Documente Academic
Documente Profesional
Documente Cultură
ANTÚNEZ DE MAYOLO”
FACULTAD: FIIA
COBIT.…………………………………………………………………………………………………..12
Definicion ............................................................................................ 12
Caracteristicas ..................................................................................... 12
Beneficios ............................................................................................ 14
Estructura ............................................................................................ 15
Dominios ............................................................................................. 16
Principios ............................................................................................. 18
Requerimientos ................................................................................... 18
Niveles cobit ........................................................................................ 20
Componentes cobit ............................................................................. 20
2
CONTROL INTERNO
INFORMÁTICO
DEFINICIÓN:
El Control Interno Informático puede definirse como el sistema integrado al proceso
administrativo, en la planeación, organización, dirección y control de las operaciones
con el objeto de asegurar la protección de todos los recursos informáticos y mejorar
los índices de economía, eficiencia y efectividad de los procesos operativos
automatizados.
El Informe COSO define el Control Interno como “Las normas, los procedimientos, las
prácticas y las estructuras organizativas diseñadas para proporcionar seguridad
razonable de que los objetivos de la empresa se alcanzarán y que los eventos no
deseados se preverán, se detectarán y se corregirán.
Controles manuales; aquellos que son ejecutados por el personal del área
usuaria o de informática sin la utilización de herramientas computacionales.
Controles Automáticos; son generalmente los incorporados en el software,
llámense estos de operación, de comunicación, de gestión de base de datos,
programas de aplicación, etc.
3
Controles correctivos; tratan de asegurar que se subsanen todos los errores
identificados mediante los controles detectivos.
OBJETIVOS:
Controlar que todas las actividades se realicen cumpliendo los procedimientos
y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las
normas legales.
Asesorar sobre el conocimiento de las normas
Colaborar y apoyar el trabajo de Auditoría Informática interna/externa
Definir, implantar y ejecutar mecanismos y controles para comprobar el grado
de cumplimiento de los servicios informáticos.
Realizar en los diferentes sistemas y entornos informáticos el control de las
diferentes actividades que se realizan.
4
Relaciones contractuales con terceros
Cultura de riesgo informático en la organización
Controles en aplicaciones
Toda aplicación debe llevar controles incorporados para garantizar la entrada,
actualización, salida, validez y mantenimiento completos y exactos de los
datos.
5
Controles informáticos sobre redes
Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y
funcionamiento de las redes instaladas en una organización sean estas
centrales y/o distribuidos.
FUNCIÓN DE CONTROL
En la auditoria Informática; esta tiene función de vigilancia y evaluación mediante dictámenes,
los auditores de tienen diferentes objetivos de los de cuentas, ellos evalúan eficiencia, costos
y la seguridad con mayor visión, y realizan evaluaciones de tipo cualitativo.
HERRAMIENTAS DE CONTROL
Las herramientas de control, son de dos tipos lógicos y físicos , desde el punto lógico son
programas que brindan seguridad, las principales herramientas son las siguientes; seguridad
lógica del sistema, seguridad lógica complementaria del sistema, seguridad lógica en entornos
distribuidos, control de acceso físico, control de copias, gestión de soporte magnéticos,
gestión de control de impresión y envío de listados por red, control de proyectos y versiones
, gestión de independencia y control de cambios.
6
CONTROL INTERNO INFORMÁTICO:
El control interno informático controla diariamente que todas las actividades de
sistemas de información sean realizadas cumpliendo los procedimientos, estándares
y normas fijados por la dirección de la organización y/o la dirección informática, así
como los requerimientos legales.
La función del control interno informático es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y
válidas.
Control interno informático suele ser un órgano staff de la dirección del departamento
de informática y está dotado de las personas y medios materiales proporcionados a
los cometidos que se le encomienden.
PRINCIPALES OBJETIVOS:
Controlar que todas las actividades se realicen cumpliendo los
procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
7
CONTROL INTERNO
AUDITOR INFORMATICO
INFORMATICO
PERSONAL INTERNO
Conocimientos especializados en tecnologías de información
verificación del cumplimiento de controles internos,
SIMILITUDES
normativa y procedimientos establecidos por la dirección
informática y la dirección general para los sistemas de
información.
Análisis de un momento
Análisis de los controles en el
informático determinado
día a día Informa a la
Informa a la dirección general
dirección del departamento
de la organización Personal
de informática sólo personal
DIFERENCIAS interno y/o externo tiene
interno el enlace de sus
cobertura sobre todos los
funciones es únicamente
componentes de los sistemas
sobre el departamento de
de información de la
informática
organización
CONTROLES PREVENTIVOS:
Para tratar de evitar el hecho, como un software de seguridad que impida
los accesos no autorizados al sistema.
CONTROLES DETECTIVOS:
Cuando fallan los preventivos para tratar de conocer cuanto antes el
evento. Por ejemplo, el registro de intentos de acceso no autorizados, el
registro de la actividad diaria para detectar errores u omisiones, etc.
CONTROLES CORRECTIVOS:
Facilitan la suelta a la normalidad cuando se han producido incidencias.
Por ejemplo, la recuperación de un fichero dañado a partir de las copias de
seguridad.
8
IMPLANTACIÓN DE UN SISTEMA DE CONTROL
INTERNO:
Para llegar a conocer la configuración del sistema es necesario documentar los detalles
de la red, así como los distintos niveles de control y elementos relacionados:
ENTORNO DE RED:
Esquema de la red, descripción de la configuración hardware de comunicaciones,
descripción del software que se utiliza como acceso a las telecomunicaciones,
control de red, situación general de los ordenadores de entornos de base que
soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.
ENTORNO DE APLICACIONES:
Procesos de transacciones, sistemas de gestión de base de datos y entornos de
procesos distribuidos.
PRODUCTOS Y HERRAMIENTAS:
Software para desarrollo de programas, software de gestión de bibliotecas y para
operaciones automáticas.
ADMINISTRACIÓN DE SISTEMAS:
Controles sobre la actividad de los centros de datos y otras funciones de apoyo
al sistema, incluyendo la administración de las redes.
9
SEGURIDAD:
incluye las tres clases de controles fundamentales implantados en el software del
sistema, integridad del sistema, confidencialidad (control de acceso) y
disponibilidad.
10
Los procedimientos de adquisición de software deberían seguir las políticas
de adquisión de la organización y dichos productos deberán ser probados
y revisados antes de pagar por ellos y ponerlos en uso.
La contratación de outsourcing debe estar justificada mediante una
petición escrita de un director de proyectos.
ACTIVIDADES
Controles físicos para asegurar que el acceso a las instalaciones del Dpto. de la
Informática quede restringido a las personas autorizadas
Control de vistas personas externas a la organización
Instalación de medidas de protección contra fuego
Formación y concientización en procedimientos de seguridad y evacuación del
edificio. Control de acceso restringido a los ordenadores.
Existencia de un plan de contingencia para el respaldo de recursos de
ordenador crítico y para la recuperación de los servicios de Dpto. Informático.
11
COBIT
DEFINICION:
El COBIT es un modelo para auditar la gestión y control de los sistemas de información
y tecnología, orientado a todos los sectores de una organización, es decir,
administradores de tecnologías de la información, usuarios y por supuesto, los
auditores involucrados en el proceso. El COBIT es un modelo de evaluación y
monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca
controles específicos de IT desde una perspectiva de negocios.
Además, según sus siglas COBIT significan Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas (Control Objectives for Information Systems
and related Technology). El modelo es el resultado de una investigación con expertos
de varios países, desarrollado por ISACA (Information Systems Audit and Control
Association).
COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI
manteniendo un balance entre la realización de beneficios, la utilización de recursos y
los niveles de riesgo asumidos. COBIT 5 (siendo la última versión del cobit) posibilita
que TI sea gobernada y gestionada en forma holística para toda la organización,
tomando en consideración el negocio y áreas funcionales de punta a punta, así como
los interesados internos y externos. COBIT 5 se puede aplicar a organizaciones de
todos los tamaños, tanto en el sector privado, público o entidades sin fines de lucro.
CARACTERISTICAS:
El COBIT tiene un sin número de características, por lo cual las hemos agrupado en dos
conjuntos; el primero está basado en las características genéricas y las especificas
mencionadas a continuación respectivamente.
12
Otra característica es su “enfoque hacia procesos”, mediante un modelo que
subdivide TI en procesos de acuerdo a cuatro áreas de responsabilidad (Planear,
Construir, Ejecutar y Monitorizar).
Pero, de todas las buenas características que presenta COBIT, la que más ha influido
en el éxito de COBIT es su “dualidad de orientación hacia el Negocio y hacía las TIC”,
estableciendo un puente de enlace entre ambos mundos y definiendo un lenguaje
común que ha permitido a los gestores entender el valor estratégico de las TIC y a los
responsables de los sistemas de la información, la importancia de conducir sus
acciones hacia el aporte del valor al negocio.
De esta manera podemos afirmar con total certeza que COBIT se aplica a los sistemas
de información de toda la empresa, incluyendo las mini computadoras, computadoras
personales y ambientes distribuidas. Está basado en la filosofía de que los
recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente
agrupados para proveer la información pertinente y confiable que requiere una
organización para lograr sus objetivos. En este sentido las características específicas
que buscamos describir acerca del COBIT son las siguientes:
13
BENEFICIOS:
a) Enfoque empresarial:
b) Ventajas:
ESTRUCTURA:
La estructura del modelo COBIT propone un marco de acción donde se evalúan los
criterios de información, como por ejemplo la seguridad y calidad, se auditan los
recursos que comprenden la tecnología de información, como por ejemplo el recurso
humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación
sobre los procesos involucrados en la organización.
Para hablar de los dominios del COBIT se tiene que resaltar primero los tres niveles de
los procesos de TI, los cuales bienes a ser:
15
DOMINIOS:
PLANIFICACION Y ORGANIZACIÓN
Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la
forma en que la tecnología de información puede contribuir de la mejor manera al
logro de los objetivos del negocio. Además, la consecución de la visión estratégica
necesita ser planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, deberán establecerse una organización y una infraestructura
tecnológica apropiadas.
¿Qué se realiza?
ADQUISION E IMPLANTACION
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas dentro del
proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.
¿Qué se realiza?
16
Instalación y aceptación de los sistemas
Administración de los cambios
SOPORTE Y SERVICIOS
En este dominio se hace referencia a la entrega de los servicios requeridos, que
abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por
seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán
establecerse los procesos de soporte necesarios. Este dominio incluye el
procesamiento de los datos por sistemas de aplicación, frecuentemente
clasificados como controles de aplicación.
¿Qué se realiza?
MONITOREO
Todos los procesos necesitan ser evaluados regularmente a través del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos de control.
¿Qué se realiza?
17
PRINCIPIOS:
Satisfacer las necesidades de las partes interesadas
Cubrir la información de forma integral
Aplicar un solo marco integrado
Habilitar un enfoque holístico
Separar el gobierno de la administración
REQUERIMIENTOS:
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para
dar soporte a los procesos de negocio y considerando a la información como el
resultado de la aplicación combinada de recursos relacionados con las TI que deben
ser administrados por procesos de TI.
EFECTIVIDAD EFICIENCIA
CONFIABILIDAD CUMPLIMIENTO
18
Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad.
CONFIDENCIALIDAD INTEGRIDAD
DISPONIBILIDAD
Accesibilidad a la información cuando sea requerida por los procesos del negocio y
la salvaguardia de los recursos y capacidades asociadas a la misma
DATOS APLICACIONES
TECNOLOGIA
INSTALACIONES
Incluye hardware y software básico,
Incluye los recursos necesarios para
sistemas operativos, sistemas de
alojar y dar soporte a los sistemas de
administración, de base de datos, de
información.
redes, telecomunicaciones, multimedia,
etc.
RECURSO HUMANO
19
NIVELES COBIT:
Se divide en 3 niveles, los cuales son los siguientes:
Dominios:
Agrupación natural de procesos, normalmente corresponden a un dominio o una
responsabilidad organizacional.
Procesos:
Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades:
Acciones requeridas para lograr un resultado medible.
COMPONENTES COBIT:
Resumen Ejecutivo:
Objetivos de Control:
20
PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información
PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI.
PO5 Administrar la inversión en TI.
PLANEAR Y
PO6 Comunicar las aspiraciones y la dirección de la gerencia.
ORGANIZAR
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.
PO11Administración de Calidad
21