AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT Seguridad y Auditoria de Sistemas Ciclo 2009-1 Ing. Yolfer Hernández, CIA
Temario – COBIT Misión, Alcances y Objetivos Marco Referencial Recursos Categorías de Información Dominios
COBIT®: Control Objectives for Information and related Technology - Objetivos de control para la Información y Tecnologías afines. ISACF - Fundación de Auditoría y Control de Sistemas de Información
COBIT®. Misión: Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnología de la información con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.
COBIT®. Alcance y Objetivos Es un marco sólido de control de TI Representa normas generalmente aplicables e internacionalmente aceptadas para la buena práctica del control de TI
COBIT®. Alcance y Objetivos Centrado en el “gobierno de TI” Alineado con las reglas y normas de hecho y de derecho De aplicación en las funciones de Servicios de Sistemas de Información de toda la empresa Orientado a la gerencia
COBIT®: Marco referencial. Objetivos de negocio C O B I T Efectividad, Eficiencia, Disponibilidad, Integridad, Confidencialidad, Confiabilidad, Cumplimiento Información Datos, Sistemas de Aplicación, Tecnología, Instalaciones, Personas Recursos de TI
COBIT®. Recursos Datos: Objetos datos en su más amplio sentido, (ej: externos e internos), estructurados y no estructurados, gráficos, sonido, etc. Sistemas de Aplicación: Se entiende como sistemas de aplicación la suma de procedimientos programados y manuales. Tecnología: Tecnología cubre hardware, sistemas operativos, sistemas de administración de bases de datos, redes, multimedia, etc. Instalaciones: Recursos para albergar y soportar los sistemas de información. Personas: Habilidades del personal, concientización y productividad para planear, organizar, adquirir, entregar, soportar y monitorear sistemas de información y servicios.
COBIT® Categorías de Información Requerimientos de Calidad, Financieros y de Seguridad Efectividad: Información relevante y pertinente al proceso de negocios, así como entregada de una manera oportuna, correcta, consistente y útil. Eficiencia: Provisión mediante el uso óptimo (más productivo y económico) Confidencialidad: Protección de la información sensible Integridad: Precisión y completamiento de la información así como con su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad: Cuando sea requerida por el proceso del negocio, ahora y en el futuro, así como la salvaguarda de los recursos y capacidades asociadas. Cumplimiento: Cumplir con las leyes, regulaciones y arreglos contractuales a los cuales está sujeto el proceso del negocio. Confiabilidad de la Información: Proveer información apropiada a la gerencia
Planeación & Organización Adquisición & Implementación COBIT®. Dominios. Planeación & Organización Información 11 6 13 4 Recursos de TI Monitoreo Adquisición & Implementación Entrega(de servicio) y soporte
X-Recursos Aplicables COBIT® DOMINIOS (4) X-Recursos Aplicables PROCESOS (34) Información P – Primario S - Secundario OBJETIVOS DE CONTROL (302)
Dominio: Planeación y Organización 1. Definir Plan estratégico de TI. 2. Definir la arquitectura de Información. 3. Determinar la Dirección Tecnológica Definir 4. Organización y relaciones TI. 5. Administrar la Inversión en TI 6. Comunicar aspiraciones de la Gerencia. 7. Administrar los Recursos Humanos 8. Asegurar Cumplimiento de Requisitos Externos 9. Evaluar riesgos. 10. Administrar proyectos. 11. Administrar calidad.
Dominio: Adquisición e Implementación 1. Identificar soluciones. 2. Adquirir y mantener software de aplicación. 3. Adquisición y Mantenimiento de Infraestructura de la Tecnología. 4. Desarrollar y mantener Procedimientos relacionados con TI. 5. Instalar y evaluar sistemas. 6. Administrar cambios.
Dominio: Entrega de servicios y soporte 1. Definir niveles de servicio. 2. Administrar servicios prestados por terceros. 3. Administrar desempeño y capacidad. 4. Asegurar servicio continuo. 5. Garantizar la seguridad de sistemas. 6. Identificar y Atribuir Costes
Dominio: Entrega de servicios y soporte 7. Educar y Entrenar a los Usuarios 8. Asistencia y Consejo a los Clientes 9. Gestión de la Configuración 10. Gestión de Problemas e Incidentes 11. Gestión de Datos 12. Administrar las Instalaciones 13. Gestión de Operaciones
Dominio: Monitoreo 1. Monitorear los procesos. 2. Evaluar el control interno. 3. Obtener aseguramiento independiente. 4. Proporcionar auditoría independiente.