Auditoria de Sistemas
Trabajo Colaborativo IIndividual
PRESENTADOR POR
José Gabriel Chima Mosquera código 1.027.998.887
GRUPO
90168_65
TUTOR:
Francisco Nicolás Solarte
UNIVERSIDAD ABIERTA Y A DISTANCIA
2015
DESARROLLO DE CONSULTA DE LA COBIT
PARA QUÉ SIRVE
Independientemente de la realidad tecnológica de cada caso concreto, COBIT
determina, con el respaldo de las principales normas técnicas internacionales, un
conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la
eficiencia en TI que son necesarias para alinear TI con el negocio, identificar
riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el
cumplimiento de metas y el nivel de madurez de los procesos de la organización.
Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas
generalmente aceptadas, indicadores, procesos y las mejores prácticas para
ayudar a ellos en el maximizar las ventajas sacadas por el empleo de tecnología
de información y desarrollo de la gobernación apropiada TI y el control en una
empresa.
Proporciona ventajas a gerentes, TI usuarios, e interventores. La toma de
decisiones es más eficaz porque COBIT ayuda la dirección en la definición de un
plan de TI estratégico, la definición de la arquitectura de la información, la
adquisición del hardware necesario TI y el software para ejecutar una estrategia
TI, la aseguración del servicio continuo, y la supervisión del funcionamiento del
sistema TI. Los usuarios de TI se benefician de COBIT debido al aseguramiento
proporcionado. COBIT beneficia a interventores porque esto les ayuda a identificar
cuestiones de control de TI dentro de la infraestructura TI de una empresa. Esto
también les ayuda a corroborar sus conclusiones de auditoria.
La misión COBIT es "para investigar, desarrollar, hacer público y promover un
juego autoritario, actualizado, internacional de objetivos de control de tecnología
de información generalmente aceptados para el empleo cotidiano por directores
comerciales e interventores”. Los gerentes, interventores, y usuarios se benefician
del desarrollo de COBIT porque esto les ayuda a entender sus sistemas TI y
decidir el nivel de seguridad (valor) y control que es necesario para proteger el
activo de sus empresas por el desarrollo de un modelo de gobernación TI.
2
COBIT FAMILIA DE PRODUCTO
El paquete de programas de COBIT completo es un juego que consiste en seis
publicaciones:
1. Resumen(Sumario) Ejecutivo
2. Marco
3. Objetivos de Control
4. Directrices de auditoria
5. Instrumento de puesta en práctica
a) Resumen Ejecutivo el cual, adicionalmente a esta sección de antecedentes,
consiste en una Síntesis Ejecutiva (que proporciona a la alta gerencia
entendimiento y conciencia sobre los conceptos clave y principios de COBIT) y el
Marco Referencial (el cual proporciona a la alta gerencia un entendimiento más
detallado de los conceptos clave y principios de COBIT e identifica los cuatro
dominios de COBIT y los correspondientes 34 procesos de TI).
b) Marco Referencial que describe en detalle los 34 objetivos de control de alto
nivel e identifica los requerimientos de negocio para la información y los recursos
de TI que son impactados en forma primaria por cada objetivo de control.
c) Objetivos de Control, los cuales contienen declaraciones de los resultados
deseados o propósitos a ser alcanzados mediante la implementación de 302
objetivos de control detallados y específicos a través de los 34 procesos de TI.
d) Directrices de Auditoría, las cuales contienen los pasos de auditoría
correspondientes a cada uno de los 34 objetivos de control de TI de alto nivel para
proporcionar asistencia a los auditores de sistemas en la revisión de los procesos
de TI con respecto a los 302 objetivos detallados de control recomendados para
proporcionar a la gerencia certeza o una recomendaciones de mejoramiento.
e) Conjunto de Herramientas de Implementación, el cual proporciona lecciones
aprendidas por organizaciones que han aplicado COBIT rápida y exitosamente en
sus ambientes de trabajo.
3
Figura N° 1 pirámide de productos COBIT extraída de la fuente:
http://asin0212.blogspot.com/
COBIT y OTRAS NORMAS
Las dos normas internacionales usadas hoy son COBIT Y ISO/IEC 17799:2005.
COBIT (Objetivos de Control para la Información y la Tecnología relacionada) fue
liberado y usado principalmente por la comunidad TI. En 1998, las Directrices de
Dirección fueron añadidas, y COBIT se hizo el marco internacionalmente aceptado
para la gobernación TI y el control. ISO/IEC 17799:2005 (el Código de práctica
para la Seguridad de Información la Dirección) es también un estándar
internacional y es la mejor práctica para poner en práctica la dirección de
seguridad. Las dos normas no compiten el uno con el otro y en realidad
4
complementan el uno al otro. COBIT típicamente cubre una más amplia área
mientras ISO/IEC 17799 profundamente es enfocado (concentrado) en el área de
seguridad.
Figura N° 2 Describe la interrelación de las dos normas así como ISO/IEC 17799
puede ser integrado con COBIT. Extraído de la fuente:
http://www.monografias.com/trabajos38/cobit/cobit2.shtml
Otras publicaciones de ISACA basado en el marco de COBIT son:
Junta informativa para TI gobernanzas, 2 ª Edición
COBIT y controles de aplicación
Prácticas de Control de COBIT, 2da Edición
Guía de Aseguramiento de TI: Uso de COBIT
Implementación y continuamente mejorar la gobernanza
COBIT inicio rápido, 2 ª Edición
COBIT Baseline Security, 2 ª Edición
Los objetivos de control de la ley Sarbanes-Oxley, 2 ª Edición
Los objetivos de control para Basilea II
COBIT Guía del usuario para directores de servicios
5
COBIT (Asignaciones de la norma ISO / IEC 27002 , CMMI , ITIL , TOGAF ,
PMBOK , etc) COBIT Online
Ediciones
La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera
edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición
en diciembre de 2005, y la versión está disponible desde mayo de 2007.
COBIT 4.1
En su cuarta edición, COBIT tiene 34 objetivos de alto nivel que cubren 210
objetivos de control (específicos o detallados) clasificados en cuatro dominios:
Planificación y Organización, Adquisición e Implementación, Entrega y Soporte, y,
Supervisión y Evaluación. En inglés: Plan and Organize, Acquire and Implement,
Deliver and Support, and Monitor and Evaluate.
COBIT 5
Isaca lanzó el 10 de abril del 2012 la nueva edición de este marco de referencia.
COBIT 5 es la última edición del framework mundialmente aceptado, el cual
proporciona una visión empresarial del Gobierno de TI que tiene a la tecnología y
a la información como protagonistas en la creación de valor para las empresas.
COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de
otros importantes marcos y normas como Val IT y Risk IT, Information Technology
Infrastructure Library (ITIL) y las normas ISO relacionadas.
Beneficios
COBIT 5 ayuda a empresas de todos los tamaños a:
6
Mantener información de alta calidad para apoyar las decisiones de
negocios
Alcanzar los objetivos estratégicos y obtener los beneficios de negocio a
través del uso efectivo e innovador de las TI
Lograr la excelencia operativa a través de una aplicación fiable y eficiente
de la tecnología
Mantener los riesgos relacionados a TI bajo un nivel aceptable
Optimizar los servicios el coste de las TI y la tecnología
Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y
las políticas
COBIT para la seguridad de la información
En el mes de junio del 2012, ISACA lanzó "COBIT 5 para la seguridad de la
información", actualizando la última versión de su marco a fin de proporcionar una
guía práctica en la seguridad de la empresa, en todos sus niveles.
“COBIT 5 para seguridad de la información puede ayudar a las empresas a reducir
sus perfiles de riesgo a través de la adecuada administración de la seguridad. La
información específica y las tecnologías relacionadas son cada vez más
esenciales para las organizaciones, pero la seguridad de la información es
esencial para la confianza de los accionistas”
Val IT
Recientemente, ISACA ha publicado Val IT, que relaciona los procesos de COBIT
con los procesos de la gerencia mayor requeridos para conseguir un buen valor
de las inversiones en tecnologías de la información.
COBIT 5 una nueva versión del ya conocido estándar para el cumplimiento de
objetivos de control para el CIO y su área. Esta versión, profundamente revisada y
mejorada, provee un marco de referencia integral que contribuye en la
organización al logro de los objetivos y entrega de valor a través de un efectivo
7
gobierno y gestión de la TI empresarial. A partir de su participación en la crítica
objetiva en los borradores preliminares del modelo, en este artículo, Sergio
Sperat, socio de Estratega y profesional certificado en el gobierno de TI
empresarial (CGEIT), responde las preguntas que el CIO se hace al acercarse a
este nuevo estándar para ayudarle a descubrir cómo le puede ayudar a mejorar su
gestión.
¿Cuál es el propósito de COBIT?
COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de
TI manteniendo un balance entre la realización de beneficios, la utilización de
recursos y los niveles de riesgo asumidos. COBIT 5 posibilita que TI sea
gobernada y gestionada en forma holística para toda la organización, tomando en
consideración el negocio y áreas funcionales de punta a punta así como los
interesados internos y externos. COBIT 5 se puede aplicar a organizaciones de
todos los tamaños, tanto en el sector privado, público o entidades sin fines de
lucro.
¿Quién utiliza COBIT?
COBIT es empleado en todo el mundo por quienes tienen como responsabilidad
primaria los procesos de negocio y la tecnología, aquellos de quien depende la
tecnología y la información confiable, y los que proveen calidad, confiabilidad y
control de TI.
¿Qué ocurrió con los objetivos de control en COBIT 5?
Al basarse en 5 principios y 7 habilitadores, COBIT 5 utiliza prácticas de gobierno
y gestión para describir las acciones que son ejemplo de mejores prácticas de su
aplicación. COBIT 5 ha cambiado su enfoque de objetivos de control a una visión
por proceso, descripta en detalle por uno de los principales redactores del nuevo
estándar, Erik Guidentops, en su artículo “Where Have All The Control Objectives
Gone?”
8
¿Cuáles son los 5 principios de COBIT 5?
1. Satisfacer las necesidades del accionista
2. Considerar la empresa de punta a punta
3. Aplicar un único modelo de referencia integrado
4. Posibilitar un enfoque holístico
5. Separar gobierno de la gestión.
¿Cuáles son los 7 habilitadores de COBIT 5?
1. Principios, políticas y modelos de referencia
2. Procesos
3. Estructuras organizacionales
4. Cultura, ética y comportamiento
5. Información
6. Servicios, infraestructura y aplicaciones
7. Gente, habilidades y competencias.
¿Qué hay de la separación entre Gobierno y Gestión?
El gobierno asegura que los objetivos empresariales se logran evaluando las
necesidades de los accionistas, las condiciones y opciones; establecer la
dirección a través de la priorización y la toma de decisiones; y monitorear el
desempeño, el cumplimiento y el progreso versus la dirección y objetivos
acordados (EDM, por Evaluar, Dirigir, Monitorear).
Por su parte la gestión se ocupa de planificar, construir, ejecutar y monitorear las
actividades alineadas con la dirección establecida por el organismo de gobierno
para el logro de los objetivos empresariales (PBRM ó Planificar, Construir,
Ejecutar y Monitorear, por su sigla en inglés).
La siguiente imagen sintetiza muy bien estos dos conceptos, muchas veces
confundidos:
9
Figura N° 3 Necesidades del negocio, extraida de la fuente:
http://francoitgrc.wordpress.com/2012/06/07/it-grc-segun-cobit-5-parte-1-it-
governance/
¿Es COBIT 5 un modelo superior a otros modelos de control aceptados?
La mayoría de los ejecutivos conocen la importancia de los marcos generales de
control en relación con la responsabilidad fiduciaria, tales como COSO, Cadbury,
CoCo, Sarbanes-Oxley. Sin embargo, no necesariamente son conscientes del
nivel de detalle de cada uno. Por otro lado, los ejecutivos cada vez más conocen
la importancia de guías técnicas como ITIL (para la gestión de servicios de TI) e
ISO 27001 (para seguridad de información).
Si bien estos estándares y modelos enfatizan el control del negocio y la seguridad
y servicio de TI, COBIT es el único que se ocupa de los controles específicos de
TI desde la perspectiva del negocio. De hecho, COBIT 5 se basa en ISO/IEC
15504 e ITIL. No se pretende que COBIT reemplace estos modelos de control,
10
sino lo que se destacan son los elementos de gobierno y gestión y las prácticas
necesarias para crear valor para la compañía.
¿Cuál es la forma más rápida y efectiva de presentar COBIT a los ejecutivos?
La cultura empresarial es de vital importancia. Una cultura proactiva será más
receptiva que una que no lo es. Sin embargo, hay que considerar el énfasis que
COBIT hace en la creación de valor para el accionista por estar guiado por los
objetivos del negocio, la alineación con estándares internacionales reconocidos y
su simplicidad. Las áreas de gobierno y gestión emanan de tan sólo 5 principios y
7 habilitadores.
Al establecer la lista de requerimientos, COBIT combina los principios contenidos
en los modelos referenciales existentes y conocidos:
a) Requerimientos de Calidad: Calidad, Costo y Entrega (de servicio).
b) Requerimientos fudiciarios Coso: Efectividad & eficiencia de
operaciones, Confiabilidad de la información y Cumplimiento de las
leyes & regulaciones.
c) Requerimientos de Seguridad: Confidencialidad, Integridad,
Disponibilidad
La Calidad ha sido considerada principalmente por su aspecto ‘negativo’ (no
fallas, confiable, etc.), lo cual también se encuentra contenido en gran medida en
los criterios de Integridad. Los aspectos positivos pero menos tangibles de la
calidad (estilo, atractivo, “ver y sentir14”, desempeño más allá de las expectativas,
etc.) no fueron, por un tiempo, considerados desde un punto de vista de Objetivos
de Control de TI. A continuación se muestran las definiciones de trabajo de
COBIT:
a) Efectividad: Se refiere a que la información relevante sea pertinente para
el proceso del negocio, así como a que su entrega sea oportuna, correcta,
consistente y de manera utilizable.
11
b) Eficiencia: Se refiere a la provisión de información a través de la utilización
óptima (más productiva y económica) de recursos.
c) Confidencialidad: Se refiere a la protección de información sensible contra
divulgación no autorizada.
d) Integridad: Se refiere a la precisión y suficiencia de la información, así
como a su validez de acuerdo con los valores y expectativas del negocio.
e) Disponibilidad: Se refiere a la disponibilidad de la información cuando ésta
es requerida por el proceso de negocio ahora y en el futuro. También se
refiere a la salvaguarda de los recursos necesarios y capacidades
asociadas.
f) Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones
y acuerdos contractuales a los que el proceso de negocios está sujeto, por
ejemplo, criterios de negocio impuestos externamente.
g) Confiabilidad de la Información: Se refiere a la provisión de información
apropiada para la administración con el fin de operar la entidad y para
ejercer sus responsabilidades de reportes financieros y de cumplimiento.
Los recursos de TI identificados en COBIT pueden explicarse/definirse como
se muestra a continuación:
a) Datos: Los elementos de datos en su más amplio sentido, (por ejemplo,
externos e internos), estructurados y no estructurados, gráficos, sonido, etc.
b) Aplicaciones: Se entiende como sistemas de aplicación la suma de
procedimientos manuales y programados.
c) Tecnología: La tecnología cubre hardware, software, sistemas operativos,
sistemas de administración de bases de datos, redes, multimedia, etc.
d) Instalaciones: Recursos para alojar y dar soporte a los sistemas de
información.
e) Personal: Habilidades del personal, conocimiento, conciencia y
productividad para planear, organizar, adquirir, entregar, soportar y
monitorear servicios y sistemas de información
12
Dominios de Cobit
Las definiciones para los dominios mencionados son las siguientes:
a) Planeación y Organización: Este dominio cubre la estrategia y las tácticas
y se refiere a la identificación de la forma en que la tecnología de
información puede contribuir de la mejor manera al logro de los objetivos
del negocio. Además, la consecución de la visión estratégica necesita ser
planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, deberán establecerse una organización y una infraestructura
tecnológica apropiadas.
b) Adquisición e Implementación: Para llevar a cabo la estrategia de TI, las
soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así
como implementadas e integradas dentro del proceso del negocio.
Además, este dominio cubre los cambios y el mantenimiento realizados a
sistemas existentes.
c) Entrega y Soporte: En este dominio se hace referencia a la entrega de los
servicios requeridos, que abarca desde las operaciones tradicionales hasta
el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el
fin de proveer servicios, deberán establecerse los procesos de soporte
necesarios. Este dominio incluye el procesamiento de los datos por
sistemas de aplicación, frecuentemente clasificados como controles de
aplicación.
d) Monitoreo: Todos los procesos necesitan ser evaluados regularmente a
través del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control. En resumen, los Recursos de TI necesitan ser
administrados por un conjunto de procesos agrupados en forma natural,
con el fin de proporcionar la información que la empresa necesita para
alcanzar sus objetivos.
13
En la figura No. 4 se muestra la interacción de estos ítems.
Acerca del autor de este artículo
Sergio Sperat es socio de Estratega y tiene una trayectoria de más de 20 años
como consultor en estrategia de áreas de TI y negocios, desarrollada en una
amplia variedad de industrias en Argentina, Chile, México y Estados Unidos. Es
Licenciado en Análisis de Sistemas de la Facultad de Ingeniería de la Universidad
de Buenos Aires, hizo su Programa de Dirección de Empresas en el IAE Business
School en 1995, completó su Maestría en Administración de Empresas en IDEA y
London Business School, en Inglaterra en 2001. Fue profesor adjunto del
postgrado del Master en Administración de Empresas de IDEA.
Sergio está certificado en COBIT y CGEIT (ISACA) y se desempeña como
responsable de Aseguramiento de Calidad y Dirección de Proyectos de Estratega.
Sergio está certificado como consultor Blue Ocean Strategy Practitioner por el
Blue Ocean Strategy Institute (Reino Unido).
14
15
Figura No. 4: Procesos de It de Cobit definidos dentro de los cuatro dominios
REFERENCIAS BIBLIOGRAFICAS
http://www.buenastareas.com/ensayos/El-Cobit/129027.html.
http://msaffirio.wordpress.com/2007/03/03/la-cobit-y-la-organizacion-del-
area-informatica/.
http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci
%C3%B3n_y_tecnolog%C3%ADas_relacionadas.
Comité Directivo de Cobit: COBIT Directrices de Auditoria; abril 1998, 2da
edición.
16