METODOS DE CONTROL EN TIAUDITORIA DE SISTEMAS
CONTROL INTERNO
Se define ampliamente como un proceso realizado por la alta direccin, administradores y personal de la organizacin, para proporcionar seguridad razonable en el cumplimiento de los objetivos referidos a: Efectividad y eficiencia de las operaciones. Confiabilidad de la informacin administrativa, tcnica, econmica y financiera. Cumplimiento de leyes y regulaciones aplicables. Riesgo y Control Riesgo: cualquier amenaza a la que est expuesta una organizacin y que impide o va en contra del logro de los objetivos propuestos. Control: Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar el logro de los objetivos del negocio; previniendo, detectando y corrigiendo riesgos o eventos no deseables.
Tipos de Controles
Controles Preventivos.- Operan en las primeras etapas en el flujo del proceso, a fin de prevenir la ocurrencia del error o riesgo. Apuntan especialmente a las causas del riesgo.Controles Detectivos.- Generalmente siguen a los controles preventivos y estn diseados para captar errores que escapan a los controles preventivos. Apuntan a la forma de ocurrencia del riesgo.Controles Correctivos.- Aseguran que los efectos de los errores o fraudes detectados se corrijan o disminuyan. En la realidad no son necesariamente parte inherente de los controles detectivos.
Control Interno y Auditora informticos
CONTROLES EN SISTEMAS DE INFORMACIN
Controles Generales.- Son aquellos que se emplean en la mayora de las aplicaciones de sistemas, con la finalidad de asegurar la continuidad y operacin adecuadas. Autenticacin: Proceso en el cul un usuario intenta ingresar a una aplicacin por lo general a travs de un login y password y ste realiza una validacin de esta informacin para permitir el ingreso. Autorizacin : Se refiere a otorgar permisos sobre las transacciones o funciones a las que el usuario est autorizado, una vez superado exitosamente el proceso de autenticacin Rol : Conjunto de funciones o transacciones de un sistema. Los roles son utilizados en el proceso de autorizacin. Log de Auditora : Se refiere al registro cronolgico de las operaciones efectuadas por un sistema o una aplicacin en particular
CONTROLES EN SISTEMAS DE INFORMACIN
Controles de Aplicacin .-Son propios de cada aplicacin y deben garantizar la integridad de la informacin durante todo su recorrido, desde la captacin, pasando por su procesamiento y salidas.Estos controles pueden estar incluidos en procedimientos manuales (controles manuales), generalmente realizados por el usuario, o en procedimientos automatizados (controles automatizados). Ambos tipos de procedimientos se combinan para lograr un control ms efectivo.Los Controles Generales que se aplican a los procesos de la organizacin, como:1. Organizacin y Procedimientos del Departamento de Informtica.2. Desarrollo y Mantenimiento de Aplicaciones3. Seguridad de Acceso (Lgico)4. Continuidad de operacionesLos controles para aplicaciones en funcionamiento, pueden ser:1. Ingreso de datos2. Procesamiento3. Salida de datos
El Proceso de Auditora segn ISO 12207 (i)
PROCESOS PRINCIPALES PROCESOS DE SOPORTE
ADQUISICIN DOCUMENTACINSUMINISTRO GESTIN DE DESARROLLO CONFIGURACIN ASEGURAMIENTO DE CALIDAD EXPLOTACIN VERIFICACIN VALIDACIN REVISIN CONJUNTAMANTENIMIENTO AUDITORA RESOLUCION DE PROBLEMAS
PROCESOS DE LA ORGANIZACIN
GESTIN INFRAESTRUCTURAMEJORAFORMACIN
El Proceso de Auditora segn ISO .. (ii)
Segn la norma ISO 12207, el Proceso de Auditora del Software (PAS) es uno de los procesos de soporte. Se define como el proceso para determinar el cumplimiento con los requerimientos, los planes o los contratos. Debe ser realizado por personas autorizadas con el propsito de mantener una valoracin independiente de los productos y procesos del software. Intervienen dos participantes: la parte auditora y la parte auditada. La norma ISO 14764 determina que el PAS da soporte en las siguientes actividades del PMS (Proceso de Mantenimiento del Software): Aceptacin/Revisin del Mantenimiento. Migracin. Retirada.
El Proceso de Auditora segn ISO.. (iii)
Consta de dos actividades: Implementacin del Proceso; y Auditora.Durante la Implementacin del Proceso se realizan las siguientes tareas:Se efectan auditoras de los hitos predeterminados en el plan del proyecto.El personal auditor no tendr responsabilidad directa sobre los productos software y actividades auditadosTodos los recursos necesarios para realizar la auditora debern ser acordados por las partes (incluyendo personal de apoyo, locales, Infraestructura, hardware, software y herramientas).
El Proceso de Auditora segn ISO .. (iv)Para cada auditora las partes debern acordar siguientes puntos: agenda; productos software ( y resultados de alguna actividad ) que sern revisados; alcance y procedimientos de la auditora; y criterios de entrada y salida para la auditora.Los problemas descubiertos durante las auditoras se registrarn y se pasarn al Proceso de Resolucin de Problemas.Despus de completar una auditora, los resultados se documentarn y se proporcionarn a la parte auditada.Las partes debern acordar el resultado de la auditora y cualquier responsabilidad y criterio de cierre.
El Proceso de Auditora segn ISO .. (v) La actividad de auditora propiamente dicha consta de una nica tarea tendiente a garantizar que: Los elementos del software (cdigo, etc.) reflejen la documentacin de diseo. La revisin de aceptacin y los requerimientos de prueba descritos por la documentacin son adecuados para la aceptacin de los productos software. Los datos de prueba cumplen con la especificacin. Los productos software fueron suficientemente probados y sus especificaciones cumplidas. Los informes de pruebas son correctos y las discrepancias entre resultados actuales y esperados han sido resueltas. La documentacin de usuario cumple los estndares especificados. Las actividades han sido conducidas de acuerdo con los requerimientos, planes y contratos aplicables. Los costes y calendarios se ajustan a los planes establecidos.
COBIT :Modelo de Gestin de TI
Control OBjectivesforInformation and Related Technology (Objetivos de Control para Tecnologa de la Informacin y Tecnologas relacionadas)DEFINICIN
DEFINICINCOBIT es un modelo de gestin y control de TI, con el objetivo de consensuar: los riesgos del negociolas necesidades de control y los aspectos tecnolgicos, mediante la entrega de buenas prcticas aplicables a una estructura lgica de procesos y actividades
Investigar, desarrollar, publicitar y promover un actualizado, confiable e internacionalmente aceptado conjunto de Objetivos para el control de TI, a ser utilizados en el desarrollo habitual de las operaciones tanto por gerentes del negocio, como por auditores.MISIN
CARACTERSTICASOrientado al negocio
Alineado con estndares y regulaciones de facto (COSO, IFAC, IIA, ISACA, AICPA)
ntegro (basado en una revisin crtica y analtica de las tareas y actividades en TI)
Flexible (aplicados a los Sistemas de Informacin de toda la empresa )
Proyecto COBITSteering Comittee representantes de distintos mbitosCoordinacin ISACAFGrupos de investigacin USA, Europa y Australia
Razones que llevan a considerar implantar un modelo de gestin de TIDependencia creciente del negocio frente a la informacinLa Tecnologa soporta, casi la totalidad de los procesos del negocio.Los desarrollos constantes en TI y en las prcticas de negocio.La responsabilidad por el uso de la tecnologa se extiende en la organizacin.Los cambios ms importantes se realizan pero igual contina la presin hacia el cambio.Nivel de inversiones en tecnologa.
Razones que llevan a considerar implantar un modelo de gestin de TIConstante aumento de vulnerabilidades y un amplio espectro de amenazas.
Potencial de TI para efectuar cambios profundos en las organizaciones, crear nuevas oportunidades de negocios y reducir los costos.
Incremento de la necesidad de contar con un modelo adecuado de gobernabilidad corporativa (corporate governance).
Nuevas normativas (Sarbanes-Oxley act, comunicacin 2003/179, NTPs).
La Metodologa CobiT Control Objectives for Information and Related Technologies.
Desarrollada por la ISACF (Information Systems Audit and Control Foundation); es la principal propuesta metodolgica realizada a nivel internacional para la Auditora de Sistemas de Informacin. Considera que, para efectos de auditora, el sistema de informacin de una organizacin es UNICO, aunque ciertos procesos se realicen de forma manual y otros mediante el uso de la informtica. La filosofa de CobiT asimila los principios de reingeniera de empresas (BPR) y divide las funciones que ha de realizar un sistema de informacin en procesos que, a su vez, estn subdivididos en actividades y tareas ms simples. Los sistemas de informacin estn orientados a los procesos y por tanto su auditora se debe adaptar a estos conceptos.
La Metodologa CobiT - Audiencia
CobiT esta diseado para ser utilizado por tres audiencias distintas: Gestores: Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control, en un ambiente de Tecnologas de la Informacin (TI) frecuentemente impredecible. Usuarios: Para obtener una garanta en cuanto a la seguridad y control de los servicios de TI proporcionados internamente o por terceras partes. Auditores de Sistemas de Informacin: Para dar soporte a las opiniones mostradas a los Gestores sobre los controles internos.
Tambin puede ser utilizado dentro de las empresas por el responsa-ble de un proceso de negocio, en el control de los aspectos de infor-macin del proceso; y por todos aqullos con responsabilidades en el campo de las TI en las empresas.
PRINCIPIOS DE COBIT El concepto o enfoque del marco COBIT, se basa en que el control en TI se logra obteniendo la informacin necesaria para apoyar los requerimientos procesos del negocio, y considerando la informacin como resultado de la aplicacin combinada de recursos de TI que necesitan ser administrados por procesos de TI
Las polticas, procedimientos prcticas y estructuras organizacionales diseadas para proveer una razonable confiabilidad de que los objetivos del negocio sern alcanzados y que los eventos indeseables sern prevenidos o detectados y corregidos.DEFINICIN DE CONTROL EN COBIT
Es la declaracin del resultado deseable o el propsito a lograr (el Qu) mediante la implantacin de recomendaciones, procedimientos o tcnicas de control (el Cmo), en determinada actividad de tecnologa de la informacin
COBIT explicita cada objetivo del control a nivel de actividades Los 34 OCGs propuestos se concretan en 302 objetivos de control detallados (OCDs). DEFINICIN DE OBJETIVO DE CONTROL EN COBIT
COBIT: Estructura conceptualDominiosProcesosActividadesPersonasSistemas AplicativosTecnologaDatosInstalacionesRecursos de TICriterios de InformacinProcesos de TICalidadSeguridadRequerimientos fiduciariosSe puede enfocar desde tres dimensiones :
INFORMACIN
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
EVENTOS
Objetivos de negocioOportunidades de negocioRequerimientos externosRegulacinRiesgosDatosAplicacionesTecnologaInstalacionesRecursos HumanosESTRUCTURA
Para satisfacer los objetivos del negocio la informacin debe satisfacer ciertos criterios, que COBIT extrae de los ms reconocidos modelos:Requerimientos de calidad (ISO 9000-3)CalidadCosto Entrega{La Metodologa CobiT - Fundamentos Requerimientos de la Informacin para el Negocio
Requerimientos de seguridad (libro rojo, naranja y otros)DisponibilidadIntegridad Confidencialidad{Requerimientos fiduciarios (Informe COSO)Eficacia y eficienciaConfiabilidad de la informacin Cumplimiento de leyes y reglamentaciones{Requerimientos de la Informacin para el Negocio
Partiendo de estos tres requerimientos criterios amplios, se identifican las siguientes siete categoras:Eficacia: Se refiere a la relevancia y pertinencia de la informacin para el proceso de negocio y a su entrega en forma oportuna, correcta, consistente y til.
Eficiencia:Se vincula con la provisin de informacin mediante el uso ptimo (el ms productivo y econmico) de los recursos.
Requerimientos de la Informacin para el Negocio
Confidencialidad: Se refiere a la proteccin de la informacin crtica, contra su divulgacin no autorizada.
Integridad:Se vincula con la exactitud y la totalidad de la informacin, as como tambin con su validez de acuerdo con los valores y las expectativas de negocio.
Disponibilidad:Se relaciona con el hecho de que la informacin se encuentre disponible cuando la necesite el proceso de negocio, en el presente y en el futuro.Tambin se asocia con la proteccin de los recursos necesarios y las capacidades asociadas.
Cumplimiento:Se refiere al cumplimiento de las leyes, reglamentaciones y disposiciones contractuales a las que est sujeto el proceso de negocio, vale decir, los criterios de negocio impuestos a nivel externo.
Confiabilidad de la informacin:Se vincula con la provisin de la informacin adecuada, para que la gerencia maneje la entidad y ejerza sus responsabilidades de presentacin de informes financieros y de cumplimiento.
Los recursos de TI, identificados en COBIT, para alcanzar los objetivos del negocio son los siguientes :Datos:objetos en su sentido ms amplio, es decir, internos y externos, estructurados y no estructurados, grficos, sonidos, etc.
Sistemas de aplicacin:se entiende por tales la suma de los procedimientos manuales y programados.
La Metodologa CobiT FundamentosRECURSOS DE TI
Tecnologa: la tecnologa abarca el hardware, los sistemas operativos, los sistemas de administracin de bases de datos, las redes, los multimedios, etc.
Instalaciones:recursos diversos utilizados para alojar y dar soporte a los sistemas de informacinPersonas: habilidades, aptitudes, conocimientos y productividad del personal para planificar, organizar, adquirir, entregar, brindar soporte y monitorear los sistemas y servicios de informacin.
La Metodologa CobiT - Fundamentos PROCESOS DE TILos recursos de las Tecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la informacin que la empresa necesita para alcanzar sus objetivos.
ProcesosActividades o tareasDominiosAgrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional
Conjuntos o series de actividades unidas con delimitacin o cortes de control.
Acciones requeridas para lograr un resultado medible. Las actividadestienen un ciclo de vida mientras que las tareas son discretas. PROCESOS DE TI
PROCESOS DE TILos procesos se agrupan en cuatro grandes dominios:
Planeacin y Organizacin (Planning and Organization)Adquisicin e implementacin (Acquisition and Implementation)Prestacin de Servicios y Soporte (Delivery and Support)Seguimiento (monitoring)
Las definiciones de los cuatro dominios identificados para la clasificacin de alto nivel son:Planificacin y Organizacin
Este dominio abarca aspectos estratgicos y tcticos y se vincula con la identificacin de la forma en que la tecnologa de informacin puede contribuir ms adecuadamente con el logro de los objetivos del negocio. Es preciso planificar, comunicar y administrar la realizacin de la visin estratgica desde distintas perspectivas. Debe existir una correcta organizacin e infraestructura tecnolgica.
PROCESOS DE TI
Adquisicin e Implementacin
Para realizar la estrategia de Ti, deben identificarse, desarrollarse o adquirirse soluciones de Ti y luego implantarse e integrarse en el proceso de negocio.
Este dominio abarca los cambios y el mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.PROCESOS DE TI
Entrega y Soporte
Este dominio se ocupa de la entrega o prestacin efectiva de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitacin. Para prestar los servicios, deben establecerse los procesos de soporte necesarios.
Incluye el procesamiento real de los datos por los sistemas de aplicacin, a menudo clasificados como controles de aplicaciones.
PROCESOS DE TI
Monitoreo
Es preciso evaluar regularmente todos los procesos de TI, a medida que trascurre el tiempo para determinar su calidad y el cumplimiento de los requerimientos de control.
Este dominio corresponde al seguimiento de la gerencia sobre los procesos de control de la organizacin y la garanta independiente provista por la auditoria interna y externa u obtenida de fuentes alternativas.PROCESOS DE TI
PROCESOS DE TISe definen 34 objetivos de control generales (OCGs), uno para cada uno de los procesos de las TI
PROCESOS DE TI
MARCO DE REFERENCIAProcesos del Negocio
MARCO DE REFERENCIAPrcticasDe ControlObjetivosDe ControlRequerimientosde NegociosProcesos de TIEl control deque satisfacense habilitan porDiagrama de cascada
ASISTENTE DE NAVEGACINpersonasaplicacionestecnologainstalacionesdatosVnculo entre Procesos, Recursos y Criterios
El control sobre el proceso de:administrar la seguridad de los sistemasSatisface los requerimientos del negocio:salvaguardar informacin contra uso, difusin o modificaciones no autorizadas, dao o prdidaConsiderando:autorizacin, autenticacin, uso de perfiles e identificaciones, firewalls, deteccin y proteccin de virus, manejo de incidentes, etc.Es posible por:controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas se encuentra restringido a usuarios autorizadosOrganizacin y planeacinAdquisicin e implementacinMonitoreoEntrega y soporteSSSPPEj: OBJETIVOS DE CONTROL DE ALTO NIVEL: DS5
Administrar Medidas de SeguridadIdentificacin, Autenticacin y AccesoSeguridad de Acceso a Datos en LneaAdministracin de Cuentas de UsuarioRevisin Gerencial de Cuentas de UsuarioControl de Usuarios sobre Cuentas de UsuarioVigilancia de SeguridadClasificacin de DatosIdentificacin y administracin de asignacin de derechosReportes de Violacin y de Actividades de SeguridadManejo de IncidentesReacreditacinConfianza en ContrapartesAutorizacin de transaccionesNo negacinSendero SeguroProteccin de funciones de seguridadAdministracin de Llaves CriptogrficasPrevencin, Deteccin y Correccin de Software "MaliciosoArquitectura de Fire Walls y conexin a redes pblicasProteccin de Valores ElectrnicosActividades de Control
EL PRODUCTO COBIT Resumen EjecutivoMarco Referencial-Esquema Objetivos de Alto NivelLineamientos GerencialesObjetivos de Control DetalladosGuas de AuditoraModelos de MadurezFactores Crticos de xitoIndicadores Clave de RendimientoIndicadores Clave de LogrosHerramientas de implementacin
Executive Summary Presentacin del mtodoFramework -- Explicacin del mtodoControl Objectives -- Controles mnimosAudit Guidelines -- Como auditarManagement Guidelines -- Como medir la performanceImplementation Guide -- Como implementar el mtodoELEMENTOS
Las cinco formas de utilizar COBITComo una herramienta de comunicacin
Como una herramienta de organizacin
Como una herramienta para estructurar consenso
Como una herramienta de autoevaluacin de TI
Como una herramienta para determinar el alcance de la tarea de auditora
COBIT PERMITEPosibilidad de aplicar las prcticas en un amplio espectro de sistemas de informacin, independiente-mente de la tecnologa empleada
Cumplimiento de las generalmente aplicables y aceptadas prcticas para el control de TI
Aumentar el valor de la empresa
Gestin orientada hacia el enfoque de dueos de procesos
Alineacin de objetivos de TI con objetivos del negocio
Utilizacin eficiente y eficaz de los recursos de TI
Gestin medible y auditable
COBIT NECESITACONCIENTIZACIN, CAPACITACIN Y ENTRENAMIENTOADAPTACIN A LA ORGANIZACINFIJAR ROLES Y RESPONSABILIDADESSER COMPLEMENTADA CON OTROS MODELOS QUE ME PERMITAN CONTAR CON UN GOBIERNO CORPORATIVO ADECUADO
Resumen Ejecutivo de COBIT Se basa en una visin ejecutiva, la cual provee a la administracin un entendimiento del marco, los principios y conceptos claves de COBIT, y define cuatro dominios con sus correspondientes procesos de TI, 34 en total. Guas de Auditora Son aquellas que contienen pasos de auditora sugeridos, correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a los auditores de sistemas de informacin en revisar los procesos de TI, junto a los 302 detalles de objetivos de control para proveer seguridad a la administracin y recomendar sus mejoras.
Dominio: Planificacin y organizacinEste dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos de negocio.
Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas.
DOMINIO: Planificacin y OrganizacinProceso: 1Definicin de un plan estratgico de TI
Proceso: 2Definicin de la arquitectura de la informacin
Proceso: 3Determinacin de la direccin tecnolgica
Proceso: 4Definicin de la organizacin y el relacionamiento en TI
Proceso: 5Administracin de la inversin en TI
Proceso: 6Comunicacin de los objetivos y directivas de la gerencia
Proceso: 7Administracin de los recursos humanos
Proceso: 8Aseguramiento del cumplimiento de los requerimientos externos
Proceso: 9Evaluacin de riesgos
Proceso: 10Administracin de proyectos
Proceso: 11Administracin de la calidad
DOMINIO: Planificacin y Organizacin
Dominio: Planificacin y organizacinPO1 Definicin de un plan Estratgico Objetivo: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos de TI de negocio, para asegurar sus logros futuros.La definicin de objetivos de negocio y necesidades de TI.- la alta gerencia ser la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misin y las metas generales de la organizacin.El inventario de soluciones tecnolgicas e infraestructura actual.- se deber evaluar los sistemas existentes en trminos de: nivel de automatizacin de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el propsito de determinar el nivel de soporte que reciben los requerimientos del negocio de los sistemas existentes.Los cambios organizacionales.- se deber asegurar que se establezca un proceso para modificar oportunamente y con precisin el plan a largo plazo de tecnologa de informacin con el fin de adaptar los cambios al plan a largo plazo de la organizacin y los cambios en las condiciones de las TI.Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos.
Dominio: Planificacin y organizacinPO1 Definicin de un plan Estratgico
Dominio: Planificacin y organizacinPO2 Definicin de la Arquitectura de Informacin Objetivo: Satisfacer los requerimientos de negocio, organi-zando de la mejor manera posible los sistemas de informacin, a travs de la creacin y mantenimiento de un modelo de informacin de negocio, asegurndose que se definan los sistemas apropiados para optimizar la utilizacin de esta informacin; tomando en cuenta :La documentacin.- deber conservar consistencia con las necesidades permitiendo a los responsables llevar a cabo sus tareas eficiente y oportunamente.El diccionario de datos.- incorporar las reglas de sintaxis de datos de la organizacin y deber ser continuamente actualizado.La propiedad de la informacin y la clasificacin de severidad con el que se establecer un marco de referencia de clasificacin general, relativo a la ubicacin de datos en clases de informacin.
Dominio: Planificacin y organizacinPO2 Definicin de la Arquitectura de Informacin
Dominio: Planificacin y organizacinPO3 Determinacin de la direccin tecnolgica Objetivo: Aprovechar al mximo de la tecnologa disponible o tecnologa emergente, satisfaciendo los requerimientos de negocio, a travs de la creacin y mantenimiento de un plan de infraestructura tecnolgica, tomando en consideracin:La capacidad de adecuacin y evolucin de la infraestructura actual, que deber concordar con los planes a largo y corto plazo de tecnologa de informacin, abarcando aspectos tales como arquitectura de sistemas, direccin tecnolgica y estrategias de migracin.El monitoreo de desarrollos tecnolgicos que sern tomados en consideracin durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica.Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuacin y evolucin de la infraestructura), con lo que se evaluar sistemticamente el plan de infraestructura tecnolgica.Planes de adquisicin, los cuales debern reflejar las necesidades identificadas en el plan de infraestructura tecnolgica.
Dominio: Planificacin y organizacinPO3 Determinacin de la direccin tecnolgica
Dominio: Planificacin y organizacinPO4 Definicin de la organizacin y de las relaciones de TI Objetivo: Prestacin de servicios de TIEl comit de direccin el cual se encargar de vigilar la funcin de servicios de informacin y sus actividades.SupervisinSegregacin de funcionesLos roles y responsabilidades, La descripcin de puestosLos niveles de asignacin de personalEl personal clave
Dominio: Planificacin y organizacinPO4 Definicin de la organizacin y de las relaciones de TI
Dominio: Planificacin y organizacinPO5 Manejo de la inversin Objetivo: tiene como finalidad la satisfaccin de los requerimientos de negocio, asegurando el financiamiento y el control de desembolsos de recursos financieros.
Dominio: Planificacin y organizacinPO6 Comunicacin de la direccin y aspiraciones de la gerencia Objetivo: Asegurar el conocimiento y comprensin de los usuarios sobre las aspiraciones del alto nivel de la empresa
Dominio: Planificacin y organizacinPO7 Administracin de recursos humanos Objetivo: Maximizar las contribuciones del personal a los procesos de TI; satisfaciendo as los requerimientos de negocio, a travs de tcnicas slidas para administracin de personal.
Dominio: Planificacin y organizacinPO8 Asegurar el cumplimiento con los requerimientos Externos Objetivo: Cumplir con obligaciones legales, regulatorias y contractualesSe realiza una identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos
Dominio: Planificacin y organizacinPO9 Evaluacin de riesgos Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de servicios de TIPara ello se logra la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, tomando medidas econmicas para mitigar los riesgos
Dominio: Planificacin y organizacinPO10 Administracin de proyectos Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversinPara ello se realiza una identificacin y priorizacin de los proyectos en lnea con el plan operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido
Proceso: 12Identificacin de soluciones
Proceso: 13Adquisicin y mantenimiento de software de aplicacin
Proceso: 14Adquisicin y mantenimiento de la infraestructura tecnolgica
Proceso: 15Desarrollo y mantenimiento de procedimientos de TI
Proceso: 16Instalacin y certificacin de sistemas
Proceso: 17Administracin de cambios
DOMINIO: Adquisicin e Implantacin
Dominio: Adquisicin e implementacinPara llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
Dominio: Adquisicin e implementacinAI1 Identificacin de Soluciones Automatizadas Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuarioPara ello se realiza un anlisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios
Dominio: Adquisicin e implementacinAI2 Adquisicin y mantenimiento del software aplicativo Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.Para ello se definen declaraciones especficas sobre requerimientos funcionales y operacionales y una implementacin estructurada con entregables claros
Dominio: Adquisicin e implementacinAI3 Adquisicin y mantenimiento de la infraestructura tecnolgica Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negociosPara ello se realizara una evaluacin del desempeo del hardware y software, la provisin de mantenimiento preventivo de hardware y la instalacin, seguridad y control del software del sistema
Dominio: Adquisicin e implementacinAI4 Desarrollo y mantenimiento de procedimientos Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas.Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de servicio y material de entrenamiento
Dominio: Adquisicin e implementacinAI5 Instalacin y aceptacin de los sistemas Objetivo: Verificar y confirmar que la solucin sea adecuada para el propsito deseadoPara ello se realiza una migracin de instalacin, conversin y plan de aceptaciones adecuadamente formalizadas
Dominio: Adquisicin e implementacinAI6 Administracin de los cambios Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.Esto se hace posible a travs de un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual
Proceso: 18Definicin de los niveles del servicio
Proceso: 19Administracin de los servicios prestados por terceros
Proceso: 20Administracin de la capacidad y del desempeo del sistema
Proceso: 21Aseguramiento de la continuidad del servicio
Proceso: 22Establecimiento de pautas para la seguridad de los sistemas
Proceso: 23Identificacin e imputacin de costosDOMINIO: Entrega y Soporte
Proceso: 24Educacin y capacitacin de los usuarios
Proceso: 25Asistencia y asesoramiento a los clientes de TI
Proceso: 26Administracin de la configuracin
Proceso: 27Administracin de problemas e incidentes
Proceso: 28Administracin de datos
Proceso: 29Administracin de instalaciones
Proceso: 30Administracin de las operaciones
DOMINIO: Entrega y Soporte
Dominio: Prestacin y soporteProcesosDs1 Definicin de niveles de servicioDs2 Administracin de servicios prestados por tercerosDs3 Administracin de desempeo y capacidadDs4 Asegurar el Servicio ContinuoDs5 Garantizar la seguridad de sistemasDs6 Educacin y entrenamiento de usuariosDs7 Identificacin y asignacin de costosDs8 Apoyo y asistencia a los clientes de TIDs9 Administracin de la configuracinDs10 Administracin de ProblemasDs11 Administracin de DatosDs12 Administracin de las instalacionesDs13 Administracin de la operacin
Dominio: Prestacin y soporteEn este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin.
Dominio: Prestacin y soporteDs1 Definicin de niveles de servicioObjetivo: Establecer una comprensin comn del nivel de servicio requeridoPara ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio
Dominio: Prestacin y soporteDs2 Administracin de servicios prestados por terceros Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas, que cumplan y continen satisfaciendo los requerimientosPara ello se establecen medidas de control dirigidas a la revisin y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la organizacin
Dominio: Prestacin y soporteDs3 Administracin de desempeo y capacidad Objetivo: Asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado.Para ello se realizan controles de manejo de capacidad y desempeo que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos
Dominio: Prestacin y soporteDs4 Asegurar el Servicio Continuo Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en caso de interrupcionesPara ello se tiene un plan de continuidad probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio
Dominio: Prestacin y soporteDs5 Garantizar la seguridad de sistemas Objetivo: salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdidaPara ello se realizan controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados
Dominio: Prestacin y soporteDs6 Educacin y entrenamiento de usuariosObjetivo: Asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades involucrados Para ello se realiza un plan completo de entrenamiento y desarrollo.
Dominio: Prestacin y soporteDs7 Identificacin y asignacin de costos Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TIPara ello se realiza un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos
Dominio: Prestacin y soporteDs8 Apoyo y asistencia a los clientes de TI Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente Para ello se realiza un Bur de ayuda que proporcione soporte y asesora de primera lnea
Dominio: Prestacin y soporteDs9 Administracin de la configuracin Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de cambiosPara ello se realizan controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia
Dominio: Prestacin y soporteDs10 Administracin de Problemas Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder.Para ello se necesita un sistema de manejo de problemas que registre y d seguimiento a todos los incidentes, adems de un conjunto de procedimientos de escalamiento de problemas para resolver de la manera ms eficiente los problemas identificados
Dominio: Prestacin y soporteDs11 Administracin de DatosObjetivo: Asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin, salida y almacenamiento.Lo cual se logra a travs de una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI
Dominio: Prestacin y soporteDs12 Administracin de las instalaciones Objetivo: Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado, definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad fsica.
Dominio: Prestacin y soporteDs13 Administracin de la operacin Objetivo: Asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenadaEsto se logra a travs de una calendarizacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades
Proceso: 31Monitoreo de los procesos
Proceso: 32Evaluacin de la adecuacin del control interno
Proceso: 33Obtencin de aseguramiento independiente
Proceso: 34Provisin de auditora independiente
DOMINIO: Monitoreo
Dominio: MonitoreoTodos los procesos de una organizacin necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad.
Dominio: MonitoreoProcesosM1 Monitoreo del ProcesoM2 Evaluar lo adecuado del Control InternoM3 Obtencin de Aseguramiento Independiente M4 Proveer Auditoria Independiente
Dominio: MonitoreoM1 Monitoreo del Proceso Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI.- Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeo gerenciales y la implementacin de sistemas de soporte as como la atencin regular a los reportes emitidos.
Dominio: MonitoreoM2 Evaluar lo adecuado del Control Interno Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a travs de actividades administrativas y de supervisin, comparaciones, reconciliaciones y otras acciones rutinarias., evaluar su efectividad y emitir reportes sobre ellos en forma regular.
Dominio: MonitoreoM4 Proveer Auditoria Independiente Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas de su implementacin, lo que se logra con el uso de auditorias independientes desarrolladas a intervalos regulares de tiempo.Para ello la gerencia deber establecer los estatutos para la funcin de auditoria, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoria
Las tres dimensiones conceptuales de COBIT En resumen, la estructura conceptual se puede enfocar desde tres puntos de vista:Los criterios empresariales que deben satisfacer la informacinLos recursos de las TILos procesos de TI
FIN
La metodologa CobiT - Estructura (iii)Las tres dimensiones conceptuales de CobiT
El propsito de este captulo es explicar como el Control Interno es de vital importancia para las empresas, y como los niveles directivos hacen fuertes exigencias para mejorar el control de las empresas que dirigen; as como tambin conocer como los controles internos promueven la eficiencia, reducen los riesgos de prdida de activos, y ayudan a asegurar la confiabilidad de los estados financieros y el cumplimiento de leyes y regulaciones Seleccione un determinado proceso de una organizacin y para el mismo identifique los riesgos y controles existentes para cada una de las reas mencionadas. *necesidad de contar con una metodologa para organizar las actividades de la Auditora de Sistemas de Informacin, la cual contribuya a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos tcnicos; que sea aplicable a todos los tamaos y tipos de organizacin, y que est dirigida no slo a auditores de sistemas, sino tambin a la administracin y a los usuarios; que permita adems, determinar el alcance de la tarea de auditora e identificar los controles mnimos, y que pueda utilizarse como una herramienta de autoevaluacin del rea de tecnologa informtica. ****est basado en los Objetivos de Control existentes de la Information Systems Audit an Control Foundation (ISACF) mejorados con los estndares internacionales existentes tcnicos, profesionales, regulatorios y especficos de la industria. Los Objetivos de Control resultantes, aplicables y aceptados en forma generalizada, han sido desarrollados para ser aplicados a los sistemas de informacin de toda la empres ****la estructura conceptual se puede enfocar desde tres puntos de vista (ver figura): Los recursos de las TI, Los criterios empresariales que debe satisfacer la informacin, y Los procesos de las TI.
*****************
Top Related