1. AI10 ISACA
AI10 11MCMP - PLGR
ISACA
VIDEOS
CobitMan
COBIT Intro
Mª Carmen Molina Prego
Pedro Luis García Repetto
Auditoría Informática
Grado Ingeniería Informática
DACYA – FDI – UCM
2. AI10 ISACA
AI10 22MCMP - PLGR
Índice
1.ISACA
2. COBIT
3. Gobierno TI: Val IT
4. ITAF
5. Estándares y guías
6. Bibliografía
3. AI10 ISACA
AI10 33MCMP - PLGR
10.1 ISACA
HISTORIA
Fundada en 1969
Information Systems Audit and Control Association
Agrupa a más de 100 000 especialistas
Auditores SGSI
Administradores SGSI
Gobierno de las TI
Analistas y gestores del riesgo TI
MISIÓN
Proveer conocimientos y formación en auditoría y
aseguramiento
Certificar especialistas
Red social
4. AI10 ISACA
AI10 44MCMP - PLGR
10.1 ISACA
CERTIFICACIONES PROFESIONALES
CISA
Auditor Certificado de Sistemas de Información
+ 90 000 desde 1978
CISM
Administrador Certificado de Seguridad de la Información
+ 18 000 desde 2002
CGEIT
Certificado en la gobernanza de la TI empresarial
+ 4 800 desde 2007
CRISC
Diplomado en Riesgos y Control de Sistemas de
Información
+ 16 000 desde 2010
5. AI10 ISACA
AI10 55MCMP - PLGR
10.1 ISACA
MARCOS DE TRABAJO
COBIT
Seguridad de los Sistemas de Información
VAL IT
Gestión de inversiones en TI
ITAF
Prácticas profesionales para el aseguramiento de TI
RISK IT
Gestión de Riesgos en TI
BMIS
Modelo de Negocio de la Seguridad Información
6. AI10 ISACA
AI10 66MCMP - PLGR
10.1 ISACA
ACTIVIDADES
FORMACIÓN
CISA, CISM, CGEIT y CRISC
COBIT
VAL IT
RISK IT
IT Assurance Framework (ITAF)
CONGRESOS
INSIGHTS: IT and business leaders
CACS: Informática Auditoría, Control y Seguridad
IT GRC: IT Gobernanza del riesgo y cumplimieto
ISRM: Gestión del Riesgo de la SI
11. AI10 ISACA
AI10 1111MCMP - PLGR
Marco de trabajo (CÓMO) para
Gobernanza TI (Similar a ISO/IEC 38500)
Control y seguridad TI
COBIT 5.0 integra:
COBIT 4.1
Risk IT
Val IT
COBIT
Referente en seguridad y gobernanza TI
No describe un proceso de auditoría TI
COBIT vs ISO/IEC 27001
ISO/IEC 27001: + Seguridad TI y – Gobernanza
TI. (Estándar: QUÉ)
COBIT: + Seguridad TI y + Gobernanza TI
10.2 COBIT
13. AI10 ISACA
AI10 1313MCMP - PLGR
Criterios o propiedades de la información
Efectividad: relevante y pertinente con el negocio
Eficiencia: uso óptimo recursos para su generación
Confidencialidad: acceso sólo a autorizados
Integridad: precisión y completitud
Disponibilidad: a disposición de los proc. negocio
Cumplimiento: legales y normativos internos o
externos
Confiabilidad: apropiada para la gerencia
10.2 COBIT
15. AI10 ISACA
AI10 1515MCMP - PLGR
Gestión de recursos TI para alcanzar metas TI
Aplicaciones: automatizadas
y manuales
Información: datos entrada,
procesados, salidas, manuales
Infraestructura: instalaciones,
sitios y ambiente
Personas: internas o externas
10.2 COBIT
16. AI10 ISACA
AI10 1616MCMP - PLGR
Dominios de Cobit
Dominios se organizan en procesos
10.2 COBIT
Planificar
y
Organizar
PO 10
Adquirir e
Implemen-
tar AI 7
Entrega y
Soporte
DS 13
Monitori-
zar y
Evaluar
ME 4
Dominios 4
Procesos 34
Controles 210
¿Alineado TI y negocio?
¿Uso óptimo recursos?
¿Se entienden objetivos TI?
¿Calidad sistema TI?
¿Alineado proyecto-negocio?
¿Proyectos en tiempo y en €?
¿Nuevos sistemas OK?
¿Cambios no afectan sistema?
¿Prioridades negocio?
¿Optimizados costos TI?
¿Uso y admin. TI segura?
¿CID?
¿Monitorea TI?
¿Controles efectivos y
eficientes?
¿Metas negocio-metas TI?
¿Gestión riesgos?
18. AI10 ISACA
AI10 1818MCMP - PLGR
Metas negocio TI, metas TI y procesos (Apéndice I)
10.2 COBIT
Meta Negocio
TI 1
Meta TI 1.1
Proceso
1.1.1
Proceso
1.1.2
Meta TI 1.2
Proceso
1.10.1
Proceso
1.10.2 Financiera
Cliente
Interna
Aprendizaje y mejora
Metas negocio 17
Metas TI 28
Procesos 34
Dominios 4
Procesos 34
Controles 210
19. AI10 ISACA
AI10 1919MCMP - PLGR
Metas negocio TI, metas TI y procesos (Apéndice I)
10.2 COBIT
6 Continuidad y
disponibilidad
del servicio
10 Asegurar
relaciones con
terceras partes
DS2
DS10.1
DS10.2
16 Reducir
defectos entrega
PO8, AI14, AI6,
AI7, DS10
22 Mínimo
impacto si
interrupción
PO6, AI6, DS4,
DS12
23 Servicio TI
disponible
DS3, DS4, DS8,
DS13
META
NEGOCIO TI
(CLIENTE)
CONTROLESPROCESOSMETA TI
20. AI10 ISACA
AI10 2020MCMP - PLGR
Metas negocio TI, metas TI y procesos (Apéndice I)
10.2 COBIT
17 Contratar
y mantener
personal
cualificado
9 Contratar y
mantener
habilidades
TI según
metas TI
PO7 Gestión
y desarrollo
de personas
PO7.1
PO7.2
AI5 Adquirir
recursos TI
AI5.1, AI5.2
AI5.3, AI5.4
META NEGOCIO
TI
(APRENDIZAJE
Y MEJORA)
CONTROLESPROCESOSMETA TI
21. AI10 ISACA
AI10 2121MCMP - PLGR
Proceso DD99 del dominio DD
Identificación del proceso.
DD99 Nombre del proceso
Proceso satisface el requerimiento de negocio de TI
Resumen de las metas de TI más importantes
Enfocándose a
Resumen de las metas de proceso más
importantes
Se logra con
Metas de actividad
Y se mide con
Métricas
10.2 COBIT
22. AI10 ISACA
AI10 2222MCMP - PLGR
Ej. 1 - Proceso PO9 del dominio PO
Identificación del proceso.
PO9 Evaluar y administrar los riesgos de TI
Proceso satisface el requerimiento de negocio de TI
Analizar los riesgos y su impacto en negocio
Enfocándose en
Elaborar un marco de trabajo gestión riesgos TI
Se logra con
Gestión y evaluación de riesgos en procesos
Planes de acción
Y se mide con
% objetivos críticos de TI cubiertos por evaluación riesgos
% Riesgos críticos TI
% Planes de acción aprobados
10.2 COBIT
Proceso PO09
23. AI10 ISACA
AI10 2323MCMP - PLGR
Ej. 2 - Proceso PO10 del dominio PO
Identificación del proceso.
PO10 Administración de proyectos
Proceso satisface el requerimiento de negocio de TI
Proyectos en tiempo, presupuesto y calidad
Enfocándose en
Programa de administración de proyectos.
Participación de interesados, riesgos y avances
Se logra con
Marco trabajo proyectos y planificación
Y se mide con
% proyectos que cumplen tiempo, presupuesto y calidad
% proyectos con revisión
% proyectos que siguen estándares y prácticas
10.2 COBIT
24. AI10 ISACA
AI10 2424MCMP - PLGR
Ej. 2 - Proceso PO10 del dominio PO
Objetivo de control de alto nivel (PO10)
Objetivos de control detallados (PO10.1, PO10.2, hasta
PO10.14) Controles generales
Directrices gerenciales
Entradas del procesos y salidas del proceso
Ej PO1 Proyecto PO10 ME1 Informes de
ejecución del proyecto
Matriz RACI de actividades: quién es Responsable, a
quién hay que reportar (Assist), a quién se Consulta y a
quién se Informa en cada actividad del proceso.
Metas (TI, Procesos y actividades) se miden mediante
métricas
10.2 COBIT
Proceso PO10
25. AI10 ISACA
AI10 2525MCMP - PLGR
Entradas y Salidas del Proceso PO10
10.2 COBIT
PO10 Administrar
proyectos
27. AI10 ISACA
AI10 2727MCMP - PLGR
Metas DS5 Garantizar la seguridad de los SI
10.2 COBIT
Negocio
• Reputación y
liderazgo
TI
• Confidencialidad
• Confiabilidad
• Integridad
• Disponibilidad
Proceso
• Información sensible
• Detectar y resolver
accesos no
autorizados
• Minimizar impactos
Actividad
• Comprender los requisitos de
seguridad, vulnerabilidades y
amenazas
• Gestión entidades y
autorizaciones
• Gestión incidentes seguridad
28. AI10 ISACA
AI10 2828MCMP - PLGR
Métricas DS5 Garantizar la Seguridad de los Sistemas
10.2 COBIT
Negocio
• Nº reclamaciones
clientes.
• Nº Clientes OFF
TI
• Nº incidentes
impacto en negocio
• Nº sistemas no
cumplen req. seg.
• Tiempo gestión
identidades
Proceso
• Nº accesos no
autorizados
• Nº segregación
funciones OFF
• % contraseñas
débiles
• Nº Código malicioso
prevenido
Actividad
• Frecuencia revisión eventos
• % cuentas obsoletas
• % IP no autorizadas
• % llaves criptográficas OFF
• Nº derechos accesos modificados
29. AI10 ISACA
AI10 2929MCMP - PLGR
Proceso de un dominio
Modelo de madurez: método para evaluar cómo está
funcionando el proceso definiendo un nivel entre (0) no
existente hasta (5) optimizado.
10.2 COBIT
30. AI10 ISACA
AI10 3030MCMP - PLGR
Niveles de madures en desarrollo software
0- No existente. No procesos. No se reconoce problema.
1 - Inicial. Las organizaciones en este nivel no disponen de un
ambiente estable para el desarrollo y mantenimiento de
software. Se utilizan técnicas correctas de ingeniería pero los
esfuerzos se ven minados por falta de planificación. El éxito
de los proyectos se basa la mayoría de las veces en el
esfuerzo personal, aunque a menudo se producen fracasos y
casi siempre retrasos y sobrecostes. El resultado de los
proyectos es impredecible.
2 – Repetible pero intuitivo. En este nivel las organizaciones
disponen de unas prácticas institucionalizadas de gestión de
proyectos, existen unas métricas básicas y un razonable
seguimiento de la calidad.
10.2 COBIT
31. AI10 ISACA
AI10 3131MCMP - PLGR
Niveles de madures en desarrollo software
3 - Definido. Además de una buena gestión de proyectos, a
este nivel las organizaciones disponen de correctos
procedimientos de coordinación entre grupos, formación
del personal, técnicas de ingeniería más detalladas y un nivel
más avanzado de métricas en los procesos. Se implementan
técnicas de revisión por pares (peer reviews).
4 - Administrado. Se caracteriza porque las organizaciones
disponen de un conjunto de métricas significativas de calidad
y productividad, que se usan de modo sistemático para la
toma de decisiones y la gestión de riesgos. El software
resultante es de alta calidad.
5 - Optimizado. La organización completa está volcada en la
mejora continua de los procesos. Se hace uso intensivo de
las métricas y se gestiona el proceso de innovación.
10.2 COBIT
33. AI10 ISACA
AI10 3333MCMP - PLGR
Prácticas
Analizar procesos:
Dominio Planear y Organizar
PO7 Administrar Recursos Humanos de TI
(Pág. 55 Cobit 4.1)
Dominio Entregar y dar Soporte
DS12 Administración del Ambiente Físico
(Pág. 145 Cobit 4.1)
10.2 COBIT
34. AI10 ISACA
AI10 3434MCMP - PLGR
Índice
1. ISACA
2. COBIT
3.Gobierno TI: Val IT
4. ITAF
5. Estándares y guías
6. Bibliografía
35. AI10 ISACA
AI10 3535MCMP - PLGR
10.3 Gobierno TI: Val IT
Val IT
Proporciona los
medios para
medir,
monitorizar y
optimizar la
realización de
valor de
negocio a parir
de las
inversiones TI
36. AI10 ISACA
AI10 3636MCMP - PLGR
10.3 Gobierno TI: Val IT
• Ayudar a la dirección (CEO) a
lograr un valor óptimo de las
inversiones a través de las TI
con un coste económico y un
riesgo conocido y aceptado
Objetivo
• Marco de trabajo para apoyar
a la dirección (CEO) a
entender y desempeñar sus
roles relacionados con esas
inversiones.
Proporciona
37. AI10 ISACA
AI10 3737MCMP - PLGR
10.3 Gobierno TI: Val IT
¿Estamos
haciendo
lo que
debemos)
hacer?
(Estrategia)
¿Lo
estamos
haciendo
correcta-
mente?
(Arquitectu
-ra TI)
¿Lo
estamos
logrando
bien?
(Entrega)
¿Estamos
obteniendo
beneficio?
(Valor)
38. AI10 ISACA
AI10 3838MCMP - PLGR
10.3 Gobierno TI: Val IT
CEO: ¿Estamos haciendo lo que debemos hacer?
La pregunta estratégica ¿ Está la inversión:
De acuerdo con nuestra visión?
Coherente con nuestros objetivos de negocio?
Contribuyendo a nuestros objetivos estratégicos?
Proporcionando valor a un costo económico y
niveles de riego aceptable ?
39. AI10 ISACA
AI10 3939MCMP - PLGR
10.3 Gobierno TI: Val IT
CEO: ¿Estamos obteniendo beneficio?
La pregunta de valor ¿ Tenemos:
Un conocimiento claro y compartido de los
beneficios esperados?
Un mecanismo eficaz y transparente para
contabilizar los beneficios generados?
Una métrica relevante?
Un proceso eficaz de medición de beneficios?
40. AI10 ISACA
AI10 4040MCMP - PLGR
10.3 Gobierno TI: Val IT
CIO: ¿Lo estamos logrando bien?
La pregunta de entrega ¿ Tenemos:
Procesos eficaces y disciplinados de gestión,
entrega y gestión de cambios?
Personas técnicas y de negocio o comerciales
competentes y disponibles que reúnan las
capacidades necesarias?
Y la organización puede generar los cambios
necesarios para potenciar las capacidades?
41. AI10 ISACA
AI10 4141MCMP - PLGR
10.3 Gobierno TI: Val IT
CIO: ¿Lo estamos haciendo correctamente?
La pregunta de arquitectura ¿ Está la inversión:
De acuerdo con nuestra arquitectura?
Coherente con nuestros principios arquitectónicos?
Contribuyendo al mayor uso de nuestra
arquitectura?
En línea con otras iniciativas?
42. AI10 ISACA
AI10 4242MCMP - PLGR
Índice
1. ISACA
2. COBIT
3. Gobierno TI: Val IT
4.ITAF
5. Estándares y guías
6. Bibliografía
43. AI10 ISACA
AI10 4343MCMP - PLGR
10.4 ITAF
Information Technology Assurance Framework
Proporciona orientación sobre la planificación de
la auditoría, la realización y la presentación de
informes de auditoría y aseguramiento TI.
Define los términos y conceptos específicos de
aseguramiento de TI.
Establece las normas que se ocupan de las
funciones de auditoría y aseguramiento TI.
Respecto a los profesionales, establece las
responsabilidades, conocimientos, habilidades, la
diligencia, conducta y competencia.
44. AI10 ISACA
AI10 4444MCMP - PLGR
10.4 ITAF
ITAF proporciona al profesional de la auditoría y
aseguramiento TI:
45. AI10 ISACA
AI10 4545MCMP - PLGR
10.4 ITAF
Normas o estándares generales: de obligado
cumplimiento sobre la ética profesional, la
independencia, la objetividad, conocimiento,
competencia y habilidad.
Estándares de desempeño: sobre la realización de la
auditoría o implementación de seguridad como:
planificación y supervisión, definición del alcance,
riesgo y materialidad, personas y recursos, evidencia,
juicio profesional y debido cuidado.
Estándares sobre informes: sobre la forma de
transmitir los resultados y la estructura y contenido de
los informes.
Directrices Guidelines: cómo aplicar los estándares.
46. AI10 ISACA
AI10 4646MCMP - PLGR
Índice
1. ISACA
2. COBIT
3. Gobierno TI: Val IT
4. ITAF
5.Estándares y guías
6. Bibliografía
47. AI10 ISACA
AI10 4747MCMP - PLGR
10.5 Estándares y guías
Estándares: definen los requisitos obligatorios para
la auditoría y aseguramiento. Definen:
Las características principales que deben reunir
los auditores TI.
Las fases y actividades del proceso de auditoría
TI.
Materialidad, evidencia, riesgo, controles IT, etc.
Directrices: proporcionan una guía para aplicar los
estándares y proporcionar información acerca de su
cumplimiento.
Herramientas y técnicas: proveen ejemplos sobre
cómo debe actuar un auditor de SI en una auditoría
48. AI10 ISACA
AI10 4848MCMP - PLGR
10.5 Estándares y guías
Conjunto de estándares, guías y procedimientos para
guiar la ejecución de las auditorías TI.
Estándares: S1 al S16
Guías: G1 a la G42
Técnicas y herramientas (Procedimientos) : P1 al P11
Versión: agosto 2010
49. AI10 ISACA
AI10 4949MCMP - PLGR
10.5 Estándares y guías
S1 Audit Charter S2 Independence
S3 Professional Ethics and
Standards
S4 Competence
S5 Planning
S6 Performance of Audit
Work
S7 Reporting S8 Follow-Up Activities
S9 Irregularities and Illegal
Acts
S10 IT Governance
S11 Use of Risk Assessment
in Audit Planning
S12 Audit Materiality
S13 Using the Work of Other
Experts
S14 Audit Evidence
S15 IT Controls S16 E-commerce
50. AI10 ISACA
AI10 5050MCMP - PLGR
10.5 Estándares y guías
S2 Independencia
10.1 Introducción
01 Igual para todos los estándares
02 Propósito: independencia en proceso auditoría
10.2 Estándar
03 Independencia profesional: auditor
independiente en actitud y apariencia
04 Independencia organizacional: unidad de
auditoría independiente de la unidad auditada
10.3 Comentario
07 Informar sobre riesgo no independencia
09 Evaluación regular de la independencia
11 Guías relacionadas: G17 y G12
51. AI10 ISACA
AI10 5151MCMP - PLGR
10.5 Estándares y guías
G17 Rol de no auditoría en el auditor e influencia
en su independencia
1. Antecedentes
a) Relación con estándares: G2
b) Relación con controles de COBIT
c) Motivos que justifican la guía
i. Implicar auditor: implantación, consultoría y
formación
ii. Cómo “salvar” la independencia.
2. Carta de auditoría: Define en qué funciones de
auditoría puede participar. Si no, se reporta a
dirección.
52. AI10 ISACA
AI10 5252MCMP - PLGR
10.5 Estándares y guías
G17 Rol de no auditoría en el auditor e influencia
en su independencia
3. Funciones de no auditoría del auditor
a) No comprometen la independencia
b) Sí comprometen la independencia
4. Independencia
a) En funciones de no auditoría
b) Consecuencias de actividades de no
auditoría en auditoría futuras
5. Planificación de auditorías: riesgo independencia
6. Ejecución auditoría: monitorizar independencia
7. Informe: si la independencia está en riesgo
53. AI10 ISACA
AI10 5353MCMP - PLGR
Índice
1. ISACA
2. COBIT
3. Gobierno TI: Val IT
4. ITAF
5. Estándares y guías
6.Bibliografía