Académique Documents
Professionnel Documents
Culture Documents
LA INFORMACIN
MEDIANTE COBIT
HERRAMIENTAS MEYCOR
COBIT CSA Y MEYCOR COBIT AG
Qu es COBIT?
El modelo para implantar Gobierno de TI.
Es un estndar abierto y de amplia difusin.
Consta de 34 procesos y 220 Objetivos de Control de
bajo nivel.
Es 100 % compatible con ISO 17799, COSO I y II, y
con otros estndares de menor nivel de abstraccin
en los que se apoya.
COBIT fija el Qu y los estndares de apoyo el Cmo
en materia de implantacin de Gobierno de TI.
COBIT
Significa: Control Objectives for
Information and Related Technology.
Modelo desarrollado por la ISACA y el
IT Governance Institute (ITGI) para
llevar a la prctica el Gobierno de TI
en las organizaciones.
ISACA
Fundada en 1969.
Es una organizacin lder en Gobernabilidad, Control,
Aseguramiento y Auditora en TI.
Con sede en Chicago USA.
Tiene ms de 60.000 miembros en ms de 100 pases.
Realiza eventos, conferencias, desarrolla estndares
en IT Governance, Assurance and Security.
COBIT:
1ra
2da
3ra
4ta
Edicin 1996
Edicin 1988
Edicin 2000
Edicin 2005 (Nov/Dic)
Marco COBIT
REQUERIMIENTOS
DE NEGOCIO
CRITERIOS DE
INFORMACIN
PROCESOS DE
INFORMACIN
RECURSOS DE TI
aplicaciones
informacin
infraestructura
personal
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
COBIT 4.0
Aseguramiento de la Informacin
El aseguramiento de la informacin es la base sobre la que
se construye la toma de decisiones de una organizacin. Sin
aseguramiento, las empresas no tienen certidumbre de que
la informacin sobre la que sustentan sus decisiones de
misin crtica es confiable, segura y est disponible cuando
se la necesita.
Definimos Aseguramiento de la Informacin como la
utilizacin de informacin y de diferentes actividades
operativas con el fin de proteger la informacin, los sistemas
de informacin y las redes, de forma de preservar la
disponibilidad, la integridad, la confidencialidad, la
autenticacin y el no repudio, ante el riesgo de impacto de
amenazas locales, o remotas a travs de comunicaciones e
Internet.
Veremos dos importantes tcnicas de aseguramiento, la auto
evaluacin y la auditora de sistemas de informacin.
COBIT: Autoevaluacin de
controles (Meycor COBIT CSA)
Es una tcnica gerencial que asegura a
todos aquellos con intereses en el
negocio, que el sistema de control
interno del mismo es confiable.
Tambin asegura que los empleados son
concientes de los riesgos del negocio, y
que llevan adelante revisiones proactivas
peridicas de los controles.
y estructuradas a alto
Para
Para los
los procesos
procesos definidos
definidos por
por CCOBI
OBIT,
T, se
se
identifica
identifica la
la importancia,
importancia, el
el desempeo,
desempeo, si
si
ha
ha sido
sido auditado,
auditado, cmo
cmo se
se procesa
procesa yy quin
quin es
es
el
el responsable.
responsable.
Meycor
Meycor CCOBI
OBIT
T CSA
CSA incluye
incluye los
los Objetivos
Objetivos de
de
Control
Control de
de CCOBI
OBIT
T 4.0
4.0 yy preguntas
preguntas de
de
seguridad
seguridad de
de plataformas
plataformas especficas.
especficas.
Reporte de la evaluacin
Se
Se presentan
presentan los
los resultados
resultados en
en puntajes.
puntajes.
De
De este
este modo
modo se
se pueden
pueden determinar
determinar
valores
valores meta.
meta.
La
La lnea
lnea roja
roja indica
indica el
el resultado
resultado obtenido.
obtenido.
Cuanto
Cuanto mas
mas prxima
prxima al
al centro,
centro, los
los riesgos
riesgos se
se
encuentran
encuentran menos
menos cubiertos
cubiertos por
por controles
controles
Se
Se pueden
pueden ver
ver los
los resultados
resultados en
en forma
forma
comparativa
comparativa (plataformas,
(plataformas, sucursales,
sucursales,
tecnologas)
tecnologas)
Proyectos de Auditora
Permite
Permite crear
crear proyectos
proyectos de
de auditora,
auditora, asignar
asignar
recursos
recursos yy gestionarlos.
gestionarlos.
El
El objetivo
objetivo es
es determinar
determinar si
si los
los controles
controles del
del
proceso
proceso ofrecen
ofrecen aseguramiento.
aseguramiento.
Se
Se identifica
identifica el
el alineamiento
alineamiento entre
entre los
los
Objetivos
Objetivos de
de TI
TI yy los
los Objetivos
Objetivos de
de negocio
negocio
Meycor COBIT AG
Inventario Tecnolgico
Se
Se identifica
identifica cmo
cmo los
los recursos
recursos de
de TI
TI
contribuyen
contribuyen efectivamente
efectivamente al
al logro
logro de
de los
los
objetivos.
objetivos.
Meycor COBIT AG
Relacin entre procesos de COBIT y
Procesos de Negocio
Se
Se genera
genera un
un mapa
mapa de
de calor
calor aa partir
partir de
de
los
los recursos
recursos de
de TI
TI yy los
los criterios
criterios de
de
informacin
informacin requeridos.
requeridos.
Meycor COBIT AG
Inicio del proceso de auditora
Se
Se registra
registra cuando
cuando el
el supervisor
supervisor crea
crea un
un
proyecto
proyecto yy lo
lo asigna
asigna aa los
los auditores.
auditores. Se
Se
establece
establece tambin
tambin cuando
cuando se
se est
est en
en
desacuerdo
desacuerdo con
con una
una observacin.
observacin.
Meycor COBIT AG
Auditando un Proceso de TI
Meycor
Meycor CCOBI
OBIT
T AG
AG gua
gua en
en las
las diversas
diversas Fases
Fases
(entrevistas,
(entrevistas, etc.).
etc.). Permite
Permite registrar
registrar tareas,
tareas,
adjuntar
adjuntar evidencias
evidencias yy registrar
registrar observaciones.
observaciones.
Meycor COBIT AG
Guas de Auditora
Los
Los auditores
auditores cuentan
cuentan con
con guas
guas de
de auditora
auditora
que
que constituyen
constituyen una
una base
base de
de conocimiento
conocimiento
que
que mejora
mejora la
la calidad
calidad de
de la
la auditora.
auditora.
Meycor COBIT AG
Registro de tareas
Se
Se identifica
identifica quin
quin la
la ejecut,
ejecut, el
el tiempo
tiempo
invertido,
invertido, comentarios,
comentarios, etc.
etc.
Meycor COBIT AG
Hallazgos y recomendaciones
Las
Las observaciones
observaciones se
se definen
definen en
en un
un formato
formato
que
que incluye
incluye determinar
determinar los
los criterios
criterios contra
contra
los
los que
que se
se evala,
evala, las
las consecuencias,
consecuencias, etc.
etc.
Meycor COBIT AG
Ejemplos de Papeles de Trabajo (I)
Reporte
Reporte del
del programa
programa de
de auditora
auditora
por
por proyecto.
proyecto.
Meycor COBIT AG
Ejemplos de Papeles de Trabajo (II)
Informe
Informe sobre
sobre el
el grado
grado de
de
fortaleza
fortaleza de
de los
los controles
controles
auditados.
auditados.
Meycor COBIT AG
Ejemplos de Papeles de Trabajo (III)
Identificacin
Identificacin de
de hallazgos,
hallazgos, opinin
opinin
del
del auditado,
auditado, seguimiento,
seguimiento, etc.
etc.
DATASEC
IT Security & Control