ASEGURAMIENTO DE LA INFORMACIÓN MEDIANTE COBIT

Slides:



Advertisements
Presentaciones similares
Solución Meycor para la Gestión de Riesgo Operacional Basel 2
Advertisements

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
COSO I y COSO II.
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Diagnóstico de la Organización de la Calidad PDVSA
A continuación mencionaremos algunos conceptos de calidad.
AUDITORIA DE SISTEMAS.
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO
ISO ITIL Marcos de Referencia – Gestión de Servicios de TI
¿ Qué es Control Interno ? Una herramienta para que la administración de todo tipo de organización, obtenga una seguridad razonable sobre el cumplimiento.
Rojas Figueroa, Erick.. Inicios 1998 con la creación ISACA en donde se centró en la gestión pública, ayudando a mejorar el desempeño de TI y conformidad.
Software para auditoría informática
Auditoría de los Sistemas de Informacion SIS-303
PROCESO DE ACREDITACIÓN
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
Ciclo PDCA.
AUDITORIA TECNOLOGIAS DE INFORMACION
Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Guía de Métricas para Seguridad Informática
AUDITORIA INTERNA.
Auditoría de los Sistemas de Informacion SIS-303
Eveline Estrella Zambrano Sara Alvear Montesdeoca
MESA 3 Evaluación, seguimiento y mejora, auditorias internas y Revisión por la dirección Requisitos P
GESTION NIVELES DE SERVICIO.
AUDITORÍAS INTERNAS A SISTEMAS DE GESTIÓN
EL ROL DEL DIRECTOR EN LA ORGANIZACIÓN. Prof. Maria Celia Illa Prof. Raquel González Concepto: Rasgos que la caracterizan: Objetivos Recursos División.
Gung Ho! Gung Ho! Gestión de los Stakeholders
AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.
LEY GENERAL DE CONTROL INTERNO: AUTOEVALUACION Y SEVRI*
Expositor: CPC. Jesús A. Chirinos Bancayán
AUDITORÍA INTERNA Y SU INTERRELACIÓN CON AUDITORÍA EXTERNA EN LA UNIVERSIDAD. Febrero de 2004.
COBIT 4.1 SISTESEG.
©Copyright 2013 ISACA. Todos los derechos reservados Personal El gerente de seguridad también debe considerar los riesgos relativos al personal:
Evaluacion externa La experiencia de una agencia de acreditación María José Lemaitre Agosto 2007.
©Copyright 2013 ISACA. Todos los derechos reservados. La gestión de riesgos consiste por lo general en los siguientes procesos: Definición del alcance.
1.8.3 Métricas de Alineación Estratégica
COBIT KARYL LARA N.. ENTREGA Y SOPORTE A este Dominio le concierne la entrega real de los servicios requeridos, que cubre desde las operaciones tradicionales.
Programa de Auditoría Interna
1.17 Implementación del gobierno de la seguridad—Ejemplo
©Copyright 2013 ISACA. Todos los derechos reservados. 1.5 Gobierno Efectivo de la Seguridad de la Información BMIS - Una clara estrategia organizacional.
¿Por qué implementar COBIT en una organización?
Control Interno La estructura de control interno de una entidad consiste en las políticas y procedimientos establecidos para proporcionar una seguridad.
AUDITORIA NIA 500 “EVIDENCIA DE AUDITORIA”
SGSI: Sistemas de Gestión de la Seguridad de la Información
©Copyright 2013 ISACA. Todos los derechos reservados. 2.4 Visión general de la gestión de riesgos Desafíos de la gestión de riesgos Existe un alto potencial.
1ra Sesión Práctica – Informática II Semana No. 3 Período 2010 – II 1ra Sesión Práctica – Informática II Semana No. 3 Período 2010 – II Utilizar la hoja.
2.1 Definición & Antecedentes
Mauricio Casillas Ochoa
Proveedores de servicios externos
Balance social gestión de empresas de economía solidaria
AUDITORIA Seguridad y Auditoria de Sistemas Ciclo Ing. Yolfer Hernández, CIA.
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Profesora: Kinian Ojito Ramos
Procesos itil Equipo 8.
(Control Objectives for Information and related Technology)
Jenny Alexandra Marin Luis Carlos Avila Javier Murcia
AUTOVALORACION DEL CONTROL Algunos Aspectos de Interés Oficina de Control Interno Diciembre de 2014 Fuente: Guía Autovaloración del Control DAFP y Cartilla.
REVISION Y AUDITORIA.
Control Interno.
1 PLANIFICACION ESTRATEGICA PARA EL CAMBIO PLANIFICACION ESTRATEGICA PARA EL CAMBIO EN INSTITUCIONES PUBLICAS INTRODUCCION Y CONCEPTOS BASICOS  Explicación.
CURSO ANUAL DE ACTUALIZACION DE AUDITORIA EN LA SALUD
TAREAS DEL CONTROL DE CALIDAD
INDICADOR Es la relación entre las variables cuantitativas o cualitativas que permiten observar la situación y las tendencias de cambio generadas en el.
Angel Rodriguez Carlos Enrique Calderón García Carlos Felipe
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001: AUDITORÍA INTERNA
La evidencia y los papeles de trabajo constituyen el soporte fundamental de los hallazgos detectados por el auditor, de ahí la importancia que.
Transcripción de la presentación:

ASEGURAMIENTO DE LA INFORMACIÓN MEDIANTE COBIT HERRAMIENTAS MEYCOR COBIT CSA Y MEYCOR COBIT AG

Relación entre COSO y COBIT

¿Qué es COBIT? El modelo para implantar Gobierno de TI. Es un estándar abierto y de amplia difusión. Consta de 34 procesos y 220 Objetivos de Control de bajo nivel. Es 100 % compatible con ISO 17799, COSO I y II, y con otros estándares de menor nivel de abstracción en los que se apoya. COBIT fija el Qué y los estándares de apoyo el Cómo en materia de implantación de Gobierno de TI.

COBIT Significa: Control Objectives for Information and Related Technology. Modelo desarrollado por la ISACA y el IT Governance Institute (ITGI) para llevar a la práctica el Gobierno de TI en las organizaciones.

ISACA Fundada en 1969. Es una organización líder en Gobernabilidad, Control, Aseguramiento y Auditoría en TI. Con sede en Chicago USA. Tiene más de 60.000 miembros en más de 100 países. Realiza eventos, conferencias, desarrolla estándares en IT Governance, Assurance and Security. COBIT: 1ra Edición 1996 2da Edición 1988 3ra Edición 2000 4ta Edición 2005 (Nov/Dic)

? Marco COBIT REQUERIMIENTOS DE NEGOCIO CRITERIOS DE INFORMACIÓN efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad CRITERIOS DE INFORMACIÓN PROCESOS DE INFORMACIÓN aplicaciones información infraestructura personal RECURSOS DE TI ?

COBIT 4.0

Aseguramiento de la Información El aseguramiento de la información es la base sobre la que se construye la toma de decisiones de una organización. Sin aseguramiento, las empresas no tienen certidumbre de que la información sobre la que sustentan sus decisiones de misión crítica es confiable, segura y está disponible cuando se la necesita. Definimos Aseguramiento de la Información como la utilización de información y de diferentes actividades operativas con el fin de proteger la información, los sistemas de información y las redes, de forma de preservar la disponibilidad, la integridad, la confidencialidad, la autenticación y el no repudio, ante el riesgo de impacto de amenazas locales, o remotas a través de comunicaciones e Internet. Veremos dos importantes técnicas de aseguramiento, la auto evaluación y la auditoría de sistemas de información.

COBIT: Autoevaluación de controles (Meycor COBIT CSA) Es una técnica gerencial que asegura a todos aquellos con intereses en el negocio, que el sistema de control interno del mismo es confiable. También asegura que los empleados son concientes de los riesgos del negocio, y que llevan adelante revisiones proactivas periódicas de los controles.

COBIT Guías de Auditoría (Meycor COBIT AG) Dan una estructura simple para auditar los controles en TI. Son genéricas y estructuradas a alto nivel. Permiten la revisión de Procesos contra los Objetivos de Control en TI.

Se audita mediante los siguientes pasos: Obtener un entendimiento de los requerimientos del negocio, los riesgos relacionados, y las medidas de control relevantes. Evaluar la conveniencia de los controles establecidos. Evaluar el cumplimiento al probar si los controles establecidos están funcionando como se espera, de manera consistente y continua. Justificar el riesgo de que los objetivos de control no se estén cumpliendo mediante el uso de técnicas analíticas y/o consultando fuentes alternativas.

Guía Genérica de Auditoría Obtener entendimiento Los pasos de auditoría a realizar para documentar las actividades subyacentes a los objetivos de control, así como también identificar las medidas/procedimientos de control establecidas. Entrevistar al personal administrativo y de staff indicado para lograr la comprensión de: Los requerimientos del negocio y los riesgos asociados. La estructura organizacional. Los roles y responsabilidades. Las medidas de control establecidas. La actividad de reporte a la administración (estatus, desempeño, acciones). Documentar los recursos de TI relacionados con el proceso que se ven especialmente afectados por el proceso bajo revisión. Confirmar el entendimiento del proceso bajo revisión, los Indicadores Clave de Desempeño (KPI) del proceso, las implicaciones de control, por ejemplo, mediante un seguimiento paso a paso del proceso.

Guía Genérica de Auditoría Evaluación de los controles Los pasos de auditoría a realizar en la evaluación de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Básicamente, decidir qué se va a probar, si se va a probar y cómo se va a probar. Evaluar la conveniencia de las medidas de control para el proceso bajo revisión mediante la consideración de los criterios identificados y las prácticas estándares de la industria, los Factores Críticos de Éxito (CSF) de las medidas de control y la aplicación del juicio profesional de auditor. Existen procesos documentados. Existen resultados apropiados. La responsabilidad y es clara y eficaz. Existen controles compensatorios en donde es necesario. Concluir el grado en el que se cumple el objetivo de control.

Guía Genérica de Auditoría Valoración del cumplimiento Los pasos de auditoría a realizar para asegurar que las medidas de control establecidas estén funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia de ambiente de control. Obtener evidencia directa o indirecta de puntos/períodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el período de revisión, utilizando evidencia tanto directa como indirecta. Realizar una revisión de la suficiencia de los resultados del proceso. Determinar el nivel de pruebas justificantes y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado. Los controles debieron funcionar en el periodo evaluado.

Guía Genérica de Auditoría Justificar el riesgo Los pasos de auditoría a realizar para justificar el riesgo de que no se cumpla el objetivo de control mediante el uso de técnicas analíticas y/o consultas a fuentes alternativas. Documentar las debilidades del control y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el análisis de causa-raíz. Brindar información comparativa; por ejemplo, mediante puntos de referencia. El objetivo es respaldar la opinión e “impresionar” a la administración para que tome acción. Los auditores tienen que ser buenos comunicadores para encontrar y presentar esta información que con frecuencia es susceptible y confidencial.

Descripción de los productos Meycor COBIT CSA y AG

Meycor COBIT CSA Importancia de los Procesos de TI Para los procesos definidos por COBIT, se identifica la importancia, el desempeño, si ha sido auditado, cómo se procesa y quién es el responsable.

Meycor COBIT CSA Auto Evaluación sobre los controles Meycor COBIT CSA incluye los Objetivos de Control de COBIT 4.0 y preguntas de seguridad de plataformas específicas.

Meycor COBIT CSA Reporte de la evaluación Se presentan los resultados en puntajes. De este modo se pueden determinar valores meta.

Meycor COBIT CSA Diagnóstico sobre los Procesos de TI La línea roja indica el resultado obtenido. Cuanto mas próxima al centro, los riesgos se encuentran menos cubiertos por controles

Meycor COBIT CSA Evaluaciones de varios Centros de Análisis Se pueden ver los resultados en forma comparativa (plataformas, sucursales, tecnologías)

Meycor COBIT CSA Proyectos de Auditoría Permite crear proyectos de auditoría, asignar recursos y gestionarlos. El objetivo es determinar si los controles del proceso ofrecen aseguramiento.

Meycor COBIT CSA Alineamiento con los Objetivos de negocio Se identifica el alineamiento entre los Objetivos de TI y los Objetivos de negocio

Meycor COBIT AG Inventario Tecnológico Se identifica cómo los recursos de TI contribuyen efectivamente al logro de los objetivos.

Meycor COBIT AG Relación entre procesos de COBIT y Procesos de Negocio Se genera un mapa de calor a partir de los recursos de TI y los criterios de información requeridos.

Meycor COBIT AG Inicio del proceso de auditoría Se registra cuando el supervisor crea un proyecto y lo asigna a los auditores. Se establece también cuando se está en desacuerdo con una observación.

Meycor COBIT AG Auditando un Proceso de TI Meycor COBIT AG guía en las diversas Fases (entrevistas, etc.). Permite registrar tareas, adjuntar evidencias y registrar observaciones.

Meycor COBIT AG Guías de Auditoría Los auditores cuentan con guías de auditoría que constituyen una base de conocimiento que mejora la calidad de la auditoría.

Meycor COBIT AG Registro de tareas Se identifica quién la ejecutó, el tiempo invertido, comentarios, etc.

Meycor COBIT AG Hallazgos y recomendaciones Las observaciones se definen en un formato que incluye determinar los criterios contra los que se evalúa, las consecuencias, etc.

Meycor COBIT AG Ejemplos de Papeles de Trabajo (I) Reporte del programa de auditoría por proyecto.

Meycor COBIT AG Ejemplos de Papeles de Trabajo (II) Informe sobre el grado de fortaleza de los controles auditados.

Meycor COBIT AG Ejemplos de Papeles de Trabajo (III) Identificación de hallazgos, opinión del auditado, seguimiento, etc.

DATASEC IT Security & Control Patria 716 - CP 11300 - Montevideo - Uruguay Tel: (+598 2) 711-58-78 / 711-04-20 Fax: (+598 2) 711-58-94 Sitio web: www.datasec-soft.com

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.