Upload
diego-torres
View
229
Download
7
Embed Size (px)
DESCRIPTION
Uso de COBIT par aimplantar un modelo de gobierno IT
Citation preview
ASEGURAMIENTO DE ASEGURAMIENTO DE LA INFORMACIÓN LA INFORMACIÓN MEDIANTE CMEDIANTE COBIOBITT
HERRAMIENTAS MEYCORCOBIT CSA Y MEYCOR COBIT AG
Relación entre COSO y CRelación entre COSO y COBIOBITT
¿Qu¿Quéé es Ces COBIOBIT?T?
El modelo para implantar Gobierno de TI. Es un estándar abierto y de amplia difusión. Consta de 34 procesos y 220 Objetivos de Control de
bajo nivel.bajo nivel. Es 100 % compatible con ISO 17799, COSO I y II, y
con otros estándares de menor nivel de abstracciónen los que se apoya.
COBIT fija el Qué y los estándares de apoyo el Cómoen materia de implantación de Gobierno de TI.
CCOBIOBITT
Significa: Control Objectives forInformation and Related Technology. Modelo desarrollado por la ISACA y el Modelo desarrollado por la ISACA y el
IT Governance Institute (ITGI) parallevar a la práctica el Gobierno de TIen las organizaciones.
ISACAISACA Fundada en 1969. Es una organización líder en Gobernabilidad, Control,
Aseguramiento y Auditoría en TI. Con sede en Chicago USA. Tiene más de 60.000 miembros en más de 100 países. Tiene más de 60.000 miembros en más de 100 países. Realiza eventos, conferencias, desarrolla estándares
en IT Governance, Assurance and Security. COBIT:
1ra Edición 1996 2da Edición 1988 3ra Edición 2000 4ta Edición 2005 (Nov/Dic)
REQUERIMIENTOSDE NEGOCIO
REQUERIMIENTOSDE NEGOCIO
PROCESOS DEPROCESOS DE
CRITERIOS DE INFORMACIÓNCRITERIOS DE INFORMACIÓN
Marco CMarco COBIOBITT
PROCESOS DEINFORMACIÓNPROCESOS DEINFORMACIÓN
• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad
• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• cumplimiento• confiabilidad
INFORMACIÓNINFORMACIÓN
• aplicaciones• información• infraestructura• personal
• aplicaciones• información• infraestructura• personal
RECURSOS DE TIRECURSOS DE TI
CCOBIOBIT 4.0T 4.0
Aseguramiento de la InformaciónAseguramiento de la Información El aseguramiento de la información es la base sobre la que
se construye la toma de decisiones de una organización. Sinaseguramiento, las empresas no tienen certidumbre de quela información sobre la que sustentan sus decisiones demisión crítica es confiable, segura y está disponible cuandose la necesita.
Definimos Aseguramiento de la Información como lautilización de información y de diferentes actividades
Definimos Aseguramiento de la Información como lautilización de información y de diferentes actividadesoperativas con el fin de proteger la información, los sistemasde información y las redes, de forma de preservar ladisponibilidad, la integridad, la confidencialidad, laautenticación y el no repudio, ante el riesgo de impacto deamenazas locales, o remotas a través de comunicaciones eInternet.
Veremos dos importantes técnicas de aseguramiento, la autoevaluación y la auditoría de sistemas de información.
CCOBIOBITT: Autoevaluación de : Autoevaluación de controles controles (Meycor C(Meycor COBIOBIT CSA)T CSA)
Es una técnica gerencial que asegura atodos aquellos con intereses en elnegocio, que el sistema de controlinterno del mismo es confiable. También asegura que los empleados son
concientes de los riesgos del negocio, yque llevan adelante revisiones proactivasperiódicas de los controles.
CCOBIOBIT Guías de AuditoríaT Guías de Auditoría(Meycor C(Meycor COBIOBIT AG)T AG)
Dan una estructura simple para auditarlos controles en TI.
Son genéricas y estructuradas a altonivel.
Permiten la revisión de Procesos contralos Objetivos de Control en TI.
Obtener un entendimiento de los requerimientosdel negocio, los riesgos relacionados, y las medidasde control relevantes.
Evaluar la conveniencia de los controlesestablecidos.
Evaluar el cumplimiento al probar si los controles
SSe audita mediante los siguientes pasos:e audita mediante los siguientes pasos:
Evaluar el cumplimiento al probar si los controlesestablecidos están funcionando como se espera, demanera consistente y continua.
Justificar el riesgo de que los objetivos de controlno se estén cumpliendo mediante el uso detécnicas analíticas y/o consultando fuentesalternativas.
Guía Genérica de AuditoríaGuía Genérica de AuditoríaObtener entendimiento Los pasos de auditoría a realizar para documentar las actividades
subyacentes a los objetivos de control, así como tambiénidentificar las medidas/procedimientos de control establecidas.
Entrevistar al personal administrativo y de staff indicado paralograr la comprensión de: Los requerimientos del negocio y los riesgos asociados. Los requerimientos del negocio y los riesgos asociados. La estructura organizacional. Los roles y responsabilidades. Las medidas de control establecidas. La actividad de reporte a la administración (estatus, desempeño,
acciones). Documentar los recursos de TI relacionados con el proceso que se
ven especialmente afectados por el proceso bajo revisión.Confirmar el entendimiento del proceso bajo revisión, losIndicadores Clave de Desempeño (KPI) del proceso, lasimplicaciones de control, por ejemplo, mediante un seguimientopaso a paso del proceso.
Guía Genérica de AuditoríaGuía Genérica de AuditoríaEvaluación de los controles Los pasos de auditoría a realizar en la evaluación de la eficacia de
las medidas de control establecidas o el grado en el que se lograel objetivo de control. Básicamente, decidir qué se va a probar, sise va a probar y cómo se va a probar.
Evaluar la conveniencia de las medidas de control para el procesobajo revisión mediante la consideración de los criteriosidentificados y las prácticas estándares de la industria, losbajo revisión mediante la consideración de los criteriosidentificados y las prácticas estándares de la industria, losFactores Críticos de Éxito (CSF) de las medidas de control y laaplicación del juicio profesional de auditor. Existen procesos documentados. Existen resultados apropiados. La responsabilidad y es clara y eficaz. Existen controles compensatorios en donde es necesario.
Concluir el grado en el que se cumple el objetivo de control.
Guía Genérica de AuditoríaGuía Genérica de AuditoríaValoración del cumplimiento Los pasos de auditoría a realizar para asegurar que las
medidas de control establecidas estén funcionandocomo es debido, de manera consistente y continua, yconcluir sobre la conveniencia de ambiente de control.
Obtener evidencia directa o indirecta depuntos/períodos seleccionados para asegurarse que se
Obtener evidencia directa o indirecta depuntos/períodos seleccionados para asegurarse que seha cumplido con los procedimientos durante el períodode revisión, utilizando evidencia tanto directa comoindirecta.
Realizar una revisión de la suficiencia de los resultadosdel proceso.
Determinar el nivel de pruebas justificantes y trabajoadicional necesarios para asegurar que el proceso de TIes adecuado.
Guía Genérica de AuditoríaGuía Genérica de Auditoría
Justificar el riesgo Los pasos de auditoría a realizar para justificar el
riesgo de que no se cumpla el objetivo de controlmediante el uso de técnicas analíticas y/o consultas afuentes alternativas.fuentes alternativas.
Documentar las debilidades del control y las amenazasy vulnerabilidades resultantes.
Identificar y documentar el impacto real y potencial;por ejemplo, mediante el análisis de causa-raíz.
Brindar información comparativa; por ejemplo,mediante puntos de referencia.
Descripción de los productosDescripción de los productosMeycor COBIT CSAMeycor COBIT CSA y y AGAGMeycor COBIT CSAMeycor COBIT CSA y y AGAG
Meycor CMeycor COBIOBIT CSAT CSAImportancia de los Procesos de TI
Para los procesos definidos por COBIT, seidentifica la importancia, el desempeño, siha sido auditado, cómo se procesa y quién esel responsable.
Para los procesos definidos por COBIT, seidentifica la importancia, el desempeño, siha sido auditado, cómo se procesa y quién esel responsable.
Meycor CMeycor COBIOBIT CSAT CSAAuto Evaluación sobre los controles
Meycor COBIT CSA incluye los Objetivos deControl de COBIT 4.0 y preguntas deseguridad de plataformas específicas.
Meycor COBIT CSA incluye los Objetivos deControl de COBIT 4.0 y preguntas deseguridad de plataformas específicas.
Meycor CMeycor COBIOBIT CSAT CSAReporte de la evaluación
Se presentan los resultados en puntajes.De este modo se pueden determinarvalores meta.
Se presentan los resultados en puntajes.De este modo se pueden determinarvalores meta.
Meycor CMeycor COBIOBIT CSAT CSADiagnóstico sobre los Procesos de TI
La línea roja indica el resultado obtenido.Cuanto mas próxima al centro, los riesgos seencuentran menos cubiertos por controles
La línea roja indica el resultado obtenido.Cuanto mas próxima al centro, los riesgos seencuentran menos cubiertos por controles
Meycor CMeycor COBIOBIT CSAT CSAEvaluaciones de varios Centros de Análisis
Se pueden ver los resultados en formacomparativa (plataformas, sucursales,tecnologías)
Se pueden ver los resultados en formacomparativa (plataformas, sucursales,tecnologías)
Meycor CMeycor COBIOBIT CSAT CSAProyectos de Auditoría
Permite crear proyectos de auditoría, asignarrecursos y gestionarlos.
El objetivo es determinar si los controles delproceso ofrecen aseguramiento.
Permite crear proyectos de auditoría, asignarrecursos y gestionarlos.
El objetivo es determinar si los controles delproceso ofrecen aseguramiento.
Meycor CMeycor COBIOBIT CSAT CSAAlineamiento con los Objetivos de negocio
Se identifica el alineamiento entre losObjetivos de TI y los Objetivos de negocioSe identifica el alineamiento entre losObjetivos de TI y los Objetivos de negocio
Meycor CMeycor COBIOBIT AT AGGInventario Tecnológico
Se identifica cómo los recursos de TIcontribuyen efectivamente al logro de losobjetivos.
Se identifica cómo los recursos de TIcontribuyen efectivamente al logro de losobjetivos.
Meycor CMeycor COBIOBIT AT AGGRelación entre procesos de COBIT y Procesos de Negocio
Se genera un mapa de calor a partir delos recursos de TI y los criterios deinformación requeridos.
Se genera un mapa de calor a partir delos recursos de TI y los criterios deinformación requeridos.
Meycor CMeycor COBIOBIT AT AGGInicio del proceso de auditoría
Se registra cuando el supervisor crea unproyecto y lo asigna a los auditores. Seestablece también cuando se está endesacuerdo con una observación.
Se registra cuando el supervisor crea unproyecto y lo asigna a los auditores. Seestablece también cuando se está endesacuerdo con una observación.
Meycor CMeycor COBIOBIT AT AGGAuditando un Proceso de TI
Meycor COBIT AG guía en las diversas Fases(entrevistas, etc.). Permite registrar tareas,adjuntar evidencias y registrar observaciones.
Meycor COBIT AG guía en las diversas Fases(entrevistas, etc.). Permite registrar tareas,adjuntar evidencias y registrar observaciones.
Meycor CMeycor COBIOBIT AT AGGGuías de Auditoría
Los auditores cuentan con guías de auditoríaque constituyen una base de conocimientoque mejora la calidad de la auditoría.
Los auditores cuentan con guías de auditoríaque constituyen una base de conocimientoque mejora la calidad de la auditoría.
Meycor CMeycor COBIOBIT AT AGGRegistro de tareas
Se identifica quién la ejecutó, el tiempoinvertido, comentarios, etc.Se identifica quién la ejecutó, el tiempoinvertido, comentarios, etc.
Meycor CMeycor COBIOBIT AT AGGHallazgos y recomendaciones
Las observaciones se definen en un formatoque incluye determinar los criterios contralos que se evalúa, las consecuencias, etc.
Las observaciones se definen en un formatoque incluye determinar los criterios contralos que se evalúa, las consecuencias, etc.
Meycor CMeycor COBIOBIT AT AGGEjemplos de Papeles de Trabajo (I)
Reporte del programa de auditoríapor proyecto.Reporte del programa de auditoríapor proyecto.
Meycor CMeycor COBIOBIT AT AGGEjemplos de Papeles de Trabajo (II)
Informe sobre el grado defortaleza de los controlesauditados.
Informe sobre el grado defortaleza de los controlesauditados.
Meycor CMeycor COBIOBIT AT AGGEjemplos de Papeles de Trabajo (III)
Identificación de hallazgos, opinióndel auditado, seguimiento, etc.Identificación de hallazgos, opinióndel auditado, seguimiento, etc.
DATASECDATASECIT Security & ControlIT Security & Control
Patria 716 - CP 11300 - Montevideo - UruguayTel: (+598 2) 711-58-78 / 711-04-20Fax: (+598 2) 711-58-94Sitio web: www.datasecwww.datasec--soft.comsoft.com