M. Sc. Miguel Cotaña Mier

Transcripción

1 UNIVERSIDAD MAYOR DE SAN ANDRES FACULTAD DE CIENCIAS PURAS Y NATURALES CARRERA DE INFORMÁTICA AUDITORIA INFORMÁTICA M. Sc. Miguel Cotaña Mier MAYO 2015 LA PAZ - BOLIVIA 1

2 Estándar de Controles y Auditoría de Tecnología Informática Un largo camino 2

3 Misión: Para investigar, desarrollar, publicar y promover un conjunto actualizado e internacional de objetivos de control de Tecnología de la Información generalmente aceptado, para su uso diario por los administradores del negocio y los auditores. Information Systems Audit and Control Association (ISACA TM ) Information Systems Audit and Control Foundation (ISACF TM )

4 Es el resultado de uno de los mayores proyectos de investigacion completado y publicado por la Organización Mundial de Auditores de Sistemas de Informacion (ISACF). Es aplicable a un amplio rango de SI que van desde el nivel de PC, Mainframes e instalaciones Cliente-Servidor. 4

5 Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)

6 Evolución del Alcance COBIT: Gobierno de TI de las Empresas (GEIT) Gobierno Corporativo de TI Gobierno de TI Administración Val IT 2.0 (2008) Control Auditoría Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT / Un Marco Empresarial de ISACA, en Source: COBIT 5 Introduction Presentation 2012 ISACA All rights reserved

7 Qué es Cobit? COBIT es un marco de gobierno de las tecnologías de información que proporciona una serie de herramientas para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio COBIT permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio Información disponible en: 7

8 Compendio de mejores prácticas aceptadas internacionalmente Orientado al gerenciamiento de las tecnologías Complementado con herramientas y capacitación Gratuito Respaldado por una comunidad de expertos En evolución permanente Mantenido por una organización sin fines de lucro, con reconocimiento internacional Mapeado con otros estándares Orientado a Procesos, sobre la base de Dominios de Responsabilidad 8

9 Para cada uno de los 34 procesos, se definen 9

10 Productos de la familia COBIT 10

11 El marco de referencia COBIT Fusiona las expectativas con las responsabilidades de la dirección de TI La necesidad de control de TI * Directivos * Usuarios * Auditores 11

12 12

13 Los usuarios necesitan COBIT para Obtener confianza sobre la seguridad y controles de Productos y servicios proporcionados por personal interno y terceros Los auditores de SI necesitan COBIT para Sustentar opiniones a la dirección sobre controles internos Contestar a la pregunta: Qué mínimos controles son necesarios? 13

14 Cobit, brinda buenas práctica a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de Cobit representan el consenso de los expertos. Están enfocados fuertemente en el control y menos en la ejecución 14

15 Gobierno de TI IT Governance. Es un término que representa el sistema que establece la alta gerencia para asegurar el logro de los objetivos de una organización. 15

16 Cobit como soporte TI está alineado con el negocio TI capacita el negocio y maximiza los beneficios Los recursos de TI se usen de manera responsable Los riesgos de TI se administren apropiadamente 16

17

18 Áreas de enfoque del Gobierno de TI Gobierno de TI Administración de Recursos Alineamiento estratégico: Su enfoque está dirigido a la relación entre el Negocio y el Plan de TI; a la propuesta de valor que debe entregar su definición, a la mantención y validación. Valor Agregado: Es el ciclo que permite asegurar la entrega del valor propuesto, asegurando que la TI proporcionará los beneficios prometidos en la estrategia Administración de Recursos: Se trata de invertir en forma óptima y apropiada, la administración de los recursos críticos en TI: Aplicaciones, Información, Infraestructura y las Personas.

19 Áreas de enfoque del Gobierno de TI Gobierno de TI Administración de Recursos Administración del Riesgo: El administrador debe tener conciencia del riesgo empresarial, un claro entendimiento del apetito de la empresa por el riesgo, transparencia sobre el significado de los riesgos empresariales, y que debe incorporar la responsabilidad de los riesgos empresariales en la administración de la organización. Medición de Resultados: rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos.

20 Productos Los productos se han organizado en tres niveles (figura 3) diseñados para dar soporte a: Administración y consejos ejecutivos Administración del negocio y de TI Profesionales en gobierno, aseguramiento, control y seguridad 20

21

22

23 Cobit, permite el desarrollo de políticas claras y de buenas prácticas para el control de TI a través de las organizaciones. Cobit, es un integrador de las mejores prácticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos. 23

24 Marco de control Se basa en el principio de proporcionar la información que la empresa requiere para lograr sus objetivos, la empresa necesita administrar y controlar los recursos de TI, usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información. 24

25 Por qué: La alta gerencia se da cuenta del impacto significativo que la información puede tener en el éxito de una empresa: Garantizar el logro de objetivos? Administrar los riesgos? Crear relaciones y comunicaciones constructivas? Identificar los recursos?. 25

26 Quién: Un marco de control requiere dar respuestas en muchos niveles: Interesados dentro de la empresa que tengan un interés en generar valor de las inversiones en TI; Interesados que proporcionan servicios de TI; Interesados con responsabilidades de control/riesgo. 26

27 Qué: debe satisfacer: Alineación entre los objetivos de negocio y de TI; Proporcionar un lenguaje común; Orientación a procesos para definir el alcance y el grado de cobertura; Consistente con las mejores prácticas y estándares de TI aceptados. 27

28 Principio básico de Cobit Que responde a REQUERIMIENTOS DE NEGOCIO Maneja la investigación en INFORMACION DE LA EMPRESA COBIT RECURSOS DE TI Para entregar? PROCESOS DE TI Que es utilizado por 28

29

30

31

32 Controles Los procesos requieren controles. Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos del negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos. 32

33 Objetivo de Control Es una declaración del resultado o fin que se desea lograr al implantar procedimientos de control en una actividad de TI en particular. Los objetivos de control de Cobit son los requerimientos mínimos para un control efectivo de cada proceso de TI. 33

34

35 IMCM Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de TI y decidir qué nivel de administración y control debe proporcionar la empresa. Qué se debe medir y cómo? 35

36 Una organización debe crear un modelo de proceso que se ajuste a las directrices establecidas por la integración del modelo de capacidad de madurez (IMCM) 36

37

38

39

40

41 Las metas se definen de arriba hacia abajo con base en las metas de negocio que determinarán el número de metas que soportará TI, las metas de TI decidirán las diferentes necesidades de las metas de proceso, y cada meta, establecerá las metas de las actividades. 41

42 Procesos de TIC - Los Tres Niveles Dominios Procesos Agrupación Natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional Conjuntos o series de actividades unidas con delimitación o cortes de control. Actividades o tareas Acciones requeridas para lograr un resultado medible. Las Actividades Tienen un ciclo de vida mientras que las tareas son discretas. 42

43 El marco de trabajo se creó para satisfacer las necesidades de gobernabilidad de TI. Está orientado a: Negocios Procesos Basado en controles Impulsado por mediciones 43

44 Orientado al negocio Está diseñado para ser utilizado no solo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los propietarios de los procesos de negocio. 44

45 Procesos orientados Cobit define las actividades de TI en un modelo genérico de procesos en 4 dominios: Planear y Organizar Adquirir e Implementar Entregar y dar Soporte Monitorear y Evaluar 45

46 Planear y Organizar (PO) Cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. Están alineadas las estrategias de TI y del negocio? 46

47 La empresa está alcanzando un uso óptimo de los recursos? Entienden todas las personas, los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio? 47

48 Adquirir e Implementar (AI) Las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e integración en los procesos. Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? 48

49 Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? Los cambios afectarán las operaciones actuales del negocio? 49

50 Entregar y dar Soporte (DS) Cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos. Se están entregando los servicios de TI de acuerdo a prioridades? 50

51 Están optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad? 51

52 Monitorear y Evaluar (ME) Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Abarca la administración del desempeño, el monitoreo del control interno, cumplimiento regulatorio. Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? 52

53 La gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño? 53

54 Modelo de Marco de Trabajo Relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI. El modelo de procesos Cobit permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control. 54

55 55

56 Los recursos de TI son manejados por procesos de TI para lograr las metas de TI que respondan a los requerimientos del negocio. Este es el principio básico del marco de trabajo Cobit 56

57 Figura 15 El Cubo Cobit REQUERIMIENTOS DE NEGOCIO Eficacia Eficiencia Integridad Confidencialid ad Disponibilidad Conformidad Seguridad PROCESOS DE TI DOMINIOS PROCESOS ACTIVIDADES APLICACIONES INFORMACION INFRAESTRUCTURA PERSONAS RECURSOS DE TI 57

58 En detalle, el marco de trabajo general Cobit se muestra en el siguiente gráfico, con el modelo de procesos de Cobit compuesto de 4 dominios que contienen 34 procesos genéricos, administrando los recursos de TI para proporcionar información al negocio de acuerdo con los requerimientos del negocio y del gobierno. 58

59 ME1 Monitorear y evaluar el desempeño ME2 Monitorear y evaluar el control Interno ME3 Garantizar cumplimiimiento regulatorio ME4 Proporcionar gobierno de TI Objetivos del Negocio Objetivos del gobierno CobiT PO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de información PO3 Determinar la dirección tecnológica PO4 Definir procesos, organización y relac. PO5 Administrar la inversión en TI PO6 Comunicar aspiraciones y la direc.ger. PO7 Administración del Recurso Humano PO8 Administrar calidad PO9 Evaluar y administrar Riesgos PO10 Administración de Proyectos Monitorear Y evaluar Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad Planear y Organizar DS1 Definir y administrar niveles de servicio DS2 Administrar servicios de terceros DS3 Adm. Desempeño y capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de serv. e incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administración de datos DS12 Administrar el ambiente físico DS13 Administrar las Operaciones Recursos de TI Aplicaciones Información, Infraestructura,Personas Servicios y Soporte Adquirir e Implantar AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener el Sw aplicativo AI3 Adquirir y mantener la infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios 59 AI7 Instalar y acreditar soluciones y cambios

60 Requerimientos de Información del Negocio Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica) Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa. 60

61 Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa. Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo. 61

62 Recursos de TIC Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Información: Todos los objetos de información. Considera información interna y externa, estructurada o nó, gráficas, sonidos, etc. Infraestructura:Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Personas: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información. 62

63 Procesos de TIC - Procesos Adquirir e Implantar Planear y Organizar PO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de información PO3 Determinar la dirección tecnológica PO4 Definir procesos, organización y relac. PO5 Administrar la inversión en TI PO6 Comunicar aspiraciones y la direc.ger. PO7 Administración del Recurso Humano PO8 Administrar calidad PO9 Evaluar y administrar Riesgos PO10 Administración de Proyectos AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener el Sw aplicativo AI3 Adquirir y mantener la infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios 63

64 Servicios y Soporte Monitorear y Evaluar Procesos de TIC - Procesos DS1 Definir y administrar niveles de servicio DS2 Administrar servicios de terceros DS3 Adm. Desempeño y capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de serv. e incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administración de datos DS12 Administrar el ambiente físico DS13 Administrar las Operaciones ME1 Monitorear y evaluar el desempeño ME2 Monitorear y evaluar el control Interno ME3 Garantizar cumplimimiento regulatorio ME4 Proporcionar gobierno de TI 64

65 Nivel de aceptabilidad Cobit se basa en el análisis y armonización de estándares y mejores práctica de TI existentes y se adapta a principios de gobierno generalmente aceptados. 65

66 Está posicionado a un nivel alto, impulsado por los requerimientos del negocio, cubre el rango completo de actividades de TI, y se concentra en lo que se debe lograr en lugar de cómo lograr un gobierno, administración y control efectivos. 66

67 Funciona como un integrador de prácticas de gobierno de TI y es de interés para la dirección ejecutiva; para la gerencia del negocio; para la gerencia y gobierno de TI; para los profesionales de aseguramiento y seguridad; así como para los profesionales de auditoria y control de TI. 67

68 Planear y Organizar Modelo de Navegación CobiT Adquirir e Implantar Control sobre el Proceso de TI Nombre del Proceso Que satisface el requerimiento de negocios de TI para Resumen de las metas de negocio más importantes Entrega y Soporte Monitoreo y Evaluar Focalizándose en Resumen de las metas de TI más importantes Es conseguido por Control claves Gobierno de TI Y medido por Indicadores claves (Métrica) Administración de Recursos P=Primario; S=Secundario