Objetivos de control para la infomación - COBIT
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Objetivos de control para la infomación - COBIT

  • 498 views
Uploaded on

Es la herramienta innovadora para el gobierno de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI.

Es la herramienta innovadora para el gobierno de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
498
On Slideshare
498
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
6
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. COBIT - Objetivos de Control para la Información y Tecnologías Afines > AUDITORIA DE SISTEMAS oCarmen Jimbo oGian Carlos Llerena oFernando Grunauer oRodrigo Beltran oCarlos Ramos oDimitri Villamar
  • 2. COBIT (Control Objectives for Information and related Technology) Objetivos de Control para la Información y Tecnologías Afines Es la herramienta innovadora para el gobierno de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI. El objetivo del proyecto es el desarrollo de políticas claras y buenas prácticas para la seguridad y el control de TI. 2
  • 3. Estructura Los procesos se definen entonces en un nivel superior como una serie de actividades o tareas conjuntas con “cortes” naturales (de control). Al nivel más alto, los procesos son agrupados de manera natural en dominios. Su agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad en una estructura organizacional, y está en línea con el ciclo administrativo o ciclo de vida aplicable a los procesos de TI. 3
  • 4. Dominio Adquisición e implementación Identificar nuevas aplicaciones o funciones se requiere un análisis antes de la compra o el desarrollo, a fin de garantizar que los requisitos del Negocio satisfacen son satisfechos efectivos y eficientemente Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. 4
  • 5. Objetivo de Control Identificación de Soluciones Asegurar el mejor enfoque para cumplir con los requerimientos del usuario > Tenemos como prioridad cumplir con la efectividad y secundariamente con la eficiencia, aquí aplicarían los recursos tales como las aplicaciones, tecnología e instalaciones; Se dividen en 18 objetivos de control. Nos concentramos en cumplir el enfoque de todos los requerimientos del usuario haciéndolo a través de un análisis claro de las oportunidades alternativas comparadas contra los requerimientos de usuario 5
  • 6. Identificación de Soluciones Se toma en consideración: > > > > > > > Definición de requerimientos de información Estudios de factibilidad (costos, beneficios, alternativas) Arquitectura de la Información Seguridad con relación al costo – beneficio Pistas de auditoria Contratación a terceros Aceptación de instalaciones y tecnología. 6
  • 7. Cuestionario > Porqué es impórtate que La metodología del ciclo de vida de desarrollo de sistemas de la organización deba estipular que sean aplicados a técnicas y procedimientos? > Que es lo que asegura la gerencia en cambios significativos a sistemas actuales? > La metodología del ciclo de vida de desarrollo de sistemas de la organización porque debe asegurar la aplicación de un procedimiento apropiado? > En el diseño de recopilación de datos fuentes porque es importante la especificación de mecanismos? > Que se detalla en la definición y documentación de requerimientos de entrada de datos? > Que se define en las interfaces externas e internas? > Para que se define y documenta los requerimientos de procesos? > Que se detalla en los requerimientos de salida de datos? > Porque es importante la disponibilidad en el diseño? > Que tipos de pruebas se le realizan al software de aplicación? > Que es lo que es lo que involucra los materiales de consulta y soporte para usuarios? > Que se debe asegurar reevaluación del diseño del 7 sistema?
  • 8. Objetivo de Control Adquisición y Mantenimiento de Software de Aplicación Proporcionar funciones Manifiesta que en el ciclo de vida del software se debe elaborar guías automatizadas de procedimiento y llevar registros de requerimientos de usuarios para que soporten diseñar el software que cumpla con todas las especificaciones adecuadas y solicitadas. efectivamente al negocio 8
  • 9. Adquisición y Mantenimiento de Software de Aplicación Teniendo en consideración los siguientes pasos: > > > > > > > Requerimientos de usuarios Requerimientos de archivos de entrada, proceso y salida. Interface usuario – maquina Personalización de paquetes Pruebas funcionales Controles de las aplicaciones y requerimientos funcionales Documentación 9
  • 10. Cuestionario > ¿Cuenta con un manual de diseño de software? > ¿Posee las guías o procedimientos necesarios para crear o modificar el software? > ¿Tiene algún manual que defina mecanismos acerca de la seguridad y control de los sistemas? > ¿Quién se encarga de realizar las especificaciones del diseño de y cada cuanto tiempo se aprueba el diseño? > ¿Al requerir las especificaciones de mecanismo adecuado se obtendrá toda la información? > ¿Cada que lapsos se revisan las interfaces internas y externas? 10
  • 11. Objetivo de Control Adquisición y Mantenimiento de Arquitectura de Tecnología Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios Las prioridades son cumplir con la efectividad, eficiencia y como aseveración a cumplir secundaria será la integridad, solo aplicaría el recurso tecnología; tiene 6 objetivos de control. 11
  • 12. Adquisición y mantenimiento de arquitectura de Tecnología Tomando en consideración: >Evaluación de Nuevo Hardware y >Software >Mantenimiento Preventivo para Hardware >Seguridad del Software del Sistema >Instalación del Software del Sistema >Mantenimiento del Software del Sistema >Controles para Cambios del Software del Sistema 12
  • 13. Cuestionario > > > > > > > > > > > > > > ¿Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de cómputo? ¿Se lleva a cabo tal programa? ¿Existen tiempos de respuesta y de compostura estipulados en los contratos? ¿Existe plan de mantenimiento preventivo. ? ¿Este plan es proporcionado por el proveedor? ¿Se notifican las fallas? ¿Se les da seguimiento? ¿Tiene un plan logístico para dar soporte al producto software? ¿La mantenibilidad se tiene en cuenta antes de empezar a desarrollar? ¿Se han adoptado medidas de seguridad en el departamento de sistemas de información? ¿Existe una persona responsable de la seguridad? ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad? ¿Existe vigilancia en el departamento de cómputo las 24 horas? ¿Se permite el acceso a los archivos y programas a los programadores, analistas y operadores? 13
  • 14. Objetivo de Control Desarrollo y Mantenimiento de Procedimientos Relacionados con Tecnología de Información Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas Como prioridad tenemos Efectividad, eficiencia y de forma secundaria a integridad, cumplimiento y confiabilidad, los recursos que incurrimos aquí son gente, aplicaciones, tecnología e instalaciones, teniendo 4 objetivos de control. Aquí nos aseguramos del uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas con un enfoque estructurado del desarrollo de manuales de procedimientos para usuarios, requerimientos de servicio y el material de entrenamiento 14
  • 15. Desarrollo y Mantenimiento de Procedimientos Relacionados con Tecnología de Información Siempre tomando en consideración: > Procedimientos y controles de usuarios > Procedimientos y controles operacionales > Materiales de entrenamiento 15
  • 16. Cuestionario > > > > > > > > > > > ¿Existe un manual de procedimientos relacionados con la tecnología de la información? ¿Existe un manual de documentación de técnicas del sistema integrado? ¿Existe un control de registro formal de las modificaciones efectuadas? ¿Existe alguna guía de capacitación? ¿Existe un procedimiento normalizado? ¿Está escrito? ¿Es el que se aplica? ¿Cuál es el objetivo del proceso? ¿Existe algún criterio de medición de desempeño? El responsable ¿posee la preparación requerida? ¿Los recursos asignados al proceso son los adecuados? 16
  • 17. Objetivo de Control Instalación y acreditación de sistemas Verificar y confirmar que la solución sea adecuada para el propósito deseado Tenemos como prioridad la efectividad y secundarias la integridad y disponibilidad, aquí aplican todos los recursos, y se dividen en 11 objetivos de control con el fin de verificar y confirmar que la solución sea adecuada para el propósito deseado con la realización de una migración de instalación, conversión y plan de aceptación adecuadamente formalizados 17
  • 18. Instalación y acreditación de sistemas Teniendo en consideración: > Capacitación > Conversión / carga a datos > Pruebas especificas > Acreditación > Revisiones post implementación 18
  • 19. Cuestionario > > > > > > > > > > ¿Qué plan de entrenamiento esta previsto ante una eventual crisis de seguridad al momento de implementar un nuevo sistema? ¿Qué tipo de inconvenientes se mostrarían al momento de realizar la conversión de los elementos de su sistema? ¿Cuáles son los requisitos y necesidades y plan de respaldo? ¿Cuáles son los procedimientos para asegurar que las pruebas piloto o en paralelo sean llevadas a cabo de acuerdo con un plan preestablecido? ¿Cómo se calcula el que las pruebas deben cubrir todos los componentes del sistema de información por implementar? ¿Cuáles son los procedimientos para asegurar que la Gerencia de operaciones y la Gerencia usuaria aceptan formalmente los resultados de las pruebas? ¿Cómo la gerencia asegura que, antes de poner el sistema en operación, el usuario o custodio designado valide su operación como un producto completo? ¿Cómo se controlar la entrega del sistema de desarrollo a pruebas y a operación? ¿En qué consiste el manual para la evaluación de satisfacción de necesidades del usuario final? ¿En qué consiste la evaluación y reporte de beneficios esperados del sistema? 19
  • 20. Conclusión Los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio. Este es el principio básico del marco de trabajo COBIT La adquisición de recursos dentro de la organización toma relevancia ante la implementación de mejoras a las actividades realizadas para cumplir con los objetivos y metas que se pretenden lograr, la colaboración del proceso de adquirir recursos de TI toma relevancia en el momento de realizar las gestiones con los proveedores, que va desde el control de la adquisición hasta la propia adquisición abarcando entonces la administración de los contratos y la selección de proveedores. 20