Clase 7 Tac 4ºb

Taller de Auditoría Computacional
CLASE Nº7
A.E. : 2.- Realizan evaluación de control interno

en un ambiente informático, entregando los
informes y documentación correspondiente.
O.A.: 2.5. Identifica los puntos clave de la seguridad

en un ambiente informático.
A.E. : 2.- Realizan evaluación de control interno en un ambiente informático, entregando los informes y
documentación correspondiente.
O.A.: 2.5. Identifica los puntos clave de la seguridad en un ambiente informático.
En la actualidad, las empresas buscan formas de crear un programa de

seguridad integrada que les permita adaptarse con mayor velocidad y
eficiencia. Esto implica concebir la seguridad como un aspecto
incorporado, y no como un simple complemento.
La seguridad de la TI es un concepto general que abarca la seguridad

de las redes, del Internet, de los extremos, de las API, de la nube, de las
aplicaciones, de los contenedores y más. Se trata de establecer un
conjunto de estrategias de seguridad que funcionen en conjunto para
proteger los datos digitales.
Para seguir siendo competitiva, la empresa necesita reducir los costos e

innovar, pero también debe mantener la seguridad en constante
evolución y cumplir con las normas en un panorama tecnológico cada
vez más distribuido y complejo.
Se necesita un programa de seguridad que incluya un sistema de

supervisión permanente para que sepa lo que sucede en todo
momento, y un plan de respuesta bien definido para proceder con
calma y eficiencia cuando se presenten eventos sorpresivos.
¿Qué es la seguridad de TI?

La seguridad de la TI protege la integridad de las tecnologías de la
información (como los sistemas informáticos, las redes y los datos) de
los ataques, los daños o el acceso no autorizado.
Se debe trasladar la seguridad a las primeras etapas del proceso de

desarrollo y que forme parte de la infraestructura y del ciclo de vida del
producto lo antes posible. De esta manera, se puede obtener una
seguridad que permita anticiparse a los problemas y reaccionar ante
ellos.
La seguridad permanente se alimenta de un sistema de rutina de

comentarios y adaptación, que se suele administrar utilizando puntos de
control automáticos.
La automatización garantiza que los comentarios sean rápidos y

efectivos para no ralentizar el ciclo de vida del producto. Esta
integración de la seguridad también implica que se puedan implementar
las actualizaciones y las respuestas de forma rápida e integral, conforme
cambie el panorama de la seguridad.
Antes, la seguridad de la TI se centraba en fortalecer, mantener y vigilar el

perímetro del centro de datos; en la actualidad, ese perímetro ya no
existe. La forma en que desarrollamos, implementamos, integramos y
gestionamos la TI está cambiando significativamente.
Las nubes públicas e híbridas redistribuyen la responsabilidad del

cumplimiento de las normas y la seguridad entre los distintos
proveedores. La adopción de contenedores a escala requiere nuevos
métodos para analizar, proteger y actualizar la distribución de las
aplicaciones. Las aplicaciones móviles están distribuidas en una gran
cantidad de dispositivos, y cada vez más infraestructuras pasan del
hardware al software.
Los métodos tradicionales de gestión de la seguridad

quedaron obsoletos. La transformación digital exige un
cambio en los programas de seguridad: esta debe ser
permanente, integrada y flexible en el mundo digital.
A.E. : 2.- Realizan evaluación de control interno

en un ambiente informático, entregando los
informes y documentación correspondiente.
O.A.: 2.6. Relaciona el modelo COBIT con la

administración de las tecnologías de la información.
O.A.: 2.6. Relaciona el modelo COBIT con la administración de las tecnologías de la información
¿QUÉ ES COBIT?
COBIT nace con la misión de investigar, desarrollar, publicar y promover un

conjunto de objetivos de control de tecnología de información, guías,
actualizados, internacionales y aceptados para ser utilizados diariamente
por gerentes de negocio y auditores.
Su misión es consolidarse como líder mundialmente reconocido en materia

de gobierno, control y aseguramiento de la gestión de TI.
En 1992 comenzó la actualización de los objetivos de control de ISACA y, en
1996, ISACA proporcionó a los profesionales de TI un marco de prácticas
control de la TI generalmente aplicables y aceptadas.
La evolución de COBIT:
1. COBIT1 (1996): Audit

2. COBIT2 (1998): Control
3. COBIT3 (2000): Management
4. COBIT4 (2005/2007):
IT Governance
• Val IT 2.0
• Risk IT
5. COBIT5 (2012):
Governance of Enterprise IT
En respuesta a las necesidades actuales, COBIT ha evolucionado desde

una herramienta para auditoría a un marco de buen gobierno de TIC, con
la publicación de COBIT 4, en el año 2005, y COBIT 5, en 2012.
https://www.youtube.com/watch?v=s3K_OlEauTY&list=PPSV
https://www.youtube.com/watch?v=A6WWrNMYAt0&list=PPSV
COBIT 4
Partiendo de la premisa de que IT necesita entregar la información que
la organización necesita para alcanzar sus objetivos, COBIT promueve el
enfoque de procesos y propiedad/responsabilidad de procesos.
Divide IT en 34 procesos, que se incluyen en 4 dominios, que

proporcionan objetivos de control de alto nivel.
COBIT ayuda a cubrir las necesidades fiduciarias, de calidad y

seguridad de las organizaciones, proporcionando siete criterios de
información que se pueden utilizar para definir genéricamente lo que la
empresa requiere de TI.
Finalmente, para cumplir sus objetivos, se apoya en un conjunto de más

de 300 objetivos de control detallados.
La gerencia de negocio requiere cumplir con los objetivos marcados, y

para ello, necesita que las IT garanticen unos niveles óptimos de la
información, al menos en los siguientes requisitos:
Para ello, las IT cuentan con un conjunto de recursos, clasificados en:

1. Aplicaciones: entendido como la suma de las funciones de
procedimientos manuales y programados que procesan la
información.
2. Información: datos en todas sus formas (insumos, procesados, salidas
de los sistemas de información) que sean utilizados por el negocio.
3. Infraestructura: tecnología y entorno (hardware, sistemas operativos,
bases de datos, redes, multimedia, etc.) que posibilitan el
funcionamiento de las aplicaciones.
4. Personas: habilidades, conocimientos y productividad del personal,
tanto para personal interno como para el contratado.
Orientación a procesos
Cada proceso, en el ámbito de las IT, debe ser definido formalmente,
indicando y describiendo las actividades principales y sub-actividades, la
información de entrada necesaria y el resultado esperado del proceso.
Para un correcto control de cada proceso, se deben definir los siguientes

elementos:
• Responsable del proceso: quien responde por el proceso a la gerencia.
• Metas del proceso: son los KGI definidos.
• Objetivos de control e indicadores clave de desempeño: son los KPI
definidos para cada proceso.
PLANIFICACIÓN Y ORGANIZACIÓN (PO)

Este dominio abarca la estrategia y la táctica, y se vincula con la identificación de
la forma en que la tecnología de información puede contribuir más
adecuadamente con el logro de los objetivos de negocio. Además, es preciso
planificar, comunicar y administrar la realización de la visión estratégica desde
distintas perspectivas. Por último, debe existir una correcta organización e
infraestructura tecnológica.
Este domino responde a las siguientes preguntas:

¿IT y la estrategia de negocio están alineadas?
¿La organización está alcanzando un uso óptimo de sus recursos?
¿Todos los miembros de la organización comprenden los objetivos de IT?
¿Los riesgos de IT son comprendidos y administrados?
Los procesos definidos para este dominio son los siguientes:

PO1. Definición de un plan estratégico de TI.
PO2. Definición de la arquitectura de información.
PO3. Determinación de la dirección tecnológica.
PO4. Definición de la organización y relaciones de TI.
PO5. Administrar las inversiones de TI.
PO6. Comunicación de los objetivos y expectativas de la gerencia.
PO7. Administración de los recursos humanos.
PO8. Garantía del cumplimiento de requisitos externos.
PO9. Evaluación de riesgos.
PO10. Administración de proyectos.
PO11. Administración de la calidad.
ADQUIRIR E IMPLEMENTAR (AI)

Para realizar la estrategia de TI, deben identificarse, desarrollarse o adquirirse
soluciones de TI y luego implementarse e integrarse en el proceso de negocio.
Además, este dominio abarca los cambios y el mantenimiento de los sistemas
existentes para garantizar que el ciclo de vida perdure para estos sistemas.

¿Los nuevos proyectos son capaces de…
… entregar soluciones que cumplan con las necesidades del negocio?
… desarrollarse de acuerdo con los cronogramas y presupuestos establecidos?
… operar adecuadamente una vez que se implementan?
… realizar cambios considerando el impacto y configuración actual de las
operaciones del negocio?
AI1. Identificación de soluciones.

AI2. Adquisición y mantenimiento de software de aplicación.
AI3. Adquisición y mantenimiento de la arquitectura tecnológica.
AI4. Desarrollo y mantenimiento de TI.
AI5. Instalación y acreditación de sistemas.
AI6. Administración de cambios.
ENTREGAR Y DAR SOPORTE (ES)

Este dominio se ocupa de la entrega o prestación eficaz de los servicios
requeridos, que comprenden desde las operaciones tradicionales sobre aspectos
de seguridad y continuidad, hasta la capacitación. Para prestar los servicios,
deben establecerse los procesos de soporte necesarios. Este dominio incluye el
procesamiento real de los datos por los sistemas de aplicación, a menudo
clasificados como controles de aplicaciones.
¿Los servicios de TI están siendo entregados en línea con las prioridades del
negocio?, ¿Los costos de TI son optimizados?, ¿Los sistemas de TI son utilizados
en forma productiva y segura por parte de los miembros de la organización?, ¿Se
cuenta con una adecuada confidencialidad, integridad y disponibilidad a nivel de
las tecnologías de información?

ES1. Definición de niveles de servicio.
ES2. Administrar servicios prestados por terceros.
ES3. Administración de capacidad y desempeño.
ES4. Garantía de servicio continuo.
ES5. Garantía de seguridad de los sistemas.
ES6. Identificación y asignación de costos.
ES7. Educación y entrenamiento de usuarios.
ES8. Apoyo y asistencia a los clientes de TI.
ES9. Administración de la configuración.
ES10. Administración de problemas e incidentes.
ES11. Administración de datos.
ES12. Administración de las instalaciones.
ES13. Administración de las operaciones.
EVALUAR Y MONITORIZAR (M)

Es preciso evaluar regularmente todos los procesos de TI, a medida que
transcurre el tiempo, para determinar su calidad y el cumplimiento de los
requerimientos de control. De este modo, este dominio corresponde a la
vigilancia de la función gerencial sobre los procesos de control de la organización
y la garantía independiente provista por la auditoría interna y externa, u obtenida
de fuentes alternativas.
¿Se mide el desempeño de TI para detectar problemas antes de que sea
demasiado tarde?, ¿La administración se asegura que los controles internos sean
efectivos y eficientes?, ¿Es posible establecer la relación entre el desempeño de
TI y las metas del negocio? ¿Existen mecanismos para medir y reportar los
riesgos, el control, cumplimiento y desempeño de TI?
M1. Monitoreo de procesos.

M2. Evaluación del control interno.
M3. Obtención de certificación independiente.
M4. Provisión de auditoría independiente.
COBIT atiende estos temas a través de:
• Modelos de madurez que facilitan la evaluación por medio de

benchmarking y la identificación de las mejoras necesarias en la
capacidad.
• Metas y mediciones de desempeño para los procesos de IT, que
demuestran cómo los procesos satisfacen las necesidades del negocio
y de TI, y cómo se usan para medir el desempeño de los procesos
internos basados en BSC.
• Metas de actividades para facilitar el desempeño efectivo de los
procesos.
El modelo de madurez para la administración y el control de los procesos

de TI se basa en un método de evaluación de la organización de tal forma
que se pueda evaluar a sí misma, desde un nivel de no-existente (0)
hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de
madurez que el Software Engineering Institute definió para la madurez
de la capacidad del desarrollo de software.
Cualquiera que sea el modelo, las escalas no deben ser demasiado

granulares, ya que eso haría que el sistema fuera difícil de usar y
sugeriría una precisión que no es justificable debido a que, en general, el
fin es identificar dónde se encuentran los problemas y cómo fijar
prioridades para las mejoras.
Los niveles de madurez están diseñados como perfiles de procesos de TI

que una empresa reconocería como descripciones de estados posibles
actuales y futuros. No están diseñados para ser usados como un modelo
limitante, donde no se puede pasar al siguiente nivel superior sin haber
cumplido todas las condiciones del nivel inferior.
Con los modelos de madurez de COBIT, a diferencia de la aproximación

del CMM original de SEI, no hay intención de medir los niveles de forma
precisa o probar a certificar que un nivel se ha conseguido con exactitud.
Una evaluación de la madurez de COBIT resultara en un perfil donde las
condiciones relevantes a diferentes niveles de madurez se han
conseguido.
Esto se debe a que cuando se emplea la evaluación de la madurez con los

modelos de COBIT, a menudo algunas implementaciones estarán en
diferentes niveles, aunque no esté completa o suficiente.
Utilizando los modelos de madurez desarrollados para cada uno de los 34

procesos IT de COBIT, la gerencia podrá identificar:
1. El desempeño real de la empresa. Dónde se encuentra la empresa hoy.

2. El estatus actual de la industria. La comparación.
3. El objetivo de mejora de la empresa. Dónde desea estar la empresa.

Clase 7 Tac 4ºb

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Clase 7 Tac 4ºb

Cargado por

Copyright:

Formatos disponibles

Taller de Auditoría Computacional

A.E. : 2.- Realizan evaluación de control interno

O.A.: 2.5. Identifica los puntos clave de la seguridad

En la actualidad, las empresas buscan formas de crear un programa de

La seguridad de la TI es un concepto general que abarca la seguridad

Para seguir siendo competitiva, la empresa necesita reducir los costos e

Se necesita un programa de seguridad que incluya un sistema de

¿Qué es la seguridad de TI?

Se debe trasladar la seguridad a las primeras etapas del proceso de

La seguridad permanente se alimenta de un sistema de rutina de

La automatización garantiza que los comentarios sean rápidos y

Antes, la seguridad de la TI se centraba en fortalecer, mantener y vigilar el

Las nubes públicas e híbridas redistribuyen la responsabilidad del

Los métodos tradicionales de gestión de la seguridad

A.E. : 2.- Realizan evaluación de control interno

O.A.: 2.6. Relaciona el modelo COBIT con la

COBIT nace con la misión de investigar, desarrollar, publicar y promover un

Su misión es consolidarse como líder mundialmente reconocido en materia

1. COBIT1 (1996): Audit

En respuesta a las necesidades actuales, COBIT ha evolucionado desde

Divide IT en 34 procesos, que se incluyen en 4 dominios, que

COBIT ayuda a cubrir las necesidades fiduciarias, de calidad y

Finalmente, para cumplir sus objetivos, se apoya en un conjunto de más

La gerencia de negocio requiere cumplir con los objetivos marcados, y

Para ello, las IT cuentan con un conjunto de recursos, clasificados en:

Para un correcto control de cada proceso, se deben definir los siguientes

PLANIFICACIÓN Y ORGANIZACIÓN (PO)

Este domino responde a las siguientes preguntas:

Los procesos definidos para este dominio son los siguientes:

ADQUIRIR E IMPLEMENTAR (AI)

Este domino responde a las siguientes preguntas:

Los procesos definidos para este dominio son los siguientes:

AI1. Identificación de soluciones.

ENTREGAR Y DAR SOPORTE (ES)

Los procesos definidos para este dominio son los siguientes:

EVALUAR Y MONITORIZAR (M)

Los procesos definidos para este dominio son los siguientes:

M1. Monitoreo de procesos.

COBIT atiende estos temas a través de:

• Modelos de madurez que facilitan la evaluación por medio de

El modelo de madurez para la administración y el control de los procesos

Cualquiera que sea el modelo, las escalas no deben ser demasiado

Los niveles de madurez están diseñados como perfiles de procesos de TI

Con los modelos de madurez de COBIT, a diferencia de la aproximación

Esto se debe a que cuando se emplea la evaluación de la madurez con los

Utilizando los modelos de madurez desarrollados para cada uno de los 34

1. El desempeño real de la empresa. Dónde se encuentra la empresa hoy.

También podría gustarte