audiroria de sistemas
DESCRIPTION
Un esquema de la auditoria de sistemas informáticosTRANSCRIPT
OS
OS
FOR
MÁ
TIC
OFO
RM
ÁTI
CO
TEM
AS
INF
TEM
AS
INF
RÍA
DE
SIST
RÍA
DE
SIST
AU
DIT
OR
AU
DIT
OR
Dr.. Carlos Escobar P, Mgs
OBJETIVOSOBJETIVOS DEDE CONTROLCONTROL PARAPARAINFORMACIÓNINFORMACIÓN YY TECNOLOGÍASTECNOLOGÍASRELACIONADASRELACIONADASO
SO
S
CC ControlControlFOR
MÁ
TIC
OFO
RM
ÁTI
CO
CC ControlControlOBOB ObjectivesObjectives (objetivos)(objetivos)
TEM
AS
INF
TEM
AS
INF
II ForFor InformationInformation (para información)(para información)TT andand RelatedRelated TechnologyTechnology (y Tecnologías(y TecnologíasR
ÍA D
E SI
STR
ÍA D
E SI
ST
TT and and RelatedRelated TechnologyTechnology (y Tecnologías (y Tecnologías relacionadas) relacionadas) A
UD
ITO
RA
UD
ITO
R
Dr.. Carlos Escobar P, Mgs
REQUERIMIENTOS DE COBIT – OBJETIVOS DE CONTROL
OLO
GÍA
DE
OLO
GÍA
DE
COBITCOBIT constituyeconstituye unun enfoqueenfoque dede controlcontrol internointerno parapara sistemassistemas informáticosinformáticos oosistemassistemas dede informacióninformación cuyacuya plataformaplataforma eses lala tecnologíatecnología informáticainformática.. COBITCOBIT esesunun marcomarco dede referenciareferencia queque orienteoriente lala investigación,investigación, desarrollo,desarrollo, diseñodiseño deldel examenexamen
AR
A TE
CN
OA
RA
TEC
NO dede auditoría,auditoría, ademásademás dede establecerestablecer unun estándarestándar dede técnicastécnicas aa publicarpublicar yy promoverpromover
internacionalmenteinternacionalmente parapara alcanzaralcanzar loslos ObjetivosObjetivos dede ControlControl dede TecnologíaTecnología dede lalaInformaciónInformación dede GeneralGeneral AceptaciónAceptación parapara usouso dede loslos administradoresadministradores deldel negocionegocio yyloslos auditoresauditores orientadoorientado porpor requerimientosrequerimientos dede calidadcalidad fiduciariosfiduciarios yy dede seguridadseguridad
NTE
RN
O P
AR
MA
CIÓ
NN
TER
NO
PA
RM
AC
IÓN
loslos auditoresauditores orientadoorientado porpor requerimientosrequerimientos dede calidad,calidad, fiduciariosfiduciarios yy dede seguridadseguridad..
CalidadCostoREQUERIMIENTOS U
CO
NTR
OL
ININ
FOR
CO
NTR
OL
ININ
FOR
Efectividad & Eficiencia de operaciones
CostoEntrega
QOBJETIVOS DE CALIDAD
REQUERIMIENTOS
TIVO
S D
E C
TIVO
S D
E C Confiabilidad de Información
Cumplimiento con leyes & regulaciones
REQUERIMIENTOS FIDUCIARIOS
Confidencialidad
OB
JET
OB
JET
REQUERIMIENTOS DE SEGURIDAD
ConfidencialidadIntegridadDisponibilidadConfiabilidad
Dr.. Carlos Escobar P, Mgs
REQUERIMIENTOS (OBJETIVOS) DE COBIT - CALIDAD Y COSTO
OLO
GÍA
DE
OLO
GÍA
DE
Los requerimientos de información empresarial se orientan por los objetivos decontrol que se impone toda organización, estos tienen que ver fundamentalmente conla CALIDAD, el COSTO, y la ENTREGA del Sistema de Información.
AR
A TE
CN
OA
RA
TEC
NO y
Los REQUERIMIENTOS DECALIDAD de los Sistemas deREQUERIMIENTOS U
OBJETIVOS DE CALIDAD
NTE
RN
O P
AR
MA
CIÓ
NN
TER
NO
PA
RM
AC
IÓN
Los REQUERIMIENTOS DE CALIDAD
Información Gerencial evaluadosdesde su costo y puesta en marchatienen que ser medidos en términosd fi i i fi i id d
OBJETIVOS DE CALIDAD
CO
NTR
OL
ININ
FOR
CO
NTR
OL
ININ
FOR
COSTO Y ENTREGA de los Sistemas deInformación Gerencial deben orientarseen el marco de la calidad total, calidad deproducto servicio satisfacción
de eficiencia, eficacia, equidad,ecología y economía considerados entoda gestión empresarial.
TIVO
S D
E C
TIVO
S D
E C producto, servicio, satisfacción,
organización, distribución y comunicaciónen el marco de un sistema de controleficiente en el diseño y administración de UtilizadosRecursos
ProduccióndadProductivi =
OB
JET
OB
JET
las TI tecnologías de la información y lacomunicación; fortalecido con valores yactitudes profesionales. FIREWARE DesempeñodeEstandar
dadProductiviEficiencia =
Dr.. Carlos Escobar P, Mgs
REQUERIMIENTOS (OBJETIVOS) FIDUCIARIOS
Debe recalcarse que los objetivos del informe COSO, orientados a la gestiónfinanciera y económica de una empresa son considerados dentro del COBIT puestoque, los sistemas de información constituye uno de los subsistemas empresariales;
OLO
GÍA
DE
OLO
GÍA
DE
entonces, sus procesos deben: ser eficientes y eficaces, aportar en la confiabilidadde los informes financieros, y cumplir con leyes, reglamentos y principios.
AR
A TE
CN
OA
RA
TEC
NO
Eficiencia y Eficacia de operacionesConfiabilidad de InformaciónCumplimiento con leyes, reglamentos, y reglamentos
REQUERIMIENTOS FIDUCIARIOS
NTE
RN
O P
AR
MA
CIÓ
NN
TER
NO
PA
RM
AC
IÓN
EficienciaSe relaciona con la provisión de información a través del óptimo (másproductivo y económico ) uso de recursos.
CO
NTR
OL
ININ
FOR
CO
NTR
OL
ININ
FOR
EficaciaInformación relevante y pertinente al proceso de negocio, entregada deuna manera oportuna, correcta, consistente y utilizable.
TIVO
S D
E C
TIVO
S D
E C
CumplimientoCumplimiento de aquellas leyes, reglamento y arreglos contractuales alos cuales está sujeto el proceso de negocio; es decir, criterios de negociosimpuestos externamente.
OB
JET
OB
JET
Dr.. Carlos Escobar P, Mgs
REQUERIMIENTOS (OBJETIVOS) DE SEGURIDAD Los sistemas de información deben considerar dentro de sus objetivos elofrecimiento de seguridad en la gestión de las tecnologías informáticas y lainformación principalmente, por lo tanto, deben garantizar: confidencialidad,integridad disponibilidad confiabilidad y cumplimiento de leyes reglamentos yO
LOG
ÍA D
E O
LOG
ÍA D
E
integridad, disponibilidad, confiabilidad, y cumplimiento de leyes, reglamentos yprincipios.
REQUERIMIENTOS DE SEGURIDADConfidencialidad Integridad
AR
A TE
CN
OA
RA
TEC
NO
S l i l ió d i f ió ibl di l ió i d
REQUERIMIENTOS DE SEGURIDAD Disponibilidad Confiabilidad
Cumplimiento
NTE
RN
O P
AR
MA
CIÓ
NN
TER
NO
PA
RM
AC
IÓN
Confidencialidad Se relaciona con la protección de información sensible a divulgación no autorizada.
Integridad Se relaciona con la exactitud e integridad de información así como también con su validezen conformidad con valores y expectativas del NEGOCIO.
CO
NTR
OL
ININ
FOR
CO
NTR
OL
ININ
FOR
DisponibilidadSe relaciona con información disponible al ser requerida por el proceso de negocioahora y en el futuro. Se relaciona con el resguardo de recursos necesarios ycapacidades asociadas.TI
VOS
DE
CTI
VOS
DE
C
Se relaciona con la provisión de información apropiada a la gerencia paraoperar la entidad y para que la gerencia ejerza sus responsabilidades deinformar cumplimiento.
Confiabilidad de Información
OB
JET
OB
JET
Dr.. Carlos Escobar P, Mgs
ESTRUCTURACIÓN Y ORGANIZACIÓN DEL COBIT
Por la complejidad y alcance de estos procesos, COBIT
DOMINIOS
PROCESOSOLO
GÍA
DE
OLO
GÍA
DE
Por la complejidad y alcance de estos procesos, COBITse organiza objetiva y sistemática identificando tresniveles: Dominios (5), Agrupación natural de procesosque corresponden a una unidad administrativaresponsable del diseño y administración del sistema, las
PROCESOS
AR
A TE
CN
OA
RA
TEC
NO
responsable del diseño y administración del sistema, lasaplicaciones y la información. Procesos(34), conjunto deactividades o técnicas secuenciales normalizados deacuerdo a las estrategias diseñadas para alcanzar elobjetivo. Actividades(220 objetivos), conjunto de
ACTIVIDADES
NTE
RN
O P
AR
MA
CIÓ
NN
TER
NO
PA
RM
AC
IÓN
objetivo. Actividades(220 objetivos), conjunto deacciones o trabajos secuenciales diseñados para alcanzarmetas, en cada trabajo se consiguen resultados quedeben ser medibles inmediatamente.
PO. Dominio: Planificación y organización (10)
AI. Dominio: Adquisición e implementación (6)
CO
NTR
OL
ININ
FOR
CO
NTR
OL
ININ
FOR
q p ( )
PS. Dominio: Prestación y Soporte (13)
MO Dominio: Monitoreo (4)
Los recursos de las Tecnologías de la Información(TI) se gestionan mediante un conjunto deprocesos interrelacionados y agrupados de formanatural para proporcionar información necesariaTI
VOS
DE
CTI
VOS
DE
C
MO. Dominio: Monitoreo (4)
AN. Dominio: Aplicación de normas COBIT (1)
TOTAL 34
natural para proporcionar información necesariapara alcanzar sus objetivos y tomar de decisionesempresariales.O
BJE
TO
BJE
T
Dr.. Carlos Escobar P, Mgs
TOTAL 34
ESTRUCTURACIÓN Y ORGANIZACIÓN DEL COBIT
OBJETIVOSEficienciaEfectividadConfiabilidadIntegridad
EficienciaEfectividadConfiabilidadIntegridad ÓO
LOG
ÍA D
E O
LOG
ÍA D
E
Administración de las TICs
PO1 Definir plan estratégico;PO2 Definir arquitectura de la información;PO3 Determinar la dirección tecnológica; PO4 Definición de la organización y las TI;PO5 Administrar la inversión en tecnologías
PLA
NIFIC
AC
PLA
NIFIC
ACM1 Monitoreo del proceso;
M2 E l d ió d lRE
OR
EO
IntegridadDisponibilidadCumplimientoConfiabilidad
IntegridadDisponibilidadCumplimientoConfiabilidad
ESTRUCTURACIÓNCOBIT
DOMINIO; PROCESOS DOMINIO; PROCESOS ACTIVIDADESACTIVIDADESA
RA
TEC
NO
AR
A TE
CN
O
gde la información;
PO6 Comunicación de la dirección y aspiraciones de la gerencia;
PO7 Administrar recursos humanos;PO8 Asegurar cumplimiento con
IÓN
Y O
RG
AN
IÓN
Y O
RG
AN
M2 Evaluar adecuación de control;M3 Lograr garantía independiente; y,M4 Disponer de auditoría independiente
MO
NIT
OR
MO
NIT
OR
RECURSOS TITalento Humano;Sistemas y aplicaciones;Infraestructura Tecnología;
Talento Humano;Sistemas y aplicaciones;Infraestructura Tecnología;N
TER
NO
PA
RM
AC
IÓN
NTE
RN
O P
AR
MA
CIÓ
N
requerimientos externos;PO9 Evaluar riesgos;PO10 Administrar proyectos; y,PO11 Administrar La calidad.
NIZ
AC
IÓN
NIZ
AC
IÓNPS1 Definir niveles de servicio;
PS2 Administrar servicios de terceros;PS3 Administrar desempeño y capacidad;
g ;Información.
g ;Información.
CO
NTR
OL
ININ
FOR
CO
NTR
OL
ININ
FOR
AI1 Identificar soluciones;AI2 Adquirir y mantener software de aplicaciones;
AD
QIM
PLA
DQ
IMPL
PRE
STA
CIÓ
N
Y S
OPO
RT
EPR
EST
AC
IÓN
Y
SO
POR
TE
PS3 Administrar desempeño y capacidad;PS4 Asegurar servicios continuo;PS5 Asegurar seguridad de sistemas;PS6 Identificar y atribuir costos;PS7 Adecuar y capacitar usuarios;PS8 Ayudar y aconsejar a clientes de TI;TI
VOS
DE
CTI
VOS
DE
C
aplicaciones;AI3 Adquirir y mantener arquitectura de tecnología;AI4 Desarrollar y mantener recursos TI;AI5 Instalar y acreditar sistemas;AI6 Administrar cambios
QU
ISICIÓ
N E
E
ME
NT
AC
IÓN
QU
ISICIÓ
N E
E
ME
NT
AC
IÓN
P YP Y PS8 Ayudar y aconsejar a clientes de TI;PS9 Administrar la configuración;PS10 Administrar problemas e incidentes;PS11 Administrar datos;PS12 Administrar Instalaciones; y,PS13 Administrar operaciones
OB
JET
OB
JET
Dr.. Carlos Escobar P, Mgs
AI6 Administrar cambiosp