UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS ADMINISTRATIVAS INGENIERIA EN SISTEMAS ADMINISTRATIVOS COMPUTARIZADOS

Tema: NORMA COBIT Integrantes: SERRANO CASTILLO KAREN YAGUAL BRAVO GERSON SUAREZ JIMENEZ CHRISTIAN CAICEDO ESTRADA JONATHAN ALVARADO PINELA JOSE LUIS CHRISTIAN FIGUEROAS Profesor: CESAR BARRIONUEVO Materia: AUDITORIA DE SISTEMAS Ao Lectivo 2013 - 2014

DEFINICION:
COBIT (Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas) COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Est basado en la filosofa de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.

USUARIOS
La Gerencia: para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas.

CARACTERISTICAS
Orientado al negocio. Basado en una revisin crtica y analtica de las tareas y actividades en TI. Alineado con estndares de control y auditoria

PRINCIPIO
Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas Cumplimiento: de las leyes, regulaciones con los cuales est comprometida la empresa. Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad Confidencialidad: Proteccin de la informacin Disponibilidad: accesibilidad a la informacin cuando sea requerida

Dominio: Planificacin y organizacin.

Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la realizacin de la visin estratgica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnolgica apropiada. Este dominio cubre los siguientes cuestionamientos tpicos de la gerencia: Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI? Se entienden y administran los riesgos de TI?

Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

Procesos
PO1 Definicin de un plan Estratgico. PO2 Definicin de la Arquitectura de Informacin. PO3 Determinacin de la direccin tecnolgica. PO4 Definicin de la organizacin y de las relaciones de TI. PO5 Manejo de la inversin. PO6 Comunicacin de la direccin y aspiraciones de la gerencia. PO7 Administracin de recursos humanos. PO8 Asegurar el cumplimiento con los requerimientos Externos. PO9 Evaluacin de riesgos. PO10 Administracin de proyectos. PO11 Administracin de calidad.

Dominio 2: Adquirir e Implementar.

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas as como implementadas e integradas en los procesos del negocio. Adems, el cambio y el mantenimiento de los sistemas existentes est cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia: Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? Trabajarn adecuadamente los nuevos sistemas una vez sean implementados? Los cambios no afectarn a las operaciones actuales del negocio?

Procesos
AI1 Identificar soluciones de automatizacin. AI2 Adquirir y mantener software de aplicacin. AI3 Adquirir y mantener la infraestructura tecnolgica. AI4 Habilitar la operacin y uso. AI5 Adquirir recursos TI. AI6 Administrar cambios. AI7 Instalar y acreditar soluciones y cambios

Dominio 3: Prestacin y soporte

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin. DOMINIO: Conjunto de procesos agrupados de forma natural. OBJETIVOS DE CONTROL, ALTO NIVEL: Resultado o propsito que se desea alcanzar implementando un procedimiento de control especfico dentro de una actividad. OBJETIVOS DE CONTROL DETALLADOS: Son las actividades que deben realizarse para lograr los resultados esperados. Procesos: 1. Definir niveles de servicio 2. Administrar Servicios de Terceros 3. Administrar Desempeo y Calidad 4. Asegurar Servicio Continuo 5. Garantizar la Seguridad de Sistemas 6. Identificar y Asignar Costos 7. Capacitar Usuarios 8. Asistir a los Clientes de TI 9. Administrar la Configuracin 10. Administrar Problemas e Incidentes 11. Administrar Datos 12. Administrar Instalaciones 13. Administrar Operaciones

1. Definicin de niveles de servicio

Objetivo: Establecer una comprensin comn del nivel de servicio requerido Para ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio y se toma en consideracin: Definicin de las responsabilidades de los usuarios y de la funcin de servicios de informacin. Procedimientos de desempeo que aseguren el desempeo entre todas las partes involucradas Provisiones para elementos sujetos a cargos en los acuerdos de niveles de servicio para hacer posibles comparaciones y decisiones de niveles de servicios contra su costo. Garantas de integridad Convenios de confidencialidad Implementacin de un programa de mejoramiento del servicio.

2.-Administracin de servicios prestados por terceros

Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas, que cumplan y continen satisfaciendo los requerimientos Para ello se establecen medidas de control dirigidas a la revisin y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la organizacin y toma en consideracin: Acuerdos de servicios con terceras partes a travs de contratos entre la organizacin y el proveedor de la administracin de instalaciones. Acuerdos de confidencialidad. Adems, se deber calificar a los terceros y el contrato deber definirse y acordarse para cada relacin de servicio con un proveedor. Requerimientos legales regulatorios de manera de asegurar que estos concuerde con los acuerdos de seguridad identificados, declarados y acordados. Monitoreo de la entrega de servicio con el fin de asegurar el cumplimiento de los acuerdos del contrato.

3.- Administracin de desempeo y capacidad

Objetivo: Asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado. Para ello se realizan controles de manejo de capacidad y desempeo que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos y toma en consideracin: Requerimientos de disponibilidad y desempeo de los servicios de sistemas de informacin. Monitoreo y reporte de los recursos de tecnologa de informacin Utilizar herramientas de modelado apropiadas para producir un modelo del sistema actual para apoyar el pronstico de los

requerimientos de capacidad, confiabilidad de configuracin, desempeo y disponibilidad. Prevenir que se pierda la disponibilidad de recursos mediante la implementacin de mecanismos de tolerancia de fallas, de asignacin equitativos de recursos y de prioridad de tareas.

4.- Asegurar el Servicio Continuo

Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en caso de interrupciones Para ello se tiene un plan de continuidad probada y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio y toma en consideracin: Planificacin de Severidad Plan Documentado Procedimientos Alternativos Respaldo y Recuperacin Pruebas y entrenamiento sistemtico y singulares

5.- Garantizar la seguridad de sistemas

Objetivo: salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdida Para ello se realizan controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados y toma en consideracin: Autorizacin, autenticacin y el acceso lgico junto con el uso de los recursos de TI deber restringirse a travs de la instrumentacin de mecanismos de autenticacin de usuarios identificados y recursos asociados con las reglas de acceso Perfiles e identificacin de usuarios estableciendo procedimientos para asegurar acciones oportunas relacionadas con la requisicin, establecimiento, emisin, suspensin y suspensin de cuentas de usuario Administracin de llaves criptogrficas. Manejo, reporte y seguimiento de incidentes implementado capacidad para la atencin de los mismos Prevencin y deteccin de virus tales como Caballos de Troya, estableciendo adecuadas medidas de control preventivas, detectivas y correctivas. Utilizacin de Firewalls si existe una conexin con Internet u otras redes pblicas en la organizacin

6.- Educacin y entrenamiento de usuarios

Objetivo: Asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades involucrados. Para ello se realiza un plan completo de entrenamiento y desarrollo y se toma en consideracin: Campaas de concientizacin, definiendo los grupos objetivos, identificar y asignar entrenadores y organizar oportunamente las sesiones de entrenamiento Tcnicas de concientizacin proporcionando un programa de educacin y entrenamiento que incluya conducta tica de la funcin de servicios de informacin

7.- Identificacin y asignacin de costos

Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI Para ello se realiza un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos y toma en consideracin: Los elementos sujetos a cargo deben ser recursos identificables, medibles y predecibles para los usuarios Procedimientos y polticas de cargo que fomenten el uso apropiado de los recursos de cmputo y aseguren el trato justo de los departamentos usuarios y sus necesidades. Tarifas definiendo e implementando procedimientos de costeo de prestar servicios, para ser analizados, monitoreados, evaluados asegurando al mismo tiempo la economa.

8.- Apoyo y asistencia a los clientes de TI

Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente. Para ello se realiza un Bur de ayuda que proporcione soporte y asesora de primera lnea y toma en consideracin: Consultas de usuarios y respuesta a problemas estableciendo un soporte de una funcin de bur de ayuda Monitoreo de consultas y despacho estableciendo procedimientos que aseguren que las preguntas de los clientes que pueden ser resueltas sean reasignadas al nivel adecuado para atenderlas Anlisis y reporte de tendencias adecuado de las preguntas de los clientes y su solucin, de los tiempos de respuesta y la identificacin de tendencias

9.- Administracin de la configuracin

Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de cambios. Para ello se realizan controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia y toma en consideracin:

Registro de activos estableciendo procedimientos para asegurar que sean registrados nicamente elementos de configuracin autorizados e identificables en el inventario, al momento de adquisicin Administracin de cambios en la configuracin asegurando que los registros de configuracin reflejen el status real de todos los elementos de la configuracin Chequeo de software no autorizado revisando peridicamente las computadoras personales de la organizacin Controles de almacenamiento de software definiendo un rea de almacenamiento de archivos para todos los elementos de software vlidos en las fases del ciclo de vida de desarrollo de sistemas.

10.- Administracin de Problemas

Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder. Para ello se necesita un sistema de manejo de problemas que registre y d seguimiento a todos los incidentes, adems de un conjunto de procedimientos de escalamiento de problemas para resolver de la manera ms eficiente los problemas identificados. Este sistema de administracin de problemas deber tambin realizar un seguimiento de las causas a partir de un incidente dado.

11.- Administracin de Datos

Objetivo: Asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin, salida y almacenamiento. Lo cual se logra a travs de una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI. Para tal fin, la gerencia deber disear formatos de entrada de datos para los usuarios de manera que se minimicen lo errores y las omisiones durante la creacin de los datos. Este proceso deber controlar los documentos fuentes (de donde se extraen los datos), de manera que estn completos, sean precisos y se registren apropiadamente. La gerencia deber asegurar tambin la integridad, autenticidad y confidencialidad de los datos almacenados, definiendo e implementando procedimientos para tal fin.

12.- Administracin de las instalaciones

Objetivo: Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad fsica.

13.- Administracin de la operacin

Objetivo: Asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada Esto se logra a travs de una calendarizacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades. Para ello, la gerencia deber establecer y documentar procedimientos para las operaciones de tecnologa de informacin (incluyendo operaciones de red), los cuales debern ser revisados peridicamente para garantizar su eficiencia y cumplimiento.

DOMINIO 4: MONITOREAR Y EVALUAR

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno. Por lo general abarca las siguientes preguntas de la gerencia: Se mide el desempeo de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeo de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeo? Monitorear los procesos. Evaluar la adecuacin de control interno. Lograr garantas independientes. Disponer de auditoria interna. Aplicacin de las Normas COBIT Informe de Auditoria Entidad Auditada: ARCO IRIS SCHOOL Organizacin: Colegio Privado que brinda un servicio de educacin a nios de nivel inicial y primario Objetivos de la Organizacin: Ofrecer el servicio de una excelente educacin Incrementar cada ao el nmero de inscriptos para obtener mayor rentabilidad y ampliar la comunidad educativa. Transmitir a la comunidad en general el perfil institucional y los beneficios que los alumnos obtienen por una educacin personalizada. Departamento de administracin de personal: Comprende todo lo relacionado con el desarrollo y administracin de polticas y programas que provean una estructura organizativa eficiente, empleados calificados, tratamiento equitativo, oportunidades de progreso, satisfaccin en el trabajo y adecuada seguridad de empleo. Objetivo: perfeccionar al personal con el perfil Institucional Seleccionar docentes que respondan a los requerimientos del proyecto educativo institucional Realizar durante la seleccin de personal talleres de capacitacin y evaluacin de inteligencia emocional y desarrollo de la persona. Seleccionar docentes con muy buenas referencias

Los docentes de asignaturas especiales (plstica, msica, deportes, etc.) deben tener experiencias mnimas en mas de una escuela y estar abalados con referencias por escrito La Direccin acadmica debe evaluar constantemente el trabajo de los docentes y elevar los informes a la direccin general. Funciones Subfunsiones - Tareas: 1-Realizar el reclutamiento: lograr que todos los puestos estn cubiertos por personal competente que cubran el perfil institucional por un costo razonable. Buscar los postulantes (docentes y no docentes) Anlisis de las necesidades del cargo Desarrollo de especificaciones de trabajo Anlisis de las fuentes de empleados potenciales Atraccin de los posibles postulantes 2.-Realizar el proceso de seleccin: Anlisis de la capacidad de los aspirantes para decidir cual tiene mayores posibilidades. Entrevistar los postulantes Realizar talleres de Pruebas de inteligencia emocional. Determinar los servicios sociales para los empleados. 2-Administrar sueldos y jornales: lograr que todos los empleados estn remunerados adecuada, equitativamente y en tiempo. Clasificar la posicin, responsabilidades y requerimientos de los empleados 3- Promocionar las Relaciones institucionales: Asegurar que las relaciones de trabajo entre la direccin general y los empleados al igual que la satisfaccin en el trabajo y oportunidad de progreso del personal, sean desarrollados y mantenidos siguiendo los mejores intereses del colegio y de los empleados. Tambin su funcin es la de desarrollar proyectos de Relaciones Institucionales con el medio externo (otras instituciones escolares, clubes, etc.) Negociacin de convenios: Interpretacin y administracin de estos Controlar la disciplina del personal Fijar reglas de conducta y disposiciones mediante las normativas institucionales Establecer y administrar las medidas disciplinarias con respecto a inasistencias injustificadas.