GABINETE DE AUDITORIA DE SISTEMAS

Transcripción

1 UNIVERSIDAD MAYOR DE SAN ANDRES FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS CARRERA DE CONTADURÍA PÚBLICA GABINETE DE AUDITORIA DE SISTEMAS un largo camino... M. Sc. Miguel Cotaña Mier Lp, octubre

2 ISACA ISACA (Asociación de Auditoria y Control a Sistemas de Información) ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de carrera innovadores y de primera clase. Establecida en 1969, ISACA es una asociación global sin ánimo de lucro de profesionales en 180 países. 2

3 ISACA también ofrece Cybersecurity Nexus TM (CSX), un recurso integral y global en ciberseguridad, y COBIT, un marco de negocio para gobernar la tecnología de la empresa. ISACA adicionalmente promueve el avance y certificación de habilidades y conocimientos críticos para el negocio: Certified Information Systems Auditor (CISA ); Certified Information Security Manager (CISM ); Certified in the Governance of Enterprise IT (CGEIT ); Certified in Risk and Information Systems Control 3 (CRISC ).

4 Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)

5 COBIT, ITIL e ISO son normativas valiosas para el crecimiento y éxito de una organización: Los directivos empresariales y los consejos de administración exigen mejores beneficios de las inversiones en TI; Las mejores prácticas ayudan a cumplir los requisitos reglamentarios de los controles de las TI en áreas como la confidencialidad y la preparación de informes financieros; Las organizaciones se enfrentan a riesgos relacionados con las TI, tales como la 5 seguridad;

6 Las mejores prácticas ayudan a las organizaciones a evaluar su rendimiento en comparación con normas aceptadas generalmente y por sus compañeros; Utilizando COBIT como un marco de control general para la gestión de las TI, e ITIL e ISO proporcionan procesos normalizados pormenorizados; Los 34 procesos de TI de COBIT y los objetivos de control de alto nivel se mapean en secciones de ITIL y de ISO

7 Misión: Para investigar, desarrollar, publicar y promover un conjunto actualizado e internacional de objetivos de control de Tecnología de la Información generalmente aceptado, para su uso diario por los administradores del negocio y los auditores. Information Systems Audit and Control Association (ISACA TM ) Information Systems Audit and Control Foundation (ISACF TM )

8 Evolución del Alcance COBIT: Gobierno de TI en las empresas Gobierno Corporativo de TI Gobierno de TI Administración Val IT 2.0 (2008) Control Auditoría Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT / Un Marco Empresarial de ISACA, en Source: COBIT 5 Introduction Presentation 2012 ISACA All rights reserved

9 Qué es Cobit? COBIT es un marco de gobierno de las TI que proporciona una serie de herramientas para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio; COBIT permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización; COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio; Información disponible en: 9

10 Compendio de mejores prácticas aceptadas internacionalmente; Orientado al gerenciamiento de las tecnologías; Complementado con herramientas y capacitación; Gratuito; Respaldado por una comunidad de expertos; En evolución permanente; Mantenido por una organización sin fines de lucro, con reconocimiento internacional; Mapeado con otros estándares; Orientado a Procesos, sobre la base de Dominios de Responsabilidad. 10

11 Para cada uno de los 34 procesos, se definen 11

12 Productos de la familia COBIT 12

13 Cobit, brinda buenas práctica a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de Cobit representan el consenso de los expertos. Están enfocados fuertemente en el control y menos en la ejecución 13

14 Gobierno de TI IT Governance. Es un término que representa el sistema que establece la alta gerencia para asegurar el logro de los objetivos de una organización. 14

15 Cobit como soporte TI está alineado con el negocio TI capacita el negocio y maximiza los beneficios Los recursos de TI se usen de manera responsable Los riesgos de TI se administren apropiadamente 15

16

17 Áreas de enfoque Gobierno de TI Gobierno de TI Administración de Recursos Alineamiento estratégico: Su enfoque está dirigido a la relación entre el Negocio y el Plan de TI; a la propuesta de valor que debe entregar su definición, a la mantención y validación. Valor Agregado: Es el ciclo que permite asegurar la entrega del valor propuesto, asegurando que la TI proporcionará los beneficios prometidos en la estrategia Administración de Recursos: Se trata de invertir en forma óptima y apropiada, la administración de los recursos críticos en TI: Aplicaciones, Información, Infraestructura y las Personas.

18 Áreas de enfoque del Gobierno de TI Gobierno de TI Administración de Recursos Administración del Riesgo: El administrador debe tener conciencia del riesgo empresarial, un claro entendimiento del apetito de la empresa por el riesgo, transparencia sobre el significado de los riesgos empresariales, y que debe incorporar la responsabilidad de los riesgos empresariales en la administración de la organización. Medición de Resultados: rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos.

19 Productos Los productos se han organizado en tres niveles (figura 3) diseñados para dar soporte a: Administración y consejos ejecutivos Administración del negocio y de TI Profesionales en gobierno, aseguramiento, control y seguridad 19

20

21

22 Cobit, permite el desarrollo de políticas claras y de buenas prácticas para el control de TI a través de las organizaciones. Cobit, es un integrador de las mejores prácticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos. 22

23 NECESIDAD DE MARCO DE REFERENCIA Un marco de control para el Gobierno TI define las razones de por qué se necesita el Gobierno de TI, los interesados y que se necesita cumplir en el gobierno de TI. El marco de referencia COBIT Fusiona las expectativas con las responsabilidades de la dirección de TI La necesidad de control de TI * Directivos * Usuarios * Auditores 23

24 Los usuarios necesitan COBIT para Obtener confianza sobre la seguridad y controles de productos y servicios proporcionados por personal interno y terceros 24

25 Los auditores de SI necesitan COBIT para Sustentar opiniones a la dirección sobre controles internos Contestar a la pregunta: Qué mínimos controles son necesarios? 25

26 Marco de control Se basa en el principio de proporcionar la información que la empresa requiere para lograr sus objetivos, la empresa necesita administrar y controlar los recursos de TI, usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información. 26

27 Por qué: La alta gerencia se da cuenta del impacto significativo que la información puede tener en el éxito de una empresa: Garantizar el logro de objetivos? Administrar los riesgos? Crear relaciones y comunicaciones constructivas? Identificar los recursos?. 27

28 Quién: Un marco de control requiere dar respuestas en muchos niveles: Interesados dentro de la empresa que tengan un interés en generar valor de las inversiones en TI; Interesados que proporcionan servicios de TI; Interesados con responsabilidades de control/riesgo. 28

29 Qué: debe satisfacer: Alineación entre los objetivos de negocio y de TI; Proporcionar un lenguaje común; Orientación a procesos para definir el alcance y el grado de cobertura; Consistente con las mejores prácticas y estándares de TI aceptados. 29

30 Principio básico de Cobit Que responde a REQUERIMIENTOS DE NEGOCIO Maneja la investigación en INFORMACION DE LA EMPRESA COBIT RECURSOS DE TI Para entregar? PROCESOS DE TI Que es utilizado por 30

31

32

33

34 Controles Los procesos requieren controles. Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos del negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos. 34

35 Objetivo de Control Es una declaración del resultado o fin que se desea lograr al implantar procedimientos de control en una actividad de TI en particular. Los objetivos de control de Cobit son los requerimientos mínimos para un control efectivo de cada proceso de TI. 35

36

37 IMCM Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de TI y decidir qué nivel de administración y control debe proporcionar la empresa. Qué se debe medir y cómo? 37

38 Una organización debe crear un modelo de proceso que se ajuste a las directrices establecidas por la integración del modelo de capacidad de madurez (IMCM) 38

39

40

41

42

43 Las metas se definen de arriba hacia abajo con base en las metas de negocio que determinarán el número de metas que soportará TI, las metas de TI decidirán las diferentes necesidades de las metas de proceso, y cada meta, establecerá las metas de las actividades. 43

44 Procesos de TIC - Los Tres Niveles Dominios Procesos Agrupación Natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional Conjuntos o series de actividades unidas con delimitación o cortes de control. Actividades o tareas Acciones requeridas para lograr un resultado medible. Las Actividades Tienen un ciclo de vida mientras que las tareas son discretas. 44

45 El marco de trabajo se creó para satisfacer las necesidades de gobernabilidad de TI. Está orientado a: Negocios Procesos Basado en controles Impulsado por mediciones 45

46 Orientado al negocio Está diseñado para ser utilizado no solo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los propietarios de los procesos de negocio. 46

47 Procesos orientados Cobit define las actividades de TI en un modelo genérico de procesos en 4 dominios: Planear y Organizar Adquirir e Implementar Entregar y dar Soporte Monitorear y Evaluar 47

48 Planear y Organizar (PO) Cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. Están alineadas las estrategias de TI y del negocio? 48

49 La empresa está alcanzando un uso óptimo de los recursos? Entienden todas las personas, los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio? 49

50 Adquirir e Implementar (AI) Las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e integración en los procesos. Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? 50

51 Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? Los cambios afectarán las operaciones actuales del negocio? 51

52 Entregar y dar Soporte (DS) Cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos. Se están entregando los servicios de TI de acuerdo a prioridades? 52

53 Están optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad? 53

54 Monitorear y Evaluar (ME) Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Abarca la administración del desempeño, el monitoreo del control interno, cumplimiento regulatorio. Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? 54

55 La gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño? 55

56 Modelo de Marco de Trabajo Relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI. El modelo de procesos Cobit permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control. 56

57 57

58 Los recursos de TI son manejados por procesos de TI para lograr las metas de TI que respondan a los requerimientos del negocio. Este es el principio básico del marco de trabajo Cobit 58

59 Figura 15 El Cubo Cobit REQUERIMIENTOS DE NEGOCIO Eficacia Eficiencia Integridad Confidencialid ad Disponibilidad Conformidad Seguridad PROCESOS DE TI DOMINIOS PROCESOS ACTIVIDADES APLICACIONES INFORMACION INFRAESTRUCTURA PERSONAS RECURSOS DE TI 59

60 En detalle, el marco de trabajo general Cobit se muestra en el siguiente gráfico, con el modelo de procesos de Cobit compuesto de 4 dominios que contienen 34 procesos genéricos, administrando los recursos de TI para proporcionar información al negocio de acuerdo con los requerimientos del negocio y del gobierno. 60

61 ME1 Monitorear y evaluar el desempeño ME2 Monitorear y evaluar el control Interno ME3 Garantizar cumplimiimiento regulatorio ME4 Proporcionar gobierno de TI Objetivos del Negocio Objetivos del gobierno CobiT PO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de información PO3 Determinar la dirección tecnológica PO4 Definir procesos, organización y relac. PO5 Administrar la inversión en TI PO6 Comunicar aspiraciones y la direc.ger. PO7 Administración del Recurso Humano PO8 Administrar calidad PO9 Evaluar y administrar Riesgos PO10 Administración de Proyectos Monitorear Y evaluar Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad Planear y Organizar DS1 Definir y administrar niveles de servicio DS2 Administrar servicios de terceros DS3 Adm. Desempeño y capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de serv. e incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administración de datos DS12 Administrar el ambiente físico DS13 Administrar las Operaciones Recursos de TI Aplicaciones Información, Infraestructura,Personas Servicios y Soporte Adquirir e Implantar AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener el Sw aplicativo AI3 Adquirir y mantener la infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios 61

62 Requerimientos de Información del Negocio Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica) Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la 62 empresa.

63 Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa. Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo. 63

64 Recursos de TIC Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Información: Todos los objetos de información. Considera información interna y externa, estructurada o nó, gráficas, sonidos, etc. Infraestructura:Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Personas: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar 64 soporte y monitorear los sistemas de Información.

65 Adquirir e Implantar Planear y Organizar Procesos de TIC - Procesos PO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de información PO3 Determinar la dirección tecnológica PO4 Definir procesos, organización y relac. PO5 Administrar la inversión en TI PO6 Comunicar aspiraciones y la direc.ger. PO7 Administración del Recurso Humano AI1 Identificar soluciones automatizadas AI2 PO8 Adquirir Administrar y mantener calidad el Sw aplicativo AI3 PO9 Adquirir Evaluar y mantener y administrar la infraestructura Riesgos tecnológica PO10 Administración de Proyectos AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios 65

66 Servicios y Soporte Monitorear y Evaluar Procesos de TIC - Procesos DS1 Definir y administrar niveles de servicio DS2 Administrar servicios de terceros DS3 Adm. Desempeño y capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de serv. e incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administración de datos DS12 Administrar el ambiente físico DS13 Administrar las Operaciones ME1 Monitorear y evaluar el desempeño ME2 Monitorear y evaluar el control Interno ME3 Garantizar cumplimimiento regulatorio ME4 Proporcionar gobierno de TI 66

67 Nivel de aceptabilidad Cobit se basa en el análisis y armonización de estándares y mejores práctica de TI existentes y se adapta a principios de gobierno generalmente aceptados. 67

68 Está posicionado a un nivel alto, impulsado por los requerimientos del negocio, cubre el rango completo de actividades de TI, y se concentra en lo que se debe lograr en lugar de cómo lograr un gobierno, administración y control efectivos. 68

69 Funciona como un integrador de prácticas de gobierno de TI y es de interés para la dirección ejecutiva; para la gerencia del negocio; para la gerencia y gobierno de TI; para los profesionales de aseguramiento y seguridad; así como para los profesionales de auditoria y control de TI. 69

70 Planear y Organizar Modelo de Navegación CobiT Adquirir e Implantar Control sobre el Proceso de TI Nombre del Proceso Que satisface el requerimiento de negocios de TI para Resumen de las metas de negocio más importantes Focalizándose en Resumen de las metas de TI más importantes Entrega y Soporte Monitoreo y Evaluar Es conseguido por Control claves Gobierno de TI Y medido por Indicadores claves (Métrica) Administración de Recursos P=Primario; S=Secundario