Instituto Tecnolgico de San Juan del Ro.

Materia: Auditoria Informtica.

Unidad 1.
Trabajo: INVESTIGACION DEL MODELO COBIT.
P RE S E N T A: Aguilar Cano Rodrigo. Correa Leal Cristabel. Gonzlez Bocanegra Luis Angel. Snchez Cabello David.

Profesora: Mara del Carmen Amezquita Ugalde.

San Juan Del Ro, Qro., Febrero de 2012.

Av. Tecnolgico No. 2 Esq. Av. Paseo Central San Juan del Ro, Qro. Tel: (01.427) 272.4118, 272.4178, 272.8546 Fax: 272.4238 C.P. 76800, Apartado Postal 49

Introduccin. ................................................................................................................................................ 3 Concepto...................................................................................................................................................... 3 Siglas. .......................................................................................................................................................... 3 Antecedentes. ............................................................................................................................................... 3 reas de aplicacin. ..................................................................................................................................... 3 Estructura. ................................................................................................................................................... 4 Objetivos. .................................................................................................................................................... 4 Marco de Referencia. ................................................................................................................................... 4 Planificacin y organizacin..................................................................................................................... 4 Adquisin e implantacin. ........................................................................................................................ 4 Soporte y servicios. .................................................................................................................................. 5 Monitoreo. ............................................................................................................................................... 5 Usuarios del modelo..................................................................................................................................... 5 Caractersticas. ............................................................................................................................................. 5 Principios. .................................................................................................................................................... 6 Requerimientos Fiduciarios. ..................................................................................................................... 6 Efectividad. .......................................................................................................................................... 6 Confiabilidad........................................................................................................................................ 6 Eficiencia. ............................................................................................................................................ 6 Cumplimiento. ..................................................................................................................................... 6 Requerimientos de Seguridad. .................................................................................................................. 6 Confidencialidad. ................................................................................................................................. 6 Integridad. ............................................................................................................................................ 7 Disponibilidad. ..................................................................................................................................... 7 Datos.................................................................................................................................................... 7 Aplicaciones......................................................................................................................................... 7 Tecnologa. .......................................................................................................................................... 7 Tecnologas de informacin. ........................................................................................................................ 7 Cursos de COBIT......................................................................................................................................... 8 Conclusin. ................................................................................................................................................ 10 Bibliografas. ............................................................................................................................................. 10

COBIT. Modelo para auditora y control de sistemas de informacin. Introduccin. La evaluacin de los requerimientos del negocio, los recursos y procesos TI, son puntos bastante importantes para el buen funcionamiento de una compaa y para el aseguramiento de su supervivencia en el mercado. El COBIT es precisamente un modelo para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una organizacin, es decir, administradores TI, usuarios y por supuesto, los auditores involucrados en el proceso. Concepto. El COBIT es un modelo de evaluacin y monitoreo que enfatiza en el control de negocios y la seguridad TI y que abarca controles especficos de TI desde una perspectiva de negocios. Siglas. Las siglas COBIT significan Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigacin con expertos de varios pases, desarrollado por ISACA (Information Systems Audit and Control Association). Antecedentes. COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnologa. Vinculando tecnologa informtica y prcticas de control, el modelo COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores. reas de aplicacin. COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo los computadores personales y las redes. Est basado en la filosofa de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.

Estructura. La estructura del modelo COBIT propone un marco de accin donde se evalan los criterios de informacin, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnologa de informacin, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluacin sobre los procesos involucrados en la organizacin. Objetivos. La adecuada implementacin de un modelo COBIT en una organizacin, provee una herramienta automatizada, para evaluar de manera gil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de informacin y tecnologa contribuyen al logro de los objetivos del negocio en un mercado cada vez ms exigente, complejo y diversificado.

Marco de Referencia. El conjunto de lineamientos y estndares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnologa de informacin de las organizaciones en cuatro dominios principales, a saber:

Planificacin y organizacin. Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas.

Adquisin e implantacin. Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

Soporte y servicios. En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin.

Monitoreo. Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de informacin, como de la tecnologa que la respalda. Estos dominios y objetivos de control facilitan que la generacin y procesamiento de la informacin cumplan con las caractersticas de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. Usuarios del modelo. La Gerencia: para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas.

y y y y

Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas. Caractersticas. y y y y Orientado al negocio. Alineado con estndares y regulaciones de facto. Basado en una revisin crtica y analtica de las tareas y actividades en TI. Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).

Principios. El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI. y Requerimientos de la informacin del negocio: Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios: Requerimientos de Calidad: Calidad, Costo y Entrega.

Requerimientos Fiduciarios. Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.

Efectividad. La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable. Confiabilidad. Proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.

Eficiencia. Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica). Cumplimiento. De las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa. Requerimientos de Seguridad. Confidencialidad. Proteccin de la informacin sensible contra divulgacin no autorizada.

Integridad. Refiere a lo exacto y completo de la informacin as como su validez de acuerdo con las expectativas de la empresa. Disponibilidad. Accesibilidad a la informacin cuando sea requerida por los procesos del negocio y salvaguarda de los recursos y capacidades asociadas a la misma. En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio: Datos. Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones. Entendidas como sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa. Incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones y multimedia.

Instalaciones. Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin.

Recurso humano. Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin, o de procesos de TI.

Tecnologas de informacin. Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticidad emerge de:

y y y y

La creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin. La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de informacin. El costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin. El potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos.

Para muchas organizaciones, la informacin y la tecnologa que la respalda, representan los activos ms valiosos de la empresa, por lo que la gestin de los riesgos asociados de la Tecnologa de Informacin, o Gobernabilidad de TI (IT Governance), ha ganado notoriedad en tiempos recientes como un aspecto clave de la gobernabilidad corporativa, dada su capacidad de proporcionar valor agregado al negocio, balanceando la relacin entre el riesgo y el retorno de la inversin sobre TI y sus procesos. Estos aspectos se enfatizan en el Marco de referencia COBIT, el cual se define como conjunto de Objetivos de Control para la Informacin y Tecnologas Relacionadas. Bajo este escenario, una adecuada administracin de los recursos de TI es fundamental para mejorar la calidad de los productos y servicios brindados por el rea, lo que se reflejar en mejoras en los procesos que respalda, y en el nivel de seguridad y control con el cual se trabaja, elevando su capacidad para satisfacer los objetivos de cumplimiento definidos en la estructura d e control interno de la organizacin, reduciendo adems los costos administrativos asociados al entorno informtico. Cursos de COBIT. Garanta de Certificacin. El curso prepara al participante para el examen de COBIT Foundation que es organizado bajo el patrocinio de ISACA. El participante aprende acerca de las caractersticas del gobierno de TI que estn afectando a las organizaciones globalmente como COBIT direcciona estas necesidades con un marco de gobierno y controles de TI globalmente aceptadas. A travs de un caso de estudio el participante aprende acerca de los componentes que componen el modelo de COBIT, y como este es aplicado en la prctica usando escenarios interactivos y ejemplos del mundo real. El curso cubre los elementos principales del modelo de COBIT, incluye materiales de soporte y referencia, utiliza ejemplos prcticos y prepara al alumno para presentar el examen de certificacin de Fundamentos de COBIT 4.1 de ISACA. Dirigido a: y y y y y y Personal de soporte de TI. Consultores de TI. Usuarios clave de negocio. Gerentes y administradores de TI y auditores. Practicantes. Firmas que proveen servicios de administracin de TI.

Al finalizar el curso obtendr las habilidades para: y y y y y y Entender como la administracin de TI estn afectando a las organizaciones Comprender las condiciones de un marco de control dirigido por las necesidades de un gobierno de TI. Establecer los requerimientos para un marco de Gobierno de TI. Utilizar Cobit con otros estndares y mejores prcticas. Aplicar las funciones que Cobit provee y los beneficios de su uso COBIT. Aplicar este marco de referencia en una situacin prctica.

Conclusin. Cualquier tipo de empresa puede adoptar una metodologa COBIT, como parte de un proceso de reingeniera en aras de reducir los ndices de incertidumbre sobre vulnerabilidades y riesgos de los recursos TI y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del negocio apalancado en procesos tecnolgico.

Bibliografas. Titulo: COBIT. Modelo para auditora y control de sistemas de informacin. Tema: Auditora y Control. Autor corporativo: Universidad EAFIT. Consultorio Contable. Fecha: 10 de Mayo de 2007.

Titulo: El modelo COBIT para auditora y control de sistemas de informacin Tema: Boletn 54. Autor corporativo: ChannelPlanet Inc. Colaboracin de ETEK micrositios. Fecha: 7 de Febrero del 2005.