Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CURSO:
Auditoria de Sistemas.
CICLO:
IX
INTEGRANTES:
Aguilar Gallardo, Carlos.
Correa Tucumango, Jean.
Sangay Huaccha, Willam.
COBIT
CAJAMARCA ABRIL, 2018
Introducción............................................................................................................................... 2
¿Quién utiliza COBIT? ........................................................................................................... 3
Principios de COBIT 5 ............................................................................................................ 3
Habilitadores de COBIT 5................................................................................................... 3-4
Evaluar, Orientar y Supervisar (EDM) ........................................................................... 5-6
1
INTRODUCCIÓN
COBIT (Control Objectives Control Objectives for Information and related Technology)
es el marco aceptado internacionalmente como una buena práctica para el control de la
información, TI y los riesgos que con llevan. COBIT se utiliza para implementar el
gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de
aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos
de madurez.
COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI
manteniendo un balance entre la realización de beneficios, la utilización de recursos y los
niveles de riesgo asumidos. COBIT 5 posibilita que TI sea gobernada y gestionada en
forma holística (considera a algo como un todo) para todas las organizaciones, tomando
en consideración el negocio y áreas funcionales de punta a punta, así como los interesados
internos y externos. COBIT 5 se puede aplicar a organizaciones de todos los tamaños,
tanto en el sector privado, público o entidades sin fines de lucro.
2
¿Quién utiliza COBIT?
COBIT es empleado en todo el mundo por quienes tienen como responsabilidad primaria
los procesos de negocio y la tecnología, aquellos de quien depende la tecnología y la
información confiable y los que proveen calidad, confiablidad y control de TI.
COBIT 5 establece principios y facilitadores genéricos que son útiles para empresas de
todos los tamaños.
Principios de COBIT 5
Satisfacer las Necesidades de las Partes Interesadas (Accionistas). Se alinean
las necesidades de los accionistas con los objetivos empresariales específicos,
objetivos de TI y objetivos habilitadores. Se optimiza el uso de recursos cuando
se obtienen beneficios con un nivel aceptable de riesgos.
3
Principios, políticas y modelos de referencia. Son el vehículo para trasladar el
comportamiento deseado en guías prácticas para la gestión diaria.
4
Evaluar, Orientar y Supervisar (EDM)
01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobierno.
02 Asegurar la entrega de beneficios.
03 Asegurar la optimización del riesgo.
04 Asegurar la optimización de recursos.
05 Asegurar la transparencia hacia las partes interesadas.
5
EDM03. Asegurar la optimización del riesgo. Asegurar que el apetito y la tolerancia al
riesgo de la empresa son entendidos, articulados y comunicados y que el riesgo para el
valor de la empresa relacionado con el uso de las TI es identificado y gestionado.
EDM05. Asegurar la transparencia hacia las partes interesadas. Asegurar que la medición
y la elaboración de informes en cuanto a conformidad y desempeño de las TI de la
empresa son transparentes, con aprobación por las partes interesadas de las metas, las
métricas y las acciones correctivas necesarias.
Riesgos en COBIT 5
Desarrollado por la ISACA, COBIT 5 For Risk está disponible para guiar el gobierno y la
gestión de los riesgos en entornos de TI empresariales de frente a las amenazas
cibernéticas.
Riesgos:
“Riesgo proviene del italiano risico o rischio que, a su vez, tiene origen en el árabe
clásico rizq (“lo que depara la providencia”). El término hace referencia a la proximidad
o contingencia de un posible daño.” (Diccionario de la Real Academia Española)
En términos del Riesgo Tecnológico, existe consenso generalizado en definirlo como: la
posibilidad de pérdidas derivadas de un evento relacionado con el acceso o uso de la
tecnología, que afecta el desarrollo de los procesos del negocio y la gestión de riesgos de
la organización, al comprometer o degradar las dimensiones críticas de la información
(Ej. confidencialidad, integridad, disponibilidad).
Concepto:
En ese sentido, COBIT 5 para Riesgos define el Riesgo de TI como un riesgo para el
negocio, específicamente el riesgo para el negocio asociado con el uso, propiedad,
operación, involucramiento, influencia y adopción de TI dentro de una empresa.
Presenta dos perspectivas en el uso de COBIT en un contexto de riesgos:
6
Una inadecuada gestión de los riesgos de TI puede reducir el valor del negocio, creando
pérdidas financieras, dañando la reputación corporativa y desperdiciando nuevas
oportunidades.
Según lo expresado por Steven Babb, jefe de la Task Force de COBIT 5 for Risk, ya no
alcanza con identificar un riesgo y agregarlo al registro de riesgos, es fundamental poder
vincularlo directamente con el resultado de los objetivos estratégicos para el Negocio.
7
Política Descripción
Política Principal de como se requiere gestionar el riesgo en la empresa ya sea a
Gestión de Riesgos través de elaboraciones de gestiones de riesgos.
Política de seguridad Establecer pautas para proteger la información. Cuyo fin es
de la información: mantener en sintonía las políticas de seguridad junto con las
de riesgo.
Política de gestión de Estableciendo directrices de cómo actuar ante las situaciones
crisis: Políticas de nivel de crisis.
operativo.
Política de gestión de la Se encarga de la gestión de riegos relacionándola con la
entrega de servicios de prestación de servicios.
TI por terceros:
Política de continuidadPosee el compromiso de la gerencia en análisis de impactos,
de Negocios: entrenamiento y pruebas, etc.
Política de gestión de Ve la gestión en programas y que estos cumplan los objetivos
programas: con los cuales fueron planteados.
Política de Recursos Todo en referencia a los empleados tanto lo que la compañía
Humanos: espera de ellos como ellos de la compañía.
Política de Riesgo de Se encarga de ver que no existan daños en cuanto a la imagen
Fraude: y marca de la compañía.
Política Se encarga de ver que los procesos y roles cumplan con lo
de
Cumplimiento: establecido.
Política de Ética: Se encarga de ver la interacción de las personas de la
organización como de cualquier consumidor o cliente.
Política de Gestión de Detalla la visión de la gerencia en cuanto a la calidad sea
calidad: aceptable y aseguren calidad.
8
Administración de Riesgos en Cobit-5
El dominio de Gobierno contiene cinco procesos de gobierno, uno de los cuales se enfoca
en el riesgo relacionado con los objetivos de los terceros interesados: EDM03 Asegurar
la optimización de riesgos.
Todas las actividades de la empresa tienen una exposición de riesgos asociados derivados
de las amenazas ambientales que aprovechan las vulnerabilidades habilitador
EDM03 Asegurar optimización Del riesgo: asegura que el enfoque de riesgo de los
terceros interesado Este enfocado a cómo serán tratados los riesgos que enfrenta la
empresa.
APO12 Gestión de Riesgo: proporciona a las empresas la gestión de riesgos (ERM) las
disposiciones que aseguren que la dirección dada por los terceros interesados es seguida
por la empresa.
Todos los demás procesos: incluye prácticas y actividades que son diseñadas para tratar
el riesgo relacionado (evitar, reducir / mitigar / controlar/ compartir / transferir / aceptar).
9
Escenarios de riesgo:
3. Otro enfoque podría ser identificar las unidades de negocio de alto riesgo y evaluar
uno o dos procesos operativos de alto riesgo dentro de cada una de ellas,
incluyendo los componentes de TI que habilitan dichos procesos.
4. Hay que desarrollar una validación contra los objetivos del negocio. ¿Los
escenarios de riesgo seleccionados se refieren a impactos potenciales en el logro
de los objetivos de la entidad?
1
0
Factores de Riesgo
Contexto Externo Factores económicos de mercado, tasas de
cambio, industrias y competencias,
ambiente regulatorio, panorama de
amenazas.
Contexto Interno Metas y objetivos de la empresa,
complejidad en TI, Modelo operativo,
Prioridad Estratégicas, Cultura de la
empresa, Capacidad financiera, etc.
Capacidades de Gestión de Riesgos Gobierno del Riesgo, Gestión de Riesgo.
Capacidades Relacionadas con TI EDM (evaluar, dirigir y supervisar).
APO (Alinear, planificar y Organizar).
BAI (Construir, adquirir e implementar).
DESS (Entregar, dar servicio y Soporte).
MEA (Supervisar, Evaluar y Valorar).
Escenarios de Riesgo
Actor Interno= Contratista.
Externo= Competidor, socios, regulador
Tiempo de Amenaza Malicioso, Accidental, Fracaso y
Naturales.
Acción Divulgación, Interrupción, Modificación,
Robo, Destrucción, Diseño Ineficaz,
Ejecución Ineficaz, Regulación, Uso
inadecuado.
Acción y Recursos Personas y Organización, Procesos,
Infraestructura de TI, Arquitectura de
Componentes de la Organización.
Tiempo Duración, Calendario de incidentes,
Momento de Defecto.
1
1