Mg. Sc.

Miguel Cotaña Mier

OCTUBRE 2007
LA PAZ - BOLIVIA 1
Estándar de Controles y Auditoría
de Tecnología Informática

2
Misión: Soportar los objetivos empresariales
mediante el desarrollo, promoción y entrega de
investigaciones, estándares, competencias y
prácticas para un efectivo gobierno, control y
evaluación de los sistemas de información y la
tecnología relacionada

Information Information
Systems Audit and Systems Audit and
Control Control
Association Foundation
(ISACATM) (ISACFTM)
Es el resultado de uno de los mayores
proyectos de investigacion completa-
do y publicado por la Organización
Mundial de Auditores de Sistemas de
Informacion (ISACF).

Es aplicable a un amplio rango de SI

que van desde el nivel de PC, Mainfra-
mes e instalaciones Cliente-Servidor.

4
 COBIT Integra y concilia normas y
reglamentaciones existentes como:
 ISO (9000-3)
 Códigos de Conducta del Consejo Europeo
 COSO, IFAC, IIA, ISACA, AICPA y Otras
 Incluye el contenido de los Objetivos de Control
emitidos por ISACA (EDPAA)
 Se publica Cobit 1 en Septiembre de 1996
 Se publica Cobit 2 en Abril de 1998
 Se publicó Cobit 3 en Marzo de 2000
 Se publicó Cobit 4 en Diciembre de 2005
 Se publicó Cobit 4.1 en Mayo de 2007
 Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas)
 Objetivos
 Es una guia para la gerencia en la toma
de decisiones sobre riesgos y controles.
 Ayuda al usuario de tecnologia a obtener
seguridad y control sobre los productos y
servicios que adquiere.
 Provee a la A.S.I., una herramienta
fundamental para evaluar controles
internos y gerenciales, y los minimos
requerimientos de control compatibles
con el necesario balance Costo-Beneficio
de la organización. 7
 ¿Qué es Cobit?
 Modelo para implantar Gobierno de TI
 Es un estándar abierto y de amplia
difusión.
 Consta de 34 procesos y 220 objetivos
de Control.
 Es 100% compatible con ISO 17799,
COSO I y II, y con otros estándares de
menor nivel de abstracción.
 Cobit fija el Qué y los estánderes de
apoyo el Cómo en materia de
implantación de Gobierno de TI.
8
La necesidad del aseguramiento del
valor de TI, la administración de los
riesgos asociados a TI, así como el
incremento de requerimientos para
controlar la información, se entienden
ahora como elementos clave del
gobierno de la empresa. El valor, el
riesgo y el control constituyen la
esencia del gobierno de TI. 9
El gobierno de TI es responsabilidad
de los ejecutivos, del consejo de
directores y consta de liderazgo,
estructuras y procesos
organizacionales que garantizan que
la TI de la empresa sostiene y
extiende las estrategias y objetivos
organizacionales.
10
Cobit, brinda buenas práctica a través
de un marco de trabajo de dominios y
procesos, y presenta las actividades
en una estructura manejable y lógica.
Las buenas prácticas de Cobit
representan el consenso de los
expertos. Están enfocados
fuertemente en el control y menos en
la ejecución 11
Preguntas frecuentes !!!

12
Gobierno de TI

IT Governance. Es un término
que representa el sistema que
establece la alta gerencia para
asegurar el logro de los
objetivos de una organización.

13
 Cobit como soporte

 TI está alineado con el negocio

 TI capacita el negocio y maximiza
los beneficios
 Los recursos de TI se usen de
manera responsable
 Los riesgos de TI se administren
apropiadamente
14
Áreas de enfoque del Gobierno de TI
 Alineamiento estratégico: Su
enfoque está dirigido a la relación
entre el Negocio y el Plan de TI; a la
propuesta de valor que debe entregar
su definición, a la mantención y
validación.
 Valor Agregado: Es el ciclo que
Gobierno
de TI
permite asegurar la entrega del valor
propuesto, asegurando que la TI
Administración
proporcionará los beneficios
de Recursos
prometidos en la estrategia
 Administración de Recursos: Se
trata de invertir en forma óptima y
apropiada, la administración de los
recursos críticos en TI: Aplicaciones,
Información, Infraestructura y las
Personas.
Áreas de enfoque del Gobierno de TI
 Administración del Riesgo: El
administrador debe tener
consciencia del riesgo empresarial,
un claro entendimiento del apetito
de la empresa por el riesgo,
transparencia sobre el significado
de los riesgos empresariales, y
que debe incorporar la
Gobierno
de TI

responsabilidad de los riesgos

Administración
de Recursos
empresariales en la administración
de la organización.
 Medición de Resultados: rastrea
y monitorea la estrategia de
implementación, la terminación
del proyecto, el uso de los
recursos.
 Productos
Los productos se han organizado en
tres niveles (figura 3) diseñados para
dar soporte a:
 Administración y consejos
ejecutivos
 Administración del negocio y de TI

 Profesionales en gobierno,
aseguramiento, control y
seguridad 18
 Marco de trabajo
Se basa en el principio de
proporcionar la información que la
empresa requiere para lograr sus
objetivos, la empresa necesita
administrar y controlar los recursos
de TI, usando un conjunto
estructurado de procesos que
ofrezcan los servicios requeridos de
información.
21
Marco Cobit
REQUERIMIENTOS
DE NEGOCIO

CRITERIOS DE
INFORMACIÓN
PROCESOS DE
• efectividad
TI • eficiencia
• confidencialidad
• integridad
• disponibilidad
• cumplimiento
• confiabilidad
RECURSOS DE TI
•
•
•
•
?
aplicaciones
información
infraestructura
personal
22
 Controles
Los procesos requieren controles.
Control se define como las políticas,
procedimientos, prácticas y estructuras
organizacionales diseñadas para brindar una
seguridad razonable que los objetivos del
negocio se alcanzarán, y los eventos no
deseados serán prevenidos o detectados y
corregidos.
25
 Objetivo de Control

Es una declaración del resultado o fin

que se desea lograr al implantar
procedimientos de control en una
actividad de TI en particular.
Los objetivos de control de Cobit son los
requerimientos mínimos para un control
efectivo de cada proceso de TI.
26
 IMCM

Una necesidad básica de toda empresa

es entender el estado de sus propios
sistemas de TI y decidir qué nivel de
administración y control debe
proporcionar la empresa.
Qué se debe medir y cómo?
28
Una organización debe crear un modelo
de proceso que se ajuste a las
directrices establecidas por la
integración del modelo de capacidad de
madurez (IMCM)

29
 Marco de Trabajo
Las metas se definen de arriba hacia
abajo con base en las metas de negocio
que determinarán el número de metas
que soportará TI, las metas de TI
decidirán las diferentes necesidades de
las metas de proceso, y cada meta,
establecerá las metas de las actividades.
34
 Procesos de TIC
- Los Tres Niveles
Agrupación Natural de procesos,
Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
unidas con delimitación o cortes de
control.

Actividades
Acciones requeridas para lograr un
o tareas resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.

35
El marco de trabajo se creó para
satisfacer las necesidades de
gobernabilidad de TI. Está orientado a:
 Negocios
 Procesos
 Basado en controles
 Impulsado por mediciones 36
 Orientado al negocio

Está diseñado para ser utilizado no solo

por proveedores de servicios, usuarios y
auditores de TI, sino también y
principalmente, como guía integral para
la gerencia y para los propietarios de los
procesos de negocio.
37
 Procesos orientados
Cobit define las actividades de TI en un
modelo genérico de procesos en 4
dominios:
 Planear y Organizar
 Adquirir e Implementar
 Entregar y dar Soporte
 Monitorear y Evaluar 38
 Planear y Organizar (PO)
Cubre las estrategias y las tácticas, y
tiene que ver con identificar la manera
en que TI pueda contribuir de la mejor
manera al logro de los objetivos del
negocio.
¿Están alineadas las estrategias de
TI y del negocio?
39
 ¿La empresa está alcanzando un uso
óptimo de los recursos?
¿Entienden todas las personas, los
objetivos de TI?
¿Se entienden y administran los riesgos
de TI?
¿Es apropiada la calidad de los sistemas
de TI para las necesidades del
negocio? 40
 Adquirir e Implementar (AI)
Las soluciones de TI necesitan ser
identificadas, desarrolladas o adquiridas
así como la implementación e
integración en los procesos.
¿Los nuevos proyectos generan
soluciones que satisfagan las
necesidades del negocio?
41
¿Los nuevos proyectos son entregados
a tiempo y dentro del presupuesto?
¿Trabajarán adecuadamente los
nuevos sistemas una vez sean
implementados?
¿Los cambios afectarán las operaciones
actuales del negocio?
42
 Entregar y dar Soporte (DS)
Cubre la entrega en sí de los servicios
requeridos, lo que incluye la prestación
del servicio, la administración de la
seguridad y de la continuidad, el soporte
del servicio a los usuarios, la
administración de los datos.
¿Se están entregando los servicios
de TI de acuerdo a prioridades? 43
 ¿Están optimizados los costos de TI?
¿Es capaz la fuerza de trabajo de
utilizar los sistemas de TI de manera
productiva y segura?
¿Están implantadas de forma adecuada
la confidencialidad, la integridad y la
disponibilidad?
44
 Monitorear y Evaluar (ME)
Todos los procesos de TI deben evaluarse de
forma regular en el tiempo en cuanto a su
calidad y cumplimiento de los requerimientos
de control. Abarca la administración del
desempeño, el monitoreo del control interno,
cumplimiento regulatorio.
¿Se mide el desempeño de TI para
detectar los problemas antes de que
sea demasiado tarde? 45
¿La gerencia garantiza que los controles
internos son efectivos y eficientes?
¿Puede vincularse el desempeño de lo
que TI ha realizado con las metas del
negocio?
¿Se miden y reportan los riesgos, el
control, el cumplimiento y el
desempeño? 46
 Modelo de Marco de Trabajo
Relaciona los requerimientos de
información y de gobierno a los
objetivos de la función de servicio de TI.
El modelo de procesos Cobit permite
que las actividades de TI y los recursos
que los soportan sean administrados y
controlados basados en los objetivos de
control. 47
48
Los recursos de TI son manejados por
procesos de TI para lograr las metas
de TI que respondan a los
requerimientos del negocio.
Este es el principio básico del marco
de trabajo Cobit
49
 PROCESOS DE TI

DOMINIOS
fi

PROCESOS
ca

ACTIVIDADES
ci
Ef a
ic
ie
n c
C ia
on
fi
de
a n
In d cia
te lid
gr
id
D

ad
is
pon
i b

C
i li

on
d

f
NEGOCIO

or
ad

m
i

S
d

APLICACIONES
Figura 15 – El Cubo Cobit

eg

R
ad

E
ri
REQUERIMIENTOS DE

C
d

U INFORMACION
R
ad

S
O
S INFRAESTRUCTURA
D
E
T PERSONAS
I
50
En detalle, el marco de trabajo general
Cobit se muestra en el siguiente gráfico,
con el modelo de procesos de Cobit
compuesto de 4 dominios que contienen
34 procesos genéricos, administrando los
recursos de TI para proporcionar
información al negocio de acuerdo con los
requerimientos del negocio y del gobierno.
51
 Objetivos del PO1 Definir un plan estratégico de TI
PO2 Definir la arquitectura de información
Negocio PO3 Determinar la dirección tecnológica
PO4 Definir procesos, organización y relac.
PO5 Administrar la inversión en TI
ME1 Monitorear y evaluar el desempeño Objetivos del gobierno
PO6 Comunicar aspiraciones y la direc.ger.
ME2 Monitorear y evaluar el control Interno
PO7 Administración del Recurso Humano
ME3 Garantizar cumplimiimiento regulatorio
ME4 Proporcionar gobierno de TI CobiT PO8 Administrar calidad
PO9 Evaluar y administrar Riesgos
PO10 Administración de Proyectos

Req. Información
Efectividad, Eficiencia,
Monitorear Confidencialidad, Integridad,
Disponibilidad, Planear y
Y evaluar Cumplimiento, Confiabilidad Organizar

Recursos de TI
Aplicaciones
DS1 Definir y administrar niveles de servicio
DS2 Administrar servicios de terceros Información, Adquirir e
DS3 Adm. Desempeño y capacidad Infraestructura,Personas Implantar
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de serv. e incidentes
DS9 Administrar la configuración Servicios y AI1 Identificar soluciones automatizadas
DS10 Administrar los problemas
DS11 Administración de datos
Soporte AI2 Adquirir y mantener el Sw aplicativo
AI3 Adquirir y mantener la infraestructura tecnológica
DS12 Administrar el ambiente físico AI4 Facilitar la operación y el uso
DS13 Administrar las Operaciones AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
52
 Requerimientos de
Información del Negocio

 Efectividad: La información debe ser relevante y pertinente

para los procesos del negocio y debe ser proporcionada en
forma oportuna, correcta, consistente y utilizable
 Eficiencia: Se debe proveer información mediante el
empleo óptimo de los recursos (la forma más productiva y
económica)
 Confidencialidad: Protección de la información sensitiva
contra divulgación no autorizada
 Integridad: Refiere a lo exacto y completo de la
información así como a su validez de acuerdo con las
expectativas de la empresa. 53
 Disponibilidad: accesibilidad a la información cuando
sea requerida por los procesos del negocio y la
salvaguarda de los recursos y capacidades asociadas a
los mismos.
 Cumplimiento: de las leyes, regulaciones y compromisos
contractuales con los cuales está comprometida la
empresa.
 Confiabilidad: proveer la información apropiada para que
la administración tome las decisiones adecuadas para
manejar la empresa y cumplir con las responsabilidades
de los reportes financieros y de cumplimiento normativo.
54
 Recursos de TIC
 Aplicaciones: entendido como los sistemas de información,
que integran procedimientos manuales y sistematizados.
 Información: Todos los objetos de información. Considera
información interna y externa, estructurada o nó, gráficas,
sonidos, etc.
 Infraestructura:Incluye los recursos necesarios para alojar y
dar soporte a los sistemas de información. incluye hardware y
software básico, sistemas operativos, sistemas de
administración de bases de datos, de redes,
telecomunicaciones, multimedia, etc.
 Personas: Por la habilidad, conciencia y productividad del
personal para planear, adquirir, prestar servicios, dar soporte y
monitorear los sistemas de Información. 55
 Procesos de TIC
- Procesos
Planear y PO1 Definir un plan estratégico de TI
Organizar PO2 Definir la arquitectura de información
PO3 Determinar la dirección tecnológica
PO4 Definir procesos, organización y relac.
PO5 Administrar la inversión en TI
PO6 Comunicar aspiraciones y la direc.ger.
PO7 Administración del Recurso Humano
PO8 Administrar calidad
PO9 Evaluar y administrar Riesgos
PO10 Administración de Proyectos

Adquirir e AI1 Identificar soluciones automatizadas

Implantar AI2 Adquirir y mantener el Sw aplicativo
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
56
 Procesos de TIC
- Procesos
Servicios y DS1 Definir y administrar niveles de servicio
Soporte DS2 Administrar servicios de terceros
DS3 Adm. Desempeño y capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de serv. e incidentes
DS9 Administrar la configuración
DS10 Administrar los problemas
DS11 Administración de datos
DS12 Administrar el ambiente físico
Monitorear DS13 Administrar las Operaciones
y Evaluar
ME1 Monitorear y evaluar el desempeño
ME2 Monitorear y evaluar el control Interno
ME3 Garantizar cumplimimiento regulatorio
ME4 Proporcionar gobierno de TI
57
Nivel de aceptabilidad

Cobit se basa en el análisis y

armonización de estándares y
mejores práctica de TI
existentes y se adapta a
principios de gobierno
generalmente aceptados.
58
Está posicionado a un nivel alto,
impulsado por los requerimientos del
negocio, cubre el rango completo de
actividades de TI, y se concentra en
lo que se debe lograr en lugar de
cómo lograr un gobierno,
administración y control efectivos.
59
Funciona como un integrador de
prácticas de gobierno de TI y es de
interés para la dirección ejecutiva; para
la gerencia del negocio; para la gerencia
y gobierno de TI; para los profesionales
de aseguramiento y seguridad; así como
para los profesionales de auditoria y
control de TI. 60
Navegar: marco de trabajo

Para cada uno de los procesos

de TI de Cobit, se proporciona
un objetivo de control de alto
nivel, junto con las metas y
métricas clave en forma de
cascada.
61
 Planificación
y Organización

Modelo de Navegación CobiT

Adquisición e
Implementación

Entrega y
Control sobre el Proceso de TI Soporte
Nombre del Proceso

Evaluación y
Que satisface el requerimiento de negocios de TI para Monitoreo
Resumen de las metas de negocio más importantes

Focalizándose en
Resumen de las metas de TI más importantes

Es conseguido por
Control claves

Gobierno
de TI
Y medido por
Indicadores claves (Métrica)
Administración
de Recursos

P=Primario; S=Secundario 62