El documento proporciona una visión integral sobre ISACA, centrándose en sus certificaciones, marcos de trabajo como COBIT, y la gobernanza de TI. Se detallan los objetivos de negocio, procesos y controles necesarios para asegurar una adecuada gestión y seguridad de los sistemas de información, así como las métricas para evaluar su efectividad. Además, incluye un enfoque en cómo las inversiones en TI deben alinearse con los objetivos estratégicos de las organizaciones.

1. AI10 ISACA
AI10 11MCMP - PLGR
ISACA
VIDEOS
CobitMan
COBIT Intro
Mª Carmen Molina Prego
Pedro Luis García Repetto
Auditoría Informática
Grado Ingeniería Informática
DACYA – FDI – UCM

2. AI10 ISACA
AI10 22MCMP - PLGR
Índice
1.ISACA
2. COBIT
3. Gobierno TI: Val IT
4. ITAF
5. Estándares y guías
6. Bibliografía

3. AI10 ISACA
AI10 33MCMP - PLGR
10.1 ISACA
HISTORIA
Fundada en 1969
Information Systems Audit and Control Association
Agrupa a más de 100 000 especialistas
Auditores SGSI
Administradores SGSI
Gobierno de las TI
Analistas y gestores del riesgo TI
MISIÓN
Proveer conocimientos y formación en auditoría y
aseguramiento
Certificar especialistas
Red social

4. AI10 ISACA
AI10 44MCMP - PLGR
10.1 ISACA
CERTIFICACIONES PROFESIONALES
CISA
Auditor Certificado de Sistemas de Información
+ 90 000 desde 1978
CISM
Administrador Certificado de Seguridad de la Información
+ 18 000 desde 2002
CGEIT
Certificado en la gobernanza de la TI empresarial
+ 4 800 desde 2007
CRISC
Diplomado en Riesgos y Control de Sistemas de
Información
+ 16 000 desde 2010

5. AI10 ISACA
AI10 55MCMP - PLGR
10.1 ISACA
MARCOS DE TRABAJO
COBIT
Seguridad de los Sistemas de Información
VAL IT
Gestión de inversiones en TI
ITAF
Prácticas profesionales para el aseguramiento de TI
RISK IT
Gestión de Riesgos en TI
BMIS
Modelo de Negocio de la Seguridad Información

6. AI10 ISACA
AI10 66MCMP - PLGR
10.1 ISACA
ACTIVIDADES
FORMACIÓN
CISA, CISM, CGEIT y CRISC
COBIT
VAL IT
RISK IT
IT Assurance Framework (ITAF)
CONGRESOS
INSIGHTS: IT and business leaders
CACS: Informática Auditoría, Control y Seguridad
IT GRC: IT Gobernanza del riesgo y cumplimieto
ISRM: Gestión del Riesgo de la SI

7. AI10 ISACA
AI10 77MCMP - PLGR
10.1 ISACA
© www.isaca.org

8. AI10 ISACA
AI10 88MCMP - PLGR
10.1 ISACA
BMIS

9. AI10 ISACA
AI10 99MCMP - PLGR
Índice
1. ISACA
2.COBIT
3. Gobierno TI: Val IT
4. ITAF
5. Estándares y guías
6. Bibliografía

10. AI10 ISACA
AI10 1010MCMP - PLGR
10.2 COBIT
Gobierno Corporativo de TI
COBIT 5
Gobierno de TI
COBIT4.0/4.1
Administración
COBIT3
Control
COBIT2
Un Marco Empresarial de ISACA, en www.isaca.org/cobit
Auditoría
COBIT1
2005/720001998
EvolucióndelAlcance
1996 2012
Val IT
10.0
(2008)
Risk IT
(2009)
© 2012 ISACA® Todos los derechos reservados.

11. AI10 ISACA
AI10 1111MCMP - PLGR
Marco de trabajo (CÓMO) para
 Gobernanza TI (Similar a ISO/IEC 38500)
 Control y seguridad TI
 COBIT 5.0 integra:
 COBIT 4.1
 Risk IT
 Val IT
 COBIT
 Referente en seguridad y gobernanza TI
 No describe un proceso de auditoría TI
 COBIT vs ISO/IEC 27001
 ISO/IEC 27001: + Seguridad TI y – Gobernanza
TI. (Estándar: QUÉ)
 COBIT: + Seguridad TI y + Gobernanza TI
10.2 COBIT

12. AI10 ISACA
AI10 1212MCMP - PLGR
COBIT: Orientado a los objetivos de negocio
10.2 COBIT

13. AI10 ISACA
AI10 1313MCMP - PLGR
Criterios o propiedades de la información
 Efectividad: relevante y pertinente con el negocio
 Eficiencia: uso óptimo recursos para su generación
 Confidencialidad: acceso sólo a autorizados
 Integridad: precisión y completitud
 Disponibilidad: a disposición de los proc. negocio
 Cumplimiento: legales y normativos internos o
externos
 Confiabilidad: apropiada para la gerencia
10.2 COBIT

14. AI10 ISACA
AI10 1414MCMP - PLGR
Metas TI y Arquitectura empresarial TI
10.2 COBIT

15. AI10 ISACA
AI10 1515MCMP - PLGR
Gestión de recursos TI para alcanzar metas TI
Aplicaciones: automatizadas
y manuales
Información: datos entrada,
procesados, salidas, manuales
Infraestructura: instalaciones,
sitios y ambiente
Personas: internas o externas
10.2 COBIT

16. AI10 ISACA
AI10 1616MCMP - PLGR
Dominios de Cobit
Dominios se organizan en procesos
10.2 COBIT
Planificar
y
Organizar
PO 10
Adquirir e
Implemen-
tar AI 7
Entrega y
Soporte
DS 13
Monitori-
zar y
Evaluar
ME 4
Dominios 4
Procesos 34
Controles 210
¿Alineado TI y negocio?
¿Uso óptimo recursos?
¿Se entienden objetivos TI?
¿Calidad sistema TI?
¿Alineado proyecto-negocio?
¿Proyectos en tiempo y en €?
¿Nuevos sistemas OK?
¿Cambios no afectan sistema?
¿Prioridades negocio?
¿Optimizados costos TI?
¿Uso y admin. TI segura?
¿CID?
¿Monitorea TI?
¿Controles efectivos y
eficientes?
¿Metas negocio-metas TI?
¿Gestión riesgos?

17. AI10 ISACA
AI10 1717MCMP - PLGR
CONTROLES GENERALES, DE NEGOCIO Y DE APLICACIÓN
n
10.2 COBIT

18. AI10 ISACA
AI10 1818MCMP - PLGR
Metas negocio TI, metas TI y procesos (Apéndice I)
10.2 COBIT
Meta Negocio
TI 1
Meta TI 1.1
Proceso
1.1.1
Proceso
1.1.2
Meta TI 1.2
Proceso
1.10.1
Proceso
1.10.2 Financiera
 Cliente
 Interna
 Aprendizaje y mejora
Metas negocio 17
Metas TI 28
Procesos 34
Dominios 4
Procesos 34
Controles 210

19. AI10 ISACA
AI10 1919MCMP - PLGR
Metas negocio TI, metas TI y procesos (Apéndice I)
10.2 COBIT
6 Continuidad y
disponibilidad
del servicio
10 Asegurar
relaciones con
terceras partes
DS2
DS10.1
DS10.2
16 Reducir
defectos entrega
PO8, AI14, AI6,
AI7, DS10
22 Mínimo
impacto si
interrupción
PO6, AI6, DS4,
DS12
23 Servicio TI
disponible
DS3, DS4, DS8,
DS13
META
NEGOCIO TI
(CLIENTE)
CONTROLESPROCESOSMETA TI

20. AI10 ISACA
AI10 2020MCMP - PLGR
Metas negocio TI, metas TI y procesos (Apéndice I)
10.2 COBIT
17 Contratar
y mantener
personal
cualificado
9 Contratar y
mantener
habilidades
TI según
metas TI
PO7 Gestión
y desarrollo
de personas
PO7.1
PO7.2
AI5 Adquirir
recursos TI
AI5.1, AI5.2
AI5.3, AI5.4
META NEGOCIO
TI
(APRENDIZAJE
Y MEJORA)
CONTROLESPROCESOSMETA TI

21. AI10 ISACA
AI10 2121MCMP - PLGR
Proceso DD99 del dominio DD
Identificación del proceso.
DD99 Nombre del proceso
Proceso satisface el requerimiento de negocio de TI
Resumen de las metas de TI más importantes
Enfocándose a
Resumen de las metas de proceso más
importantes
Se logra con
Metas de actividad
Y se mide con
Métricas
10.2 COBIT

22. AI10 ISACA
AI10 2222MCMP - PLGR
Ej. 1 - Proceso PO9 del dominio PO
Identificación del proceso.
PO9 Evaluar y administrar los riesgos de TI
Proceso satisface el requerimiento de negocio de TI
Analizar los riesgos y su impacto en negocio
Enfocándose en
Elaborar un marco de trabajo gestión riesgos TI
Se logra con
Gestión y evaluación de riesgos en procesos
Planes de acción
Y se mide con
% objetivos críticos de TI cubiertos por evaluación riesgos
% Riesgos críticos TI
% Planes de acción aprobados
10.2 COBIT
Proceso PO09

23. AI10 ISACA
AI10 2323MCMP - PLGR
Ej. 2 - Proceso PO10 del dominio PO
Identificación del proceso.
PO10 Administración de proyectos
Proceso satisface el requerimiento de negocio de TI
Proyectos en tiempo, presupuesto y calidad
Enfocándose en
Programa de administración de proyectos.
Participación de interesados, riesgos y avances
Se logra con
Marco trabajo proyectos y planificación
Y se mide con
% proyectos que cumplen tiempo, presupuesto y calidad
% proyectos con revisión
% proyectos que siguen estándares y prácticas
10.2 COBIT

24. AI10 ISACA
AI10 2424MCMP - PLGR
Ej. 2 - Proceso PO10 del dominio PO
Objetivo de control de alto nivel (PO10)
Objetivos de control detallados (PO10.1, PO10.2, hasta
PO10.14)  Controles generales
Directrices gerenciales
 Entradas del procesos y salidas del proceso
Ej PO1 Proyecto  PO10  ME1 Informes de
ejecución del proyecto
 Matriz RACI de actividades: quién es Responsable, a
quién hay que reportar (Assist), a quién se Consulta y a
quién se Informa en cada actividad del proceso.
 Metas (TI, Procesos y actividades) se miden mediante
métricas
10.2 COBIT
Proceso PO10

25. AI10 ISACA
AI10 2525MCMP - PLGR
Entradas y Salidas del Proceso PO10
10.2 COBIT
PO10 Administrar
proyectos

26. AI10 ISACA
AI10 2626MCMP - PLGR
Matriz RACI del Proceso PO10
10.2 COBIT

27. AI10 ISACA
AI10 2727MCMP - PLGR
Metas DS5 Garantizar la seguridad de los SI
10.2 COBIT
Negocio
• Reputación y
liderazgo
TI
• Confidencialidad
• Confiabilidad
• Integridad
• Disponibilidad
Proceso
• Información sensible
• Detectar y resolver
accesos no
autorizados
• Minimizar impactos
Actividad
• Comprender los requisitos de
seguridad, vulnerabilidades y
amenazas
• Gestión entidades y
autorizaciones
• Gestión incidentes seguridad

28. AI10 ISACA
AI10 2828MCMP - PLGR
Métricas DS5 Garantizar la Seguridad de los Sistemas
10.2 COBIT
Negocio
• Nº reclamaciones
clientes.
• Nº Clientes OFF
TI
• Nº incidentes
impacto en negocio
• Nº sistemas no
cumplen req. seg.
• Tiempo gestión
identidades
Proceso
• Nº accesos no
autorizados
• Nº segregación
funciones OFF
• % contraseñas
débiles
• Nº Código malicioso
prevenido
Actividad
• Frecuencia revisión eventos
• % cuentas obsoletas
• % IP no autorizadas
• % llaves criptográficas OFF
• Nº derechos accesos modificados

29. AI10 ISACA
AI10 2929MCMP - PLGR
Proceso de un dominio
Modelo de madurez: método para evaluar cómo está
funcionando el proceso definiendo un nivel entre (0) no
existente hasta (5) optimizado.
10.2 COBIT

30. AI10 ISACA
AI10 3030MCMP - PLGR
Niveles de madures en desarrollo software
0- No existente. No procesos. No se reconoce problema.
1 - Inicial. Las organizaciones en este nivel no disponen de un
ambiente estable para el desarrollo y mantenimiento de
software. Se utilizan técnicas correctas de ingeniería pero los
esfuerzos se ven minados por falta de planificación. El éxito
de los proyectos se basa la mayoría de las veces en el
esfuerzo personal, aunque a menudo se producen fracasos y
casi siempre retrasos y sobrecostes. El resultado de los
proyectos es impredecible.
2 – Repetible pero intuitivo. En este nivel las organizaciones
disponen de unas prácticas institucionalizadas de gestión de
proyectos, existen unas métricas básicas y un razonable
seguimiento de la calidad.
10.2 COBIT

31. AI10 ISACA
AI10 3131MCMP - PLGR
Niveles de madures en desarrollo software
3 - Definido. Además de una buena gestión de proyectos, a
este nivel las organizaciones disponen de correctos
procedimientos de coordinación entre grupos, formación
del personal, técnicas de ingeniería más detalladas y un nivel
más avanzado de métricas en los procesos. Se implementan
técnicas de revisión por pares (peer reviews).
4 - Administrado. Se caracteriza porque las organizaciones
disponen de un conjunto de métricas significativas de calidad
y productividad, que se usan de modo sistemático para la
toma de decisiones y la gestión de riesgos. El software
resultante es de alta calidad.
5 - Optimizado. La organización completa está volcada en la
mejora continua de los procesos. Se hace uso intensivo de
las métricas y se gestiona el proceso de innovación.
10.2 COBIT

32. AI10 ISACA
AI10 3232MCMP - PLGR
Cubo de Cobit
10.2 COBIT

33. AI10 ISACA
AI10 3333MCMP - PLGR
Prácticas
Analizar procesos:
Dominio Planear y Organizar
PO7 Administrar Recursos Humanos de TI
(Pág. 55 Cobit 4.1)
Dominio Entregar y dar Soporte
DS12 Administración del Ambiente Físico
(Pág. 145 Cobit 4.1)
10.2 COBIT

34. AI10 ISACA
AI10 3434MCMP - PLGR
Índice
1. ISACA
2. COBIT
3.Gobierno TI: Val IT
4. ITAF
5. Estándares y guías
6. Bibliografía

35. AI10 ISACA
AI10 3535MCMP - PLGR
10.3 Gobierno TI: Val IT
Val IT
Proporciona los
medios para
medir,
monitorizar y
optimizar la
realización de
valor de
negocio a parir
de las
inversiones TI

36. AI10 ISACA
AI10 3636MCMP - PLGR
10.3 Gobierno TI: Val IT
• Ayudar a la dirección (CEO) a
lograr un valor óptimo de las
inversiones a través de las TI
con un coste económico y un
riesgo conocido y aceptado
Objetivo
• Marco de trabajo para apoyar
a la dirección (CEO) a
entender y desempeñar sus
roles relacionados con esas
inversiones.
Proporciona

37. AI10 ISACA
AI10 3737MCMP - PLGR
10.3 Gobierno TI: Val IT
¿Estamos
haciendo
lo que
debemos)
hacer?
(Estrategia)
¿Lo
estamos
haciendo
correcta-
mente?
(Arquitectu
-ra TI)
¿Lo
estamos
logrando
bien?
(Entrega)
¿Estamos
obteniendo
beneficio?
(Valor)

38. AI10 ISACA
AI10 3838MCMP - PLGR
10.3 Gobierno TI: Val IT
CEO: ¿Estamos haciendo lo que debemos hacer?
La pregunta estratégica ¿ Está la inversión:
 De acuerdo con nuestra visión?
 Coherente con nuestros objetivos de negocio?
 Contribuyendo a nuestros objetivos estratégicos?
 Proporcionando valor a un costo económico y
niveles de riego aceptable ?

39. AI10 ISACA
AI10 3939MCMP - PLGR
10.3 Gobierno TI: Val IT
CEO: ¿Estamos obteniendo beneficio?
La pregunta de valor ¿ Tenemos:
 Un conocimiento claro y compartido de los
beneficios esperados?
 Un mecanismo eficaz y transparente para
contabilizar los beneficios generados?
 Una métrica relevante?
 Un proceso eficaz de medición de beneficios?

40. AI10 ISACA
AI10 4040MCMP - PLGR
10.3 Gobierno TI: Val IT
CIO: ¿Lo estamos logrando bien?
La pregunta de entrega ¿ Tenemos:
 Procesos eficaces y disciplinados de gestión,
entrega y gestión de cambios?
 Personas técnicas y de negocio o comerciales
competentes y disponibles que reúnan las
capacidades necesarias?
 Y la organización puede generar los cambios
necesarios para potenciar las capacidades?

41. AI10 ISACA
AI10 4141MCMP - PLGR
10.3 Gobierno TI: Val IT
CIO: ¿Lo estamos haciendo correctamente?
La pregunta de arquitectura ¿ Está la inversión:
 De acuerdo con nuestra arquitectura?
 Coherente con nuestros principios arquitectónicos?
 Contribuyendo al mayor uso de nuestra
arquitectura?
 En línea con otras iniciativas?

42. AI10 ISACA
AI10 4242MCMP - PLGR
Índice
1. ISACA
2. COBIT
3. Gobierno TI: Val IT
4.ITAF
5. Estándares y guías
6. Bibliografía

43. AI10 ISACA
AI10 4343MCMP - PLGR
10.4 ITAF
Information Technology Assurance Framework
 Proporciona orientación sobre la planificación de
la auditoría, la realización y la presentación de
informes de auditoría y aseguramiento TI.
 Define los términos y conceptos específicos de
aseguramiento de TI.
 Establece las normas que se ocupan de las
funciones de auditoría y aseguramiento TI.
 Respecto a los profesionales, establece las
responsabilidades, conocimientos, habilidades, la
diligencia, conducta y competencia.

44. AI10 ISACA
AI10 4444MCMP - PLGR
10.4 ITAF
ITAF proporciona al profesional de la auditoría y
aseguramiento TI:

45. AI10 ISACA
AI10 4545MCMP - PLGR
10.4 ITAF
Normas o estándares generales: de obligado
cumplimiento sobre la ética profesional, la
independencia, la objetividad, conocimiento,
competencia y habilidad.
Estándares de desempeño: sobre la realización de la
auditoría o implementación de seguridad como:
planificación y supervisión, definición del alcance,
riesgo y materialidad, personas y recursos, evidencia,
juicio profesional y debido cuidado.
Estándares sobre informes: sobre la forma de
transmitir los resultados y la estructura y contenido de
los informes.
Directrices Guidelines: cómo aplicar los estándares.

46. AI10 ISACA
AI10 4646MCMP - PLGR
Índice
1. ISACA
2. COBIT
3. Gobierno TI: Val IT
4. ITAF
5.Estándares y guías
6. Bibliografía

47. AI10 ISACA
AI10 4747MCMP - PLGR
10.5 Estándares y guías
 Estándares: definen los requisitos obligatorios para
la auditoría y aseguramiento. Definen:
 Las características principales que deben reunir
los auditores TI.
 Las fases y actividades del proceso de auditoría
TI.
 Materialidad, evidencia, riesgo, controles IT, etc.
 Directrices: proporcionan una guía para aplicar los
estándares y proporcionar información acerca de su
cumplimiento.
 Herramientas y técnicas: proveen ejemplos sobre
cómo debe actuar un auditor de SI en una auditoría

48. AI10 ISACA
AI10 4848MCMP - PLGR
10.5 Estándares y guías
Conjunto de estándares, guías y procedimientos para
guiar la ejecución de las auditorías TI.
Estándares: S1 al S16
Guías: G1 a la G42
Técnicas y herramientas (Procedimientos) : P1 al P11
Versión: agosto 2010

49. AI10 ISACA
AI10 4949MCMP - PLGR
10.5 Estándares y guías
S1 Audit Charter S2 Independence
S3 Professional Ethics and
Standards
S4 Competence
S5 Planning
S6 Performance of Audit
Work
S7 Reporting S8 Follow-Up Activities
S9 Irregularities and Illegal
Acts
S10 IT Governance
S11 Use of Risk Assessment
in Audit Planning
S12 Audit Materiality
S13 Using the Work of Other
Experts
S14 Audit Evidence
S15 IT Controls S16 E-commerce

50. AI10 ISACA
AI10 5050MCMP - PLGR
10.5 Estándares y guías
S2 Independencia
10.1 Introducción
01 Igual para todos los estándares
02 Propósito: independencia en proceso auditoría
10.2 Estándar
03 Independencia profesional: auditor
independiente en actitud y apariencia
04 Independencia organizacional: unidad de
auditoría independiente de la unidad auditada
10.3 Comentario
07 Informar sobre riesgo no independencia
09 Evaluación regular de la independencia
11 Guías relacionadas: G17 y G12

51. AI10 ISACA
AI10 5151MCMP - PLGR
10.5 Estándares y guías
G17 Rol de no auditoría en el auditor e influencia
en su independencia
1. Antecedentes
a) Relación con estándares: G2
b) Relación con controles de COBIT
c) Motivos que justifican la guía
i. Implicar auditor: implantación, consultoría y
formación
ii. Cómo “salvar” la independencia.
2. Carta de auditoría: Define en qué funciones de
auditoría puede participar. Si no, se reporta a
dirección.

52. AI10 ISACA
AI10 5252MCMP - PLGR
10.5 Estándares y guías
G17 Rol de no auditoría en el auditor e influencia
en su independencia
3. Funciones de no auditoría del auditor
a) No comprometen la independencia
b) Sí comprometen la independencia
4. Independencia
a) En funciones de no auditoría
b) Consecuencias de actividades de no
auditoría en auditoría futuras
5. Planificación de auditorías: riesgo independencia
6. Ejecución auditoría: monitorizar independencia
7. Informe: si la independencia está en riesgo

53. AI10 ISACA
AI10 5353MCMP - PLGR
Índice
1. ISACA
2. COBIT
3. Gobierno TI: Val IT
4. ITAF
5. Estándares y guías
6.Bibliografía

54. AI10 ISACA
AI10 5454MCMP - PLGR
1.6 Bibliografía
www.isaca.org
www.isaca.org/Knowledge-Center/cobit/Pages/Overview.aspx
www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/Pages/default.aspx
www.isaca.org/Knowledge-Center/Val-IT-IT-Value-Delivery-/Pages/Val-IT1.aspx
www.isaca.org/Knowledge-Center/BMIS/Pages/Business-Model-for-Information-
Security.aspx
www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages/Risk-
IT1.aspx
www.isaca.org/Knowledge-Center/Standards/Pages/default.aspx
www.isaca.org/spanish/Pages/default.aspx
http://www.itgi.org/

55. AI10 ISACA
AI10 5555MCMP - PLGR
Dudas, preguntas y reflexiones
MUCHAS GRACIAS
?