- 1. CPC. Eduardo Miranda Valdivia
2. CONCEPTO BSICOS
- Es el resultado de una investigacin con expertos de varios
paises, desarrollada por la Information, Systems Audit and Control
AssociationISACA.
- Esta asociacin se ha constituido en elorganismo normalizador y
orientador en el control y la auditora de los sistemas de
Informacin y Tecnologa (IT).
- El modelo CobIT ha sido aceptado y adoptado por organizaciones
en el mbito mundial.
Modelo para evaluar y/o auditar la gestin y control de los de
Sistemas de Informacin y Tecnologa relacionada (IT): MODELO COBIT
(Control Objectives for Information Systems and related Technology)
CPC. Eduardo Miranda Valdivia 3. CONCEPTO BSICOS Modelo CobiT
Origen LEGISLADORES / REGULADORESUSUARIOS PRESTADORES DE
SERVICIOS
ALTAGERENCIA
USUARIOS DETI
- ACREDITACON CONTROL /SEGURIDADPOR AUDITORES O TERCEROS
AUDITORES
- CONSULTORES EN CONTROL/SEG.
CPC. Eduardo Miranda Valdivia 4. CONCEPTO BSICOS
- Proveer un marco nico reconocido a nivel mundial de las mejores
prcticas de control y seguridad de TI
- Consolidar y armonizar estndares originados en diferentes
paises desarrollados.
- Concientizar a la comunidad sobre importancia del control y la
auditora de TI.
- Enlaza los objetivos y estrategias de los negocios con la
estructura de control de la TI, como factor crtico de xito
- Aplica a todo tipo de organizaciones independiente de sus
plataformas de TI
- Ratifica la importancia de la informacin, como uno de los
recursos ms valiosos de toda organizacin exitosa
O b j e t i v o sy B e n e f i c i o s CPC. Eduardo Miranda
Valdivia 5. CONCEPTO BSICOS
- COSO(Committe Of Sponsoring Org. of the Treadway
Commission)
- OECD(Organizarion for Economic Cooperation and
Development)
- ISO 9003 (International Standars Organization)
- NIST (National Institute of Standars and Technology)
- DTI(Departament of Trade and Industry of the U.K)
- ITSEC(Information Technology Security Evaluation Criteria -
Europa)
- TCSEC (Trusted Computer Evaluacin Criteria - Orange Book-
E.U)
- IIA SAC (Institute of Internal Auditors - Systems Auditability
and Control)
- IS Auditing Standars Japn
COBIT Representatividad ISACA- 95 paises20.000 miembros
Investigacin: E.U-Europa-Australia-Japn Consolidacin y armonizacin
18 estndares CPC. Eduardo Miranda Valdivia 6. CONCEPTO BSICOS
- Para satisfacer los objetivos del negocio la informacin debe
cumplir con criterios que COBIT extrae de los ms reconocidos
modelos:
CPC. Eduardo Miranda Valdivia Requerimientos de calidad (ISO
9000-3)
7. CONCEPTO BSICOS Requerimientos fiduciarios (informe COSO)
- Confiabilidad de la informacin
- Cumplimiento con leyes y reglamentaciones
Requerimientos de seguridad (libro rojo, naranja, ISO 17799 y
otros)
CPC. Eduardo Miranda Valdivia 8. REGLA DE ORO DEL COBIT
- A fin, de proveer lainformacinque la organizacin requiere para
lograr susobjetivos, losrecursos de ITdeben ser administrados por
un conjunto deprocesos , agrupados de forma adecuada y normalmente
aceptada.
CPC. Eduardo Miranda Valdivia 9. POR QU COBIT ?
- La Tecnologa se ve como un costo, no hay una terminologa comn
con el negocio, y se recorta el presupuesto en la seguridad, ya que
la falta de difusion de normas y buenas prcticas que ayuden a
generar conciencia de los riesgos mantiene la quimera del :
CPC. Eduardo Miranda Valdivia 10. POR QU COBIT?
- La Direccin, a travs de su Gobierno Corporativo debe garantizar
la debida diligencia por parte de todos los individuos involucrados
en la administracin, uso, diseo, desarrollo, mantenimiento u
operacin de los sistemas de informacin.
Gobierno de Tecnologa de Informacin El rol de la Direccin CPC.
Eduardo Miranda Valdivia 11. QUINES NECESITAN REGLAS DE JUEGO
DEFINIDAS
- LosMandos Gerencialespara saber que deben exigir, como medir
los resultados y cuales son sus responsabilidades en esos
temas.Balancear el riesgo y la inversin en control de un ambiente a
menudo impredecible
- ElAuditorpara sustentar sus opiniones sobre los riesgos y la
adecuacin de la tecnologa a las mejores prcticas. Ser asesores
proactivos del negocio
CPC. Eduardo Miranda Valdivia 12. ADEMS ...
- ElArea usuariapara saber que puede pedir a tecnologa y que se
le va a exigir sobre el control de los procesos del negocio.Son los
interesados en saber si los recursos de Tecnologa de Informacin se
utilizan adecuadamente y les ayudan a alcanzar sus objetivos
- ElGerente de Tecnologapara definir un acuerdo de servicios y
justificar su inversin
- LosOrganismos estatalesde control, para saber que es lo mnimo
que pueden exigir.
CPC. Eduardo Miranda Valdivia 13. ORIENTACIN DE COBIT
- Su orientacin hacia el negocio consiste en vincular objetivos
de negocio con objetivos de TI, facilitar mtricas y modelos de
madurez para medir su xito, e identificar las responsabilidades
asociadas del negocio y los propietarios de los procesos de
TI.
ENFOCADO EN EL NEGOCIO, ORIENTADO A PROCESO, BASADO EN CONTROLES
Y DIRIGIDO POR MEDIDAS. CPC. Eduardo Miranda Valdivia 14.
DEFINICIONES CPC. Eduardo Miranda Valdivia LasPlticas
,Procedimientos ,PrcticasyEstructuras Organizacionales , diseadas
para asegurarrazonablementeel logro de losobjetivos del negocioy
que los eventos indeseables sern prevenidos o detectados o
corregidos. CONTROL Son declaraciones delresultado esperadoo del
prposito a lograr mediante la implementacin de los controles en una
actividad de IT especfica. Objetivos de Control de IT 15.
PRINCIPIOS CPC. Eduardo Miranda Valdivia Se refiere a la informacin
que es relevante para el negocio y que debe ser entregada de
maneracorrecta, oportuna, consistente y usable. Efectividad Se
refiere a la provisin de informacin a travs delptimo(ms productivo
y econmico) uso de los recursos. Eficiencia Relativa a la proteccin
de la informacin sensitiva de surevelacin no autorizada.
Confidencialidad Se refiere a laexactitud y completitudde la
informacin, as como suvalidez , en concordancia con los valores y
expectativas del negocio. Integridad 16. PRINCIPIOS CPC. Eduardo
Miranda Valdivia Se refiere a la que la informacin debe
estardisponiblecuando es requerida por los procesos del negocio
ahora y en el futuro. Involucra lasalvaguardade los recursos y sus
capacidades asociadas. Disponibilidad Se refiere acumplircon
aquellas leyes, regulaciones y acuerdos contractuales, a los que
estn sujetos los procesos del negocio.Cumplimiento Se refiere a
laprovisinde la informacinapropiada a la alta gerencia , para
operar la entidad y para ejercer sus responsabilidades finacieras y
de cumplir con los reportes de su gestin. Confiabilidad 17.
NECESIDAD DE RESPUESTA A LOS RETOS DE TI
- Qu no se interrumpa el servicio
- Cumplimiento de Regulaciones
Los 7 retos: CPC. Eduardo Miranda Valdivia 18. BUEN GOBIERNO DE
TI
- Con imputabilidad (Accountability)
- Mediante actividades (Procesos)
Principios,participantes, mbito, ventajas Los 4 principios: CPC.
Eduardo Miranda Valdivia 19. NECESIDAD DE RESPUESTA A LOS RETOS DE
TI
- Principios,participantes,mbito, ventajas
- Los participantes ( stakeholders ):
CPC. Eduardo Miranda Valdivia 20. BUEN GOBIERNO DE TI
- Principios, participantes,mbito,ventajas
CPC. Eduardo Miranda Valdivia 21. BUEN GOBIERNO DE TI
- Principios, participantes, mbito,ventajas
- Confianza de la Alta Direccin
- TI es co-responsable al negocio
- Retorno de Inversin Superior
CPC. Eduardo Miranda Valdivia 22. MARCOS DE BUEN GOBIERNO Y DE
TI
- Las 5 caractersticas generales de un buen marco:
- Cumpla con los requisitos regulatorios
CPC. Eduardo Miranda Valdivia 23. Propuesta de solucin
- Expectativas sobre COBIT (1)
- Utilizar los procesos de COBIT para lograr un lenguaje comn
entre el negocio y TI y asignar responsabilidades claras
- Utilizar los objetivos de control de COBIT para determinar las
necesidades que sern cubiertas por los Acuerdos de Niveles de
Servicio
CPC. Eduardo Miranda Valdivia 24. Propuesta de solucin
- Expectativas sobre COBIT (2)
- Utilizar los objetivos de control de COBIT como un criterio
para evaluar y definir el alcance a revisar
- Utilizar los objetivos de control de COBIT para:
- establecer objetivos de los procesos
- medir el desempeo de los procesos / gestin
- generar polticas y procedimientos
CPC. Eduardo Miranda Valdivia 25. Fase 1
- Levantamiento de procesos actuales
Procesos de trabajo Recursosde TI Criterios de Informacin
- Adquisicin e implantacin de soluciones
- Entrega de servicio y soporte
CPC. Eduardo Miranda Valdivia 26. Fase 1
- Levantamiento de procesos actuales
Procesos de trabajo Recursosde TI Criterios de Informacin
- Indicadores de Resultados
CPC. Eduardo Miranda Valdivia Recursosde TI 27. EL MODELO DEL
MARCO DE TRABAJO DE COBIT El marco de trabajo COBIT, relaciona los
requerimientos de informacin y de gobierno a los objetivos de la
funcin de servicio de TI. El modelo de procesos COBIT permite que
las actividades de TI y los recursos que los soportan sean
administrados y controlados basados en los objetivos de control de
COBIT, y alineados y monitoreados usando las mtricas KGI y KPI de
COBIT Administracin, Control, Alineacin y Monitoreo de Cobit.
OBJETIVOS DE NEGOCIO Aplicaciones Informacin Infraestructura Gente
Criterios de Informacin Recursosde TI Procesos de TI Objetivos de
Control de Alto Nivel Indicadores clave de Objetivos Indicadores
clave de Rendiemiento Resultados de Negocio Drivers de
Gobernabilidad Procesos de TI Objetivos de TI 28. ALINEANDO
CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL Dominios
Procesos Actividades Efectividad Procesos y Objetivos de Control de
TI Recursos TI Personas Aplicaciones Infraestructura Dominios
Procesos Actividades Informacin Eficiencia Integridad
Disponibilidad Confidencialidad Confiabilidad Cumplimiento
Criterios de Informacin CPC. Eduardo Miranda Valdivia 29.
CLASIFICACIN
- Agrupamiento lgico de procesos, a menudo se concibe como
dominios de responsabilidad dentro de una estructura y se relaciona
con el ciclo de vida aplicable a los procesos de Tecnologa de
Informacin.
- Una serie de actividades o tareas vinculadas con cortes (de
control) naturales.
- Son necesarias para lograr un resultado mensurable. Las
actividades tienen un ciclo de vida mientras que las tareas son
discretas.
Procesos Actividadeso tareas Dominios CPC. Eduardo Miranda
Valdivia 30. COBIT Estructura del Modelo CPC. Eduardo Miranda
Valdivia Dominios deControl en Tecnologa deInformacin 31. CPC.
Eduardo Miranda Valdivia
- Presentaciones Power Point
-
- Diagnstico Conciencia Administrativa
Resumen Ejecutivo Marco Referencial-Esquema Objetivos de Alto
Nivel Lineamientos Gerenciales Objetivos de Control Detallados Guas
de Auditora Modelos de Madurez Factores Crticos de Exito
Indicadores Clave de Rendimiento Indicadores Clave de Logros
Herramientas de implementacin CobiT: enfoque e implementacin
Prcticas de Control 32. Dominios TI(4) Objetivos de control(318)
Guas Auditoria De TI (34) GERENCIA - UNIDADES DE NEGOCIO - IT
PERSONALIZACIN DE LAS GUIAS EJECUCIN DE LA AUDITORIA EVALUACION
ADMINISTRATIVA EVALUACION AUDITORIA 2 1 :Nivel Control General2
:Nivel Detallado Control3 :Nivel Detallado Auditora 2 1 1 2 2
Procesos/ Actividades(34) 3 COBIT Aplicacin del modelo CPC. Eduardo
Miranda Valdivia 33. DOMINIOS DEL COBIT
- Abarcaaspectos estratgicos y tcticos
- Se vincula con la identificacin de la forma en que la tecnologa
de informacin puede contribuir ms adecuadamente con el logro de los
objetivos del negocio.
- Incluye las actividades de planificar, comunicar y administrar
la realizacin de la visin estratgica desde distintas
perspectivas.
Planeacin y Organizacin CPC. Eduardo Miranda Valdivia 34.
DOMINIO Planificacin y Organizain Proceso: PO1 Definicin de un plan
estratgico de TI Proceso: PO2 Definicin de la arquitectura de la
informacin Proceso: PO3 Determinacin de la direccin tecnolgica
Proceso: PO4 Definicin de la organizacin y el relacionamiento en TI
Proceso: PO5 Administracin de la inversin en TI Proceso: PO6
Comunicacin de los objetivos y directivas de la gerencia Proceso:
PO7 Administracin de los recursos humanos Proceso: PO8
Aseguramiento del cumplimiento de los requerimientos externos
Proceso: PO9 Evaluacin de riesgos Proceso: PO10 Administracin de
proyectos Proceso: PO11 Administracin de la calidad CPC. Eduardo
Miranda Valdivia 35. DOMINIOS DE COBIT
- Identificacin, desarrollo o adquisicin de soluciones de Ti
- Implantacin e integracin en el proceso de negocio.
- Cambios y mantenimiento de los sistemas existentes para
garantizar la natural continuidad del ciclo de vida para estos
sistemas.
Adquisicin e Implementacin CPC. Eduardo Miranda Valdivia 36.
DOMINIO Adquisicin e Implementacin Proceso: AI12 Identificacin de
soluciones Proceso: AI13 Adquisicin y mantenimiento de software de
aplicacin Proceso: AI14 Adquisicin y mantenimiento de la
infraestructura tecnolgica Proceso: AI15 Desarrollo y mantenimiento
de procedimientos de TI Proceso: AI16 Instalacin y certificacin de
sistemas Proceso: AI17 Administracin de cambios CPC. Eduardo
Miranda Valdivia 37. DOMINIOS DE COBIT
- Prestacin efectiva de los servicios requeridos, que comprenden
desde las operaciones tradicionales sobre aspectos de seguridad y
continuidad hasta la capacitacin.
- Procesos de soporte necesarios.
- Procesamiento real de los datos por los sistemas de
aplicacin.
Entrega y Soporte CPC. Eduardo Miranda Valdivia 38. DOMINIO
Entrega y Soporte Proceso: DS18 Definicin de los niveles del
servicio Proceso: DS19 Administracin de los servicios prestados
terceros Proceso: DS20 Administracin de la capacidad y del desempeo
del sistema Proceso: DS21 Aseguramiento de la continuidad del
servicio Proceso: DS22 Establecimiento de pautas para la seguridad
de los sistemas Proceso: DS23 Identificacin e imputacin de costos
CPC. Eduardo Miranda Valdivia 39. DOMINIO Entrega y Soporte
Proceso: DS24 Educacin y capacitacin de los usuarios Proceso: DS25
Asistencia y asesoramiento a los clientes de TI Proceso: DS26
Administracin de la configuracin Proceso: DS27 Administracin de
problemas e incidentes Proceso: DS28 Administracin de datos
Proceso: DS29 Administracin de instalaciones Proceso: DS30
Administracin de las operaciones CPC. Eduardo Miranda Valdivia 40.
DOMINIOS DE COBIT
- Evaluar regularmente todos losprocesos de TI para determinar su
calidady el cumplimiento de los requerimientos de control.
- Seguimientode la gerencia sobre los procesos de control de la
organizacin
- Garanta independiente provista por la auditoria interna y
externa u obtenida de fuentes alternativas.
Monitoreo CPC. Eduardo Miranda Valdivia 41. DOMINIO Monitoreo
Proceso: ME31 Monitoreo de los procesos Proceso: ME32 Evaluacin de
la adecuacin del control interno Proceso: ME33 Obtencin de
aseguramiento independiente Proceso: ME34 Provisin de auditoria
independiente CPC. Eduardo Miranda Valdivia 42. PROCESOS AI1
Identificar solucionesde IT Administrar los cambiosAdquirir y
mantenersoftware aplicativo Adquirir y mantenerarquitectura
tecnolgica Desarrollar y mantenerprocedimientos de IT Instalar y
acreditarsistemas AI2 AI3 AI4 AI5 AI6 P S P P S S P P S S P P S S S
P S S P P P S P CRITERIOSRECURSOS EFECTIVIDAD EFICIENCIA
CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CUMPLIMIENTO
CONFIABILIDAD APLICACIONES TECNOCLOGA FACILIDADES DATOS PERSONAS
DOMINIO AI : Adquisicin e ImplementacinCOBIT Navegacin (Matriz)
CPC. Eduardo Miranda Valdivia 43. DEFINICIN DE PROCESOS DE TI
- PO1: Definir el Plan estratgico de IT
- La funcin de servicios de informacin debera asegurar que hay
planes a corto y largo plazo para administrar y orientar todos
losrecursos de ITde la organizacin.Estos planes deben ser
actualizados de manera correcta y oportuna para adecuarlos a los
cambios de las condiciones de laIT .La evaluacin de los sistemas
existentes debe realizarseantesde desarrollar o modificar el plan
estratgico deIT .As mismo, lafuncin de administracin de los
servicios de informacindebe asegurar que el plan estratgico
deITesconsistentecon los objetivos del negocio, y los planes a
corto y largo plazo de la organizacin.
CPC. Eduardo Miranda Valdivia 44. OBJETIVOS DE CONTROL DE TI -
DETALLADOS 1 La TI como parte de los planes a corto/largoplazo de
la empresa 2 Plan a largo plazo de la TI 3 Enfoque y estructura del
Plan a largo plazo de la TI 4 Cambiosal Plan a largoplazode la TI
Plan corto plazo de la funcin deserviciosde TI 5 PROCESO: PO1:
Definir el Plan Estratgico de TI DOMINIO PO : Planeaciny
Organizacin Objetivos de Control - Detallados Y tiene
enconsideracin: Evaluacin objetivos de control detallados CPC.
Eduardo Miranda Valdivia 45. PRODUCTOS DE COBIT PRODUCTOS DE COBIT
CPC. Eduardo Miranda Valdivia 46. INTERRELACIN DE LOS COMPONENTES
DE COBIT Negocio Procesos de TI Requerimientos InformacinObjetivos
de Control Practicas de Control Guas de Auditora Metas de las
Actividades Modelo de Madurez Indicadores Clave deMetas Indicadores
Clave deDesempeo Auditado por Medida para Implementado con
Transformado en Para desempeo Para Madurez Controlado por
LograndoEfectividad y Eficiencia con Para resultados CPC. Eduardo
Miranda Valdivia 47. CONTROLES GENERALES Controles Generales sobre
procesos de TI Controles sobreprocesos de negocio que utilizan TI
Desarrollo de soluciones Administracin de Cambios Seguridad
Operacin del Computador Integridad (completitud) Precisin Validez
Autorizacin Segregacin de Funciones CPC. Eduardo Miranda Valdivia
48. CONTROLES DE APLICACIN - ORIGEN Autorizacin de Datos ORIGEN
Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos
OUTPUT ENTORNO CON TERCEROS
- Autorizacin de documentos fuente(AC2)
- Recoleccin de datos fuente(AC3)
- Manejo de errores en documentos fuente(AC4)
- Retencin de documentos fuente(AC5)
Los departamentos usuarios implementan y dan seguimiento a los
procedimientos de preparacin de datos. En este contexto, el diseo
de los formatos de entrada asegura que los errores y las omisiones
se minimicen. Los procedimientos de manejo de errores durante la
generacin de los datos aseguran de forma razonable que los errores
y las irregularidades son detectadas, reportadas y corregidas El
personal autorizado, actuando dentro de su autoridad, prepara los
documentos fuente de forma adecuada y existe una segregacin de
funciones apropiada con respecto a la generacin y aprobacin de los
documentos fuente. Los procedimientos garantizan que todos los
documentos fuente autorizados son completos y precisos, debidamente
justificados y transmitidos de manera oportuna para su captura. Los
procedimientos de manejo de errores durante la generacin de los
datos aseguran de forma razonable la deteccin, el reporte y la
correccin de errores e irregularidades. Existen procedimientos para
garantizar que los documentos fuente originales son retenidos o
pueden ser reproducidos por la organizacin durante un lapso
adecuado de tiempo para facilitar el acceso o reconstruccin de
datos as como para satisfacer los requerimientos legales. CPC.
Eduardo Miranda Valdivia 49. CONTROLES DE APLICACIN - INPUT
Autorizacin de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de
Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS
- Procedimientos de autorizacin de captura de datos(AC6)
- Verificacin de precisin, integridad y autorizacin(AC7)
- Manejo de errores en la entrada de datos(AC8)
Los procedimientos aseguran que solo el personal autorizado
capture los datos de entrada. Los datos de transacciones,
ingresados para ser procesados (generados por personas, por
sistemas o entradas de interfases) estn sujetos a una variedad de
controles para verificar su precisin, integridad y validez. Los
procedimientos tambin garantizan que los datos de entrada son
validados y editados tan cerca del punto de origen como sea
posible. Existen y se siguen procedimientos para la correccin y
re-captura de datos que fueron ingresados de manera incorrecta.
CPC. Eduardo Miranda Valdivia 50. CONTROLES DE APLICACIN -
PROCESAMIENTO Autorizacin de Datos ORIGEN Ingreso de Datos INPUT
Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON
TERCEROS
- Integridad en el procesamiento de datos(AC9)
- Validacin y edicin del procesamiento de datos(AC10)
- Manejo de errores en el procesamiento de datos(AC11)
Los procedimientos para el procesamiento de datos aseguran que
la separacin de funciones se mantiene y que el trabajo realizado de
forma rutinaria se verifica. Los procedimientos garantizan que
existen controles de actualizacin adecuados, tales como totales de
control de corrida-a-corrida, y controles de actualizacin de
archivos maestros Los procedimientos garantizan que la validacin,
la autenticacin y la edicin del procesamiento de datos se realizan
tan cerca como sea posible del punto de generacin. Los individuos
aprueban decisiones vitales que se basan en sistemas de
inteligencia artificial. Los procedimientos de manejo de errores en
el procesamiento de datos permiten que las transacciones errneas
sean identificadas sin ser procesadas y sin una indebida
interrupcin del procesamiento de otras transacciones vlidas.
Fernando Rada Barona - Consultor 51. CONTROLES DE APLICACIN -
OUTPUT Autorizacin de Datos ORIGEN Ingreso de Datos INPUT
Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON
TERCEROS
- Manejo y retencin de salidas(AC12)
- Distribucin de Salidas(AC13)
- Cuadre y conciliacin de salidas(AC14)
- Revisin de Salidas y Manejo de errores(AC13)
- Provisin de seguridad para reportes de salida(AC14)
El manejo y la retencin de salidas provenientes de aplicaciones
de TI siguen procedimientos definidos y tienen en cuenta los
requerimientos de privacidad y de seguridad. Los procedimientos
para la distribucin de las salidas de TI se definen, se comunican y
se les da seguimiento. Las salidas cuadran rutinariamente con los
totales de control relevantes. Las pistas de auditora facilitan el
rastreo del procesamiento de las transacciones y la conciliacin de
datos alterados. Los procedimientos garantizan que tanto el
proveedor como los usuarios relevantes revisan la precisin de los
reportes de salida. Tambin existen procedimientos para la
identificacin y el manejo de errores contenidos en las salidas.
Existen procedimientos para garantizar que se mantiene la seguridad
de los reportes de salida, tanto para aquellos que esperan ser
distribuidos como para aquellos que ya estn entregados a los
usuarios. CPC. Eduardo Miranda Valdivia 52. CONTROLES DE APLICACIN
ENTORNO CON TERCEROS Autorizacin de Datos ORIGEN Ingreso de Datos
INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON
TERCEROS
- Autenticidad e Integridad(AC15)
- Proteccin de informacin sensitiva durante su transmisin y
transporte(AC16)
Se verifica de forma apropiada la autenticidad e integridad de
la informacin generada fuera de la organizacin, ya sea que haya
sido recibida por telfono, por correo de voz, como documento en
papel, fax o correo electrnico, antes de que se tomen medidas
potencialmente crticas. Se proporciona una proteccin adecuada
contra accesos no autorizados, modificaciones y envos incorrectos
de informacin sensitiva durante la transmisin y el transporte. CPC.
Eduardo Miranda Valdivia 53.
- Cada dominio con procesos -- 34 en total
- Cada proceso con objetivos de control de alto nivel
- De 3 a 30 objetivos de control detallados
- Estos objetivos provienen de 41 fuentes
- Herramientas navegacionales cascada/cubo
- Un mtodo lgico y sistemtico para definir y comunicar los
objetivos de control
REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo
Miranda Valdivia 54. REAS DE REVISIN AUDITORA DE SISTEMAS DE
INFORMACIN
- Control sobre el proceso de TI de:
- Definicin de un plan Estratgico de TI
- que satisface los requerimientos del negocio de:
-
- Lograr un balance ptimo entre las oportunidades de tecnologa de
informacin y los requerimientos del negocio para TI, as como para
asegurar sus logros futuros.
- se hace posible a travs de:
-
-
- un proceso de planeacin estratgica emprendido en intervalos
regulares dando lugar a planes a largo plazo. Los planes a largo
plazo debern ser traducidos peridicamente en planes operacionales
estableciendo metas claras y concretas a corto plazo:
-
-
-
- Estrategia del negocio de la empresa
-
-
-
- Definicin de cmo TI soporta los objetivos de negocio
-
-
-
- inventario de soluciones tecnolgicas e infraestructura
actual
-
-
-
- Monitoreo del mercado de tecnologa
-
-
-
- Estudios de factibilidad oportunos y chequeos con la
realidad
-
-
-
- Anlisis de los sistemas existentes
-
-
-
- Posicin de la empresa sobre riesgos, en el proceso de
compra
-
-
-
- Necesidades de la Admn. senior en el proceso decompra
PO1 55. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- DEFINICIN DE UN PLAN ESTRATGICO DE TI
- 1.1 Tecnologa de Informacin como parte del Plan de la
- Organizacin a corto y largo plazo.
- La alta gerencia ser la responsable de desarrollar e
implementarplanes a largo y corto plazoque satisfagan la misin y
las metas de la organizacin. A este respecto, la alta gerencia
deber asegurar que los problemas de TI, as como las oportunidades ,
sean evaluados adecuadamente y reflejados en los planes a largo y
corto plazo de la organizacin.Se deben desarrollar planes de TI a
largo y corto plazo para ayudar a asegurar que el uso de la TI est
acorde con la misin y las estrategias de negocio de la
organizacin.
56. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- 1.2 Plan a largo plazo de TI
-
- La Gerencia de TI y los dueos del proceso de negocio
-
- sern responsables de desarrollar regularmente planes
-
- de TI a largo plazo , queapoyen el logro de la misin y
-
- las metas generales de la organizacin .El mtodo de
-
- planeacin deber incluir mecanismos para solicitar
-
- informacin a los interesados internos y externos ms
-
- importantes, que se ven afectados por los planes
-
- estratgicos de TI.De la misma manera, la Gerencia
-
- deber implementar un proceso de planeacin a largo
-
- plazo, adoptar un enfoque estructurado y determinar la
CPC. Eduardo Miranda Valdivia 57. REAS DE REVISIN AUDITORA DE
SISTEMAS DE INFORMACIN 1.3 Plan a largo plazo de TI - Enfoque y
Estructura OBJETIVO DE CONTROL La Gerencia de TI y los dueos del
proceso de negocio debern establecer y aplicar un enfoque
estructurado al proceso de planeacin a largo plazo.Esto deber traer
como resultado un plan de alta calidad que cubra las preguntas
bsicas de qu, quin, cmo, cundo y por qu el proceso de planeacin de
TI debe tomar en cuenta los resultados del anlisis del riesgo,
incluyendo los riesgos del negocio, entorno, tecnologa y recursos
humanos .Los aspectos que necesitan ser tomados en cuenta y ser
cubiertos adecuadamente durante el proceso de planeacin incluyen el
modelo de organizacin y sus cambios, la distribucin geogrfica,la
evolucin tecnolgica , los costos, los requerimientos legales y
regulatorios, requerimientos de terceras partes o del mercado, el
horizonte de planeacin, reingeniera de procesos del negocio, la
asignacin de personal, outsourcing, datos, sistemas de aplicacin y
arquitecturas de la tecnologa. Los planes de TI, de largo y corto
alcance debern incorporar indicadores y objetivos de desempeo. El
plan mismo deber hacer referencia a otros planes tales como el plan
de calidad de la organizacin y el plan de manejo de riesgos de
informacin. 58. REAS DE REVISIN AUDITORA DE SISTEMAS DE
INFORMACIN
- 1.4 Cambios al Plan a largo plazo de TI
-
- La gerencia de TI y los dueos del proceso del negocio
-
- debern asegurar que se establezca un proceso con el fin
-
- de adaptar los cambios al plan a largo plazo de la
-
- organizacin y los cambios en las condiciones de la TI.
-
- La gerencia Senior deber establecer una poltica que
-
- requiera que se desarrollen y se mantengan planes de
-
- largo y corto plazo de TI.
59. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- 1.5 Planeacin a corto plazo para la Funcin de TI
-
- La Gerencia de TI y los dueos del proceso del negocio
-
- debern asegurar que el plan a largo plazo de TI se
-
- traduzca regularmente en planes a corto plazo de TI.
-
- Estos planes a corto plazo debern asegurar que se
-
- asignen losrecursos apropiados de la funcin de
-
- servicios de T I con una base consistente con el plan a
-
- largo plazo de TI .Los planes a corto plazo debern ser
reevaluados y modificados peridicamentesegn reconsidere necesario
respondiendo a las condiciones de cambios en el negocio y en TI. La
realizacin oportunade estudios de factibilidad deber asegurar que
la
-
- ejecucin de los planes a corto plazo sea iniciada
60. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- 1.6 Comunicacin de los Planes de TI
-
- La gerencia debe asegurar que los planes de largo y
-
- de corto plazo de tecnologa de la informacin sean
-
- comunicados a los dueos del proceso del negocio y
-
- a otras partes relevantes en toda la organizacin.
- 1.7 Monitoreo y Evaluacin de los Planes de
- Tecnologa de la Informacin
-
- La gerencia debe establecer procesos para captar y
-
- reportar la retroalimentacin de los dueos y usuarios del
proceso del negocio respecto a la calidad y utilidad de los planes
de largo y de corto plazo. La retroalimentacin obtenida debe ser
evaluada y considerada en la planeacin futura de la tecnologa de la
informacin.
61. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- 1.8 Evaluacin de los Sistemas Existentes
-
- Previo al desarrollo o modificacin del Plan
-
- Estratgico o plan a largo plazo de TI, la Gerencia de
-
- TI debe evaluar los sistemas existentes en trminos
-
- de: nivel de automatizacin de negocio,
-
- funcionalidad, estabilidad, complejidad, costo y
-
- fortalezas y debilidades, con el propsito de
-
- determinar el nivel de soporte que ofrecen los
-
- sistemas existentes a los requerimientos del negocio.
CPC. Eduardo Miranda Valdivia 62. REAS DE REVISIN AUDITORA DE
SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- Definicin de la Arquitectura de Informacin
- que satisface los requerimientos de negocio de:
- organizar de la mejor manera los sistemas de informacin
-
- se hace posible a travs de:
-
- la creacin y mantenimiento de un modelo de
-
- informacin de negocios y asegurando que se definan
-
- sistemas apropiados para optimizar la utilizacin de
-
-
- Repositorio automatizado de datos y diccionario
-
-
- reglas de sintaxis de datos
-
-
- propiedad de la informacin y clasificacin con base en
criticidad /seguridad
-
-
- un modelo de informacin que represente el negocio
-
-
- Normas de arquitectura de informacin de la empresa
PO2 CPC. Eduardo Miranda Valdivia 63. REAS DE REVISIN AUDITORA
DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- determinacin de la direccin tecnolgica
- que satisface los requerimientos de negocio de:
- aprovechar la tecnologa disponible y las que van apareciendo
en
- el mercado para impulsar y posibilitar la estrategia del
negocio.
-
- se hace posible a travs de:
-
- la creacin y mantenimiento de un plan de infraestructura
tecnolgica que establece y administra expectativas claras y
realistas de lo que puede brindar la tecnologa en trminos de
productos, servicios y mecanismos de entrega
-
-
- capacidad de la infraestructura actual
-
-
- monitoreo de desarrollos tecnolgicos por la va de fuentes
confiables
-
-
- realizacin de prueba de conceptos
-
-
- riesgos, restricciones y oportunidades
-
-
- estrategia de migracin y mapas alternativos (roadmaps)
-
-
- relaciones con los vendedores
-
-
- reevaluacin independiente de la tecnologa
-
-
- Cambios de precio /desempeo de hardware y de software
PO3 64. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- definicin de la organizacin y de las relaciones de TI
- que satisface los requerimientos de negocio de:
- prestacin de los servicios correctos de TI
-
- se hace posible a travs de:
-
- una organizacin conveniente en nmero y habilidades, con
-
- tareas y responsabilidades definidas y comunicadas, acordes con
el negocio y que facilita la estrategia y provee una direccin
efectiva y un control adecuado.
-
-
- responsabilidades del nivel directivo sobre TI
-
-
- direccin de la gerencia y supervisin de TI
-
-
- Alineacin de TI con el negocio
-
-
- participacin de TI en los procesos clave de decisin
-
-
- flexibilidad organizacional
-
-
- roles y responsabilidades claras
-
-
- equilibrio entre supervisin y delegacin de autoridad
-
-
- descripciones de puestos de trabajo
-
-
- Niveles de asignacin de personal y personal clave
-
-
- Ubicacin organizacional de las funciones de seguridad, calidad
y control interno
PO4 65. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- Manejo o administracin de la inversin de TI
- que satisface los requerimientos de negocio de:
- asegurar el financiamiento y el control de desembolsos de
-
- se hace posible a travs de:
-
- Inversin peridica y presupuestos operacionales
-
- establecidos y aprobados por el negocio
-
-
- alternativas de financiamiento
-
-
- Claros responsables del presupuesto
-
-
- Control sobre los gastos actuales
-
-
- justificacin de costos y concienciacin sobre el costo total de
la propiedad
-
-
- j u s ti f icacin del beneficio y contabilizacin de todos los
beneficios
-
-
- Ciclo de vida del software de aplicacin y de la tecnologa
-
-
- Alineacin con las estrategias del negocio de la empresa
-
-
- Administracin de los activos
PO5 66. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- comunicacin de los objetivos y aspiraciones de la gerenciaque
satisface los requerimientos de negocio de:
- asegurar que el usuario sea consiente y comprenda dichas
aspiraciones
-
- se hace posible a travs de:
-
- polticas establecidas y transmitidas a la comunidad de
usuarios; adems, se necesitan estndares para traducirlas opciones
estratgicas en reglas de usuario prcticas y utilizables
-
-
- Misin claramente articulada
-
-
- Directivas tecnolgicas vinculadas con aspiraciones de
negocios
-
-
- Compromiso con la calidad
-
-
- Polticas de seguridad y control interno
-
-
- Practicas de seguridad y control interno
-
-
- Programacin continua de comunicaciones
-
-
- Proveer guas y verificar su cumplimiento
PO6 CPC. Eduardo Miranda Valdivia 67. REAS DE REVISIN AUDITORA
DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- administracin de recursos humanos
- que satisface los requerimientos de negocio de:
- Adquirir y mantener una fuerza de trabajo motivada y
- competente y maximizar las contribuciones del personal a
los
-
- se hace posible a travs de:
-
- prcticas de administracin de personal, sensatas,justas y
transparentes para reclutar, alinear, pensionar, compensar,
entrenar, promover y despedir
-
-
- Entrenamiento y requerimientos de calificaciones
-
-
- entrenamiento cruzado y rotacin de puestos
-
-
- Procedimientos para contratacin, veto y despidos
-
-
- evaluacin objetiva y medible del desempeo
-
-
- responsabilidades sobre los cambios tcnicos y de mercado
-
-
- Balance apropiado de recursos internos y externos
-
-
- Plan de sucesin para posiciones clave
PO7 CPC. Eduardo Miranda Valdivia 68. REAS DE REVISIN AUDITORA
DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- aseguramiento del cumplimiento de requerimientos externos
- que satisface los requerimientos de negocio de:
- cumplir con obligaciones legales, regulatorias y
contractuales
-
- se hace posible a travs de:
-
- la identificacin y anlisis de los requerimientos
-
- externos en cuanto a su impacto en TI, y realizando las
-
- medidas apropiadas para cumplir con ellos
-
-
- leyes, regulaciones y contratos
-
-
- monitoreo de desarrollos legales y regulatorios
-
-
- Monitoreo regular sobre cumplimiento
PO8 69. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- que satisface los requerimientos de negocio de:
- Soportar las decisiones de la gerencia a travs del logro de
los
- objetivos de TI y responder a las amenazas reduciendo su
- complejidad e incrementando objetivamente e identificando
factores importantes de decisin.
-
- se hace posible a travs de:
-
- la participacin de la propia organizacin en la identificacin de
riesgos de TI y en el anlisis de impacto, involucrando
funcionesmultidisciplinarias y tomando medidas efectivas en coste
para mitigar los riesgos
-
-
- Administracin de riesgos de la propiedad y del registro de las
operaciones
-
-
- diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de
seguridad, de continuidad, regulatorios, etc.)
-
-
- Definir y comunicar un perfil tolerable de riesgos
-
-
- Anlisis de las causas y sesiones de tormenta de ideas sobre
riesgos
-
-
- Medicin cuantitativa y/o cualitativa de los riesgos
-
-
- metodologa de anlisis de riesgos
-
-
- Plan de accin contra los riesgos
-
-
- Volver a realiza anlisis oportunos
PO9 70. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- administracin de proyectosque satisface los
- requerimientos de negocio de:
- establecer prioridades y entregar servicios oportunamente y
de
- acuerdo al presupuesto de inversin
-
- se hace posible a travs de:
-
- La organizacin identificando y priorizando proyectos en lnea
con el plan operacional y la adopcin y aplicacin de tcnicas de
administracin de proyectos para cada proyecto emprendido
-
-
- El patrocinio que la gerencia de negocios debe dar a los
proyectos
-
-
- Administracin de programas
-
-
- Capacidad para el manejo de proyectos
-
-
- Involucramiento del usuario
-
-
- Divisin de tareas, puntos de control y aprobacin de fases
-
-
- Distribucin de responsabilidades
-
-
- Rastreo riguroso de puntos de control y entregables
-
-
- Costos y presupuestos de mano de obra, balance de recursos
internos y externos
-
-
- Planes y mtodos de aseguramiento de calidad
-
-
- Programa y anlisis de riesgos del proyecto
-
-
- Transicin de desarrollo a operacin
PO10 71. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- Administracin de la calidad
- que satisface los requerimientos de negocio de:
- satisfacer los requerimientos del cliente de TI
-
- se hace posible a travs de:
-
- la planeacin, implementacin y mantenimiento de estndares de
administracin de calidad y sistemas provistos para las distintas
fases de desarrollo, claros entregables y responsabilidades
explcitas
-
-
- Establecimiento de una cultura de calidad
-
-
- responsabilidades de aseguramiento de la calidad
-
-
- Practicas de control de calidad
-
-
- metodologa del ciclo de vida de desarrollo de sistemas
-
-
- pruebas y documentacin de sistemas y programas
-
-
- revisiones y reporte de aseguramiento de calidad
-
-
- Entrenamiento e involucramiento del usuario final y del
personal de aseguramiento de calidad
-
-
- Desarrollo de una base de conocimiento de aseguramiento de
calidad
-
-
- Benchmarking contra las normas de la industria
PO11 72. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- Identificacin de soluciones automatizadas
- que satisface los requerimientos de negocio de:
- asegurar un efectivo y eficiente enfoque para satisfacer los
requerimientos del usuario
-
- se hace posible a travs de:
-
- Una objetiva y clara identificacin y anlisis de oportunidades
alternativas comparadas contra los requerimientos de los
usuarios
-
-
- Conocimientos de soluciones disponibles en el mercado
-
-
- Metodologas de Adquisicin e implementacin
-
-
- Involucramiento del usuario en el proceso de compra
-
-
- Alineamiento con las estrategias de la empresa y de TI
-
-
- definicin de requerimientos de informacin
-
-
- estudios de factibilidad ( de costo-beneficio, alternativas,
etc)
-
-
- Requerimientos de funcionalidad, operatividad, aceptacin y
sostenimiento
-
-
- Cumplimiento con la arquitectura de informacin
-
-
- Costo - efectividad de la seguridad y los controles
-
-
- Responsabilidades de los proveedores
AI1 73. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- Identificacin de soluciones automatizadas
- que satisface los requerimientos de negocio de:
- asegurar un efectivo y eficiente enfoque para satisfacer los
requerimientos del usuario
-
- se hace posible a travs de:
-
- Una objetiva y clara identificacin y anlisis de oportunidades
alternativas comparadas contra los requerimientos de los
usuarios
-
-
- Conocimientos de soluciones disponibles en el mercado
-
-
- Metodologas de Adquisicin e implementacin
-
-
- Involucramiento del usuario en el proceso de compra
-
-
- Alineamiento con las estrategias de la empresa y de TI
-
-
- definicin de requerimientos de informacin
-
-
- estudios de factibilidad ( de costo-beneficio, alternativas,
etc)
-
-
- Requerimientos de funcionalidad, operatividad, aceptacin y
sostenimiento
-
-
- Cumplimiento con la arquitectura de informacin
-
-
- Costo - efectividad de la seguridad y los controles
-
-
- Responsabilidades de los proveedores
AI2 74. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- Definicin y administracin de niveles de servicio
- que satisface los requerimientos de negocio de:
- establecer un entendimiento comn del nivel de servicio
-
- se hace posible a travs de:
-
- el establecimiento de acuerdos de niveles de servicio
-
- que formalicen los criterios de desempeo contra los
-
- cuales se medir la cantidad y la calidad del servicio
-
-
- Acuerdos o convenios formales
-
-
- definicin de responsabilidades
-
-
- tiempos y volmenes de respuesta
-
-
- Acuerdos de confidencialidad
-
-
- Criterio de satisfaccin del cliente
-
-
- Anlisis costo-beneficio de los niveles de servicio
requerido
DS1 75. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- administracin de servicios prestados por terceros
- que satisface los requerimientos de negocio de:
- asegurar que los roles y responsabilidades de las terceras
partes estn claramente definidas y que cumplan y continen
satisfaciendo los requerimientos
-
- se hace posible a travs de:
-
- medidas de control dirigidas a la revisin y monitoreo de
acuerdos/ contratos y procedimientos existentes, en cuanto a su
efectividad y cumplimiento, con respecto a las polticas de la
organizacin
-
-
- Acuerdos de servicio con terceras partes
-
-
- Administracin de contrato
-
-
- Acuerdos de confidencialidad
-
-
- Requerimientos legales y regulatorios
-
-
- Monitoreo y reporte de la entrega de servicio
-
-
- Anlisis de riesgos de la empresa y de TI
-
-
- Ejecucin de recompensas y sanciones
-
-
- Contabilidad organizacional interna y externa
-
-
- Anlisis de costos y variaciones en los niveles de servicio
DS2 76. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- administracin de desempeo y capacidad
- que satisface los requerimientos de negocio de:
- asegurar que la capacidad adecuada est disponible y que se est
haciendo el mejor uso de ella para alcanzar el desempeo
deseado
-
- se hace posible a travs de:
-
- Recoleccin de datos, anlisis y reporte del
-
- rendimiento de los recursos, aplicacin de mediciones
-
- y demanda de cargas de trabajo
-
-
- requerimientos de disponibilidad y desempeo
-
-
- monitoreo y reporte automatizado
-
-
- administracin de capacidad
-
-
- disponibilidad de recursos
-
-
- Cambios en precio-rendimiento del hardware y software
DS3 77. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- asegurar el servicio continuo
- que satisface los requerimientos de negocio de:
- Asegurar que los servicios de TI estn disponibles cuando
se
- requieran y asegurar el impacto mnimo en el negocio en el
- evento que se presente una interrupcin mayor
-
- se hace posible a travs de:
-
- tener un plan de continuidad de TI probado y funcional, que est
alineado con el plan de continuidad del negocio y relacionado con
los requerimientos de negocio
-
-
- clasificacin de criticidad (severidad)
-
-
- Procedimientos alternativos
-
-
- pruebas y entrenamiento sistemticos y regulares
-
-
- Monitoreo y procesos de escalamiento
-
-
- Responsabilidades organizacionales internas y externas
-
-
- Activacin de la continuidad del negocio, vuelta atrs (fallback)
y plan de reactivacin
-
-
- Actividades de administracin de riesgos
-
-
- Anlisis de puntos nicos de falla
-
-
- Administracin de problemas
DS4 78. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- garantizar la seguridad de los sistemas
- que satisface los requerimientos de negocio de:
- salvaguardar la informacin contra uso no autorizado, divulgacin
o revelacin, modificacin, dao o prdida
-
- se hace posible a travs de:
-
- controles de acceso lgico que aseguren que el acceso a
sistemas, datos y programas est restringido a usuarios
autorizados
-
-
- Requerimientos de privacidad y confidencialidad
-
-
- Autorizacin, autenticacin y control de acceso
-
-
- identificacin de usuarios y perfiles de autorizacin
-
-
- Necesidad de saber y necesidad de tener
-
-
- administracin de llaves criptogrficas
-
-
- manejo, reporte y seguimiento de incidentes
-
-
- Prevencin y deteccin de virus
-
-
- Administracin centralizada de seguridad
-
-
- Entrenamiento a los usuarios
-
-
- Herramientas para monitoreo del cumplimiento, pruebas de
intrusin y reportes
DS5 79. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- identificacin y asignacin de costos
- que satisface los requerimientos de negocio de:
- asegurar un conocimiento correcto de los costos atribuibles a
los servicios de TI
-
- se hace posible a travs de:
-
- un sistema de contabilidad de costos que asegure que stos sean
registrados, calculados y asignados a los niveles de detalle
requeridos y al apropiado servicio ofrecido
-
-
-
- Recursos identificables y medibles
-
-
-
- Procedimientos y polticas de cargo
-
-
-
- Tarifas de cargo y procesos de reversin de
-
-
-
- Conexin a acuerdo de niveles de servicio
-
-
-
- Verificacin de comprensin de beneficios
DS6 80. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- educacin y entrenamiento de usuarios
- que satisface los requerimientos de negocio de:
- asegurar que los usuarios estn haciendo un uso efectivo de la
tecnologa y sean conscientes de los riesgos y
- responsabilidades involucrados
-
- se hace posible a travs de:
-
- un plan completo de entrenamiento y desarrollo
-
-
- Inventario de habilidades
-
-
- Campaas de concientizacin
-
-
- Tcnicas de concientizacin
-
-
- Uso de nuevas tecnologas y mtodos de
-
-
- Productividad del personal
-
-
- Desarrollo de una base de conocimientos
DS7 81. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- Apoyo y asistencia a los clientes de TI
- que satisface los requerimientos de negocio de:
- asegurar que cualquier problema experimentado por los
- usuarios sea atendido apropiadamente
-
- se hace posible a travs de:
-
- un help desk, o mesa de control y ayuda, que
-
- proporcione soporte y asesora de primera lnea
-
-
- consultas de los clientes y respuesta a
-
-
- monitoreo de consultas y respuestas
-
-
- anlisis y reporte de tendencias
-
-
- Desarrollo de una base de conocimientos
-
-
- Escalamiento y seguimiento de problemas
DS8 CPC. Eduardo Miranda Valdivia 82. REAS DE REVISIN AUDITORA
DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- Administracin de la configuracin
- que satisface los requerimientos de negocio de:
- dar cuenta de todos los componentes de TI, prevenir
- alteraciones no autorizadas, verificar la existencia fsica
y
- proporcionar una base para la sana administracin del
cambio
-
- se hace posible a travs de:
-
- controles que identifiquen y registren todos los activos de TI
as como su localizacin fsica y un programa regular de verificacin
que confirme su existencia
-
-
- administracin de cambios en la configuracin
-
-
- chequeo de software no autorizado
-
-
- controles de almacenamiento de software
-
-
- Integracin e interrelacin de hardware y
-
-
- Uso de herramientas automatizadas
DS9 83. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- administracin de problemas e incidentes
- que satisface los requerimientos de negocio de:
- asegurar que los problemas e incidentes sean resueltos y que
sus causas sean investigadas para prevenir cualquier
-
- se hace posible a travs de:
-
- un sistema de administracin de problemas que
-
- registre y d seguimiento a todos los incidentes
-
-
- pistas de auditora de problemas y soluciones
-
-
- resolucin oportuna de problemas reportados
-
-
- procedimientos de escalamiento
-
-
- accesibilidad a la informacin de la configuracin
-
-
- responsabilidades del proveedor
-
-
- coordinacin con la administracin de cambios
DS10 CPC. Eduardo Miranda Valdivia 84. REAS DE REVISIN AUDITORA
DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- que satisface los requerimientos de negocio de:
- asegurar que los datos permanezcan completos, precisos y vlidos
durante su entrada, actualizacin y almacenamiento
-
- se hace posible a travs de:
-
- una combinacin efectiva de controles generales y de
-
- aplicacin sobre las operaciones de TI
-
-
- controles sobre documentos fuente
-
-
- controles de entrada, procesamiento y salida
-
-
- identificacin, movimiento y administracin de la librera de
medios
-
-
- Recuperacin y almacenamiento de datos
-
-
- autenticacin e integridad
-
-
- polticas de administracin de datos
-
-
- modelos de datos y estndares de representacin de datos
-
-
- integracin y consistencia en todas las plataformas
-
-
- requisitos legales y regulatorios
DS11 85. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- Administracin de instalaciones (sitios donde se procesa
informacin)
- que satisface los requerimientos de negocio de:
- proporcionar un ambiente fsico conveniente que proteja los
equipos y al personal de TI contra peligros naturales o fallas
humanas
-
- se hace posible a travs de:
-
- la instalacin de controles fsicos y ambientales adecuados que
sean revisados regularmente para garantizar su adecuado
funcionamiento
-
-
- identificacin del sitio (instalacin)
-
-
- Polticas de inspeccin y escalamiento
-
-
- Plan de continuidad de negocios y administracin de crisis
-
-
- salud y seguridad del personal
-
-
- Polticas de mantenimiento preventivo
-
-
- proteccin contra amenazas ambientales
DS12 86. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- administracin de operaciones
- que satisface los requerimientos de negocio de:
- asegurar que las funciones importantes de soporte de TI
estn
- siendo llevadas a cabo regularmente y de una manera
ordenada
-
- se hace posible a travs de:
-
- una programacin o planeacin de las actividades que sea
-
- registrada y diligenciada con base en el cumplimiento de
-
-
- manual de procedimiento de operaciones
-
-
- documentacin para el inicio de procesos
-
-
- administracin de servicios de red
-
-
- Programacin del personal y cargas de trabajo
-
-
- proceso de cambio de turno
-
-
- registro de eventos del sistema
-
-
- Coordinacin con las reas de administracin de cambios,
disponibilidad y manejo continuo de negocios
-
-
- Acuerdos de niveles de servicio
-
-
- Operaciones automatizadas
-
-
- Registro, rastreo y escalamiento de incidentes
DS13 87. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- que satisface los requerimientos de negocio de:
- asegurar el logro de los objetivos establecidos para los
procesos de TI
-
- se hace posible a travs de:
-
- la definicin de indicadores de desempeo
-
- gerenciales, el reporte oportuno y sistemtico del
-
- desempeo y la oportuna accin sobre las
-
-
- Tarjetas de decisin (scorecards) con indicadores de desempeo y
medicin de resultados
-
-
- evaluacin de la satisfaccin de clientes
-
-
- Base de conocimientos del desempeo histrico
M1 88. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI:
- Evaluar lo adecuado del control interno
- que satisface los requerimientos de negocio de:
- asegurar el logro de los objetivos de control interno
- establecidos para los procesos de TI
-
- se hace posible a travs de:
-
- el compromiso de la Gerencia de monitorear los
-
- controles internos, evaluar su efectividad y emitir
-
- reportes sobre ellos en forma regular
-
-
- Responsabilidades para el control interno
-
-
- Monitoreo del control interno en proceso
-
-
- reportes de errores y excepciones
-
-
- Cumplimiento con los requerimientos legales y regulatorios
M2 CPC. Eduardo Miranda Valdivia 89. REAS DE REVISIN AUDITORA DE
SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- obtencin de aseguramiento independiente
- que satisface los requerimientos de negocio de:
- incrementar los niveles de confianza entre la organizacin,
- clientes y proveedores externos
-
- se hace posible a travs de:
-
- revisiones de aseguramiento independientes llevadas a
-
- cabo en intervalos regulares
-
-
- certificaciones / acreditaciones independientes
-
-
- evaluaciones independientes de efectividad
-
-
- aseguramiento independiente sobre cumplimiento de
requerimientos legales y regulatorios
-
-
- aseguramiento independiente del cumplimiento de compromisos
contractuales
-
-
- revisiones y benchmarking a proveedores externos de
servicios
-
-
- Revisin por personal calificado del aseguramiento de
desempeo
-
-
- involucramiento proactivo de la auditora
M3 CPC. Eduardo Miranda Valdivia 90. REAS DE REVISIN AUDITORA DE
SISTEMAS DE INFORMACIN
- Control sobre el proceso de TI de:
- proveer auditora independiente
- que satisface los requerimientos de negocio de:
- incrementar los niveles de confianza y beneficiarse de
- recomendaciones basadas en mejores prcticas
-
- se hace posible a travs de:
-
- auditoras independientes desarrolladas a intervalos
-
-
- independencia de auditora
-
-
- involucramiento proactivo de la auditora
-
-
- ejecucin de auditoras por parte de personal calificado
-
-
- aclaracin de resultados y recomendaciones
-
-
- actividades de seguimiento
-
-
- Evaluacin del impacto de las recomendaciones de laauditoria
(costos, beneficios, y riesgos)
M4 CPC. Eduardo Miranda Valdivia 91. REAS DE REVISIN AUDITORA DE
SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 92.
-
-
-
-
- Gua para la implementacin
REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo
Miranda Valdivia 93.
-
-
-
-
- Gua para la implementacin
REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo
Miranda Valdivia 94. Directrices de Auditora 1 Directriz genrica34
Directrices orientadas a procesos REAS DE REVISIN AUDITORA DE
SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 95. REAS DE
REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda
Valdivia 96. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
CPC. Eduardo Miranda Valdivia 97. DirectrizGenricadeAuditora REAS
DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda
Valdivia 98. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- 1) OBTENCIN DE UN ENTENDIMIENTO
- Los pasos de auditora que se deben realizar para documentar las
actividades que generan inconvenientes a los objetivos de control,
as como tambin identificar las medidas/procedimientos de control
establecidas.
- Entrevistar al personal administrativo y de staff apropiado
para lograr la comprensin de:
-
- Los requerimientos del negocio y los riesgos asociados
-
- La estructura organizacional
-
- Los roles y responsabilidades
-
- Polticas y procedimientos
-
- Las medidas de control establecidas
-
- La actividad de reporte a la administracin (estatus,
- Documentar el proceso relacionado con los recursos de TI que se
ven especialmente afectados por el proceso bajo revisin. Confirmar
el entendimiento del proceso bajo revisin, losIndicadores Clave de
Desempeo (KPI) del proceso, las implicaciones de control, por
ejemplo, mediante una revisin paso a paso del proceso.
99. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
- 2) EVALUACIN DE LOS CONTROLES
- Los pasos de auditora a ejecutar en la evaluacin de la eficacia
de las medidas de control establecidas o el grado en el que se
logra el objetivo de control. Bsicamente, decidir qu se va a
probar, si se va a probar y cmo se va a probar.
- Evaluar la conveniencia de las medidas de control para el
proceso bajo revisin mediante la consideracin de los criterios
identificados
- y las prcticas estndares de la industria, los Factores Crticos
de xito (CSF) de las medidas de control y la aplicacin del juicio
profesional de auditor.
-
- Existen procesos documentados
-
- Existen resultados apropiados
-
- La responsabilidad y el registro de las operaciones son claros
y efectivos
-
- Existen controles compensatorios, en donde es necesario
- Concluir el grado en que se cumple el objetivo de control.
100. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN 3)
VALORACIN DEL CUMPLIMIENTO Los pasos de auditora a realizar para
asegurar que las medidas de control establecidas estn funcionando
como es debido, de manera consistente y continua, y concluir sobre
la conveniencia del ambiente de control. Obtener evidencia directa
o indirecta de puntos/perodos seleccionados para asegurarse que se
ha cumplido con los procedimientos durante el perodo de revisin,
utilizando evidencia tanto directa como indirecta. Realizar una
revisin limitada de la suficiencia de los resultados del proceso.
Determinar el nivel de pruebas sustantivas y trabajo adicional
necesarios para asegurar que el proceso de TI es adecuado. 101.
REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN 4)
JUSTIFICAR/COMPROBAR EL RIESGO Los pasos de auditora a realizar
para justificar el riesgo de que no se cumpla el objetivo de
control mediante el uso de tcnicas analticas y/o consultas a
fuentes alternativas. El objetivo es respaldar la opinin e
impresionar a la administracin para que tome accin. Los auditores
tienen que ser creativos para encontrar y presentar esta informacin
que con frecuencia es sensible y confidencial. Documentar las
debilidades de control y las amenazas y vulnerabilidades
resultantes. Identificar y documentar el impacto real y potencial;
por ejemplo, mediante el anlisis de causa-efecto. Brindar
informacin comparativa; por ejemplo, mediante benchmarks. 102. REAS
DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda
Valdivia 103. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
CPC. Eduardo Miranda Valdivia 104. Directrices de auditora Son slo
un punto de inicio para identificar tareas asociadas con
determinados objetivos de control de proceso. REAS DE REVISIN
AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia
105. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC.
Eduardo Miranda Valdivia 106. REAS DE REVISIN AUDITORA DE SISTEMAS
DE INFORMACIN PO 1 DEFINIR UN PLAN ESTRATGICO DE TI Objetivos de
control 1.-TI como parte del Plan a largo y corto plazo 2.-Plan a
largo plazo de TI 3.-Plan a largo plazo de TI - Enfoque y
Estructura 4.-Cambios al Plan a largo plazo de TI 5.-Planeacin a
corto plazo para la Funcin de Servicios de Informacin
6.-Comunicacin de los planes de TI 7.-Monitoreo y evaluacin de los
planes de TI 8.-Evaluacin de los sistemas existentes CPC. Eduardo
Miranda Valdivia 107. REAS DE REVISIN AUDITORA DE SISTEMAS DE
INFORMACIN
- Obtener un entendimiento a travs de:
-
- Director General (Chief Executive Officer)
-
- Director de Operaciones (Chief Operations Officer)
-
- Director de Finanzas (Chief Financial Officer)
-
- Director de TI (Chief Information Officer)
-
- Miembros del comit de planeacin/direccin de la funcin de
servicios de informacin.
-
- Gerencia de TI y personal de apoyo de RRHH
-
- Polticas y procedimientos inherentes al proceso de
planeacin.
-
- Roles y responsabilidades del equipo de Direccin
-
- Objetivos de la Organizacin a largo y corto plazo
-
- Objetivos de TI a largo y corto plazo
-
- Reportes y minutas de seguimiento de las reuniones