Auditoria Informática Unidad IV Cobit (Objetivos de Control para la Información y Tecnologías Relacionadas)

Auditoria Informática Unidad IV Cobit Son las mejores prácticas de la Industria en Seguridad y tecnologías de Información, condensadas en Objetivos de Control. Fue creada por ISACA (Information System Audit and Control Association e IT Governance Institute)

Auditoria Informática Unidad IV Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración efectiva de la información y de la Tecnología de Información (TI) relacionada. En esta sociedad global (donde la información viaja a través del “ciberespacio” sin las restricciones de tiempo, distancia y velocidad) esta criticidad emerge de: la creciente dependencia en información y en los sistemas que proporcionan dicha información. la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las “ciber amenazas“ y la guerra de información. la escala y el costo de las inversiones actuales y futuras en información y en tecnología de información; y el potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos.

Auditoria Informática Unidad IV Muchas organizaciones reconocen los beneficios potenciales que la tecnología puede proporcionar. Las organizaciones exitosas, sin embargo, también comprenden y administran los riesgos asociados con la implementación de nuevas tecnologías. La dependencia en la información electrónica y en los sistemas de TI son esenciales para soportar los procesos críticos del negocio.

Auditoria Informática Unidad IV La administración de los riesgos relacionados con TI está siendo entendido como un aspecto clave en el gobierno o dirección empresarial. Gobierno de TI (IT Governance) es un término que representa el sistema de control o administración que establece la alta gerencia para asegurar el logro de los objetivos de la Organización.

Auditoria Informática Unidad IV

Auditoria Informática Unidad IV

Auditoria Informática Unidad IV COBIT Es la herramienta innovadora para el gobierno de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI. Objetivos de Control Los Objetivos de Control muestran una relación clara y distintiva con los objetivos de negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditoría. Los objetivos de Control están definidos con una orientación a los procesos, siguiendo el principio de reingeniería de negocios.

Auditoria Informática Unidad IV Los Objetivos de Control, aseguran que se proporciona un sistema de control adecuado para el ambiente de tecnología de información. Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una guía de auditoría o de aseguramiento que permite la revisión de los procesos de TI contra los 302 objetivos detallados de control recomendados por COBIT para proporcionar a la Gerencia la certeza de su cumplimiento.

Auditoria Informática Unidad IV Los objetivos de control ayudan a satisfacer necesidades de la Administración, estableciendo un puente entre los riesgos del negocio, los controles y los aspectos técnicos. Estos objetivos nos indican a dónde quiere llegar la empresa en materias de control. El impacto en los recursos de TI es enfatizado por COBIT conjuntamente a los requerimientos de información del negocio que deben ser alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. El control, que incluye políticas, estructuras, prácticas y procedimientos organizacionales, es responsabilidad de la administración.

Auditoria Informática Unidad IV Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural. Continúa con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: Planeación y organización, Adquisición e implementación, Entrega (de servicio) y , Monitoreo.

Auditoria Informática Unidad IV Planeación y organización. Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas. Adquisición e implementación. Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

Auditoria Informática Unidad IV Entrega y soporte. En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación. Monitoreo. Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

Auditoria Informática Unidad IV Objetivos de Negocio Gobierno TI M1 Monitorear los procesos M2 Evaluar lo adecuado del control Interno M3 Obtener aseguramiento independiente M4 Proporcionar auditoría independiente, Planeación y Organización COBIT PO1 Definir un Plan Estratégico de Tecnología de Información PO2 Definir la Arquitectura de Información PO3 Determinar la dirección tecnológica PO4 Definir la Organización y de las Relaciones de TI PO5 Manejar la Inversión en Tecnología de Información PO6 Comunicar la dirección y aspiraciones de la gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento de Requerimientos Externos PO9 Evaluar Riesgos PO10 Administrar proyectos PO11 Administrar Calidad Monitoreo Información efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad Entrega y Soporte DS1 Definir Niveles de Servicio DS2 Administrar Servicios prestados por Terceros DS3 Administrar Desempeño y Capacidad DS4 Asegurar Servicio Continuo DS5 Garantizar la Seguridad de Sistemas DS6 Identificar y Asignar Costos DS7 Educar y Entrenar a los Usuarios DS8 Apoyar y Asistir a los Clientes de TI DS9 Administrar la Configuración DS10 Administrar Problemas e Incidentes DS11 Administrar Datos DS12 Administrar Instalaciones DS13 Administrar Operaciones Recursos de TI Adquisición e Implementación datos sistemas de aplicación tecnología instalaciones recursos humanos AI1 Identificar Soluciones AI2 Adquirir y Mantener Software de Aplicación AI3 Adquirir y Mantener Arquitectura de Tecnología AI4 Desarrollar y Mantener Procedimientos relacionados con TI AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios

Auditoria Informática Unidad IV Control se define como: Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos Objetivo de control en TI se define como: Una definición del resultado o propósito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular.

Auditoria Informática Unidad IV El concepto fundamental de COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio Procesos de TI Requerimientos de Negocio

Auditoria Informática Unidad IV A continuación se muestran los requerimientos para la Información hecha por COBIT: Efectividad. Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Eficiencia. Se refiere a la provisión de información a través de la utilización óptima (más productiva y económica) de recursos. Confidencialidad. Se refiere a la protección de información sensible contra divulgación no autorizada. Integridad. Se refiere a la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad. Se refiere a la disponibilidad de la información cuando ésta es requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.

Auditoria Informática Unidad IV Continuación….. Cumplimiento. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente. Confiabilidad. Se refiere a la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento. Los recursos de TI identificados en COBIT pueden explicarse/definirse como se muestra a continuación: Datos. Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido, etc. Aplicaciones. Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados. Tecnología. La tecnología cubre hardware, software, sistemas operativos, sistemas de administración de bases de datos, redes, multimedia, etc. Instalaciones. Recursos para alojar y dar soporte a los sistemas de información. Personal. Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información.

Auditoria Informática Unidad IV Específicamente Cobit provee Modelos de Madurez para el control sobre los procesos de TI, de tal forma que la administración pueda ubicarse en el punto donde la organización está hoy, donde está en relación con los “mejores de su clase” en su industria y con los estándares internacionales y así mismo determinar a donde quiere llegar.

Auditoria Informática Unidad IV Modelos de Madurez para el control sobre los procesos TI consisten en el desarrollo de un método de puntaje que una organización puede graduar desde un no existente a un optimizado, es decir, de 0 a 5. Esta aproximación ha sido derivada desde el Modelo de Madurez que el Software Engineering Institute definió para la madurez de la capacidad de desarrollo del Software (CMM): Contra estos niveles se desarrolló para cada uno de los 34 objetivos de procesos de Cobit la administración puede mapear: El estado actual de la organización – es decir donde la organización está hoy día. El estado actual de (los mejores en su clase) la industria – comparación El estado actual de los estándares internacionales – comparación adicional Y la estrategia de la organización para mejorar – es decir, donde la organización desea estar.

Auditoria Informática Unidad IV MODELO GENERICO DE MADUREZ 0 No-Existente. Falta completa de cualquier proceso reconocible. La organización no ha reconocido aún que hay un elemento a ser dirigido. 1 Inicial. No hay procesos estándares y en su reemplazo hay aproximaciones que tienden a ser aplicadas en forma individual o caso a caso. El enfoque general es desorganizado. 2 Repetible. Los procesos se han desarrollados en la etapa donde procedimientos similares son seguidos por diferentes personas que realizan la misma tarea. No existe capacitación formal o comunicación de procedimientos estándares y la responsabilidad recae en el individuo. Hay un alto grado de confianza en los conocimientos individuales y por lo tanto, los errores son probables. 3 Definido. Los procedimientos han sido estandarizados y documentados y comunicados a través de capacitación. Sin embargo, los individuos dejan de cumplir los procesos y es improbable que las desviaciones serán detectadas. Los procedimientos no son terminados pero formalizan las practicas existentes.

Auditoria Informática Unidad IV MODELO GENERICO DE MADUREZ (Continuación…) 4 Administrado. Es posible monitorear y medir el cumplimiento con los procedimientos y tomar acciones cuando éstos no estén trabajando efectivamente. Los procesos están bajo constante mejoramiento y proveen de buenas practicas. La automatización y herramientas son utilizadas en forma limitada. 5 Optimizado. Los procesos se han refinado al nivel de mejores prácticas , basado en el resultado de mejoramiento continuo y modelamiento de madurez. La TI es usada como una forma integrada para automatizar los flujos de trabajo, entregando herramientas para mejorar la calidad y la efectividad, permitiendo a la empresa adaptarse rápídamente.