exposicion cobit

18
UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA Curso: Auditoria de Sistemas Catedratico: Ing. Giovanni Guzman Titulo: COBIT (Control Objectives for Information and related Technology) Integrantes:

Upload: gerson1234567890

Post on 01-Dec-2015

94 views

Category:

Documents


3 download

TRANSCRIPT

Page 1: Exposicion COBIT

UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

Curso: Auditoria de SistemasCatedratico: Ing. Giovanni Guzman

Titulo:

COBIT(Control Objectives for Information and related

Technology)

Integrantes:Edilzar Bosbeli Samayoa Garrido 092-98-620Mirlo Mauricio Manzo Oliva 092-98-1490Ricardo Androkles Arias Molina 092-98-356Sergio Alberto Donis Audon 092-98-1220

Fecha: Guatemala, 13 de Mayo del 2004

Page 2: Exposicion COBIT

TABLA DE CONTENIDOS

INTRODUCCION................................................................................3COBIT (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)...............................................................4

Usuarios:............................................................................................................4Características:..................................................................................................4Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos criterios:.................................................................................5Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad...5En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:.....................................................................5COBIT se divide en tres niveles:........................................................................6GRAFICO DE PRINCIPIOS COBIT...................................................................6

DENTRO DEL COBIT.........................................................................6COBIT como producto......................................................................8

Resumen ejecutivo.......................................................................................8Documento dirigido a la alta gerencia.....................................................................8Marco de referencia......................................................................................8Objetivos de control......................................................................................8

Chequeo de Cumplimiento COBIT.................................................10APLICACIÓN....................................................................................12

Descripción Del Proyecto:................................................................................12Determinación De Objetivos Del Proyecto:......................................................12

CONCLUSIONES.............................................................................13BIBILIOGRAFIA................................................................................14

Page 3: Exposicion COBIT

INTRODUCCION

COBIT ha sido desarrollado para las aplicaciones en general y para la aceptacion de estandares en centros de IT, practicas de seguridad y control que proveen una referencia de administracion, y un mecanismo de auditoria aceptable. El objetivo de COBIT es en esencia crear una herramienta para Investigar, desarrollar, publicar y promover un conjunto de normas de control, actualizados, con un carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores a nivel mundial.

El uso de COBIT permite controlar de manera eficaz los recursos en lo concerniente a IT brindando las herramientas para: mejorar el rendimiento en los elementos de medicion, una lista detallada de factores criticos para la creacion y mantenimiento de un centro de IT, niveles de madurez en los modelos para asistir a los niveles gerenciales en la toma de decisiones.

La puesta en practica del COBIT es en realidad una manera de enmarcar los procesos que llevaran a un proyecto al éxito, si se cumplen todos los requisitos del COBIT se obtiene automaticamente una herramienta de auditoria, ademas se puede observar el alcance del proyecto desde una perspectiva amplia y confiable.

Page 4: Exposicion COBIT

COBIT (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)

COBIT, fue lanzado en 1996, y es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores

Usuarios: La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus áreas.

También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas.

Características: Orientado al negocio Alineado con estándares y regulaciones "de facto" Basado en una revisión crítica y analítica de las tareas y actividades en TI Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

Principios:El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.

Requerimientos de la información del negocio

Page 5: Exposicion COBIT

Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos criterios:

Requerimientos de Calidad: Calidad, Costo y Entrega.Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.

Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica). Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad Confidencialidad: Protección de la información sensible contra divulgación no autorizada Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa. Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma. Recursos de TI

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio: Datos: Todos los objetos de información. Considera información interna y externa, estructurada o no, gráficas, sonidos, etc. Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología: incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información. Procesos de TI

La estructura de COBIT se define a partir de una premisa simple y pragmática: "Los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos".

Page 6: Exposicion COBIT

COBIT se divide en tres niveles:

Dominios Procesos

Actividades

Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.Actividades: Acciones requeridas para lograr un resultado medible.

Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI.

GRAFICO DE PRINCIPIOS COBIT

DENTRO DEL COBIT

COBIT está diseñado como un estándar aplicable y aceptable en general para la buena práctica de la auditoría de las tecnologías de la Información en todo el mundo. El producto COBIT utiliza los Objetivos de Control de ISACA, mejorados con estándares específicos de tipo técnico, profesional, normativo e industrial existentes y emergentes. Los objetivos de control se han desarrollado para su aplicación en el amplio espectro de

Page 7: Exposicion COBIT

sistemas de información en la empresa. Estos objetivos de control tienen en cuenta lo siguiente:

Adecuación a los estándares y normativas legislativos y de hecho existentes que se aplican en el marco global, así como en los objetivos de control individuales.

Revisión crítica de las diferentes actividades y tareas bajo los dominios de control y posibilitando la especificación de indicadores de prestaciones importantes (normas, reglas, etc.)

Establecimiento de unas directrices y fundamentos para proporcionar investigación consistente sobre los temas de auditoría y control de TI.

El sistema consiste en objetivos de control de TI de alto nivel y una estructura global para su clasificación y funcionamiento. La teoría subyacente para la clasificación elegida, en línea con las experiencias de Re-Ingeniería, es que hay, en esencia tres niveles de esfuerzos en TI cuando se considera la gestión de los recursos de TI:

Actividades: las actividades, junto con las tareas están en el nivel inferior. Las actividades tienen el concepto de ciclo de vida mientras que las tareas se consideran discretas en el tiempo.

Procesos: se definen en un nivel superior como series de actividades unidas con puntos de control naturales.

Dominios: correspondientes al nivel superior, son agrupaciones de procesos. COBIT distingue cuatro dominios en línea con el ciclo de gestión o el ciclo de vida aplicables a los procesos de TI

Planificación y Organización

Conduce la estrategia y las tácticas y corresponde a la identificación de la forma en que la información tecnológica puede contribuir mejor a alcanzar los objetivos de gestión.

Distribución y Soporte

Corresponde con la distribución normal de los servicios requeridos, que van desde las tradicionales operaciones sobre seguridad y continuidad hasta la formación.

Adquisición e Implementación

Para llevar a cabo la estrategia es necesario identificar, desarrollar y adquirir soluciones de TI apropiadas, así como implementarlas e integrarlas en los procesos de gestión.

Monitorización o Seguimiento

Todos los procesos de TI deben evaluarse regularmente en el tiempo para comprobar su calidad.

El marco conceptual se enfoca desde tres puntos de vista distintos: criterios de gestión para la información, recursos de TI y procesos de TI. Estos tres puntos de vista se ensamblan en un formato cúbico y permiten que se obtengan referencias cruzadas en dicho marco y se pueda acceder a él eficientemente

Page 8: Exposicion COBIT

Los objetivos de control de TI están organizados inicialmente por proceso/actividad, pero las ayudas para la navegación que se aportan, facilitan la entrada desde cualquier punto estratégico. También facilitan la adopción de enfoques combinados o globales, tal como la instalación/implementación de un proceso, responsabilidades de gestión global para un proceso, y el uso de los recursos de TI por un proceso.

COBIT como producto

Resumen ejecutivoDocumento dirigido a la alta gerenciaPresenta los antecedentes y la estructura básica de COBIT.Describe de manera general los procesos, los recursos y los criterios de información, los cuales conforman la “Columna Vertebral” de COBIT.

Marco de referenciaIncluye la introducción contenida en el resumen ejecutivoPresenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT.

Objetivos de controlIntegran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia

Page 9: Exposicion COBIT

Presenta los objetivos de control detallados para cada uno de los 34 procesos.En total se describen 302 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos)

Guías de AuditoríaSe hace una presentación del proceso de auditoría generalmente aceptado (relevamiento de información, evaluación de control, evaluación de cumplimiento y evidenciación de los riesgos).Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 318 objetivos de control detallados.

Guías de AdministraciónPara ayudar a determinar cuales son los adecuados niveles de seguridad y control integra los conceptos de:

Modelo de madurez CMM (prácticas de Control) Indicadores claves de Desempeño de los procesos de TIFactores Críticos de Éxito a tener en cuenta para mantener bajo control los procesos de TI.

Page 10: Exposicion COBIT

Chequeo de Cumplimiento COBIT

Page 11: Exposicion COBIT
Page 12: Exposicion COBIT

La tabla anterior muestra las areas de aplicación del COBIT en lo concerniente a riesgos, basados en ella podemos apreciar las fortalezas y debelidades que nos promueve el uso de la herramienta.

El chequeo del cumplimiento del COBIT nos dice como debemos de tratar exactamente la herramienta, para reducir a lo mas minimo los riesgos que conlleva su implementacion en cada fase o area de desarrollo.

Para el caso de la auditoria le permite identificar las mejores opciones para la implementacion de controles adecuados y seguros en el desempeño de la actividad de revision.

Page 13: Exposicion COBIT

APLICACIÓN

Descripción Del Proyecto:

El Plan del Proyecto “Digitren”, consiste en crear el sistema automatizado que lleve el control de la información generada por un medio de transporte moderno como lo son los trenes eléctricos. La informacion será requerida y utilizada por un usuario frecuente del transporte colectivo.El sistema de trenes electricos se propone llevar a cabo el año 2010 en la metrópoli guatemalteca, Digitren permitirá al usuario interactuar de forma amigable y obtener la información pertinente para que el usuario decida cual es la mejor opción que tiene disponible para viajar momentos antes de abordar un tren, es decir, el usuario podrá en un momento dado estructurar si itinerario de viaje al usar este transporte colectivo. Como los trenes estarán dotados con puertas automáticas, dichas puertas tendran sensores que generen información sobre la cantidad de usuarios que suben y bajan en una estación, de esta forma se podrá saber que disponibilidad de espacio tiene cada tren que llega a cualquiera de las estaciones. Todo esto se hará funcional con el software y hardware implementado, el software será realizado a la medida del proyecto y la interfaz será interactiva. Además el software podrá servir de base a la organización para obtener estadísticas importantes al momento de tomar decisiones, esto debido a que podrá evaluarse fácilmente la demanda que tiene el servicio, y compararla con los costos de operación del sistema de transporte.

Determinación De Objetivos Del Proyecto:

- La creacion de un sistema que lleve el control automatizado de la información generada por los trenes y mostrada en las estaciones al usuario.

- Que el sistema actúe interactivamente con el hardware requerido para brindar información relevante del funcionamiento de los trenes.

- Que el sistema le sirva al usuario para tomar sus decisiones de la forma en que desea transportarse, según sea su necesidad.

Page 14: Exposicion COBIT

CONCLUSIONES

El uso del COBIT en compañía con el ITIL y la norma ISO17799 , brindan la mejor herramienta que abarca todos los niveles de la IT, suministrando informacion veraz y confiable a la hora de ser requerida para la toma de decisiones a nivel Gerencial.

Consideramos la herramienta COBIT de gran utilidad en el control de proyectos de IT, ya que se apega a las necesidades tanto de usuarios como a nivel gerencial y ademas a normativas para auditorias.

El COBIT nos muestra los mecanismos a utilizar, pero es innegable que el apoyo a nivel gerecial es indispensable para llevarlo a cabo con éxito, en las tareas que se piensan iniciar, tanto con nuevos proyectos como tambien con los que ya se encuentran en curso, brindando una buena herramienta de auditoria.

Page 15: Exposicion COBIT

BIBILIOGRAFIA

http://pwcgolbal.com

www.isaca.org/cobit.htmwww.isaca.cl/cobit.html

Apuntes curso de Administracion de Sistemas UMG. A cargod el ING. Giovanni Guzman