Auditoria Informatica COBIT

AUDITORIA EN INFORMATICA
METODOS DE CONTROL EN TI
Control Interno y Auditora
El Proceso de Auditora segn ISO 12207 (i)
PROCESOS PRINCIPALES
ADQUISICIN
SUMINISTRO
DESARROLLO
CALIDAD
EXPLOTACIN
MANTENIMIENTO
PROCESOS DE SOPORTE
DOCUMENTACIN
GESTIN DE
CONFIGURACIN
ASEGURAMIENTO DE
VERIFICACIN
VALIDACIN
REVISIN CONJUNTA
AUDITORA
RESOLUCION DE PROBLEMAS
PROCESOS DE LA ORGANIZACIN
GESTIN
MEJORA
INFRAESTRUCTURA
FORMACIN
El Proceso de Auditora segn ISO (ii)

Segn la norma ISO 12207, el Proceso de Auditora del
Software (PAS) es uno de los procesos de soporte.
Se define como el proceso para determinar el cumplimiento
con los requerimientos, los planes o los contratos.
Debe ser realizado por personas autorizadas con el
propsito de mantener una valoracin independiente de los
productos y procesos del software.
Intervienen dos participantes: la parte auditora y la parte
auditada.
La norma ISO 14764 determina que el PAS da soporte en
las siguientes actividades del PMS (Proceso de Mantenimiento del
Software):
Aceptacin/Revisin del Mantenimiento.
Migracin.
Retirada.
El Proceso de Auditora segn ISO (iii)

Consta de dos actividades:
Implementacin del Proceso; y
Auditora.
Durante la Implementacin del Proceso se realizan las
siguientes tareas:
Se efectan auditoras de los hitos predeterminados
en el plan del proyecto.
El personal auditor no tendr responsabilidad directa
sobre los productos software y actividades auditados.
Todos los recursos necesarios para realizar la
auditora debern ser acordados por las partes
(incluyendo personal de apoyo, locales, infraestructura,
hardware, software y herramientas).
El Proceso de Auditora segn ISO (iv)
Para cada auditora las partes debern acordar siguientes

puntos:
agenda; productos software ( y resultados de alguna
actividad ) que sern revisados; alcance y procedimientos de la
auditora; y criterios de entrada y salida para la auditora.
Los problemas descubiertos durante las auditoras se
registrarn y se pasarn al Proceso de Resolucin de
Problemas.
Despus de completar una auditora, los resultados se

documentarn y se proporcionarn a la parte auditada.
Las partes debern acordar el resultado de la auditora y
cualquier responsabilidad y criterio de cierre.
El Proceso de Auditora segn ISO (v)

La actividad de auditora propiamente dicha consta de una
nica tarea tendiente a garantizar que:
Los elementos software (cdigo, etc.) reflejan la
documentacin de diseo.
La revisin de aceptacin y los requerimientos de
prueba prescritos por la documentacin son adecuados
para la aceptacin de los productos software.
Los datos de prueba cumplen con la especificacin.
El Proceso de Auditora segn ISO (vi)

Los productos software fueron suficientemente
probados y sus especificaciones cumplidas.
Los informes de pruebas son correctos y las

discrepancias entre resultados actuales y esperados
han sido resueltas.
La documentacin de usuario cumple los estndares
especificados.
Las actividades han sido conducidas de acuerdo con
los requerimientos, planes y contratos aplicables.
Los costes y calendarios se ajustan a los planes
establecidos.
COBIT :
Modelo de
Gestin de TI
DEFINICIN
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para
Tecnologa de la Informacin y
Tecnologas relacionadas)
DEFINICIN
COBIT es un modelo de gestin y control de TI,
con el objetivo de consensuar:
los riesgos del negocio
las necesidades de control
y los aspectos tecnolgicos,

mediante la entrega de buenas prcticas aplicables
a una estructura lgica de procesos y actividades
MISIN
Investigar, desarrollar, publicitar y promover un
actualizado, confiable e internacionalmente
aceptado conjunto de Objetivos para el control
de TI, a ser utilizados en el desarrollo habitual
de las operaciones tanto por gerentes del
negocio, como por auditores.
CARACTERSTICAS
Orientado al negocio
Alineado con estndares y regulaciones
de facto (COSO, IFAC, IIA, ISACA,
AICPA)
ntegro (basado en una revisin crtica y
analtica de las tareas y actividades en
TI)
Flexible
Razones que llevan a considerar

implantar un modelo de gestin de TI
Dependencia creciente del negocio frente a la
informacin
La Tecnologa soporta casi la totalidad de los
procesos del negocio
Los desarrollos constantes en TI y en las prcticas de
negocio
La responsabilidad por el uso de la tecnologa se
extiende en la organizacin
Los cambios ms importantes se realizan pero igual
contina la presin hacia el cambio.
Nivel de inversiones en tecnologa
Razones que llevan a considerar implantar

un modelo de gestin de TI
Constante aumento de vulnerabilidades y un amplio
espectro de amenazas.
Potencial de TI para efectuar cambios profundos en

las organizaciones, crear nuevas oportunidades de
negocios y reducir los costos
Incremento de la necesidad de contar con un
modelo adecuado de gobernabilidad corporativa
(corporate governance)
Nuevas normativas (Sarbanes-Oxley act,
comunicacin 2003/179, NTPs)
La Metodologa CobiT
Control Objectives for Information and Related Technologies.
Propuesta por la ISACF (Information Systems Audit and Control
Foundation).
Es la principal propuesta metodolgica realizada a nivel internacional
para abordar la Auditora de Sistemas de Informacin.
Supone un paso muy importante al considerar que, a efectos de
auditora, el sistema de informacin de una organizacin es UNICO,
aunque ciertos procesos se realicen de forma manual y otros mediante
el uso de la informtica.
La filosofa de CobiT asimila los principios de reingeniera de
empresas (BPR) y divide las funciones que ha de realizar un sistema
de informacin en procesos que, a su vez, estn subdivididos en
actividades y tareas ms simples.
Los sistemas de informacin estn orientados a los procesos y por
tanto su auditora se debe adaptar a estos conceptos.
La Metodologa CobiT - Audiencia

CobiT esta diseado para ser utilizado por tres audiencias distintas:
Gestores:
Para ayudarlos a lograr un balance entre los riesgos y las
inversiones en control en un ambiente de Tecnologas de la
Informacin (TI) frecuentemente impredecible.
Usuarios:
Para obtener una garanta en cuanto a la seguridad y control de los
servicios de TI proporcionados internamente o por terceras partes.
Auditores de Sistemas de Informacin:
Para dar soporte a las opiniones mostradas a los Gestores sobre los
controles internos.
Tambin puede ser utilizado dentro de las empresas por el
responsable de un proceso de negocio en su responsabilidad de
controlar los aspectos de informacin del proceso, y por todos
aqullos con responsabilidades en el campo de las TI en las
empresas.
PRINCIPIOS DE COBIT
Requerimientos
del negocio
Procesos de TI
Recursos de TI
El concepto o enfoque del marco COBIT, se basa en que el

control en TI se logra obteniendo la informacin necesaria
para apoyar los requerimientos procesos del negocio, y
considerando la informacin como resultado de la aplicacin
combinada de recursos de TI que necesitan ser administrados
por procesos de TI
La Metodologa CobiT - Fundamentos (ii)

Para alcanzar los requerimientos de negocio, la informacin
necesita satisfacer ciertos criterios:
Requerimientos de Calidad:
Calidad
Coste
Entrega (servicio)
Requerimientos Fiduciarios:
Efectividad y eficiencia de las operaciones
Fiabilidad de la informacin
Cumplimiento de leyes y normas
Requerimientos de Seguridad:
Confidencialidad
Integridad
Disponibilidad
Requerimientos de la
Informacin para el Negocio
Para satisfacer los objetivos del negocio la
informacin debe cumplir con criterios que COBIT
extrae de los ms reconocidos modelos:
Requerimientos de
calidad (ISO 9000-3)
Calidad
Costo
Entrega
Requerimientos
fiduciarios (Informe
COSO)
Eficacia y eficiencia
Confiabilidad de la informacin
Cumplimiento de leyes y
reglamentaciones
Disponibilidad
Integridad
Confidencialidad
Requerimientos de
seguridad (libro rojo,
naranja y otros)
Requerimientos de la
Informacin para el Negocio
Partiendo de estos tres requerimientos criterios amplios, se
identifican las siguientes siete categoras:
Eficacia:
se refiere a la relevancia y pertinencia de

la informacin para el proceso de negocio
y a su entrega en forma oportuna,
correcta, consistente y til.
Eficiencia:
se vincula con la provisin de

informacin mediante el uso ptimo (el
ms productivo y econmico) de los
recursos.
Confidencialidad: se refiere a la proteccin de la

informacin crtica, contra su divulgacin
no autorizada.
Integridad:
se vincula con la exactitud y la totalidad

de la informacin, as como tambin con su
validez de acuerdo con los valores y las
expectativas de negocio.
Disponibilidad:
se relaciona con el hecho de que la

informacin se encuentre disponible
cuando la necesite el proceso de negocio,
en el presente y en el futuro.
Tambin se asocia con la proteccin de los
recursos necesarios y las capacidades
asociadas.
Cumplimiento: se refiere al cumplimiento de las leyes,

reglamentaciones y disposiciones
contractuales a las que est sujeto el
proceso de negocio, vale decir, los
criterios de negocio impuestos a
nivel externo.
Confiabilidad de
la informacin: se vincula con la provisin de la
informacin adecuada, para que la
gerencia maneje la entidad y ejerza sus
responsabilidades de presentacin de
informes financieros y de cumplimiento.
RECURSOS DE TI
Los recursos de TI, identificados en COBIT, para
alcanzar los objetivos del negocio son los siguientes :
Datos: objetos en su sentido ms amplio, es decir,
internos y externos, estructurados
y
no
estructurados, grficos, sonidos, etc.
Sistemas de aplicacin:
se entiende por tales la
suma de los procedimientos manuales y
programados.
Tecnologa:
la tecnologa abarca el hardware,
los sistemas operativos, los sistemas de
administracin de bases de datos, las redes, los
multimedios, etc.
Instalaciones: recursos diversos utilizados para
alojar y dar soporte a los sistemas de informacin
Personas: habilidades, aptitudes, conocimientos
y
productividad del personal para planificar,
organizar, adquirir, entregar, brindar soporte y
monitorear los sistemas y servicios de informacin.
PROCESOS DE TI
Los recursos de las Tecnologas de la
Informacin (TI) se han de gestionar
mediante un conjunto de procesos agrupados
de forma natural para que proporcionen la
informacin que la empresa necesita para
alcanzar sus objetivos.
PROCESOS DE TI
Dominios
Procesos
Actividades
o tareas
Agrupacin natural de procesos,

normalmente corresponden a un
dominio o una responsabilidad
organizacional
Conjuntos o series de actividades
unidas con delimitacin o cortes de
control.
Acciones requeridas para lograr un
resultado medible. Las actividades
tienen un ciclo de vida mientras que
las tareas son discretas.
PROCESOS DE TI
Los procesos se agrupan en cuatro grandes
dominios:
Planeacin y Organizacin
(Planning and Organization)
Adquisicin e implementacin
(Acquisition and Implementation)
Prestacin de Servicios y Soporte
(Delivery and Support)
Seguimiento
(monitoring)
PROCESOS DE TI
Las definiciones de los cuatro dominios identificados para la
clasificacin de alto nivel son:
Planificacin y
Organizacin
Este dominio abarca aspectos estratgicos

y tcticos y se vincula con la identificacin
de la forma en que la tecnologa de
informacin puede contribuir ms
adecuadamente con el logro de los
objetivos del negocio. Adems, es preciso
planificar, comunicar y administrar la
realizacin de la visin estratgica desde
distintas perspectivas. Por ltimo, debe
existir una correcta organizacin e
infraestructura tecnolgica.
PROCESOS DE TI
Adquisicin e
Implementacin Para realizar la estrategia de Ti, deben
identificarse, desarrollarse o adquirirse
soluciones de Ti y luego implantarse e
integrarse en el proceso de negocio.
Adems, este dominio abarca los cambios
y el mantenimiento de los sistemas
existentes para garantizar la natural
continuidad del ciclo de vida para estos
sistemas.
PROCESOS DE TI
Entrega y
Soporte
En este dominio nos ocupamos de la

entrega o prestacin efectiva de los
servicios requeridos, que comprenden
desde las operaciones tradicionales sobre
aspectos de seguridad y continuidad hasta
la capacitacin. Para prestar los servicios,
deben establecerse los procesos de soporte
necesarios.
Este dominio incluye el procesamiento real
de los datos por los sistemas de aplicacin,
a menudo clasificados como controles de
aplicaciones.
PROCESOS DE TI
Monitoreo
Es preciso evaluar regularmente todos los

procesos de TI, a medida que trascurre el
tiempo para determinar su calidad y el
cumplimiento de los requerimientos de
control. De este modo, este dominio
corresponde al seguimiento de la gerencia
sobre los procesos de control de la
organizacin y la garanta independiente
provista por la auditoria interna y externa
u obtenida de fuentes alternativas.
PROCESOS DE TI
Se definen 34 objetivos de control generales (OCGs), uno para
cada uno de los procesos de las TI
Planeacin y
Organizacin
Adquisicin e
Implementacin
Definir un plan estratgico de TI

Definir la arquitectura de informacin
Determinar la direccin tecnolgica
Definir la organizacin y relaciones de TI
Manejo de la inversin en TI
Comunicacin de la directrices Gerenciales
Administracin del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluacin de Riesgos
Administracin de Proyectos
Administracin de Calidad
Identificacin de soluciones
Adquisicin y mantenimiento de SW aplicativo
Adquisicin y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalacin y Acreditacin de sistemas
Administracin de Cambios
PROCESOS DE TI
Servicios y
Soporte
Seguimiento
Definicin del nivel de servicio

Administracin del servicio de terceros
Administracin de la capacidad y el desempeo
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificacin y asignacin de costos
Capacitacin de usuarios
Soporte a los clientes de TI
Administracin de la configuracin
Administracin de problemas e incidentes
Administracin de datos
Administracin de Instalaciones
Administracin de Operaciones
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditora independiente
DEFINICIN DE CONTROL EN
COBIT
Las polticas, procedimientos prcticas y
estructuras organizacionales diseadas para
proveer una razonable confiabilidad de que los
objetivos del negocio sern alcanzados y que
los eventos indeseables sern prevenidos o
detectados y corregidos
DEFINICIN DE OBJETIVO DE
CONTROL EN COBIT
Es la declaracin del resultado deseable o el
propsito a lograr (el Que) mediante la
implantacin de recomendaciones, procedimientos o
tcnicas de control (el Como) en determinada
actividad de tecnologa de la informacin
COBIT explicita cada objetivo del control a nivel de
actividades Los 34 OCGs propuestos se concretan en 302
objetivos de control detallados (OCDs).
La metodologa CobiT - Estructura (iii)
Las tres dimensiones conceptuales de CobiT
COBIT: Estructura conceptual

Se puede enfocar desde tres puntos de vista :
Procesos de TI
Dominios
Procesos
Actividades
Personas
Sistemas Aplicativos
Tecnologa
Instalaciones
Datos
Criterios de Informacin
Proyecto COBIT
Steering Comittee
representantes de distintos
mbitos
Coordinacin
ISACAF
Grupos de investigacin
USA, Europa y Australia
EL PRODUCTO COBIT
3ra EDICIN
Resumen
Ejecutivo
Herramientas de
implementacin
Marco ReferencialEsquema Objetivos de

Alto Nivel
Lineamientos
Gerenciales
Modelos de
Madurez
Objetivos de
Control
Detallados
Factores
Crticos
de xito
Guas de
Auditora
Indicadores
Clave de
Rendimiento
Indicadores
Clave de
Logros
ELEMENTOS
Executive Summary Presentacin del mtodo

Framework -- Explicacin del mtodo
Control Objectives -- Controles mnimos
Audit Guidelines -- Como auditar
Management Guidelines -- Como medir la
performance
Implementation Guide -- Como implementar el
mtodo
ESTRUCTURA
INFORMACIN
EVENTOS
Objetivos de
negocio
Oportunidades de
negocio
Requerimientos
externos
Regulacin
Riesgos
Datos
Applicaciones
Tecnologa
Instalaciones
Recursos Humanos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Objetivos del
Negocio
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento inndependiente
Proveer una auditora independiente
CobiT
Definir un plan estratgico de TI

Definir la arquitectura de informacin
Determinar la direccin tecnolgica
Definir la organizacin y relaciones de TI
Manejo de la inversin en TI
Comunicacin de la directrices Gerenciales
Administracin del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluacin de Riesgos
Administracin de Proyectos
Administracin de Calidad
Req. Informacin
Seguimiento
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad,
Cumplimiento, Confiabilidad
Planeacin y
Organizacin
Recursos de TI
Definicin del nivel de servicio
Admistracin del servicio de terceros
Administracin de la capacidad y el
desempeo
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificacin y asignacin de costos
Capacitacin de usuarios
Soporte a los clientes de TI
Administracin de Instalaciones
Administracin de Operaciones
Datos, Aplicaciones
Tecnologa, Instalaciones,
Recurso Humano
Servicios y
Soporte
Adquisicin e
Implementacin
Adquisicin y mantenimiento de SW aplicativo
Adquisicin y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalacin y Acreditacin de sistemas
Administracin de Cambios
MARCO DE REFERENCIA
Lo que usted
Obtiene
Procesos del
Negocio
Lo que Usted
Necesita
Criterios
Informacin
Recursos de TI
Datos
Aplicaciones
Tecnologa
Instalaciones
Recurso Humano
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Concuerdan
MARCO DE REFERENCIA
El control de
Procesos de TI
que satisfacen
Requerimientos
de negocios
se habilitan por
Objetivos
De control
Prcticas
De Control
Diagrama de cascada
ASISTENTE DE NAVEGACIN
Planificacin y
Organizacin
Vnculo entre Procesos,

Recursos y Criterios
Procesos de TI
que satisface los
Procesos
de TI
Recursos
de TI
Tres posiciones ventajosas
Entrega y
Soporte
Monitoreo
El contol de los
Criterios de
informacin
Adquisicin e
Implementacin
Requerimientos
de Negocio
es habilitado por las
Declaraciones
de Control
considerando las
Prcticas
de Control
OBJETIVOS DE CONTROL DE ALTO

NIVEL: DS5
El control sobre el proceso de:
Organizacin y
planeacin
administrar la seguridad de los

sistemas
Adquisicin e
implementacin
Entrega y
soporte
Satisface los requerimientos del negocio:

salvaguardar informacin contra uso, difusin o modificaciones
no autorizadas, dao o prdida
Monitoreo
Es posible por:
controles de acceso lgico que aseguren que el acceso a
sistemas, datos y programas se encuentra restringido a
usuarios autorizados
Considerando:
P P S S S
autorizacin, autenticacin, uso de perfiles e

identificaciones, firewalls, deteccin y proteccin de
virus, manejo de incidentes, etc.
Actividades de Control
Administrar Medidas de Seguridad
Reacreditacin
Identificacin, Autenticacin y Acceso
Confianza en Contrapartes
Seguridad de Acceso a Datos en Lnea
Autorizacin de transacciones
Administracin de Cuentas de Usuario
No negacin
Revisin Gerencial de Cuentas de Usuario
Sendero Seguro
Control de Usuarios sobre Cuentas de

Usuario
Proteccin de funciones de seguridad
Vigilancia de Seguridad
Administracin de Llaves Criptogrficas
Clasificacin de Datos
Prevencin, Deteccin y Correccin de

Software "Malicioso
Identificacin y administracin de
asignacin de derechos
Arquitectura de Fire Walls y conexin a

redes pblicas
Reportes de Violacin y de Actividades de

Seguridad
Proteccin de Valores Electrnicos
Manejo de Incidentes
Las cinco formas de utilizar COBIT

Como una herramienta de comunicacin
Como una herramienta de organizacin
Como una
consenso
herramienta
para
estructurar
Como una herramienta de autoevaluacin de TI

Como una herramienta para determinar el
alcance de la tarea de auditora
COBIT PERMITE
Posibilidad de aplicar las prcticas en un amplio espectro
de sistemas de informacin, independientemente de la
tecnologa empleada
Cumplimiento de las generalmente aplicables y
aceptadas prcticas para el control de TI
Aumentar el valor de la empresa
Gestin orientada hacia el enfoque de dueos de procesos
Alineacin de objetivos de TI con objetivos del negocio
Utilizacin eficiente y eficaz de los recursos de TI
Gestin medible y auditable
COBIT NECESITA
CONCIENTIZACIN, CAPACITACIN Y
ENTRENAMIENTO
ADAPTACIN A LA ORGANIZACIN
FIJAR ROLES Y RESPONSABILIDADES

SER COMPLEMENTADA CON OTROS
MODELOS QUE ME PERMITAN CONTAR
CON UN GOBIERNO CORPORATIVO
ADECUADO
COBIT
Dominio: Planificacin y organizacin

Este dominio cubre la estrategia y las tcticas y se
refiere a la identificacin de la forma en que la
tecnologa de informacin puede contribuir de la
mejor manera al logro de los objetivos de negocio.
Adems, la consecucin de la visin estratgica
necesita ser planeada, comunicada y administrada
desde diferentes perspectivas.
DOMINIO: Planificacin y Organizacin

Proceso: 1
Definicin de un plan estratgico de TI
Proceso: 2
Definicin de la arquitectura de la
informacin
Proceso: 3
Determinacin de la direccin tecnolgica
Proceso: 4
Definicin de la organizacin y el
relacionamiento en TI
Proceso: 5
Administracin de la inversin en TI
Proceso: 6
Comunicacin de los objetivos y directivas

de la gerencia
DOMINIO: Planificacin y Organizacin

Proceso: 7
Administracin de los recursos humanos
Proceso: 8
Aseguramiento del cumplimiento de los

requerimientos externos
Proceso: 9
Evaluacin de riesgos
Proceso: 10
Administracin de proyectos
Proceso: 11
Administracin de la calidad

PO1 Definicin de un plan Estratgico
Objetivo: Lograr un balance ptimo entre las oportunidades de tecnologa de
informacin y los requerimientos de TI de negocio, para asegurar sus logros
futuros.
La definicin de objetivos de negocio y necesidades de TI, la alta gerencia ser
la responsable de desarrollar e implementar planes a largo y corto plazo que
satisfagan la misin y las metas generales de la organizacin.
El inventario de soluciones tecnolgicas e infraestructura actual, se deber
evaluar los sistemas existentes en trminos de: nivel de automatizacin de
negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y
debilidades, con el propsito de determinar el nivel de soporte que reciben los
requerimientos del negocio de los sistemas existentes.
Los cambios organizacionales, se deber asegurar que se establezca un proceso
para modificar oportunamente y con precisin el plan a largo plazo de
tecnologa de informacin con el fin de adaptar los cambios al plan a largo
plazo de la organizacin y los cambios en las condiciones de la TI
Estudios de factibilidad oportunos, para que se puedan obtener resultados
efectivos
PO1 Definicin de un plan Estratgico

PO2 Definicin de la Arquitectura de Informacin
Objetivo: Satisfacer los requerimientos de negocio, organizando
de la mejor manera posible los sistemas de informacin, a travs
de la creacin y mantenimiento de un modelo de informacin de
negocio, asegurndose que se definan los sistemas apropiados
para optimizar la utilizacin de esta informacin, tomando en
consideracin:
La documentacin deber conservar consistencia con las
necesidades permitiendo a los responsables llevar a cabo sus
tareas eficiente y oportunamente.
El diccionario de datos, el cual incorporara las reglas de sintaxis
de datos de la organizacin y deber ser continuamente
actualizado.
La propiedad de la informacin y la clasificacin de severidad con
el que se establecer un marco de referencia de clasificacin
general relativo a la ubicacin de datos en clases de informacin.

PO2 Definicin de la Arquitectura de Informacin

PO3 Determinacin de la direccin tecnolgica
Objetivo: Aprovechar al mximo de la tecnologa disponible o
tecnologa emergente, satisfaciendo los requerimientos de negocio,
a travs de la creacin y mantenimiento de un plan de
infraestructura tecnolgica, tomando en consideracin:
La capacidad de adecuacin y evolucin de la infraestructura actual,
que deber concordar con los planes a largo y corto plazo de
tecnologa de informacin y debiendo abarcar aspectos tales como
arquitectura de sistemas, direccin tecnolgica y estrategias de
migracin.
El monitoreo de desarrollos tecnolgicos que sern tomados en
consideracin durante el desarrollo y mantenimiento del plan de
infraestructura tecnolgica.
Las contingencias (por ejemplo, redundancia, resistencia, capacidad
de adecuacin y evolucin de la infraestructura), con lo que se
evaluar sistemticamente el plan de infraestructura tecnolgica.
Planes de adquisicin, los cuales debern reflejar las necesidades
identificadas en el plan de infraestructura tecnolgica.

PO3 Determinacin de la direccin
tecnolgica

PO4 Definicin de la organizacin y de las relaciones
de TI
Objetivo: Prestacin de servicios de TI
El comit de direccin el cual se encargara de vigilar la
funcin de servicios de informacin y sus actividades.
Supervisin
Segregacin de funciones
Los roles y responsabilidades,
La descripcin de puestos
Los niveles de asignacin de personal
El personal clave

PO4 Definicin de la organizacin y de las
relaciones de TI

PO5 Manejo de la inversin
Objetivo: tiene como finalidad la satisfaccin de los
requerimientos de negocio, asegurando el
financiamiento y el control de desembolsos de
recursos financieros.

PO6 Comunicacin de la direccin y aspiraciones de
la gerencia
Objetivo: Asegurar el conocimiento y comprensin de
los usuarios sobre las aspiraciones del alto nivel

PO7 Administracin de recursos humanos
Objetivo: Maximizar las contribuciones del personal a
los procesos de TI, satisfaciendo as los requerimientos
de negocio, a travs de tcnicas slidas para
administracin de personal.

PO8 Asegurar el cumplimiento con los
requerimientos Externos
Objetivo: Cumplir con obligaciones legales, regulatorias y
contractuales
Para ello se realiza una identificacin y anlisis de los
requerimientos externos en cuanto a su impacto en TI,
llevando a cabo las medidas apropiadas para cumplir con
ellos

PO9 Evaluacin de riesgos
Objetivo: Asegurar el logro de los objetivos de TI y
responder a las amenazas hacia la provisin de
servicios de TI
Para ello se logra la participacin de la propia
organizacin en la identificacin de riesgos de TI y en el
anlisis de impacto, tomando medidas econmicas
para mitigar los riesgos
PO10 Administracin de proyectos
Objetivo: Establecer prioridades y entregar servicios

oportunamente y de acuerdo al presupuesto de inversin
Para ello se realiza una identificacin y priorizacin de los
proyectos en lnea con el plan operacional por parte de la
misma organizacin. Adems, la organizacin deber
adoptar y aplicar slidas tcnicas de administracin de
proyectos para cada proyecto emprendido
DOMINIO: Adquisicin e Implantacin

Proceso: 12
Proceso: 13
Adquisicin y mantenimiento de software

de aplicacin
Proceso: 14
Adquisicin y mantenimiento de la
infraestructura tecnolgica
Proceso: 15
Desarrollo y mantenimiento de
procedimientos de TI
Proceso: 16
Instalacin y certificacin de sistemas
Proceso: 17
Administracin de cambios
Dominio: Adquisicin e
implementacin
Para llevar a cabo la estrategia de TI, las
soluciones de Ti deben ser identificadas,
desarrolladas o adquiridas, as como
implementadas e integradas dentro del
proceso del negocio. Adems, este dominio
cubre los cambios y el mantenimiento
realizados a sistemas existentes.
Dominio: Adquisicin e implementacin
AI1 Identificacin de Soluciones Automatizadas
Objetivo: Asegurar el mejor enfoque para cumplir con

los requerimientos del usuario
Para ello se realiza un anlisis claro de las
oportunidades alternativas comparadas contra los
requerimientos de los usuarios

AI2 Adquisicin y mantenimiento del software
aplicativo
Objetivo: Proporciona funciones automatizadas que
soporten efectivamente al negocio.
Para ello se definen declaraciones especficas sobre
requerimientos funcionales y operacionales y una
implementacin estructurada con entregables claros
AI3 Adquisicin y mantenimiento de la

infraestructura tecnolgica
Objetivo: Proporcionar las plataformas apropiadas para

soportar aplicaciones de negocios
Para ello se realizara una evaluacin del desempeo del
hardware y software, la provisin de mantenimiento
preventivo de hardware y la instalacin, seguridad y control
del software del sistema
AI4 Desarrollo y mantenimiento de procedimientos
Objetivo: Asegurar el uso apropiado de las aplicaciones

y de las soluciones tecnolgicas establecidas.
Para ello se realiza un enfoque estructurado del
desarrollo de manuales de procedimientos de
operaciones para usuarios, requerimientos de servicio
y material de entrenamiento
AI5 Instalacin y aceptacin de los sistemas
Objetivo: Verificar y confirmar que la solucin sea

adecuada para el propsito deseado
Para ello se realiza una migracin de instalacin,
conversin y plan de aceptaciones adecuadamente
formalizadas

AI6 Administracin de los cambios
Objetivo: Minimizar la probabilidad de interrupciones,
alteraciones no autorizadas y errores.
Esto se hace posible a travs de un sistema de administracin
que permita el anlisis, implementacin y seguimiento de todos
los cambios requeridos y llevados a cabo a la infraestructura de
TI actual
DOMINIO: Entrega y Soporte

Proceso: 18
Definicin de los niveles del servicio
Proceso: 19
Administracin de los servicios prestados

por terceros
Proceso: 20
Administracin de la capacidad y del

desempeo del sistema
Proceso: 21
Aseguramiento de la continuidad del

servicio
Proceso: 22
Establecimiento de pautas para la

seguridad de los sistemas
Proceso: 23
Identificacin e imputacin de costos
DOMINIO: Entrega y Soporte

Proceso: 24
Educacin y capacitacin de los usuarios
Proceso: 25
Asistencia y asesoramiento a los clientes de

TI
Proceso: 26
Proceso: 27
Proceso: 28
Proceso: 29
Administracin de instalaciones
Proceso: 30
Administracin de las operaciones
Dominio: Prestacin y soporte

Procesos
Ds1 Definicin de niveles de servicio
Ds2 Administracin de servicios prestados por terceros
Ds3 Administracin de desempeo y capacidad
Ds4 Asegurar el Servicio Continuo
Ds5 Garantizar la seguridad de sistemas
Ds6 Educacin y entrenamiento de usuarios
Ds7 Identificacin y asignacin de costos
Ds8 Apoyo y asistencia a los clientes de TI
Ds9 Administracin de la configuracin
Ds10 Administracin de Problemas
Ds11 Administracin de Datos
Ds12 Administracin de las instalaciones
Ds13 Administracin de la operacin

En este dominio se hace referencia a la entrega de los
servicios requeridos, que abarca desde las operaciones
tradicionales hasta el entrenamiento, pasando por
seguridad y aspectos de continuidad. Con el fin de
proveer servicios, debern establecerse los procesos de
soporte necesarios.
Este dominio incluye el procesamiento de los datos por
sistemas de aplicacin, frecuentemente clasificados como
controles de aplicacin.

Ds1 Definicin de niveles de servicio
Objetivo: Establecer una comprensin comn del nivel
de servicio requerido
Para ello se establecen convenios de niveles de servicio
que formalicen los criterios de desempeo contra los
cuales se medir la cantidad y la calidad del servicio

Ds2 Administracin de servicios prestados por
terceros
Objetivo: Asegurar que las tareas y responsabilidades de las
terceras partes estn claramente definidas, que cumplan y
continen satisfaciendo los requerimientos
Para ello se establecen medidas de control dirigidas a la
revisin y monitoreo de contratos y procedimientos
existentes, en cuanto a su efectividad y suficiencia, con
respecto a las polticas de la organizacin

Ds3 Administracin de desempeo y capacidad
Objetivo: Asegurar que la capacidad adecuada est
disponible y que se est haciendo el mejor uso de ella para
alcanzar el desempeo deseado.
Para ello se realizan controles de manejo de capacidad y
desempeo que recopilen datos y reporten acerca del
manejo de cargas de trabajo, tamao de aplicaciones,
manejo y demanda de recursos

Ds4 Asegurar el Servicio Continuo
Objetivo: mantener el servicio disponible de acuerdo con
los requerimientos y continuar su provisin en caso de
interrupciones
Para ello se tiene un plan de continuidad probado y
funcional, que est alineado con el plan de continuidad del
negocio y relacionado con los requerimientos de negocio

Ds5 Garantizar la seguridad de sistemas
Objetivo: salvaguardar la informacin contra uso no
autorizados, divulgacin, modificacin, dao o prdida
Para ello se realizan controles de acceso lgico que
aseguren que el acceso a sistemas, datos y programas
est restringido a usuarios autorizados

Ds6 Educacin y entrenamiento de usuarios
Objetivo: Asegurar que los usuarios estn
haciendo un uso efectivo de la tecnologa y estn
conscientes de los riesgos y responsabilidades
involucrados
Para ello se realiza un plan completo de
entrenamiento y desarrollo.
Ds7 Identificacin y asignacin de costos
Objetivo: Asegurar un conocimiento correcto de

los costos atribuibles a los servicios de TI
Para ello se realiza un sistema de contabilidad de
costos que asegure que stos sean registrados,
calculados y asignados a los niveles de detalle
requeridos

Ds8 Apoyo y asistencia a los clientes de TI
Objetivo: asegurar que cualquier problema
experimentado por los usuarios sea atendido
apropiadamente
Para ello se realiza un Bur de ayuda que proporcione
soporte y asesora de primera lnea
Ds9 Administracin de la configuracin
Objetivo: Dar cuenta de todos los componentes de TI,

prevenir alteraciones no autorizadas, verificar la
existencia fsica y proporcionar una base para el sano
manejo de cambios
Para ello se realizan controles que identifiquen y
registren todos los activos de TI as como su
localizacin fsica y un programa regular de verificacin
que confirme su existencia
Ds10 Administracin de Problemas
Objetivo: Asegurar que los problemas e incidentes sean

resueltos y que sus causas sean investigadas para prevenir
que vuelvan a suceder.
Para ello se necesita un sistema de manejo de problemas
que registre y d seguimiento a todos los incidentes,
adems de un conjunto de procedimientos de escalamiento
de problemas para resolver de la manera ms eficiente los
problemas identificados

Ds11 Administracin de Datos
Objetivo: Asegurar que los datos permanezcan
completos, precisos y vlidos durante su entrada,
actualizacin, salida y almacenamiento.
Lo cual se logra a travs de una combinacin efectiva
de controles generales y de aplicacin sobre las
operaciones de TI
Ds12 Administracin de las instalaciones
Objetivo: Proporcionar un ambiente fsico conveniente

que proteja al equipo y al personal de TI contra
peligros naturales (fuego, polvo, calor excesivos) o
fallas humanas lo cual se hace posible con la
instalacin de controles fsicos y ambientales
adecuados que sean revisados regularmente para su
funcionamiento apropiado definiendo procedimientos
que provean control de acceso del personal a las
instalaciones y contemplen su seguridad fsica.
Ds13 Administracin de la operacin
Objetivo: Asegurar que las funciones importantes de

soporte de TI estn siendo llevadas a cabo
regularmente y de una manera ordenada
Esto se logra a travs de una calendarizacin de
actividades de soporte que sea registrada y
completada en cuanto al logro de todas las actividades
DOMINIO: Monitoreo
Proceso: 31
Monitoreo de los procesos
Proceso: 32
Evaluacin de la adecuacin del control

interno
Proceso: 33
Obtencin de aseguramiento independiente
Proceso: 34
Provisin de auditora independiente
Dominio: Monitoreo
Todos los procesos de una organizacin
necesitan ser evaluados regularmente a travs
del tiempo para verificar su calidad y
suficiencia en cuanto a los requerimientos de
control, integridad y confidencialidad. Este es,
precisamente, el mbito de este dominio.
Dominio: Monitoreo
Procesos
M1 Monitoreo del Proceso
M2 Evaluar lo adecuado del Control Interno
M3 Obtencin de Aseguramiento Independiente
M4 Proveer Auditoria Independiente
Dominio: Monitoreo
M1 Monitoreo del Proceso
Objetivo: Asegurar el logro de los objetivos establecidos
para los procesos de TI. Lo cual se logra definiendo por
parte de la gerencia reportes e indicadores de desempeo
gerenciales y la implementacin de sistemas de soporte as
como la atencin regular a los reportes emitidos.
Dominio: Monitoreo
M2 Evaluar lo adecuado del Control Interno

Objetivo: Asegurar el logro de los objetivos de control
interno establecidos para los procesos de TI.
Para ello la gerencia es la encargada de monitorear la
efectividad de los controles internos a travs de
actividades administrativas y de supervisin,
comparaciones, reconciliaciones y otras acciones
rutinarias., evaluar su efectividad y emitir reportes
sobre ellos en forma regular.
Dominio: Monitoreo
M4 Proveer Auditoria Independiente
Objetivo: Incrementar los niveles de confianza y

beneficiarse de recomendaciones basadas en mejores
prcticas de su implementacin, lo que se logra con el uso
de auditorias independientes desarrolladas a intervalos
regulares de tiempo.
Para ello la gerencia deber establecer los estatutos para la
funcin de auditoria, destacando en este documento la
responsabilidad, autoridad y obligaciones de la auditoria
En resumen, la estructura conceptual se puede

enfocar desde tres puntos de vista:
Los criterios empresariales que deben satisfacer la
informacin
Los recursos de las TI
Los procesos de TI
Las tres dimensiones conceptuales de COBIT
FIN

Auditoria Informatica COBIT

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria Informatica COBIT

Cargado por

Copyright:

Formatos disponibles

AUDITORIA EN INFORMATICA

Control Interno y Auditora

El Proceso de Auditora segn ISO 12207 (i)

El Proceso de Auditora segn ISO (ii)

El Proceso de Auditora segn ISO (iii)

El Proceso de Auditora segn ISO (iv)

Para cada auditora las partes debern acordar siguientes

Despus de completar una auditora, los resultados se

El Proceso de Auditora segn ISO (v)

El Proceso de Auditora segn ISO (vi)

Los informes de pruebas son correctos y las

y los aspectos tecnolgicos,

Razones que llevan a considerar

Razones que llevan a considerar implantar

Potencial de TI para efectuar cambios profundos en

La Metodologa CobiT - Audiencia

El concepto o enfoque del marco COBIT, se basa en que el

La Metodologa CobiT - Fundamentos (ii)

se refiere a la relevancia y pertinencia de

se vincula con la provisin de

Confidencialidad: se refiere a la proteccin de la

se vincula con la exactitud y la totalidad

se relaciona con el hecho de que la

Cumplimiento: se refiere al cumplimiento de las leyes,

Agrupacin natural de procesos,

Este dominio abarca aspectos estratgicos

En este dominio nos ocupamos de la

Es preciso evaluar regularmente todos los

Definir un plan estratgico de TI

Definicin del nivel de servicio

La metodologa CobiT - Estructura (iii)

Las tres dimensiones conceptuales de CobiT

COBIT: Estructura conceptual

Marco ReferencialEsquema Objetivos de

Executive Summary Presentacin del mtodo

Definir un plan estratgico de TI

Vnculo entre Procesos,

Tres posiciones ventajosas

es habilitado por las

OBJETIVOS DE CONTROL DE ALTO

administrar la seguridad de los

Satisface los requerimientos del negocio:

autorizacin, autenticacin, uso de perfiles e

Identificacin, Autenticacin y Acceso

Seguridad de Acceso a Datos en Lnea

Administracin de Cuentas de Usuario

Revisin Gerencial de Cuentas de Usuario

Control de Usuarios sobre Cuentas de

Proteccin de funciones de seguridad

Administracin de Llaves Criptogrficas

Prevencin, Deteccin y Correccin de

Arquitectura de Fire Walls y conexin a

Reportes de Violacin y de Actividades de

Proteccin de Valores Electrnicos

Las cinco formas de utilizar COBIT

Como una herramienta de autoevaluacin de TI

Gestin medible y auditable

FIJAR ROLES Y RESPONSABILIDADES

Dominio: Planificacin y organizacin

DOMINIO: Planificacin y Organizacin

Definicin de un plan estratgico de TI

Determinacin de la direccin tecnolgica

Comunicacin de los objetivos y directivas