El documento presenta los objetivos y estructura del marco de trabajo COBIT (Control Objectives for Information and related Technology). COBIT ayuda a la gerencia a comprender y administrar los riesgos asociados con TI mediante el desarrollo de políticas claras y buenas prácticas para la seguridad y el control de TI. Los procesos de TI se agrupan en dominios como adquisición e implementación, desarrollo y mantenimiento, entre otros. Cada dominio tiene objetivos de control orientados a asegurar que las soluciones de TI satisfagan los requer
1. COBIT - Objetivos de Control para la
Información y Tecnologías Afines
> AUDITORIA DE SISTEMAS
oCarmen Jimbo
oGian Carlos Llerena
oFernando Grunauer
oRodrigo Beltran
oCarlos Ramos
oDimitri Villamar
2. COBIT
(Control Objectives for Information and related Technology)
Objetivos de Control para la Información y Tecnologías Afines
Es la herramienta innovadora para el
gobierno de TI que ayuda a la gerencia
a comprender y administrar los riesgos
asociados con TI.
El objetivo del proyecto es el desarrollo
de políticas claras y buenas prácticas
para la seguridad y el control de TI.
2
3. Estructura
Los procesos se definen entonces
en un nivel superior como una
serie de actividades o tareas
conjuntas con “cortes” naturales
(de control). Al nivel más alto, los
procesos son agrupados de manera
natural en dominios.
Su
agrupamiento
natural
es
confirmado frecuentemente como
dominios de responsabilidad en
una estructura organizacional, y
está en línea con el ciclo
administrativo o ciclo de vida
aplicable a los procesos de TI.
3
4. Dominio
Adquisición e
implementación
Identificar
nuevas
aplicaciones
o
funciones se requiere un análisis antes
de la compra o el desarrollo, a fin de
garantizar que los requisitos del Negocio
satisfacen son satisfechos efectivos y
eficientemente
Para llevar a cabo la estrategia de TI,
las soluciones de TI deben ser
identificadas,
desarrolladas
o
adquiridas, así como implementadas e
integradas dentro del proceso del
negocio. Además, este dominio cubre
los cambios y el mantenimiento
realizados a sistemas existentes.
4
5. Objetivo de Control
Identificación de Soluciones
Asegurar el
mejor enfoque
para cumplir
con los
requerimientos
del usuario
>
Tenemos como prioridad cumplir con la efectividad y
secundariamente con la eficiencia, aquí aplicarían los
recursos tales como las aplicaciones, tecnología e
instalaciones; Se dividen en 18 objetivos de control. Nos
concentramos en cumplir el enfoque de todos los
requerimientos del usuario haciéndolo a través de un
análisis claro de las oportunidades alternativas comparadas
contra los requerimientos de usuario
5
6. Identificación de Soluciones
Se toma en consideración:
>
>
>
>
>
>
>
Definición de requerimientos de información
Estudios de factibilidad (costos, beneficios, alternativas)
Arquitectura de la Información
Seguridad con relación al costo – beneficio
Pistas de auditoria
Contratación a terceros
Aceptación de instalaciones y tecnología.
6
7. Cuestionario
> Porqué es impórtate que La metodología del ciclo de vida
de desarrollo de sistemas de la organización deba
estipular que sean aplicados a técnicas y procedimientos?
> Que es lo que asegura la gerencia en cambios
significativos a sistemas actuales?
> La metodología del ciclo de vida de desarrollo de sistemas
de la organización porque debe asegurar la aplicación de
un procedimiento apropiado?
> En el diseño de recopilación de datos fuentes porque es
importante la especificación de mecanismos?
> Que se detalla en la definición y documentación de
requerimientos de entrada de datos?
> Que se define en las interfaces externas e internas?
> Para que se define y documenta los requerimientos de
procesos?
> Que se detalla en los requerimientos de salida de datos?
> Porque es importante la disponibilidad en el diseño?
> Que tipos de pruebas se le realizan al software de
aplicación?
> Que es lo que es lo que involucra los materiales de
consulta y soporte para usuarios?
> Que se debe asegurar reevaluación del diseño del
7
sistema?
8. Objetivo de Control
Adquisición y Mantenimiento de
Software de Aplicación
Proporcionar
funciones Manifiesta que en el ciclo de vida del software se debe elaborar guías
automatizadas de procedimiento y llevar registros de requerimientos de usuarios para
que soporten diseñar el software que cumpla con todas las especificaciones
adecuadas y solicitadas.
efectivamente
al negocio
8
9. Adquisición y Mantenimiento de
Software de Aplicación
Teniendo en consideración los siguientes pasos:
>
>
>
>
>
>
>
Requerimientos de usuarios
Requerimientos de archivos de entrada, proceso y
salida.
Interface usuario – maquina
Personalización de paquetes
Pruebas funcionales
Controles de las aplicaciones y requerimientos
funcionales
Documentación
9
10. Cuestionario
> ¿Cuenta con un manual de diseño de software?
> ¿Posee las guías o procedimientos necesarios para
crear o modificar el software?
> ¿Tiene algún manual que defina mecanismos acerca de
la seguridad y control de los sistemas?
> ¿Quién se encarga de realizar las especificaciones del
diseño de y cada cuanto tiempo se aprueba el diseño?
> ¿Al requerir las especificaciones de mecanismo
adecuado se obtendrá toda la información?
> ¿Cada que lapsos se revisan las interfaces internas y
externas?
10
11. Objetivo de Control
Adquisición y Mantenimiento de
Arquitectura de Tecnología
Proporcionar
las plataformas
apropiadas
para soportar
aplicaciones
de negocios
Las prioridades son cumplir con la efectividad, eficiencia y
como aseveración a cumplir secundaria será la integridad,
solo aplicaría el recurso tecnología; tiene 6 objetivos de
control.
11
12. Adquisición y mantenimiento de
arquitectura de Tecnología
Tomando en consideración:
>Evaluación de Nuevo Hardware y
>Software
>Mantenimiento Preventivo para Hardware
>Seguridad del Software del Sistema
>Instalación del Software del Sistema
>Mantenimiento del Software del Sistema
>Controles para Cambios del Software del Sistema
12
13. Cuestionario
>
>
>
>
>
>
>
>
>
>
>
>
>
>
¿Existe un programa de mantenimiento preventivo para cada
dispositivo del sistema de cómputo?
¿Se lleva a cabo tal programa?
¿Existen tiempos de respuesta y de compostura estipulados en los
contratos?
¿Existe plan de mantenimiento preventivo. ?
¿Este plan es proporcionado por el proveedor?
¿Se notifican las fallas?
¿Se les da seguimiento?
¿Tiene un plan logístico para dar soporte al producto software?
¿La mantenibilidad se tiene en cuenta antes de empezar a
desarrollar?
¿Se han adoptado medidas de seguridad en el departamento de
sistemas de información?
¿Existe una persona responsable de la seguridad?
¿Se ha dividido la responsabilidad para tener un mejor control de la
seguridad?
¿Existe vigilancia en el departamento de cómputo las 24 horas?
¿Se permite el acceso a los archivos y programas a los
programadores, analistas y operadores?
13
14. Objetivo de Control
Desarrollo y Mantenimiento de
Procedimientos Relacionados con
Tecnología de Información
Asegurar el uso
apropiado de
las aplicaciones
y de las
soluciones
tecnológicas
establecidas
Como prioridad tenemos Efectividad, eficiencia y de forma
secundaria a integridad, cumplimiento y confiabilidad, los recursos
que incurrimos aquí son gente, aplicaciones, tecnología e
instalaciones, teniendo 4 objetivos de control. Aquí nos aseguramos
del uso apropiado de las aplicaciones y de las soluciones
tecnológicas establecidas con un enfoque estructurado del
desarrollo de manuales de procedimientos para usuarios,
requerimientos de servicio y el material de entrenamiento
14
15. Desarrollo y Mantenimiento de
Procedimientos Relacionados con
Tecnología de Información
Siempre tomando en consideración:
>
Procedimientos
y
controles
de
usuarios
>
Procedimientos y controles operacionales
>
Materiales de entrenamiento
15
16. Cuestionario
>
>
>
>
>
>
>
>
>
>
>
¿Existe un manual de procedimientos relacionados con la
tecnología de la información?
¿Existe un manual de documentación de técnicas del sistema
integrado?
¿Existe un control de registro formal de las modificaciones
efectuadas?
¿Existe alguna guía de capacitación?
¿Existe un procedimiento normalizado?
¿Está escrito?
¿Es el que se aplica?
¿Cuál es el objetivo del proceso?
¿Existe algún criterio de medición de desempeño?
El responsable ¿posee la preparación requerida?
¿Los recursos asignados al proceso son los adecuados?
16
17. Objetivo de Control
Instalación y acreditación de
sistemas
Verificar y
confirmar que
la solución sea
adecuada para
el propósito
deseado
Tenemos como prioridad la efectividad y secundarias la
integridad y disponibilidad, aquí aplican todos los recursos, y
se dividen en 11 objetivos de control con el fin de verificar y
confirmar que la solución sea adecuada para el propósito
deseado con la realización de una migración de instalación,
conversión y plan de aceptación adecuadamente formalizados
17
18. Instalación y acreditación de
sistemas
Teniendo en consideración:
>
Capacitación
>
Conversión / carga a datos
>
Pruebas especificas
>
Acreditación
>
Revisiones post implementación
18
19. Cuestionario
>
>
>
>
>
>
>
>
>
>
¿Qué plan de entrenamiento esta previsto ante una eventual
crisis de seguridad al momento de implementar un nuevo
sistema?
¿Qué tipo de inconvenientes se mostrarían al momento de
realizar la conversión de los elementos de su sistema?
¿Cuáles son los requisitos y necesidades y plan de respaldo?
¿Cuáles son los procedimientos para asegurar que las pruebas
piloto o en paralelo sean llevadas a cabo de acuerdo con un
plan preestablecido?
¿Cómo se calcula el que las pruebas deben cubrir todos los
componentes del sistema de información por implementar?
¿Cuáles son los procedimientos para asegurar que la
Gerencia de operaciones y la Gerencia usuaria aceptan
formalmente los resultados de las pruebas?
¿Cómo la gerencia asegura que, antes de poner el sistema en
operación, el usuario o custodio designado valide su
operación como un producto completo?
¿Cómo se controlar la entrega del sistema de desarrollo a
pruebas y a operación?
¿En qué consiste el manual para la evaluación de satisfacción
de necesidades del usuario final?
¿En qué consiste la evaluación y reporte de beneficios
esperados del sistema?
19
20. Conclusión
Los recursos de TI son
manejados por
procesos de
TI para lograr metas
de TI que respondan a
los
requerimientos del
negocio.
Este es el principio
básico del marco de
trabajo
COBIT
La adquisición de recursos dentro de la
organización
toma
relevancia
ante
la
implementación de mejoras a las actividades
realizadas para cumplir con los objetivos y
metas que se pretenden lograr, la colaboración
del proceso de adquirir recursos de TI toma
relevancia en el momento de realizar las
gestiones con los proveedores, que va desde el
control de la adquisición hasta la propia
adquisición
abarcando
entonces
la
administración de los contratos y la selección de
proveedores.
20