ASEGURAMIENTO DE

LA INFORMACIN
MEDIANTE COBIT

HERRAMIENTAS MEYCOR
COBIT CSA Y MEYCOR COBIT AG

Relacin entre COSO y COBIT

Qu es COBIT?
El modelo para implantar Gobierno de TI.
Es un estndar abierto y de amplia difusin.
Consta de 34 procesos y 220 Objetivos de Control de
bajo nivel.
Es 100 % compatible con ISO 17799, COSO I y II, y
con otros estndares de menor nivel de abstraccin
en los que se apoya.
COBIT fija el Qu y los estndares de apoyo el Cmo
en materia de implantacin de Gobierno de TI.

COBIT
Significa: Control Objectives for
Information and Related Technology.
Modelo desarrollado por la ISACA y el
IT Governance Institute (ITGI) para
llevar a la prctica el Gobierno de TI
en las organizaciones.

ISACA
Fundada en 1969.
Es una organizacin lder en Gobernabilidad, Control,
Aseguramiento y Auditora en TI.
Con sede en Chicago USA.
Tiene ms de 60.000 miembros en ms de 100 pases.
Realiza eventos, conferencias, desarrolla estndares
en IT Governance, Assurance and Security.
COBIT:
1ra
2da
3ra
4ta

Edicin 1996
Edicin 1988
Edicin 2000
Edicin 2005 (Nov/Dic)

Marco COBIT
REQUERIMIENTOS
DE NEGOCIO

CRITERIOS DE
INFORMACIN

PROCESOS DE
INFORMACIN

RECURSOS DE TI

aplicaciones
informacin
infraestructura
personal

efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad

COBIT 4.0

Aseguramiento de la Informacin
El aseguramiento de la informacin es la base sobre la que
se construye la toma de decisiones de una organizacin. Sin
aseguramiento, las empresas no tienen certidumbre de que
la informacin sobre la que sustentan sus decisiones de
misin crtica es confiable, segura y est disponible cuando
se la necesita.
Definimos Aseguramiento de la Informacin como la
utilizacin de informacin y de diferentes actividades
operativas con el fin de proteger la informacin, los sistemas
de informacin y las redes, de forma de preservar la
disponibilidad, la integridad, la confidencialidad, la
autenticacin y el no repudio, ante el riesgo de impacto de
amenazas locales, o remotas a travs de comunicaciones e
Internet.
Veremos dos importantes tcnicas de aseguramiento, la auto
evaluacin y la auditora de sistemas de informacin.

COBIT: Autoevaluacin de
controles (Meycor COBIT CSA)
Es una tcnica gerencial que asegura a
todos aquellos con intereses en el
negocio, que el sistema de control
interno del mismo es confiable.
Tambin asegura que los empleados son
concientes de los riesgos del negocio, y
que llevan adelante revisiones proactivas
peridicas de los controles.

COBIT Guas de Auditora

(Meycor COBIT AG)
Dan una estructura simple para auditar
los controles en TI.
Son genricas
nivel.

y estructuradas a alto

Permiten la revisin de Procesos contra

los Objetivos de Control en TI.

Se audita mediante los siguientes pasos:

Obtener un entendimiento de los requerimientos
del negocio, los riesgos relacionados, y las medidas
de control relevantes.
Evaluar la conveniencia de los controles
establecidos.
Evaluar el cumplimiento al probar si los controles
establecidos estn funcionando como se espera, de
manera consistente y continua.
Justificar el riesgo de que los objetivos de control
no se estn cumpliendo mediante el uso de
tcnicas analticas y/o consultando fuentes
alternativas.

Gua Genrica de Auditora

Obtener entendimiento
Los pasos de auditora a realizar para documentar las actividades
subyacentes a los objetivos de control, as como tambin
identificar las medidas/procedimientos de control establecidas.
Entrevistar al personal administrativo y de staff indicado para
lograr la comprensin de:

Los requerimientos del negocio y los riesgos asociados.

La estructura organizacional.
Los roles y responsabilidades.
Las medidas de control establecidas.
La actividad de reporte a la administracin (estatus, desempeo,
acciones).

Documentar los recursos de TI relacionados con el proceso que se

ven especialmente afectados por el proceso bajo revisin.
Confirmar
el entendimiento del proceso bajo revisin, los
Indicadores Clave de Desempeo (KPI) del proceso, las
implicaciones de control, por ejemplo, mediante un seguimiento
paso a paso del proceso.

Gua Genrica de Auditora

Evaluacin de los controles
Los pasos de auditora a realizar en la evaluacin de la eficacia de
las medidas de control establecidas o el grado en el que se logra
el objetivo de control. Bsicamente, decidir qu se va a probar, si
se va a probar y cmo se va a probar.
Evaluar la conveniencia de las medidas de control para el proceso
bajo revisin mediante la consideracin de los criterios
identificados y las prcticas estndares de la industria, los
Factores Crticos de xito (CSF) de las medidas de control y la
aplicacin del juicio profesional de auditor.

Existen procesos documentados.

Existen resultados apropiados.
La responsabilidad y es clara y eficaz.
Existen controles compensatorios en donde es necesario.

Concluir el grado en el que se cumple el objetivo de control.

Gua Genrica de Auditora

Valoracin del cumplimiento
Los pasos de auditora a realizar para asegurar que las
medidas de control establecidas estn funcionando
como es debido, de manera consistente y continua, y
concluir sobre la conveniencia de ambiente de control.
Obtener
evidencia
directa
o
indirecta
de
puntos/perodos seleccionados para asegurarse que se
ha cumplido con los procedimientos durante el perodo
de revisin, utilizando evidencia tanto directa como
indirecta.
Realizar una revisin de la suficiencia de los resultados
del proceso.
Determinar el nivel de pruebas justificantes y trabajo
adicional necesarios para asegurar que el proceso de TI
es adecuado.

Gua Genrica de Auditora

Justificar el riesgo
Los pasos de auditora a realizar para justificar el
riesgo de que no se cumpla el objetivo de control
mediante el uso de tcnicas analticas y/o consultas a
fuentes alternativas.
Documentar las debilidades del control y las amenazas
y vulnerabilidades resultantes.
Identificar y documentar el impacto real y potencial;
por ejemplo, mediante el anlisis de causa-raz.
Brindar informacin comparativa; por ejemplo,
mediante puntos de referencia.

Descripcin de los productos

Meycor COBIT CSA y AG

Meycor COBIT CSA

Importancia de los Procesos de TI

Para
Para los
los procesos
procesos definidos
definidos por
por CCOBI
OBIT,
T, se
se
identifica
identifica la
la importancia,
importancia, el
el desempeo,
desempeo, si
si
ha
ha sido
sido auditado,
auditado, cmo
cmo se
se procesa
procesa yy quin
quin es
es
el
el responsable.
responsable.

Meycor COBIT CSA

Auto Evaluacin sobre los controles

Meycor
Meycor CCOBI
OBIT
T CSA
CSA incluye
incluye los
los Objetivos
Objetivos de
de
Control
Control de
de CCOBI
OBIT
T 4.0
4.0 yy preguntas
preguntas de
de
seguridad
seguridad de
de plataformas
plataformas especficas.
especficas.

Meycor COBIT CSA

Reporte de la evaluacin

Se
Se presentan
presentan los
los resultados
resultados en
en puntajes.
puntajes.
De
De este
este modo
modo se
se pueden
pueden determinar
determinar
valores
valores meta.
meta.

Meycor COBIT CSA

Diagnstico sobre los Procesos de TI

La
La lnea
lnea roja
roja indica
indica el
el resultado
resultado obtenido.
obtenido.
Cuanto
Cuanto mas
mas prxima
prxima al
al centro,
centro, los
los riesgos
riesgos se
se
encuentran
encuentran menos
menos cubiertos
cubiertos por
por controles
controles

Meycor COBIT CSA

Evaluaciones de varios Centros de Anlisis

Se
Se pueden
pueden ver
ver los
los resultados
resultados en
en forma
forma
comparativa
comparativa (plataformas,
(plataformas, sucursales,
sucursales,
tecnologas)
tecnologas)

Meycor COBIT CSA

Proyectos de Auditora

Permite
Permite crear
crear proyectos
proyectos de
de auditora,
auditora, asignar
asignar
recursos
recursos yy gestionarlos.
gestionarlos.
El
El objetivo
objetivo es
es determinar
determinar si
si los
los controles
controles del
del
proceso
proceso ofrecen
ofrecen aseguramiento.
aseguramiento.

Meycor COBIT CSA

Alineamiento con los Objetivos de negocio

Se
Se identifica
identifica el
el alineamiento
alineamiento entre
entre los
los
Objetivos
Objetivos de
de TI
TI yy los
los Objetivos
Objetivos de
de negocio
negocio

Meycor COBIT AG

Inventario Tecnolgico

Se
Se identifica
identifica cmo
cmo los
los recursos
recursos de
de TI
TI
contribuyen
contribuyen efectivamente
efectivamente al
al logro
logro de
de los
los
objetivos.
objetivos.

Meycor COBIT AG
Relacin entre procesos de COBIT y
Procesos de Negocio

Se
Se genera
genera un
un mapa
mapa de
de calor
calor aa partir
partir de
de
los
los recursos
recursos de
de TI
TI yy los
los criterios
criterios de
de
informacin
informacin requeridos.
requeridos.

Meycor COBIT AG
Inicio del proceso de auditora

Se
Se registra
registra cuando
cuando el
el supervisor
supervisor crea
crea un
un
proyecto
proyecto yy lo
lo asigna
asigna aa los
los auditores.
auditores. Se
Se
establece
establece tambin
tambin cuando
cuando se
se est
est en
en
desacuerdo
desacuerdo con
con una
una observacin.
observacin.

Meycor COBIT AG
Auditando un Proceso de TI

Meycor
Meycor CCOBI
OBIT
T AG
AG gua
gua en
en las
las diversas
diversas Fases
Fases
(entrevistas,
(entrevistas, etc.).
etc.). Permite
Permite registrar
registrar tareas,
tareas,
adjuntar
adjuntar evidencias
evidencias yy registrar
registrar observaciones.
observaciones.

Meycor COBIT AG
Guas de Auditora

Los
Los auditores
auditores cuentan
cuentan con
con guas
guas de
de auditora
auditora
que
que constituyen
constituyen una
una base
base de
de conocimiento
conocimiento
que
que mejora
mejora la
la calidad
calidad de
de la
la auditora.
auditora.

Meycor COBIT AG
Registro de tareas

Se
Se identifica
identifica quin
quin la
la ejecut,
ejecut, el
el tiempo
tiempo
invertido,
invertido, comentarios,
comentarios, etc.
etc.

Meycor COBIT AG
Hallazgos y recomendaciones

Las
Las observaciones
observaciones se
se definen
definen en
en un
un formato
formato
que
que incluye
incluye determinar
determinar los
los criterios
criterios contra
contra
los
los que
que se
se evala,
evala, las
las consecuencias,
consecuencias, etc.
etc.

Meycor COBIT AG
Ejemplos de Papeles de Trabajo (I)

Reporte
Reporte del
del programa
programa de
de auditora
auditora
por
por proyecto.
proyecto.

Meycor COBIT AG
Ejemplos de Papeles de Trabajo (II)

Informe
Informe sobre
sobre el
el grado
grado de
de
fortaleza
fortaleza de
de los
los controles
controles
auditados.
auditados.

Meycor COBIT AG
Ejemplos de Papeles de Trabajo (III)

Identificacin
Identificacin de
de hallazgos,
hallazgos, opinin
opinin
del
del auditado,
auditado, seguimiento,
seguimiento, etc.
etc.

DATASEC
IT Security & Control

Patria 716 - CP 11300 - Montevideo - Uruguay

Tel: (+598 2) 711-58-78 / 711-04-20
Fax: (+598 2) 711-58-94
Sitio web: www.datasec-soft.com