COBIT. Marco Referencial de Auditoría para la Gobernabilidad de T.I.

(1)

Saltar a la primera página

COBIT

Marco Referencial de Auditoría para la Gobernabilidad de T.I.

Eduardo Leyton Guerrero

Auditor de Tecnologías de la Información www.eduardoleyton.com

Saltar a la primera

Control objetives for information and related Technology

(Objetivos de Control para la Información y la Tecnología Relacionada)

(2)

www .eduardoleyton.com

Ü

Que es COBIT

Ü

Justificación como Marco Referencial de Auditoría.

Ü

Definiciones Previas

Ü

Requisitos de Calidad, Fiduciarios y Otros

Ü

Modelo COBIT (Dominios y Ejes Centrales)

Ü

Análisis del Modelo por Dominios y comparaciones

con el Marco Tradicional y Normas ISO.

Ü

Características de los Ejes Centrales

Ü

Plantilla de Procesos, tareas, procedimientos

Ü

Evolución.

Tópicos:

Misión

Investigar, desarrollar, publicar y promover un conjunto de objetivos de control

en tecnologías de la información con autoridad, actualizados, de carácter

internacional y aceptados generalmente para el uso cotidiano de gerentes de

empresas y auditores.

Porque nace CoBIT ?

Un elemento crítico para el éxito y la supervivencia de las organizaciones es la

administración efectiva de la información y la Tecnología de la información

(TI) relacionada. Ello a implicado una creciente dependencia en información y

en los sistemas que proporcionan o soportan dicha información; una creciente

vulnerabilidad y un amplio espectro de amenazas; altos costos de inversiones

en TI; y el considerable impacto que estas TI producen en las organizaciones

creando además nuevas prácticas de negocios (WcS-ERP-BRP). Es por eso que

para muchas organizaciones, la información y la tecnología que la soporta,

representan los activos más valiosos de la empresa

(3)

Que es CoBIT ?

Es un modelo de referencia que permite a la Audiencia (administradores,

usuarios, auditores) reducir los espacios existentes entre los riesgos (rba)

de negocio, las necesidades de control y los aspectos tecnológicos

inherentes con el fin de lograr una adecuada gobernabilidad de los

recursos de tecnologías de la información (COSO&CoBIT).

En efecto CoBIT apoya la gobernabilidad de los recursos de T.I.,

mediante la comprensión y la administración de los riesgos asociados a

las Tecnología de la Información a través de un Marco Referencial de

dominios, procesos y tareas estructuradas en forma simple y lógica.

Modelo COBIT:

Fundamentos del CoBIT

CoBIT ha sido desarrollado como un estándar generalmente aplicable y

aceptado para las buenas prácticas de seguridad y control en Tecnologías de la

Información. Se fundamenta en los "

Objetivos de Control existentes de la

Information Systems Audit and Control Foundation (ISACF

)", mejorados a

partir de estándares internacionales técnicos, profesionales, regulatorios y

específicos para la industria , tanto existentes como en surgimiento.

Las fuentes identificadas son:

Estándares técnicos: ISAO, EDIFACT, etc

Códigos de Conducta: Council of Europe, OEDC , ISACA, etc. Criterios de Calificación: ISAO9000SPICE, IickIT, etc.

Estándares Profesionales: para control interno COSO, GAO, IFAC, IIA, ISACA, estándares CPA, etc

Prácticas y requerimientos específicos de la Industria: Banca otros.

COSO (Committee of Sponsoring Organisations of the Treadway Commission Internal Control-Integrated Framework) : Marco Referencial para la Administración de Controles Internos. (Modelo de Control de Negocios)

(4)

Control: se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que los eventos no deseables serán prevenidos o detectados y corregidos.

Objetivo de control de T.I.: Propósitos que se desea alcanzar implementando procedimientos de control en una actividad de T.I. particular.

Requerimientos de Calidad:(calidad-costo- entrega de servicio) Este concepto no se refiere tan sólo a la confiabilidad, no fallas, aspectos subjetivos, o funcionamiento continuo etc; sino más bien se refiere a la prioridad que deberá asignarse al manejo de los riesgos al compararlos con las oportunidades. Es decir bajo un criterio de efectividad.

Requerimientos Fiduciarios (Mandatarios, Obligatorios):Efectividad & Eficiencia de Operaciones, Confiabilidad de la Información, Cumplimiento de las Leyes & Regulaciones. (concepto basado del modelo COSO- información no sólo financiera)

Requerimientos de Seguridad de la Información: Confidencialidad, Integridad, Disponibilidad.

Definiciones previas de COBIT:

COBIT ha sido desarrollado como standares generalmente aplicacbles y aceptados para mejorar las prácticas de control y seguridad de las Tecnologías de Información (TI) que provean un marco de referencia para la Administración,

Usuarios y Auditores. Básicamente consta de 4 libros, a saber:

1. Resumen Ejecutivo consiste de una Visión Ejecutiva, la cual provee a la Administración un entendimiento de los principios y conceptos claves de COBIT y el marco que provee a la Administración con más detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 en total.

2. Marco de Referencia El marco describe en detalle los 34 Objetivos de COntrol de TI a un nivel macro, e identifica los requerimientos del negocio para la información e impactos preliminares de recursos de TI para cada objetivo de control. Los objetivos de control contiene declaraciones de los resultados deseados o propósitos a ser alcanzados para la Implementación de 302 objetivos de control específicos a través de los 34 Procesos de TI.

(5)

3. Guías de Auditoría Las Guías de Auditoría, las cuales contienen pasos de

auditoría sugeridoscorrespondientes a cada uno de los 34 Objetivos de Control

macro para asistir a los auditores de sistemas de información en revisar los procesos de TI junto a los 302 detalles de objetivos de control para proveer seguridad a la administración y/o aconsejar sus mejoras.

4. Herramientas de Implementación Una Herramienta de Implementación, la cual contiene el Conocimiento de la Administración y Diagnóstico de Control de TI, una Guía de Implementación, FAQ, casos de estudio de organizaciones actualmente usando Cobit, y presentaciones que pueden ser usadas para introducir COBIT dentro de la organización. Esta nueva herramienta es diseñada para facilitar la Implementación de COBIT, relacionar sesiones aprendidas desde organizaciones que rápidamente y exitosamente aplicaron COBIT en sus ambientes de trabajo.

Que es COBIT:

E E V V E E N N T T O O S S I I N N F F O O R R M M A A C C I I O O N N * Personas * Personas * Objetos * Objetos TECNOLOGÍA TECNOLOGÍA INSTALACIONES INSTALACIONES PERSONAS PERSONAS DATOS DATOS SISTEMAS

SISTEMAS--APLICACAPLICAC

Message

Input

Input ServiceService_Output_Output

Modelo Básico de Negocios-T.I.

Requerimientos:

Procesos de Negocios:

(6)

www .eduardoleyton.com Procesos de Negocios Información Requerimientos •Efectividad •Eficiencia •Confidencialidad •Integridad •D isponibilidad •Cumplimiento •Confiabilidad •Datos •Aplicaciones •Tecnología •Instalaciones •Personas CobiT Planeamiento & Organización Adquisición & Implementación Distribución & Soporte Monitoreo Eje Central Nº1

Recursos TI Eje Central Nº2

Modelo COBIT: Procesos y T.I.

Obj. de Control Dominio Nº1 Dominio Nº2 Dominio Nº3 Dominio Nº4 www .eduardoleyton.com Recursos TI •Datos •Aplicaciones •Tecnología •Instalaciones •Personas Planeamiento & Organización Adquisición & Implementación Monitoreo Distribución & Soporteº

DS1 definir nivel de servicio

DS2 gerenciar servicios externos

DS3 administ performance y capacidad

DS4 asegurar continuidad de servicio

DS5 asegurar la seguridad de sistemas

DS6 identificar y asignar costos

DS7 educar y adiestrar a usuarios

DS8 ayudar y aconsejar clientes de TI

DS9 gerenciar la configuración(de sis.)

DS10 manejar problemas e incidentes

DS11 administrar los datos

DS12 administrar las instalaciones

DS13 administrar las operaciones

PO1 definir un plan estratégico para T.I.

PO2 definir la arquitectura de la información

PO3 determinar la dirección tecnológica

PO4 definir la organización de TI y relaciones

PO5 gerenciar la inversión en TI

PO6 comunicar los objetivos gerenciales y direcc.

PO7 gerenciar los recursos humanos

PO8 cumplimiento de requerimientos externos

PO9 evaluar los riesgos

PO10 gerenciar los proyectos

PO11 gerenciar la calidad

M1 monitorear los procesos(de TI)

M2 obtener una opinión independ.

AI1 identificar soluciones automatizadas

AI2 adquirir y mantener aplicaciones de software

AI3 adquirir y mantener la infraestructura tecnolog.

AI4 desarrollar y mantener procedimientos

AI5 instalar y acreditar los sistemas

AI6 gerenciar los cambios

Dominio Nº1

Dominio Nº2 Dominio Nº3

Dominio Nº4

Eje Central Nº2

(7)

Procesos de Negocios

Información Requerimientos_•_Efectividad

•Eficiencia •Confidencialidad •Integridad •Disponibilidad •Cumplimiento •Confiabilidad Recursos TI •Datos •Aplicaciones •Tecnología •Instalaciones •Personas

Medio

Genera

Cumplimiento

Ciclo de la Información COBIT

La estructura del CobiT parte de una

premisa simple y pragmática

Ü

“Los recursos T.I.

necesitan ser administrados o

manejados por un conjunto de

procesos T.I.

naturalmente agrupados para proveer la

información

que la organización necesita para

lograr sus objetivos”

(8)

Hay en esencia tres niveles, en donde debemos

poner nuestros esfuerzos cuando consideramos

el manejo de los recursos T.I.

Dominios

34 Procesos

Actividades

Niveles de COBIT:

(PC/PS)

www .eduardoleyton.com DOMINIOS DOMINIOS PROCESOS PROCESOS ACTIVIDADES ACTIVIDADES CALIDAD

CALIDAD _FIDUCIARIO_FIDUCIARIO _SEGURIDAD_SEGURIDAD

PERSONAS PERSONAS APLICACIONES APLICACIONES TECNOLOGIA TECNOLOGIA INSTALACIONES INSTALACIONES DATOS DATOS PROCESOS TIPROCESOS TI CRITERIOS DE INFORMACION CRITERIOS DE INFORMACION RECURSOS TI RECURSOS TI USUARIOS, EXPERTOS EN TI USUARIOS, EXPERTOS EN TI GERENTE DE LA EMPRESA GERENTE DE LA EMPRESA GERENTE DE TI GERENTE DE TI

Visión Global de COBIT: Dominios-Procesos-Tareas

(9)

Un proceso T.I. es auditado, para:

Ü Obtener una comprensión de los requerimientos de negocios

relativo a los riesgos e identificar las medidas de control

Ü Evaluarlo apropiado de los controles identificados

Ü Asegurar el cumplimiento al chequear si los controles

identificados trabajan prescribiendo, consistentemente y continuamente en el tiempo

Ü Substantivar el riesgo de los objetivos de control no logrados

(asignar valor al riesgo)

Proceso Global de Auditoría

Proceso de Auditoría

para cada proceso IT

OBTENER OBTENER EL ENTENDIMIENTO EL ENTENDIMIENTO EVALUACION DE EVALUACION DE LOS CONTROLES LOS CONTROLES CUANTIFICACIÓN CUANTIFICACIÓN RIESGO RIESGO ASEGURAR EL ASEGURAR EL CUMPLIMIENTO CUMPLIMIENTO OBJETIVOS DE OBJETIVOS DE CONTROL NO CONTROL NO CUBIERTOS CUBIERTOS CONTROLES CONTROLES

GUIAS DE AUDITORIA

OB.DE OB.DE CONTROL CONTROL CUBIERTOS CUBIERTOS RECONOCER EL IMPACTO RECONOCER EL IMPACTO

ASOCIADO AL OB. DE CON

ASOCIADO AL OB. DE CON-

-TROL NO CUBIERTO

TROL NO CUBIERTO

RIESGOS RELACIONADOS CON LOS

REQUERIMIENTOS DE NEGOCIOS Y LOS

CONTROLES QUE LOS CUBREN

GRADO EN QUE LOS

OBJETIVOS DE CONTROL

SON ALCANZADOS

ASEGURAR QUE LOS CONTROLES

ESTABLECIDOS ESTEN

OPERANDO Y SON CONSISTENTES

Y CONTINUOS

(10)

Requerimientos de Negocios sobre la

Información

Ü Efectividad Eficiencia Confiabilidad Ü Confidencialidad Integridad Ü Disponibilidad Cumplimiento

Recursos Tecnológicos

Ü Datos Ü Sistemas y Aplicaciones Ü Tecnología Ü Instalaciones Ü Personas

Ejes Centrales de COBIT

Ü

La información que los procesos de

negocio necesitan, es provista al utilizar

recursos tecnológicos. En orden a

asegurar que los requerimientos de

negocios para la información sean

cumplidos, adecuadas medidas de

control necesitan ser definidas,

implementadas y monitoreadas sobre

esos recursos

(11)

Este enfoque o marco de trabajo cubre todos

los aspectos de la información y la tecnología

que lo soporta. El cumplir con los 32 objetivos

de Alto Nivel, les asegura a los dueños de los

procesos de negocio la existencia de un

adecuado Sistema de Control para el medio

ambiente Tecnológico

Ejes Centrales de COBIT

GUIAS DE AUDITORIA DEL CobiT

Ü

El propósito de las guías de auditoría es

proveer una estructura simple para auditar

controles basado en prácticas generalmente

aceptadas, que se complementan con el

esquema CobiT

Ü

Las guías, son genéricas y de alto nivel en

su estructura. Habilitan al auditor para revisar

procesos T.I. específicos, con el objeto de

indicar a la administración donde los

controles son insuficientes o donde los

procesos necesitan ser mejorados

(12)

(CONTINUACION ....)

Se proponen guías de Auditoría, para cada

uno de los procesos T.I., basados en la

estructura de un proceso genérico de

auditoría, en sus objetivos y en los

requerimientos CobiT

Ü

orientación a Objetivos de Negocios

Ü

focalización sobre los recursos que necesitan ser

manejadas

Ü

consideraciones de los requerimientos sobre la

información

(CONTINUACIÓN...)

Las guías del CobiT para cada uno

de los procesos T.I., se

desarrollan en fases, las cuales

son:

Ü

Fase de Identificación/Documentación

Ü

Fase de Evaluación

Ü

Fase de Testeo de Cumplimiento

Ü

Fase de Testeo Substantivo (Valorar

(13)

EJEMPLO 1

Dominio:1 Proceso P09

P07 Garantizar Cumplimiento con Requisitos Externos Planificación Planificación Y Y Organización Organización P10 Administrar Proyectos P09 P09 Evaluar Riesgos Evaluar Riesgos Evaluar Evaluar Riesgos Riesgos Negocios Negocios Métodos Métodos Evaluación Evaluación Riesgos Riesgos Identificación Identificación De Riesgos De Riesgos Métricas Métricas De Riesgos De Riesgos Plan de Plan de Acción de Acción de Riesgos Riesgos

Dominio

SERVICIO SERVICIO Y Y SOPORTE SOPORTE DS8 DS8 Asistencia y Asistencia y Asesoria

Asesoriaa Clientesa Clientes

Helpdesk

Registro de

Preguntas

Preguntas Escalamiento Escalamiento

de Problemas de Problemas Monitoreo Monitoreo de de AtencAtenc. a . a Clientes Clientes Análisis y Análisis y Reporte de Reporte de Tenden Tenden..

EJEMPLO 2

(14)

EJEMPLO

Dominio: 3 Proceso: DS8

•

•Obtener el Entendimiento:Obtener el Entendimiento:

Entrevistando

Entrevistando •

•Administrador de la función HelpdeskAdministrador de la función Helpdesk

•

•Selección de Usuarios de Servicios de InformaciónSelección de Usuarios de Servicios de Información

Obteniendo

Obteniendo •

•Políticas y Procedimientos relacionados con los Servicios de Políticas y Procedimientos relacionados con los Servicios de

Información de soporte al Cliente

•

•Reportes relativos a consultas de usuarios, resolución de consulReportes relativos a consultas de usuarios, resolución de consultas y tas y

estadísticas de la performance del help desk

•

•Evaluar los Controles por:Evaluar los Controles por:

Análisis de

Análisis de •

•Naturaleza de la función help desk es efectivaNaturaleza de la función help desk es efectiva

•

•Nivel de la documentación para las actividades de help desk es Nivel de la documentación para las actividades de help desk es

adecuado

•

•Existen procesos para registrar incidentes del servicio y es usaExisten procesos para registrar incidentes del servicio y es usado do

correctamente correctamente • •etc. etc. www .eduardoleyton.com

EJEMPLO (Continuación...)

•

•Asegurar el cumplimiento por:Asegurar el cumplimiento por:

Testeo de

Testeo de •

•Políticas y Procedimientos relacionados con el Help Desk están sPolíticas y Procedimientos relacionados con el Help Desk están siendo iendo

aplicados

•

•Atención de consultas se está ejecutando de una manera oportunaAtención de consultas se está ejecutando de una manera oportuna

•

•Para una muestra de peticiones de ayuda: confirmación de la exacPara una muestra de peticiones de ayuda: confirmación de la exactitud, titud,

oprtunidad, y suficiencia de las respuestas

•

•Sustantivar el Riesgo por:Sustantivar el Riesgo por:

Realizando

Realizando •

•Entrevistas a usuarios seleccionados para conocer el grado de Entrevistas a usuarios seleccionados para conocer el grado de

satisfacción sobre actividades del help desk y reportes de activ

satisfacción sobre actividades del help desk y reportes de actividadesidades

•

•Revisar la competencia y capacidad del personal del help deskRevisar la competencia y capacidad del personal del help desk

•

•Revisar una selección de escalamiento de preguntas y evaluar susRevisar una selección de escalamiento de preguntas y evaluar sus

respuestas

Identificando

Identificando •

•Interacción inadecuada para las actividades del Interacción inadecuada para las actividades del helphelpdeskdeskrespecto a respecto a

otras funciones dentro de los

otras funciones dentro de los serv.serv.de informaciónde información

•

•Procedimientos y actividades insuficientes en relación a recepciProcedimientos y actividades insuficientes en relación a recepción de ón de

preguntas, registro, escalamiento y resolución

•

•Procesos de Procesos de escalaciónescalacióndeficientesdeficientes

•

•Usuarios insatisfechos con el proceso de reporte de problemas y Usuarios insatisfechos con el proceso de reporte de problemas y su su

oportunidad en la resolución

(15)

--GUIAS DE CONTROLGUIAS DE CONTROL

--ADICIONES A OBJETIVOS ADICIONES A OBJETIVOS DE CONTROL DE CONTROL --INDICADORES DEINDICADORES DE ACTUACION ACTUACION CobiT III CobiT III CobiT II CobiT II

--GUIAS DE AUTOEVALUACIONGUIAS DE AUTOEVALUACION

--ACTUALIZAR E INVESTIGARACTUALIZAR E INVESTIGAR NUEVAS FUENTES

NUEVAS FUENTES

CobiT I

UN MARCO DEFINICION DE: UN MARCO DEFINICION DE:

--OBJETIVOS DE CONTROLOBJETIVOS DE CONTROL

--GUIAS DE AUDITORIAGUIAS DE AUDITORIA

Evolución del COBIT

Ü

CobiT representa un gran avance hacia la

estructuración del control de las Tecnologías

de la Información

Ü

Aumento en la Eficiencia y cobertura de las

auditorias

Ü

Uso de herramientas y estándares

reconocidos como buenas prácticas de

Auditoría

Ü

Estandarización del trabajo del Auditor

(16)

Ü

Base de controles

Ü

Entorno de Seguridad y Control común

Ü

Estandarización y metodologización en

los procesos T.I.

Ü

Mejoras en relación Auditoría

-Informática

Ü