1COBIT
-
Upload
edwin-flores -
Category
Documents
-
view
221 -
download
0
description
Transcript of 1COBIT
-
UNIVERSIDAD TCNICA DEL NORTE
FACULTAD DE CIENCIAS ADMINISTRATIVAS Y ECONMICAS
ESCUELA DE CONTABILIDAD SUPERIOR Y AUDITORA
NOMBRE: Tamia Soledad Farinango Iaquiza
CURSO: 9no C1
Ibarra, octubre 2012
-
COBIT
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma
en que trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de
control, COBIT consolida y armoniza estndares de fuentes globales prominentes en un
recurso crtico para la gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las
computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la
filosofa de que los recursos de TI necesitan ser administrados por un conjunto de
procesos naturalmente agrupados para proveer la informacin pertinente y confiable que
requiere una organizacin para lograr sus objetivos.
PARA QU SIRVE?
Independientemente de la realidad tecnolgica de cada caso concreto, COBIT determina,
con el respaldo de las principales normas tcnicas internacionales, un conjunto de
mejores prcticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son
necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio,
C Control
OB Objectives
I for Information
T and Related Technology
Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas
-
gestionar recursos y medir el desempeo, el cumplimiento de metas y el nivel de madurez
de los procesos de la organizacin.
Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas
generalmente aceptadas, indicadores, procesos y las mejores prcticas para ayudar a ellos
en el maximizar las ventajas sacadas por el empleo de tecnologa de informacin y
desarrollo de la gobernacin apropiada TI y el control en una empresa.
Proporciona ventajas a gerentes, TI usuarios, e interventores. Los gerentes se benefician
de COBIT porque esto provee de ellos de una fundacin sobre cual TI las decisiones
relacionadas e inversiones pueden estar basadas. La toma de decisiones es ms eficaz
porque COBIT ayuda la direccin en la definicin de un plan de TI estratgico, la definicin
de la arquitectura de la informacin, la adquisicin del hardware necesario TI y el software
para ejecutar una estrategia TI, la aseguracin del servicio continuo, y la supervisin del
funcionamiento del sistema TI. TI usuarios se benefician de COBIT debido al
aseguramiento proporcionado a ellos si los usos que ayudan en la reunin, el tratamiento,
y el reportaje de informacin cumplen con COBIT ya que esto implica mandos y la
seguridad es en el lugar para gobernar los procesos. COBIT beneficia a interventores
porque esto les ayuda a identificar cuestiones de control de TI dentro de la infraestructura
TI de una empresa. Esto tambin les ayuda a corroborar sus conclusiones de auditoria.
MISIN DE COBIT
Investigar, desarrollar, publicar y promover un conjunto actualizado e internacional de
objetivos de control de TRecnologia de la Informacion generalmente aceptado, para su
uso diario por los administradores del negocio y los auditores.
USUARIOS DE COBIT
La Gerencia: Para apoyar sus decisiones de inversin en TI y control sobre el
rendimiento de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: Quienes obtienen una garanta sobre la seguridad y el control
de los productos que adquieren interna y externamente.
Los Auditores: Para soportar sus opiniones sobre los controles de los proyectos de
TI, su impacto en la organizacin y determinar el control mnimo requerido.
Los Responsables de TI: Para identificar los controles que requieren en sus reas.
Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de
negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por
todos aquellos con responsabilidades en el campo de la TI en las empresas.
-
CARACTERSTICAS DE COBIT
Orientado al negocio
Alineado con estndares y regulaciones "de facto"
Basado en una revisin crtica y analtica de las tareas y actividades en TI
Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
COMPONENTES DE COBIT
Resumen Ejecutivo
Las decisiones de negocio estn basadas en la informacin oportuna, relevante y concisa.
Expresamente diseado para directores ejecutivos embutidos de tiempo y gerentes, el
Resumen COBIT Ejecutivo, consiste en una descripcin ejecutiva que proporciona una
conciencia cuidadosa y el entendimiento de los conceptos claves del COBIT y principios.
Tambin incluido es un resumen del Marco, que proporciona un entendimiento ms
detallado de estos conceptos y principios, identificando los cuatro dominios del COBIT (la
Planificacin y la Organizacin, la Adquisicin y la Puesta en prctica, la Entrega y el
Apoyo, la Supervisin) y 34 procesos de TI.
Marco
Una organizacin acertada es construida sobre un marco slido de datos e informacin. El
Marco explica como los procesos de TI entregan la informacin que el negocio tiene que
alcanzar sus objetivos. Esta entrega es controlada por 34 objetivos de control de alto nivel,
un para cada proceso de TI, contenida en los cuatro dominios. El Marco se identifica cul
de los siete criterios de la informacin (la eficacia, la eficacia, la confidencialidad, la
integridad, la disponibilidad, el cumplimiento y la fiabilidad), as como que recursos TI (la
gente, usos, tecnologa, instalaciones y datos) son importantes para los procesos de TI
para totalmente apoyar el objetivo de negocio.
Resumen Ejecutivo
Marco
Objetivos de control
Directrices de Auditora
Instrumento de puesta en prctica
Directrices de Direccin
-
Objetivos de Control
Los Objetivos de Control del COBIT proveen la idea crtica para delinear una prctica clara
de poltica y buena para mandos de TI.
Un Objetivo de Control se define como "La declaracin del resultado deseado o propuesto que se ha de alcanzar mediante la aplicacin de procedimientos de control en cualquier actividad de TI".
Directrices De auditora
Analizar, evaluar, hacer de intrprete, reaccionar el instrumento. Para alcanzar los
objetivos deseados constantemente se debe revisar los procedimientos. Directrices de
auditora perfilan y aconsejan actividades reales, para ser realizadas correspondiente a
cada uno de los 34 objetivos de control de TI de alto nivel, justificando el riesgo de
objetivos de control no siendo encontrados. Directrices de auditora son un instrumento
inestimable para interventores de sistemas de informacin en el aseguramiento de
direccin que provee el consejo para la mejora.
Instrumento de puesta en prctica
Un Instrumento de Puesta en prctica, que contiene la Conciencia de Direccin y el
Diagnstico de Control de TI, y la Gua de Puesta en prctica, estudios de caso de
organizaciones actualmente que usan COBIT, y las presentaciones de diapositiva que
pueden ser usadas introducir COBIT en organizaciones.
Directrices de Direccin
Para asegurar una empresa acertada, se debe manejar la unin eficaz entre procesos de
negocio y sistemas de informacin. Las nuevas Directrices de Direccin son compuestas de
Modelos de Madurez, ayudar determinar las etapas y los niveles de expectativa de control
y compararlos contra normas de industria; factores de xito crticos, para identificar las
acciones ms importantes para alcanzar control de los procesos de TI; indicadores de
objetivo claves, para definir los niveles objetivo de funcionamiento; e Indicadores de
funcionamiento claves, para medir si un proceso de control de TI encuentra su objetivo.
Estas Directrices de Direccin ayudarn a contestar las preguntas de inters inmediato a
todo los que tienen un inters en el xito de la empresa.
PRINCIPIOS DE COBIT
El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar
soporte a los procesos de negocio y considerando a la informacin como el resultado de la
-
aplicacin combinada de recursos relacionados con las TI que deben ser administrados por
procesos de TI.
REQUERIMIENTOS DE NEGOCIO
Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.
Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.
Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica).
Confiabilidad: Proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.
Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa.
Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad
Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada
Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa.
-
Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.
Recursos de TI.
METAS DE NEGOCIOS Y DE TI
La definicin de un conjunto de metas genricas de negocio y de TI ofrece una base ms
refinada y relacionada con el negocio para el establecimiento de requerimientos de
negocio y para el desarrollo de mtricas que permitan la medicin con respecto a estas
metas. Toda empresa usa TI para habilitar iniciativas del negocio y estas pueden ser
representadas como metas del negocio para TI. El Apndice I proporciona una matriz de
metas genricas de negocios y metas de TI y como se asocian con los criterios de la
informacin. Estos ejemplos genricos se pueden utilizar como gua para determinar los
requerimientos, metas y mtricas especficas del negocio para la empresa.
Una vez que han sido definidas las metas alineadas, ests requieren ser monitoreadas
para garantizar que la entrega cumple con las expectativas. Esto se logra con mtricas
derivadas de las metas y capturadas en el Score Card de TI.
Para que el cliente pueda entender las metas de TI y el Score Card de TI, todos estos
objetivos y mtricas asociadas deben expresarse en trminos de negocio significativos
para el cliente. Esto, combinado con un alineamiento efectivo de los objetivos jerrquicos
-
asegurara que el negocio puede confirmar que es probable que TI soporte los objetivos
de la empresa.
RECURSOS DE TI
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:
Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc.
Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados.
Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin.
Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.
PROCESOS DE TI
COBIT define las actividades de TI en un modelo genrico de procesos organizado en
cuatro dominios. Estos dominios son Planear y Organizar, Adquirir e Implementar,
Entregar y Dar Soporte y Monitorear y Evaluar. Los dominios se equiparan a las reas
tradicionales de TI de planear, construir, ejecutar y monitorear.
-
COBIT se divide en tres niveles:
1. Dominios 2. Procesos 3. Actividades
Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI, estos procesos estn agrupados en cuatro grandes dominios.
-
Los cuatro dominios interrelacionados de COB:
DOMINIO 1: PLANIFICACIN Y ORGANIZACIN
Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en
que la tecnologa de informacin puede contribuir de la mejor manera al logro de los
objetivos de negocio. Adems, la consecucin de la visin estratgica necesita ser
planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern
establecerse una organizacin y una infraestructura tecnolgica apropiadas.
COBIT
PO1 Definir un plan TI estratgico
PO2 Definir la arquitectura de informacin
PO3 Determinar la direccin tecnolgica
PO4 Definir la organizacin TI y relaciones
PO5 Administrar la inversin en TI
PO6 Comunicar a Gerencia metas y direccin
PO7 Administrar recursos humanos
PO8 Asegurar cumplimiento con requerimientos externos
PO9 Evaluar riesgos
PO10 Administrar proyectos
PO11 Administrar calidad
AT1 Identificar soluciones
AT2 Adquirir y mantener software de
adquisiciones
AT3 Adquirir y mantener arquitectura
de tecnologa
AT4 Desarrollar y mantener recursos TI
AT5 Instalar y acreditar sistemas
AT6 Administrar cambios
DS1 Definir niveles de servicio
DS2 Administrar servicios de terceros
DS3 Administrar desempeo y capacidad
DS4 Asegurar servicio continuo
DS5 Asegurar seguridad de sistemas
DS6 Identificar y atribuir costos
DS7 Adecuar y capacitar a usuarios
DS8 Ayudar y aconsejar a clientes de TI
DS9 Administrar la configuracin
DS10 Administrar problemas e incidentes
DS11 Administrar datos
DS12 Administrar instalaciones
DS13 Administrar operaciones
M1 Monitorear los procesos
M2 Evaluar adecuacin de control
interno
M3 Lograr garanta independiente
M4 Disponer de auditora interna
OBJETIVOS DE NEGOCIO
-
PROCESOS:
PO1: Definicin de un plan Estratgico
Objetivo: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin
y los requerimientos de TI de negocio, para asegurar sus logros futuros.
Su realizacin se concreta a travs un proceso de planeacin estratgica emprendido en
intervalos regulares dando lugar a planes a largo plazo, los que debern ser traducidos
peridicamente en planes operacionales estableciendo metas claras y concretas a corto
plazo, teniendo en cuenta:
La definicin de objetivos de negocio y necesidades de TI, la alta gerencia ser la
responsable de desarrollar e implementar planes a largo y corto plazo que
satisfagan la misin y las metas generales de la organizacin.
El inventario de soluciones tecnolgicas e infraestructura actual, se deber evaluar
los sistemas existentes en trminos de: nivel de automatizacin de negocio,
funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el
propsito de determinar el nivel de soporte que reciben los requerimientos del
negocio de los sistemas existentes.
Los cambios organizacionales, se deber asegurar que se establezca un proceso
para modificar oportunamente y con precisin el plan a largo plazo de tecnologa
de informacin con el fin de adaptar los cambios al plan a largo plazo de la
organizacin y los cambios en las condiciones de la TI.
Estudios de factibilidad oportunos, para que se puedan obtener resultados
efectivos.
PO2: Definicin de la Arquitectura de Informacin
Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera los
sistemas de informacin, a travs de la creacin y mantenimiento de un modelo de
informacin de negocio, asegurndose que se definan los sistemas apropiados para
optimizar la utilizacin de esta informacin, tomando en consideracin:
La documentacin deber conservar consistencia con las necesidades permitiendo
a los responsables llevar a cabo sus tareas eficiente y oportunamente.
El diccionario de datos, el cual incorporara las reglas de sintaxis de datos de la
organizacin y deber ser continuamente actualizado.
La propiedad de la informacin y la clasificacin de severidad con el que se
establecer un marco de referencia de clasificacin general relativo a la ubicacin
de datos en clases de informacin.
-
PO3: Determinacin de la direccin tecnolgica
Objetivo: Aprovechar al mximo de la tecnologa disponible o tecnologa emergente,
satisfaciendo los requerimientos de negocio, a travs de la creacin y mantenimiento de
un plan de infraestructura tecnolgica, tomando en consideracin:
La capacidad de adecuacin y evolucin de la infraestructura actual, que deber
concordar con los planes a largo y corto plazo de tecnologa de informacin y
debiendo abarcar aspectos tales como arquitectura de sistemas, direccin
tecnolgica y estrategias de migracin.
El monitoreo de desarrollos tecnolgicos que sern tomados en consideracin
durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica.
Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuacin
y evolucin de la infraestructura), con lo que se evaluar sistemticamente el plan
de infraestructura tecnolgica.
Planes de adquisicin, los cuales debern reflejar las necesidades identificadas en el
plan de infraestructura tecnolgica.
PO4: Definicin de la organizacin y de las relaciones de TI
Objetivo: Prestacin de servicios de TI, por medio de una organizacin conveniente en
nmero y habilidades, con tareas y responsabilidades definidas y comunicadas, teniendo
en cuenta:
El comit de direccin el cual se encargara de vigilar la funcin de servicios de
informacin y sus actividades.
Propiedad, custodia, la Gerencia deber crear una estructura para designar
formalmente a los propietarios y custodios de los datos. Sus funciones y
responsabilidades debern estar claramente definidas.
Supervisin, para asegurar que las funciones y responsabilidades sean llevadas a
cabo apropiadamente
Segregacin de funciones, con la que se evitar la posibilidad de que un solo
individuo resuelva un proceso crtico.
Los roles y responsabilidades, la gerencia deber asegurarse de que todo el
personal deber conocer y contar con la autoridad suficiente para llevar a cabo las
funciones y responsabilidades que le hayan sido asignadas
La descripcin de puestos, deber delinear claramente tanto la responsabilidad
como la autoridad, incluyendo las definiciones de las habilidades y la experiencia
necesarias para el puesto, y ser adecuadas para su utilizacin en evaluaciones de
desempeo.
-
Los niveles de asignacin de personal, debern hacerse evaluaciones de
requerimientos regularmente para asegurar para asegurar una asignacin de
personal adecuada en el presente y en el futuro.
El personal clave, la gerencia deber definir e identificar al personal clave de
tecnologa de informacin.
PO5: Manejo de la inversin
Objetivo: Satisfaccin de los requerimientos de negocio, asegurando el financiamiento y
el control de desembolsos de recursos financieros.
Su realizacin se concreta a travs de presupuestos peridicos sobre inversiones y
operaciones establecidas y aprobados por el negocio, teniendo en cuenta:
Las alternativas de financiamiento, se debern investigar diferentes alternativas de
financiamiento.
El control del gasto real, se deber tomar como base el sistema de contabilidad de
la organizacin, mismo que deber registrar, procesar y reportar rutinariamente los
costos asociados con las actividades de la funcin de servicios de informacin
La justificacin de costos y beneficios, deber establecerse un control gerencial que
garantice que la prestacin de servicios por parte de la funcin de servicios de
informacin se justifique en cuanto a costos. Los beneficios derivados de las
actividades de TI debern ser analizados en forma similar.
PO6: Comunicacin de la direccin y aspiraciones de la gerencia
Objetivo: Asegurar el conocimiento y comprensin de los usuarios sobre las aspiraciones
del alto nivel (gerencia), se concreta a travs de polticas establecidas y transmitidas a la
comunidad de usuarios, necesitndose para esto estndares para traducir las opciones
estratgicas en reglas de usuario prcticas y utilizables. Toma en cuenta:
Los cdigos de tica / conducta, el cumplimiento de las reglas de tica, conducta,
seguridad y estndares de control interno deber ser establecido por la Alta
Gerencia y promoverse a travs del ejemplo.
Las directrices tecnolgicas
El cumplimiento, la Gerencia deber tambin asegurar y monitorear la duracin de
la implementacin de sus polticas.
El compromiso con la calidad, la Gerencia de la funcin de servicios de informacin
deber definir, documentar y mantener una filosofa de calidad, debiendo ser
-
comprendidos, implementados y mantenidos por todos los niveles de la funcin de
servicios de informacin.
Las polticas de seguridad y control interno, la alta gerencia deber asegurar que
esta poltica de seguridad y de control interno especifique el propsito y los
objetivos, la estructura gerencial, el alcance dentro de la organizacin, la definicin
y asignacin de responsabilidades para su implementacin a todos los niveles y la
definicin de multas y de acciones disciplinarias asociadas con la falta de
cumplimiento de estas polticas.
PO7: Administracin de recursos humanos
Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo as
los requerimientos de negocio, a travs de tcnicas slidas para administracin de
personal, tomando en consideracin:
El reclutamiento y promocin, deber tener como base criterios objetivos,
considerando factores como la educacin, la experiencia y la responsabilidad.
Los requerimientos de calificaciones, el personal deber estar calificado, tomando
como base una educacin, entrenamiento y o experiencia apropiados, segn se
requiera.
La capacitacin, los programas de educacin y entrenamiento estarn dirigidos a
incrementar los niveles de habilidad tcnica y administrativa del personal.
La evaluacin objetiva y medible del desempeo, se deber asegurar que dichas
evaluaciones sean llevada a cabo regularmente segn los estndares establecidos y
las responsabilidades especficas del puesto. Los empleados debern recibir
asesora sobre su desempeo o su conducta cuando esto sea apropiado.
PO8: Asegurar el cumplimiento con los requerimientos Externos
Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales, mediante la
identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI,
llevando a cabo las medidas apropiadas para cumplir con ellos y se toma en consideracin:
Definicin y mantenimiento de procedimientos para la revisin de requerimientos
externos, para la coordinacin de estas actividades y para el cumplimiento
continuo de los mismos.
Leyes, regulaciones y contratos
Revisiones regulares en cuanto a cambios
Bsqueda de asistencia legal y modificaciones
-
Seguridad y ergonoma con respecto al ambiente de trabajo de los usuarios y el
personal de la funcin de servicios de informacin.
Privacidad
Propiedad intelectual
Flujo de datos externos y criptografa
PO9: Evaluacin de riesgos
Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la
provisin de servicios de TI. Para ello se logra la participacin de la propia organizacin en
la identificacin de riesgos de TI y en el anlisis de impacto, tomando medidas econmicas
para mitigar los riesgos y se toma en consideracin:
Identificacin, definicin y actualizacin regular de los diferentes tipos de riesgos
de TI (por ej.: tecnolgicos, de seguridad, etc.) de manera de que se pueda
determinar la manera en la que los riesgos deben ser manejados a un nivel
aceptable.
Definicin de alcances, limites de los riesgos y la metodologa para las evaluaciones
de los riesgos.
Actualizacin de evaluacin de riesgos
Metodologa de evaluacin de riesgos
Medicin de riesgos cualitativos y/o cuantitativos
Definicin de un plan de accin contra los riesgos para asegurar que existan
controles y medidas de seguridad econmicas que mitiguen los riesgos en forma
continua.
Aceptacin de riesgos dependiendo de la identificacin y la medicin del riesgo, de
la poltica organizacional, de la incertidumbre incorporada al enfoque de evaluacin
de riesgos y de que tan econmico resulte implementar protecciones y controles.
PO10: Administracin de proyectos
Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al
presupuesto de inversin.
Para ello se realiza una identificacin y priorizacin de los proyectos en lnea con el plan
operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar
y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido
y se toma en consideracin:
Definicin de un marco de referencia general para la administracin de proyectos
que defina el alcance y los lmites del mismo, as como la metodologa de
-
administracin de proyectos a ser adoptada y aplicada para cada proyecto
emprendido. La metodologa deber cubrir, como mnimo, la asignacin de
responsabilidades, la determinacin de tareas, la realizacin de presupuestos de
tiempo y recursos, los avances, los puntos de revisin y las aprobaciones.
El involucramiento de los usuarios en el desarrollo, implementacin o modificacin
de los proyectos.
Asignacin de responsabilidades y autoridades a los miembros del personal
asignados al proyecto.
Aprobacin de fases de proyecto por parte de los usuarios antes de pasar a la
siguiente fase.
Presupuestos de costos y horas hombre
Planes y metodologas de aseguramiento de calidad que sean revisados y
acordados por las partes interesadas.
Plan de administracin de riesgos para eliminar o minimizar los riesgos.
Planes de prueba, entrenamiento, revisin post-implementacin.
PO11: Administracin de calidad
Objetivo: Satisfacer los requerimientos del cliente mediante la planeacin,
implementacin y mantenimiento de estndares y sistemas de administracin de calidad
por parte de la organizacin y se toma en consideracin:
Definicin y mantenimiento regular del plan de calidad, el cual deber promover la
filosofa de mejora continua y contestar a las preguntas bsicas de qu, quin y
cmo.
Responsabilidades de aseguramiento de calidad que determine los tipos de
actividades de aseguramiento de calidad tales como revisiones, auditorias,
inspecciones, etc. que deben realizarse para alcanzar los objetivos del plan general
de calidad.
Metodologas del ciclo de vida de desarrollo de sistemas que rija el proceso de
desarrollo, adquisicin, implementacin y mantenimiento de sistemas de
informacin.
Documentacin de pruebas de sistemas y programas.
Revisiones y reportes de aseguramiento de calidad.
DOMINIO 2: ADQUISICIN E IMPLEMENTACIN
Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas,
desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del
-
negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a
sistemas existentes.
PROCESOS:
AI1: Identificacin de Soluciones Automatizadas
Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario;
mediante un anlisis claro de las oportunidades alternativas comparadas contra los
requerimientos de los usuarios y toma en consideracin:
Definicin de requerimientos de informacin para poder aprobar un proyecto de
desarrollo.
Estudios de factibilidad con la finalidad de satisfacer los requerimientos del negocio
establecidos para el desarrollo de un proyecto.
Arquitectura de informacin para tener en consideracin el modelo de datos al
definir soluciones y analizar la factibilidad de las mismas.
Seguridad con relacin de costo-beneficio favorable para controlar que los costos
no excedan los beneficios.
Pistas de auditoria para ello deben existir mecanismos adecuados. Dichos
mecanismos deben proporcionar la capacidad de proteger datos sensitivos (ej.
Identificacin de usuarios contra divulgacin o mal uso).
Contratacin de terceros con el objeto de adquirir productos con buena calidad y
excelente estado.
Aceptacin de instalaciones y tecnologa a travs del contrato con el Proveedor
donde se acuerda un plan de aceptacin para las instalaciones y tecnologa
especifica a ser proporcionada.
AI2: Adquisicin y mantenimiento del software aplicativo
Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.
Para ello se definen declaraciones especficas sobre requerimientos funcionales y
operacionales y una implementacin estructurada con entregables claros y se toma en
consideracin:
Requerimientos de usuarios, para realizar un correcto anlisis y obtener un
software claro y fcil de usar.
Requerimientos de archivo, entrada, proceso y salida.
Interface usuario-mquina asegurando que el software sea fcil de utilizar y que
sea capaz de auto documentarse.
Personalizacin de paquetes.
-
Realizar pruebas funcionales (unitarias, de aplicacin, de integracin y de carga y
estrs), de acuerdo con el plan de prueba del proyecto y con los estndares
establecidos antes de ser aprobado por los usuarios.
Controles de aplicacin y requerimientos funcionales.
Documentacin (materiales de consulta y soporte para usuarios) con el objeto de
que los usuarios puedan aprender a utilizar el sistema o puedan sacarse todas
aquellas inquietudes que se les puedan presentar.
AI3: Adquisicin y mantenimiento de la infraestructura tecnolgica
Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios
Para ello se realizara una evaluacin del desempeo del hardware y software, la provisin
de mantenimiento preventivo de hardware y la instalacin, seguridad y control del
software del sistema y toma en consideracin:
Evaluacin de tecnologa para identificar el impacto del nuevo hardware o software
sobre el rendimiento del sistema general.
Mantenimiento preventivo del hardware con el objeto de reducir la frecuencia y el
impacto de fallas de rendimiento.
Seguridad del software de sistema, instalacin y mantenimiento para no arriesgar
la seguridad de los datos y programas ya almacenados en el mismo.
AI4: Desarrollo y mantenimiento de procedimientos
Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas
establecidas.
Para ello se realiza un enfoque estructurado del desarrollo de manuales de
procedimientos de operaciones para usuarios, requerimientos de servicio y material de
entrenamiento y toma en consideracin:
Manuales de procedimientos de usuarios y controles, de manera que los
mismos permanezcan en permanente actualizacin para el mejor desempeo y
control de los usuarios.
Manuales de Operaciones y controles, de manera que estn en permanente
actualizacin.
Materiales de entrenamiento enfocados al uso del sistema en la prctica diaria.
AI5: Instalacin y aceptacin de los sistemas
Objetivo: Verificar y confirmar que la solucin sea adecuada para el propsito deseado
-
Para ello se realiza una migracin de instalacin, conversin y plan de aceptaciones
adecuadamente formalizadas y toma en consideracin:
Capacitacin del personal de acuerdo al plan de entrenamiento definido y los
materiales relacionados.
Conversin / carga de datos, de manera que los elementos necesarios del sistema
anterior sean convertidos al sistema nuevo.
Pruebas especficas (cambios, desempeo, aceptacin final, operacional) con el
objeto de obtener un producto satisfactorio.
Acreditacin de manera que la Gerencia de operaciones y usuaria acepten los
resultados de las pruebas y el nivel de seguridad para los sistemas, junto con el
riesgo residual existente.
Revisiones post implementacin con el objeto de reportar si el sistema proporciono
los beneficios esperados de la manera mas econmica.
AI6 Administracin de los cambios
Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y
errores.
Esto se hace posible a travs de un sistema de administracin que permita el anlisis,
implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la
infraestructura de TI actual y toma en consideracin:
Identificacin de cambios tanto internos como por parte de proveedores
Procedimientos de categorizacin, priorizacin y emergencia de solicitudes de
cambios.
Evaluacin del impacto que provocaran los cambios.
Autorizacin de cambios
Manejo de liberacin de manera que la liberacin de software este regida por
procedimientos formales asegurando aprobacin, empaque, pruebas de regresin,
entrega, etc.
Distribucin de software, estableciendo medidas de control especificas para
asegurar la distribucin de software correcto al lugar correcto, con integridad y de
manera oportuna.
DOMINIO 3: PRESTACIN Y SOPORTE
Hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones
tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad.
Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios.
-
Este dominio incluye el procesamiento de los datos por sistemas de aplicacin,
frecuentemente clasificados como controles de aplicacin.
PROCESOS:
Ds1: Definicin de niveles de servicio
Objetivo: Establecer una comprensin comn del nivel de servicio requerido.
Para ello se establecen convenios de niveles de servicio que formalicen los criterios de
desempeo contra los cuales se medir la cantidad y la calidad del servicio y se toma en
consideracin:
Convenios formales que determinen la disponibilidad, confiabilidad, desempeo,
capacidad de crecimiento, niveles de soporte proporcionados al usuario, plan de
contingencia / recuperacin, nivel mnimo aceptable de funcionalidad del sistema
satisfactoriamente liberado, restricciones (lmites en la cantidad de trabajo), cargos
por servicio, instalaciones de impresin central (disponibilidad), distribucin de
impresin central y procedimientos de cambio.
Definicin de las responsabilidades de los usuarios y de la funcin de servicios de
informacin
Procedimientos de desempeo que aseguren que la manera y las responsabilidades
sobre las relaciones que rigen el desempeo entre todas las partes involucradas
sean establecidas, coordinadas, mantenidas y comunicadas a todos los
departamentos afectados.
Definicin de dependencias asignando un Gerente de nivel de Servicio que sea
responsable de monitorear y reportar los alcances de los criterios de desempeo
del servicio especificado y todos los problemas encontrados durante el
procesamiento.
Provisiones para elementos sujetos a cargos en los acuerdos de niveles de servicio
para hacer posibles comparaciones y decisiones de niveles de servicios contra su
costo.
Garantas de integridad
Convenios de confidencialidad
Implementacin de un programa de mejoramiento del servicio.
Ds2 Administracin de servicios prestados por terceros
Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estn
claramente definidas, que cumplan y continen satisfaciendo los requerimientos
-
Para ello se establecen medidas de control dirigidas a la revisin y monitoreo de contratos
y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las
polticas de la organizacin y toma en consideracin:
Acuerdos de servicios con terceras partes a travs de contratos entre la
organizacin y el proveedor de la administracin de instalaciones este basado en
niveles de procesamiento requeridos, seguridad, monitoreo y requerimientos de
contingencia, as como en otras estipulaciones segn sea apropiado.
Acuerdos de confidencialidad. Adems, se deber calificar a los terceros y el
contrato deber definirse y acordarse para cada relacin de servicio con un
proveedor.
Requerimientos legales regulatorios de manera de asegurar que estos concuerde
con los acuerdos de seguridad identificados, declarados y acordados.
Monitoreo de la entrega de servicio con el fin de asegurar el cumplimiento de los
acuerdos del contrato.
Ds3 Administracin de desempeo y capacidad
Objetivo: Asegurar que la capacidad adecuada est disponible y que se est haciendo el
mejor uso de ella para alcanzar el desempeo deseado.
Para ello se realizan controles de manejo de capacidad y desempeo que recopilen datos
y reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y
demanda de recursos y toma en consideracin:
Requerimientos de disponibilidad y desempeo de los servicios de sistemas de
informacin
Monitoreo y reporte de los recursos de tecnologa de informacin
Utilizar herramientas de modelado apropiadas para producir un modelo del sistema
actual para apoyar el pronstico de los requerimientos de capacidad, confiabilidad
de configuracin, desempeo y disponibilidad.
Administracin de capacidad estableciendo un proceso de planeacin para la
revisin del desempeo y capacidad de hardware con el fin de asegurar que
siempre exista una capacidad justificable econmicamente para procesar cargas de
trabajo con cantidad y calidad de desempeo
Prevenir que se pierda la disponibilidad de recursos mediante la implementacin de
mecanismos de tolerancia de fallas, de asignacin equitativos de recursos y de
prioridad de tareas.
Ds4: Asegurar el Servicio Continuo
-
Objetivo: Mantener el servicio disponible de acuerdo con los requerimientos y continuar
su provisin en caso de interrupciones.
Para ello se tiene un plan de continuidad probado y funcional, que est alineado con el
plan de continuidad del negocio y relacionado con los requerimientos de negocio y toma
en consideracin:
Planificacin de Severidad
Plan Documentado
Procedimientos Alternativos
Respaldo y Recuperacin
Pruebas y entrenamiento sistemtico y singulares
Ds5: Garantizar la seguridad de sistemas
Objetivo: Salvaguardar la informacin contra uso no autorizados, divulgacin,
modificacin, dao o prdida.
Para ello se realizan controles de acceso lgico que aseguren que el acceso a sistemas,
datos y programas est restringido a usuarios autorizados y toma en consideracin:
El acceso lgico junto con el uso de los recursos de TI deber restringirse a travs
de la instrumentacin de mecanismos de autenticacin de usuarios identificados y
recursos asociados con las reglas de accesoautenticacin y Autorizacin,
Perfiles e identificacin de usuarios estableciendo procedimientos para asegurar
acciones oportunas relacionadas con la requisicin, establecimiento, emisin,
suspensin y suspensin de cuentas de usuario
Administracin de llaves criptogrficas definiendo implementando procedimientos
y protocolos a ser utilizados en la generacin, distribucin, certificacin,
almacenamiento, entrada, utilizacin y archivo de llaves criptogrficas con el fin de
asegurar la proteccin de las mismas.
Manejo, reporte y seguimiento de incidentes implementado capacidad para la
atencin de los mismos.
Prevencin y deteccin de virus tales como Caballos de Troya, estableciendo
adecuadas medidas de control preventivas, detectivas y correctivas.
Firewalls si existe una conexin con Internet u otras redes pblicas en la
organizacinde Utilizacin.
Ds6: Educacin y entrenamiento de usuarios
Objetivo: Asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y
estn conscientes de los riesgos y responsabilidades involucrados
-
Para ello se realiza un plan completo de entrenamiento y desarrollo y se toma en
consideracin:
Curriculum de entrenamiento estableciendo y manteniendo procedimientos para
identificar y documentar las necesidades de entrenamiento de todo el personal que
haga uso de los servicios de informacin.
Campaas de concientizacin, definiendo los grupos objetivos, identificar y asignar
entrenadores y organizar oportunamente las sesiones de entrenamiento.
Tcnicas de concientizacin proporcionando un programa de educacin y
entrenamiento que incluya conducta tica de la funcin de servicios de
informacin.
Ds7: Identificacin y asignacin de costos
Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI
Para ello se realiza un sistema de contabilidad de costos que asegure que stos sean
registrados, calculados y asignados a los niveles de detalle requeridos y toma en
consideracin:
Los elementos sujetos a cargo deben ser recursos identificables, medibles y
predecibles para los usuarios.
Procedimientos y polticas de cargo que fomenten el uso apropiado de los recursos
de cmputo y aseguren el trato justo de los departamentos usuarios y sus
necesidades.
Tarifas definiendo e implementando procedimientos de costeo de prestar
servicios, para ser analizados, monitoreados, evaluados asegurando al mismo
tiempo la economa.
Ds8 Apoyo y asistencia a los clientes de TI
Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido
apropiadamente
Para ello se realiza un Bur de ayuda que proporcione soporte y asesora de primera lnea
y toma en consideracin:
Consultas de usuarios y respuesta a problemas estableciendo un soporte de una
funcin de bur de ayuda.
Monitoreo de consultas y despacho estableciendo procedimientos que aseguren
que las preguntas de los clientes que pueden ser resueltas sean reasignadas al
nivel adecuado para atenderlas.
-
Anlisis y reporte de tendencias adecuado de las preguntas de los clientes y su
solucin, de los tiempos de respuesta y la identificacin de tendencias.
Ds9: Administracin de la configuracin
Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no
autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de
cambios.
Para ello se realizan controles que identifiquen y registren todos los activos de TI as como
su localizacin fsica y un programa regular de verificacin que confirme su existencia y
toma en consideracin:
Registro de activos estableciendo procedimientos para asegurar que sean
registrados nicamente elementos de configuracin autorizados e identificables en
el inventario, al momento de adquisicin.
Administracin de cambios en la configuracin asegurando que los registros de
configuracin reflejen el status real de todos los elementos de la configuracin.
Chequeo de software no autorizado revisando peridicamente las computadoras
personales de la organizacin.
Controles de almacenamiento de software definiendo un rea de almacenamiento
de archivos para todos los elementos de software vlidos en las fases del ciclo de
vida de desarrollo de sistemas.
Ds10: Administracin de Problemas
Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean
investigadas para prevenir que vuelvan a suceder.
Para ello se necesita un sistema de manejo de problemas que registre y d seguimiento a
todos los incidentes, adems de un conjunto de procedimientos de escalamiento de
problemas para resolver de la manera ms eficiente los problemas identificados. Este
sistema de administracin de problemas deber tambin realizar un seguimiento de las
causas a partir de un incidente dado.
Ds11: Administracin de Datos
Objetivo: Asegurar que los datos permanezcan completos, precisos y vlidos durante su
entrada, actualizacin, salida y almacenamiento.
Lo cual se logra a travs de una combinacin efectiva de controles generales y de
aplicacin sobre las operaciones de TI. Para tal fin, la gerencia deber disear formatos de
-
entrada de datos para los usuarios de manera que se minimicen lo errores y las omisiones
durante la creacin de los datos.
Este proceso deber controlar los documentos fuentes (de donde se extraen los datos), de
manera que estn completos, sean precisos y se registren apropiadamente. Se debern
crear tambin procedimientos que validen los datos de entrada y corrijan o detecten los
datos errneos, como as tambin procedimientos de validacin para transacciones
errneas, de manera que stas no sean procesadas. Cabe destacar la importancia de crear
procedimientos para el almacenamiento, respaldo y recuperacin de datos, teniendo un
registro fsico (discos, disquetes, CDs y cintas magnticas) de todas las transacciones y
datos manejados por la organizacin, albergados tanto dentro como fuera de la empresa.
La gerencia deber asegurar tambin la integridad, autenticidad y confidencialidad de los
datos almacenados, definiendo e implementando procedimientos para tal fin.
Ds12: Administracin de las instalaciones
Objetivo: Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal
de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se
hace posible con la instalacin de controles fsicos y ambientales adecuados que sean
revisados regularmente para su funcionamiento apropiado definiendo procedimientos
que provean control de acceso del personal a las instalaciones y contemplen su seguridad
fsica.
Ds13: Administracin de la operacin
Objetivo: Asegurar que las funciones importantes de soporte de TI estn siendo llevadas a
cabo regularmente y de una manera ordenada.
Esto se logra a travs de una calendarizacin de actividades de soporte que sea registrada
y completada en cuanto al logro de todas las actividades. Para ello, la gerencia deber
establecer y documentar procedimientos para las operaciones de tecnologa de
informacin (incluyendo operaciones de red), los cuales debern ser revisados
peridicamente para garantizar su eficiencia y cumplimiento.
DOMINIO 4: MONITOREO
Todos los procesos de una organizacin necesitan ser evaluados regularmente a travs del
tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control,
integridad y confidencialidad. Este es, precisamente, el mbito de este dominio.
PROCESOS:
M1: Monitoreo del Proceso
-
Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se
logra definiendo por parte de la gerencia reportes e indicadores de desempeo
gerenciales y la implementacin de sistemas de soporte as como la atencin regular a los
reportes emitidos.
Para ello la gerencia podr definir indicadores claves de desempeo y/o factores crticos
de xito y compararlos con los niveles objetivos propuestos para evaluar el desempeo de
los procesos de la organizacin. La gerencia deber tambin medir el grado de satisfaccin
de los clientes con respecto a los servicios de informacin proporcionados para identificar
deficiencias en los niveles de servicio y establecer objetivos de mejoramiento,
confeccionando informes que indiquen el avance de la organizacin hacia los objetivos
propuestos.
M2: Evaluar lo adecuado del Control Interno
Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los
procesos de TI.
Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos
a travs de actividades administrativas y de supervisin, comparaciones, reconciliaciones y
otras acciones rutinarias., evaluar su efectividad y emitir reportes sobre ellos en forma
regular. Estas actividades de monitoreo continuo por parte de la Gerencia debern revisar
la existencia de puntos vulnerables y problemas de seguridad.
M3: Obtencin de Aseguramiento Independiente
Objetivo: Incrementar los niveles de confianza entre la organizacin, clientes y
proveedores externos. Este proceso se lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deber obtener una certificacin o acreditacin independiente de
seguridad y control interno antes de implementar nuevos servicios de tecnologa de
informacin que resulten crticos, como as tambin para trabajar con nuevos
proveedores de servicios de tecnologa de informacin. Luego la gerencia deber adoptar
como trabajo rutinario tanto hacer evaluaciones peridicas sobre la efectividad de los
servicios de tecnologa de informacin y de los proveedores de estos servicios como as
tambin asegurarse el cumplimiento de los compromisos contractuales de los servicios de
tecnologa de informacin y de los proveedores de estos servicios.
M4: Proveer Auditoria Independiente
Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones
basadas en mejores prcticas de su implementacin, lo que se logra con el uso de
-
auditorias independientes desarrolladas a intervalos regulares de tiempo. Para ello la
gerencia deber establecer los estatutos para la funcin de auditoria, destacando en este
documento la responsabilidad, autoridad y obligaciones de la auditoria. El auditor deber
ser independiente del auditado, esto significa que los auditores no debern estar
relacionados con la seccin o departamento que est siendo auditado y en lo posible
deber ser independiente de la propia empresa. Esta auditoria deber respetar la tica y
los estndares profesionales, seleccionando para ello auditores que sean tcnicamente
competentes, es decir que cuenten con habilidades y conocimientos que aseguren tareas
efectivas y eficientes de auditoria.
La funcin de auditoria deber proporcionar un reporte que muestre los objetivos de la
auditoria, perodo de cobertura, naturaleza y trabajo de auditoria realizado, como as
tambin la organizacin, conclusin y recomendaciones relacionadas con el trabajo de
auditoria llevado a cabo.
El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales.
COBIT
-
reas de enfoque del Gobierno de TI
Alineacin Estratgica: se enfoca en garantizar la alineacin entre los planes de negocio y
de TI; en definir, mantener y dar la propuesta de valor de TI, y en alinear las operaciones
de TI con las operaciones de la empresa.
Entrega de valor: Se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de
entrega, asegurando que TI genere los beneficios prometidos en la estrategia,
concentrandose en optimizar los costos y en orientar el valor intrinseco de la TI.
Administracion de recursos: Se trata de la inversion optima, asi como la administracion adecuada de los recursos criticos de TI, aplicaciones, informacion, infraestructura y personas.
Administracion de riesgos: Requiere conciencia de los riesgos por parte ejecutivos de la empresa, transparencia de los riesgos significativos de la empresa y la inclusiond e las responsabilidades de la administracion de riesgos dentro de la organizacin.
Medicion del desempeo: Rastrea y monitorea la estrategia de implementacion, la terminacion del proyecto, el uso de los recursos, el desempeo de los procesos y la entrega del servicio, con el uso, por ejemplo del balanced score card que traducen la estrategia en accion para lograr las metas medibles ms alla del registro convencional.
-
LINCOGRAFA:
http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnol
og%C3%ADas_relacionadas
http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml
http://www.monografias.com/trabajos70/informe-auditoria-sistemas-uso-cobit/informe-
auditoria-sistemas-uso-cobit2.shtml
http://chauduc201021700421228.blogspot.com/2010/11/cobit.html
http://auditordesistemas.blogspot.com/2012/02/programa-de-auditoria-cobit.html
www.seguridadinformacion.cl