investigación cobit

1

U n i v e r s i d a d M a r i a n o G á l v e z d e G u a t e m a l aC o n t a d u r í a P ú b l i c a y A u d i t o r i a

A u d i t o r i a d e S i s t e m a s

INDICE

INTRODUCCIÓN..................................................................................................................2

COBIT: ESTÁNDARES INTERNACIONALES PARA EL MANEJO DE TECNOLOGÍAS DE INFORMACIÓN.................................................................................3

1. ¿QUÉ ES COBIT?.......................................................................................................3

1.1 Usuarios:...............................................................................................................3

1.2 Características.......................................................................................................3

2. PRINCIPIOS DE COBIT.............................................................................................4

2.1 Requerimientos de la información del negocio....................................................4

2.2 Requerimientos de Calidad:..................................................................................4

2.3 Requerimientos fiduciarios...................................................................................4

2.4 Requerimientos de Seguridad...............................................................................5

3. COMPONENTES DE COBIT.....................................................................................5

4. DOMINIOS DE COBIT..............................................................................................6

4.1 Planea y Organiza (PO)........................................................................................7

4.2 Adquirir e Implementar (AI)................................................................................9

4.3 Soporte y Entrega (DS).......................................................................................10

4.4 Monitoreo y Evaluación.....................................................................................12

5. DIRECTRICES GERENCIALES..............................................................................14

5.1 Focalizarse en el negocio....................................................................................15

5.2 Orientación a los procesos..................................................................................15

5.3 El riesgo del negocio, controles y la tecnología.................................................15

6. PROCESO DE IMPLANTACIÓN DE COBIT EN LAS EMPRESAS....................15

CONCLUSIÓN.....................................................................................................................17

BIBLIOGRAFIA..................................................................................................................18

2



INTRODUCCIÓN

Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración efectiva de la información y de la Tecnología de Información (TI) relacionada. En esta sociedad global (donde la información viaja a través del “ciberespacio” sin las restricciones de tiempo, distancia y velocidad) esta criticalidademerge de:

La creciente dependencia en información y en los sistemas que proporcionan dicha información

La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las “ciber amenazas” y la guerra de información

La escala y el costo de las inversiones actuales y futuras en información y en tecnología de información; y

El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos.

Para muchas organizaciones, la información y la tecnología que la soporta, representan los activos mas valiosos de la empresa y por lo tanto es de vital importancia que se sigan normas y procedimientos cuya calidad garanticen la seguridad e integridad de la información de las empresas.

Es con esta necesidad en mente que se ha desarrollado el COBIT, un conjunto de estándares de aceptación mundial que permitan a las empresas que tienen sistemas de información seguirlas para garantizar el mejor uso y seguridad en la información electrónica que manipulan.

La presente investigación se enfoca en desarrollar los aspectos principales de este manual desde sus principios hasta procesos para implementarlo en las empresas.

3



COBIT: ESTÁNDARES INTERNACIONALES PARA EL MANEJO DE TECNOLOGÍAS DE INFORMACIÓN

1. ¿QUÉ ES COBIT?

Es un conjunto de mejores prácticas para el manejo de información creado por la Asociación para la Auditoría y Control de Sistemas de Información,(ISACA, en inglés: Information Systems Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (ITGI, en inglés: IT Governance Institute) en 1992.

COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Está basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

1.1 Usuarios:

La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.

Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.

Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.

Los Responsables de TI: para identificar los controles que requieren en sus áreas.

1.2 Características

Orientado al negocio Alineado con estándares y regulaciones "de facto" Basado en una revisión crítica y analítica de las tareas y actividades en TI Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

4



2. PRINCIPIOS DE COBIT

2.1 Requerimientos de la información del negocio

2.2 Requerimientos de Calidad:

Calidad Costo Entrega.

2.3 Requerimientos fiduciarios

Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.

Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica).

COBIT

Requisitos del negocio

Recursos de TI

Procesos TI

Información a la empresa

Dirigir las inversiones

Para que sean

Para poder brindar

Que cumple con

5



Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.

Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa.

2.4 Requerimientos de Seguridad

Confidencialidad: Protección de la información sensible contra divulgación no autorizada Integridad: Refiere a lo exacto y completo de la información así como a su validez de

acuerdo con las expectativas de la empresa. Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del

negocio y la salvaguarda de los recursos y capacidades asociadas a la misma. Recursos de TI

3. COMPONENTES DE COBIT

Tiene 34 objetivos nivel altos que cubren 220 objetivos de control clasificados en cuatro dominios: El plan y Organiza, Adquiere y Pone en práctica, Entrega y Apoya, y Supervisa y Evalúa.

4DOMINIOS

34PROCESOS

220OBJETIVOS DE

CONTROL

6



4. DOMINIOS DE COBIT

Planea y Organiza

Adquirir y poner en práctica

Soporte y Entrega

Monitoreo y Evaluación

7



4.1 Planea y Organiza (PO)

Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.

4.1.1 Objetivos: Formular estrategias y tácticas Identificar como IT contribuye al negocio Planear, comunicar y gestionar la realización de la visión estratégica

4.1.2 Alcance: Esta IT alineado estratégicamente Se hace uso óptimo de los recursos Entienden todos los objetivos de los recursos Se comprenden los riesgos de IT Es la calidad de IT apropiada a las necesidades de los negocios

4.1.3 Procesos:

PO1 Definición de un plan Estratégico

Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos de TI de negocio, para asegurar sus logros futuros.

PO2 Definición de la Arquitectura de Información

Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas de información, a través de la creación y mantenimiento de un modelo de información de negocio, asegurándose que se definan los sistemas apropiados para optimizar la utilización de esta información.

PO3 Determinación de la dirección tecnológica

Objetivo: Aprovechar al máximo de la tecnología disponible o tecnología emergente, satisfaciendo los requerimientos de negocio, a través de la creación y mantenimiento de un plan de infraestructura tecnológica.

PO4 Definición de la organización y de las relaciones de TI

8



Objetivo: Prestación de servicios de TIEsto se realiza por medio de una organización conveniente en número y habilidades, con tareas y responsabilidades definidas y comunicadas.

PO5 Manejo de la inversión

Objetivo: tiene como finalidad la satisfacción de los requerimientos de negocio, asegurando el financiamiento y el control de desembolsos de recursos financieros.

PO6 Comunicación de la dirección y aspiraciones de la gerencia

Objetivo: Asegura el conocimiento y comprensión de los usuarios sobre las aspiraciones del alto nivel (gerencia), se concreta a través de políticas establecidas y transmitidas a la comunidad de usuarios, necesitándose para esto estándares para traducir las opciones estratégicas en reglas de usuario prácticas y utilizables.

PO7 Administración de recursos humanos

Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los requerimientos de negocio, a través de técnicas sólidas para administración de personal.

PO8 Asegurar el cumplimiento con los requerimientos Externos

Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales.

PO9 Evaluación de riesgos

Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI.

PO10 Administración de proyectos

Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversión.

PO11 Administración de calidad

Objetivo: Satisfacer los requerimientos del cliente

9



4.2 Adquirir e Implementar (AI)

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, asi como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

4.2.1 Objetivos Identificar, desarrollar, adquirir, implementar e integrar soluciones de IT Cambios y mantenimiento de sistemas existentes.

4.2.2 Alcance Son los nuevos productos capaces de entregar soluciones adecuadas al negocio. Se realizan los proyectos a tiempo. Trabajarán los sistemas apropiadamente cuando sean implementados. Los cambios afectarán las operaciones diarias.

4.2.3 Procesos

AI1 Identificación de Soluciones Automatizadas

Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario

AI2 Adquisición y mantenimiento del software aplicativo

Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.

AI3 Adquisición y mantenimiento de la infraestructura tecnológica

Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios

AI4 Desarrollo y mantenimiento de procedimientos

Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas.

AI5 Instalación y aceptación de los sistemas

Objetivo: Verificar y confirmar que la solución sea adecuada para el propósito deseado.

10



AI6 Administración de los cambios

Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.

4.3 Soporte y Entrega (DS)

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.

4.3.1 Objetivos

La real entrega de los servicios requeridos. La gestión de la seguridad, continuidad, datos y facilidades operacionales.

4.3.2 Alcance

Son los servicios de IT entregados de acuerdo a las prioridades del negocio. Se optimizan los costos de IT Se utiliza IT de manera productiva y segura. Se mantiene la confidencialidad, integridad y disponibilidad.

4.3.3 Procesos

Ds1 Definición de niveles de servicio

Objetivo: Establecer una comprensión común del nivel de servicio requerido.

Ds2 Administración de servicios prestados por terceros

Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estén claramente definidas, que cumplan y continúen satisfaciendo los requerimientos

Ds3 Administración de desempeño y capacidad

Objetivo: Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado.

11



Ds4 Asegurar el Servicio Continuo

Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en caso de interrupciones. Para ello se tiene un plan de continuidad probado y funcional, que esté alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio.

Ds5 Garantizar la seguridad de sistemas

Objetivo: salvaguardar la información contra uso no autorizados, divulgación, modificación, daño o pérdida.

Ds6 Educación y entrenamiento de usuarios

Objetivo: Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados. Para ello se realiza un plan completo de entrenamiento y desarrollo.

Ds7 Identificación y asignación de costos

Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI

Para ello se realiza un sistema de contabilidad de costos que asegure que éstos sean registrados, calculados y asignados a los niveles de detalle requeridos

Ds8 Apoyo y asistencia a los clientes de TI

Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente

Para ello se realiza un Buró de ayuda que proporcione soporte y asesoría de primera línea.

Ds9 Administración de la configuración

Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de cambios

Ds10 Administración de Problemas

Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder.

12



Ds11 Administración de Datos

Objetivo: Asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento.

Lo cual se logra a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI. Para tal fin, la gerencia deberá diseñar formatos de entrada de datos para los usuarios de manera que se minimicen lo errores y las omisiones durante la creación de los datos.

Ds12 Administración de las instalaciones

Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad física.

Ds13 Administración de la operación

Objetivo: Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo regularmente y de una manera ordenada

Esto se logra a través de una calendarización de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades. Para ello, la gerencia deberá establecer y documentar procedimientos para las operaciones de tecnología de información (incluyendo operaciones de red), los cuales deberán ser revisados periódicamente para garantizar su eficiencia y cumplimiento.

4.4 Monitoreo y Evaluación

Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Este es, precisamente, el ámbito de este dominio.

4.4.1 Objetivos :

Gestión del desempeño Monitoreo y control interno Cumplimiento de regulaciones Gobierno

13



4.4.2 Alcance

Es el desempeño de IT medido con el fin de detectar problemas antes de que sea tarde Asegura la gestión que los controles internos son efectivos y eficientes. Puede el desempeño de IT relacionarse con los objetivos del negocio. Son los riesgos, controles el cumplimiento y el desempeño medidos y reportados.

4.4.3 Procesos

M1 Monitoreo del Proceso

Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeño gerenciales y la implementación de sistemas de soporte así como la atención regular a los reportes emitidos.

M2 Evaluar lo adecuado del Control Interno

Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.

Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a través de actividades administrativas y de supervisión, comparaciones, reconciliaciones y otras acciones rutinarias., evaluar su efectividad y emitir reportes sobre ellos en forma regular. Estas actividades de monitoreo continuo por parte de la Gerencia deberán revisar la existencia de puntos vulnerables y problemas de seguridad.

M3 Obtención de Aseguramiento Independiente

Objetivo: Incrementar los niveles de confianza entre la organización, clientes y proveedores externos. Este proceso se lleva a cabo a intervalos regulares de tiempo.

Para ello la gerencia deberá obtener una certificación o acreditación independiente de seguridad y control interno antes de implementar nuevos servicios de tecnología de información que resulten críticos, como así también para trabajar con nuevos proveedores de servicios de tecnología de información. Luego la gerencia deberá adoptar como trabajo rutinario tanto hacer evaluaciones periódicas sobre la efectividad de los servicios de tecnología de información y de los proveedores de estos servicios como así también asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnología de información y de los proveedores de estos servicios.

M4 Proveer Auditoria Independiente

14



Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prácticas de su implementación, lo que se logra con el uso de auditorias independientes desarrolladas a intervalos regulares de tiempo. Para ello la gerencia deberá establecer los estatutos para la función de auditoria, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoria. El auditor deberá ser independiente del auditado, esto significa que los auditores no deberán estar relacionados con la sección o departamento que esté siendo auditado y en lo posible deberá ser independiente de la propia empresa. Esta auditoria deberá respetar la ética y los estándares profesionales, seleccionando para ello auditores que sean técnicamente competentes, es decir que cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes de auditoria.

5. DIRECTRICES GERENCIALES

15



5.1 Focalizarse en el negocio

COBIT ayuda a alinear IT con el negocio Al medir el desempeño de IT se soporta mejor la estrategia del negocio Al soportar COBIT unas métricas enfocadas al negocio se asegura así una mejor entrega de

valor y no el logro de la excelencia tecnológica.

5.2 Orientación a los procesos

Cuando una organización implementa COBIT se orienta hacia procesos Incidentes y problemas no interfieren el transcurrir de los procesos Las excepciones pueden ser claramente definidas como parte de los procesos Cuando los procesos tienes sus propios dueños se mejora la confiabilidad de la organización

ante cambios o crisis organizacionales

5.3 El riesgo del negocio, controles y la tecnología

Empieza en los requerimientos del negocio Es orientado a los procesos Identifica recursos críticos de IT Define los objetivos de control de la gestión para ser considerados Reúne estándares internacionales Es el estándar de facto para el control sobre IT

6. PROCESO DE IMPLANTACIÓN DE COBIT EN LAS EMPRESAS

16



17



CONCLUSIÓN

La administración de una empresa requiere de prácticas generalmente aplicables y aceptadas de control y gobierno en TI para medir en forma comparativa tanto su ambiente de TI existente, como su ambiente planeado.

COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos técnicos y riesgos de negocio. COBIT habilita el desarrollo de una política clara y de buenas prácticas de control de TI a través de organizaciones, a nivel mundial.

El objetivo de COBIT es proporcionar estos objetivos de control, dentro del marco referencial definido, y obtener la aprobación y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. Por lo tanto, COBIT está orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administración de riesgos asociados con tecnología de información y con tecnologías relacionadas.

18



BIBLIOGRAFIA

1. Buscador Wordhttp://word.bienesyautos.com/word-cobit/Consulta hecha (13/08/2010)

2. Wikipediahttp://es.wikipedia.org/wiki/Objetivos_de_control_para_la_información_y_tecnologías_relacionadasConsulta hecha (13/10/2010)

3. Monografiashttp://www.monografias.com/trabajos38/cobit/cobit.shtmlhttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtmConsulta hecha (13/10/2010)

4. COBIT: Objetivos de Control2d.a Edición Abril de 1998Emitido por Comité Directivo de COBIT

investigación cobit

Documents