Upload
camilo-bucarey
View
233
Download
0
Embed Size (px)
DESCRIPTION
Detalle COBIT
Citation preview
Auditoría de T.I.
Eduardo Leyton COBIT
Marco Referencial de Auditoría para la Gobernabilidad de T.I.
Eduardo Leyton Guerrero Auditor de Tecnologías de la Información
www.eduardoleyton.com
Saltar a la primera página
Control objetives for information and related Technology (Objetivos de Control para la Información y la Tecnología Relacionada)
Saltar a la primera página
www.eduardoleyton.com 1
Auditoría de T.I.
Eduardo Leyton Tópicos:
Que es COBIT
Justificación como Marco Referencial de Auditoría.
Definiciones Previas
Requisitos de Calidad, Fiduciarios y Otros
Modelo COBIT (Dominios y Ejes Centrales)
Análisis del Modelo por Dominios y comparaciones con el Marco Tradicional y Normas ISO.
Características de los Ejes Centrales Plantilla de
Procesos, tareas, procedimientos
Evolución. www.eduardoleyton.com
Organización COBIT:
Misión Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologías de la información con autoridad, actualizados, de carácter internacionaly aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.
Porque nace CoBIT ? Un elemento crítico para el éxito y la supervivencia de las organizaciones es la administración efectiva de la información y la Tecnología de la información (TI) relacionada. Ello a implicado una creciente dependencia en información y en los sistemas que proporcionan o soportan dicha información; una creciente vulnerabilidad y un amplio espectro de amenazas; altos costos de inversiones en TI; y el considerable impacto que estas TI producen en las organizaciones creando además nuevas prácticas de negocios (WcS-ERP-BRP). Es por eso que para muchas organizaciones, la información y la tecnología que la soporta, representan los activos más valiosos de la empresa
www.eduardoleyton.com
www.eduardoleyton.com 2
Auditoría de T.I.
Eduardo Leyton Modelo COBIT:
Que es CoBIT ? Es un modelo de referencia que permite a la Audiencia (administradores, usuarios, auditores) reducir los espacios existentes entre los riesgos (rba) de negocio, las necesidades de control y los aspectos tecnológicos inherentes con el fin de lograr una adecuada gobernabilidad de los recursos de tecnologías de la información (COSO&CoBIT).
En efecto CoBIT apoya la gobernabilidad de los recursos de T.I., mediante la comprensión y la administración de los riesgos asociados a las Tecnología de la Información a través de un Marco Referencial de dominios, procesos y tareas estructuradas en forma simple y lógica.
www.eduardoleyton.com
Fundamentos COBIT:
Fundamentos del CoBIT CoBIT ha sido desarrollado como un estándar generalmente aplicable y aceptado para las buenas prácticas de seguridad y control en Tecnologías de la Información. Se fundamenta en los "Objetivos de Control existentes de la Information Systems Audit and Control Foundation (ISACF)", mejorados a partir de estándares internacionales técnicos, profesionales, regulatorios y específicos para la industria, tanto existentes como en surgimiento.
Las fuentes identificadas son: Estándares técnicos: ISAO, EDIFACT, etc
Códigos de Conducta: Council of Europe, OEDC, ISACA, etc. Criterios de Calificación: ISAO9000SPICE, IickIT, etc.
Estándares Profesionales: para control interno COSO, GAO, IFAC, IIA, ISACA, estándares CPA, etc
Prácticas y requerimientos específicos de la Industria: Banca otros. COSO (Committee of Sponsoring Organisations of the Treadway Commission Internal Control-Integrated Framework): Marco Referencial para la Administración de Controles Internos. (Modelo de Control de Negocios)
www.eduardoleyton.com
www.eduardoleyton.com 3
Auditoría de T.I.
Eduardo Leyton Definiciones previas de COBIT:
Control: se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que los eventos no deseables serán prevenidos o detectados y corregidos.
Objetivo de control de T.I.: Propósitos que se desea alcanzar implementando procedimientos de control en una actividad de T.I. particular.
Requerimientos de Calidad: (calidad-costo- entrega de servicio) Este concepto no se refiere tan sólo a la confiabilidad, no fallas, aspectos subjetivos, o funcionamiento continuo etc; sino más bien se refiere a la prioridad que deberá asignarse al manejo de los riesgos al compararlos con las oportunidades. Es decir bajo un criterio de efectividad.
Requerimientos Fiduciarios (Mandatarios, Obligatorios): Efectividad & Eficiencia de Operaciones, Confiabilidad de la Información, Cumplimiento de las Leyes & Regulaciones. (concepto basado del modelo COSO- información no sólo financiera)
Requerimientos de Seguridad de la Información: Confidencialidad, Integridad, Disponibilidad.
www.eduardoleyton.com
Que es COBIT:
COBIT ha sido desarrollado como standares generalmente aplicacbles y aceptados para mejorar las prácticas de control y seguridad de las Tecnologías de Información (TI) que provean un marco de referencia para la Administración, Usuarios y Auditores. Básicamente consta de4libros, a saber:
1. Resumen Ejecutivo consiste de una Visión Ejecutiva, la cual provee a la Administración un entendimiento de los principios y conceptos claves de COBIT y el marco que provee a la Administración con más detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 en total.
2. Marco de Referencia El marco describe en detalle los 34 Objetivos de COntrol de TI a un nivel macro, e identifica los requerimientos del negocio para la información e impactos preliminares de recursos de TI para cada objetivo de control. Los objetivos de control contiene declaraciones de los resultados deseados o propósitos a ser alcanzados para la Implementación de 302 objetivos de control específicos a través de los 34 Procesos de TI.
www.eduardoleyton.com
www.eduardoleyton.com 4
Auditoría de T.I.
Eduardo Leyton Que es COBIT:
3. Guías de Auditoría Las Guías de Auditoría, las cuales contienen pasos de auditoría sugeridos correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a los auditores de sistemas de información en revisar los procesos de TI junto a los 302 detalles de objetivos de control para proveer seguridad a la administración y/o aconsejar sus mejoras.
4. Herramientas de Implementación Una Herramienta de Implementación, la cual contiene el Conocimiento de la Administración y Diagnóstico de Control de TI, una Guía de Implementación, FAQ, casos de estudio de organizaciones actualmente usando Cobit, y presentaciones que pueden ser usadas para introducir COBIT dentro de la organización. Esta nueva herramienta es diseñada para facilitar la Implementación de COBIT, relacionar sesiones aprendidas desde organizaciones que rápidamente y exitosamente aplicaron COBIT en sus ambientes de trabajo.
www.eduardoleyton.com
Modelo Básico de Negocios-T.I.
Procesos de Negocios: Requerimientos:
DATOS
SISTEMAS-APLICAC I
E N V TECNOLOGÍA F E O N R T M INSTALACIONES O A S Message Service C
Input Output I PERSONAS O * Personas
* Objetos N
www.eduardoleyton.com
www.eduardoleyton.com 5
Auditoría de T.I.
Eduardo Leyton Modelo COBIT: Procesos y T.I.
Procesos de Negocios
Eje Central Nº1 Requerimientos • Efectividad • Eficiencia CobiT Obj. de Control Información • Confidencialidad • Integridad
• D isponibilidad • Cumplimiento • Confiabilidad
Eje Central Nº2 Recursos TI
•Datos •Aplicaciones Planeamiento & Dominio Nº4 •Tecnología •Instalaciones Organización
•Personas
Monitoreo Dominio Nº1
Adquisición & Distribución & Implementación
Soporte
Dominio Nº3 Dominio Nº2
www.eduardoleyton.com
Modelo COBIT: Dominios-Procesos
PO1 definir un plan estratégico para T.I. PO2 definir la arquitectura de la información PO3 determinar la dirección tecnológica PO4 definir la organización de TI y relaciones
Eje Central Nº2 PO5 gerenciar la inversión en TI
M1 monitorear los procesos(de TI) PO6 comunicar los objetivos gerenciales y direcc.
M2 obtener una opinión independ. PO7 gerenciar los recursos humanos PO8 cumplimiento de requerimientos externos
Recursos TI PO9 evaluar los riesgos PO10 gerenciar los proyectos PO11 gerenciar la calidad
•Datos •Aplicaciones
Dominio Nº4 •Tecnología Planeamiento & •Instalaciones Organización
•Personas
Monitoreo Dominio Nº1
Dominio Nº3
Adquisición & Distribución & Implementación
Soporteº DS1 definir nivel de servicio Dominio Nº2
DS2 gerenciar servicios externos DS3 administ performance y capacidad DS4 asegurar continuidad de servicio
DS5 asegurar la seguridad de sistemas AI1 identificar soluciones automatizadas
DS6 identificar y asignar costos AI2 adquirir y mantener aplicaciones de software
DS7 educar y adiestrar a usuarios AI3 adquirir y mantener la infraestructura tecnolog.
DS8 ayudar y aconsejar clientes de TI AI4 desarrollar y mantener procedimientos
DS9 gerenciar la configuración(de sis.) AI5 instalar y acreditar los sistemas
DS10 manejar problemas e incidentes AI6 gerenciar los cambios
DS11 administrar los datos DS12 administrar las instalaciones DS13 administrar las operaciones
www.eduardoleyton.com
www.eduardoleyton.com 6
Auditoría de T.I.
Eduardo Leyton Ciclo de la Información COBIT
Procesos de Negocios Cumplimiento
Genera
Requerimientos Información • Efectividad •
Eficiencia • Confidencialidad • Integridad
• Disponibilidad • Cumplimiento Recursos TI Medio • Confiabilidad
•Datos
•Aplicaciones •Tecnología •Instalaciones •Personas
www.eduardoleyton.com
Como Abordar Cobit ?
La estructura del CobiT parte de una premisa simple y pragmática
“Los recursos T.I. necesitan ser administrados o manejados por un conjunto de procesos T.I. naturalmente agrupados para proveer la información que la organización necesita para lograr sus objetivos”
www.eduardoleyton.com
www.eduardoleyton.com 7
Auditoría de T.I.
Eduardo Leyton Niveles de COBIT:
Hay en esencia tres niveles, en donde debemos poner nuestros esfuerzos cuando consideramos el manejo de los recursos T.I.
Dominios
34 Procesos
Actividades
(PC/PS)
www.eduardoleyton.com
Visión Global de COBIT: Dominios-Procesos-Tareas
GERENTE DE LA EMPRESA
CRITERIOS DE INFORMACION
DOMINIOS
PROCESOS
ACTIVIDADES
www.eduardoleyton.com
www.eduardoleyton.com 8
Auditoría de T.I.
Eduardo Leyton Proceso Global de
Auditoría
Un proceso T.I. es auditado, para:
Obtener una comprensión de los requerimientos de negocios relativo a los riesgos e identificar las medidas de control
Evaluar lo apropiado de los controles identificados
Asegurar el cumplimiento al chequear si los controles identificados trabajan prescribiendo, consistentemente y continuamente en el tiempo
Substantivar el riesgo de los objetivos de control no logrados (asignar valor al riesgo)
www.eduardoleyton.com
Proceso de Auditoría para cada proceso IT
OBTENER RIESGOS RELACIONADOS CON LOS
EL ENTENDIMIENTO REQUERIMIENTOS DE NEGOCIOS Y LOS CONTROLES QUE LOS CUBREN
CONTROLES
GRADO EN QUE LOS EVALUACION DE OBJETIVOS DE CONTROL
LOS CONTROLES SON ALCANZADOS OBJETIVOS DE OB.DE
CONTROL NO CONTROL CUBIERTOS CUBIERTOS
ASEGURAR QUE LOS CONTROLES CUANTIFICACIÓN ASEGURAR EL ESTABLECIDOS ESTEN
RIESGO CUMPLIMIENTO OPERANDO Y SON CONSISTENTES Y CONTINUOS
RECONOCER EL IMPACTO ASOCIADO AL OB. DE CON- TROL NO CUBIERTO
GUIAS DE AUDITORIA www.eduardoleyton.com
www.eduardoleyton.com 9
Auditoría de T.I. Eduardo Leyton
Ejes Centrales de COBIT
Requerimientos de Negocios sobre la Información
Efectividad Eficiencia Confiabilidad
Confidencialidad Integridad
Disponibilidad Cumplimiento
Recursos Tecnológicos
Datos
Sistemas y Aplicaciones Tecnología
Instalaciones Personas
www.eduardoleyton.com
Ejes Centrales de COBIT
La información que los procesos de negocio necesitan, es provista al utilizar recursos tecnológicos. En orden a asegurar que los requerimientos de negocios para la información sean cumplidos, adecuadas medidas de
control necesitan ser definidas, implementadas y monitoreadas sobre
esos recursos
www.eduardoleyton.com
www.eduardoleyton.com 10
Auditoría de T.I.
Eduardo Leyton Ejes Centrales de COBIT
Este enfoque o marco de trabajo cubre todos los aspectos de la información y la tecnología que lo soporta. El cumplir con los 32 objetivos de Alto Nivel, les asegura a los dueños de los procesos de negocio la existencia de un adecuado Sistema de Control para el medio ambiente Tecnológico
www.eduardoleyton.com
GUIAS DE AUDITORIA DEL CobiT
El propósito de las guías de auditoría es proveer una estructura simple para auditar controles basado en prácticas generalmente aceptadas, que se complementan con el esquema CobiT
Las guías, son genéricas y de alto nivel en su estructura. Habilitan al auditor para revisar procesos T.I. específicos, con el objeto de indicar a la administración donde los controles son insuficientes o donde los procesos necesitan ser mejorados
www.eduardoleyton.com
www.eduardoleyton.com 11
Auditoría de T.I.
Eduardo Leyton
(CONTINUACION ....)
Se proponen guías de Auditoría, para cada uno de los procesos T.I., basados en la estructura de un proceso genérico de auditoría, en sus objetivos y en los requerimientos CobiT
orientación a Objetivos de Negocios
focalización sobre los recursos que necesitan ser manejadas
consideraciones de los requerimientos sobre la información
www.eduardoleyton.com
(CONTINUACIÓN...)
Las guías del CobiT para cada uno de los procesos T.I., se
desarrollan en fases, las cuales son:
Fase de Identificación/Documentación Fase de Evaluación
Fase de Testeo de Cumplimiento Fase de Testeo Substantivo (Valorar Riesgo)
www.eduardoleyton.com
www.eduardoleyton.com 12
Auditoría de T.I.
Eduardo Leyton EJEMPLO 1 Dominio:1 Proceso
P09
Dominio Planificación
Y Organización
P07 P09 P10 Garantizar
Evaluar Riesgos Administrar Cumplimiento con Proyectos Requisitos Externos
Plan de Evaluar Métodos Identificación Métricas Acción de Riesgos Evaluación
De Riesgos De Riesgos Riesgos Negocios Riesgos
www.eduardoleyton.com
EJEMPLO 2 Dominio: 3 Proceso: DS8
SERVICIO Y
SOPORTE
DS8
Asistencia y Asesoria a Clientes
Análisis y Registro de Monitoreo Escalamiento Reporte de Helpdesk Preguntas de Atenc. a de Problemas Tenden. Clientes
www.eduardoleyton.com
www.eduardoleyton.com 13
Auditoría de T.I.
Eduardo Leyton EJEMPLO Dominio: 3 Proceso:
DS8
• Obtener el Entendimiento:
Entrevistando •Administrador de la función Helpdesk
•Selección de Usuarios de Servicios de Información Obteniendo
•Políticas y Procedimientos relacionados con los Servicios de Información de soporte al Cliente •Reportes relativos a consultas de usuarios, resolución de consultas y estadísticas de la performance del help desk
• Evaluar los Controles por:
Análisis de •Naturaleza de la función help desk es efectiva
•Nivel de la documentación para las actividades de help desk es adecuado •Existen procesos para registrar incidentes del servicio y es usado correctamente
•etc.
www.eduardoleyton.com
EJEMPLO (Continuación...) • Asegurar el cumplimiento por:
Testeo de •Políticas y Procedimientos relacionados con el Help Desk están siendo aplicados •Atención de consultas se está ejecutando de una manera oportuna •Para una muestra de peticiones de ayuda: confirmación de la exactitud, oprtunidad, y suficiencia de las respuestas
• Sustantivar el Riesgo por:
Realizando •Entrevistas a usuarios seleccionados para conocer el grado de satisfacción sobre actividades del help desk y reportes de actividades •Revisar la competencia y capacidad del personal del help desk •Revisar una selección de escalamiento de preguntas y evaluar sus respuestas
Identificando •Interacción inadecuada para las actividades del help desk respecto a otras funciones dentro de los serv. de información •Procedimientos y actividades insuficientes en relación a recepción de preguntas, registro, escalamiento y resolución
•Procesos de escalación deficientes •Usuarios insatisfechos con el proceso de reporte de problemas y su oportunidad en la resolución
www.eduardoleyton.com
www.eduardoleyton.com 14
Auditoría de T.I.
Eduardo Leyton Evolución del COBIT
CobiT I
UN MARCO DEFINICION DE:
- OBJETIVOS DE CONTROL - GUIAS DE AUDITORIA
CobiT II
- GUIAS DE AUTOEVALUACION - ACTUALIZAR E INVESTIGAR NUEVAS FUENTES
CobiT III
- GUIAS DE CONTROL - ADICIONES A OBJETIVOS DE CONTROL -IINDICADORES DE
ACTUACION
www.eduardoleyton.com
Conclusiones
CobiT representa un gran avance hacia la estructuración del control de las Tecnologías de la Información
Aumento en la Eficiencia y cobertura de las auditorias
Uso de herramientas y estándares reconocidos como buenas prácticas de Auditoría
Estandarización del trabajo del Auditor
www.eduardoleyton.com
www.eduardoleyton.com 15
Auditoría de T.I.
Eduardo Leyton Conclusiones-2
Base de controles
Entorno de Seguridad y Control común Estandarización y metodologización en los procesos T.I.
Mejoras en relación Auditoría - Informática
Necesidad de extender su uso más alla de la auditoría
www.eduardoleyton.com
Preguntas
www.eduardoleyton.com
www.eduardoleyton.com 16