Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
San Isidro, 10 Junio 2009
CONTROL INTERNO EN TECNOLOGÍAS DE
INFORMACIÓN - COBIT II
Elaborado: Oficina de Riesgos y Desarrollo
2
COBIT (Control Objectives for Information andRelated Technology) es un compendio deObjetivos de Control para la Tecnología deInformación que incluye herramientas quepermiten a la administración cubrir la brechaentre los requerimientos de control, la tecnologíay los riesgos de negocio.
¿QUE ES COBIT ?
3
EL MODELO DEL MARCO DE TRABAJO DE COBIT
OBJETIVOS DE NEGOCIO
Ap
licac
ion
es
Info
rmac
ión
Infr
aest
ruct
ura
Gen
te
Criterios deInformación
Recursos de TI
Procesosde TI
Objetivos de Control de Alto
Nivel
Indicadores clave
de Objetivos
Indicadores clavede Rendiemiento
Resultados de Negocio
Drivers de Gobernabilidad
Procesos de TI
Objetivos de TI
El marco de trabajo COBIT,relaciona los requerimientosde información y degobierno a los objetivos dela función de servicio de TI.El modelo de procesosCOBIT permite que lasactividades de TI y losrecursos que los soportansean administrados ycontrolados basados en losobjetivos de control deCOBIT, y alineados ymonitoreados usando lasmétricas KGI y KPI deCOBIT
Administración, Control, Alineación y Monitoreo de Cobit.
4
Dominios
Procesos
ActividadesPe
rson
as
Apl
icac
ione
s
Infr
aest
ruct
ura
Dominios
Procesos
Actividades
Info
rmac
ión
Criterios de Información
ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL
5
COBITRepresentatividad
ISACA - 95 países 20.000 miembros
Investigación: E.U-Europa-Australia-Japón
Consolidación y armonización 18 estándares
CONCEPTO BÁSICOS
COSO (Committe Of Sponsoring Org. of the Treadway Commission) OECD (Organizarion for Economic Cooperation and Development) ISO 9003 (International Standars Organization) NIST (National Institute of Standars and Technology) DTI (Departament of Trade and Industry of the U.K´) ITSEC (Information Technology Security Evaluation Criteria - Europa) TCSEC (Trusted Computer Evaluación Criteria - Orange Book- E.U) IIA SAC (Institute of Internal Auditors - Systems Auditability and Control) IS Auditing Standars Japón
6
Para satisfacer los objetivos del negocio la informacióndebe cumplir con criterios que COBIT extrae de los másreconocidos modelos:
Requerimientos de calidad
(ISO 9000-3)
CalidadCostoEntrega
CONCEPTO BÁSICOS
Requerimientos fiduciarios(informe COSO)
Eficacia y eficiencia Confiabilidad de la información Cumplimiento con leyes y reglamentaciones
Requerimientos deseguridad
(libro rojo, naranja,ISO 17799 y otros)
Disponibilidad Integridad Confidencialidad
7
¿POR QUÉ COBIT?
La Tecnología se ve como uncosto, no hay una terminologíacomún con el negocio, y serecorta el presupuesto en laseguridad, ya que la falta dedifusion de normas y buenasprácticas que ayuden a generarconciencia de los riesgosmantiene la quimera del :
“ A mi no me va pasar..”
8
La Dirección, a través de suGobierno Corporativo debegarantizar la debida diligencia porparte de todos los individuosinvolucrados en la administración,uso, diseño, desarrollo,mantenimiento u operación de lossistemas de información.
Gobierno de Tecnología de InformaciónEl rol de la Dirección
¿POR QUÉ COBIT?
9
A fin, de proveer la informaciónque la organización requiere paralograr sus objetivos, los recursosde IT deben ser administrados porun conjunto de procesos,agrupados de forma adecuada ynormalmente aceptada.
REGLA DE ORO DEL COBIT
10
Proveer un marco único reconocido a nivelmundial de las “mejores prácticas” de control yseguridad de TI
Consolidar y armonizar estándares originados endiferentes países desarrollados.
Enlaza los objetivos y estrategias del negocio conla estructura de control de la TI, como factorcrítico de éxito
Aplica a todo tipo de organizacionesindependiente de sus plataformas de TI
Ratifica la importancia de la información, comouno de los recursos más valiosos de todaorganización exitosa
OBJETIVOS Y BENEFICIOS DE COBIT
11
¿A QUIÉN ESTA DIRIGIDO EL COBIT?
Las Gerencias y Oficinas parasaber que deben exigir, comomedir los resultados y cuales sonsus responsabilidades en esos
temas.Balancear el riesgo y la inversiónen control de un ambiente amenudo impredecible.
La Auditoría para sustentar susopiniones sobre los riesgos y laadecuación de la tecnología a lasmejores prácticas. Ser asesoresproactivos del negocio
12
¿A QUIÉN ESTA DIRIGIDO EL COBIT?
El Area usuaria para saber quepuede pedir a tecnología y que sele va a exigir sobre el control delos procesos del negocio.Son los interesados en saber silos recursos de Tecnología deInformación se utilizanadecuadamente y les ayudan aalcanzar sus objetivos
El Jefe de Informática para definirun acuerdo de servicios yjustificar su inversión
13
ORIENTACION DEL COBIT
Su orientación hacia el negocioconsiste en vincular objetivos denegocio con objetivos de TI,facilitar métricas y modelos demadurez para medir su éxito, eidentificar las responsabilidadesasociadas del negocio y lospropietarios de los procesos deTI.
“Enfocado en el negocio,orientado a proceso, basado encontroles y dirigido pormedidas.”
14
Los 7 retos:
Qué no se interrumpa el servicio
Qué aporte valorAdministrar los costosDominar la complejidadAlineación con el NegocioCumplimiento de
RegulacionesSeguridad.
NECESIDAD DE RESPUESTA A LOS RETOS DE TI
15
Principios, participantes, ámbito, ventajas …
Los 4 principios:
BUEN GOBIERNO DE TI
Dirigir y controlarCon responsabilidadCon imputabilidadMediante actividades
(Procesos)
16
NECESIDAD DE RESPUESTA A LOS RETOS DE TI
Principios, participantes, ámbito, ventajas …
Los participantes (grupo de interés):
InternosExternos
17
BUEN GOBIERNO DE TI
Principios, participantes, ámbito, ventajas …
Las 5 áreas:
Alineación estratégicaAportación de ValorGestión de RiesgosGestión de RecursosMedidas de rendimiento
18
BUEN GOBIERNO DE TI
Principios, participantes, ámbito, ventajas …
Las 5 ventajas:
Confianza de la Alta Dirección
TI es co-responsable al negocio
Retorno de Inversión Superior
Servicios más confiablesMayor transparencia
19
MARCO DE BUEN GOBIERNO Y DE TI
Las 5 características de un buen marco:
Enfocado al NegocioOrientado a ProcesosGeneralmente aceptadoUtilice un lenguaje comúnCumpla con los requisitos
regulatorios
20
APLICABILIDAD EN LA CPMP ORIENTADO AL SCI
Establecer Objetivos de Control a través de acciones,políticas y procedimientos, para alcanzar objetivos eintentar que incidentes no deseados sean prevenidos,detectados y corregidos sobre la tecnología deinformación.
Es parte de la implementación del Sistema de ControlInterno:
Componente de Control gerencia 3.10 Tecnologíade Información y comunicaciones
Componente de Información y Comunicaciones.
MUCHAS GRACIAS