Resumen Cobit 40 vs Siboif-500-1-Sep19-2007 - (Sally Simmons)

RESUMEN COBIT 4.O vs. NORMA SOBRE GESTION DE RIESGO TECNOLOGICO [CD-SIBOIF-500-1-SEP19-2007] [Un resumen ejecutivo sobre el contenido de la Norma sobre Gestión de Riesgo Tecnológico (CD-SIBOIF-500-1-SEP19-2007) que la Superintendencia de Bancos de Nicaragua a través del Consejo Directivo SIBOIF emite como política de control de IT en comparación con el estándar y mejor practica definido dentro del Objetivos de control para información y tecnología relacionada (COBIT versión 4.0) .]

Autor: Sally Simmons Slate Fecha: 17 de Abril del 2009

AI: RESUMEN COBIT 4.0 vs SIBOIF-500-1-SEP19-2007 Pág: 2 / 17

AUDITORIA INFORMATICA PMC – UNAN M ANAGUA ALUMNA: Sally Simmons Slate MAESTRA: Yovana Ortiz Sevilla

TABLA DE CONTENIDO INTRODUCCION ................................ ................................ ................................ .................. 3

OBJETIVOS................................ ................................ ................................ ........................... 3

BREVE RESUMEN DE: COBIT 4.O ................................ ................................ .................. 4

Antecedentes ................................ ................................ ................................ ...................... 4

Misión................................ ................................ ................................ ................................ ...4

Alcance ................................ ................................ ................................ ................................ 5

Recursos ................................ ................................ ................................ .............................. 5

Estructura................................ ................................ ................................ ............................ 5

Productos ................................ ................................ ................................ ............................ 6

Contenido ................................ ................................ ................................ ............................ 7

Esquema de Trabajo General ................................ ................................ .......................... 8

BREVE RESUMEN DE: CD-SIBOIF-500-1-SEP19-2007................................ .............. 9

Antecedentes ................................ ................................ ................................ ...................... 9

Misión................................ ................................ ................................ ................................ ...9

Objetivos ................................ ................................ ................................ ............................. 9

Alcance ................................ ................................ ................................ .............................. 10

Contenido ................................ ................................ ................................ .......................... 10

COMPARACION COBIT 4.0 y NGRT (SIBOIF-500-1-SEP19-2007) ....................... 11

DIFERENCIAS COBIT 4.O y NGRT (SIBOIF-500-1-SEP19-2007).......................... 14

CONCLUSIONES................................ ................................ ................................ ................ 15

GLOSARIO ................................ ................................ ................................ ........................... 16

BIBLIOGRAFIA ................................ ................................ ................................ ................... 17



INTRODUCCION Este documento tiene por objetivo realizar una comparación entre el documento emitido por el IT Governance Institute como marco de referencia y mejores practicas para las Auditoria de Sistemas o Auditoria en Informática (AI) denominado COBIT 4.0 (Objetivos de Control para Información y Tecnología Relacionada), y la política emitida por la Superintendencia de Bancos de Nicaragua por medio del Comité Directivo SIBOIF llamada NORMA SOBRE GESTION DE RIESGO TECNOLOGICO (CD-SIBOIF-500-1-SEP19-2007) promulgada desde Septiembre del 2007 con el fin de establecer los requisitos mínimos para el control y mitigación de los riesgos relacionadas a la administración de la Tecnología de la Información (IT) en las instituciones financieras y comerciales de Nicaragua.

OBJETIVOS Los objetivos que se persiguen son los siguientes: Ø Breve descripción de los principales aspectos considerados en el documento

“Objetivos de Control para Información y Tecnología Relacionada” - (COBIT 4.0). Ø Breve resumen de los aspectos principales abordados en la “Norma sobre Gestión de

Riesgo Tecnológico” - (CD-SIBOIF-500-1-SEP19-2007). Ø Realizar un análisis comparativo entre los artículos de NGRT 2007 y el Marco de

Trabajo y los Dominios de COBIT 4.0. Ø Describir las diferencias entre ambos documentos. Ø Describir la utilidad de ambos documentos para la realización de la Auditoria

Informática (AI) a realizarse como trabajo final de este curso.



BREVE RESUMEN DE: COBIT 4.O

Antecedentes Control OBjectives for Information and related Technology (Objetivos de Control para Información y Tecnología Relacionada) es un documento cuya primer versión fue emitida en 1996 y es un modelo de gobierno que se requiere para

lograr una administración y un control adecuado de TI, de muy alto nivel. Para lograr esto ha sido alineado y armonizado con otros estándares y mejores prácticas más detallados de TI, y actúa como un integrador de todos estos materiales guía, resumiendo los objetivos clave bajo un mismo marco de trabajo integral que también se vincula con los requerimientos de gobierno y de negocios. Es por lo tanto, un marco de trabajo de control interno generalmente aceptado para TI que permite los a gerentes reducir el brecha existente entre las exigencias de control, elementos técnicos y los riesgos del negocio, permitiendo por lo tanto, el desarrollo efectivo de políticas y normas para el control de TI en todas las aéreas de las organizaciones. Misión Dado que el gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales, la misión de COBIT es la de investigar, desarrollar, hacer público y promover un juego autoritario, actualizado, internacional de objetivos de control de tecnología de información generalmente aceptados para el empleo cotidiano por directores comerciales, interventores y/o auditores. COBIT da soporte al gobierno de TI al brindar un marco de trabajo que garantiza que:

• TI está alineada con el negocio • TI capacita el negocio y maximiza los beneficios • Los recursos de TI se usen de manera responsable • Los riesgos de TI se administren apropiadamente



Alcance La versión COBIT ® 4.0 se enfoca en el cumplimiento como regulador, ayudando a las organizaciones a aumentar el valor logrado de TI, permitiendo la alineación y simplificación de la puesta en práctica del marco COBIT para que de acuerdo a los requerimientos de los negocios, la información pueda cumplir con los siguientes Criterios de: Ø Fiduciarios: (Efectividad y Eficiencia operacional, Confiabilidad de los reportes

financieros y Cumplimiento de leyes y regulaciones) Ø Seguridad: (Confidencialidad, Integridad y Disponibi lidad) Ø Calidad: (Costo y Entrega)

Los cuales en su conjunto son necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la organización, proporcionando a los gerentes, auditores, y usuarios TI un juego de medidas generalmente aceptadas, indicadores, procesos y las mejores prácticas para ayudar a ellos en el maximizar las ventajas sacadas por el empleo de tecnología de información y desarrollo de la gobernación apropiada TI y el control en una empresa. Recursos En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:

• Datos: Todos los objetos de información. Considera la información interna y externa, estructurada o no, gráficas, sonidos, etc.

• Aplicaciones: abarca los sistemas de información, que integran procedimientos manuales y sistematizados.

• Tecnología: incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.

• Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.

• Recursos Humanos: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.

Estructura Dado que los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos, COBIT se divide en tres niveles: Dominios, Procesos y Actividades.



Para resumir, los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio. Este es el principio básico del marco de trabajo COBIT, como se ilustra en el siguiente cubo:

Productos Los productos COBIT 4.0 están han organizado en 3 niveles diseñados para dar soporte a:

1. Administración y consejos ejecutivos 2. Administración del negocio y de TI 3. Profesionales en Gobierno, aseguramiento, control y seguridad.



Contenido La versión COBIT 4.0 en español es un documento de 260 páginas que de manera general presenta el siguiente contenido:



Esquema de Trabajo General



BREVE RESUMEN DE: CD-SIBOIF-500-1-SEP19-2007

Antecedentes

La NORMA SOBRE GESTIÓN DE RIESGO TECNOLÓGICO, Nicaragua, CD-SIBOIF-500-1-SEP19-2007 emitida por la Consejo Directivo SIBOIF de la Superintendencia de Bancos y de Otras Instituciones Financieras de Nicaragua el 19 de Septiembre del ano 2007, tiene como antecedentes principalmente las siguientes regulaciones y mejores practicas:

v COBIT (Objetivos de Control para Información y Tecnología Relacionada), de ITGI e ISACA.

v Norma sobre Control Interno y Auditoria Interna. Nicaragua, CD-SIB-155-3-ABR26-2001.

v Norma para la Prevención del Lavado de Dinero y de Otros Activos. Nicaragua, CD- SIBOIF-197-2-MAR01-2002

v Norma sobre la Administración Integral de Riesgos. Nicaragua, CD-SIBOIF-423-1-MAY30-2006

v Norma sobre Gestion de Riesgo Tecnologico. Nicaragua, CD- SIBOIF-437-1-AGOS14-2006 (Derogada).

v Norma sobre Ampliacion de Plazo para la Aplicación de las Disposiciones contenidas en la Norma sobre Administracion Integral de Riesgos. Nicaragua, CD- SIBOIF-483-1- JUN13-2007 (Derogada).

Y fue promulgada tomando en consideracion que entre los riesgos que enfrentan las instituciones supervisadas en el desarrollo de sus actividades se encuentran los riesgos operativos, los cuales pueden generarse por deficiencias o fallas en los procesos internos, en la Tecnología de Información (TI), en las personas o por ocurrencia de eventos externos. Misión Establecer los criterios mínimos de evaluación sobre la administración de los riesgos, la seguridad, la utilización y los controles aplicados a las Tecnología de Información de las entidades supervisadas, con el fin de velar por la estabilidad y la eficiencia del sistema financiero nicaragüense. Objetivos u Promover que las instituciones supervisadas cuenten con un sistema de control de

riesgos que les permita identificar, medir, limitar, controlar y reportar los riesgos que enfrentan, con el fin de mitigar o eliminar el posible impacto negativo de dichos riesgos.

u Establecer los criterios mínimos prudenciales para la identificación y administración de los riesgos asociados a la Tecnología de Información (TI), a fin de contribuir positivamente a la estabilidad y eficiencia del sistema financiero.



Alcance Las disposiciones de la presente norma son aplicables a todas las instituciones financieras sujetas a la autorización, supervisión y vigilancia de la Superintendencia de Bancos, en lo que les sea conducente y toma en consideración los siguientes Criterios de Información para el control y gestión de las tecnologías de información y sus riesgos asociados: Ø Fiduciarios: Efectividad, Eficiencia, Confiabilidad y Cumplimiento de leyes y

regulaciones. Ø Seguridad: Confidencialidad, Integridad y Disponibilidad.

Contenido La Norma sobre Gestión de Riesgo Tecnológico - CD-SIBOIF-500-1-SEP19-2007, es un documento de 23 páginas distribuido en 10 Capítulos con la siguiente estructura:



COMPARACION COBIT 4.0 y NGRT (SIBOIF-500-1-SEP19-2007) Para poder comparar ambos documentos se utilizaron dos clasificaciones generales:

1. De acuerdo al contenido del MARCO DE TRABAJO En esta clasificación se utilizaron los siguientes Parámetros:

a. Requerimientos de Control Genéricos los que se clasifican en 6 grupos: i. PC1 - Dueño del proceso ii. P02 - Reiterativo iii. P03 - Metas y objetivos iv. P04 - Roles y Responsabilidades v. P05 - Desempeño del proceso vi. P06 - Políticas, planes y procedimientos

b. Requerimientos de Control de Aplicación los que se clasifican en 4 grupos: i. Desarrollo de Sistemas ii. Administración de Cambios iii. Seguridad iv. Equipos de Computación

c. Criterios de Información el cual se clasifica en 3 grupos: i. Fiduciarios: Efectividad , Eficiencia, Confiabilidad y Cumplimiento ii. Seguridad: Confidencialidad, Integridad y Disponibilidad. iii. Calidad: Costo y Entrega

d. Niveles Soporte que brindan los Productos que se clasifica en 3 grupos: i. Administración y consejos ejecutivos ii. Administración del negocio y de TI iii. Profesionales en Gobierno, aseguramiento, control y seguridad.

e. Recursos involucrados en la estructura de la metodología: i. Datos ii. Aplicaciones iii. Tecnología iv. Instalaciones v. Recursos Humanos (Gentes)

2. De acuerdo a la clasificación de los 4 DOMINIOS con sus 34 PROCESOS

a. Planear y Organizar (PO): Contiene 10 procesos (PO1 al PO10) b. Adquirir e Implementar (AI): Contiene 7 procesos (AI1 al AI7) c. Entregar y Dar Soporte (DS): Contiene 13 procesos (DS1 al DS13) d. Monitorear y Evaluar (ME): Contiene 4 procesos (ME1 al ME4)

Donde cada uno de los artículos contenidos en el NGRT 2007 fue clasificado de acuerdo a cada uno de estos grupos de parámetros de COBIT 4.0 en tablas comparativas.







DIFERENCIAS COBIT 4.O y NGRT (SIBOIF-500-1-SEP19-2007) Las diferencias encontradas básicamente se reflejan en lo siguiente:

1. Alcance del contenido de los documentos: Esto principalmente porque al ser COBIT 4.0 una metodología basada en las mejores prácticas contiene todos los estándares y regulaciones internacionalmente aprobados para el control interno de cualquier entidad u organismo que tenga o utilice dentro de su estructura la Tecnología de la Información. En cambio NGRT 2007 Nicaragua es una norma que implementa esta metodología detallando específicamente estas políticas y actividades y está dirigida fundamentalmente para las instituciones financieras y/o aquellas reguladas por la Superintendencia de Bancos del país. 2. Organización del contenido de los documentos: COBIT 4.0 es un documento completo que contiene un índice, un informe ejecutivo, un marco de trabajo para posteriormente describir cada unos de los dominios con sus procesos y actividades así como los apéndices complementarios correspondiente a una metodología madura, alineada con otros estándares y en constante mejoramiento. NGRT 2007 en cambio es la segunda versión que el Comité Directivo de SIBOIF emite sobre la Gestión de Riesgos de Tecnología, por lo que podemos notar que carece por ejemplo de índice y que los otros elementos de COBIT se encuentran dispersos dentro de todo el documento, por ejemplo podemos encontrar dentro de un capítulo, artículos que corresponden a varios dominios. 3. Plazos de Implementacion: Otra diferencia de COBIT, el NGRT como norma establece dentro del plazo para la implementación de cada uno de los artículos en el contenidos.



CONCLUSIONES Tanto el COBIT 4.0 como el NGRT 2007 son de gran beneficio para el Auditor Informático porque independientemente de estos aspectos, yo considero que el NGRT 2007 es una muy buena guía que va a mejorar el control interno así como la gestión y mitigación de Riesgos de Tecnología de la Información que aunque dirigido al sector financiero, perfectamente se puede utilizar para la auditoria informática en cualquier organismo nacional. Los beneficios de implementar COBIT como marco de referencia de gobierno sobre la TI incluyen:

1. Mejor alineación, con base en su enfoque de negocios 2. Una visión, entendible para la gerencia, de lo que hace TI 3. Propiedad y responsabilidades claras, con base en su orientación a procesos 4. Aceptación general de terceros y reguladores 5. Entendimiento compartido entre todos los participantes, con base en un lenguaje

común 6. Cumplimiento de los requerimientos COSO para el ambiente de control de TI.



GLOSARIO Alta Gerencia: La persona que en las instituciones ocupe el cargo de ejecutivo principal (Presidente Ejecutivo, Director General, Director Ejecutivo, Gerente General), o sus equivalentes. Análisis de Impacto de Negocio: Etapa de la planeación de continuidad de negocio en la que se identifican los eventos que podrían tener un impacto sobre la continuidad de operaciones y su impacto financiero, humano y de reputación sobre la institución. Base de Datos: Serie de datos organizados y relacionados entre sí, los cuales son recolectados y explotados por los sistemas de información de la institución. Gobierno de TI: Estructura de relaciones y procesos para dirigir y controlar la institución con el objetivo de lograr sus metas, agregando valor mientras exista un balance entre los riesgos y beneficios de TI y sus procesos. Información: Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada. Incidente: Cualquier evento que no forma parte de la operación normal de un servicio y que causa o puede causar, una interrupción o una reducción de calidad del mismo. Esto no incluye los requerimientos de cambios a la infraestructura tecnológica. Instituciones: Los bancos e instituciones financieras no bancarias sujetas a la autorización, supervisión, vigilancia y fiscalización de la Superintendencia de Bancos y de Otras Instituciones Financieras. Mejores Prácticas Aplicables: Se entenderán como mejores prácticas, los marcos de referencia de control, estándares internacionales, u otros estudios que ayuden a monitorear y mejorar las actividades críticas de TI, aumentar el valor de negocio, y reducir riesgos tales como; COSO,COBIT, ITIL, ISO 17799, ISO 9001, CMM y PRINCE2, entre otros. NGRT 2007: Norma de Gestión de Riesgo Tecnológico Nicaragua, CD-SIBOIF-500-1-SEP19-2007. Plan de Contingencia: Documento donde se detallan los procedimientos a seguir en caso de una contingencia, con el fin de no afectar el funcionamiento normal de la institución. Tiene como objetivo asegurar un nivel aceptable de operatividad de los procesos críticos, ante fallas mayores internas o externas. Planeación de continuidad de negocio: Es un proceso diseñado para reducir el riesgo del negocio de la organización que surja de una interrupción inesperada de sus funciones u operaciones críticas, independientemente de si éstas son manuales o automatizadas, las cuales son necesarias para la supervivencia de la organización. Políticas: Conjunto de prácticas establecidas por la junta directiva de la institución, por medio de las cuales se definen los cursos de acción a seguir por la administración. Procedimiento: Método o sistema estructurado para ejecutar instrucciones. Lista detallada de la secuencia lógica y consistente de actividades y cursos de acción, por medio de las cuales se asegura el cumplimiento de una función operativa. Proceso Crítico: Proceso considerado indispensable para la continuidad de las operaciones y servicios de la institución, cuya falta o ejecución deficiente puede tener un impacto financiero significativo para la institución. Riesgos de Tecnología de Información: Daño, interrupción, alteración o fallas derivadas del uso de la TI que soporta los procesos críticos de la Institución y que conlleven a una pérdida financiera potencial. Tecnología de Información (TI): Hardware, Software, Sistemas de Información, Investigación Tecnológica, Redes Locales, Bases de Datos, Ingeniería de Software, Telecomunicaciones, Servicios y Organización de Informática.



BIBLIOGRAFIA IT Governance Institute (ITGI) and Information Systems Audit and Control Association (ISACA); COBIT 4.O Español, Glanser Services S.C., Junio 2006 Superintendencia de Bancos de Nicaragua; SIBOIF-500-1-SEP19-2007 - NORMA SOBRE GESTIÓN DE RIESGO TECNOLÓGICO, Consejo Directivo SIBOIF, Septiembre 19, 2007 Luis Alberto Vargas Fernández; En que consiste COBIT 4.0; http://www.monografias.com/trabajos38/cobit/cobit.shtml; Ivana Soledad Rojas Córsico; Trabajo de Auditoria: Normas COBIT; http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml=

Documents

Resumen Cobit 40 vs Siboif-500-1-Sep19-2007 - (Sally Simmons)