Para proveer la información que requiere la organización para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas.
2. OBJETIVOS DE CONTROL PARA LA INFORMACION Y LA TECNOLOGIA RELACIONADA DEFINICIÓN DE COBIT
3. MISIÓN COBIT Investigar, desarrollar, publicar y promover un conjunto de objetivos de control para tecnología de información, que sea internacional y este actualizado para uso cotidiano de gerentes, auditores y usuarios. VISIÓN COBIT Ser el modelo de control para la TI .
4. REGLA DE ORO DE COBIT Para proveer la información que requiere la organización para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos , agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas.
5.
6. (Tecnologías de Informática ) Se encargan de Por medio de SISTEMAS INFORMATICOS DE INFORMACION QUE SON LAS TI DISEÑO FOMENTO DESARROLLO MANTENIMIENTO ADMINISTRACION
7. REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO RECURSOS DE TI PROCESOS DE TI PRINCIPIOS COBIT
8. Requerimientos de Calidad Requerimientos Financieros (COSO) Requerimientos de Seguridad Efectividad y eficiencia operacional. Confiabilidad de los reportes financieros. Cumplimiento de leyes y regulaciones. Calidad (cumplimiento de requerimientos) Costo (dentro del presupuesto). Oportunidad (en el tiempo indicado) Confidencialidad. Integridad. Disponibilidad. CobiT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC y SAS REQUERIMIENTOS DE LA INFORMACIÓN DEL NEGOCIO
9. Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Efectividad Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos. Eficiencia Relativa a la protección de la información sensitiva de su revelación no autorizada. Confidencialidad Se refiere a la exactitud y completitud de la información, así como su validez, en concordancia con los valores y expectativas del negocio. Integridad REQUERIMIENTOS DE LA INFORMACIÓN DEL NEGOCIO
10. Se refiere a que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas. Disponibilidad Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio. Cumplimiento Se refiere a la provisión de la información apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades financieras y de cumplir con los reportes de su gestión. Confiabilidad REQUERIMIENTOS DE LA INFORMACIÓN DEL NEGOCIO
11. Datos: Todos los objetos de información. Considera información interna y externa, estructurada o no, gráficas, sonidos, etc. Aplicaciones: E ntendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología: I ncluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recurso Humano : Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información. RECURSOS DE TI
12. Microcomputador o terminal ========================== Aplicaciones en funcionamiento (1),(2),(3),(4),(8),(10),(11) Red local =============== (1),(2),(3),(4),(5),(6), (7),(8),(9),(10),(11) Sistema de comunicaciones (8),(11) Seguridad de la información Seguridad física (1) Sistemas Operacionales (2) Software de Seguridad (3) Sistemas Manejadores de Bases de Datos y Diccionarios de Datos (4) Monitores de Teleprocesamiento (5) Ayudas para el desarrollo de programas (6) Control del Cambio y Administración de librerías (7) Editores en línea (8) Software de Telecomunicaciones (9) Sistema de soporte a operaciones (10) Sistemas de oficina (11) Intercambio electrónico de datos Equipo central ========================= Operación del sistema (1),(2),(6),(7),(8),(9) RECURSOS DE TI
13. PROCESOS DE TI - LOS 3 NIVELES Dominios Agrupación natural de procesos, normalmente corresponden a una responsabilidad organizacional Procesos Conjuntos de actividades unidas con delimitación o cortes de control. Actividades o tareas Acciones requeridas para lograr un resultado medible. Las Actividades tienen un ciclo de vida mientras que las tareas son discretas.
17. Planeac i ón y Organización Que satisface el requisito de negocio para Hallar un balance óptimo de oportunidades de tecnología de la información y los requisitos de negocio así como también asegurar su realización adicional Toma en consideración • Definición de los objetivos de negocio y necesidades para las TI • Inventario de soluciones tecnológicas e infraestructura actual • Cambios organizativos • Estudio de viabilidad oportuno • Existencia de evaluaciones de sistemas PROCESOS DE TI
18. Planeac i ón y Organización Que satisface el requisito de negocio para Una mejor organización de los sistemas de información Toma en consideración • Documentación • Diccionario de datos • Reglas sintácticas de datos • Propiedad de datos y clasificación crítica PROCESOS DE TI
19. Planeac i ón y Organización Que satisface el requisito de negocio para Tomar ventaja de la tecnología disponible y emergente Toma en consideración • Adecuación y evolución de la capacidad de la infraestructura actual • Monitorización de los desarrollos tecnológicos • Contingencias • Planes de adquisición PROCESOS DE TI
20. Planeac i ón y Organización Que satisface el requisito de negocio para Entregar los servicios de las TI Toma en consideración • Comité de dirección • Consejo de nivel de responsabilidad • Propiedad, custodia • Supervisión • Segregación de obligaciones • Roles y responsabilidades • Descripciones del trabajo • Provisión de niveles • Clave personal PROCESOS DE TI
21. Planeac i ón y Organización Que satisface el requisito de negocio para Garantizar la consolidación y controlar el gasto de los recursos financiero s Toma en consideración • Consolidación de alternativas • Control del gasto efectivo • Justificación de los costes • Justificación de los beneficios PROCESOS DE TI
22. Planeac i ón y Organización Que satisface el requisito de negocio para Garantizar el conocimiento del usuario y entendimiento de esos fines Toma en consideración • Código de conducta/ética • Directrices de tecnología • Conformidad • Comisión de calidad • Políticas de seguridad • Políticas de control interno PROCESOS DE TI
23. Planeac i ón y Organización Que satisface el requisito de negocio para Maximizar las contribuciones del personal a los procesos de TI Toma en consideración • Refuerzo y promoción • Requisitos de calidad • Entrenamiento • Construcción del conocimiento • Evaluación de la ejecución objetiva y medible PROCESOS DE TI
24. Planeac i ón y Organización Que satisface el requisito de negocio para La mejora continua y medible de la calidad de los servicios prestados por TI Toma en consideración • Plan de estructura de la calidad • Estándares y prácticas de calidad • Metodología del ciclo de vida del desarrollo del sistemas • Estándares de desarrollo y de adquisición • Medición, monitoreo y revisión de la calidad PROCESOS DE TI
25. Planeac i ón y Organización Que satisface el requisito de negocio para De asegurar la realización de los objetivos de TI, respondiendo a las amenazas para el suministro de los servicios de TI Toma en consideración • Diferentes tipos de riesgos de TI (tecnología, seguridad, continuidad, etc.) • Alcance: global o sistemas específicos • Evaluación de riesgos hasta la fecha • Metodología de análisis de riesgos • Medidas de riesgo cuantitativas y/o cualitativas • Plan de acción de riesgos PROCESOS DE TI
26. P L A N E A R Y O R G A N I Z A R PO9 Evaluar y administrar los riesgos de TI BS 7799 Security Standard "BS 7799-3:2005 sistemas de gestión seguridad de la información. Directrices para la gestión de riesgos de seguridad de la información " Abarca las siguientes: # Evaluación de riesgos # Tratamiento del riesgo # Gestión de la toma de decisiones # Nueva evaluación de riesgo # La vigilancia y el examen de perfil de riesgo # Riesgo de la seguridad de la información en el contexto de la gobernanza empresarial # El cumplimiento de otras normas basadas en los riesgos y los reglamentos PROCESOS DE TI
30. Adquisición e Implementación Que satisface el requisito de negocio para Asegurar la mejor aproximación para satisfacer los requisitos del usuario Toma en consideración • Definición de la información de requisitos • Estudios factibles (costes, beneficios, alternativas, etc.) • Requisitos de usuario • Arquitectura de la información • Seguridad del coste-efectivo • Contratación externa PROCESOS DE TI
31.
32. Adquisición e Implementación Que satisface el requisito de negocio para Adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI Toma en consideración • Asentamiento de la tecnología • Mantenimiento del hardware preventivo • Seguridad del sistema software, instalación, mantenimiento y cambio de controles PROCESOS DE TI
41. ENTREGAR Y DA R SOPORTE Definir y administrar los niveles de servicio SLA (Service Level Agreement) o Acuerdo de Nivel de Servicio es un contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad del servicio. Si se utiliza correctamente debe: * Identificar y definir las necesidades del cliente * Proporcionar un marco para la comprensión * Simplificar cuestiones complejas * Reducir las zonas de conflicto * Alentar el diálogo en caso de litigio * Eliminar las expectativas poco realistas Concretamente, debe abarcar una amplia gama de cuestiones. Entre estos suelen ser los siguientes: Servicios a ser entregados Rendimiento, seguimiento y presentación de informes Problema de gestión Cumplimiento legal y Resolución de Conflictos Deberes y Responsabilidades del cliente Seguridad Derechos de propiedad intelectual y la información confidencial Terminación
42.
43.
44.
45. Prestación de Servicio y Soporte Que satisface el requisito de negocio para Salvaguardar la información contra el uso no autorizado, descubrimiento o modificación, daño o pérdida Toma en consideración • Autorización • Autenticidad • Acceso • Uso de protección e identificación • Gestión de clave criptográfica • Detección y prevención de virus • Cortafuegos PROCESOS DE TI
46. Prestación de Servicio y Soporte Que satisface el requisito de negocio para Asegurar un correcto conocimiento de los costes atribuidos a los servicios de TI Toma en consideración • Recursos identificables y medibles • Modelación de costos y cargos • Imponer valores PROCESOS DE TI
47. Prestación de Servicio y Soporte Que satisface el requisito de negocio para Asegurar que los usuarios son eficientes en el uso de la tecnología y que son conscientes de los riesgos y responsabilidades en las que están involucrados Toma en consideración • Plan de estudios de entrenamiento • Campañas de conocimiento • Técnicas de conocimiento PROCESOS DE TI
48. Prestación de Servicio y Soporte Que satisface el requisito de negocio para Permitir el efectivo uso de los sistemas de TI garantizando la resolución y el análisis de las consultas de los usuarios finales, incidentes y preguntas. Toma en consideración • Cuestiones del cliente y respuestas al problema • Monitorización de cuestiones y aclaraciones • Análisis de tendencias e información PROCESOS DE TI
49. Prestación de Servicio y Soporte Que satisface el requisito de negocio para Considerar todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proveer de un fundamento para una gestión de cambio firme Toma en consideración • Medios de registro • Gestión del cambio de configuración • Chequeo del software no autorizado • Controles de almacenamiento de software PROCESOS DE TI
50. Prestación de Servicio y Soporte Que satisface el requisito de negocio para Asegurar que los problemas e incidentes serán resueltos, e investigando la causa para prevenir una nueva aparición de estos Toma en consideración • Reglas suficientes de auditoría de problemas y soluciones • Resolución oportuna de problemas anunciados • Informes de incidentes PROCESOS DE TI
51. Prestación de Servicio y Soporte Que satisface el requisito de negocio para Asegurar que los datos permanecen completos, correctos y válidos durante su introducción, actualización y almacenamiento Toma en consideración • Diseño del modelo • Controles de entrada • Controles de proceso • Controles de salida • Almacenamiento multimedia y gestión de copias de seguridad • Autenticidad e integridad PROCESOS DE TI
52. Prestación de Servicio y Soporte Que satisface el requisito de negocio para Proveer de un medio físico apropiado que proteja el equipamiento de las TI y a las personas contra riesgos naturales y riesgos provocados por el hombre Toma en consideración • Identificación de la situación • Seguridad física • Salud y seguridad del personal • Protección de amenazas del entorno PROCESOS DE TI
53. Prestación de Servicio y Soporte Que satisface el requisito de negocio para Asegurar que las funciones importantes soportadas de las TI son realizadas regularmente y de una forma ordenada Toma en consideración • Manual de procedimiento de operaciones • Documentación del proceso puesto en marcha • Gestión de servicios de la red • Planificación del trabajo y el personal PROCESOS DE TI
58. Monitorear y evaluar Monitorear y evaluar el control interno control interno situaciones a informar Como ya se indicó las "situaciones a informar", son asuntos que llaman la atención del auditor, pues representan deficiencias importantes en el diseño y operación de la estructura del control interno, que a su juicio podrían afectar negativamente la capacidad de la organización. Deficiencia en el diseño de la estructura del control interno Diseño inadecuado de la estructura del control interno en general. - Ausencia de una adecuada segregación de funciones, acorde con los objetivos de control establecidos. - Falta de revisión y aprobación adecuada de las transacciones, pólizas contables o reportes emitidos. Fallas en el suministro de información completa y correcta de acuerdo con los objetivos de la entidad, como consecuencia de omisiones en la aplicación de los procedimientos de control. - Violación intencional de los controles establecidos, por parte de personal de alto nivel jerárquico. - Fallas en la protección de los activos, contra pérdidas, daños o uso indebido de los mismos .