objetivos de control para la infomación - cobit
DESCRIPTION
Es la herramienta innovadora para el gobierno de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI.TRANSCRIPT
COBIT - Objetivos de Control para la Información y Tecnologías Afines> AUDITORIA DE SISTEMAS
oCarmen JimbooGian Carlos LlerenaoFernando GrunaueroRodrigo BeltranoCarlos RamosoDimitri Villamar
2
COBIT (Control Objectives for Information and related Technology)
Objetivos de Control para la Información y Tecnologías Afines
Es la herramienta innovadora para el gobierno de TI que ayuda a la gerencia a
comprender y administrar los riesgos asociados con TI.
El objetivo del proyecto es el desarrollo de políticas claras y buenas prácticas para la
seguridad y el control de TI.
3
Estructura
Los procesos se definen entonces en un nivel superior como una serie de actividades o tareas conjuntas con “cortes” naturales (de control). Al nivel más alto, los procesos son agrupados de manera natural en dominios.
Su agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad en una estructura organizacional, y está en línea con el ciclo administrativo o ciclo de vida aplicable a los procesos de TI.
4
Adquisición eimplementación
Para llevar a cabo la estrategia de TI, las
soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
Dominio
Identificar nuevas aplicaciones o funciones se requiere un análisis antes de la compra o el desarrollo, a fin de garantizar que los requisitos del Negocio satisfacen son satisfechos efectivos y eficientemente
5
Identificación de Soluciones
> Tenemos como prioridad cumplir con la efectividad y secundariamente con la eficiencia, aquí aplicarían los recursos tales como las aplicaciones, tecnología e instalaciones; Se dividen en 18 objetivos de control. Nos concentramos en cumplir el enfoque de todos los requerimientos del usuario haciéndolo a través de un análisis claro de las oportunidades alternativas comparadas contra los requerimientos de usuario
Asegurar el mejor enfoque
para cumplir con los
requerimientosdel usuario
Objetivo de Control
6
Identificación de Soluciones
Se toma en consideración:
> Definición de requerimientos de información> Estudios de factibilidad (costos, beneficios, alternativas)> Arquitectura de la Información > Seguridad con relación al costo – beneficio > Pistas de auditoria > Contratación a terceros > Aceptación de instalaciones y tecnología.
7
Cuestionario> Porqué es impórtate que La metodología del ciclo de vida
de desarrollo de sistemas de la organización deba estipular que sean aplicados a técnicas y procedimientos?
> Que es lo que asegura la gerencia en cambios significativos a sistemas actuales?
> La metodología del ciclo de vida de desarrollo de sistemas de la organización porque debe asegurar la aplicación de un procedimiento apropiado?
> En el diseño de recopilación de datos fuentes porque es importante la especificación de mecanismos?
> Que se detalla en la definición y documentación de requerimientos de entrada de datos?
> Que se define en las interfaces externas e internas?> Para que se define y documenta los requerimientos de
procesos? > Que se detalla en los requerimientos de salida de datos?> Porque es importante la disponibilidad en el diseño?> Que tipos de pruebas se le realizan al software de
aplicación?> Que es lo que es lo que involucra los materiales de
consulta y soporte para usuarios?> Que se debe asegurar reevaluación del diseño del
sistema?
8
Adquisición y Mantenimiento de Software de Aplicación
Manifiesta que en el ciclo de vida del software se debe elaborar guías de procedimiento y llevar registros de requerimientos de usuarios para diseñar el software que cumpla con todas las especificaciones adecuadas y solicitadas.
Proporcionar funciones
automatizadas que soporten efectivamente
al negocio
Objetivo de Control
9
Adquisición y Mantenimiento de Software de Aplicación
Teniendo en consideración los siguientes pasos:
> Requerimientos de usuarios > Requerimientos de archivos de entrada, proceso y
salida.> Interface usuario – maquina > Personalización de paquetes > Pruebas funcionales > Controles de las aplicaciones y requerimientos
funcionales > Documentación
10
Cuestionario
> ¿Cuenta con un manual de diseño de software?> ¿Posee las guías o procedimientos necesarios para crear
o modificar el software? > ¿Tiene algún manual que defina mecanismos acerca de
la seguridad y control de los sistemas?> ¿Quién se encarga de realizar las especificaciones del
diseño de y cada cuanto tiempo se aprueba el diseño? > ¿Al requerir las especificaciones de mecanismo
adecuado se obtendrá toda la información? > ¿Cada que lapsos se revisan las interfaces internas y
externas?
11
Adquisición y Mantenimiento de Arquitectura de Tecnología
Las prioridades son cumplir con la efectividad, eficiencia y como aseveración a cumplir secundaria será la integridad, solo aplicaría el recurso tecnología; tiene 6 objetivos de control.
Proporcionar las plataformas
apropiadas para soportar
aplicacionesde negocios
Objetivo de Control
12
Adquisición y mantenimiento de arquitectura de Tecnología
Tomando en consideración:
> Evaluación de Nuevo Hardware y> Software> Mantenimiento Preventivo para Hardware> Seguridad del Software del Sistema> Instalación del Software del Sistema> Mantenimiento del Software del Sistema> Controles para Cambios del Software del Sistema
13
Cuestionario> ¿Existe un programa de mantenimiento preventivo para cada
dispositivo del sistema de cómputo?> ¿Se lleva a cabo tal programa?> ¿Existen tiempos de respuesta y de compostura estipulados en los
contratos?> ¿Existe plan de mantenimiento preventivo. ?> ¿Este plan es proporcionado por el proveedor?> ¿Se notifican las fallas?> ¿Se les da seguimiento?> ¿Tiene un plan logístico para dar soporte al producto software?> ¿La mantenibilidad se tiene en cuenta antes de empezar a
desarrollar?> ¿Se han adoptado medidas de seguridad en el departamento de
sistemas de información?> ¿Existe una persona responsable de la seguridad? > ¿Se ha dividido la responsabilidad para tener un mejor control de la
seguridad?> ¿Existe vigilancia en el departamento de cómputo las 24 horas? > ¿Se permite el acceso a los archivos y programas a los
programadores, analistas y operadores?
14
Desarrollo y Mantenimiento de Procedimientos Relacionados con Tecnología de Información
Como prioridad tenemos Efectividad, eficiencia y de forma secundaria a integridad, cumplimiento y confiabilidad, los recursos que incurrimos aquí son gente, aplicaciones, tecnología e instalaciones, teniendo 4 objetivos de control. Aquí nos aseguramos del uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas con un enfoque estructurado del desarrollo de manuales de procedimientos para usuarios, requerimientos de servicio y el material de entrenamiento
Asegurar el uso apropiado de las aplicaciones y de
las solucionestecnológicas establecidas
Objetivo de Control
15
Desarrollo y Mantenimiento de Procedimientos Relacionados con Tecnología de Información
Siempre tomando en consideración:
> Procedimientos y controles de usuarios> Procedimientos y controles operacionales
> Materiales de entrenamiento
16
Cuestionario
> ¿Existe un manual de procedimientos relacionados con la tecnología de la información?
> ¿Existe un manual de documentación de técnicas del sistema integrado?
> ¿Existe un control de registro formal de las modificaciones efectuadas?
> ¿Existe alguna guía de capacitación? > ¿Existe un procedimiento normalizado?> ¿Está escrito?> ¿Es el que se aplica?> ¿Cuál es el objetivo del proceso?> ¿Existe algún criterio de medición de desempeño?> El responsable ¿posee la preparación requerida?> ¿Los recursos asignados al proceso son los adecuados?
17
Instalación y acreditación de sistemas
Tenemos como prioridad la efectividad y secundarias la integridad y disponibilidad, aquí aplican todos los recursos, y se dividen en 11 objetivos de control con el fin de verificar y confirmar que la solución sea adecuada para el propósito deseado con la realización de una migración de instalación, conversión y plan de aceptación adecuadamente formalizados
Verificar y confirmar que la
solución sea adecuada para el
propósitodeseado
Objetivo de Control
18
Instalación y acreditación de sistemas
Teniendo en consideración:
> Capacitación
> Conversión / carga a datos
> Pruebas especificas
> Acreditación
> Revisiones post implementación
19
Cuestionario> ¿Qué plan de entrenamiento esta previsto ante una eventual
crisis de seguridad al momento de implementar un nuevo sistema?
> ¿Qué tipo de inconvenientes se mostrarían al momento de realizar la conversión de los elementos de su sistema?
> ¿Cuáles son los requisitos y necesidades y plan de respaldo?> ¿Cuáles son los procedimientos para asegurar que las
pruebas piloto o en paralelo sean llevadas a cabo de acuerdo con un plan preestablecido?
> ¿Cómo se calcula el que las pruebas deben cubrir todos los componentes del sistema de información por implementar?
> ¿Cuáles son los procedimientos para asegurar que la Gerencia de operaciones y la Gerencia usuaria aceptan formalmente los resultados de las pruebas?
> ¿Cómo la gerencia asegura que, antes de poner el sistema en operación, el usuario o custodio designado valide su operación como un producto completo?
> ¿Cómo se controlar la entrega del sistema de desarrollo a pruebas y a operación?
> ¿En qué consiste el manual para la evaluación de satisfacción de necesidades del usuario final?
> ¿En qué consiste la evaluación y reporte de beneficios esperados del sistema?
20
Conclusión
La adquisición de recursos dentro de la organización toma relevancia ante la implementación de mejoras a las actividades realizadas para cumplir con los objetivos y metas que se pretenden lograr, la colaboración del proceso de adquirir recursos de TI toma relevancia en el momento de realizar las gestiones con los proveedores, que va desde el control de la adquisición hasta la propia adquisición abarcando entonces la administración de los contratos y la selección de proveedores.
Los recursos de TI son manejados por
procesos deTI para lograr metas
de TI que respondan a los
requerimientos del negocio.
Este es el principio básico del marco de
trabajo COBIT