AUDITORÍA DE SISTEMAS y CONTROL INTERNO

UNIDAD 1 AUDITORÍA TI
Sistemas de Gestión de Seguridad de la Información
COBIT

Abril, 2021

Profesora: María Ivonne Carvacho

Unidad 1: Enfoques y Estándares de Auditoría (cont.)
3. Sistemas de Gestión de Seguridad de la Información
3.1 COBIT
3.2 ITIL, ISO 27.000-31.000
3.3 Apoyo a la función de auditoría interna y sistemas
4. Mapa de Procesos
4.1 Conocimientos de los Proceso internos de la Empresa
5. Control Interno y riesgos
5.1 Definición y concepto de Riesgo
5.2 Identificación de riesgos
5.3 Clasificación de riesgos: inherente –residual
6. Identificación de controles
7. Valorización de riesgos y controles
7.1 Diseño de Mapa de riesgos
 La función de la tecnología de la información (TI)
La función de la tecnología de la información (TI) en las empresas se ha vuelto imprescindible para el desarrollo de
todas las actividades, debido a que la información es uno de los principales activos de las empresas, y es la base
fundamental para la toma de decisión de los directivos. A diario se adquiere, almacena, manipula y transmite
información, y estos procedimientos se logran realizar de manera eficiente reduciendo tiempos y costos gracias a la TI.
Por lo tanto es importante reconocer a las TI como parte esencial del negocio
 La función de la tecnología de la información (TI)
La tecnología de la información es parte esencial del
negocio. Para ello es imprescindible tener una adecuado
Gobierno TI, que permita:

*Mantener información de alta calidad

*Generar valor
*Obtener eficiencia operativa
*Optimizar costos
*Reducir riesgos a un nivel aceptable

Establecer un Gobierno TI implica tener en cuenta la

calidad de la información y Buenas Practicas que permitan
garantizar que la TI está enfocada al cumplimiento de los
objetivos de la empresa, a través del aprovechamiento de
la información y oportunidades.
 Modelo COBIT 5

COBIT: Objetivos de control para la información y tecnología relacionada.

El modelo COBIT 5 de ISACA proporciona a las empresas un Marco de Trabajo Integral
que las ayuda a alcanzar sus objetivos para el Gobierno y la Administración de TI, es
decir permite crear valor desde la TI y Mantener un equilibrio entre niveles aceptables
de riesgos y recursos.
COBIT 5 es un Marco de trabajo que permite comprender el gobierno y la gestión de
las tecnologías de información (TI) de una organización, así como evaluar el estado
en que se encuentran las TI en la empresa.
COBIT 5 puede ser implementado en cualquier empresa, independientemente de sus
características y necesidades.
Teniendo en cuenta que un gobierno TI efectivo ayuda a garantizar que:
La TI soporte las metas del negocio,
Optimice la inversión, y
 Administre en forma adecuada los riesgos y oportunidades asociadas a la TI.
 Modelo COBIT 5

COBIT: Control objectives for information and related technology =

Objetivos de control para la información y tecnología relacionada.

ISACA: Information Systems Audit and Control Association =

Asociación de Auditoría y Control de sistemas de Información
COBIT 5 es un Marco de trabajo que permite comprender el gobierno y la
gestión de las tecnologías de información (TI) de una organización, así
como evaluar el estado en que se encuentran las TI en la empresa.
 Modelo COBIT 5
Beneficios

1. Información
de alta calidad

6.
Cumplimiento 2.-Uso
de las leyes, efectivo e
normas y innovador de
regulaciones las TI
pertinentes

Beneficios
COBIT 5
5.Optimizació
n de servicios, 3.Excelencia
costos y operativa
tecnología

4.Mantener
los riesgos
relacionados a
las TI a un
nivel bajo y
aceptable
GOBIERNO TI
BENEFICIOS
Modelo COBIT 5
ISACA ha publicado cinco ediciones del modelo COBIT buscando un cubrimiento total
de los elementos que comprenden las Tecnologías de Información (TI) y de las
necesidades de las empresas.
En la primera y segunda edición del
modelo COBIT, se establecieron objetivos
de control a partir de la recolección y
análisis de diversas fuentes
internacionales, tales como:
Estándares técnicos, códigos de conducta,
estándares de calidad, estándares
profesionales en la revisión, y prácticas y
requisitos de la industria.
Para la tercera edición se
desarrollaron pautas de gerencia y
se actualizó el modelo de acuerdo a
las referencias internacionales.
La cuarta edición ayudó a llevar
las directrices de gobierno de TI a
más ejecutivos de negocio.
La más reciente edición, COBIT 5, ayuda
a las organizaciones a crear un valor
óptimo a partir de la TI, debido a que
mantiene un equilibrio entre la realización
de beneficios, la optimización de los
niveles de riesgo y el uso de los recursos.
 5 EDICIONES DEL MODELO
COBIT

5ta V Debido a que mantiene un

equilibrio entre la realización de
beneficios,
la optimización de los niveles
de riesgo y el uso de los
recursos
En este sentido, COBIT 5 define estándares y una
conducta profesional para la gestión y control de los
Sistemas de Información con una orientación hacia el
negocio, ayudando así a las organizaciones a crear un valor
óptimo a partir de las tecnologías de información, la
optimización del riesgo y los recursos informáticos..
 EL Modelo COBIT 5 es un
Marco Integral de Gobierno TI
El modelo COBIT 5 es un
marco integral de
gobierno de TI que, a
través de principios,
prácticas, herramientas
analíticas y modelos,
globalmente aceptados,
ayuda a las empresas a
dirigir efectivamente su
estructura de TI.
Además, COBIT 5 integra los principales marcos de referencia
desarrollados por ISACA1: Val IT, Risk IT, BMIS, ITAF, haciendo más fácil
para los usuarios el entendimiento y uso de este material

A partir de:
Val IT, framenwork de gobernabilidad que se puede utilizar para crear
valor de negocio en inversiones TI
Risk IT, framenwork Riesgos relacionados con el uso de TI
 3.- 4.-

2.-
1.-
 Estructura COBIT 5
El Marco integral de COBIT 5 presentado por ISACA incluye los siguientes
productos que permiten un trabajo y acompañamiento completo:

A partir de:
 Estructura COBIT 5
COBIT 5 está construido sobre 5 principios y 7 habilitadores/catalizadores, los cuales son
genéricos y útiles para todas las organizaciones, sin importar sus características, debido a que
permite ser adaptado de acuerdo con las necesidades de cada una.

A partir de los principios y habilitadores, el modelo COBIT 5 se enfoca en alinear las metas del
negocio de la empresa con las metas de TI, brindando métricas y modelos de capacidad para
medir sus logros; una vez identificados los procesos y controles críticos de TI, el modelo de
capacidad permite identificar y demostrar a la dirección las debilidades en la capacidad, con
el fin de crear un plan de acción y llevar los procesos
A partir de: al nivel de capacidad deseado.
 Estructura COBIT 5
Para lograr sus objetivos, COBIT 5 presenta un marco de trabajo que se desarrolla con base
en buenas prácticas.

Presenta y consolida un solo marco que incluye un Modelo de Referencia de Procesos

completo e integral, que le brinda las herramientas necesarias a cada empresa para definir su
propio proceso teniendo en cuenta su contexto y necesidades.

A partir de:
 Principios de COBIT 5
Como mencionábamos anteriormente, el marco de trabajo de COBIT 5 se basa en 5 principios
claves que permiten que la empresa construya un Gobierno y Administración de TI efectivos,
enfocados hacia 7 habilitadores, que optimizan la inversión en TI y generan beneficios para
las partes interesadas.
Los Principios son:
1. Satisfacer las necesidades de las partes interesadas
2. Cubrir la organización de forma integral
3. Aplicar un solo marco integrado
4. Habilitar un enfoque holístico A partir de:
5. Separar el gobierno de la administración de TI
 Principios de COBIT 5

Uno de los principales objetivos de las empresas es la creación de valor para sus partes
interesadas (Stakeholders). Sin embargo, debido a que cuando hablamos de partes
interesadas en una empresa, nos referimos a diferentes individuos o grupos que pueden
ser afectados por las decisiones tomadas
A partiry que
de: tienen una concepción diferente de valor,
es complicado crear valor para cada uno.
Principio1
de COBIT 5

A partir de:
Principio1
de COBIT 5
Por esta razón, en primer lugar, es importante tener en cuenta todos los intereses y definir el concepto único de valor
en la empresa.
Existen diferentes factores que pueden influir en las necesidades e intereses de las partes interesadas, tales como el
entorno de la empresa, las nuevas tecnologías y las regulaciones, y normas emergentes, los cuales deben ser
analizados para entender las necesidades de las partes.

Luego, la creación de valor se obtiene cuando se logra un equilibrio entre beneficios, el costo de los recursos y la
optimización de los riesgos.

A partir de:
 Principio1 de COBIT 5
Por esta razón, en primer lugar, es importante tener en cuenta todos los intereses y definir el concepto único de valor
en la empresa.
Existen diferentes factores que pueden influir en las necesidades e intereses de las partes interesadas, tales como el
entorno de la empresa, las nuevas tecnologías y las regulaciones, y normas emergentes, los cuales deben ser
analizados para entender las necesidades de las partes.

Luego, la creación de valor se obtiene cuando se logra un equilibrio entre beneficios, el costo de los recursos y la
optimización de los riesgos.

A partir de:
 Principio1 de COBIT 5
A partir del análisis de las necesidades e intereses de las partes, se construye la estrategia corporativa. A partir de la
estrategia se puede proceder a definir metas específicas, prácticas y personalizadas, dentro del contexto de la
empresa, establecidas a través del mecanismo de Cascada de metas.

A partir de:
 Principios de COBIT 5
Principios 2

A partir de:
Principios de COBIT 5

A partir de:
Principios de COBIT 5

A partir de:
 Las
ISO 27000 e ISO 31000
 ISO
¿Qué es ISO?
ISO son las siglas en inglés International Organization for Standardization. Se trata
de la Organización Internacional de Normalización o Estandarización, y se dedica
a la creación de normas o estándares para asegurar la calidad, seguridad y
eficiencia de productos y servicios. Son las llamadas Normas ISO.

La Organización Internacional de Normalización actualmente está presente en 193

países y es una organización no gubernamental e independiente. Actualmente
hay redactadas más de 22.000 normas ISO que abarcan todas las industrias,
desde tecnología y seguridad alimentaria, hasta agricultura y salud.
 ISO
Las Normas ISO son estándares. Buenas prácticas que cualquier
organización debería seguir para mejorar un área especifica de su
empresa (Calidad, medio-ambiente, seguridad, etc).
Estas mejores prácticas han sido replicadas en varios países y hoy son
muy reconocidas a nivel internacional.
Aquellas organizaciones que quieren mejorar sus servicios o
producto, no solo a nivel local, sino también mirar a la
exportación debería ser muy importante que sigan estas
mejores prácticas .
ISO 27000
• ISO/IEC 27000* es un conjunto de estándares que proporcionan un marco de gestión
de la seguridad de la información utilizable por cualquier tipo de organización, pública
o privada, grande o pequeña.

• La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización.

• El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de
primer nivel para la organización.
• Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que
aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y
una evaluación de los riesgos a los que está sometida la información de la organización.

*ISO/IEC 27000 :desarrollado por ISO(International Organization for Standardization) e IEC (International Electrotechnical Commission),
La serie ISO 27000

Beneficios
• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001L).
• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y
tecnologías.
La serie ISO 27000¿Cómo adaptarse?
2

5
La serie ISO 27000

Factores de éxito
• La concienciación del empleado por la seguridad. Principal objetivo a conseguir.
• Realización de comités de dirección con descubrimiento continuo de no conformidades o acciones de
mejora.
• Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los
usuarios (los incidentes de seguridad deben ser reportados y analizados).
• La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
• La seguridad no es un producto, es un proceso.
• La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el
soporte de la organización para tener éxito.
• La seguridad debe ser inherente a los procesos de información y del negocio.
La serie ISO 27000

Riesgos
• Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación,
alejamiento de los objetivos iniciales, etc.
• Temor ante el cambio: resistencia de las personas.
• Discrepancias en los comités de dirección.
• Delegación de todas las responsabilidades en departamentos técnicos.
• No asumir que la seguridad de la información es inherente a los procesos de negocio.
• Planes de formación y concienciación inadecuados.
• Calendario de revisiones que no se puedan cumplir.
• Definición poco clara del alcance.
• Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo
organizativo.
• Falta de comunicación de los progresos al personal de la organización.
La serie ISO 27000

Consejos básicos
• Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación,
alejamiento de los objetivos iniciales, etc.
• Temor ante el cambio: resistencia de las personas.
• Discrepancias en los comités de dirección.
• Delegación de todas las responsabilidades en departamentos técnicos.
• No asumir que la seguridad de la información es inherente a los procesos de negocio.
• Planes de formación y concienciación inadecuados.
• Calendario de revisiones que no se puedan cumplir.
• Definición poco clara del alcance.
• Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo
organizativo.
• Falta de comunicación de los progresos al personal de la organización.
ISO 31000
La norma ISO 31000 sobre
Gestión de Riesgos proporciona una guía y unos
principios que ayudan a las empresas en el análisis y
evaluación de los riesgos.
ISO 31000
Principios:
1. Crear valor
2. Integración en los procesos de la organización
3. Toma de decisiones
4. Trata la incertidumbre
5. Sistemática, estructurada y adecuada
6. Se basa en la información disponible
7. Hecha a la medida
8. Resalta factores humanos y culturales
9. Transparente e incluyente
10.Dinámica, interactiva y sensible al cambio
11.Mejora continua de la organización
 Principios ISO 31000
1. Crear valor
Facilita el cumplimiento de los objetivos planteados y de los requisitos legales relacionados a la seguridad,
salud laboral, protección ambiental, entre otros
2. Integración en los procesos de la organización
No es una gestión que se realiza aparte, por el contrario, está involucrada en las actividades principales de
la empresa.
3. Toma de decisiones
Permite que se tomen decisiones relacionadas a los planes de prevención o alternativas que se podrán en
práctica para la gestión de riesgos
4. Trata la incertidumbre
Se enfoca en aquellos aspectos que son inciertos y de la manera en qué debería tratarse.
5. Sistemática, estructurada y adecuada
Permite que se dé un desempeño eficaz y que se puedan obtener resultados confiables.
6. Se basa en la información disponible
Se fundamentan en fuentes de información fiables como lo son la experiencia, el análisis y las opiniones
de los expertos.
Principios ISO 31000
7. Hecha a la medida
Se enfoca de manera directa con los objetivos internos y externos de la organización.

8. Resalta factores humanos y culturales

Entiende la importancia de los empleados y personas involucradas en el proyecto los cuales pueden
facilitar o dificultar la operación.

9. Transparente e incluyente
La participación de los públicos de interés permite que la gestión del riesgo este siempre actualizada.

10. Dinámica, interactiva y sensible al cambio

Es importante que las compañías entiendan que las tendencias cambian y su entorno también, por lo
que deben estar preparados para adaptarse.
11. Mejora continua de la organización
Es importante entender que las empresas deben diseñar estrategias para mejorar en cada uno de sus
aspectos, no solo en la gestión de riesgos.
 Ventajas de la IS0 31000
 Ayuda a que la gestión se proactiva.
 Permite entender la importancia de identificar, analizar, monitorear y tratar el riesgo en cada una de
sus etapas.
 Contribuye a que se puedan identificar debilidades, amenazas, oportunidades y fortalezas en todo el
proceso.
 Facilita el cumplimiento de los requisitos legales de las normas internacionales.
 Mejora la gestión financiera y la de la compañía, y la confianza de los públicos involucrados.
 Se crea una estrategia confiable enfocada en la toma de decisiones y planificación.
 Previene las pérdidas que se puedan presentar.
 Permite que los incidentes que se puedan presentar sean manejados a tiempo o anticipadamente.
 Da la posibilidad de que se pueda conocer a fondo los procesos de la empresa.
La gestión de riesgo de acuerdo con la normativa IS0 31000

tomada de gestioón-calidad.com
Gestión de Riesgos: diferencias entre ISO 31000 e ISO 27001
 Ayuda a que la gestión se proactiva.
 Permite entender la importancia de identificar, analizar, monitorear y tratar el riesgo en cada una de
sus etapas.
 Contribuye a que se puedan identificar debilidades, amenazas, oportunidades y fortalezas en todo el
proceso.
 Facilita el cumplimiento de los requisitos legales de las normas internacionales.
 Mejora la gestión financiera y la de la compañía, y la confianza de los públicos involucrados.
 Se crea una estrategia confiable enfocada en la toma de decisiones y planificación.
 Previene las pérdidas que se puedan presentar.
 Permite que los incidentes que se puedan presentar sean manejados a tiempo o anticipadamente.
 Da la posibilidad de que se pueda conocer a fondo los procesos de la empresa.
Gestión de Riesgos: diferencias entre ISO 31000 e ISO 27001
ISO 27001
• ISO 27001 es un estándar
especializado en el tema de la
seguridad de la información, lo
que significa que una organización
debe establecer procesos que le
permitan salvaguardar, controlar,
almacenar su información
gestionando cualquier riesgo que
pudiese afectarla eventualmente
ISO 31000
• ISO 31000 entrega directrices acerca de la forma de
gestionar los riesgos – de cualquier tipo – en las
organizaciones, sin concentrarse en la seguridad de
la información ya que también aborda la continuidad
de negocio, el mercado, e incluso riesgos
operacionales.
• Igualmente, la norma, nos entrega un glosario
detallado de términos relativos a la gestión de
riesgos, estableciendo un marco general que incluye
un ciclo PDCA (Planificación, ejecución, seguimiento
y mejora), para la gestión del riesgo.
• ISO 31000 no proporciona metodologías específicas
o exclusivas, ya que el tratamiento del riesgo es
general. Aborda cualquier tipo de riesgos y no
profundiza en ninguno de ellos
Gestión de Riesgos: Relación entre ISO 31000 e ISO 27001

ISO 27001 ISO 31000

• ISO 27001 suministra recomendación • ISO 31000 no suministra

específica sobre el tratamiento de la ninguna recomendación
Seguridad de la información y la
Gestión de tales riesgos lo hace y de específica sobre el tratamiento
una forma sobresaliente. de la Seguridad de la
• ISO 27001 proporciona el Know-how información y la Gestión de tales
necesario para identificar activos, riesgos
amenazas y vulnerabilidades, pero
también para evaluar las consecuencias
de un determinado riesgo y calcular su
probabilidad de ocurrencia.
Gestión de Riesgos: Relación entre ISO 31000 e ISO 27001

• Es claro que no necesitamos ISO 31000 para implementar ISO 27001.

Lo anterior no significa que ISO 31000 no resulte de utilidad, sobre
todo para identificar contextos externos e internos y para obtener un
marco apropiado para la gestión de todo tipo de riesgos a nivel de
toda la organización.
• Si tenemos en cuenta que ISO 31000 nos ayuda a abordar la Gestión
de Riesgos de forma estratégica y global, podemos considerar este
estándar como un excelente marco de gestión de todo tipo de riesgos,
que puede trabajar en asocio – no dependencia – de cualquier otra
norma, incluida por supuesto ISO 27001.
Links
Temas l
Entrevista a Javier Peris, IT ¿ITIL o COBIT? https://www.youtube.com/watch?v=qxUsS_jfa2c&ab_channel=IDGtv
Governance Expert, premio
Harold Weiss 2015.

Marlon Molina entrevista a https://www.youtube.com/watch?v=1Mnyq2OP6Yo

Isabel Diaz, experta en ITIL y
CobiT. ¿Cómo están las ¿ITIL o COBIT?
empresas respondiendo a
ITIL o a CobiT?
¿Como se integran ITL y COBIT?

1. Introducción y conceptos claves de ITIL® 4 https://www.youtube.com/watch?v=5TqaLAkyPLM&ab_channel=NanforIb%C3%A9rica

1 ITIL® Foundation 4 -
Introducción

www.juanmas.co/recursos

51
BIBLIOGRAFIA Y LINKS
• Advancing IT, Audit, Governance, Risk, Privacy & Cybersecurity | ISAC
A
( https://isaca.org)
• www.auditool.org
• https://www.normasiso.net/wp-content/uploads/2016/10/iso-27000.
pdf
• https://www.normasiso.net
• https://www.piranirisk.com/es/blog/todo-lo-que-debe-saber-sobre-la
-norma-iso-31000
• http://gestion-calidad.com/wp-content/uploads/2016/09/Modelo-EF
QM.pdf