Documentos de Académico
Documentos de Profesional
Documentos de Cultura
RECORDEM OS
Para muchas empresas, la informacin y la tecnologa que las soportan representan sus ms valiosos activos, aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnologa de informacin y la utilizan para impulsar el valor de sus interesados (stakeholders). Estas empresas tambin entienden y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios, as como la dependencia crtica de muchos procesos de negocio en TI.
Ing. Vctor Manuel Montao Ardila
RECORDE MOS
Estas empresas tambin entienden y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios, as como la dependencia crtica de muchos procesos de negocio en TI.
RECORDEMOS
El Gobierno De TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales.
RECORDEMOS
Ms an, el gobierno de TI integra e institucionaliza las buenas prcticas para garantizar que la TI de la empresa sirve como base a los objetivos del negocio. De esta manera, el gobierno de TI facilita que la empresa aproveche al mximo su informacin, maximizando as los beneficios, capitalizando las oportunidades y ganando ventajas competitivas.
Ing. Vctor Manuel Montao Ardila
RECORDEMOS
Para que la TI tenga xito en satisfacer los requerimientos del negocio, la direccin debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera:
1. Estableciendo un vnculo con los requerimientos del negocio 2. Organizando las actividades de TI en un modelo de procesos generalmente aceptado 3. Identificando los principales recursos de TI a ser utilizados 4. Definiendo los objetivos de control gerenciales a ser considerados
Ing. Vctor Manuel Montao Ardila
Modelo COBIT
CONCEPTO BSICOS
MODELO COBIT (Control Objectives for Information Systems and related Technology) Modelo para evaluar y/o auditar la gestin y control de los de Sistemas de Informacin y Tecnologa relacionada (IT):
Es el resultado de una investigacin con expertos de varios paises, desarrollada por la Information, Systems Audit and Control Association ISACA. Esta asociacin se ha constituido en el organismo normalizador y orientador en el control y la auditora de los sistemas de Informacin y Tecnologa (IT). El modelo CobIT ha sido aceptado y adoptado por organizaciones en el mbito mundial.
Ing. Vctor Manuel Montao Ardila
CONCEPTO BSICOS
Modelo COBIT
Origen
USUARIOS DE TI
ALTA GERENCIA
AUDITORES
Ing. Vctor Manuel Montao Ardila
CONCEPTO BSICOS
Proveer un marco nico reconocido a nivel mundial
de las mejores prcticas de control y seguridad de TI diferentes pases desarrollados. control y la auditora de TI.
Consolidar y armonizar estndares originados en Concientizar a la comunidad sobre importancia del Enlaza los objetivos y estrategias de los negocios
con la estructura de control de la TI, como factor crtico de xito de sus plataformas de TI
Aplica a todo tipo de organizaciones independiente Ratifica la importancia de la informacin, como uno
de los recursos ms valiosos de toda organizacin Ing. Vctor Manuel Montao Ardila exitosa
CONCEPTO BSICOS
ISACA - 95 paises 20.000 miembros
COBIT
Representatividad
Investigacin: E.U-Europa-Australia-Japn Consolidacin y armonizacin 18 estndares
COSO OECD
Commission)
: (Committe Of Sponsoring Org. of the Treadway : (Organizarion for Economic Cooperation and : (International Standars Organization)
Development)
ISO 9003
NIST DTI ITSEC
E.U) Europa)
: (National Institute of Standars and Technology) : (Departament of Trade and Industry of the U.K) : (Information Technology Security Evaluation Criteria : (Trusted Computer Evaluacin Criteria - Orange BookIng. Vctor Manuel Montao Ardila
TCSEC
CONCEPTO BSICOS
Para satisfacer los objetivos del negocio la informacin debe cumplir con criterios que COBIT extrae de los ms reconocidos modelos:
CONCEPTO BSICOS
Requerimientos fiduciarios (informe COSO)
POR QU COBIT?
La Tecnologa se ve como un costo, no hay una terminologa comn con el negocio, y se recorta el presupuesto en la seguridad, ya que la falta de difusion de normas y buenas prcticas que ayuden a generar conciencia de los riesgos mantiene la quimera del : A mi no me va pasar..
Ing. Vctor Manuel Montao Ardila
POR QU COBIT?
La Direccin, a travs de su Gobierno Corporativo debe garantizar la debida diligencia por parte de todos los individuos involucrados en la administracin, uso, diseo, desarrollo, mantenimiento u operacin de los sistemas de informacin.
Ing. Vctor Manuel Montao Ardila
El
Auditor para sustentar sus opiniones sobre los riesgos y la adecuacin de la tecnologa a las mejores prcticas. Ser asesores proactivos del negocio
ADEMS...
El rea usuaria para saber que puede
pedir a tecnologa y que se le va a exigir sobre el control de los procesos del negocio. Son los interesados en saber si los recursos de Tecnologa de Informacin se utilizan adecuadamente y les ayudan a alcanzar sus objetivos acuerdo de servicios y justificar su inversin para saber que es lo mnimo que pueden exigir.
ORIENTACIN DE COBIT
Su orientacin hacia el negocio consiste en vincular objetivos de negocio con objetivos de TI, facilitar mtricas y modelos de madurez para medir su xito, e identificar las responsabilidades asociadas del negocio y los propietarios de los procesos de TI. ENFOCADO EN EL NEGOCIO, ORIENTADO A PROCESO, BASADO EN CONTROLES Y DIRIGIDO POR MEDIDAS.
Ing. Vctor Manuel Montao Ardila
DEFINICION ES
PRINCIPIOS
Efectividad Se refiere a la informacin que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Se refiere a la provisin de informacin a travs del ptimo (ms productivo y econmico) uso de los recursos. Relativa a la proteccin de la informacin sensitiva de su revelacin no autorizada.
Eficiencia
Confidencialidad
PRINCIPIOS
Disponibilidad Se refiere a la que la informacin debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas.
Confiabilidad
Se refiere a la provisin de la informacin apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestin.
Ing. Vctor Manuel Montao Ardila
BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas
Los 4 principios:
Dirigir y controlar Con responsabilidad Con imputabilidad (Accountability) Mediante actividades (Procesos)
Ing. Vctor Manuel Montao Ardila
BUEN GOBIERNO DE TI
Las 5 reas:
Alineacin estratgica Aportacin de Valor Gestin de Riesgos Gestin de Recursos Medidas de Rendimiento
BUEN GOBIERNO DE TI
Las 5 ventajas:
Confianza de la Alta Direccin TI es co-responsable al negocio Retorno de Inversin Superior Servicios ms confiables Mayor transparencia
Ing. Vctor Manuel Montao Ardila
Propuesta de Solucin
Expectativas sobre COBIT (1) Alta Gerencia: Utilizar los procesos de COBIT para lograr un lenguaje comn entre el negocio y TI y asignar responsabilidades claras Gerencias Usuarias: Utilizar los objetivos de control de COBIT para determinar las necesidades que sern cubiertas por los Acuerdos de Niveles de Servicio
Ing. Vctor Manuel Montao Ardila
Propuesta de Solucin
Expectativas sobre COBIT (2) Auditora Interna: Utilizar los objetivos de control de COBIT como un criterio para evaluar y definir el alcance a revisar Gerente TI: Utilizar los objetivos de control de COBIT para: 1. Estructurar los procesos 2. Establecer objetivos de los procesos 3. Medir el desempeo de los procesos / gestin 4. Generar polticas y procedimientos Ing. Vctor Manuel Montao Ardila
Fase 1
Levantamiento de procesos actuales
Recursos de TI Procesos de trabajo Criterios de Informacin
Cumplimiento Confiabilidad
Ing. Vctor Manuel Montao Ardila
Fase 1
Recursos de TI Recursos de TI
Procesos de TI
de trabajo COBIT, relaciona los requerimientos de informacin y de Criterios de gobierno a los objetivos Informacin de la funcin de servicio de TI. El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean Recursos administrados y de TI controlados basados en los objetivos de control de COBIT, y alineados y Indicadores clave monitoreados usando de Rendiemiento las mtricas KGI y KPI Procesos de COBIT de TI
Indicadores clave de Objetivos
Aplicaciones
Informacin
Infraestructura
Gente
Objetivos de TI
Dominios
Dominios
Procesos Procesos
Actividades Actividades
Aplicaciones
Personas
Infraestructura
os s ur
Informacin
CLASIFICACIN
Agrupamiento
Dominios
lgico de procesos, a menudo se concibe como dominios de responsabilidad dentro de una estructura y se relaciona con el ciclo de vida aplicable a los procesos de Tecnologa de Informacin. tareas vinculadas con cortes (de control) naturales.
Actividades o tareas
Resumen Ejecutivo Casos de Estudio Preguntas Frecuentes Presentaciones Power Point Guas de Implementacin Diagnstico Conciencia Administrativa Diagnstico Control de TI
Lineamientos Gerenciales
Guas de Auditora
Prcticas de Control
Modelos de Madurez
forma en que la tecnologa de informacin puede contribuir ms adecuadamente con el logro de los objetivos del negocio. comunicar y administrar la realizacin de la visin estratgica desde distintas perspectivas.
DOMINIO
Planificacin y Organizacin
Proceso: PO1 Definicin de un plan estratgico de TI Proceso: PO2 Definicin de la arquitectura de la informacin Proceso: PO3 Determinacin de la direccin tecnolgica Proceso: PO4 Definicin de la organizacin y el relacionamiento en TI Proceso: PO5 Administracin de la inversin en TI Proceso: PO6 Comunicacin de los objetivos y directivas de la gerencia Proceso: PO7 Administracin de los recursos humanos Proceso: PO8 Aseguramiento del cumplimiento de los requerimientos externos Proceso: PO9 Evaluacin de riesgos Proceso: PO10 Administracin de proyectos Proceso: PO11 Administracin de la calidad
Ing. Vctor Manuel Montao Ardila
Identificacin,
DOMINIO
Proceso: AI12 Proceso:
Adquisicin e Implementacin
Identificacin de soluciones Adquisicin y de aplicacin mantenimiento de AI13 software
Proceso: AI14 Adquisicin y mantenimiento de la infraestructura tecnolgica Proceso: AI15 Desarrollo y procedimientos de TI mantenimiento de
servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitacin. necesarios. de soporte
Procesos
DOMINIO
Proceso: DS18 Proceso:
Entrega y Soporte
Definicin de los niveles del servicio de los servicios
Proceso: DS20 Administracin de la capacidad y del desempeo del sistema Proceso: DS21 Aseguramiento de la continuidad del servicio Proceso: DS22 Establecimiento de pautas para la seguridad de los sistemas Proceso: DS23 Identificacin e imputacin de Montao costos Ing. Vctor Manuel Ardila
DOMINIO
Proceso: Proceso:
Entrega y Soporte
DS24 Educacin usuarios DS25 clientes Asistencia de TI y y capacitacin asesoramiento de a los los
DOMINIOS DE COBIT
Monitoreo
Evaluar
regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control. los procesos organizacin de control de la
DOMINIO
Monitoreo
Proceso: ME31 Proceso: Proceso: Monitoreo de los procesos de la de adecuacin del
aseguramiento
Proceso: ME34
PROCESOS
APLICACIONES TECNOCLOGA FACILIDADES
Navegacin (Matriz)
AI1de IT AI2
Identificar soluciones PS
Adquirir y P mantener software Adquirir y mantener aplicativo P AI3arquitectura tecnolgica y P AI4 Desarrollar mantener procedimientos de y IT AI5 Instalar P acreditar sistemas Administrar los P AI6 cambios
P P P
S S S SS
S S S S
S
RECURSO S
PP
CRITERIOS
DATOS PERSONAS
COBIT
DOMINIO AI:
Adquisicin e Implementaci n
DEFINICIN DE PROCESOS DE TI
PO1: Definir el Plan estratgico de IT
La funcin de servicios de informacin debera asegurar que hay planes a corto y largo plazo para administrar y orientar todos los recursos de IT de la organizacin. Estos planes La As deben ser actualizados de manera correcta y oportuna para adecuarlos a los cambios de las condiciones de la IT. de desarrollar o modificar el plan estratgico de IT. evaluacin de los sistemas existentes debe realizarse antes mismo, la funcin de administracin de los servicios de informacin debe asegurar que el plan estratgico de IT es
Ing. Vctor Manuel Montao Ardila consistente con los objetivos del negocio, y los planes a corto
Cambios Plan corto La TI Enfoque y Plan a estructura al Plan a plazo de como largo del Plan a largo la parte de plazo funcin plazo los largo de plazo de la de la TI de planes a la TI servicios TI de TI corto/larg o plazo deEvaluacin objetivos de control detallados la Ing. Vctor Manuel Montao Ardila empresa
PRODUCTOS DE COBIT
a id d Me
ra a p
rola do por
Objetivos de Control
o ad en
d Au d ita or op
m or f s
Implementado con
Para resultados
ra Pa
se m pe
an r T
M u ad z re
Pa ra
de
Guas de Auditora
Practicas de Control
CONTROLES GENERALES
Controles Generales sobre procesos de TI
Procesamiento de Datos
Los procedimientos de manejo de errores durante la generacin de los datos aseguran de forma razonable la deteccin, el reporte y la correccin de errores e irregularidades.
Los procedimientos garantizan que todos los documentos fuente autorizados son completos y precisos, debidamente justificados y transmitidos de manera oportuna para su captura.
Preparacin de Datos (AC1) Autorizacin de documentos fuente (AC2) Recoleccin de datos fuente (AC3) Manejo de errores en documentos fuente (AC4) Retencin de documentos fuente (AC5)
El personal autorizado, actuando dentro de su autoridad, prepara los documentos fuente de forma adecuada y existe una segregacin de funciones apropiada con respecto a la generacin y aprobacin de los documentos fuente. Existen procedimientos para garantizar que los documentos fuente originales son retenidos o pueden ser reproducidos por la organizacin durante un lapso adecuado de tiempo para facilitar el acceso o reconstruccin de datos as como para satisfacer los requerimientos legales.
Los departamentos usuarios implementan y dan seguimiento a los procedimientos de preparacin de datos. En este contexto, el diseo de los formatos de entrada asegura que los errores y las omisiones se minimicen. Los procedimientos de manejo de errores durante la generacin de los datos aseguran de forma razonable que los errores y las irregularidades son detectadas, reportadas y corregidas Ing. Vctor Manuel Montao Ardila
Los datos de transacciones, ingresados para ser procesados (generados por personas, por sistemas o entradas de interfases) estn sujetos a una variedad de controles para verificar su precisin, integridad y validez. Los procedimientos tambin garantizan que los datos de entrada son validados y editados tan cerca del punto de origen como sea posible.
Existen y se siguen procedimientos para la correccin y re-captura de datos que fueron ingresados de manera incorrecta.
Procedimientos de autorizacin de captura de datos (AC6) Verificacin de precisin, integridad y autorizacin (AC7) Manejo de errores en la entrada de datos (AC8)
Los procedimientos aseguran que solo el personal autorizado capture los datos de entrada.
Integridad en el procesamiento de datos (AC9) Validacin y edicin del procesamiento de datos (AC10) Manejo de errores en el procesamiento de datos (AC11)
Procesamiento de Datos
Los procedimientos garantizan que la validacin, la autenticacin y la edicin del procesamiento de datos se realizan tan cerca como sea posible del punto de generacin. Los individuos aprueban decisiones vitales que se basan en sistemas de inteligencia artificial.
Los procedimientos de manejo de errores en el procesamiento de datos permiten que las transacciones errneas sean identificadas sin ser procesadas y sin una indebida interrupcin del procesamiento de otras transacciones vlidas.
Los procedimientos para el procesamiento de datos aseguran que la separacin de funciones se mantiene y que el trabajo realizado de forma rutinaria se verifica. Los procedimientos garantizan que existen controles de actualizacin adecuados, tales como totales de control de corrida-a-corrida, y controles de actualizacin de archivos maestros
Procedimientos de autorizacin de captura de datos (AC6) Verificacin de precisin, integridad y autorizacin (AC7) Manejo de errores en la entrada de datos (AC8)
Manejo y retencin de salidas (AC12) Distribucin de Salidas (AC13) Cuadre y conciliacin de salidas (AC14) Revisin de Salidas y Manejo de errores (AC13) Provisin de seguridad para reportes de salida (AC14)
Procesamiento de Datos
Existen procedimientos para garantizar que se mantiene la seguridad de los reportes de salida, tanto para aquellos que esperan ser distribuidos como para aquellos que ya estn entregados a los usuarios. Los procedimientos garantizan que tanto el proveedor como los usuarios relevantes revisan la precisin de los reportes de salida. Tambin existen procedimientos para la identificacin y el manejo de errores contenidos en las salidas. Las salidas cuadran rutinariamente con los totales de control relevantes. Las pistas de auditora facilitan el rastreo del procesamiento de las transacciones y la conciliacin de datos alterados. Los procedimientos para la distribucin de las salidas de TI se definen, se comunican y se les da seguimiento.
Manejo y retencin de salidas (AC12) Distribucin de Salidas (AC13) Cuadre y conciliacin de salidas (AC14) Revisin de Salidas y Manejo de errores (AC13) Provisin de seguridad para reportes de salida (AC14)
El manejo y la retencin de salidas provenientes de aplicaciones de TI siguen procedimientos definidos y tienen en cuenta los requerimientos de privacidad y de seguridad. Ing. Vctor Manuel Montao Ardila
Autenticidad e Integridad (AC15) Proteccin de informacin sensitiva durante su transmisin y transporte (AC16)
Ing. Vctor Manuel Montao Ardila
Se proporciona una proteccin adecuada contra accesos no autorizados, modificaciones y envos incorrectos de informacin sensitiva durante la transmisin y el transporte.
Autenticidad e Integridad (AC15) Proteccin de informacin sensitiva durante su transmisin y transporte (AC16)
Se verifica de forma apropiada la autenticidad e integridad de la informacin generada fuera de la organizacin, ya sea que haya sido recibida por telfono, por correo de voz, como documento en papel, fax o correo electrnico, antes de que se tomen medidas potencialmente crticas.