COBIT es un conjunto de buenas prácticas para el manejo de información y tecnologías de la información que proporciona objetivos de control para asegurar que la información y tecnología apoyan los objetivos del negocio. COBIT cubre 34 procesos agrupados en 4 dominios: planeación y organización, adquisición e implementación, prestación de servicios y soporte, y monitoreo. El objetivo de COBIT es establecer objetivos de control para asegurar que la información y tecnología se gestionen de manera que apoyen los
Para proveer la información que requiere la organización para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas.
Webinar: Cómo determinar la Capacidad de los Procesos en COBIT® 5
Objetivos del Webinar:
1. Entender la importancia de las evaluaciones de capacidad en COBIT 5.
2. Entender el enfoque de la norma ISO/IEC 15504 para la determinación de la capacidad de procesos.
3. Conocer el Modelo de Evaluación de Procesos (PAM) de COBIT 5.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
Para proveer la información que requiere la organización para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas.
Webinar: Cómo determinar la Capacidad de los Procesos en COBIT® 5
Objetivos del Webinar:
1. Entender la importancia de las evaluaciones de capacidad en COBIT 5.
2. Entender el enfoque de la norma ISO/IEC 15504 para la determinación de la capacidad de procesos.
3. Conocer el Modelo de Evaluación de Procesos (PAM) de COBIT 5.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
El COBIT es un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a
todos los sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los auditores
involucrados en el proceso.
ITIL. s un conjunto de mejores practicas para la dirección y gestión de servicios de tecnologías de la información en lo referente a Personas, Procesos y Tecnología,
desarrollado por la OGC
Un libro sin recetas, para la maestra y el maestro Fase 3.pdfsandradianelly
Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestr
2. INTRODUCCIÓN
El significado de CObIT viene del ingles “Control Objectives for Information and related Technology”, que significa Objetivos de Control para la información y Tecnologías relacionadas.
Conjunto de buenas prácticas para el manejo de información que ha sido creado por la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés: Information Systems Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (ITGI, en inglés: IT Governance Institute)
3. INTRODUCCIÓN
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las mini computadoras, computadoras personales y ambientes distribuidos.
Esta basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.
4. INTRODUCCIÓN
CObIT ha tenido varias ediciones:
Siendo publicada la primera en 1996;
La segunda edición en 1998;
La tercera edición en 2000 (la edición on-line estuvo disponible en 2003);
La cuarta edición en Diciembre de 2005,
La versión 4.1 está disponible desde Mayo de 2007 y;
La Versión 5 esta disponible en junio del 2012, la misma que se consolida e integra con la Versión 4.1 se basa significativamente del modelo de negocio para la seguridad de la información.
5. SUS SIGLAS EN INGLES SON:
C Control
OB OBjectives
I for Information
T and Related Technology
6. MISIÓN DE COBIT
La misión de CObIT es:
“Investigar, desarrollar, publicar y promover un conjunto actualizado e internacional de objetivos de control de Tecnología de la Información generalmente aceptado, para su uso diario por los administradores del negocio y los auditores”.
7. ANTECEDENTES
El gremio de profesionales en TI se mostró preocupado por la falta de una guía estándar sobre el control en TI, que sirviera para diferentes grupos de interés.
LA ISACF, como órgano que agrupa a profesionales de diferentes áreas interesados en el control de TI, se dio a la tarea de desarrollar un conjunto común de conceptos sobre la materia.
ISACF Information Systems Audit and Control Foundation
8. LA NECESIDAD DE COBIT
Competencia global sin proteccionismo
Mayor poder de negociación de clientes y proveedores
Encarecimiento de recursos
Demanda de valor agregado
Exigencia de mayor velocidad en servicios
Adelgazamiento de márgenes de utilidad
Nuevas oportunidades de negocios internacionales
9. CARACTERÍSTICAS DE COBIT
Orientación al negocio
Ha sido diseñado como un estándar habitualmente aceptado y ajustable a las buenas prácticas de seguridad y control en TIC.
Suministra herramientas al responsable de los procesos que facilitan el cumplimiento de esta tarea.
Tiene una premisa práctica y simple: con el fin de facilitar la información que la organización requiere para alcanzar sus objetivos, señala que los recursos de TIC deben ser administrados por un conjunto de procesos de TIC agrupados en forma natural.
10. CARACTERÍSTICAS DE COBIT
Es la herramienta innovadora para el manejo de TIC que ayuda a la gerencia a comprender y administrar los riesgos asociados con TIC
Está desarrollado no solo para ser utilizado por usuarios y auditores, sino que en forma más importante, esta diseñado para ser utilizado como un Check List detallado para los responsables de cada proceso.
11. GERENTES
Balancear la inversión en controles, en un ambiente de riesgos frecuentemente impredecible
USUARIOS
Obtener el aseguramiento de los controles y seguridades que proveen los servicios de IT internos / Externos
AUDITORES
Sustentar ante la gerencia su opinión de la efectividad del control interno y actuar como asesores
del negocio proactivos
AUDIENCIAS
COBIT
Mejores Prácticas para la gestión y Control (IT)
12. SUS PRODUCTOS
•Para la Alta Gerencia
Resumen ejecutivo
•Para los directivos de Sistemas y Auditoría de Sistemas
Marco referencial (framework)
•Para la Gerencia media y áreas de Sistemas
Objetivos de control
•Para los Auditores de Sistemas
Guías de auditoría
•Para la alta Dirección y áreas de Gestión y Aseguramiento de Calidad
Directrices Gerenciales
13. RESUMEN EJECUTIVO
Proporciona a la alta gerencia un entendimiento más detallado de los conceptos clave y principios de CObIT e identifica los cuatro dominios de CObIT y los correspondientes 34 procesos
14. MARCO REFERENCIAL (FRAMEWORK)
El Marco Referencial describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la información y los recursos de TI que son impactados en forma primaria por cada objetivo de control.
15. OBJETIVOS DE CONTROL
Contienen declaraciones de los resultados deseados o propósitos a ser alcanzados mediante la implementación de 302 objetivos de control detallados y específicos a través de los 34 procesos de TI
16. GUÍA DE AUDITORÍA
Hacen una presentación del proceso generalmente aceptado de auditoría (obtener entendimiento, evaluar los controles, evaluar el cumplimiento y comprobar los riesgos).
Algunas son Guías genéricas que identifican varias tareas que se realizan en el análisis de cualquier proceso dentro de un objetivo de control.
Otras son tareas orientadas a procesos específicos para proveer a la Gerencia la seguridad que los controles funcionan.
17. DIRECTRICES GERENCIALES
Dirigidas a la Alta gerencia.
Genéricas y orientadas a la acción con el propósito de responder las siguientes preguntas:
Qué tan lejos debemos ir y el costo estará justificado por el beneficio?
Cuáles son los indicadores de mejor rendimiento?
Cuáles son los factores Críticos de Éxito?
Cuales son los riesgos de no lograr nuestros objetivos?
Qué hacen otros?
Cómo nos podemos medir y comparar?
18. ESTRUCTURA DE COBIT
Proceso de TI
•El control de
Requerimiento de Negocio
•Que satisface
Declaración de Control
•Es habilitado por
Prácticas de control
•Considerando
19. COMO SE RELACIONAN
Recursos de TI
•Datos
•Sistemas de Información
•Tecnología
•Instalaciones
•Recursos humanos
Procesos de trabajo
•Planeación y organización
•Adquisición e implementación
•Prestación de servicios y soporte
•Monitoreo
Requerimientos de negocio
•Efectividad
•Eficiencia
•Confidencialidad
•Integridad
•Disponibilidad
•Cumplimiento
•Confiabilidad de la información
20. DOMINIOS
Planeación y Organización - Planning and organization -
Adquisición e Implementación - Acquisition and implementation -
Prestación de Servicios y Soporte - Delivery and support -
Monitoreo - Monitoring -
20
21. PROCESOS
Planeación y Organización
Definir un Plan Estratégico de Tecnología de Información
Definir la Arquitectura de Información
Determinar la dirección tecnológica
Definir la Organización y las Relaciones con TI
Administrar la Inversión en Tecnología de Información
Comunicar la dirección y aspiraciones de la gerencia
Administrar Recursos Humanos
Asegurar el Cumplimiento de Requerimientos Externos
Evaluar Riesgos
Administrar de proyectos
Administrar Calidad
21
22. PROCESOS
Adquisición e Implementación:
Identificar Soluciones
Adquirir y Mantener Software de Aplicación
Adquirir y Mantener la Arquitectura de Tecnología
Desarrollar y Mantener Procedimientos relacionados con Tecnología de Información
Instalar y Acreditar Sistemas
Administrar Cambios
23. PROCESOS
Prestación de Servicios y Soporte:
Definir Niveles de Servicio
Administrar Servicios prestados por Terceros
Administrar Desempeño y Capacidad
Asegurar un Servicio Continuo
Garantizar la Seguridad de Sistemas
Identificar y Asignar Costos
Educar y Entrenar a Usuarios
Apoyar y Asesorar a los Clientes de Tecnología de Información
Administrar la Configuración
Administrar Problemas e Incidentes
Administrar Datos
Administrar Instalaciones
Administrar Operaciones
23
24. PROCESOS
Monitoreo:
Monitorear el proceso
Evaluar lo adecuado del control interno
Obtener aseguramiento independiente
Proporcionar auditoría independiente
25. OBJETIVOS DE CONTROL
Objetivo de control: “La gerencia debe definir procedimientos específicos para asegurar que un contrato formal sea definido y acordado para cada relación de servicios con un proveedor”.
Prestación de servicio y soporte (dominio)
Administrar servicios de terceros (proceso)
Contratos con terceros (actividad o tarea).
26. OBJETIVOS DE CONTROL
Encadena los procesos a los Objetivos de Control
Controles sobre los procesos de TI sobre el establecimiento de un Plan Estratégico de Sistemas; que satisfacen los requerimientos del negocio establecidos para lograr un balance óptimo entre las oportunidades de TI y los requerimientos del negocio así como asegurar su cumplimiento; Teniendo en consideración la definición de los objetivos del negocio y las necesidades de TI
27. PROCESO DE IMPLEMENTACIÓN
A.Revise los Objetivos de Control de alto nivel y seleccione los que apliquen a su auditoría.
B.Describa los riesgos (exposiciones o efectos) que pueden resultar de la falla del objetivo de control seleccionado en el paso A.
C.Seleccione de los Objetivos de Control detallados, aquellos que apliquen a este proceso. Generalmente usted debe solo revisar los de alto nivel escogidos en el paso A.
27
28. PROCESO DE IMPLEMENTACIÓN
D.Utilizando las Guías de Auditoría enumere los procedimientos de auditoría a ser ejecutados. Usted debe escoger aquellos procedimientos que estén relacionados con el objetivo de control seleccionado en el paso C.
E.Para completar el trabajo puede ser necesario reallizar pruebas de acuerdo con la plataforma que está siendo revisada. Por ejemplo, los manuales del sistema de administración de bases de datos seleccionado.
28