CONTROL INTERNO EN TECNOLOGÍAS DE INFORMACIÓN - COBIT II

Transcripción

1 CONTROL INTERNO EN TECNOLOGÍAS DE INFORMACIÓN - COBIT II San Isidro, 10 Junio 2009 Elaborado: Oficina de Riesgos y Desarrollo

2 QUE ES COBIT? COBIT (Control Objectives for Information and Related Technology) es un compendio de Objetivos de Control para la Tecnología de Información que incluye herramientas que permiten a la administración cubrir la brecha entre los requerimientos de control, la tecnología y los riesgos de negocio. 2

3 EL MODELO DEL MARCO DE TRABAJO DE COBIT Administración, Control, Alineación y Monitoreo de Cobit. Aplicaciones OBJETIVOS DE NEGOCIO Drivers de Gobernabilidad Resultados de Negocio Información Infraestructura Gente Criterios de Información Recursos de TI El marco de trabajo COBIT, relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI. El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control de COBIT, y alineados y monitoreados usando las métricas KGI y KPI de COBIT Procesos de TI Procesos de TI Indicadores clave de Rendiemiento Objetivos de TI Indicadores clave de Objetivos Objetivos de Control de Alto Nivel 3

4 ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL Criterios de Información Dominio s Dominios Procesos os Personas Aplicaciones Infraestructura Información Actividades des 4

5 CONCEPTO BÁSICOS ISACA - 95 países miembros COBIT Investigación: E.U-Europa-Australia-Japón Representatividad Consolidación y armonización 18 estándares COSO (Committe Of Sponsoring Org. of the Treadway Commission) OECD (Organizarion for Economic Cooperation and Development) ISO 9003 (International Standars Organization) NIST (National Institute of Standars and Technology) DTI (Departament of Trade and Industry of the U.K ) ITSEC (Information Technology Security Evaluation Criteria - Europa) TCSEC (Trusted Computer Evaluación Criteria - Orange Book- E.U) IIA SAC (Institute of Internal Auditors - Systems Auditability and Control) IS Auditing Standars Japón 5

6 CONCEPTO BÁSICOS Para satisfacer los objetivos del negocio la información debe cumplir con criterios que COBIT extrae de los más reconocidos modelos: Requerimientos de calidad (ISO ) Calidad Costo Entrega Requerimientos de seguridad (libro rojo, naranja, ISO y otros) Disponibilidad Integridad Confidencialidad Requerimientos fiduciarios (informe COSO) Eficacia y eficiencia Confiabilidad de la información Cumplimiento con leyes y reglamentaciones 6

7 POR QUÉ COBIT? La Tecnología se ve como un costo, no hay una terminología común con el negocio, y se recorta el presupuesto en la seguridad, ya que la falta de difusion de normas y buenas prácticas que ayuden a generar conciencia de los riesgos mantiene la quimera del : A mi no me va pasar.. 7

8 POR QUÉ COBIT? Gobierno de Tecnología de Información El rol de la Dirección La Dirección, a través de su Gobierno Corporativo debe garantizar la debida diligencia por parte de todos los individuos involucrados en la administración, uso, diseño, desarrollo, mantenimiento u operación de los sistemas de información. 8

9 REGLA DE ORO DEL COBIT A fin, de proveer la información que la organización requiere para lograr sus objetivos, los recursos de IT deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y normalmente aceptada. 9

10 OBJETIVOS Y BENEFICIOS DE COBIT Proveer un marco único reconocido a nivel mundial de las mejores prácticas de control y seguridad de TI Consolidar y armonizar estándares originados en diferentes países desarrollados. Enlaza los objetivos y estrategias del negocio con la estructura de control de la TI, como factor crítico de éxito Aplica a todo tipo de organizaciones independiente de sus plataformas de TI Ratifica la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa 10

11 A QUIÉN ESTA DIRIGIDO EL COBIT? Las Gerencias y Oficinas para saber que deben exigir, como medir los resultados y cuales son sus responsabilidades en esos temas. Balancear el riesgo y la inversión en control de un ambiente a menudo impredecible. La Auditoría para sustentar sus opiniones sobre los riesgos y la adecuación de la tecnología a las mejores prácticas. Ser asesores proactivos del negocio 11

12 A QUIÉN ESTA DIRIGIDO EL COBIT? El Area usuaria para saber que puede pedir a tecnología y que se le va a exigir sobre el control de los procesos del negocio. Son los interesados en saber si los recursos de Tecnología de Información se utilizan adecuadamente y les ayudan a alcanzar sus objetivos El Jefe de Informática para definir un acuerdo de servicios y justificar su inversión 12

13 ORIENTACION DEL COBIT Su orientación hacia el negocio consiste en vincular objetivos de negocio con objetivos de TI, facilitar métricas y modelos de madurez para medir su éxito, e identificar las responsabilidades asociadas del negocio y los propietarios de los procesos de TI. Enfocado en el negocio, orientado a proceso, basado en controles y dirigido por medidas. 13

14 NECESIDAD DE RESPUESTA A LOS RETOS DE TI Los 7 retos: Qué no se interrumpa el servicio Qué aporte valor Administrar los costos Dominar la complejidad Alineación con el Negocio Cumplimiento de Regulaciones Seguridad. 14

15 BUEN GOBIERNO DE TI Principios, participantes, ámbito, ventajas Los 4 principios: Dirigir y controlar Con responsabilidad Con imputabilidad Mediante actividades (Procesos) 15

16 NECESIDAD DE RESPUESTA A LOS RETOS DE TI Principios, participantes, ámbito, ventajas Los participantes (grupo de interés): Internos Externos 16

17 BUEN GOBIERNO DE TI Principios, participantes, ámbito, ventajas Las 5 áreas: Alineación estratégica Aportación de Valor Gestión de Riesgos Gestión de Recursos Medidas de rendimiento 17

18 BUEN GOBIERNO DE TI Principios, participantes, ámbito, ventajas Las 5 ventajas: Confianza de la Alta Dirección TI es co-responsable al negocio Retorno de Inversión Superior Servicios más confiables Mayor transparencia 18

19 MARCO DE BUEN GOBIERNO Y DE TI Las 5 características de un buen marco: Enfocado al Negocio Orientado a Procesos Generalmente aceptado Utilice un lenguaje común Cumpla con los requisitos regulatorios 19

20 APLICABILIDAD EN LA CPMP ORIENTADO AL SCI Establecer Objetivos de Control a través de acciones, políticas y procedimientos, para alcanzar objetivos e intentar que incidentes no deseados sean prevenidos, detectados y corregidos sobre la tecnología de información. Es parte de la implementación del Sistema de Control Interno: Componente de Control gerencia 3.10 Tecnología de Información y comunicaciones Componente de Información y Comunicaciones. 20

21 MUCHAS GRACIAS