COBIT. Marco Referencial de Auditoría para la Gobernabilidad de T.I.

Transcripción

1 COBIT Marco Referencial de Auditoría para la Gobernabilidad de T.I. Guerrero Auditor de Tecnologías de la Información Saltar a la primera página Control objetives for information and related Technology (Objetivos de Control para la Información y la Tecnología Relacionada) Saltar a la primera página 1

2 Que es COBIT Tópicos: Justificación como Marco Referencial de Auditoría. Definiciones Previas Requisitos de Calidad, Fiduciarios y Otros Modelo COBIT (Dominios y Ejes Centrales) Análisis del Modelo por Dominios y comparaciones con el Marco Tradicional y Normas ISO. Características de los Ejes Centrales Plantilla de Procesos, tareas, procedimientos Evolución. Organización COBIT: Misión Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologías de la información con autoridad, actualizados, de carácter internacionaly aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores. Porque nace CoBIT? Un elemento crítico para el éxito y la supervivencia de las organizaciones es la administración efectiva de la información y la Tecnología de la información (TI) relacionada. Ello a implicado una creciente dependencia en información y en los sistemas que proporcionan o soportan dicha información; una creciente vulnerabilidad y un amplio espectro de amenazas; altos costos de inversiones en TI; y el considerable impacto que estas TI producen en las organizaciones creando además nuevas prácticas de negocios (WcS-ERP-BRP). Es por eso que para muchas organizaciones, la información y la tecnología que la soporta, representan los activos más valiosos de la empresa 2

3 Modelo COBIT: Que es CoBIT? Es un modelo de referencia que permite a la Audiencia (administradores, usuarios, auditores) reducir los espacios existentes entre los riesgos (rba) de negocio, las necesidades de control y los aspectos tecnológicos inherentes con el fin de lograr una adecuada gobernabilidad de los recursos de tecnologías de la información (COSO&CoBIT). En efecto CoBIT apoya la gobernabilidad de los recursos de T.I., mediante la comprensión y la administración de los riesgos asociados a las Tecnología de la Información a través de un Marco Referencial de dominios, procesos y tareas estructuradas en forma simple y lógica. Fundamentos COBIT: Fundamentos del CoBIT CoBIT ha sido desarrollado como un estándar generalmente aplicable y aceptado para las buenas prácticas de seguridad y control en Tecnologías de la Información. Se fundamenta en los "Objetivos de Control existentes de la Information Systems Audit and Control Foundation (ISACF)", mejorados a partir de estándares internacionales técnicos, profesionales, regulatorios y específicos para la industria, tanto existentes como en surgimiento. Las fuentes identificadas son: Estándares técnicos: ISAO, EDIFACT, etc Códigos de Conducta: Council of Europe, OEDC, ISACA, etc. Criterios de Calificación: ISAO9000SPICE, IickIT, etc. Estándares Profesionales: para control interno COSO, GAO, IFAC, IIA, ISACA, estándares CPA, etc Prácticas y requerimientos específicos de la Industria: Banca otros. COSO (Committee of Sponsoring Organisations of the Treadway Commission Internal Control-Integrated Framework) : Marco Referencial para la Administración de Controles Internos. (Modelo de Control de Negocios) 3

4 Definiciones previas de COBIT: Control: se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que los eventos no deseables serán prevenidos o detectados y corregidos. Objetivo de control de T.I.: Propósitos que se desea alcanzar implementando procedimientos de control en una actividad de T.I. particular. Requerimientos de Calidad: (calidad-costo- entrega de servicio) Este concepto no se refiere tan sólo a la confiabilidad, no fallas, aspectos subjetivos, o funcionamiento continuo etc; sino más bien se refiere a la prioridad que deberá asignarse al manejo de los riesgos al compararlos con las oportunidades. Es decir bajo un criterio de efectividad. Requerimientos Fiduciarios (Mandatarios, Obligatorios): Efectividad & Eficiencia de Operaciones, Confiabilidad de la Información, Cumplimiento de las Leyes & Regulaciones. (concepto basado del modelo COSO- información no sólo financiera) Requerimientos de Seguridad de la Información: Confidencialidad, Integridad, Disponibilidad. Que es COBIT: COBIT ha sido desarrollado como standares generalmente aplicacbles y aceptados para mejorar las prácticas de control y seguridad de las Tecnologías de Información (TI) que provean un marco de referencia para la Administración, Usuarios y Auditores. Básicamente consta de 4 libros, a saber: 1. Resumen Ejecutivo consiste de una Visión Ejecutiva, la cual provee a la Administración un entendimiento de los principios y conceptos claves de COBIT y el marco que provee a la Administración con más detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 en total. 2. Marco de Referencia El marco describe en detalle los 34 Objetivos de COntrol de TI a un nivel macro, e identifica los requerimientos del negocio para la información e impactos preliminares de recursos de TI para cada objetivo de control. Los objetivos de control contiene declaraciones de los resultados deseados o propósitos a ser alcanzados para la Implementación de 302 objetivos de control específicos a través de los 34 Procesos de TI. 4

5 Que es COBIT: 3. Guías de Auditoría Las Guías de Auditoría, las cuales contienen pasos de auditoría sugeridos correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a los auditores de sistemas de información en revisar los procesos de TI junto a los 302 detalles de objetivos de control para proveer seguridad a la administración y/o aconsejar sus mejoras. 4. Herramientas de Implementación Una Herramienta de Implementación, la cual contiene el Conocimiento de la Administración y Diagnóstico de Control de TI, una Guía de Implementación, FAQ, casos de estudio de organizaciones actualmente usando Cobit, y presentaciones que pueden ser usadas para introducir COBIT dentro de la organización. Esta nueva herramienta es diseñada para facilitar la Implementación de COBIT, relacionar sesiones aprendidas desde organizaciones que rápidamente y exitosamente aplicaron COBIT en sus ambientes de trabajo. Modelo Básico de Negocios-T.I. Procesos de Negocios: Requerimientos: E V E N T O S * Personas * Objetos Message Input DATOS SISTEMAS-APLICACAPLICAC TECNOLOGÍA INSTALACIONES PERSONAS Service Output I N F O R M A C I O N 5

6 Modelo COBIT: Procesos y T.I. Procesos de Negocios Eje Central Nº1 Información Requerimientos Efectividad Eficiencia Confidencialidad Integridad D isponibilidad Cumplimiento Confiabilidad CobiT Obj. de Control Recursos TI Eje Central Nº2 Dominio Nº4 Monitoreo Datos Aplicaciones Tecnología Instalaciones Personas Planeamiento & Organización Dominio Nº1 Distribución & Soporte Adquisición & Implementación Dominio Nº3 Dominio Nº2 Modelo COBIT: Dominios-Procesos M1 monitorear los procesos(de TI) M2 obtener una opinión independ. Dominio Nº4 Monitoreo Eje Central Nº2 Recursos TI Datos Aplicaciones Tecnología Instalaciones Personas PO1 definir un plan estratégico para T.I. PO2 definir la arquitectura de la información PO3 determinar la dirección tecnológica PO4 definir la organización de TI y relaciones PO5 gerenciar la inversión en TI PO6 comunicar los objetivos gerenciales y direcc. PO7 gerenciar los recursos humanos PO8 cumplimiento de requerimientos externos PO9 evaluar los riesgos PO10 gerenciar los proyectos PO11 gerenciar la calidad Planeamiento & Organización Dominio Nº1 Dominio Nº3 Distribución & Soporteº DS1 definir nivel de servicio DS2 gerenciar servicios externos DS3 administ performance y capacidad DS4 asegurar continuidad de servicio DS5 asegurar la seguridad de sistemas DS6 identificar y asignar costos DS7 educar y adiestrar a usuarios DS8 ayudar y aconsejar clientes de TI DS9 gerenciar la configuración(de sis.) DS10 manejar problemas e incidentes DS11 administrar los datos DS12 administrar las instalaciones DS13 administrar las operaciones Adquisición & Implementación Dominio Nº2 AI1 identificar soluciones automatizadas AI2 adquirir y mantener aplicaciones de software AI3 adquirir y mantener la infraestructura tecnolog. AI4 desarrollar y mantener procedimientos AI5 instalar y acreditar los sistemas AI6 gerenciar los cambios 6

7 Ciclo de la Información COBIT Genera Procesos de Negocios Cumplimiento Información Medio Recursos TI Requerimientos Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Datos Aplicaciones Tecnología Instalaciones Personas Como Abordar Cobit? La estructura del CobiT parte de una premisa simple y pragmática Los recursos T.I. necesitan ser administrados o manejados por un conjunto de procesos T.I. naturalmente agrupados para proveer la información que la organización necesita para lograr sus objetivos 7

8 Niveles de COBIT: Hay en esencia tres niveles, en donde debemos poner nuestros esfuerzos cuando consideramos el manejo de los recursos T.I. Dominios 34 Procesos Actividades (PC/PS) Visión Global de COBIT: Dominios-Procesos-Tareas GERENTE DE LA EMPRESA CRITERIOS DE INFORMACION CALIDAD FIDUCIARIO SEGURIDAD USUARIOS, EXPERTOS EN TI PROCESOS TI DOMINIOS PROCESOS ACTIVIDADES PERSONAS APLICACIONES TECNOLOGIA INSTALACIONES DATOS RECURSOS TI GERENTE DE TI 8

9 Proceso Global de Auditoría Un proceso T.I. es auditado, para: Obtener una comprensión de los requerimientos de negocios relativo a los riesgos e identificar las medidas de control Evaluar lo apropiado de los controles identificados Asegurar el cumplimiento al chequear si los controles identificados trabajan prescribiendo, consistentemente y continuamente en el tiempo Substantivar el riesgo de los objetivos de control no logrados (asignar valor al riesgo) Proceso de Auditoría para cada proceso IT OBTENER EL ENTENDIMIENTO RIESGOS RELACIONADOS CON LOS REQUERIMIENTOS DE NEGOCIOS Y LOS CONTROLES QUE LOS CUBREN OBJETIVOS DE CONTROL NO CUBIERTOS CUANTIFICACIÓN RIESGO CONTROLES EVALUACION DE LOS CONTROLES RECONOCER EL IMPACTO ASOCIADO AL OB. DE CON- TROL NO CUBIERTO OB.DE CONTROL CUBIERTOS ASEGURAR EL CUMPLIMIENTO GRADO EN QUE LOS OBJETIVOS DE CONTROL SON ALCANZADOS ASEGURAR QUE LOS CONTROLES ESTABLECIDOS ESTEN OPERANDO Y SON CONSISTENTES Y CONTINUOS GUIAS DE AUDITORIA 9

10 Ejes Centrales de COBIT Requerimientos de Negocios sobre la Información Efectividad Eficiencia Confiabilidad Confidencialidad Integridad Disponibilidad Cumplimiento Recursos Tecnológicos Datos Sistemas y Aplicaciones Tecnología Instalaciones Personas Ejes Centrales de COBIT La información que los procesos de negocio necesitan, es provista al utilizar recursos tecnológicos. En orden a asegurar que los requerimientos de negocios para la información sean cumplidos, adecuadas medidas de control necesitan ser definidas, implementadas y monitoreadas sobre esos recursos 10

11 Ejes Centrales de COBIT Este enfoque o marco de trabajo cubre todos los aspectos de la información y la tecnología que lo soporta. El cumplir con los 32 objetivos de Alto Nivel, les asegura a los dueños de los procesos de negocio la existencia de un adecuado Sistema de Control para el medio ambiente Tecnológico GUIAS DE AUDITORIA DEL CobiT El propósito de las guías de auditoría es proveer una estructura simple para auditar controles basado en prácticas generalmente aceptadas, que se complementan con el esquema CobiT Las guías, son genéricas y de alto nivel en su estructura. Habilitan al auditor para revisar procesos T.I. específicos, con el objeto de indicar a la administración donde los controles son insuficientes o donde los procesos necesitan ser mejorados 11

12 (CONTINUACION...) Se proponen guías de Auditoría, para cada uno de los procesos T.I., basados en la estructura de un proceso genérico de auditoría, en sus objetivos y en los requerimientos CobiT orientación a Objetivos de Negocios focalización sobre los recursos que necesitan ser manejadas consideraciones de los requerimientos sobre la información (CONTINUACIÓN...) Las guías del CobiT para cada uno de los procesos T.I., se desarrollan en fases, las cuales son: Fase de Identificación/Documentación Fase de Evaluación Fase de Testeo de Cumplimiento Fase de Testeo Substantivo (Valorar Riesgo) 12

13 EJEMPLO 1 Dominio:1 Proceso P09 Planificación Y Organización Dominio P07 Garantizar Cumplimiento con Requisitos Externos P09 Evaluar Riesgos P10 Administrar Proyectos Evaluar Riesgos Negocios Métodos Evaluación Riesgos Identificación De Riesgos Métricas De Riesgos Plan de Acción de Riesgos EJEMPLO 2 Dominio: 3 Proceso: DS8 SERVICIO Y SOPORTE DS8 Asistencia y Asesoria a Clientes Helpdesk Registro de Preguntas Escalamiento de Problemas Monitoreo de Atenc. a Clientes Análisis y Reporte de Tenden. 13

14 EJEMPLO Dominio: 3 Proceso: DS8 Obtener el Entendimiento: Entrevistando Administrador de la función Helpdesk Selección de Usuarios de Servicios de Información Obteniendo Políticas y Procedimientos relacionados con los Servicios de Información de soporte al Cliente Reportes relativos a consultas de usuarios, resolución de consultas y estadísticas de la performance del help desk Evaluar los Controles por: Análisis de Naturaleza de la función help desk es efectiva Nivel de la documentación para las actividades de help desk es adecuado Existen procesos para registrar incidentes del servicio y es usado correctamente etc. EJEMPLO (Continuación...) Asegurar el cumplimiento por: Testeo de Políticas y Procedimientos relacionados con el Help Desk están siendo aplicados Atención de consultas se está ejecutando de una manera oportuna Para una muestra de peticiones de ayuda: confirmación de la exactitud, oprtunidad, y suficiencia de las respuestas Sustantivar el Riesgo por: Realizando Entrevistas a usuarios seleccionados para conocer el grado de satisfacción sobre actividades del help desk y reportes de actividadesidades Revisar la competencia y capacidad del personal del help desk Revisar una selección de escalamiento de preguntas y evaluar sus respuestas Identificando Interacción inadecuada para las actividades del help desk respecto a otras funciones dentro de los serv. de información Procedimientos y actividades insuficientes en relación a recepción de preguntas, registro, escalamiento y resolución Procesos de escalación deficientes Usuarios insatisfechos con el proceso de reporte de problemas y su oportunidad en la resolución 14

15 Evolución del COBIT CobiT I UN MARCO DEFINICION DE: - OBJETIVOS DE CONTROL - GUIAS DE AUDITORIA CobiT II - GUIAS DE AUTOEVALUACION - ACTUALIZAR E INVESTIGAR NUEVAS FUENTES CobiT III - GUIAS DE CONTROL - ADICIONES A OBJETIVOS DE CONTROL - INDICADORES DE ACTUACION Conclusiones CobiT representa un gran avance hacia la estructuración del control de las Tecnologías de la Información Aumento en la Eficiencia y cobertura de las auditorias Uso de herramientas y estándares reconocidos como buenas prácticas de Auditoría Estandarización del trabajo del Auditor 15

16 Conclusiones-2 Base de controles Entorno de Seguridad y Control común Estandarización y metodologización en los procesos T.I. Mejoras en relación Auditoría - Informática Necesidad de extender su uso más alla de la auditoría Preguntas 16