ASEGURAMIENTO DE

LA INFORMACIN
MEDIANTE COBIT

HERRAMIENTAS MEYCOR
COBIT CSA Y MEYCOR COBIT AG

Relacin entre COSO y COBIT

Qu es COBIT?
El modelo para implantar Gobierno de TI.
Es un estndar abierto y de amplia difusin.
Consta de 34 procesos y 220 Objetivos de Control de
bajo nivel.
Es 100 % compatible con ISO 17799, COSO I y II, y
con otros estndares de menor nivel de abstraccin
en los que se apoya.
COBIT fija el Qu y los estndares de apoyo el Cmo
en materia de implantacin de Gobierno de TI.

COBIT
Significa: Control Objectives for
Information and Related Technology.
Modelo desarrollado por la ISACA y el
IT Governance Institute (ITGI) para
llevar a la prctica el Gobierno de TI
en las organizaciones.

ISACA
Fundada en 1969.
Es una organizacin lder en Gobernabilidad, Control,
Aseguramiento y Auditora en TI.
Con sede en Chicago USA.
Tiene ms de 60.000 miembros en ms de 100 pases.
Realiza eventos, conferencias, desarrolla estndares
en IT Governance, Assurance and Security.
COBIT:
1ra Edicin 1996
2da Edicin 1988
3ra Edicin 2000
4ta Edicin 2005 (Nov/Dic)

Marco COBIT
REQUERIMIENTOS
DE NEGOCIO

CRITERIOS DE
INFORMACIN

PROCESOS DE
INFORMACIN

RECURSOS DE TI

aplicaciones
informacin
infraestructura
personal

efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad

COBIT 4.0

Aseguramiento de la Informacin
El aseguramiento de la informacin es la base sobre la que
se construye la toma de decisiones de una organizacin. Sin
aseguramiento, las empresas no tienen certidumbre de que
la informacin sobre la que sustentan sus decisiones de
misin crtica es confiable, segura y est disponible cuando
se la necesita.
Definimos Aseguramiento de la Informacin como la
utilizacin de informacin y de diferentes actividades
operativas con el fin de proteger la informacin, los sistemas
de informacin y las redes, de forma de preservar la
disponibilidad, la integridad, la confidencialidad, la
autenticacin y el no repudio, ante el riesgo de impacto de
amenazas locales, o remotas a travs de comunicaciones e
Internet.
Veremos dos importantes tcnicas de aseguramiento, la auto
evaluacin y la auditora de sistemas de informacin.

COBIT: Autoevaluacin de
controles (Meycor COBIT CSA)
Es una tcnica gerencial que asegura a
todos aquellos con intereses en el
negocio, que el sistema de control
interno del mismo es confiable.
Tambin asegura que los empleados son
concientes de los riesgos del negocio, y
que llevan adelante revisiones proactivas
peridicas de los controles.

COBIT Guas de Auditora

(Meycor COBIT AG)
Dan una estructura simple para auditar
los controles en TI.
Son genricas
nivel.

y estructuradas a alto

Permiten la revisin de Procesos contra

los Objetivos de Control en TI.

Se audita mediante los siguientes pasos:

Obtener un entendimiento de los requerimientos
del negocio, los riesgos relacionados, y las medidas
de control relevantes.
Evaluar la conveniencia de los controles
establecidos.
Evaluar el cumplimiento al probar si los controles
establecidos estn funcionando como se espera, de
manera consistente y continua.
Justificar el riesgo de que los objetivos de control
no se estn cumpliendo mediante el uso de
tcnicas analticas y/o consultando fuentes
alternativas.

Gua Genrica de Auditora

Obtener entendimiento
Los pasos de auditora a realizar para documentar las actividades
subyacentes a los objetivos de control, as como tambin
identificar las medidas/procedimientos de control establecidas.
Entrevistar al personal administrativo y de staff indicado para
lograr la comprensin de:

Los requerimientos del negocio y los riesgos asociados.

La estructura organizacional.
Los roles y responsabilidades.
Las medidas de control establecidas.
La actividad de reporte a la administracin (estatus, desempeo,
acciones).

Documentar los recursos de TI relacionados con el proceso que se

ven especialmente afectados por el proceso bajo revisin.
Confirmar
el entendimiento del proceso bajo revisin, los
Indicadores Clave de Desempeo (KPI) del proceso, las
implicaciones de control, por ejemplo, mediante un seguimiento
paso a paso del proceso.

Gua Genrica de Auditora

Evaluacin de los controles
Los pasos de auditora a realizar en la evaluacin de la eficacia de
las medidas de control establecidas o el grado en el que se logra
el objetivo de control. Bsicamente, decidir qu se va a probar, si
se va a probar y cmo se va a probar.
Evaluar la conveniencia de las medidas de control para el proceso
bajo revisin mediante la consideracin de los criterios
identificados y las prcticas estndares de la industria, los
Factores Crticos de xito (CSF) de las medidas de control y la
aplicacin del juicio profesional de auditor.

Existen procesos documentados.

Existen resultados apropiados.
La responsabilidad y es clara y eficaz.
Existen controles compensatorios en donde es necesario.

Concluir el grado en el que se cumple el objetivo de control.

Gua Genrica de Auditora

Valoracin del cumplimiento
Los pasos de auditora a realizar para asegurar que las
medidas de control establecidas estn funcionando
como es debido, de manera consistente y continua, y
concluir sobre la conveniencia de ambiente de control.
Obtener
evidencia
directa
o
indirecta
de
puntos/perodos seleccionados para asegurarse que se
ha cumplido con los procedimientos durante el perodo
de revisin, utilizando evidencia tanto directa como
indirecta.
Realizar una revisin de la suficiencia de los resultados
del proceso.
Determinar el nivel de pruebas justificantes y trabajo
adicional necesarios para asegurar que el proceso de TI
es adecuado.

Gua Genrica de Auditora

Justificar el riesgo
Los pasos de auditora a realizar para justificar el
riesgo de que no se cumpla el objetivo de control
mediante el uso de tcnicas analticas y/o consultas a
fuentes alternativas.
Documentar las debilidades del control y las amenazas
y vulnerabilidades resultantes.
Identificar y documentar el impacto real y potencial;
por ejemplo, mediante el anlisis de causa-raz.
Brindar informacin comparativa; por ejemplo,
mediante puntos de referencia.

Descripcin de los productos

Meycor COBIT CSA y AG

Meycor COBIT CSA

Importancia de los Procesos de TI

Para los procesos definidos por COBIT, se

identifica la importancia, el desempeo, si
ha sido auditado, cmo se procesa y quin es
el responsable.

Meycor COBIT CSA

Auto Evaluacin sobre los controles

Meycor COBIT CSA incluye los Objetivos de

Control de COBIT 4.0 y preguntas de
seguridad de plataformas especficas.

Meycor COBIT CSA

Reporte de la evaluacin

Se presentan los resultados en puntajes.

De este modo se pueden determinar
valores meta.

Meycor COBIT CSA

Diagnstico sobre los Procesos de TI

La lnea roja indica el resultado obtenido.

Cuanto mas prxima al centro, los riesgos se
encuentran menos cubiertos por controles

Meycor COBIT CSA

Evaluaciones de varios Centros de Anlisis

Se pueden ver los resultados en forma

comparativa (plataformas, sucursales,
tecnologas)

Meycor COBIT CSA

Proyectos de Auditora

Permite crear proyectos de auditora, asignar

recursos y gestionarlos.

El objetivo es determinar si los controles del

proceso ofrecen aseguramiento.

Meycor COBIT CSA

Alineamiento con los Objetivos de negocio

Se identifica el alineamiento entre los

Objetivos de TI y los Objetivos de negocio

Meycor COBIT AG
Inventario Tecnolgico

Se identifica cmo los recursos de TI

contribuyen efectivamente al logro de los
objetivos.

Meycor COBIT AG
Relacin entre procesos de COBIT y
Procesos de Negocio

Se genera un mapa de calor a partir de

los recursos de TI y los criterios de
informacin requeridos.

Meycor COBIT AG
Inicio del proceso de auditora

Se registra cuando el supervisor crea un

proyecto y lo asigna a los auditores. Se
establece tambin cuando se est en
desacuerdo con una observacin.

Meycor COBIT AG
Auditando un Proceso de TI

Meycor COBIT AG gua en las diversas Fases

(entrevistas, etc.). Permite registrar tareas,
adjuntar evidencias y registrar observaciones.

Meycor COBIT AG
Guas de Auditora

Los auditores cuentan con guas de auditora

que constituyen una base de conocimiento
que mejora la calidad de la auditora.

Meycor COBIT AG
Registro de tareas

Se identifica quin la ejecut, el tiempo

invertido, comentarios, etc.

Meycor COBIT AG
Hallazgos y recomendaciones

Las observaciones se definen en un formato

que incluye determinar los criterios contra
los que se evala, las consecuencias, etc.

Meycor COBIT AG
Ejemplos de Papeles de Trabajo (I)

Reporte del programa de auditora

por proyecto.

Meycor COBIT AG
Ejemplos de Papeles de Trabajo (II)

Informe sobre el grado de

fortaleza de los controles
auditados.

Meycor COBIT AG
Ejemplos de Papeles de Trabajo (III)

Identificacin de hallazgos, opinin

del auditado, seguimiento, etc.

DATASEC
IT Security & Control

Patria 716 - CP 11300 - Montevideo - Uruguay

Tel: (+598 2) 711-58-78 / 711-04-20
Fax: (+598 2) 711-58-94
Sitio web: www.datasec-soft.com