio y necesidades de TI. funcionalidad. estabilidad.Dominio: Planificación y organización • PO1 Definición de un plan Estratégico – Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos de TI de negocio. para que se puedan obtener resultados efectivos . para asegurar sus logros futuros. – El inventario de soluciones tecnológicas e infraestructura actual. con el propósito de determinar el nivel de soporte que reciben los requerimientos del negocio de los sistemas existentes. complejidad.

• PO1 Definición de un plan Estratégico Dominio: Planificación y organización .

. asegurándose que se definan los sistemas apropiados para optimizar la utilización de esta información. a través de la creación y mantenimiento de un modelo de información de negocio. – El diccionario de datos. – La propiedad de la información y la clasificación de severidad con el que se establecerá un marco de referencia de clasificación general relativo a la ubicación de datos en clases de información.Dominio: Planificación y organización • PO2 Definición de la Arquitectura de Información – Objetivo: Satisfacer los requerimientos de negocio. tomando en consideración: – La documentación deberá conservar consistencia con las necesidades permitiendo a los responsables llevar a cabo sus tareas eficiente y oportunamente. el cual incorporara las reglas de sintaxis de datos de la organización y deberá ser continuamente actualizado. organizando de la mejor manera posible los sistemas de información.

Dominio: Planificación y organización • PO2 Definición de la Arquitectura de Información .

satisfaciendo los requerimientos de negocio. a través de la creación y mantenimiento de un plan de infraestructura tecnológica.Dominio: Planificación y organización • PO3 Determinación de la dirección tecnológica – Objetivo: Aprovechar al máximo de la tecnología disponible o tecnología emergente. con lo que se evaluará sistemáticamente el plan de infraestructura tecnológica. – El monitoreo de desarrollos tecnológicos que serán tomados en consideración durante el desarrollo y mantenimiento del plan de infraestructura tecnológica. – Las contingencias (por ejemplo. dirección tecnológica y estrategias de migración. tomando en consideración: – La capacidad de adecuación y evolución de la infraestructura actual. redundancia. que deberá concordar con los planes a largo y corto plazo de tecnología de información y debiendo abarcar aspectos tales como arquitectura de sistemas. resistencia. los cuales deberán reflejar las necesidades identificadas en el plan de infraestructura tecnológica. capacidad de adecuación y evolución de la infraestructura). . – Planes de adquisición.

Dominio: Planificación y organización • PO3 Determinación de la dirección tecnológica .

– La descripción de puestos – Los niveles de asignación de personal – El personal clave . – Supervisión – Segregación de funciones – Los roles y responsabilidades.Dominio: Planificación y organización • PO4 Definición de la organización y de las relaciones de TI – Objetivo: Prestación de servicios de TI – El comité de dirección el cual se encargara de vigilar la función de servicios de información y sus actividades.

Dominio: Planificación y organización • PO4 Definición de la organización y de las relaciones de TI .

Dominio: Planificación y organización • PO5 Manejo de la inversión – Objetivo: tiene como finalidad la satisfacción de los requerimientos de negocio. . asegurando el financiamiento y el control de desembolsos de recursos financieros.

Dominio: Planificación y organización
• PO6 Comunicación de la dirección y aspiraciones de la gerencia
– Objetivo: Asegurar el conocimiento y comprensión de los usuarios sobre las aspiraciones del alto nivel

Dominio: Planificación y organización
• PO7 Administración de recursos humanos
– Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los requerimientos de negocio, a través de técnicas sólidas para administración de personal.

Dominio: Planificación y organización
• PO8 Asegurar el cumplimiento con los requerimientos Externos
– Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales – Para ello se realiza una identificación y análisis de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos

tomando medidas económicas para mitigar los riesgos .Dominio: Planificación y organización • PO9 Evaluación de riesgos – Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI – Para ello se logra la participación de la propia organización en la identificación de riesgos de TI y en el análisis de impacto.

la organización deberá adoptar y aplicar sólidas técnicas de administración de proyectos para cada proyecto emprendido .• PO10 Administración de proyectos Dominio: Planificación y organización – Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversión – Para ello se realiza una identificación y priorización de los proyectos en línea con el plan operacional por parte de la misma organización. Además.

DOMINIO: Adquisición e Implantación Proceso: 12 Proceso: 13 Identificación de soluciones Adquisición y mantenimiento de software de aplicación Proceso: 14 Proceso: 15 Proceso: 16 Proceso: 17 Adquisición y mantenimiento de la infraestructura tecnológica Desarrollo y mantenimiento de procedimientos de TI Instalación y certificación de sistemas Administración de cambios .

desarrolladas o adquiridas. así como implementadas e integradas dentro del proceso del negocio. Además. . las soluciones de Ti deben ser identificadas.Dominio: Adquisición e implementación • Para llevar a cabo la estrategia de TI. este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

• AI1 Identificación de Soluciones Automatizadas Dominio: Adquisición e implementación – Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario – Para ello se realiza un análisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios .

– Para ello se definen declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación estructurada con entregables claros .Dominio: Adquisición e implementación • AI2 Adquisición y mantenimiento del software aplicativo – Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.

• AI3 Adquisición y mantenimiento de la infraestructura tecnológica Dominio: Adquisición e implementación – Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios – Para ello se realizara una evaluación del desempeño del hardware y software. seguridad y control del software del sistema . la provisión de mantenimiento preventivo de hardware y la instalación.

– Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios.• AI4 Desarrollo y mantenimiento de procedimientos Dominio: Adquisición e implementación – Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas. requerimientos de servicio y material de entrenamiento .

• AI5 Instalación y aceptación de los sistemas Dominio: Adquisición e implementación – Objetivo: Verificar y confirmar que la solución sea adecuada para el propósito deseado – Para ello se realiza una migración de instalación. conversión y plan de aceptaciones adecuadamente formalizadas .

alteraciones no autorizadas y errores. implementación y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual .Dominio: Adquisición e implementación • AI6 Administración de los cambios – Objetivo: Minimizar la probabilidad de interrupciones. – Esto se hace posible a través de un sistema de administración que permita el análisis.

DOMINIO: Entrega y Soporte Proceso: 18 Proceso: 19 Definición de los niveles del servicio Administración de los servicios prestados por terceros Proceso: 20 Proceso: 21 Proceso: 22 Administración de la capacidad y del desempeño del sistema Aseguramiento de la continuidad del servicio Establecimiento de pautas para la seguridad de los sistemas Proceso: 23 Identificación e imputación de costos .

DOMINIO: Entrega y Soporte Proceso: 24 Proceso: 25 Educación y capacitación de los usuarios Asistencia y asesoramiento a los clientes de TI Proceso: 26 Proceso: 27 Proceso: 28 Proceso: 29 Proceso: 30 Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de instalaciones Administración de las operaciones .

Dominio: Prestación y soporte • Procesos – Ds1 Definición de niveles de servicio – Ds2 Administración de servicios prestados por terceros – Ds3 Administración de desempeño y capacidad – Ds4 Asegurar el Servicio Continuo – Ds5 Garantizar la seguridad de sistemas – Ds6 Educación y entrenamiento de usuarios – Ds7 Identificación y asignación de costos – Ds8 Apoyo y asistencia a los clientes de TI – Ds9 Administración de la configuración – Ds10 Administración de Problemas – Ds11 Administración de Datos – Ds12 Administración de las instalaciones – Ds13 Administración de la operación .

que abarca desde las operaciones tradicionales hasta el entrenamiento. frecuentemente clasificados como controles de aplicación. . Con el fin de proveer servicios. • Este dominio incluye el procesamiento de los datos por sistemas de aplicación.Dominio: Prestación y soporte • En este dominio se hace referencia a la entrega de los servicios requeridos. pasando por seguridad y aspectos de continuidad. deberán establecerse los procesos de soporte necesarios.

Dominio: Prestación y soporte • Ds1 Definición de niveles de servicio – Objetivo: Establecer una comprensión común del nivel de servicio requerido – Para ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeño contra los cuales se medirá la cantidad y la calidad del servicio .

en cuanto a su efectividad y suficiencia. que cumplan y continúen satisfaciendo los requerimientos – Para ello se establecen medidas de control dirigidas a la revisión y monitoreo de contratos y procedimientos existentes.Dominio: Prestación y soporte • Ds2 Administración de servicios prestados por terceros – Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estén claramente definidas. con respecto a las políticas de la organización .

Dominio: Prestación y soporte • Ds3 Administración de desempeño y capacidad – Objetivo: Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado. manejo y demanda de recursos . – Para ello se realizan controles de manejo de capacidad y desempeño que recopilen datos y reporten acerca del manejo de cargas de trabajo. tamaño de aplicaciones.

que esté alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio .Dominio: Prestación y soporte • Ds4 Asegurar el Servicio Continuo – Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en caso de interrupciones – Para ello se tiene un plan de continuidad probado y funcional.

modificación. datos y programas está restringido a usuarios autorizados . divulgación. daño o pérdida – Para ello se realizan controles de acceso lógico que aseguren que el acceso a sistemas.Dominio: Prestación y soporte • Ds5 Garantizar la seguridad de sistemas – Objetivo: salvaguardar la información contra uso no autorizados.

Dominio: Prestación y soporte • Ds6 Educación y entrenamiento de usuarios – Objetivo: Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados – Para ello se realiza un plan completo de entrenamiento y desarrollo. .

• Ds7 Identificación y asignación de costos Dominio: Prestación y soporte – Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI – Para ello se realiza un sistema de contabilidad de costos que asegure que éstos sean registrados. calculados y asignados a los niveles de detalle requeridos .

Dominio: Prestación y soporte • Ds8 Apoyo y asistencia a los clientes de TI – Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente – Para ello se realiza un Buró de ayuda que proporcione soporte y asesoría de primera línea .

• Ds9 Administración de la configuración Dominio: Prestación y soporte – Objetivo: Dar cuenta de todos los componentes de TI. prevenir alteraciones no autorizadas. verificar la existencia física y proporcionar una base para el sano manejo de cambios – Para ello se realizan controles que identifiquen y registren todos los activos de TI así como su localización física y un programa regular de verificación que confirme su existencia .

además de un conjunto de procedimientos de escalamiento de problemas para resolver de la manera más eficiente los problemas identificados . – Para ello se necesita un sistema de manejo de problemas que registre y dé seguimiento a todos los incidentes.• Ds10 Administración de Problemas Dominio: Prestación y soporte – Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder.

– Lo cual se logra a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI .Dominio: Prestación y soporte • Ds11 Administración de Datos – Objetivo: Asegurar que los datos permanezcan completos. precisos y válidos durante su entrada. salida y almacenamiento. actualización.

calor excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad física. .• Ds12 Administración de las instalaciones Dominio: Prestación y soporte – Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego. polvo.

• Ds13 Administración de la operación Dominio: Prestación y soporte – Objetivo: Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo regularmente y de una manera ordenada – Esto se logra a través de una calendarización de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades .

DOMINIO: Monitoreo Proceso: 31 Proceso: 32 Proceso: 33 Proceso: 34 Monitoreo de los procesos Evaluación de la adecuación del control interno Obtención de aseguramiento independiente Provisión de auditoría independiente .

precisamente. integridad y confidencialidad.Dominio: Monitoreo • Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. . el ámbito de este dominio. Este es.

Dominio: Monitoreo • Procesos – M1 Monitoreo del Proceso – M2 Evaluar lo adecuado del Control Interno – M3 Obtención de Aseguramiento Independiente – M4 Proveer Auditoria Independiente .

Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeño gerenciales y la implementación de sistemas de soporte así como la atención regular a los reportes emitidos.Dominio: Monitoreo • M1 Monitoreo del Proceso – Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. .

comparaciones.. evaluar su efectividad y emitir reportes sobre ellos en forma regular. reconciliaciones y otras acciones rutinarias. – Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a través de actividades administrativas y de supervisión.• M2 Evaluar lo adecuado del Control Interno – Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI. Dominio: Monitoreo .

lo que se logra con el uso de auditorias independientes desarrolladas a intervalos regulares de tiempo. – Para ello la gerencia deberá establecer los estatutos para la función de auditoria. destacando en este documento la responsabilidad.• M4 Proveer Auditoria Independiente Dominio: Monitoreo – Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prácticas de su implementación. autoridad y obligaciones de la auditoria .

• En resumen. la estructura conceptual se puede enfocar desde tres puntos de vista: – Los criterios empresariales que deben satisfacer la información – Los recursos de las TI – Los procesos de TI Las tres dimensiones conceptuales de COBIT .

FIN .

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->