1.

Metodologa de Auditora de Sistemas COBIT

Los Objetivos de Control para la Informacin y la Tecnologa relacionada (COBIT) brindan buenas prcticas a travs de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lgica. Las buenas prcticas de COBIT representan el consenso de los expertos. Estn enfocadas fuertemente en el control y menos en la ejecucin. Estas prcticas ayudarn a optimizar las inversiones habilitadas por TI, asegurarn la entrega del servicio y brindarn una medida contra la cual juzgar cuando las cosas no vayan bien

El concepto fundamental del marco referencial COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que deben ser administrados por procesos de TI. Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos criterios a los que COBIT hace referencia, como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos  Requerimientos de Calidad: Calidad, Costo, Entrega (de servicio)  Requerimientos Fiduciarios: Efectividad & eficiencia de operaciones, Confiabilidad de la informacin, Cumplimiento de las leyes & Regulaciones  Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad Los requerimientos de Calidad se refiere a que la primera prioridad deber estar dirigida al manejo apropiado de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la Calidad est cubierto por los criterios de efectividad. Se consider que el aspecto de entrega (de servicio) de la Calidad se traslapa con el aspecto de disponibilidad correspondiente a los requerimientos de seguridad y tambin en alguna medida, con la efectividad y la eficiencia. Finalmente, el Costo es tambin considerado que queda cubierto por Eficiencia. Para los requerimientos fiduciarios, se utilizaron las definiciones de COSO (Committee of Sponsoring Organizations) para la efectividad y eficiencia de operaciones, confiabilidad de informacin y cumplimiento con leyes y regulaciones. Sin embargo, confiabilidad de informacin fue ampliada para incluir toda la informacin Con respecto a los aspectos de seguridad, CobiT identific la confidencialidad, integridad y disponibilidad como los elementos clave, fue descubierto que estos mismos tres elementos son utilizados a nivel mundial para describir los requerimientos de seguridad.

Comenzando el anlisis a partir de los requerimientos de Calidad, Fiduciarios y de Seguridad ms amplios, se extrajeron siete categoras distintas, ciertamente superpuestas. A continuacin se muestran las definiciones de trabajo de COBIT:  Efectividad: Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable  Eficiencia Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos  Confidencialidad Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada.  Integridad Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio.  Disponibilidad Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.  Cumplimiento Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente.  Confiabilidad de la Informacin Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

Recursos De TI La organizacin de TI se desempea con respecto a estas metas como un conjunto de procesos definidos con claridad que utiliza las habilidades de las personas, y la infraestructura de tecnologa para ejecutar aplicaciones automatizadas de negocio, mientras que al mismo tiempo toma ventaja de la informacin del negocio. Estos recursos, junto con los procesos, constituyen una arquitectura empresarial para TI. Para responder a los requerimientos que el negocio tiene hacia TI, la empresa debe invertir en los recursos requeridos para crear una capacidad tcnica adecuada Los recursos de TI identificados en COBIT se pueden definir como sigue:

 Aplicaciones Incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan informacin.  Informacin Son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de informacin, en cualquier forma en que sean utilizados por el negocio.  La tecnologa Son las instalaciones (hardware, sistemas operativos, sistemas de administracin de base de datos, redes, multimedia, etc., as como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.  Personas Son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de informacin. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.  Objetivos Primario ( P) Es el grado al cual el objetivo de control definido impacta directamente el requerimiento de informacin de inters.  Objetivo Secundario ( S) Es el grado al cual el objetivo de control definido satisface nicamente de forma indirecta o en menor medida el requerimiento de informacin de inters.

DOMINIOS Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir, ejecutar y Monitorear. Dentro del marco de COBIT, estos dominios, como se muestra en la Figura 1, se llaman: Planear y Organizar (PO) Proporciona direccin para la entrega de soluciones (AI) y la entrega de servicio (DS). Adquirir e Implementar (AI) Proporciona las soluciones y las pasa para convertirlas en servicios. Entregar y Dar Soporte (DS) Recibe las soluciones y las hace utilizables por los usuarios finales. Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar que se sigue la direccin provista.

Fig. 1 Dominios Interrelacionados de Cobit