Mg Sc Miguel Cotaa Mier OCTUBRE 2007 LA
Mg. Sc. Miguel Cotaña Mier OCTUBRE 2007 LA PAZ - BOLIVIA 1
Estándar de Controles y Auditoría de Tecnología Informática 2
Misión: Soportar los objetivos empresariales mediante el desarrollo, promoción y entrega de investigaciones, estándares, competencias y prácticas para un efectivo gobierno, control y evaluación de los sistemas de información y la tecnología relacionada Information Systems Audit and Control Association (ISACATM) Information Systems Audit and Control Foundation (ISACFTM) 3
Es el resultado de uno de los mayores proyectos de investigacion completado y publicado por la Organización Mundial de Auditores de Sistemas de Informacion (ISACF). Es aplicable a un amplio rango de SI que van desde el nivel de PC, Mainframes e instalaciones Cliente-Servidor. 4
n COBIT Integra y concilia normas y reglamentaciones existentes como: n n n n n ISO (9000 -3) Códigos de Conducta del Consejo Europeo COSO, IFAC, IIA, ISACA, AICPA y Otras Incluye el contenido de los Objetivos de Control emitidos por ISACA (EDPAA) Se publica Cobit 1 en Septiembre de 1996 Se publica Cobit 2 en Abril de 1998 Se publicó Cobit 3 en Marzo de 2000 Se publicó Cobit 4 en Diciembre de 2005 Se publicó Cobit 4. 1 en Mayo de 2007 5
Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas) 6
Objetivos n n n Es una guia para la gerencia en la toma de decisiones sobre riesgos y controles. Ayuda al usuario de tecnologia a obtener seguridad y control sobre los productos y servicios que adquiere. Provee a la A. S. I. , una herramienta fundamental para evaluar controles internos y gerenciales, y los minimos requerimientos de control compatibles con el necesario balance Costo-Beneficio de la organización. 7
¿Qué es Cobit? n n n Modelo para implantar Gobierno de TI Es un estándar abierto y de amplia difusión. Consta de 34 procesos y 220 objetivos de Control. Es 100% compatible con ISO 17799, COSO I y II, y con otros estándares de menor nivel de abstracción. Cobit fija el Qué y los estánderes de apoyo el Cómo en materia de implantación de Gobierno de TI. 8
La necesidad del aseguramiento del valor de TI, la administración de los riesgos asociados a TI, así como el incremento de requerimientos para controlar la información, se entienden ahora como elementos clave del gobierno de la empresa. El valor, el riesgo y el control constituyen la esencia del gobierno de TI. 9
El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales. 10
Cobit, brinda buenas práctica a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de Cobit representan el consenso de los expertos. Están enfocados fuertemente en el control y menos en 11 la ejecución
Preguntas frecuentes !!! 12
Gobierno de TI IT Governance. Es un término que representa el sistema que establece la alta gerencia para asegurar el logro de los objetivos de una organización. 13
Cobit como soporte TI está alineado con el negocio § TI capacita el negocio y maximiza los beneficios § Los recursos de TI se usen de manera responsable § Los riesgos de TI se administren apropiadamente § 14
15
Áreas de enfoque del Gobierno de TI n Ag Valo re r ga do Adm de ión s dic do Me sulta Re Gobierno de TI n in del istraci ó Rie sgo n o nt ie co m i ea g in raté l A st E Administración de Recursos n Alineamiento estratégico: Su enfoque está dirigido a la relación entre el Negocio y el Plan de TI; a la propuesta de valor que debe entregar su definición, a la mantención y validación. Valor Agregado: Es el ciclo que permite asegurar la entrega del valor propuesto, asegurando que la TI proporcionará los beneficios prometidos en la estrategia Administración de Recursos: Se trata de invertir en forma óptima y apropiada, la administración de los recursos críticos en TI: Aplicaciones, Información, Infraestructura y las 16 Personas.
Áreas de enfoque del Gobierno de TI n Ag Valo re r ga do Adm de ión s dic do Me sulta Re Gobierno de TI in del istraci ó Rie sgo n o nt ie co m i ea g in raté l A st E Administración de Recursos n Administración del Riesgo: El administrador debe tener consciencia del riesgo empresarial, un claro entendimiento del apetito de la empresa por el riesgo, transparencia sobre el significado de los riesgos empresariales, y que debe incorporar la responsabilidad de los riesgos empresariales en la administración de la organización. Medición de Resultados: rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos. 17
Productos Los productos se han organizado en tres niveles (figura 3) diseñados para dar soporte a: n Administración y consejos ejecutivos n Administración del negocio y de TI n Profesionales en gobierno, aseguramiento, control y 18 seguridad
19
20
Marco de trabajo Se basa en el principio de proporcionar la información que la empresa requiere para lograr sus objetivos, la empresa necesita administrar y controlar los recursos de TI, usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información. 21
Marco Cobit REQUERIMIENTOS DE NEGOCIO CRITERIOS DE INFORMACIÓN PROCESOS DE TI RECURSOS DE TI • • aplicaciones información infraestructura personal • • efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad 22
23
24
Controles Los procesos requieren controles. Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos del negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos. 25
Objetivo de Control Es una declaración del resultado o fin que se desea lograr al implantar procedimientos de control en una actividad de TI en particular. Los objetivos de control de Cobit son los requerimientos mínimos para un control efectivo de cada proceso de TI. 26
27
IMCM Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de TI y decidir qué nivel de administración y control debe proporcionar la empresa. Qué se debe medir y cómo? 28
Una organización debe crear un modelo de proceso que se ajuste a las directrices establecidas por la integración del modelo de capacidad de madurez (IMCM) 29
30
31
32
33
34
- Slides: 34