Documente Academic
Documente Profesional
Documente Cultură
Eduardo Leyton
COBIT
Saltar a la primera
pgina
w.eduardoleyton.com
Saltar a la primera
pgina
Auditora de T.I.
Eduardo Leyton
Tpicos:
Que es COBIT
Definiciones Previas
Plantilla de
www.eduardoleyton.com
Organizacin COBIT:
Misin
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control
en tecnologas de la informacin con autoridad, actualizados, de carcter
internacionaly aceptados generalmente para el uso cotidiano de gerentes de
empresas y auditores.
Porque nace CoBIT ?
Un elemento crtico para el xito y la supervivencia de las organizaciones es la
administracin efectiva de la informacin y la Tecnologa de la informacin
(TI) relacionada. Ello a implicado una creciente dependencia en informacin y
en los sistemas que proporcionan o soportan dicha informacin; una creciente
vulnerabilidad y un amplio espectro de amenazas; altos costos de inversiones
en TI; y el considerable impacto que estas TI producen en las organizaciones
creando adems nuevas prcticas de negocios (WcS-ERP-BRP). Es por eso que
para muchas organizaciones, la informacin y la tecnologa que la soporta,
representan los activos ms valiosos de la empresa
www.eduardoleyton.com
w.eduardoleyton.com
Auditora de T.I.
Eduardo Leyton Modelo COBIT:
Que es CoBIT ?
Es un modelo de referencia que permite a la Audiencia (administradores,
usuarios, auditores) reducir los espacios existentes entre los riesgos (rba)
de negocio, las necesidades de control y los aspectos tecnolgicos
inherentes con el fin de lograr una adecuada gobernabilidad de los
recursos de tecnologas de la informacin (COSO&CoBIT).
En efecto CoBIT apoya la gobernabilidad de los recursos de T.I.,
mediante la comprensin y la administracin de los riesgos asociados a
las Tecnologa de la Informacin a travs de un Marco Referencial de
dominios, procesos y tareas estructuradas en forma simple y lgica.
www.eduardoleyton.com
Fundamentos COBIT:
Fundamentos del CoBIT
CoBIT ha sido desarrollado como un estndar generalmente aplicable y
aceptado para las buenas prcticas de seguridad y control en Tecnologas de la
Informacin. Se fundamenta en los "Objetivos de Control existentes de la
Information Systems Audit and Control Foundation (ISACF)", mejorados a
partir de estndares internacionales tcnicos, profesionales, regulatorios y
especficos para la industria, tanto existentes como en surgimiento.
Las fuentes identificadas son:
Estndares tcnicos: ISAO, EDIFACT, etc
Cdigos de Conducta: Council of Europe, OEDC, ISACA, etc.
Criterios de Calificacin: ISAO9000SPICE, IickIT, etc.
Estndares Profesionales: para control interno COSO, GAO, IFAC, IIA, ISACA, estndares CPA,
etc
Prcticas y requerimientos especficos de la Industria: Banca otros. COSO (Committee of
Sponsoring Organisations of the Treadway Commission Internal Control-Integrated Framework):
Marco Referencial para la Administracin de Controles Internos. (Modelo de Control de
Negocios)
www.eduardoleyton.com
w.eduardoleyton.com
Auditora de T.I.
Eduardo Leyton Definiciones previas de COBIT:
Que es COBIT:
COBIT ha sido desarrollado como standares generalmente aplicacbles y aceptados
para mejorar las prcticas de control y seguridad de las Tecnologas de Informacin (TI)
que provean un marco de referencia para la Administracin, Usuarios y Auditores.
Bsicamente consta de4libros, a saber:
1. Resumen Ejecutivo consiste de una Visin Ejecutiva, la cual provee a la Administracin
un entendimiento de los principios y conceptos claves de COBIT y el marco que provee a
la Administracin con ms detalle y entendimiento de COBIT y define cuatro dominios
con sus correspondientes procesos de TI, 34 en total.
2. Marco de Referencia El marco describe en detalle los 34 Objetivos de COntrol de TI a
un nivel macro, e identifica los requerimientos del negocio para la informacin e impactos
preliminares de recursos de TI para cada objetivo de control. Los objetivos de control
contiene declaraciones de los resultados deseados o propsitos a ser alcanzados para la
Implementacin de 302 objetivos de control especficos a travs de los 34 Procesos de TI.
www.eduardoleyton.com
w.eduardoleyton.com
Auditora de T.I.
Eduardo Leyton Que es COBIT:
3. Guas de Auditora Las Guas de Auditora, las cuales contienen pasos de auditora
sugeridos correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a
los auditores de sistemas de informacin en revisar los procesos de TI junto a los 302
detalles de objetivos de control para proveer seguridad a la administracin y/o aconsejar sus
mejoras.
www.eduardoleyton.com
Requerimientos:
DATOS
E
V
E
N
T
O
S
* Personas
* Objetos
SISTEMAS-APLICAC
TECNOLOGA
INSTALACIONES
Message
Input
PERSONAS
Service
Output
I
N
F
O
R
M
A
C
I
O
N
www.eduardoleyton.com
w.eduardoleyton.com
Auditora de T.I.
Eduardo Leyton Modelo COBIT: Procesos y T.I.
Procesos de
Negocios
Eje Central N1
Informacin
Requerimientos
Efectividad
Eficiencia
Confidencialidad
Integridad
D isponibilidad
Cumplimiento
Confiabilidad
CobiT
Recursos TI
Eje Central N2
Datos
Aplicaciones
Tecnologa
Instalaciones
Personas
Dominio N4
Obj. de Control
Planeamiento &
Organizacin
Monitoreo
Dominio N1
Adquisicin &
Implementacin
Distribucin &
Soporte
Dominio N3
Dominio N2
www.eduardoleyton.com
M1
M2
Dominio N4
Monitoreo
Dominio N1
Dominio N3
Distribucin &
Soporte
DS1 definir nivel de servicio
DS2 gerenciar servicios externos
DS3 administ performance y capacidad
DS4 asegurar continuidad de servicio
DS5 asegurar la seguridad de sistemas
DS6 identificar y asignar costos
DS7 educar y adiestrar a usuarios
DS8 ayudar y aconsejar clientes de TI
DS9 gerenciar la configuracin(de sis.)
DS10 manejar problemas e incidentes
DS11 administrar los datos DS12
administrar las instalaciones DS13
administrar las operaciones
Adquisicin &
Implementacin
Dominio N2
www.eduardoleyton.com
w.eduardoleyton.com
Auditora de T.I.
Eduardo Leyton Ciclo de la Informacin COBIT
Genera
Procesos de
Negocios
Informacin
Medio
Recursos TI
Cumplimiento
Requerimientos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Datos
Aplicaciones
Tecnologa
Instalaciones
Personas
www.eduardoleyton.com
www.eduardoleyton.com
w.eduardoleyton.com
Auditora de T.I.
Eduardo Leyton
Niveles de COBIT:
34 Procesos
Actividades
(PC/PS)
www.eduardoleyton.com
CRITERIOS DE INFORMACION
DOMINIOS
PROCESOS
ACTIVIDADES
www.eduardoleyton.com
w.eduardoleyton.com
Auditora de T.I.
Eduardo
Leyton
Proceso Global de
Auditora
Un proceso T.I. es auditado, para:
www.eduardoleyton.com
Proceso de Auditora
para cada proceso IT
RIESGOS RELACIONADOS CON LOS
OBTENER
EL ENTENDIMIENTO REQUERIMIENTOS DE NEGOCIOS Y LOS
CONTROLES QUE LOS CUBREN
CONTROLES
EVALUACION DE
LOS CONTROLES
OBJETIVOS DE
CONTROL NO
CUBIERTOS
CUANTIFICACIN
RIESGO
GUIAS DE AUDITORIA
www.eduardoleyton.com
w.eduardoleyton.com
Auditora de T.I.
Eduardo Leyton
Disponibilidad
Eficiencia
Integridad
Cumplimiento
Confiabilidad
Recursos Tecnolgicos
Datos
Sistemas y Aplicaciones
Tecnologa
Instalaciones
Personas
www.eduardoleyton.com
www.eduardoleyton.com
w.eduardoleyton.com
10
Auditora de T.I.
Eduardo Leyton Ejes
Centrales de COBIT
www.eduardoleyton.com
www.eduardoleyton.com
w.eduardoleyton.com
11
Auditora de T.I.
Eduardo
Leyton
(CONTINUACION ....)
Se proponen guas de Auditora, para cada
uno de los procesos T.I., basados en la
estructura de un proceso genrico de
auditora, en sus objetivos y en los
requerimientos CobiT
www.eduardoleyton.com
(CONTINUACIN...)
Las guas del CobiT para cada uno
de los procesos T.I., se
desarrollan en fases, las cuales
son:
Fase de Identificacin/Documentacin
Fase de Evaluacin
www.eduardoleyton.com
w.eduardoleyton.com
12
Auditora de T.I.
Eduardo Leyton
P09
Planificacin
Y
Organizacin
P07
Garantizar
Cumplimiento con
Requisitos Externos
Evaluar
Riesgos
Negocios
P09
Evaluar Riesgos
Mtodos
Evaluacin
Riesgos
Identificacin
De Riesgos
Dominio
P10
Administrar
Proyectos
Mtricas
De Riesgos
Plan de
Accin de
Riesgos
Monitoreo
de Atenc. a
Clientes
Anlisis y
Reporte de
Tenden.
www.eduardoleyton.com
DS8
Asistencia y
Asesoria a Clientes
Helpdesk
Registro de
Preguntas
Escalamiento
de Problemas
www.eduardoleyton.com
w.eduardoleyton.com
13
Auditora de T.I.
Eduardo Leyton
DS8
Obtener el Entendimiento:
Entrevistando
Administrador de la funcin Helpdesk
Seleccin de Usuarios de Servicios de Informacin
Obteniendo
EJEMPLO (Continuacin...)
Asegurar el cumplimiento por:
Testeo de
Polticas y Procedimientos relacionados con el Help Desk estn siendo
aplicados
Atencin de consultas se est ejecutando de una manera oportuna Para una
muestra de peticiones de ayuda: confirmacin de la exactitud, oprtunidad, y
suficiencia de las respuestas
Identificando
Interaccin inadecuada para las actividades del help desk respecto a otras
funciones dentro de los serv. de informacin
Procedimientos y actividades insuficientes en relacin a recepcin de
preguntas, registro, escalamiento y resolucin
Procesos de escalacin deficientes
Usuarios insatisfechos con el proceso de reporte de problemas y su
oportunidad en la resolucin
www.eduardoleyton.com
w.eduardoleyton.com
14
Auditora de T.I.
Eduardo Leyton
CobiT I
UN MARCO DEFINICION DE:
- OBJETIVOS DE CONTROL
- GUIAS DE AUDITORIA
CobiT II
- GUIAS DE AUTOEVALUACION ACTUALIZAR E INVESTIGAR
NUEVAS FUENTES
CobiT III
- GUIAS DE CONTROL ADICIONES A OBJETIVOS
DE CONTROL
-IINDICADORES DE
ACTUACION
www.eduardoleyton.com
Conclusiones
Uso
de
herramientas
y
estndares
reconocidos como buenas prcticas de
Auditora
Estandarizacin del trabajo del Auditor
www.eduardoleyton.com
w.eduardoleyton.com
15
Auditora de T.I.
Eduardo Leyton
Conclusiones-2
Base de controles
www.eduardoleyton.com
Preguntas
www.eduardoleyton.com
w.eduardoleyton.com
16