Aplicación De COBIT En Auditorías Informáticas

INDICE GENERAL

Tema……………………………………………………………………………….Página.

Índice………………………………………………………………………………….2

Introducción………………………………………………………………………….3

Introducción a Normas COBIT……………………………………………………..4

Dominios COBIT…………………………………………………………………….6

Dominio de Planificación…………………………………………………………..6

Dominio de adquisición e implementación……………………………………..14

Dominio de prestación y soporte……………………………………………….. .19

Dominio de Monitoreo……………………………………………………………..27

Conclusiones y recomendaciones……………………………………………….31

Bibliografía………………………………………………………………………......32

INTRODUCCION.

Los constantes cambios tecnológicos que se viven hoy en día, más la necesidad de establecer mayores controles en todos los procesos informáticos que se desarrollan en las organizaciones, así como el establecimiento de políticas de monitoreo y control, hace que se conforme una herramienta estandarizada que permita verificar la autenticidad y correcta ejecución de los procesos.

En la actualidad esa herramienta la constituye COBIT (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas), en su versión 4.1. La aplicación de esta herramienta, garantiza a la organización y a los entes auditores ya sean internos como externos, la correcta dirección que toma el ente auditado en materia de control de sistemas.

El presente proyecto, muestra en una forma muy sencilla y resumida, cuales son los dominios y reglas adecuadas, para llevar a cabo una satisfactoria auditoría en sistemas, basada en la herramienta COBIT:

INTRODUCCIÓN A LAS NORMAS COBIT

COBIT (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas). COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Está basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

Principios:

Requerimientos de la información del negocio

Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos criterios:

•Requerimientos de Calidad: Calidad, Costo y Entrega.

•Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.

▪Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.

▪Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica).

▪ Confiabilidad: Proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.

▪ Cumplimiento: De las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa.

•Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad

▪ Confidencialidad: Protección de la información sensible contra divulgación no autorizada.

▪ Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.

▪ Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.

Recursos de TI

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:

▪ Datos: Todos los objetos de información. Considera información interna y

externa, estructurada o no, gráficas, sonidos, etc

.▪ Aplicaciones: Entendido como los sistemas de información, que integran procedimientos manuales y sistematizados.

▪ Tecnología: Incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.

▪ Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.

▪ Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.

Procesos de TI

La estructura de COBIT se define a partir de una premisa simple y pragmática: “Los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos”.

Dominios de COBIT

COBIT se divide en tres niveles que a continuación se detallan

a) Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.

b) Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.

c) Actividades: Acciones requeridas para lograr un resultado medible.

Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesos están agrupados en cuatro grandes dominios que se detallan a continuación junto con sus procesos y una descripción general de las actividades de cada uno.

2 Dominio: Planificación y organización

Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio.

• Procesos:

1 PO1 Definición de un plan Estratégico

✓ Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos de TI de negocio, para asegurar sus logros futuros. Su realización se concreta a través un proceso de planeación estratégica emprendido en intervalos regulares dando lugar a planes a largo plazo, los que deberán ser traducidos periódicamente en planes operacionales estableciendo metas claras y concretas a corto plazo, teniendo en cuenta:

– La definición de objetivos de negocio y necesidades de TI, la alta gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas generales de la organización.

– El inventario de soluciones tecnológicas e infraestructura actual, se deberá evaluar los sistemas existentes en términos de: nivel de automatización de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el propósito de determinar el nivel de soporte que reciben los requerimientos del negocio de los sistemas existentes.

– Los cambios organizacionales, se deberá asegurar que se establezca un proceso para modificar oportunamente y con precisión el plan a largo plazo de tecnología de información con el fin de adaptar los cambios al plan a largo plazo de la organización y los cambios en las condiciones de la TI.

– Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos.

2 PO2 Definición de la Arquitectura de Información

✓ Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas de información, a través de la creación y mantenimiento de un modelo de información de negocio, asegurándose que se definan los sistemas apropiados para optimizar la utilización de esta información, tomando en consideración:

– La documentación deberá conservar consistencia con las necesidades permitiendo a los responsables llevar a cabo sus tareas eficiente y oportunamente.

– El diccionario de datos, el cual incorporara las reglas de sintaxis de datos de la organización y deberá ser continuamente actualizado.

– La propiedad de la información y la clasificación de severidad, con el que se establecerá un marco de referencia de clasificación general relativo a la ubicación de datos en clases de información.

3 PO3 Determinación de la dirección tecnológica

✓ Objetivo: Aprovechar al máximo de la tecnología disponible o tecnología emergente, satisfaciendo los requerimientos de negocio, a través de la creación y mantenimiento de un plan de infraestructura tecnológica, tomando en consideración:

– La capacidad de adecuación y evolución de la infraestructura actual, que deberá concordar con los planes a largo y corto plazo de tecnología de información y debiendo abarcar aspectos tales como arquitectura de sistemas, dirección tecnológica y estrategias de migración.

– El monitoreo de desarrollos tecnológicos que serán tomados en consideración durante el desarrollo y mantenimiento del plan de infraestructura tecnológica.

– Las contingencias (por ejemplo, redundancia, resistencia,

...