Video Auditoria de Sistemas de información

 

Buenas tardes:

El siguiente es el video de Auditoria de Sistemas de la Información:

Atentamente,

Leidy Arias
Doris Tilaguy

Resumen Cobit

COBIT

Control Objectives for Information and related Technology

 

 

 

COBIT es un marco de gobierno de las tecnologías de información que proporciona una serie de herramientas  para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio. Permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización. Además de enfatizar el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio.

 

EVOLUCION

COBIT fue publicado por primera vez por ITGI en abril de 1996, con el fin de crear un mayor producto global que pudiese tener un impacto duradero sobre el campo de visión de los negocios, así como sobre los controles de los sistemas de información implantados.

ü  La primera edición del COBIT, fue desarrollada como marco de gobierno para el control de TI.

ü  La segunda edición publicada en Abril de 1998, desarrolla y mejora lo que poseía la anterior mediante la incorporación de un mayor número de documentos de referencia fundamentales, nuevos y revisados objetivos de control de alto nivel, intensificando las líneas maestras de auditoría, introduciendo un conjunto de herramientas de implementación.

ü  La tercera edición desarrollada en el año 2000, provee guías para resolver las necesidades de la administración de TI

ü  La cuarta edición desarrollada en el año 2005, incrementa su foco hacia la gerencia y el gobierno de TI a niveles directivos. Dirigido a una mayor variedad de audiencias. Incrementa madurez de las prácticas y estándares de TI. La versión 4.1. desarrollada en el año 2007, presenta cambios menores en la definición de procesos de control.

ü  Su última actualización es el COBIT 5, desarrollado en el año 2012, ayuda a las empresas a crear valor óptimo de TI mediante el mantenimiento de un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos. Permite que la información y la tecnología relacionada para ser gobernado y administrado de manera integral para el conjunto de la empresa, teniendo en el pleno de extremo a extremo del negocio y áreas funcionales de responsabilidad, teniendo en cuenta los intereses relacionados con la TI de grupos de interés internos y externos.

BENEFICIOS DE IMPLEMENTAR COBIT

Ø  Mantener información de calidad para apoyar las decisiones del negocio.

Ø  Generar un valor comercial de las inversiones habilitadas por la Tecnología de la Información (TI), es decir lograr metas estratégicas y mejoras al negocio mediante el uso eficaz e innovador de la TI.

Ø  Lograr una excelencia operativa mediante la aplicación eficiente y fiable de la tecnología.

Ø  Mantener el riesgo relacionado con TI a niveles aceptables.

Ø  Optimizar el costo de la tecnología y los servicios de TI.

Ø  Mejor alineación, con base en su enfoque de negocio.

Ø  Cumplimiento de los requerimientos COSO para el ambiente de control TI.

Ø  Una visión, entendible para la gerencia, de lo que hace TI.

Ø  Propiedad y responsabilidades claras, con base en su orientación a procesos.

PRODUCTOS

Nivel Estratégico
Explica porque  el gobierno de TI es importante, cuáles son sus intereses y responsabilidades para su administración

Nivel Táctico

Herramientas que ayudan a asignar responsabilidades, medir el desempeño.

Nivel Operativo

Explica como Cobit organiza los objetivos de gobierno y las buenas prácticas de TI con base en dominios y procesos de TI y los vincula a los requerimientos del negocio.

CONCEPTOS BÁSICOS

Orientación básicamente al negocio y a los procesos

 

 

La orientación a negocios es el tema principal de COBIT. Proporciona la información que la empresa requiere para lograr sus objetivos, la empresa necesita invertir en, y administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que provean los servicios que entregan la información empresarial requerida.

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir, ejecutar y monitorear.

•      Planear y Organizar: Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS)

•      Adquirir e Implementar: Proporciona las soluciones y las pasa para convertirlas en servicios.

•      Entregar y Dar Soporte (DS): Recibe las soluciones y las hace utilizables por los usuarios finales.

•      Monitorear y Evaluar: Monitorear todos los procesos para asegurar que se sigue la dirección prevista.
 

o   El cubo

 

El COBIT busca atender los requerimientos de los negocios (información) cumpliendo con criterios de calidad y seguridad, haciendo uso de los recursos destinados por el negocio para tal fin, los cuales son administrados por medio de procesos y actividades de control.

 

• Criterios de información

 

Para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de control. Con base en los requerimientos más amplios de calidad, y de seguridad, se definieron siete criterios de información:
 

1) Efectividad: se refiere a que la información debe ser relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.

2) Eficiencia: consiste en que la información sea generada con el óptimo uso de los recursos.

3) Confidencialidad: se refiere a la protección de información sensitiva contra revelación no autorizada.

4) Integridad: Relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio.

5) Disponibilidad: se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas.

6) Cumplimiento: tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

7) Confiabilidad: se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades.

 

o   Recursos de tecnología de información

La empresa debe suministrar los recursos necesarios para responder a los requerimientos que el negocio tiene hacia la función de tecnología de información. Los recursos necesarios son:

a) Aplicaciones: Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados.

b)   Información: datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido, etc.

c)    Infraestructura: Recursos para alojar y dar soporte a los sistemas de información. Como el hardware, bases de datos

d)   Personal: Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información

 

o   Procesos orientados

 

Para obtener información que requiere la empresa para obtener sus objetivos, esta necesita invertir en

administrar y controlar recursos de TI utilizando un conjunto de procesos para proporcionar los servicios

que entreguen esa información requerida. Los cuales se dividen en:

 

ü  Dominios

a)    Planear y organizar: se refiere a identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio.

b)   Adquirir e implementar: Para llevar a cabo la estrategia de TI, se necesitan identificación de soluciones, desarrollo o adquisición, cambios y/o mantenimiento de sistemas existentes

c)    Entregar y soportar: Cubre la entrega de los servicios requeridos. Incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales.

d)   Monitorear y evaluar: Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control.

ü  Procesos

Los procesos están agrupados en cuatro grandes dominios que se describen a continuación:

1.       Planeación

Se vincula con la identificación de la forma en que la tecnología de información puede contribuir de la manera más adecuada con el logro de los objetivos del negocio.

2.       Adquisición y desarrollo

Cambios y mantenimiento de los sistemas existentes para garantizar la continuidad del ciclo de vida para
estos sistema

3. Entrega y soporte

Prestación efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre
aspectos de seguridad y continuidad hasta capacitación. Incluye:

4.           Monitoreo

Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos

o   Controles

COBIT define objetivos de control, políticas, procedimientos, prácticas y estructuras organizaciones diseñados para proporcionar un aseguramiento razonable del cumplimiento de los objetivos institucionales. Cada proceso tiene objetivo de control específicos, objetivo de control de alto nivel, objetivos de control genéricos aplicables a todos los procesos.

• Medición

La forma de medición es a través del uso de un modelo de madurez. Permite comparar:

a.    Como estamos en relación a buenas prácticas aceptadas

b.    Como estamos frente a similares

c.     Se realiza lo necesario?

d.    Identificar que se necesita realizar para lograr el nivel de procesos

MODELO DE CAPACIDAD DE LOS PROCESOS

El modelo de madurez de los procesos manejados en COBIT 4.1., fue reemplazado por el modelo de capacidad de los procesos en COBIT 5, este  fue desarrollado basado en la ISO/IEC 15504 de Ingeniería de Software-Evaluación de Procesos, también conocida como Software Process Improvemente Capability Determinacion (SPICE), en español, “Determinación de la Capacidad de Mejora del Proceso de Software”.  El modelo tiene como objetivos generales la evaluación de procesos y apoyo a la mejora de procesos, es decir, que proporciona un medio para medir el desempeño de cualquier de los procesos de gobierno (basado en EDM) o de gestión (basado en PRM) y permitirá indicar áreas de mejora.

La ISO/IEC 15504 se caracteriza por:                          

·      Establecer un marco y requisitos para cualquier proceso de evaluación de procesos.

·      Proporciona requisitos para cualquier modelo de evaluación de organizaciones.

·      Proporciona guías para la definición de las competencias de un evaluador de procesos.

La descripción del proceso debe cumplir con los siguientes requisitos:

·      El proceso debe estar descrito en términos de su propósito y resultados.

·      La descripción del proceso no debe contener ningún aspecto del marco de medición por debajo del nivel 1, es decir. Eso quiere decir que la descripción del proceso solo contiene los pasos  necesarios para alcanzar el propósito y las metas reales del proceso.

Existen 6 niveles de capacidad que se pueden alcanzar por procesos:

·      Nivel 0 Procesos incompletos: El proceso no está implementado o no alcanzo su propósito.

·      Nivel 1 Proceso ejecutado (un atributo): Alcanzar este nivel requiere que  el atributo de rendimiento sea alcanzado ampliamente, lo que significa que el proceso se ejecute con éxito  y la organización haya obtenido los resultados esperados.

·      Nivel 2 Proceso gestionado (dos atributos): El proceso ejecutado esta ya implementado de forma gestionada (planificado, supervisado y ajustado) y los resultados de la ejecución están establecidos, controlados y mantenidos apropiadamente

·      Nivel 3 Proceso establecido (dos atributos): El proceso gestionado esta ahora implementado usando un proceso definido que es capaz de alcanzar sus resultados de procesos

·      Nivel 4 Proceso predecible (dos atributos): El proceso establecido ahora se ejecuta dentro de límites definidos para alcanzar sus resultados de proceso.

Nivel 5 Procesos optimizados  (dos atributos): El proceso predecible es mejorado de forma continua para poder cumplir con las metas empresariales presentes y futuras

 

DIFERENCIAS EN LA PRÁCTICA ENTRE LOS MODELOS DE COBIT 4.1 Y COBIT 5

• En general, los resultados de la evaluación serán menores al usar el modelo de capacidad de procesos de COBIT 5,  puesto que en  el modelo de madurez de COBIT 4.1, un proceso podía alcanzar un nivel 1 ó 2 sin alcanzar completamente todos los objetivos del proceso; con los niveles de la capacidad de procesos de COBIT 5, esto implicaría un resultado inferior, entre 0 y 1.

• Ya no se incluye dentro de los contenidos detallados de un proceso en COBIT 5 un modelo específico de madurez para cada proceso. Esto es porque el enfoque de la norma ISO/IEC 15504 para la evaluación de la capacidad de procesos no lo requiere. En cambio, el enfoque de la norma define la información requerida en el “modelo de referencia de procesos"

CONCLUSIONES

 

-          El COBIT es de gran importancia para la obtención de información relevante para cualquier negocio.

-          Ayuda a mejorar los procesos de negocio y permite utilizar la información de manera oportuna, correcta y consistente.

-          El uso de Cobit ayuda a lograr un balance entre los riesgos y las inversiones que se requieren en controles.

 

-          Cobit le permite a los usuarios, obtener una garantía en cuanto a la seguridad y controles de los servicios de tecnología de información proporcionados internamente o por proveedores.

Resumen tema primera socializaciòn

Buenas tardes, enviamos el resumen del tema de la primera socialización:

 

 

COSO RESUMEN

El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control.

Este es un lineamiento más de la compañía ya que tiene que dar fe tanto cuantitativamente como cualitativamente de la información financiera como de la organización estructurada de la entidad,  permitiendo analizar y hallar los riesgos para poder calificarlos y tomar las medidas correspondientes para su mitigación.

Es importante que luego de tener un conocimiento estructurado sobre los principios y estándares del informe, se enfatice sobre el impacto que este tiene sobre la implementación y desarrollo dentro de la entidad  de las tecnologías de la información, identificando los posibles problemas o riesgos que afectarían directamente el desarrollo de las actividades debido a la complejidad y la automatización de los procesos.

El principal objetivo mejorar la calidad de la información financiera concentrándose en el manejo corporativo, las normas éticas y el control interno, de igual manera unificar criterios ante la existencia de una importante variedad de interpretaciones y conceptos sobre el control interno.

Existen términos como el control interno que están inmersos dentro del coso, este hace referencia al esquema de verificación y evaluación de los planes, métodos, principios, normas y procedimientos, así como la administración de la información y de los recursos, en la obtención de los objetivos.

El Informe COSO se ha establecido como el parámetro de comparación para determinar el cumplimiento de la ley.

ELEMENTOS DEL INFORME COSO

ENTORNO DE CONTROL

Es la base de los demás componentes, aportando disciplina y estructura. Incluye aspectos como la integridad, valores éticos, capacidad de los empleados y la orientación de la dirección. También podemos encontrar la imagen de la gerencia que sugiere la importancia de la tecnología de la información de sus controles y seguridad.

EVALUACIÓN DE LOS RIESGOS

Es importe  identificar los objetivos organizacionales y que éstos sean coherentes. Luego deben identificarse y evaluarse los riesgos relevantes que pueden afectar el alcanzar esos objetivos.

ACTIVIDADES DE CONTROL

Son políticas y procedimientos que ayudan a asegurar la implementación de las directivas de la dirección, también permiten asegurar que se tomen las medidas necesarias para el tratamiento de los riesgos que amenazan el logro de los objetivos de le entidad. Estas actividades se deben llevar a cabo en toda la organización y en todos los niveles y en todas las funciones.

 Las actividades de control pueden dividirse en tres categorías en función de la naturaleza de los objetivos de la entidad con los cuales se relacionan: de operaciones, informes financieros o  de cumplimiento.

INFORMACIÓN Y COMUNICACIÓN.

Aquí vemos como la información relevante debe ser identificada, recopilada e informada de una forma y dentro un lapso de tiempo donde las personas puedan realizar sus tareas. Los sistemas de información elaboran informes que contiene la información operativa, financiera y de cumplimiento las cuales permiten que la organización siga su curso de actividades con un control de las mismas.

SUPERVISIÓN

Los sistemas de  control interno deben supervisarse, lo cual constituye un proceso que evalúa la calidad del desempeño del sistema durante el transcurso del tiempo. Dicho proceso contiene actividades continuas de supervisión, evaluaciones periódicas, separadas o podría ser una combinación de ambas. La supervisión continua se produce durante el curso normal de las operaciones y requiere de actividades regulares de gestión y supervisión y algunas otras que son cumplidas por el personal en los cumplimientos de sus obligaciones.

La frecuencia de las evaluaciones separadas en una organización dependerá de la eficiencia de la supervisión continua, ya que si esta no cumple con todas las expectativas se tendrá que llevar a un control más eficiente. La periodicidad de las evaluaciones separadas necesarias para que la dirección tenga una seguridad razonable acerca de la eficacia del control interno dependerá del criterio de la dirección.

RIESGOS MÁS REPRESENTATIVOS DE LA TECNOLOGÍA

ü  Cumplimiento de Regulaciones y Legislación.

ü  Gestión de amenazas / puntos vulnerables.

ü  Privacidad

ü  Supervisión / auditoría / aseguramiento continuos.

ü  Seguridad de las redes inalámbricas

ü  Protección contra intrusiones

ü  Tercerización de TI

ü  Mediciones de seguridad empresarial

ü  Gestión de identidad

ü  Adquisiciones y ventas, impacto en la gestión de sistemas

A medida que la tecnología vaya avanzando, traerá consigo más riesgos inminentes. Es importante estar atentos dentro de las organizaciones con medidas para gestionar y mitigar esos riesgos pues estos son inherentes a las organizaciones.

 

INTEGRANTES

LEIDY ARIAS

DORIS TILAGUY