Cobit 4.1 - Val It

COBIT 4.
1 Gobierno de TI
Preparado por: MBA Juan de Dios Bel, CISA, CISM M. Sc Xiomar Delgado, CISA, CRISC PC-0423 AUDITORA INFORMTICA I
Pregunta
Qu significan las siglas COBIT?

A. Control Objectives for Information and related Technology B. Cobertura Internacional para auditores de TI C. Control Objectives for Information Technology Technology
Pregunta
Qu es COBIT?
A. Un libro de Tecnologa de de Informacin Informacin (TI) (TI) de de JRR Tolkien B. Un estndar internacional para el gobierno, el control y la auditora de la Tecnologa de Informacin. C. Un manual de Normas, Polticas y Procedimientos del ambiente TI.
3
Pregunta
Cul es la Misin de COBIT ?
A. B. C.
Brindar un instrumento de soporte a la Gerencia de TI y a los Auditores de TI para ordenar la crisis . Vender 2.000.000 de volmenes en el mundo. Investigar, Investigar, desarrollar, desarrollar,publicar publicary ypromover promoveruna unaserie serie internacional, autorizada y actualizada de objetivos de control de tecnologa de informacin generalmente aceptados para su uso diario por parte de auditores y gerentes de negocio.
Pregunta
Quin desarroll COBIT ?
A. ISACA con el IT Governance Institute
B. AICPA (Instituto Norteamericano de Contadores Pblicos)
C. FIFA en conjunto con la Unin Europea
Pregunta
Cul es el enfoque de COBIT ?
A. Lograr los objetivos de negocio de ISACA B. Lograr los objetivos de negocio personales C. Lograr los objetivos de negocio de una organizacin
Pregunta
A. El pblico en general.
Quines son los destinatarios de COBIT?
B. Los Gerentes, los Usuarios y los Auditores. C. Los Gerentes, los Auditores Financieros y los Auditores de Sistemas de Informacin.
Pregunta
Para qu necesitan COBIT los Gerentes?

A. Para sorprender y desafiar a los Auditores Externos especializados en TI, en las entrevistas de relevamiento. B. Proporciona elementos que pueden ser tiles para llevar a cabo una evaluacin de un sistema de control interno. C. Para ayudarlos a equilibrar el riesgo y la inversin en controles en un ambiente de TI a menudo imprevisible.
8
Pregunta
Para qu necesitan COBIT los Usuarios?

A. Para obtener la garanta de la seguridad y los controles de los servicios de TI provistos por personal de la organizacin o por terceros. B. Como manual de consulta en aspectos de Sistemas y Operaciones. C. Para completar la biblioteca con libros de llamativos colores.
9
Pregunta
Para qu necesitan COBIT los Auditores? A. Para aportar valor agregado en la planificacin de los trabajos de Auditora. B. Para respaldar sus opiniones y/o aconsejar a la Direccin con respecto a los controles internos. C. Para tener tema de conversacin con sus pares en las reuniones de ISACA.
10
Preguntas
10
Cules son los productos principales de la Familia COBIT?

A. El Sumario Ejecutivo, los Objetivos de Control, las Directrices de Auditora y los Objetivos de Control para Net Centric.
El Sumario Ejecutivo, el Marco, los Objetivos de Control Detallados, las Directrices Auditora, las Directrices Gerenciales y la Gua de Implementacin. La Caja, el CD y dos consultores COBIT experimentados.
B.
C.
11
Introduccin a COBIT
Por qu necesitan las TI un marco de control? Quin necesita un marco de control de TI? Por qu y cundo se usa COBIT?
12
Por qu necesita la TI un marco de control?

Le suena familiar alguna de estas situaciones?
Creciente presin para la incorporacin de las TI a las estrategias de negocios Complejidad creciente de los entornos de TI Infraestructuras de TI fragmentadas Brecha comunicacional entre los responsables de negocios y los responsables de TI Niveles insuficientes de servicio de TI, tanto de las funciones internas de TI como de proveedores externos de TI Costos de TI [que se perciben como] fuera de control Retorno sobre la Inversin (ROI) / ganancias de productividad marginales Problemas de flexibilidad organizacional y de agilidad ante el cambio
13

Frustracin del usuario conducente a soluciones ad hoc Dependencia creciente de la informacin y de los sistemas que la proveen Vulnerabilidades crecientes y un amplio espectro de amenazas, tales como las ciberamenazas y la guerra de informacin Escala y costo de las inversiones actuales y futuras en informacin y en sistemas de informacin Necesidad de cumplir con las regulaciones vigentes Potencial de las TI para cambiar dramticamente a las organizaciones y a las prcticas de negocio, crear nuevas oportunidades y reducir costos Reconocimiento de muchas organizaciones de los beneficios potenciales de las TI
Las organizaciones exitosas comprenden y gestionan los riesgos asociados con la implementacin de las nuevas tecnologas.
14
Para asegurar que:

Las TI agregan valor
Costo, tiempo y funcionalidad son los esperados
Las TI no dan sorpresas

Los riesgos son mitigados
Las TI extienden los lmites

Nuevas oportunidades e innovaciones para procesos, productos y servicios
la conduccin necesita poner las TI bajo control.

15
Quines necesitan un marco de control?

Directivos y Ejecutivos
Para asegurar que los gerentes siguen e implementan las directivas estratgicas para las TI
Gerencia
Para tomar las decisiones de inversin en TI Para balancear los riesgos y controlar las inversiones Para comparar (benchmark) entornos de TI actuales y futuros
Usuarios
Para obtener garantas sobre la seguridad y control de los productos y servicios que adquieren interna o externamente
Auditores
Para sustanciar sus opiniones sobre controles internos ante la direccin Para aconsejar sobre los controles mnimos necesarios
16
Por qu y cmo se utiliza COBIT?

COBIT como una respuesta a las necesidades
Incorpora los principales

estndares internacionales
Se ha transformado en el
estndar de facto para el control total sobre las TI
C CobiT COBI OBIT T

best practices Repositorio de las mejores prcticas repository for para:
Arranca a partir de los

requerimientos del negocio
Procesos de TI
Est orientado a los

procesos
IT Processes
Procesos de Gestin de TI IT Management Processes Procesos IT Governance de Gobierno Processes de TI

17

Testimonios de Casos de Estudio
Ayuda sustancialmente a incrementar la aceptacin y reducir Provee una gua para auditoras/revisiones formales Ayuda a utilizar los resultados de las auditoras como una
oportunidad para planificar mejoras
el tiempo de implementacin de un programa de gobierno de TI
Es un factor importante para lograr los objetivos primarios

para el gobierno de las TI: transformar las prcticas organizacionales y perseguir procesos mejorados continua
Provee un marco referencial para la mejora econmica
18

Testimonios de Casos de Estudio
Provee una fuente creble para las decisiones de la direccin

sobre controles
Ayuda a los gerentes de operaciones de TI con su habilidad Es ideal para que la direccin de negocios comunique sus
requerimientos y preocupaciones
para asistir en la comprensin de lo que los auditores desean
Est reconocido como una referencia de origen confiable que

asegura la identificacin de todas las reas principales de riesgo
Mejora las comunicaciones y relaciones con la direccin de TI

19

Resultados de Encuestas
Para mejorar el enfoque y los programas de auditora Para dar soporte al trabajo de auditora con directrices (guidelines) detalladas de auditora Para proveer orientacin para el gobierno de las TI Como un valioso benchmark para el control de SI/TI Par mejorar los controles de SI/TI Para estandarizar el enfoque y programas de auditora
20
El Marco Referencial de COBIT 4.1
El Marco referencial de COBIT explica:

Enfoque en los procesos
Orientacin a los Procesos

Recursos de TI
21
COBIT 4.1: De qu est compuesto?

Parte
de la premisa que las TI deben entregar la informacin que la empresa necesita para alcanzar sus objetivos Promueve el enfoque de procesos y la propiedad de los procesos Divide las Ti en 34 procesos pertenecientes a 4 dominios y provee un objetivo de control de alto nivel para cada uno de ellos
Considera
Planificacin & Organizacin Adquisicin & Implementacin Entrega y Soporte
Monitoreo y Evaluacin
las necesidades financieras, de calidad y seguridad de las empresas, proveyendo 7 criterios de informacin que pueden ser utilizados para definir genricamente lo que los negocios esperan de las TI soportado por un conjunto de ms de 200 objetivos detallados de control
Est
Efectividad Eficiencia Disponibilidad Integridad Confidencialidad Confiabilidad Cumplimiento

22
Orientacin a Negocios y Enfoque en Procesos
A fin de proveer la informacin que la organizacin necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados mediante un conjunto de procesos naturalmente agrupados.
Negocios Procesos
Est referido a requerimientos de negocios (expresados como criterios de informacin) Se vincula con los procesos de negocios
Faculta (empower) a los dueos de los procesos de negocio

Descompone a las TI en 4 dominios y 34 procesos Dominios: (planear-construir-ejecutar) + monitorear El control, la auditora, la implementacin y la administracin del desempeo estn estructurados mediante procesos
23
Definicin del Marco Referencial de COBIT
REQUERIMIENTOS DE NEGOCIO PROCESOS DE TI
RECURSOS DE TI
A fin de proveer la informacin que la organizacin necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados mediante un conjunto de procesos naturalmente agrupados.
Por Qu?
La orientacin a procesos es un enfoque de gestin probado para ejercer responsabilidades eficientemente, alcanzar los objetivos establecidos y gestionar razonablemente los riesgos.
24
Requerimientos de Negocio
Requerimientos de Calidad: Calidad Entrega Costo Requerimientos de Seguridad Confidencialidad Integridad Disponibilidad Requerimientos Financieros
(Informe COSO) Efectividad y Eficiencia de las operaciones Cumplimiento con leyes y regulaciones Confiabilidad de los informes financieros
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento
Confiabilidad de la
informacin
25
Requerimientos de Negocio
Efectividad Se refiere a que la informacin sea relevante y pertinente
para el proceso del negocio, as como a que sea entregada de manera oportuna, correcta, consistente y utilizable.
Eficiencia Se refiere a la provisin de informacin a travs de la

utilizacin ptima (ms productiva y econmica) de recursos.
contra divulgacin no autorizada.
Confidencialidad Se refiere a la proteccin de informacin sensible

Integridad Se refiere a la precisin y suficiencia (completeness) de la
informacin, as como a su validez de acuerdo con el conjunto de valores y expectativas del negocio.
Disponibilidad Se refiere a la disponibilidad de la informacin cuando Cumplimiento Se refiere al cumplimiento de aquellas leyes,
sta es requerida por el proceso de negocio y por lo tanto tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente.
Confiabilidad de la informacin Se refiere a la provisin de
informacin apropiada a la administracin para que sta la use en la operacin de la entidad, en la provisin de informes financieros a los usuarios de la informacin financiera y para que informe a los organismos regulatorios con relacin al cumplimiento de las leyes y las regulaciones vigentes.
26

Agrupamiento natural de procesos, a menuno coincidente con un dominio organizacional de responsabilidad. Una serie de actividades relacionadas con cortes de control naturales. Acciones requeridas para alcanzar un resultado mensurable. Las actividades poseen un ciclo de vida, mientras que las tareas son discretas.
27
Dominios
Procesos
Actividades o tareas

Dominios de TI
Planificacin &
Organizacin Adquisicin & Implementacin Entrega & Soporte Monitoreo & Evaluacin
Procesos de TI
Estrategia de TI Operaciones de
Actividades

Agrupamiento natural de procesos, a menuno coincidente con un dominio organizacional de responsabilidad.
computacin Gestin de incidentes Aceptacin de testing Administracin de cambios Planes de contingencia Gestin de problemas
Registrar nuevos
problemas Analizar Proponer solucin Monitorear solucin Registrar problemas conocidos Etc.
Una serie de actividades relacionadas con cortes de control naturales.
Acciones requeridas para alcanzar un resultado mensurable. Las actividades poseen un ciclo de vida, mientras que las tareas son discretas.
28

Planificacin & Organizacin
Descripcin
Dominios
Este dominio cubre las estrategias y tcticas, y se refiere a la identificacin de la forma en que la TI puede contribuir mejor al logro de los objetivos del negocio. Adems, la realizacin de la visin estratgica necesita ser planeada, comunicada y gestionada desde diferentes perspectivas. Finalmente, deber establecerse una organizacin y una infraestructura tecnolgica apropiadas.
Tpicos

Estrategia y tctica Visin planeada Organizacin e infraestructura
Preguntas

Estn la TI y la estrategia de negocio alineadas? Est la empresa haciendo un uso ptimo de sus recursos? Comprenden todos en la organizacin los objetivos de TI? Son comprendidos los riesgos de TI y estn siendo gestionados? Es la calidad de los sistemas de TI adecuada para las necesidades del negocio?
29

PO1
Definir un plan estratgico de TI PO2 Definir la arquitectura de informacin PO3 Determinar la direccin tecnolgica PO4 Definir la organizacin y las relaciones de TI PO5 Gestionar la inversin en TI PO6 Comunicar los objetivos y la direccin de la gerencia PO7 Administrar recursos humanos PO8 Asegurar el cumplimiento de requerimientos externos PO9 Analizar y evaluar riesgos PO10 Gestionar proyectos PO11 Gestionar la calidad
.
30

Adquisicin & Implementacin
Descripcin
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso de negocio. Adems, este dominio cubre los cambios y el mantenimiento de los sistemas existentes, para asegurar que el ciclo de vida es continuo para estos sistemas.
Dominios
Tpicos
Soluciones de TI Cambios y mantenimiento
Preguntas
Es probable que los nuevos proyectos entreguen soluciones que satisfagan las necesidades de negocio? Es probable que los nuevos proyectos entreguen en tiempo y dentro de presupuesto? Trabajarn los nuevos sistemas correctamente una vez implementados? Sern los cambios realizados sin perturbar las operaciones actuales de negocio?
31

AI1 Identificar soluciones automticas AI2 Adquirir y mantener de software de aplicacin AI3 Adquirir y mantener infraestructura tecnolgica AI4 Desarrollar y mantener procedimientos de TI AI5 Instalar y acreditar sistemas AI6 Gestionar cambios
32

Entrega & Soporte
Descripcin
Este dominio se refiere a la entrega o distribucin efectiva de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por la seguridad en los sistemas y la continuidad de las operaciones. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento
Dominios
efectivo de los datos por [parte de] los sistemas de informacin, frecuentemente clasificados como controles de aplicacin.
Tpicos

Entrega de servicios requeridos Establecimiento de procesos de soporte Procesamiento por [parte de] los sistemas de aplicacin
Preguntas

Estn los servicios de TI siendo entregados en lnea con las prioridades de negocio? Estn los costos de TI optimizados? La fuerza de trabajo es capaz de usar los sistemas de TI en forma productiva y segura? Estn la seguridad, integridad y disponibilidad adecuadas en su lugar apropiado?
33

Entrega & Soporte

ES1 ES2 ES3 ES4 ES5 ES6 ES7 ES8 ES9 ES10 ES11 ES12 ES13
Definir y gestionar niveles de servicio Gestionar servicios prestados por terceros Gestionar desempeo y capacidad Asegurar el servicio continuo Garantizar la seguridad de sistemas Identificar y asignar costos Educar y entrenar a usuarios Asistir y asesorar a los clientes Gestionar la configuracin Gestionar problemas e incidentes Gestionar datos Gestionar instalaciones Gestionar operaciones
34

Monitoreo & Evaluacin
Descripcin
Dominios
Todos los procesos de TI necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Este dominio consecuentemente hace referencia a la supervisin de los procesos de control de la organizacin por [parte de] la Administracin y al aseguramiento independiente provisto por la auditora interna y la externa u obtenido de fuentes alternativas.
Tpicos

Evaluacin a lo largo del tiempo, garanta de entrega [delivering assurance] Supervisin del sistema de control por [parte de] la Administracin Medicin de desempeo
Preguntas

Puede medirse el desempeo de la TI y pueden detectarse los problemas antes de que sea demasiado tarde? Se necesita aseguramiento independiente para garantizar que las reas crticas estn operando como es debido?
35

M1 Monitorear el proceso M2 Evaluar la adecuacin del control interno M3 Obtener aseguramiento independiente M4 Proveer auditora independiente
36
Recursos de TI
Clasificacin
DATOS APLICACIONES TECNOLOGIA
Los objetos de datos en su sentido ms amplio, es decir: externos e internos, estructurados y no estructurados, grficos, sonido, etc. Entendido como la suma de procedimientos manuales y programados Hardware, sistemas operativos, administracin de bases de datos, redes, multimedia, etc. Ambientes que albergan y dan soporte a los sistemas de informacin Habilidades, conocimientos y productividad del personal para planificar, organizar, adquirir, entregar y dar soporte y monitorear servicios y sistemas de informacin
INSTALACIONES
PERSONAL
37
Cmo se relacionan?
Recursos de TI
Procesos de TI
Requerimientos del Negocio
Datos
Sistemas de Aplicacin
Tecnologa Instalaciones
Planificacin & Organizacin Adquisicin & Implementacin Entrega & Soporte
Gente
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad de la informacin

38
Los recursos facilitados a y desarrollados por la TI
Cmo se organiza la TI para responder a los requerimientos
Qu esperan de la TI las partes interesadas
Recursos de TI Datos Sistemas de Aplicacin Tecnologa Instalaciones Gente
Procesos de TI Planificacin & Organizacin Adquisicin & Implementacin Entrega & Soporte
Requerimientos del Negocio Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad de la informacin
39
Marco Referencial de COBIT

M1 Monitorear el proceso M2 Evaluar la adecuacin del control interno M3 Obtener aseguramiento independiente M4 Proveer auditora independiente
PO1
Criterios
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Definir un plan estratgico de tecnologa de informacin PO2 Definir la arquitectura de informacin PO3 Determinar la direccin tecnolgica PO4 Definir la organizacin y las relaciones de TI PO5 Gestionar la inversin en tecnologa de informacin PO6 Comunicar los objetivos y la direccin de la gerencia PO7 Administrar recursos humanos PO8 Asegurar el cumplimiento de requerimientos externos PO9 Analizar y evaluar riesgos PO10 Gestionar proyectos PO11 Gestionar la calidad
RECURSOS DE TI
Datos Sistemas de Aplicacin Tecnologa Instalaciones Gente
PLANIFICAION Y ORGANIZACIN
MONITOREO Y EVALUACIN ADQUISICIN E IMPLEMENTACIN

DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 Definir y gestionar niveles de servicio Gestionar servicios prestados por terceros Gestionar desempeo y capacidad Asegurar el servicio contnuo Garantizar la seguridad de sistemas Identificar y asignar costos Educar y entrenar a usuarios Asistir y asesorar a los clientes Gestionar la configuracin Gestionar problemas e incidentes Gestionar datos Gestionar instalaciones Gestionar operaciones
ENTREGA Y SOPORTE
AI1 AI2 AI3 AI4 AI5 AI6
Identificar soluciones automticas Adquirir y mantener de software de aplicacin Adquirir y mantener infraestructura tecnolgica Desarrollar y mantener procedimientos de TI Instalar y acreditar sistemas Gestionar cambios
40
OBJETIVOS DE NEGOCIO
GOBIERNO DE TI
COBIT
INFORMACION
eficacia
eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad
GOBIERNO, CONTROL y AUDITORA de la INFORMACIN y su TECNOLOGA RELACIONADA
COBIT
Regla de oro
Es preciso administrar los recursos de TI por medio de una serie de procesos agrupados naturalmente, a fin de proveer la informacin que la organizacin necesita para lograr sus objetivos 41
TM
PLANIFICACION Y ORGANIZACION
MONITOREO
RECURSOS DE TI
datos
sistemas de aplicacin tecnologa instalaciones personal
ENTREGA Y SOPORTE
ADQUISICION E IMPLEMENTACION
Marco Referencial de COBIT

Recapitulando hasta ahora:
La TI es indispensable para la supervivencia y el crecimiento de
las empresas. La Administracin es responsable del control. Esta responsabilidad necesita un marco referencial:
Los requerimientos del negocio pueden ser expresados como
COBIT es un estndar internacionalmente aceptado.
criterios de informacin. La TI es por lo general organizada en un conjunto de procesos. La TI necesita un conjunto de recursos.
A fin de proporcionar la informacin que la organizacin necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados en forma natural.
42
El Cubo COBIT
Vista de la Junta Directiva
Vista de los Usuarios
Vista de la Gerencia de TI y especialistas
43
Ayudas para la Navegacin

S P
Criterios de Informacin
Cubo COBIT
Dominios de TI

Entrega y Soporte
Monitoreo y Evaluacin
44
Resumen Procesos, criterios y recursos
45
COBIT
Resumen de Procesos, Criterios y Recursos
AI6
Dominio
Proceso
AI1 AI2 AI3 AI4 AI5 AI6
Identificar soluciones automatizadas P P P P P P P S P P P S S S S P S P S S S S S
Adquirir y mantener software de aplicacin

Adquirir y mantener infraestructura tecnolgica Desarrollar y mantener procedimientos de TI Instalar y acreditar sistemas Gestionar cambios
46
Asignacin
Los procesos ms importantes de COBIT
Para su empresa de estudio: Cules seran los procesos de TI ms importantes?
Por qu?
47
Los procesos de TI ms importantes...
34 15
PO1 PO3 PO5 PO9 PO10 AI1 AI2 AI5 AI6 ES1 ES4 ES5 ES10 ES11 M1
Definicin de un plan estratgico de TI Determinacin de la direccin tecnolgica Administracin de las inversiones Evaluacin de riesgo Administracin de proyectos Identificacin de soluciones Adquirir y mantener aplicaciones de software Instalar y acreditar sistemas Administracin de cambios Definir niveles de servicio Garanta de continuidad de servicio Garanta de seguridad de los sistemas Administracin de problemas e incidentes Administracin de datos Monitoreo de procesos
Estudio del IT Governance Institute

48
Productos Importantes de COBIT
Objetivos de Control
Los controles mnimos son...
Directrices Gerenciales
He aqu cmo usted mide
Directrices de Auditora
He aqu cmo usted audita...
49
Definiciones de Control y de Objetivo de Control

Definicin de Control
Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos.
Definicin de Una sentencia del resultado esperado o del propsito que se desea alcanzar implementando procedimientos Objetivo de (prcticas) de control en una actividad particular de TI. Control de TI
50
Objetivos de Control y Prcticas de Control
Objetivo de control de alto nivel

Uno por proceso
Objetivos de control detallados

De tres a 30 por proceso
Prcticas (procedimientos) de control

De cinco a siete por objetivo de control
51
Modelo en cascada
El control de
Procesos de TI
que satisface
Requerimientos es habilitado por del Negocio
Declaracin de Control
considerando
Prcticas de Control
4 Dominios - 34 Procesos -
52
Objetivo de Control de Alto Nivel AI6 Administracin de cambios

Se requiere la administracin de cambios a los programas de computacin para garantizar la integridad de procesamiento entre versiones, y para la consistencia de los resultados de perodo en perodo. EL cambio debe ser formalmente gestionado mediante polticas y procedimientos de requerimiento de control de cambio, evaluacin de impacto, documentacin, autorizacin, liberacin, y distribucin.
53
AI6
Objetivos de Control de Alto Nivel
54
Objetivos de Control Detallados

AI6 Administracin de Cambios 6.1 Inicio y Control de Solicitudes de Cambio OBJETIVO DE CONTROL La Gerencia deber asegurar que todas las solicitudes de cambios tanto internos como por parte de proveedores estn estandarizados y sujetos a procedimientos formales de administracin de cambios. Las solicitudes se deben categorizar y priorizar y deben establecerse procedimientos especficos para manejar cambios urgentes. Los solicitantes de los cambios deben permanecer informados acerca del estatus de su solicitud. 6.2 Anlisis de Impacto OBJETIVO DE CONTROL Deber establecerse un procedimiento para asegurar que todas las solicitudes de cambio sean evaluadas en una forma estructurada que considere todos los posibles impactos que el cambio pueda ocasionar sobre el sistema operacional y su funcionalidad. 6.3 Control de Cambios OBJETIVO DE CONTROL La Gerencia de TI deber asegurar que la administracin de cambios, as como el control y la distribucin de software sean integrados apropiadamente en un sistema completo de administracin de configuracin. El sistema utilizado para monitorear los cambios a los sistemas de aplicacin debe ser automtico para soportar el registro y seguimiento de los cambios realizados a grandes y complejos sistemas de informacin. 6.4 Cambios de Emergencia OBJETIVO DE CONTROL La gerencia de TI debe establecer parmetros definiendo cambios de emergencia y procedimientos para controlar estos cambios cuando ellos traspasan los procesos normales de anlisis de prioridades de la gerencia para su implementacin. Los cambios de emergencia deben ser registrados y autorizados por la gerencia de TI antes de su implementacin.
55

AI6 Administracin de Cambios 6.5 Documentacin y Procedimientos OBJETIVO DE CONTROL El procedimiento de cambios deber asegurar que, siempre que se implementen modificaciones a un sistema, la documentacin y procedimientos relacionados sean actualizados de manera correspondiente. 6.6 Mantenimiento Autorizado OBJETIVO DE CONTROL La Gerencia de TI deber asegurar que el personal de acceso al sistema debern ser controlados para que el mantenimiento tenga asignaciones especficas y que su trabajo sea monitoreado apropiadamente. Adems, sus derechos de evitar riesgos de accesos no autorizados a los sistemas automatizados. 6.7 Poltica de Liberacin de Software OBJETIVO DE CONTROL La Gerencia de TI deber garantizar que la liberacin de software est regida por procedimientos formales asegurando aprobacin, empaque, pruebas de regresin, entrega, etc. 6.8 Distribucin de Software OBJETIVO DE CONTROL Debern establecerse medidas de control especficas para asegurar la distribucin del elemento de software correcto al lugar correcto, con integridad y de manera oportuna y con adecuadas pistas de auditora.
56
COBIT
AI6
57
Prcticas de Control
Traducen los objetivos de control de COBIT en prcticas detalladas, implementables y proveen la argumentacin de negocio para la implementacin, desde una perspectiva de valor y riesgo
Las prcticas de control son mecanismos claves que soportan:

El logro de los objetivos de control La prevencin, deteccin y correccin de eventos no deseados
Las prcticas de control logran esto a travs de:

Un uso responsable de los recursos Una administracin adecuada del riesgo La alineacin de la TI con el negocio
58
Prcticas de control
AI6 Administracin del Cambio
AI6.4 Cambios de Emergencia
La gerencia de TI debe establecer parmetros definiendo cambios de emergencia y procedimientos para controlar estos cambios cuando ellos obvian el proceso normal de evaluacin tcnica, operacional y gerencial previo a su implementacin. Los cambios de emergencia deben ser registrados y autorizados por la gerencia de TI antes de su implementacin.
1. La Administracin define los parmetros, caractersticas y procedimientos que identifican y declaran las emergencias. Todos los cambios de emergencia son documentados, si no antes, despus de la implementacin. Todos los cambios de emergencia son probados, si no antes, despus de la implementacin. Todos los cambios de emergencia son formalmente autorizados por el dueo del sistema y la Administracin antes de su implementacin. Las imgenes previas y posteriores as como los logs de intervencin son retenidos para posterior revision. El control de los cambios de emergencia mediante la implementacin de las prcticas de control:
2. 3. 4.
Garantizar que los procedimientos de emergencia sean usados solamente en emergencias declaradas
Garantizar que los cambios urgentes puedan ser implementados sin comprometer la integridad, disponibilidad, confiabilidad, seguridad, confidencialidad o exactitud
5.
Prcticas de Control
Por qu adoptarlas?
59
Directrices Gerenciales Directrices de Auditora
He aqu como usted mide He aqu como usted audita...
60
IT Governance Model
El gobierno de TI ayuda a verificar cmo los sistemas automticos:

Simplifica operaciones Reduce costos Incrementa beneficios
Necesita un marco referencial de control de TI

61
Cmo se Vincula COBIT con el Gobierno de TI?
Requerimientos
Direccin y Asignacin de Recursos
Objetivos
Responsabilidades
Negocio
Informacin que el Negocio Necesita para Alcanzar sus Objetivos
TI
Gobierno
Los Ejecutivos de Informacin y el Directorio Necesitan Ejercer sus Responsabilidades
62
Cmo se Vincula COBIT con el Gobierno de TI?
Requerimientos
(Estrategia y Poltica de TI)
Direccin
Objetivos
TI IT
Responsabilidades
Negocio
Gobierno
Informacin (Control, Riesgo y Aseguramiento de TI)
Gobierno de TI
63
Sin embargo, la Administracin tiene preguntas que van ms all del marco referencial de control :
Cmo hacen los administradores responsables para mantener la nave en su curso? DASHBOARD
(Tablero de Instrumentos)
Indicadores?
Cmo se logran resultados satisfactorios para el mayor segmento posible de nuestros inversionistas? Cmo adaptar oportunamente la organizacin a las tendencias y desarrollos en el entorno de la empresa?
SCORECARDS
(Tarjetas de Puntuacin)
Medidas?
BENCHMARKING
(Referencias)
Escalas?
64
Marco Referencial de las Directrices Gerenciales
Descripcin de proceso
El control de
Procesos de TI
Criterios de Informacin Recursos

Indicadores Clave de Objetivo
que satisface
es habilitado por
considerando
Prcticas de Control
Modelo de Madurez
0 - Los procesos de administracin no se aplican en absoluto. 1 - Los procesos son ad hoc y desorganizados. 2 - Los procesos siguen un patrn regular. 3 - Los procesos son documentados y comunicados. 4 - Los procesos son monitoreados y medidos. 5 - Las mejores prcticas son seguidas y automatizadas.
Factores crticos de xito
Indicadores Clave de Desempeo
65

Definiciones
Describen el resultado del proceso (i.e., medible despus del hecho); son medidas del qu, y pueden describir el impacto de no alcanzar el objetivo del proceso Son indicadores del xito del proceso y de su contribucin al negocio Se enfocan en las dimensiones de cliente y financiera del balanced scorecard
El control de
Procesos de TI
que satisface
es habilitado por
considerando
Prcticas de Control
66

Ejemplos
Mayor nivel de entrega de servicio Nmero de clientes y costo por cliente servido Disponibilidad de sistemas y servicios Ausencia de riesgos de integridad y confidencialidad Costo-eficiencia de procesos y operaciones Confirmacin de confiabilidad y efectividad Adherencia a costos y plazos de desarrollo Costo-eficiencia del proceso Productividad y moral del personal Nmero de cambios oportunos a procesos y sistemas Mejora de productividad (e.g., entrega de valor por empleado)
67

Definiciones
Son medidas de qu tan bien se est desempeando el proceso

Predicen la probabilidad de xito o fracaso Se enfocan en las dimensiones de proceso (interno) y de aprendizaje del balanced scorecard Estn expresados en trminos precisos, medibles
El control de
Procesos de TI
que satisface
es habilitado por
considerando
Prcticas de Control
Deberan ayudar a mejorar el proceso de TI
68

Ejemplos
Financiera
Nmero de clientes de

TI Costo por cliente de TI Costo-eficiencia de procesos de TI Entrega de valor de TI por empleado
Cliente
Proceso
Nivel de entrega de servicio Satisfaccin de clientes Nmero de nuevos clientes

alcanzados Nmero de nuevos canales de entrega de servicios
Disponibilidad de sistemas y Desarrollos dentro de plazo

Informacin
servicios y presupuesto
existentes
Productividad y tiempo de
respuesta Cantidad de errores y retrabajos
Aprendizaje
Productividad y moral
del personal Nmero de personas entrenadas en nuevos tecno/servicios Entrega de valor por empleado Mayor disponibilidad de sistemas de conocimiento
69
Factores Crticos de xito

Definiciones
Son las cosas ms importantes que hay que hacer para incrementar la probabilidad de xito del proceso Son caractersticas observables usualmente mensurables de la organizacin y del proceso Enfocadas a obtener, mantener y respaldar la capacidad, las habilidades y el comportamiento
El control de
Procesos de TI
que satisface
es habilitado por
considerando
Prcticas de Control
70

Ejemplos
Estrategia
El plan estratgico de TI expresa claramente una posicin de riesgo tal como de vanguardia o probado, innovador o seguidor, y el balance requerido entre tiempo-a-mercado, costo de propiedad y calidad de servicio. Si usted no est preparado para forzar la poltica, no emita la poltica. Un programa de permiso de construccin para construir sistemas de TI y un programa de licencia de conductor para aqullos que llevan a cabo la construccin. Un buen plan de seguridad toma tiempo para evolucionar.
Poltica
Cumplimiento Seguridad
71
Modelos de Madurez
Definiciones
Se refieren a los requerimientos de negocio (ICOs) y a los aspectos
habilitadores (ICDs) en los diferentes niveles
Son una escala que hace que se presten a una comparacin
pragmtica, donde la diferencia puede hacerse fcilmente mensurable
Son reconocibles como un perfil de la empresa en relacin al
gobierno y control de TI
Ayudan a determinar posiciones como-es (as-is) y como-ser (to-
be) relativas a la madurez del gobierno y control de TI y a analizar la brecha naturaleza del negocio determina cul es un nivel apropiado.
No son especficos de una industria ni generalmente aplicables. La
72
Modelo de Madurez de Control para los Procesos de TI

Repetible Inexistente 0 Inicial 1 2 Definido 3
Administrado
4
Optimizado
SIMBOLOS UTILIZADOS
Estado Actual de la Empresa Estndares Internacionales Mejores Prcticas de la Industria Estrategia corporativa
CLASIFICACIONES UTILIZADAS
0 Inexistente 1 Inicial No se aplica ningn proceso de gestin Los procesos se aplican segn la ocasin y de manera desorganizada
2 Repetible
3 Definido 4 Administrado 5 Optimizado
Los procesos siguen un patrn regular

Los procesos son documentados y comunicados Los procesos son monitoreados y medidos Se siguen y se automatizan las mejores prcticas
73
Modelo de Madurez de Control para los Procesos de TI

Evolucin de los Procesos Optimizado Caractersticas
Mejora contnua del Proceso (Cualitativo) Medicin del Proceso
(Cuantitativo) Proceso Definido e Institucionalizado (Intuitivo) El Proceso es dependiente de los Individuos
Mtodo a utilizar
Automatizacin
Productividad y Calidad
Administrado
Cambios de Tecnologa Anlisis de Problemas Prevencin de Problemas
Definido
Medicin del Proceso Anlisis de Procesos Planes de Calidad
Repetible
Entrenamiento Prcticas Tcnicas Enfoque de Procesos
Inicial
(Ad Hoc/Catico)
Administracin de Proyectos Planificacin de Proyectos Procedimientos de TI
Riesgo
74
Anlisis de brecha
Dnde queremos estar?
Visin y objetivos de negocio
Dnde estamos ahora?
Evaluaciones
Cmo llegaremos a dnde queremos estar? Cmo sabremos si lo hemos logrado?
Mejora de Procesos o reingeniera
Mtricas & Mediciones
75
AI6
Directriz Gerencial
76
AI6
Directriz Gerencial
77
El control sobre el proceso de TI Administrar Cambios de TI con el objetivo del negocio de minimizar la probabilidad de interrupcin, alteraciones no autorizadas y errores 0 Inexistente. No hay un proceso definido de administracin de cambios y se pueden hacer cambios prcticamente sin control alguno. No hay conciencia de que los cambios pueden causar interrupciones tanto para TI como para las operaciones de negocios, y ninguna conciencia de los beneficios de una buena administracin de cambios. 1 Inicial /Ad hoc Se reconoce que los cambios deben ser administrados y controlados, pero no hay un proceso consistente para seguimiento. Las prcticas varan y es probable que ocurran cambios no autorizados. Hay documentacin insuficiente o inexistente de cambios, y la documentacin de configuracin est incompleta y no es confiable. Es probable que ocurran errores junto con interrupciones en el entorno de produccin causados por una administracin deficiente del cambio.
AI6
Directriz Gerencial
2 Repetible pero Intuitiva Hay un proceso informal de administracin de cambios y la mayora de los cambios siguen este mtodo; sin embargo, el mismo no est estructurado, es rudimentario y est propenso a error. La precisin de la documentacin de configuracin es inconsistente y slo tiene lugar una planeacin y un estudio de impacto limitados antes de un cambio. Hay considerable ineficiencia y repeticin de trabajo.
3 Proceso Definido Est establecido un proceso formal de administracin de cambios, que incluye procedimientos de categorizacin, priorizacin, emergencia, autorizacin y administracin de cambios, pero no se impone su cumplimiento. El proceso definido no siempre es visto como adecuado o prctico y, en consecuencia, ocurren trabajos paralelos y los procesos son desviados. Es probable que ocurran errores y los cambios no autorizados ocurrirn ocasionalmente. El anlisis de impacto a los cambios de TI sobre las operaciones del negocio se estn volviendo formales para soportar la ejecucin de los planes para nuevas aplicaciones y tecnologas. 4 Administrado y Medible El proceso de administracin de cambios est bien desarrollado y es seguido de manera consistente para todos los cambios, y la administracin confa en que no hay excepciones. El proceso es eficiente y efectivo, pero se basa en considerables procedimientos y controles manuales para asegurar que se logre la calidad. Todos los cambios estn sujetos a una planeacin y estudio de impacto exhaustivos para minimizar la probabilidad de problemas posteriores a la produccin. Est establecido un proceso de aprobacin para los cambios. La documentacin de administracin de cambios est al da y es correcta, y los cambios son rastreados formalmente. La documentacin de la configuracin est generalmente actualizada. La planeacin e implementacin de la administracin de cambios de TI se est volviendo ms integrada con cambios en los procesos de negocios, para asegurar ese entrenamiento, se resuelven cambios organizativos y problemas de continuidad de negocio. Hay mayor coordinacin entre la administracin de cambios de TI y el rediseo del proceso de negocios.
78
He aqu cmo usted mide
Directrices de Auditora
He aqu como usted audita...
79
Objetivos de la Auditora de TI
Suministrar a la Junta Directiva y a los gerentes responsables de procesos: una garanta razonable respecto de que se logran los objetivos de control la identificacin de las deficiencias significativas la justificacin del riesgo asociado a las deficiencias el asesoramiento sobre las acciones correctivas a adoptar
Estoy en lo cierto?
y, si no es as, cmo lo resuelvo?

80
Estructura del Proceso de Auditora
Identificacin y Documentacin
Evaluacin del Control
Pruebas de Cumplimiento
Pruebas Sustantivas
81
Un proceso de TI es auditado mediante:

La obtencin de un entendimiento de los riesgos relacionados
con los requerimientos del negocio y de las medidas relevantes de control
La evaluacin de la
conveniencia de los controles establecidos
del cumplimiento probando si los controles establecidos estn funcionando como se espera, de manera consistente y continua
La valoracin
control no se estn cumpliendo mediante el uso de tcnicas analticas y/o consultando fuentes alternativas.
La comprobacin que existe el riesgo de que los objetivos de
82
COBIT: Directrices de Auditoria

Una Gua genrica y 34 Guas orientadas a procesos Una gua genrica identifica diversas tareas a ser realizadas en la evaluacin de cualquier objetivo de control dentro de un proceso. Esta gua genrica es un modelo para todos los objetivos de control. Otras son sugerencias de tareas especficas, orientadas a procesos para ofrecer a la administracin garanta de que existe un control y que ste tiene un nivel de efectividad razonable.
83
Directriz de Auditoria Genrica

COBIT: Directriz de Auditora
Adquirir el entendimiento
Entrevistas Obtener documentacin
Evaluar los controles

Considerando
Evaluar cumplimiento
Verificando
Sustentar el riesgo
Llevando a cabo Identificando
84
Directriz de Auditora Genrica (1 de 4)

Obtencin de un Entendimiento
Los pasos de auditora que se deben realizar para documentar las actividades que generan inconvenientes a los objetivos de control, as como tambin identificar las medidas/procedimientos de control establecidas.
Entrevistar al personal administrativo y de staff apropiado para lograr la comprensin de: Los requerimientos del negocio y los riesgos asociados
La estructura organizacional Los roles y responsabilidades Polticas y procedimientos Leyes y regulaciones Las medidas de control establecidas La actividad de reporte a la administracin (estatus, desempeo, acciones)
Documentar el proceso relacionado con los recursos de TI que se ven especialmente afectados por el proceso bajo revisin. Confirmar el entendimiento del proceso bajo revisin, los Indicadores Clave de Desempeo (KPI) del proceso, las implicaciones de control, por ejemplo, mediante una revisin paso a paso del proceso.
85

Evaluacin de los Controles
Los pasos de auditora a ejecutar en la evaluacin de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Bsicamente, decidir qu se va a probar, si se va a probar y cmo se va a probar.
Evaluar la conveniencia de las medidas de control para el proceso bajo revisin mediante la consideracin de los criterios indentificados y las prcticas estndares de la industria y la aplicacin del juicio profesional. Determinar si: Existen procesos documentados
Existen resultados apropiados
La responsabilidad y el registro de las operaciones son claros y efectivos

Existen controles compensatorios, en donde es necesario concluir el grado en que se cumple el objetivo de control.
86

Valoracin del Cumplimiento
Los pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia del ambiente de control.
Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta. Realizar una revisin limitada de la suficiencia de los resultados del proceso.
Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado.
87

Justificacin/Comprobacin del Riesgo
Los pasos de auditora a realizar para justificar el riesgo de que no se cumpla el objetivo de control mediante el uso de tcnicas analticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinin e impresionar a la administracin para que tome accin. Los auditores tienen que ser creativos para encontrar y presentar esta informacin que con frecuencia es sensitiva y confidencial.
Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-efecto. Brindar informacin comparativa; por ejemplo, mediante benchmarks.
88
AI6
Directriz Gerencial
89
Considerando s, continuacin
AI6
Directriz Gerencial
90
AI6
Directriz Gerencial
91
Cmo se Vinculan las Guas de Auditora y los Objetivos de Control

Obteniendo un entendimiento Evaluando los controles
Objetivos de control traducidos para verificar si son considerados
y toman en cuenta la pertinencia para la empresa y los requerimientos de la administracin acerca de su presencia
Recolectar informacin de base referida a impulsores de negocio, riesgos, infraestructura, etc.
Valorando el cumplimiento
Objetivos de control traducidos para probar y/o medir si los
controles para soportar los objetivos de control estn presentes como se declara y si ellos operan satisfactoriamente
Justificando el riesgo
Ilustrar objetivos de negocio no alcanzados, prdidas, etc., debido a la ausencia de controles adecuados.
92
Cmo se Vinculan las Guas de Auditora y los Objetivos de Control

Negocio requerimientos informacin
Procesos de TI Objetivos de Control
Guas de Auditora
Prcticas de Control
Indicadores Claves de Desempeo
Indicadores Claves de Objetivos
Modelos de Madurez
= toma en consideracin
93
COBIT y las Directrices de Auditora

El propsito de las Directrices de Auditora es proporcionar una estructura simple para auditar los controles de T.I. Son lineamientos genricos y en una estructura de alto nivel. No intentan ser una herramienta para la elaboracin el Plan General de Auditora Orientan al auditor en la revisin de los procesos de TI vinculados con los objetivos de control
94
Estndares Profesionales
Estructura
Normas:
Definen los requisitos obligatorios para la realizacin de las tareas y presentacin de informes de auditora de sistemas de informacin
Directrices:
Manual de Preparacin al Examen CISA 2003, Captulo 1 Pgina 30
Brindan la orientacin correcta para la correcta aplicacin de las normas. Si bien no est obligado a seguir sus pautas, un auditor de sistemas de informacin debera estar preparado para justificar el no cumplimiento de los mismos
Procedimientos:
Proporcionan informacin sobre la manera de cumplir con las normas al realizar tareas de auditora de sistemas de informacin, pero no establecen requisitos
95
Estndares profesionales
Normas Generales de Negocio
- Balanced Scorecard - ISO 9000 - Six Sigma
SIAS
GAAP
GAAS
SISA
Estndares de Auditora Estndares detallados de Tecnologa
AU/NZ 4360
Estndares detallados de la Industria

96
Cmo puedo usar COBIT para una auditora de Internet Banking?

Para una auditora especfica de Internet Banking los procesos de TI relevantes son determinados procesos de Planificacin y Organizacin, determinados los procesos de Adquisicin e Implementacin, determinados procesos de Entrega y Soporte y determinados de Monitoreo.
PO1 Definir un plana estratgico de TI PO3 Determinar la direccin tecnolgica PO8 Garantizar el cumplimiento de requisitos externos PO9 Evaluar riesgos AI2 Adquirir y mantener software de aplicacin AI3 Adquirir y mantener la infraestructura tecnolgica AI4 Desarrollar y mantener procedimientos AI5 Instalar y acreditar sistemas AI6 Administrar cambios ES1 Definir y administrar niveles de servicio ES2 Administrar servicios prestados por terceros ES3 Administrar el desempeo y la capacidad ES4 Garantizar el servicio continuo ES5 Garantizar la seguridad de los sistemas ES8 Asistir y asesorar a usuarios ES10 Administrar problemas e incidentes ES11 Administrar datos M1 Monitoreo de procesos M2 Evaluar la adecuacin del control interno
Los Criterios de Informacin ms relevantes para una auditora de Internet Banking son: Primarios: confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad Secundarios: eficacia y eficiencia
97
Adoptando COBIT como recurso de Auditora

Las destrezas de los auditores internos deben evolucionar con la tecnologa Es requerido para cumplir su papel como eficaz delegado de la Junta Directiva Ejercer un juicio razonable y prudente en la evaluacin de la prcticas de control
98
La TI ha formado un Abismo
Pioneros
Innovadores
Mayora
99
Auditora de TI
Hay Que Cruzar el Abismo
100
El Puente Existe: COBIT

El objetivo de Auditora es suministrar a la Direccin y a los responsables de procesos de negocios:
garantas que se logran los objetivos de control identificacin de las deficiencias significativas sustanciacin del riesgo asociado a las deficiencias asesoramiento sobre las acciones correctivas a adoptar
101
Los Auditores necesitan:

Un marco de referencia que establezca:
Como la actividad debera ser realizada si fuese ejecutada correctamente Un conjunto de objetivos de control para realizar la evaluacin
102
Cmo pueden agregar valor los Auditores?

Involucramiento
Anlisis
Directamente en los Equipos de Administracin de Proyectos y/o Indirectamente en el Comit de Direccin de Proyectos Costo Retorno Implicancias financieras potenciales Trminos contractuales (i.e. SLA) Establecer objetivos de seguridad Identificacin de amenazas Suministrar recomendaciones sobre soluciones factibles Desarrollar la capacidad de respuesta a incidentes & BCP Requerimientos de usuarios Seguridad y Controles Comprobaciones Documentacin Nuevos drivers de los negocios Riesgo y oportunidades con el comercio mvil Impacto de nuevas tecnologas
Seguridad y administracin de riesgos
Monitoreo
Visin proactiva
103
Consultas
Xiomar Delgado
104
105
xxxObtener y desarrollar las competencias

Para obtener las competencias de la auditora de SI el plantel de auditora puede:
desarrollar sus habilidades internamente, o usar consultores asociaciones profesionales
106
PROFESSIONAL SEMINARS SERIES
Productos y Soporte disponible
IT Governance Implementatiom Guide
COBIT Quickstart
COBIT Security Baseline IT Control Practices COBIT: Mapping Information Security Hamonization IT Governance Global Status Report InfoSecurity Governance IT Governance: BoardBriefing Aligning COBIT, ITIL & ISO 17799
107
Gobierno de TI: Gua de Implementacin

Cmo podemos usar COBIT para implementar el gobierno de TI? Examinando los contenidos de esta publicacin, podremos:
Entender el enfoque general; Ver las relaciones con el esquema de gobierno de TI; Recorrer la implementacin a travs del mapa; Ver los pasos involucrados; Revisar las herramientas de apoyo
108
Antecedentes de la Gua
Un recurso educativo para Juntas Directivas, alta gerencia y profesionales de control de tecnologa de informacin. La gua presenta una metodologa genrica que trata:
Por qu el gobierno de TI es importante; Cmo COBIT se relaciona con el gobierno de TI; Implementar el gobierno de TI usando COBIT
109
Gobierno de TI
Proposiciones de valor
Cundo usted es...
Director y Junta Directiva
El gobierno de TI puede servirle a usted para los siguientes objetivos...
Establecer las directrices para TI, resultados del monitoreo e insistir en las medidas correctivas
Gerente de Negocio
Definir los requisitos de negocio para TI y asegurar que ese valor es entregado y los riesgos son administrados
Suministrar y mejorar el servicio de TI como es requerido por el negocio y por las directrices de la Junta Directiva Proporcionar un aseguramiento independiente que TI entrega lo que se necesita que entregue Medir si las polticas cumplen con y se enfocan en las alertas de nuevos riesgos
110
Gerente de TI
Auditor de TI
Gerente de Riesgo &Cumplimiento
Expectativas de la Junta Directiva sobre TI

Por consiguiente, las expectativas de la Junta Directiva estn subiendo sobre las prestaciones:
Mejor calidad, funcionalidad y facilidad de uso, Entrega de informacin ms rpida, Mejoras de los niveles de servicios, Beneficio Disminucin de costos.
Riesgo
Costo
111
Cmo se vincula COBIT con el Gobierno de TI?

Direccin Requerimientos
(Estrategia y Poltica de TI)
Objetivos
TI IT
Responsabilidades
Negocio
Gobierno
Informacin (Control, Riesgo y Aseguramiento de TI)
Gobierno de TI
112
Marco de Gobierno de TI
Proveer directivas
Establecer Objetivos
TI alineada con el negocio TI posibilita el negocio y maximiza los beneficios Recursos de TI utilizados responsablemente Manejo apropiado de los riesgos relacionado con TI
Actividades de TI
Aumentar la automatizacin
(hacer eficacia al negocio)
Comparar
Reducir costos
(hacer eficiente a la empresa)
Manejar los riesgos

(seguridad, confiabilidad y cumplimiento de reglamentaciones)
Medir el Desempeo
113
Aplicacin desde diferentes ngulos:

GERENCIA DE NEGOCIOS GERENCIA DE TI GERENCIA DE AUDITORA
1. IMPLEMENTACIN IMPULSADA POR LA GERENCIA DE TI
REAS DE NEGOCIOS
3. Esfuerzo REAS DE REAS 4. IMPULSADA POR EL GOBIERNO CORPORATIVO conjunto AUDITORA DE TI
2. IMPLEMENTACIN IMPULSADA POR AUDITORA DE TI
USUARIOS
PERSONAL de TI
AUDITORES
114
Hoja de Ruta
de la Gua de Implementacin
Asiste a diversos interesados con una Hoja de Ruta detallada, que ayuda a la organizacin en la implementacin de sus necesidades de gobierno de TI. Asegura que el foco est en las necesidades del negocio cuando se mejora el control y el gobierno de los procesos de TI. Representa un proyecto que puede ser suficientemente grande, que requiere de estrictas prcticas de administracin de proyecto e involucramiento y vigilancia por parte de la gerencia. Un medio para el gobierno de TI, luego del cual, la empresa debera moverse a un ciclo continuo de gobierno de TI, reutilizando los elementos de esta hoja de ruta cuando sean necesarios.
115
Hoja de Ruta
de la Gua de Implementacin
La Hoja de Ruta provee la identificacin de los componentes de COBIT a aplicar durante la implementacin del plan de accin, desde la fase inicial de identificacin de necesidades hasta la implementacin de una solucin, pasando por las fases de visualizacin y planificacin.
116
Poniendo juntas las etapas
El mapa del itinerario a seguir

Revisin de Post Implementacin
Retroalimentacin
Concientizar y tomar la decisin Analizar valores y riegos Seleccionar procesos
- Medir el xito del proyecto de cambio - Retroalimentar dentro de otro proyecto de mejora
Identificar las necesidades

Definir dnde estamos ahora? Definir dnde queremos estar? Analizar brechas
Visualizar la solucin
Definir proyectos Desarrollar e implementar el plan de cambios
Planificar la solucin
Solucin sustentable
Establecer polticas, objetivos y metas Implementar polticas, responsabilidades, procesos y procedimientos Tomar acciones preventivas y correctivas y mejora continua
Integrar la prcticas en el da a da Integrar las mediciones dentro del BSC de TI
Implementar la solucin
117
Guas de Implementacin
Pasos a seguir
Cada una de las cuatro fases del plan de accin son introducidos con los actividades a realizar, los roles sugeridos de los stakeholders de la organizacin y el soporte de COBIT disponible. Los 12 pasos son presentados en detalle, con:
Denominacin y referencia de las actividades del proceso; Objetivo del proceso; Proceso (descripcion); Tareas; Insumos; Uso de los componentes de COBIT; Resultados; Soporte del kit de herramientas
118
Kit de herramientas de Implementacin

La gua de implementacin identifica los componentes de COBIT y provee herramientas para completar cada fase y paso de la Hoja de Ruta y del plan de accin
Basndose en la Hoja de Ruta y...
Identificar los componentes
Board Briefing on IT Governance IT Strategy Committee Objetivos de Control Control Practices Directrices de Gerenciamiento Modelo de Madurez Factores Crticos de xito Indicadores Clave de Meta Indicadores Clave de Desempeo Implementation Guide Implementation Training COBIT Security Baseline COBIT Online
Herramientas provisto en el kit

Plantillas Mapas Referencias cruzadas Anlisis y seleccin planillas Proceso de diagnstico Medicin de Madurez Modelo de anlisis de riesgos Tcnicas de informes Herramientas Planillas de Diagnstico Concienciacin de la gerencia Medicin de Madurez Presentaciones Estructura de Control Directrices de Gerenciamiento Implementation Guide
119
Gua de Implementacin: sus fases
Identificar las Necesidades

Concienciar y tomar la decisin
Analizar valores
Analizar riesgos
Seleccionar procesos
Visualizar la Solucin
Definir dnde estamos ahora?
Definir dnde queremos estar?
Analizar brechas
Planificar la Solucin
Definir proyectos
Desarrollar e implementar el plan de cambios
Implementar de la Solucin
Integrar la prcticas en el da a da
Integrar las mediciones dentro del BSC de TI
Revisin de Post Implementacin
120
Fase 1:
Identificar Necesidades
Identificar las Necesidades
Concienciar y tomar la decisin
Analizar valores
Analizar riesgos
Seleccionar procesos
Principales Objetivos:
1. Entender los antecedentes de la iniciativa y establecer objetivos mensurables para el proyecto de Gobierno de TI, concienciar y definir la organizacin del proyecto 2. Entender los objetivos del negocio y como ellos se trasladan a los objetivos de TI 3. Entender los principales efectos, por ejemplos riesgos, y como podran afectar las metas de TI 4. Decidir el alcance del Proyecto de mejora y los procesos a ser implementados o mejorados
121
Fase 2:
Definir dnde estamos ahora? Definir dnde queremos estar? Analizar brechas
1. Evaluar las capacidades actuales y el nivel de madurez de los procesos de TI seleccionados (as-is) 2. Establecer las capacidades y nivel de madurez deseado u objetivo para cada uno de los procesos (as-to-be) 3. Analizar las Brechas entre las posiciones y trasladarlas a oportunidades de mejoras
122
Fase 3:
Plan de la Solucin
Planificar la Solucin
Definir proyectos Desarrollar e implementar el plan de cambios
Principales Objetivos
1. Identificar las principales y factibles iniciativas de mejora 2. Trasladar las iniciativas a Proyectos que cumplan con el valor para el negocio planteados 3. Integrar los proyectos individuales aprobados en una estrategia global de mejora y en un Plan detallado y prctico de implementacin de la solucin 4. Trasladar a mtricas las metas de mejora del negocio y de TI 123
Fase 4:
Implementar la Solucin
Implementar de la Solucin
Integrar la prcticas en el da a da Integrar las mediciones dentro del BSC de TI
1.Integrar las prcticas de mejora para alcanzar los beneficios para el negocio 2.Monitorear las mejoras de manera corporativa y en el BSC de TI 3.Garantizar el uso de la retroalimentacin y las lecciones aprendidas
124
Roles de la Gerencia de Auditora Interna en el Proyecto de Implementacin

Agente de cambio
Influenciando y aconsejando a la Gerencia para que adopte mejores prcticas de control y gobierno de TI
Evaluador independiente su rol primario

Sobre el valor entregado por la TI y la mitigacin de sus riesgos
125
Evaluador independiente -su rol primario Sobre el valor entregado por la TI y la mitigacin de sus riesgos, realizando:
Auditora del sistema de gestin del desempeo de la TI que es creado luego de la implementacin del Gobierno de TI Auditora del proceso de Implementacin del Gobierno de TI de acuerdo a la hoja de ruta Auditora de uno o mas de los proyectos de mejora identificados en el plan general de mejora Informe independiente al Directorio sobre la eficacia de los procesos de Gobierno de TI
126
El rol de Consultor Interno:

Aporta la perspectiva del auditor en los siguientes temas:
Los componentes de COBIT que pueden utilizarse en los pasos de la hoja de ruta Los componentes del ciclo de vida del Gobierno de TI que dirigen la hoja de ruta Las mtricas o indicadores apropiados para medir y monitorear el desempeo Incorporacin de los aspectos de Aseguramiento en la implementacin
Especialista en Gobierno de TI y COBIT
127
El rol de Auditoria Interna

Acordar el Rol y el reporte de la participacin del Auditor. Brindar asesoramiento y desafiar las actividades y acciones propuestas, asegurando los objetivos y que se tomen decisiones equilibradas. Brindar asesoramiento sobre prcticas y enfoques sobre controles y administracin de riesgos Asegurar que el adecuado nivel de participacin es brindado durante la iniciativa Brindar una evaluacin independiente sobre que:
los temas identificados son vlidos, los casos de negocio son correctamente presentados y los planes son alcanzables
Especialista en Gobierno de TI y COBIT
Brindar asesoramiento y orientacin experta donde sea apropiado

128
COBIT Quickstart
Al examinar el contenido de esta publicacin, estaremos revisando:
el propsito y audiencia de Quickstart; las pruebas de conveniencia incluidas en Quickstart; los controles fundamentales de Quickstart; Tablas de diagnstico de
Quickstart
129
COBIT Quickstart Porqu es necesario?

COBIT QuickStart fue diseado para ayudar en la rpida y fcil adopcin de los elementos importantes de COBIT. Es una versin resumida de los recursos de COBIT. Se focaliza en los procesos claves de TI, los objetivos de control, las mtricas y ayuda a los usuarios a obtener los beneficios de COBIT rpidamente.
130
COBIT Quickstart
Quines deben utilizarlo?

COBIT QuickStart est dirigido a pequeas y medianas empresas (PyMEs) y otras entidades donde:
la TI no es estratgica o absolutamente crtica para sobrevivir. la extensin y profundidad de COBIT es muy detallada o se requiere demasiado tiempo para analizar y focalizar al principio.
131
COBIT Quickstart
Cul es el enfoque?
COBIT QuickStart provee objetivos de control fundamentales. En organizaciones ms grandes, lo fundamental es una herramienta muy til para acelerar la adopcin de mejores practicas de gobierno. El resumen de lo fundamental (en comparacin a COBIT):
COBIT
Quickstart
Dominios
Procesos Objetivos de control
4 34
318
4 30
62
132
Cmo puedo saber si es conveniente para mi organizacin?
COBIT Quickstart
Quickstart provee dos comprobaciones para determinar la conveniencia de una empresa en implementar controles de TI basados en el conjunto de controles de Quickstart:
1 Comprobacin: Stay in the blue zone, ayuda a determinar la conveniencia de una empresa de usar
Quickstart
2 Comprobacin: Watch the heat, busca cualquier necesidad de ir ms all de Quickstart por razones especficas del negocio.
133
COBIT Quickstart
Tablas de Diagnstico
El apndice I de la publicacin provee dos tablas de diagnstico para ayudar a identificar rpidamente los controles que necesitan ser implementados
La primer tabla relaciona factores de riesgo para aspectos de gobierno de TI y problemas de tecnologa; La segunda tabla relaciona objetivos de control de Quickstart con los mismos aspectos de gobierno de TI y problemas de tecnologa
134
COBIT Quickstart
Lo ms importante...(80-20)
ITI
ITS
135
Imperativos para el liderazgo de la informacin

Lograr una alineacin entre la estrategia de negocio y la estrategia de informacin Desarrollar relaciones eficaces con la gerencia de lnea Entregar e implementar nuevos sistemas Construir y administrar la infraestructura Capacitar continuamente a la organizacin en las tecnologas de informacin Gestionar asociaciones con proveedores Lograr un alto rendimiento
136
Porque una organizacin debe adoptar COBIT?

Atencin en los temas de gobierno corporativo Promueve la rendicin de cuentas de la Gerencia por la responsabilidad asignada en el uso de la informacin y los recursos de TI asociados Necesidades especficas de control para los recursos de TI Soluciones orientadas al negocio Marco de Evaluacin de Riesgo Base autorizada de los objetivos de control Mejora la comunicacin entre el nivel gerencial, usuarios y auditores
137
Sobre quines hay que ejercer influencia para introducir COBIT?

El nivel gerencial, especialmente quienes disean las polticas de TI, juegan un papel importante en el proceso de adopcin de COBIT en la organizacin. Ejemplos de quienes disean las polticas incluyen: Gerente General (por ej.: CEO) Gerente de Sistemas Comit de TI/Comit Auditoria Ejecutivos de TI
138
Implemente un Plan de Accin para su organizacin

Distribuya copias del Sumario Ejecutivo de COBIT a los gerentes clave Presntelo a los ejecutivos de los equipos de operaciones y de tecnologa y a personal clave Presente COBIT a los ejecutivos de los servicios tercerizados y a su personal clave Asesore a los ejecutivos clave en el desarrollo de planes de accin para integrar los conceptos de COBIT dentro de los procesos de negocio Presente los conceptos de COBIT e informe sobre el progreso de las actividades a la Junta Directiva y obtenga su compromiso Desarrolle o actualice los programas de auditora consistentemente con las Directrices de Auditora de COBIT Reagrupe el inventario de proyectos de auditora para reflejar la orientacin a los procesos de COBIT Presente los conceptos de COBIT, los avances y resultados al Comit de Auditora
139
Documente las evaluaciones

Perfl de Madurez
PO3 PO5 PO9 PO10 A11 A12 A15
Diagnstico de Control de TI
M1 ES11 ES10 ES5 ES4
5 4 3 2 1 0
PO1
Planes de accin
0 2 6 10 14 18 22
Anlisis A16 de Brechas

PO1 PO3 PO5 PO9 PO10 AI1 AI2 AI5 AI6 DS1 DS4 DS5 DS10 DS11 M1 definir plan estratgico de TI determinar direccion tecnolgica administrar inversion de TI evaluar el riesgo administrar proyectos identificar soluciones adquirir & maintener aplicaciones instalar y accreditar sistemas administrar cambios definir niveles de servicio asegurar continuidad de servicio garantizar seguridad de systema admin. problemas e incidentes administrar datos monitorear los procesos
ES1
Anlisis de necesidades Planificacin

Final Design and Approach Trade-Off Review
Desarrollo
Puntos de control Data implementation Testing / QA Final QA Initial Release
Cronograma en semanas
140
Tenga en cuenta las dificultades en la implantacin

Implica gasto de recursos (costo y tiempo) Resistencia al cambio Falta de recursos Falta de formacin Falta de espritu Riesgo a incremento de la desmotivacin
141
Resistencia al cambio
El cambio es vivido como una amenaza:
Autoestima Seguridad econmica Carrera laboral Relaciones interpersonales Conocimientos Habilidades Competencias Satisfaccin laboral
Herramientas para la remocin...

Resolucin de conflictos Facilitacin Administracin del cambio
142
Las malas noticias

COBIT se implementa para solucionar problemas diferentes en empresas diferentes
Esas empresas tienen diferentes culturas del control, perfil de tolerancia de riesgo y requisitos de cumplimiento legales y regulatorios Cada empresa tiene prioridades y restricciones de recursos propias que administrar
As que, implementar COBIT tiene que ser una iniciativa que se realiza para solucionar los problemas especficos de cada empresa.
143
Las buenas noticias
Hay disponibles recursos de calidad para apoyar una implementacin de COBIT a medida La informacin de COBIT resumida en Quickstart, la hoja de ruta del plan de accin de TI en la Gua de Implementacin de Gobierno de TI y la accesibilidad y flexibilidad de COBIT Online son una combinacin poderosa.
144

Concienciar
Comunicar
Reunir
Educar
Motivar
Retroalimentar
145
Recomendaciones
Logar el compromiso de la alta direccin Involucrar a mandos medios Utilizar casos reales en la puesta en marcha Definir y establecer un mecanismo de seguimiento continuo Buscar pacto con experto Hacer documentos reales Implantar indicadores de calidad Usar registros de calidad
146
Beneficios
Disminucin de costos de la mala calidad (reprocesos, rechazos, reclamos, etc.) Libera tarea de crisis a los gerentes Mejora las relaciones internas Genera confianza en los usuarios Mejora el clima de trabajo Disminucin de costos de auditoras internas Mejora la imagen pblica
147
COBIT
TM
Es un mtodo, ...no la solucin!!!
148

Cobit 4.1 - Val It

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Cobit 4.1 - Val It

Загружено:

Авторское право:

Доступные форматы

COBIT 4.

Qu significan las siglas COBIT?

B. AICPA (Instituto Norteamericano de Contadores Pblicos)

C. FIFA en conjunto con la Unin Europea

Quines son los destinatarios de COBIT?

Para qu necesitan COBIT los Gerentes?

Para qu necesitan COBIT los Usuarios?

Cules son los productos principales de la Familia COBIT?

Por qu necesita la TI un marco de control?

Por qu necesita la TI un marco de control?

Por qu necesita la TI un marco de control?

Para asegurar que:

Las TI no dan sorpresas

Las TI extienden los lmites

la conduccin necesita poner las TI bajo control.

Quines necesitan un marco de control?

Por qu y cmo se utiliza COBIT?

Incorpora los principales

C CobiT COBI OBIT T

Arranca a partir de los

Est orientado a los

Procesos de Gestin de TI IT Management Processes Procesos IT Governance de Gobierno Processes de TI

Por qu y cmo se utiliza COBIT?

el tiempo de implementacin de un programa de gobierno de TI

Es un factor importante para lograr los objetivos primarios

Provee un marco referencial para la mejora econmica

Por qu y cmo se utiliza COBIT?

Provee una fuente creble para las decisiones de la direccin

para asistir en la comprensin de lo que los auditores desean

Est reconocido como una referencia de origen confiable que

Mejora las comunicaciones y relaciones con la direccin de TI

Por qu y cmo se utiliza COBIT?

El Marco Referencial de COBIT 4.1

El Marco referencial de COBIT explica:

Orientacin a los Procesos

COBIT 4.1: De qu est compuesto?

Planificacin & Organizacin Adquisicin & Implementacin Entrega y Soporte

Efectividad Eficiencia Disponibilidad Integridad Confidencialidad Confiabilidad Cumplimiento

Orientacin a Negocios y Enfoque en Procesos

Faculta (empower) a los dueos de los procesos de negocio

Definicin del Marco Referencial de COBIT

REQUERIMIENTOS DE NEGOCIO PROCESOS DE TI

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento

Eficiencia Se refiere a la provisin de informacin a travs de la

Confidencialidad Se refiere a la proteccin de informacin sensible

Confiabilidad de la informacin Se refiere a la provisin de

Orientacin a los Procesos

Orientacin a los Procesos

Agrupamiento natural de procesos, a menuno coincidente con un dominio organizacional de responsabilidad.

Una serie de actividades relacionadas con cortes de control naturales.

Orientacin a los Procesos

Estrategia y tctica Visin planeada Organizacin e infraestructura

Orientacin a los Procesos

Orientacin a los Procesos

Orientacin a los Procesos

Orientacin a los Procesos

Orientacin a los Procesos

Orientacin a los Procesos

Orientacin a los Procesos

Requerimientos del Negocio

Planificacin & Organizacin Adquisicin & Implementacin Entrega & Soporte

Monitoreo & Evaluacin

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad de la informacin

Los recursos facilitados a y desarrollados por la TI