Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Asclases IV 0
Asclases IV 0
METODOS DE CONTROL Y
GESTION EN TI
Justificacin
Aumento de
la
vulnerabilidad
Automatizacin
de los procesos
y prestacin de
servicios
Beneficios
para alcanzar
los objetivos
Recursos
TICs
Aumento de
la
productividad
Informacin
como recurso
estratgico
Magnitud de
los costos e
inversiones
TIC
Fuente: Rodrguez (2006)
Evidencias
1
Evidencias
8
Junto con las redes sociales otra rea de peligro en el espacio mvil
(Smartphones).
10
11
Riesgo Informtico
La Organizacin Internacional de
Normalizacin (ISO) define riesgo
tecnolgico (Guas para la Gestin de
la Seguridad) como:
La probabilidad de que una amenaza
se materialice de acuerdo al nivel de
vulnerabilidad existente de un activo,
generando un impacto especfico, el
cual puede estar representado por
prdidas y daos.
SENA,
LEONARDO
Y
SIMN
M.
TENZER.
2004.
Introduccin
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
al
Riesgo
Informtico.
Fuente:
Amenaza
Acciones
que
pueden
ocasionar
consecuencias
negativas
en
la
plataforma informtica disponible: fallas,
ingresos no autorizados a las reas de
computo, virus, uso inadecuado de
activos
informticos,
desastres
ambientales (terremotos, inundaciones),
incendios, accesos ilegales a los
sistemas, fallas elctricas.
Pueden ser de tipo lgico o fsico.
Vulnerabilidad
Condiciones inherentes a los
activos o presentes en su entorno
que facilitan que las amenazas
se materialicen.
Se manifiestan como debilidades o
carencias: falta de conocimiento
del
usuario,
tecnologa
inadecuada,
fallas
en
la
transmisin,
inexistencia
de
antivirus, entre otros.
al
Riesgo
Informtico.
Fuente:
Impacto
Consecuencias de la ocurrencia
de
las
distintas
amenazas:
financieras o no financieras.
Administracin de Riesgos
Luego de efectuar el anlisis de riesgo-impacto, el
ciclo de administracin de riesgo finaliza con la
determinacin de las acciones a seguir respecto:
Controlar el riesgo fortaleciendo los controles
existentes o agregar nuevos controles.
Eliminar el riesgo.
Compartir el riesgo mediante acuerdos
contractuales traspasando el riesgo a un tercero
(Ejemplo: seguro, outsourcing de informtica).
Aceptar el riesgo, determinando el nivel de
exposicin.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico.
Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Bajo Nivel de
Vulnerabilidad?
Dao a los
equipos, datos
o informacin
Concrecin
de la
Amenaza
Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
(Daos intencionales o no)
Objetivos: Desafo,
ganancia financiera/poltica,
dao
Causa Fsica (Natural o no)
Confidencialidad
Integridad
Disponibilidad
Prdida de
Dinero
Clientes
Imagen de la Empresa
Disuasivos
Tratar de evitar el
Cuando
fallan los
hecho
preventivos para
tratar de conocer
cuanto antes el
evento
Preventivos
Amenaza o
Riesgo
Operatividad
Plataforma Informtica
Vuelta a la
normalidad cuando
se han producido
incidencias
Tmin
Detectivo
Correctivo
Objetivo de control de TI
Se define como el propsito o resultado que se desea alcanzar, mediante la
implantacin de procedimientos de control para una actividad de TI especfica.
procesos o actividades en
forma ntegra.
informacin y de la
infraestructura tecnologa.
COBIT :
Modelo de
Gestin de TI
Referencia Bibliogrfica
IT GOVERNANCE
INSTITUTE. 2006. COBIT
4.0. Fuente: www.isaca.org
Information Systems Audit and Control Association
Fundada en 1969, ISACA patrocina conferencias
internacionales, publica la revista ISACA Journal y
desarrolla estndares internacionales en control y auditoria
de sistemas de informacin. Tambin administra la respetada
certificacin a nivel mundial como Auditor de Sistemas de
Informacin.
DEFINICIN
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnologa de la
Informacin y Tecnologas relacionadas)
DEFINICIN
COBIT es un modelo de gestin y control de TI,
con el objetivo de consensuar:
los riesgos del negocio
las necesidades de control
y los aspectos tecnolgicos,
mediante la entrega de buenas prcticas aplicables
a una estructura lgica de procesos y actividades
MISIN
Investigar, desarrollar, publicitar y promover un
actualizado, confiable e internacionalmente
aceptado conjunto de Objetivos para el control
de TI, a ser utilizados en el desarrollo habitual
de las operaciones tanto por gerentes del
negocio, como por auditores.
CONCEPTOS BSICOS
ISACA - 95 paises 20.000 miembros
COBIT
Investigacin: E.U-Europa-Australia-Japn
Representatividad
CARACTERSTICAS
Orientado al negocio
Flexible
CONCEPTOS BSICOS
Objetivos
Beneficios
..
COSO
COBIT
QUE
ISO 9000
ISO 27000
(17799)
ITIL
CAMPO DE COBERTURA
COMO
Administracin de TI - Directrices
Directrices
Gobierno Corporativo
Balanced Scorecard
Gobierno de TI
Procesos y Procedimientos
CONFORMIDAD
Basilea II, SarbanesOxley Act, etc
DESEMPEO:
Metas del negocio
COSO
COBIT
ISO
9001:2000
Procedimientos
de QA
ISO
27000
ISO
20000
Principios
de
Seguridad
ITIL
La Metodologa CobiT
Control Objectives for Information and Related Technologies.
Propuesta por la ISACF (Information Systems Audit and Control
Foundation).
Es la principal propuesta metodolgica realizada a nivel internacional
para abordar la Auditora de Sistemas de Informacin.
Supone un paso muy importante al considerar que, a efectos de
auditora, el sistema de informacin de una organizacin es UNICO,
aunque ciertos procesos se realicen de forma manual y otros mediante
el uso de la informtica.
La filosofa de CobiT asimila los principios de reingeniera de
empresas (BPR) y divide las funciones que ha de realizar un sistema
de informacin en procesos que, a su vez, estn subdivididos en
actividades y tareas ms simples.
Los sistemas de informacin estn orientados a los procesos y por
tanto su auditora se debe adaptar a estos conceptos.
CONCEPTOS BSICOS
Modelo CobiT
Origen
ALTA
GERENCIA
LEGISLADORES / REGULADORES
USUARIOS PRESTADORES
DE SERVICIOS
MARCO UNICO
REFERENCIA
PRACTICAS
SEGURIDAD
Y CONTROL
INVERSION CONTROL TI
BALANCE RIESGO/CONTROL
BASE BENCHMARKING
ACREDITACON CONTROL
/SEGURIDAD POR AUDITORES O
TERCEROS
CONFUSIN ESTANDARES
DESGASTE
OPINION V.S.
ALTA GCIA.
CONSULTORES EN
CONTROL/SEG.
TI
AUDITORES
USUARIOS
DE
TI
POR QU COBIT?
La Tecnologa se ve como un
costo, no hay una terminologa
comn con el negocio, y se
recorta el presupuesto en la
seguridad, ya que la falta de
difusion de normas y buenas
prcticas que ayuden a generar
conciencia de los riesgos
mantiene la quimera del :
A mi no me va pasar..
POR QU COBIT?
Gobierno de Tecnologa de Informacin
El rol de la Direccin
POR QU COBIT?
QUINES NECESITAN REGLAS DE JUEGO DEFINIDAS
..
POR QU COBIT?
QUINES NECESITAN REGLAS DE JUEGO DEFINIDAS
ORIENTACIN DE COBIT
ENFOCADO EN EL NEGOCIO, ORIENTADO
A PROCESO, BASADO EN CONTROLES Y
DIRIGIDO POR MEDIDAS.
PRINCIPIOS DE COBIT
Requerimientos
del negocio
Procesos de TI
Recursos de TI
MARCO DE REFERENCIA
Lo que usted
Obtiene
Procesos del
Negocio
Lo que Usted
Necesita
Criterios
Informacin
Recursos de TI
Datos
Aplicaciones
Tecnologa
Instalaciones
Recurso Humano
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Concuerdan
Procesos de TI
Dominios
Procesos
Actividades
Personas
Sistemas Aplicativos
Tecnologa
Instalaciones
Datos
Criterios de Informacin
Requerimientos de la
Informacin para el Negocio
Para satisfacer los objetivos del negocio la
informacin debe cumplir con criterios que COBIT
extrae de los ms reconocidos modelos:
Requerimientos de
calidad (ISO 9000-3)
Calidad
Costo
Entrega
Requerimientos
fiduciarios (Informe
COSO)
Eficacia y eficiencia
Confiabilidad de la informacin
Cumplimiento de leyes y
reglamentaciones
Disponibilidad
Integridad
Confidencialidad
Requerimientos de
seguridad (libro rojo,
naranja y otros)
Requerimientos de la
Informacin para el Negocio
Partiendo de estos tres requerimientos criterios amplios, se
identifican las siguientes siete categoras:
Eficacia:
Eficiencia:
Disponibilidad:
RECURSOS DE TI
Los recursos de TI, identificados en COBIT, para
alcanzar los objetivos del negocio son los siguientes :
Datos: objetos en su sentido ms amplio, es decir,
internos y externos, estructurados
y
no
estructurados, grficos, sonidos, etc.
Sistemas de aplicacin:
se entiende por tales la
suma de los procedimientos manuales y
programados.
Tecnologa:
la tecnologa abarca el hardware,
los sistemas operativos, los sistemas de
administracin de bases de datos, las redes, los
multimedios, etc.
Instalaciones: recursos diversos utilizados para
alojar y dar soporte a los sistemas de informacin
Personas: habilidades, aptitudes, conocimientos
y
productividad del personal para planificar,
organizar, adquirir, entregar, brindar soporte y
monitorear los sistemas y servicios de informacin.
PROCESOS DE TI
Los recursos de las Tecnologas de la
Informacin (TI) se han de gestionar
mediante un conjunto de procesos agrupados
de forma natural para que proporcionen la
informacin que la empresa necesita para
alcanzar sus objetivos.
PROCESOS DE TI
Dominios
Procesos
Actividades
o tareas
Datos
Sistemas de
Aplicacin
Infraestructura
Tecnolgica
Instalaciones
Fsicas
Recursos humanos
Procesos de
trabajo
Planeacin y organizacin
Adquisicin e
implantacin de soluciones
Entrega de servicio y
soporte
Monitoreo
Criterios
de Informacin
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Procesos de
trabajo
Objetivos de Control
Factores Crticos de xito
Indicadores de Resultados
Indicadores de Desempeo
Criterios
de Informacin
Drivers de Gobernabilidad
Gente
Infraestructura
Informacin
Aplicaciones
Resultados de Negocio
Criterios de
Informacin
Recursos
de TI
Indicadores clave
de Rendimiento
Procesos de TI
Objetivos de TI
Procesos
de TI
Indicadores clave
de Objetivos
Objetivos de
Control de Alto
Nivel
El marco de trabajo
COBIT, relaciona los
requerimientos
de
informacin
y
de
gobierno a los objetivos
de la funcin de servicio
de TI.
El modelo de procesos
COBIT permite que las
actividades de TI y los
recursos
que
los
soportan
sean
administrados
y
controlados,
basados
en los objetivos de
control de COBIT, y
alineados
y
monitoreados usando
las mtricas KGI y KPI
de COBIT
COBIT
COBIT
Estructura
del Modelo
Dominios de
Control
en T I
INFORMACION
MONITOREO
EFECTIVIDAD
EFICIENCIA
CONFIDENCIALIDAD
INTEG RIDAD
DISPONIBILIDAD
CUMPLIM IENTO LEG AL
CONFIABILIDAD
PLANEACION Y
ORG ANIZACION
RECURSOS DE TI
DATOS
APLICATIVOS
TECNOLOGIA
FACILIDADES
PERSONAS
ENTREG A Y
SOPORTE
ADQUISICION E
IM PLEM ENTACION
NEGOCIO
Requerimientos
Informacin
Los
Objetivos
de
COBIT
Herramientas
paraControl
ayudar
a brindan
asignar
buenas
prcticas amedir
travs
de un marco
de
responsabilidades,
el desempeo,
llevar
TICS
Vs.
PROCESOS
trabajo
dominios y procesos,
y presenta
las
a cabode benchmarks
() Las
directrices
actividades
en una
estructura
manejable
ayudan a brindar
respuestas
a preguntas
de lay
lgica.
Representan
consenso
de expertos.
administracin:
Queltan
lejos podemos
llegar
Enfocadas
fuertemente
controljustifica
y menos
Medidos
para controlar
la TI?, yen
elel costo
el
por Ayudan
en
la ejecucin.
a optimizarde las
beneficio?
Cules
son los indicadores
un
inversiones
facilitadas
por la son
TI, asegurarn
la
Auditados
buen desempeo?
Cules
las prcticas
ahacen
travs
entrega
del servicio
una medida
administrativas
clave ya brindarn
aplicar? Qu
de
contra
la cual medimos
juzgar cuando
las cosas (IT
no
otros? Cmo
y comparamos?
vayan
bien (IT
Governance
Instituye,
Ejecutados
a 2006).
Governance
Institute,
2006).
Controlados
por
Objetivos de
Control
travs de
Indicadores
de
Desempeo
Indicadores
Meta
Modelo de Madurez
Metas de
Actividades
Directrices
de
Auditora
Prcticas de
Control
Traduccin
Implementacin
Herramientas de
implementacin
Marco Referencial-Esquema
Objetivos de Alto Nivel
Lineamientos
Gerenciales
Modelos de
Madurez
Objetivos de Control
Detallados
Factores Crticos
de xito
Resumen Ejecutivo
Casos de Estudio
Preguntas Frecuentes
Presentaciones Power Point
Guas de Implementacin
Diagnstico Conciencia Administrativa
Diagnstico Control de TI
Guas de
Auditora
Indicadores
Clave de
Rendimiento
Prcticas de
Control
Indicadores
Clave de Logros
COBIT
Aplicacin
del modelo
Dominios
TI (4)
ADMINISTRATIVA
Objetivos de
control (318)
Procesos/
Actividades
(34)
EVALUACION
22
Guas Auditoria
De TI (34)
AUDITORIA
2
1:Nivel Control General 2:Nivel Detallado Control 3:Nivel Detallado Auditora
PROCESOS DE TI
Los procesos se agrupan en cuatro grandes
dominios:
Planeacin y Organizacin
(Planning and Organization)
Adquisicin e implementacin
(Acquisition and Implementation)
Prestacin de Servicios y Soporte
(Delivery and Support)
Seguimiento
(monitoring)
PROCESOS DE TI
Las definiciones de los cuatro dominios identificados para la
clasificacin de alto nivel son:
Planificacin Este dominio abarca aspectos estratgicos y
y
tcticos y se vincula con la identificacin de la
Organizacin forma en que la TI puede contribuir ms
adecuadamente con el logro de los objetivos del
negocio.
Es preciso planificar, comunicar y administrar
la realizacin de la visin estratgica desde
distintas perspectivas.
Debe existir una correcta organizacin e
infraestructura tecnolgica.
PROCESOS DE TI
Adquisicin e
Implementacin
soluciones
que
PROCESOS DE TI
Entrega y En este dominio nos ocupamos de la entrega o
Soporte
prestacin efectiva de los servicios requeridos, que
comprenden desde las operaciones tradicionales
sobre aspectos de seguridad y continuidad hasta la
capacitacin.
Para prestar los servicios, deben establecerse los
procesos de soporte necesarios.
Este dominio incluye el procesamiento real de los
datos por los sistemas de aplicacin, a menudo
clasificados como controles de aplicaciones.
PROCESOS DE TI
Monitoreo
y
evaluacin
DEFINICIN DE OBJETIVO DE
CONTROL EN COBIT
Es la declaracin del resultado deseable o el
propsito a lograr (el Que) mediante la
implantacin de recomendaciones, procedimientos o
tcnicas de control (el Como) en determinada
actividad de tecnologa de la informacin
COBIT explicita cada objetivo del control a nivel de
actividades Los 34 OCGs propuestos se concretan en 302
objetivos de control detallados (OCDs).
DEFINICIN DE CONTROL EN
COBIT
Las polticas, procedimientos prcticas y
estructuras organizacionales diseadas para
proveer una razonable confiabilidad de que los
objetivos del negocio sern alcanzados y que
los eventos indeseables sern prevenidos o
detectados y corregidos
PROCESOS DE TI
Se definen 34 objetivos de control generales (OCGs), uno para cada
uno de los procesos de las TI
Planeacin y
Organizacin
Adquisicin e
Implementacin
PROCESOS DE TI
Servicios y
Soporte
Seguimiento
ELEMENTOS
ESTRUCTURA
INFORMACIN
EVENTOS
Objetivos de
negocio
Oportunidades de
negocio
Requerimientos
externos
Regulacin
Riesgos
Datos
Applicaciones
Tecnologa
Instalaciones
Recursos Humanos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Objetivos del
Negocio
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento inndependiente
Proveer una auditora independiente
CobiT
Req. Informacin
Seguimiento
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad,
Cumplimiento, Confiabilidad
Planeacin y
Organizacin
Recursos de TI
Definicin del nivel de servicio
Admistracin del servicio de terceros
Administracin de la capacidad y el
desempeo
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificacin y asignacin de costos
Capacitacin de usuarios
Soporte a los clientes de TI
Administracin de la configuracin
Administracin de problemas e incidentes
Administracin de datos
Administracin de Instalaciones
Administracin de Operaciones
Datos, Aplicaciones
Tecnologa, Instalaciones,
Recurso Humano
Servicios y
Soporte
Adquisicin e
Implementacin
Identificacin de soluciones
Adquisicin y mantenimiento de SW aplicativo
Adquisicin y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalacin y Acreditacin de sistemas
Administracin de Cambios
MARCO DE REFERENCIA
El control de
Procesos de TI
que satisfacen
Requerimientos
de negocios
se habilitan por
Objetivos
De control
Prcticas
De Control
Diagrama de cascada
ASISTENTE DE NAVEGACIN
Planificacin y
Organizacin
Procesos de TI
que satisface los
Procesos
de TI
Recursos
de TI
Entrega y
Soporte
Monitoreo
El contol de los
Criterios de
informacin
Adquisicin e
Implementacin
Requerimientos
de Negocio
Declaraciones
de Control
considerando las
Prcticas
de Control
Organizacin y
planeacin
Adquisicin e
implementacin
Entrega y
soporte
Monitoreo
Es posible por:
controles de acceso lgico que aseguren que el acceso a
sistemas, datos y programas se encuentra restringido a
usuarios autorizados
Considerando:
P P S S S
Actividades de Control
Administrar Medidas de Seguridad
Reacreditacin
Confianza en Contrapartes
Autorizacin de transacciones
No negacin
Sendero Seguro
Vigilancia de Seguridad
Clasificacin de Datos
Identificacin y administracin de
asignacin de derechos
Manejo de Incidentes
Establecimiento
inadecuado de los
requerimientos
funcionales
Se detectan fallas
en la puesta en
marcha del sistema
automatizado
Objetivos de
Control
(PO) Planear y
Organizar
(AI1) Identificar
soluciones
automatizadas
(ME) Monitorear
y Evaluar
(AI2) Adquirir y
mantener software
(ES) Entregar y
dar soporte
(AI3) Adquirir y
mantener
infraestructura TIC
(AI) Adquirir e
Implementar
(AI4) Facilitar
operacin y uso
Modelo de Madurez
Escala de medicin creciente a partir de 0 (No existente) hasta 5
(Optimizado) para la evaluacin de los procesos a partir de los objetivos
de control (IT Governance Institute, 2006).
No Existente
Inicial
Repetible
Definido
Administrado
Optimizado
Promedio de la Industria
Objetivo de la empresa
herramienta
para
estructurar
COBIT PERMITE
Posibilidad de aplicar las prcticas en un amplio espectro de
sistemas de informacin, independientemente de la tecnologa
empleada
Cumplimiento de las generalmente aplicables y aceptadas
prcticas para el control de TI
Aumentar el valor de la empresa
Gestin orientada hacia el enfoque de dueos de procesos
Alineacin de objetivos de TI con objetivos del negocio
Utilizacin eficiente y eficaz de los recursos de TI
Gestin medible y auditable
COBIT NECESITA
CONCIENTIZACIN, CAPACITACIN Y
ENTRENAMIENTO
ADAPTACIN A LA ORGANIZACIN
FIJAR ROLES Y RESPONSABILIDADES
SER COMPLEMENTADA CON OTROS
MODELOS QUE PERMITAN CONTAR
CON UN GOBIERNO CORPORATIVO
ADECUADO
AI1
AI2
AI3
AI4
AI5
AI6
PERSONAS
DATOS
Adquisicin e
Implementacin
FACILIDADES
Navegacin
(Matriz)
TECNOCLOGA
DOMINIO AI:
APLICACIONES
COBIT
EFECTIVIDAD
EFICIENCIA
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
CUMPLIMIENTO
CONFIABILIDAD
PROCESOS
Identificar soluciones
de IT
P S
Adquirir y mantener
software aplicativo
Adquirir y mantener
arquitectura tecnolgica
Desarrollar y mantener
procedimientos de IT
Instalar y acreditar
sistemas
Administrar los cambios
P P
P P
P P
S S
P P
P P
S S
S S
CRITERIOS
RECURSOS
PRODUCTOS DE COBIT
Informacin
Procesos de TI
Objetivos
de Control
Para resultados
Implementado
con
Indicadores
Clave de
Desempeo
Indicadores
Clave de
Metas
Metas de
las Actividades
Modelo de
Madurez
Guas de
Auditora
Practicas
de Control
DEFINICIN DE PROCESOS DE TI
OBJETIVOS DE CONTROL DE
TI - DETALLADOS
1
La TI como
parte de los
planes a
corto/largo
plazo de la
empresa
Cambios
Enfoque
y
Plan a
al Plan a
estructura
largo
largo
del
Plan
a
plazo de largo plazo
plazo
la TI
de la TI
de la TI
Plan corto
plazo de
la funcin
de
servicios
de TI
REAS DE REVISIN
PO1
y toma en consideracin:
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
PO2
Control sobre el proceso de TI de:
Definicin de la Arquitectura de Informacin
que satisface los requerimientos de negocio de:
organizar de la mejor manera los sistemas de
informacin
se hace posible a travs de:
la creacin y mantenimiento de un modelo de
informacin de negocios y asegurando que se definan
sistemas apropiados para optimizar la utilizacin de
esta informacin
y toma en consideracin:
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
PO5
Control sobre el proceso de TI de:
Manejo o administracin de la inversin de TI
que satisface los requerimientos de negocio de:
asegurar el financiamiento y el control de desembolsos de
recursos financieros
se hace posible a travs de:
Inversin peridica y presupuestos operacionales
establecidos y aprobados por el negocio
y toma en consideracin:
alternativas de financiamiento
Claros responsables del presupuesto
Control sobre los gastos actuales
justificacin de costos y concienciacin sobre el costo total
de la propiedad
j u s ti f icacin del beneficio y contabilizacin de todos los
beneficios
obtenidos
Ciclo de vida del software de aplicacin y de la tecnologa
Alineacin con las estrategias del negocio de la empresa
Anlisis de impacto
Administracin de los activos
REAS DE REVISIN
REAS DE REVISIN
reclutamiento y promocin
Entrenamiento y requerimientos de calificaciones
desarrollo de conciencia
entrenamiento cruzado y rotacin de puestos
Procedimientos para contratacin, veto y despidos
evaluacin objetiva y medible del desempeo
responsabilidades sobre los cambios tcnicos y de mercado
Balance apropiado de recursos internos y externos
Plan de sucesin para posiciones clave
REAS DE REVISIN
PO8
Control sobre el proceso de TI de:
aseguramiento del cumplimiento de requerimientos
externos
que satisface los requerimientos de negocio de:
cumplir con obligaciones legales, regulatorias y
contractuales
se hace posible a travs de:
la identificacin y anlisis de los requerimientos
externos en cuanto a su impacto en TI, y realizando
las
medidas apropiadas para cumplir con ellos
y toma en consideracin:
leyes, regulaciones y contratos
monitoreo de desarrollos legales y regulatorios
Monitoreo regular sobre cumplimiento
seguridad y ergonoma
privacidad
propiedad intelectual
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
y toma en consideracin:
Acuerdos de servicio con terceras partes
Administracin de contrato
Acuerdos de confidencialidad
Requerimientos legales y regulatorios
Monitoreo y reporte de la entrega de servicio
Anlisis de riesgos de la empresa y de TI
Ejecucin de recompensas y sanciones
Contabilidad organizacional interna y externa
Anlisis de costos y variaciones en los niveles de servicio
REAS DE REVISIN
DS3
Control sobre el proceso de TI de:
administracin de desempeo y capacidad
que satisface los requerimientos de negocio de:
asegurar que la capacidad adecuada est disponible y
que se est haciendo el mejor uso de ella para alcanzar
el desempeo deseado
se hace posible a travs de:
Recoleccin de datos, anlisis y reporte del
rendimiento de los recursos, aplicacin de mediciones
y demanda de cargas de trabajo
y toma en consideracin:
requerimientos de disponibilidad y desempeo
monitoreo y reporte automatizado
herramientas de modelado
administracin de capacidad
disponibilidad de recursos
Cambios en precio-rendimiento del hardware y
software
REAS DE REVISIN
y toma en consideracin:
clasificacin de criticidad (severidad)
Procedimientos alternativos
respaldo y recuperacin
pruebas y entrenamiento sistemticos y regulares
Monitoreo y procesos de escalamiento
Responsabilidades organizacionales internas y externas
Activacin de la continuidad del negocio, vuelta atrs
(fallback) y plan de reactivacin
Actividades de administracin de riesgos
Anlisis de puntos nicos de falla
Administracin de problemas
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
acceso a instalaciones
identificacin del sitio (instalacin)
seguridad fsica
Polticas de inspeccin y escalamiento
Plan de continuidad de negocios y administracin de crisis
salud y seguridad del personal
Polticas de mantenimiento preventivo
proteccin contra amenazas ambientales
Monitoreo automatizado
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
INDICE
Introduccin
Marco de referencia
Objetivos de Control
Directrices de auditora
Directrices gerenciales
Gua para la implementacin
REAS DE REVISIN
Directrices de Auditora
1 Directriz genrica
34 Directrices orientadas a procesos
REAS DE REVISIN
REAS DE REVISIN
Directriz
Genrica
de
Auditora
REAS DE REVISIN
REAS DE REVISIN
1) OBTENCIN DE UN ENTENDIMIENTO
Los pasos de auditora que se deben realizar para
documentar las actividades que generan inconvenientes a los
objetivos de control, as como tambin identificar las
medidas/procedimientos de control establecidas.
Entrevistar al personal administrativo y de staff apropiado
para lograr la comprensin de:
Los requerimientos del negocio y los riesgos asociados
La estructura organizacional
Los roles y responsabilidades
Polticas y procedimientos
Leyes y regulaciones
Las medidas de control establecidas
La actividad de reporte a la administracin (estatus,
desempeo, acciones)
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
4) JUSTIFICAR/COMPROBAR EL RIESGO
Los pasos de auditora a realizar para justificar el riesgo
de que no se cumpla el objetivo de control mediante el
uso de tcnicas
analticas y/o consultas a fuentes alternativas. El
objetivo es respaldar la opinin e impresionar a la
administracin para que tome accin. Los auditores
tienen que ser creativos para encontrar y presentar esta
informacin que con frecuencia es sensible y
confidencial.
Documentar las debilidades de control y las amenazas y
vulnerabilidades resultantes.
Identificar y documentar el impacto real y potencial; por
ejemplo, mediante el anlisis de causa-efecto.
Brindar informacin comparativa; por ejemplo, mediante
benchmarks.
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
Directrices de auditora
Son un punto de inicio para identificar
tareas asociadas con determinados
objetivos de control de proceso.
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
Obteniendo:
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
Evaluar la suficiencia:
Probando que:
Las minutas de las reuniones del comit de Planeacin de la
funcin de servicios de informacin reflejan el proceso de
planeacin.
Los entregables de la metodologa de planeacin existen
segn lo indicado.
Se incluyen iniciativas de tecnologa de informacin
relevantes en los planes a corto y largo plazos de la funcin
de servicios de informacin (por ejemplo, cambios de
hardware, planeacin de capacidad, arquitectura de
informacin, desarrollo u obtencin de nuevos sistemas,
planeacin de recuperacin en caso de desastre, instalacin
de plataformas para nuevos procesamientos, etc.).
Las iniciativas de tecnologa de informacin soportan la
investigacin, el entrenamiento, la asignacin de personal,
las instalaciones, el hardware y el software.
REAS DE REVISIN
Evaluar la suficiencia:
Probando que:
Se han identificado las implicaciones tcnicas para las
iniciativas de tecnologa de informacin
Se ha tomado en consideracin la optimizacin de las
inversiones de tecnologa de informacin actuales y futuras
Los planes a corto y largo plazo de tecnologa de
informacin son consistentes con los planes a corto y largo
plazo de la organizacin, as como con los requerimientos
de sta.
Se han modificado los planes para reflejar condiciones
cambiantes.
Los planes a largo plazo de tecnologa de informacin son
traducidos peridicamente en planes a corto plazo.
Existen tareas para implementar los planes.
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
INDICE
Introduccin
Marco de referencia
Objetivos de Control
Directrices de auditora
Directrices gerenciales
Gua para la implementacin
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
Proceso de TI
KGI (goal/objetivo)
Que satisface
Req. de
negocio
Es habilitado por
Declaracin
indicadores medibles
de control
considerando
del proceso para conseguir
Prcticas
de control
su objetivo
f(Req. Del negocio de la cascada )
Influenciados por los criterios de informacin
primarios y secundarios
Una fuente potencial puede encontrarse en la seccin
sustanciar el riesgo de las directrices de auditora
de COBIT
REAS DE REVISIN
Directrices gerenciales
procesos TI
Factores crticos de xito de los controles
Alternativas de implementacin de los
controles
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
NECESIDAD DE RESPUESTA A
LOS RETOS DE TI
Los 7 retos:
Qu no se interrumpa el servicio
Qu aporte valor
Administrar los costos
Dominar la complejidad
Alineacin con el Negocio
Cumplimiento de Regulaciones
Seguridad.
BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas
Los 4 principios:
Dirigir y controlar
Con responsabilidad
Con imputabilidad (Accountability)
Mediante actividades (Procesos)
NECESIDAD DE RESPUESTA A
LOS RETOS DE TI
Principios, participantes, mbito, ventajas
BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas
Las 5 reas:
Alineacin estratgica
Aportacin de Valor
Gestin de Riesgos
Gestin de Recursos
Medidas de Rendimiento
BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas
Las 5 ventajas:
Confianza de la Alta Direccin
TI es co-responsable al negocio
Retorno de Inversin Superior
Servicios ms confiables
Mayor transparencia
Gobierno Corporativo de TI
Gobierno de TI
Val IT 2.0
Administracin
(2008)
Control
Risk IT
(2009)
Auditora
COBIT1
1996
COBIT2
1998
COBIT3
2000
COBIT4.0/4.1 COBIT 5
2005/7
2012
Gobierno Corporativo de TI
ISO/IEC 38500: 2008
COBIT 5
COBIT 5 en Resumen
COBIT 5 rene a los cinco principios
que permiten a la empresa de construir
una gobernabilidad efectiva y un marco
de gestin basado en un conjunto
holstico de siete facilitadores que
optimiza la informacin y la inversin en
tecnologa y el uso para el beneficio de
las partes interesadas.
El marco COBIT 5
En pocas palabras, COBIT 5 ayuda a las empresas a crear
valor ptimo de TI mediante el mantenimiento de un
equilibrio entre la obtencin de beneficios y la optimizacin
de los niveles de riesgo y el uso de los recursos.
COBIT 5 permite que la informacin y la tecnologa
relacionada para ser gobernado y administrado de manera
integral para el conjunto de la empresa, teniendo en el
pleno de extremo a extremo del negocio y reas
funcionales de responsabilidad, teniendo en cuenta los
intereses relacionados con la TI de grupos de inters
internos y externos.
Los principios y los facilitadores de COBIT 5 son de
carcter genrico y til para las empresas de todos los
tamaos, ya sea comercial, sin fines de lucro o en el sector
pblico.
2. Cubrir la
Organizacin de
forma integral
Principios
de COBIT 5
4. Habilitar
un enfoque
holistico
3. Aplicar un
solo marco
integrado
Habilitadores de COBIT 5
3. Estructuras
Organizacionales
2. Procesos
4. Cultura, tica
y Comportamiento
5. Informacin
6. Servicios,
Infraestructura
y Aplicaciones
7. Personas,
Habilidades y
Competencias
RECURSOS
COBIT 5
COSO
COBIT
QUE
ISO 9000
ISO 27001
ITIL
CAMPO DE COBERTURA
COMO
Administracin de TI - Directrices
Directrices
Gobierno Corporativo
Balanced Scorecard
Gobierno de TI
Procesos y Procedimientos
CONFORMIDAD
Basilea II, SarbanesOxley Act, etc
DESEMPEO:
Metas del negocio
COSO
COBIT
ISO
9001:2000
Procedimientos
de QA
ISO
27001
ISO
20000
Principios
de
Seguridad
ITIL
Administracin de TI - Relaciones
ITIL
Estandariza procesos con un claro enfoque a la
Gestin del Servicio Entregables.
ISO 27001 (17799)
Normativa estndar de SEGURIDAD DE LA
INFORMACIN
COBIT
Proporciona un enlace claro entre los
Requerimientos del Gobierno de TI, los Procesos
de TI y los Controles de TI
ITIL
Estandariza procesos con un claro enfoque a
la Gestin del Servicio Entregables.
ITIL 10 procesos,
1.
2.
3.
4.
5.
Gestin
Gestin
Gestin
Gestin
Gestin
de
de
de
de
de
Procesos de soporte
la Configuracin (Configuration Management).
Incidencias (Incident Management).Service Desk
Problemas (Problem Management).
Cambios (Change Management).
la Distribucin (Release Management).
2. Organizacin de Seguridad
3. Clasificacin y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Fsica y Ambiental
6. Gestin de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
COBIT
Proporciona un Enlace Claro entre los Requerimientos del
Gobierno de TI, los Procesos de TI y los Controles de TI
OBJETIVOS DEL NEGOCIO
OBJETIVOS DE GOBIERNO
ME1
ME2
ME3
ME4
Monitorear y Evaluar el
desempeo de TI.
Monitorear y Evaluar el control
interno.
Garantizar el cumplimiento
regulatorio.
Proveer Gobierno de TI.
PO1
PO2
MARCO DE
REFERENCIA
C O B I T
INFORMACION
Integridad
Eficiencia
Efectividad
Cumplimiento
Disponibilidad
Confidencialidad
Confiabilidad
DS1
PLANEACIN
Y
ORGANIZACIN
MONITOREAR
Y
EVALUAR
RECURSOS
DE
TI
Aplicaciones
Informacin
Infraestructura
Personas
ENTREGA
Y
SOPORTE
AI1
AI2
ADQUISICIN
E
IMPLEMENTACIN
AI3
AI4
AI5
AI6
AI7
Identificar soluciones de
automatizacin.
Adquirir y mantener software de
aplicacin.
Adquirir y mantener la
infraestructura tecnolgica.
Permitir la operacin y uso.
Obtener recursos de TI.
Administrar cambios.
Instalar y acreditar soluciones y
cambios.