152
CPC. Eduardo Miranda Valdivia

Cobit1

Embed Size (px)

Citation preview

  • 1. CPC. Eduardo Miranda Valdivia

2. CONCEPTO BSICOS

  • Es el resultado de una investigacin con expertos de varios paises, desarrollada por la Information, Systems Audit and Control AssociationISACA.
  • Esta asociacin se ha constituido en elorganismo normalizador y orientador en el control y la auditora de los sistemas de Informacin y Tecnologa (IT).
  • El modelo CobIT ha sido aceptado y adoptado por organizaciones en el mbito mundial.

Modelo para evaluar y/o auditar la gestin y control de los de Sistemas de Informacin y Tecnologa relacionada (IT): MODELO COBIT (Control Objectives for Information Systems and related Technology) CPC. Eduardo Miranda Valdivia 3. CONCEPTO BSICOS Modelo CobiT Origen LEGISLADORES / REGULADORESUSUARIOS PRESTADORES DE SERVICIOS

  • MARCO UNICO
  • REFERENCIA
  • PRACTICAS
  • SEGURIDAD
  • Y CONTROL

ALTAGERENCIA

  • INVERSION CONTROL TI
  • BALANCE RIESGO/CONTROL
  • BASE BENCHMARKING

USUARIOS DETI

  • ACREDITACON CONTROL /SEGURIDADPOR AUDITORES O TERCEROS
  • CONFUSIN ESTANDARES

AUDITORES

  • DESGASTE
  • OPINION V.S.
  • ALTA GCIA.
  • CONSULTORES EN CONTROL/SEG.
  • TI

CPC. Eduardo Miranda Valdivia 4. CONCEPTO BSICOS

  • Proveer un marco nico reconocido a nivel mundial de las mejores prcticas de control y seguridad de TI
  • Consolidar y armonizar estndares originados en diferentes paises desarrollados.
  • Concientizar a la comunidad sobre importancia del control y la auditora de TI.
  • Enlaza los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crtico de xito
  • Aplica a todo tipo de organizaciones independiente de sus plataformas de TI
  • Ratifica la importancia de la informacin, como uno de los recursos ms valiosos de toda organizacin exitosa

O b j e t i v o sy B e n e f i c i o s CPC. Eduardo Miranda Valdivia 5. CONCEPTO BSICOS

  • COSO(Committe Of Sponsoring Org. of the Treadway Commission)
  • OECD(Organizarion for Economic Cooperation and Development)
  • ISO 9003 (International Standars Organization)
  • NIST (National Institute of Standars and Technology)
  • DTI(Departament of Trade and Industry of the U.K)
  • ITSEC(Information Technology Security Evaluation Criteria - Europa)
  • TCSEC (Trusted Computer Evaluacin Criteria - Orange Book- E.U)
  • IIA SAC (Institute of Internal Auditors - Systems Auditability and Control)
  • IS Auditing Standars Japn

COBIT Representatividad ISACA- 95 paises20.000 miembros Investigacin: E.U-Europa-Australia-Japn Consolidacin y armonizacin 18 estndares CPC. Eduardo Miranda Valdivia 6. CONCEPTO BSICOS

  • Para satisfacer los objetivos del negocio la informacin debe cumplir con criterios que COBIT extrae de los ms reconocidos modelos:

CPC. Eduardo Miranda Valdivia Requerimientos de calidad (ISO 9000-3)

  • Calidad
  • Costo
  • Entrega

7. CONCEPTO BSICOS Requerimientos fiduciarios (informe COSO)

  • Eficacia y eficiencia
  • Confiabilidad de la informacin
  • Cumplimiento con leyes y reglamentaciones

Requerimientos de seguridad (libro rojo, naranja, ISO 17799 y otros)

  • Disponibilidad
  • Integridad
  • Confidencialidad

CPC. Eduardo Miranda Valdivia 8. REGLA DE ORO DEL COBIT

  • A fin, de proveer lainformacinque la organizacin requiere para lograr susobjetivos, losrecursos de ITdeben ser administrados por un conjunto deprocesos , agrupados de forma adecuada y normalmente aceptada.

CPC. Eduardo Miranda Valdivia 9. POR QU COBIT ?

  • La Tecnologa se ve como un costo, no hay una terminologa comn con el negocio, y se recorta el presupuesto en la seguridad, ya que la falta de difusion de normas y buenas prcticas que ayuden a generar conciencia de los riesgos mantiene la quimera del :
  • A mi no me vapasar..

CPC. Eduardo Miranda Valdivia 10. POR QU COBIT?

  • La Direccin, a travs de su Gobierno Corporativo debe garantizar la debida diligencia por parte de todos los individuos involucrados en la administracin, uso, diseo, desarrollo, mantenimiento u operacin de los sistemas de informacin.

Gobierno de Tecnologa de Informacin El rol de la Direccin CPC. Eduardo Miranda Valdivia 11. QUINES NECESITAN REGLAS DE JUEGO DEFINIDAS

  • LosMandos Gerencialespara saber que deben exigir, como medir los resultados y cuales son sus responsabilidades en esos temas.Balancear el riesgo y la inversin en control de un ambiente a menudo impredecible
  • ElAuditorpara sustentar sus opiniones sobre los riesgos y la adecuacin de la tecnologa a las mejores prcticas. Ser asesores proactivos del negocio

CPC. Eduardo Miranda Valdivia 12. ADEMS ...

  • ElArea usuariapara saber que puede pedir a tecnologa y que se le va a exigir sobre el control de los procesos del negocio.Son los interesados en saber si los recursos de Tecnologa de Informacin se utilizan adecuadamente y les ayudan a alcanzar sus objetivos
  • ElGerente de Tecnologapara definir un acuerdo de servicios y justificar su inversin
  • LosOrganismos estatalesde control, para saber que es lo mnimo que pueden exigir.

CPC. Eduardo Miranda Valdivia 13. ORIENTACIN DE COBIT

  • Su orientacin hacia el negocio consiste en vincular objetivos de negocio con objetivos de TI, facilitar mtricas y modelos de madurez para medir su xito, e identificar las responsabilidades asociadas del negocio y los propietarios de los procesos de TI.

ENFOCADO EN EL NEGOCIO, ORIENTADO A PROCESO, BASADO EN CONTROLES Y DIRIGIDO POR MEDIDAS. CPC. Eduardo Miranda Valdivia 14. DEFINICIONES CPC. Eduardo Miranda Valdivia LasPlticas ,Procedimientos ,PrcticasyEstructuras Organizacionales , diseadas para asegurarrazonablementeel logro de losobjetivos del negocioy que los eventos indeseables sern prevenidos o detectados o corregidos. CONTROL Son declaraciones delresultado esperadoo del prposito a lograr mediante la implementacin de los controles en una actividad de IT especfica. Objetivos de Control de IT 15. PRINCIPIOS CPC. Eduardo Miranda Valdivia Se refiere a la informacin que es relevante para el negocio y que debe ser entregada de maneracorrecta, oportuna, consistente y usable. Efectividad Se refiere a la provisin de informacin a travs delptimo(ms productivo y econmico) uso de los recursos. Eficiencia Relativa a la proteccin de la informacin sensitiva de surevelacin no autorizada. Confidencialidad Se refiere a laexactitud y completitudde la informacin, as como suvalidez , en concordancia con los valores y expectativas del negocio. Integridad 16. PRINCIPIOS CPC. Eduardo Miranda Valdivia Se refiere a la que la informacin debe estardisponiblecuando es requerida por los procesos del negocio ahora y en el futuro. Involucra lasalvaguardade los recursos y sus capacidades asociadas. Disponibilidad Se refiere acumplircon aquellas leyes, regulaciones y acuerdos contractuales, a los que estn sujetos los procesos del negocio.Cumplimiento Se refiere a laprovisinde la informacinapropiada a la alta gerencia , para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestin. Confiabilidad 17. NECESIDAD DE RESPUESTA A LOS RETOS DE TI

  • Qu no se interrumpa el servicio
  • Qu aporte valor
  • Administrar los costos
  • Dominar la complejidad
  • Alineacin con el Negocio
  • Cumplimiento de Regulaciones
  • Seguridad.

Los 7 retos: CPC. Eduardo Miranda Valdivia 18. BUEN GOBIERNO DE TI

  • Dirigir y controlar
  • Con responsabilidad
  • Con imputabilidad (Accountability)
  • Mediante actividades (Procesos)

Principios,participantes, mbito, ventajas Los 4 principios: CPC. Eduardo Miranda Valdivia 19. NECESIDAD DE RESPUESTA A LOS RETOS DE TI

  • Principios,participantes,mbito, ventajas
  • Los participantes ( stakeholders ):
  • Internos
  • Externos

CPC. Eduardo Miranda Valdivia 20. BUEN GOBIERNO DE TI

  • Principios, participantes,mbito,ventajas
  • Las 5 reas:
  • Alineacin estratgica
  • Aportacin de Valor
  • Gestin de Riesgos
  • Gestin de Recursos
  • Medidas de Rendimiento

CPC. Eduardo Miranda Valdivia 21. BUEN GOBIERNO DE TI

  • Principios, participantes, mbito,ventajas
  • Las 5 ventajas:
  • Confianza de la Alta Direccin
  • TI es co-responsable al negocio
  • Retorno de Inversin Superior
  • Servicios ms confiables
  • Mayor transparencia

CPC. Eduardo Miranda Valdivia 22. MARCOS DE BUEN GOBIERNO Y DE TI

  • Las 5 caractersticas generales de un buen marco:
  • Enfocado al Negocio
  • Orientado a Procesos
  • Generalmente aceptado
  • Utilice un lenguaje comn
  • Cumpla con los requisitos regulatorios

CPC. Eduardo Miranda Valdivia 23. Propuesta de solucin

  • Expectativas sobre COBIT (1)
  • Alta Gerencia:
  • Utilizar los procesos de COBIT para lograr un lenguaje comn entre el negocio y TI y asignar responsabilidades claras
  • Gerencias Usuarias:
  • Utilizar los objetivos de control de COBIT para determinar las necesidades que sern cubiertas por los Acuerdos de Niveles de Servicio

CPC. Eduardo Miranda Valdivia 24. Propuesta de solucin

  • Expectativas sobre COBIT (2)
  • Auditora Interna:
  • Utilizar los objetivos de control de COBIT como un criterio para evaluar y definir el alcance a revisar
  • Gerente TI:
  • Utilizar los objetivos de control de COBIT para:
  • estructurar los procesos
  • establecer objetivos de los procesos
  • medir el desempeo de los procesos / gestin
  • generar polticas y procedimientos

CPC. Eduardo Miranda Valdivia 25. Fase 1

  • Levantamiento de procesos actuales

Procesos de trabajo Recursosde TI Criterios de Informacin

  • Datos
  • Sistemas de Aplicacin
  • Infraestructura
  • Tecnolgica
  • Instalaciones Fsicas
  • Recursos humanos
  • Planeacin y organizacin
  • Adquisicin e implantacin de soluciones
  • Entrega de servicio y soporte
  • Monitoreo
  • Efectividad
  • Eficiencia
  • Confidencialidad
  • Integridad
  • Disponibilidad
  • Cumplimiento
  • Confiabilidad

CPC. Eduardo Miranda Valdivia 26. Fase 1

  • Levantamiento de procesos actuales

Procesos de trabajo Recursosde TI Criterios de Informacin

  • Objetivos de Control
  • Factores Crticos de xito
  • Indicadores de Resultados
  • Indicadores de Desempeo

CPC. Eduardo Miranda Valdivia Recursosde TI 27. EL MODELO DEL MARCO DE TRABAJO DE COBIT El marco de trabajo COBIT, relaciona los requerimientos de informacin y de gobierno a los objetivos de la funcin de servicio de TI. El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control de COBIT, y alineados y monitoreados usando las mtricas KGI y KPI de COBIT Administracin, Control, Alineacin y Monitoreo de Cobit. OBJETIVOS DE NEGOCIO Aplicaciones Informacin Infraestructura Gente Criterios de Informacin Recursosde TI Procesos de TI Objetivos de Control de Alto Nivel Indicadores clave de Objetivos Indicadores clave de Rendiemiento Resultados de Negocio Drivers de Gobernabilidad Procesos de TI Objetivos de TI 28. ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL Dominios Procesos Actividades Efectividad Procesos y Objetivos de Control de TI Recursos TI Personas Aplicaciones Infraestructura Dominios Procesos Actividades Informacin Eficiencia Integridad Disponibilidad Confidencialidad Confiabilidad Cumplimiento Criterios de Informacin CPC. Eduardo Miranda Valdivia 29. CLASIFICACIN

  • Agrupamiento lgico de procesos, a menudo se concibe como dominios de responsabilidad dentro de una estructura y se relaciona con el ciclo de vida aplicable a los procesos de Tecnologa de Informacin.
  • Una serie de actividades o tareas vinculadas con cortes (de control) naturales.
  • Son necesarias para lograr un resultado mensurable. Las actividades tienen un ciclo de vida mientras que las tareas son discretas.

Procesos Actividadeso tareas Dominios CPC. Eduardo Miranda Valdivia 30. COBIT Estructura del Modelo CPC. Eduardo Miranda Valdivia Dominios deControl en Tecnologa deInformacin 31. CPC. Eduardo Miranda Valdivia

  • Resumen Ejecutivo
  • Casos de Estudio
  • Preguntas Frecuentes
  • Presentaciones Power Point
  • Guas de Implementacin
    • Diagnstico Conciencia Administrativa
    • Diagnstico Control de TI

Resumen Ejecutivo Marco Referencial-Esquema Objetivos de Alto Nivel Lineamientos Gerenciales Objetivos de Control Detallados Guas de Auditora Modelos de Madurez Factores Crticos de Exito Indicadores Clave de Rendimiento Indicadores Clave de Logros Herramientas de implementacin CobiT: enfoque e implementacin Prcticas de Control 32. Dominios TI(4) Objetivos de control(318) Guas Auditoria De TI (34) GERENCIA - UNIDADES DE NEGOCIO - IT PERSONALIZACIN DE LAS GUIAS EJECUCIN DE LA AUDITORIA EVALUACION ADMINISTRATIVA EVALUACION AUDITORIA 2 1 :Nivel Control General2 :Nivel Detallado Control3 :Nivel Detallado Auditora 2 1 1 2 2 Procesos/ Actividades(34) 3 COBIT Aplicacin del modelo CPC. Eduardo Miranda Valdivia 33. DOMINIOS DEL COBIT

  • Abarcaaspectos estratgicos y tcticos
  • Se vincula con la identificacin de la forma en que la tecnologa de informacin puede contribuir ms adecuadamente con el logro de los objetivos del negocio.
  • Incluye las actividades de planificar, comunicar y administrar la realizacin de la visin estratgica desde distintas perspectivas.

Planeacin y Organizacin CPC. Eduardo Miranda Valdivia 34. DOMINIO Planificacin y Organizain Proceso: PO1 Definicin de un plan estratgico de TI Proceso: PO2 Definicin de la arquitectura de la informacin Proceso: PO3 Determinacin de la direccin tecnolgica Proceso: PO4 Definicin de la organizacin y el relacionamiento en TI Proceso: PO5 Administracin de la inversin en TI Proceso: PO6 Comunicacin de los objetivos y directivas de la gerencia Proceso: PO7 Administracin de los recursos humanos Proceso: PO8 Aseguramiento del cumplimiento de los requerimientos externos Proceso: PO9 Evaluacin de riesgos Proceso: PO10 Administracin de proyectos Proceso: PO11 Administracin de la calidad CPC. Eduardo Miranda Valdivia 35. DOMINIOS DE COBIT

  • Identificacin, desarrollo o adquisicin de soluciones de Ti
  • Implantacin e integracin en el proceso de negocio.
  • Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.

Adquisicin e Implementacin CPC. Eduardo Miranda Valdivia 36. DOMINIO Adquisicin e Implementacin Proceso: AI12 Identificacin de soluciones Proceso: AI13 Adquisicin y mantenimiento de software de aplicacin Proceso: AI14 Adquisicin y mantenimiento de la infraestructura tecnolgica Proceso: AI15 Desarrollo y mantenimiento de procedimientos de TI Proceso: AI16 Instalacin y certificacin de sistemas Proceso: AI17 Administracin de cambios CPC. Eduardo Miranda Valdivia 37. DOMINIOS DE COBIT

  • Prestacin efectiva de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitacin.
  • Procesos de soporte necesarios.
  • Procesamiento real de los datos por los sistemas de aplicacin.

Entrega y Soporte CPC. Eduardo Miranda Valdivia 38. DOMINIO Entrega y Soporte Proceso: DS18 Definicin de los niveles del servicio Proceso: DS19 Administracin de los servicios prestados terceros Proceso: DS20 Administracin de la capacidad y del desempeo del sistema Proceso: DS21 Aseguramiento de la continuidad del servicio Proceso: DS22 Establecimiento de pautas para la seguridad de los sistemas Proceso: DS23 Identificacin e imputacin de costos CPC. Eduardo Miranda Valdivia 39. DOMINIO Entrega y Soporte Proceso: DS24 Educacin y capacitacin de los usuarios Proceso: DS25 Asistencia y asesoramiento a los clientes de TI Proceso: DS26 Administracin de la configuracin Proceso: DS27 Administracin de problemas e incidentes Proceso: DS28 Administracin de datos Proceso: DS29 Administracin de instalaciones Proceso: DS30 Administracin de las operaciones CPC. Eduardo Miranda Valdivia 40. DOMINIOS DE COBIT

  • Evaluar regularmente todos losprocesos de TI para determinar su calidady el cumplimiento de los requerimientos de control.
  • Seguimientode la gerencia sobre los procesos de control de la organizacin
  • Garanta independiente provista por la auditoria interna y externa u obtenida de fuentes alternativas.

Monitoreo CPC. Eduardo Miranda Valdivia 41. DOMINIO Monitoreo Proceso: ME31 Monitoreo de los procesos Proceso: ME32 Evaluacin de la adecuacin del control interno Proceso: ME33 Obtencin de aseguramiento independiente Proceso: ME34 Provisin de auditoria independiente CPC. Eduardo Miranda Valdivia 42. PROCESOS AI1 Identificar solucionesde IT Administrar los cambiosAdquirir y mantenersoftware aplicativo Adquirir y mantenerarquitectura tecnolgica Desarrollar y mantenerprocedimientos de IT Instalar y acreditarsistemas AI2 AI3 AI4 AI5 AI6 P S P P S S P P S S P P S S S P S S P P P S P CRITERIOSRECURSOS EFECTIVIDAD EFICIENCIA CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CUMPLIMIENTO CONFIABILIDAD APLICACIONES TECNOCLOGA FACILIDADES DATOS PERSONAS DOMINIO AI : Adquisicin e ImplementacinCOBIT Navegacin (Matriz) CPC. Eduardo Miranda Valdivia 43. DEFINICIN DE PROCESOS DE TI

  • PO1: Definir el Plan estratgico de IT
  • La funcin de servicios de informacin debera asegurar que hay planes a corto y largo plazo para administrar y orientar todos losrecursos de ITde la organizacin.Estos planes deben ser actualizados de manera correcta y oportuna para adecuarlos a los cambios de las condiciones de laIT .La evaluacin de los sistemas existentes debe realizarseantesde desarrollar o modificar el plan estratgico deIT .As mismo, lafuncin de administracin de los servicios de informacindebe asegurar que el plan estratgico deITesconsistentecon los objetivos del negocio, y los planes a corto y largo plazo de la organizacin.

CPC. Eduardo Miranda Valdivia 44. OBJETIVOS DE CONTROL DE TI - DETALLADOS 1 La TI como parte de los planes a corto/largoplazo de la empresa 2 Plan a largo plazo de la TI 3 Enfoque y estructura del Plan a largo plazo de la TI 4 Cambiosal Plan a largoplazode la TI Plan corto plazo de la funcin deserviciosde TI 5 PROCESO: PO1: Definir el Plan Estratgico de TI DOMINIO PO : Planeaciny Organizacin Objetivos de Control - Detallados Y tiene enconsideracin: Evaluacin objetivos de control detallados CPC. Eduardo Miranda Valdivia 45. PRODUCTOS DE COBIT PRODUCTOS DE COBIT CPC. Eduardo Miranda Valdivia 46. INTERRELACIN DE LOS COMPONENTES DE COBIT Negocio Procesos de TI Requerimientos InformacinObjetivos de Control Practicas de Control Guas de Auditora Metas de las Actividades Modelo de Madurez Indicadores Clave deMetas Indicadores Clave deDesempeo Auditado por Medida para Implementado con Transformado en Para desempeo Para Madurez Controlado por LograndoEfectividad y Eficiencia con Para resultados CPC. Eduardo Miranda Valdivia 47. CONTROLES GENERALES Controles Generales sobre procesos de TI Controles sobreprocesos de negocio que utilizan TI Desarrollo de soluciones Administracin de Cambios Seguridad Operacin del Computador Integridad (completitud) Precisin Validez Autorizacin Segregacin de Funciones CPC. Eduardo Miranda Valdivia 48. CONTROLES DE APLICACIN - ORIGEN Autorizacin de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS

  • Preparacin de Datos(AC1)
  • Autorizacin de documentos fuente(AC2)
  • Recoleccin de datos fuente(AC3)
  • Manejo de errores en documentos fuente(AC4)
  • Retencin de documentos fuente(AC5)

Los departamentos usuarios implementan y dan seguimiento a los procedimientos de preparacin de datos. En este contexto, el diseo de los formatos de entrada asegura que los errores y las omisiones se minimicen. Los procedimientos de manejo de errores durante la generacin de los datos aseguran de forma razonable que los errores y las irregularidades son detectadas, reportadas y corregidas El personal autorizado, actuando dentro de su autoridad, prepara los documentos fuente de forma adecuada y existe una segregacin de funciones apropiada con respecto a la generacin y aprobacin de los documentos fuente. Los procedimientos garantizan que todos los documentos fuente autorizados son completos y precisos, debidamente justificados y transmitidos de manera oportuna para su captura. Los procedimientos de manejo de errores durante la generacin de los datos aseguran de forma razonable la deteccin, el reporte y la correccin de errores e irregularidades. Existen procedimientos para garantizar que los documentos fuente originales son retenidos o pueden ser reproducidos por la organizacin durante un lapso adecuado de tiempo para facilitar el acceso o reconstruccin de datos as como para satisfacer los requerimientos legales. CPC. Eduardo Miranda Valdivia 49. CONTROLES DE APLICACIN - INPUT Autorizacin de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS

  • Procedimientos de autorizacin de captura de datos(AC6)
  • Verificacin de precisin, integridad y autorizacin(AC7)
  • Manejo de errores en la entrada de datos(AC8)

Los procedimientos aseguran que solo el personal autorizado capture los datos de entrada. Los datos de transacciones, ingresados para ser procesados (generados por personas, por sistemas o entradas de interfases) estn sujetos a una variedad de controles para verificar su precisin, integridad y validez. Los procedimientos tambin garantizan que los datos de entrada son validados y editados tan cerca del punto de origen como sea posible. Existen y se siguen procedimientos para la correccin y re-captura de datos que fueron ingresados de manera incorrecta. CPC. Eduardo Miranda Valdivia 50. CONTROLES DE APLICACIN - PROCESAMIENTO Autorizacin de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS

  • Integridad en el procesamiento de datos(AC9)
  • Validacin y edicin del procesamiento de datos(AC10)
  • Manejo de errores en el procesamiento de datos(AC11)

Los procedimientos para el procesamiento de datos aseguran que la separacin de funciones se mantiene y que el trabajo realizado de forma rutinaria se verifica. Los procedimientos garantizan que existen controles de actualizacin adecuados, tales como totales de control de corrida-a-corrida, y controles de actualizacin de archivos maestros Los procedimientos garantizan que la validacin, la autenticacin y la edicin del procesamiento de datos se realizan tan cerca como sea posible del punto de generacin. Los individuos aprueban decisiones vitales que se basan en sistemas de inteligencia artificial. Los procedimientos de manejo de errores en el procesamiento de datos permiten que las transacciones errneas sean identificadas sin ser procesadas y sin una indebida interrupcin del procesamiento de otras transacciones vlidas. Fernando Rada Barona - Consultor 51. CONTROLES DE APLICACIN - OUTPUT Autorizacin de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS

  • Manejo y retencin de salidas(AC12)
  • Distribucin de Salidas(AC13)
  • Cuadre y conciliacin de salidas(AC14)
  • Revisin de Salidas y Manejo de errores(AC13)
  • Provisin de seguridad para reportes de salida(AC14)

El manejo y la retencin de salidas provenientes de aplicaciones de TI siguen procedimientos definidos y tienen en cuenta los requerimientos de privacidad y de seguridad. Los procedimientos para la distribucin de las salidas de TI se definen, se comunican y se les da seguimiento. Las salidas cuadran rutinariamente con los totales de control relevantes. Las pistas de auditora facilitan el rastreo del procesamiento de las transacciones y la conciliacin de datos alterados. Los procedimientos garantizan que tanto el proveedor como los usuarios relevantes revisan la precisin de los reportes de salida. Tambin existen procedimientos para la identificacin y el manejo de errores contenidos en las salidas. Existen procedimientos para garantizar que se mantiene la seguridad de los reportes de salida, tanto para aquellos que esperan ser distribuidos como para aquellos que ya estn entregados a los usuarios. CPC. Eduardo Miranda Valdivia 52. CONTROLES DE APLICACIN ENTORNO CON TERCEROS Autorizacin de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS

  • Autenticidad e Integridad(AC15)
  • Proteccin de informacin sensitiva durante su transmisin y transporte(AC16)

Se verifica de forma apropiada la autenticidad e integridad de la informacin generada fuera de la organizacin, ya sea que haya sido recibida por telfono, por correo de voz, como documento en papel, fax o correo electrnico, antes de que se tomen medidas potencialmente crticas. Se proporciona una proteccin adecuada contra accesos no autorizados, modificaciones y envos incorrectos de informacin sensitiva durante la transmisin y el transporte. CPC. Eduardo Miranda Valdivia 53.

  • Resumen deC OBI T
  • Marco para revisar TI
  • 4 dominios
  • Cada dominio con procesos -- 34 en total
  • Cada proceso con objetivos de control de alto nivel
  • De 3 a 30 objetivos de control detallados
  • Estos objetivos provienen de 41 fuentes
  • Herramientas navegacionales cascada/cubo
  • Un mtodo lgico y sistemtico para definir y comunicar los objetivos de control

REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 54. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • Definicin de un plan Estratgico de TI
  • que satisface los requerimientos del negocio de:
    • Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos del negocio para TI, as como para asegurar sus logros futuros.
  • se hace posible a travs de:
      • un proceso de planeacin estratgica emprendido en intervalos regulares dando lugar a planes a largo plazo. Los planes a largo plazo debern ser traducidos peridicamente en planes operacionales estableciendo metas claras y concretas a corto plazo:
      • y toma en consideracin:
        • Estrategia del negocio de la empresa
        • Definicin de cmo TI soporta los objetivos de negocio
        • inventario de soluciones tecnolgicas e infraestructura actual
        • Monitoreo del mercado de tecnologa
        • Estudios de factibilidad oportunos y chequeos con la realidad
        • Anlisis de los sistemas existentes
        • Posicin de la empresa sobre riesgos, en el proceso de compra
        • Necesidades de la Admn. senior en el proceso decompra

PO1 55. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • DEFINICIN DE UN PLAN ESTRATGICO DE TI
  • 1.1 Tecnologa de Informacin como parte del Plan de la
  • Organizacin a corto y largo plazo.
  • OBJETIVO DE CONTROL
  • La alta gerencia ser la responsable de desarrollar e implementarplanes a largo y corto plazoque satisfagan la misin y las metas de la organizacin. A este respecto, la alta gerencia deber asegurar que los problemas de TI, as como las oportunidades , sean evaluados adecuadamente y reflejados en los planes a largo y corto plazo de la organizacin.Se deben desarrollar planes de TI a largo y corto plazo para ayudar a asegurar que el uso de la TI est acorde con la misin y las estrategias de negocio de la organizacin.

56. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • 1.2 Plan a largo plazo de TI
    • OBJETIVO DE CONTROL
    • La Gerencia de TI y los dueos del proceso de negocio
    • sern responsables de desarrollar regularmente planes
    • de TI a largo plazo , queapoyen el logro de la misin y
    • las metas generales de la organizacin .El mtodo de
    • planeacin deber incluir mecanismos para solicitar
    • informacin a los interesados internos y externos ms
    • importantes, que se ven afectados por los planes
    • estratgicos de TI.De la misma manera, la Gerencia
    • deber implementar un proceso de planeacin a largo
    • plazo, adoptar un enfoque estructurado y determinar la
    • estructura para el plan.

CPC. Eduardo Miranda Valdivia 57. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN 1.3 Plan a largo plazo de TI - Enfoque y Estructura OBJETIVO DE CONTROL La Gerencia de TI y los dueos del proceso de negocio debern establecer y aplicar un enfoque estructurado al proceso de planeacin a largo plazo.Esto deber traer como resultado un plan de alta calidad que cubra las preguntas bsicas de qu, quin, cmo, cundo y por qu el proceso de planeacin de TI debe tomar en cuenta los resultados del anlisis del riesgo, incluyendo los riesgos del negocio, entorno, tecnologa y recursos humanos .Los aspectos que necesitan ser tomados en cuenta y ser cubiertos adecuadamente durante el proceso de planeacin incluyen el modelo de organizacin y sus cambios, la distribucin geogrfica,la evolucin tecnolgica , los costos, los requerimientos legales y regulatorios, requerimientos de terceras partes o del mercado, el horizonte de planeacin, reingeniera de procesos del negocio, la asignacin de personal, outsourcing, datos, sistemas de aplicacin y arquitecturas de la tecnologa. Los planes de TI, de largo y corto alcance debern incorporar indicadores y objetivos de desempeo. El plan mismo deber hacer referencia a otros planes tales como el plan de calidad de la organizacin y el plan de manejo de riesgos de informacin. 58. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • 1.4 Cambios al Plan a largo plazo de TI
  • OBJETIVO DE CONTROL
    • La gerencia de TI y los dueos del proceso del negocio
    • debern asegurar que se establezca un proceso con el fin
    • de adaptar los cambios al plan a largo plazo de la
    • organizacin y los cambios en las condiciones de la TI.
    • La gerencia Senior deber establecer una poltica que
    • requiera que se desarrollen y se mantengan planes de
    • largo y corto plazo de TI.

59. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • 1.5 Planeacin a corto plazo para la Funcin de TI
  • OBJETIVO DE CONTROL
    • La Gerencia de TI y los dueos del proceso del negocio
    • debern asegurar que el plan a largo plazo de TI se
    • traduzca regularmente en planes a corto plazo de TI.
    • Estos planes a corto plazo debern asegurar que se
    • asignen losrecursos apropiados de la funcin de
    • servicios de T I con una base consistente con el plan a
    • largo plazo de TI .Los planes a corto plazo debern ser reevaluados y modificados peridicamentesegn reconsidere necesario respondiendo a las condiciones de cambios en el negocio y en TI. La realizacin oportunade estudios de factibilidad deber asegurar que la
    • ejecucin de los planes a corto plazo sea iniciada
    • adecuadamente.

60. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • 1.6 Comunicacin de los Planes de TI
  • OBJETIVO DE CONTROL
    • La gerencia debe asegurar que los planes de largo y
    • de corto plazo de tecnologa de la informacin sean
    • comunicados a los dueos del proceso del negocio y
    • a otras partes relevantes en toda la organizacin.
  • 1.7 Monitoreo y Evaluacin de los Planes de
  • Tecnologa de la Informacin
  • OBJETIVO DE CONTROL
    • La gerencia debe establecer procesos para captar y
    • reportar la retroalimentacin de los dueos y usuarios del proceso del negocio respecto a la calidad y utilidad de los planes de largo y de corto plazo. La retroalimentacin obtenida debe ser evaluada y considerada en la planeacin futura de la tecnologa de la informacin.

61. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • 1.8 Evaluacin de los Sistemas Existentes
  • OBJETIVO DE CONTROL
    • Previo al desarrollo o modificacin del Plan
    • Estratgico o plan a largo plazo de TI, la Gerencia de
    • TI debe evaluar los sistemas existentes en trminos
    • de: nivel de automatizacin de negocio,
    • funcionalidad, estabilidad, complejidad, costo y
    • fortalezas y debilidades, con el propsito de
    • determinar el nivel de soporte que ofrecen los
    • sistemas existentes a los requerimientos del negocio.

CPC. Eduardo Miranda Valdivia 62. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • Definicin de la Arquitectura de Informacin
  • que satisface los requerimientos de negocio de:
  • organizar de la mejor manera los sistemas de informacin
    • se hace posible a travs de:
    • la creacin y mantenimiento de un modelo de
    • informacin de negocios y asegurando que se definan
    • sistemas apropiados para optimizar la utilizacin de
    • esta informacin
      • y toma en consideracin:
      • Repositorio automatizado de datos y diccionario
      • reglas de sintaxis de datos
      • propiedad de la informacin y clasificacin con base en criticidad /seguridad
      • un modelo de informacin que represente el negocio
      • Normas de arquitectura de informacin de la empresa

PO2 CPC. Eduardo Miranda Valdivia 63. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • determinacin de la direccin tecnolgica
  • que satisface los requerimientos de negocio de:
  • aprovechar la tecnologa disponible y las que van apareciendo en
  • el mercado para impulsar y posibilitar la estrategia del negocio.
    • se hace posible a travs de:
    • la creacin y mantenimiento de un plan de infraestructura tecnolgica que establece y administra expectativas claras y realistas de lo que puede brindar la tecnologa en trminos de productos, servicios y mecanismos de entrega
      • y toma en consideracin:
      • capacidad de la infraestructura actual
      • monitoreo de desarrollos tecnolgicos por la va de fuentes confiables
      • realizacin de prueba de conceptos
      • riesgos, restricciones y oportunidades
      • planes de adquisicin
      • estrategia de migracin y mapas alternativos (roadmaps)
      • relaciones con los vendedores
      • reevaluacin independiente de la tecnologa
      • Cambios de precio /desempeo de hardware y de software

PO3 64. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • definicin de la organizacin y de las relaciones de TI
  • que satisface los requerimientos de negocio de:
  • prestacin de los servicios correctos de TI
    • se hace posible a travs de:
    • una organizacin conveniente en nmero y habilidades, con
    • tareas y responsabilidades definidas y comunicadas, acordes con el negocio y que facilita la estrategia y provee una direccin efectiva y un control adecuado.
      • y toma en consideracin:
      • responsabilidades del nivel directivo sobre TI
      • direccin de la gerencia y supervisin de TI
      • Alineacin de TI con el negocio
      • participacin de TI en los procesos clave de decisin
      • flexibilidad organizacional
      • roles y responsabilidades claras
      • equilibrio entre supervisin y delegacin de autoridad
      • descripciones de puestos de trabajo
      • Niveles de asignacin de personal y personal clave
      • Ubicacin organizacional de las funciones de seguridad, calidad y control interno
      • Segregacin de funciones

PO4 65. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • Manejo o administracin de la inversin de TI
  • que satisface los requerimientos de negocio de:
  • asegurar el financiamiento y el control de desembolsos de
  • recursos financieros
    • se hace posible a travs de:
    • Inversin peridica y presupuestos operacionales
    • establecidos y aprobados por el negocio
      • y toma en consideracin:
      • alternativas de financiamiento
      • Claros responsables del presupuesto
      • Control sobre los gastos actuales
      • justificacin de costos y concienciacin sobre el costo total de la propiedad
      • j u s ti f icacin del beneficio y contabilizacin de todos los beneficios
      • obtenidos
      • Ciclo de vida del software de aplicacin y de la tecnologa
      • Alineacin con las estrategias del negocio de la empresa
      • Anlisis de impacto
      • Administracin de los activos

PO5 66. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • comunicacin de los objetivos y aspiraciones de la gerenciaque satisface los requerimientos de negocio de:
  • asegurar que el usuario sea consiente y comprenda dichas aspiraciones
    • se hace posible a travs de:
    • polticas establecidas y transmitidas a la comunidad de usuarios; adems, se necesitan estndares para traducirlas opciones estratgicas en reglas de usuario prcticas y utilizables
      • y toma en consideracin:
      • Misin claramente articulada
      • Directivas tecnolgicas vinculadas con aspiraciones de negocios
      • Cdigo de tica / conducta
      • Compromiso con la calidad
      • Polticas de seguridad y control interno
      • Practicas de seguridad y control interno
      • Ejemplos de liderazgo
      • Programacin continua de comunicaciones
      • Proveer guas y verificar su cumplimiento

PO6 CPC. Eduardo Miranda Valdivia 67. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • administracin de recursos humanos
  • que satisface los requerimientos de negocio de:
  • Adquirir y mantener una fuerza de trabajo motivada y
  • competente y maximizar las contribuciones del personal a los
  • procesos de TI
    • se hace posible a travs de:
    • prcticas de administracin de personal, sensatas,justas y transparentes para reclutar, alinear, pensionar, compensar, entrenar, promover y despedir
      • y toma en consideracin:
      • reclutamiento y promocin
      • Entrenamiento y requerimientos de calificaciones
      • desarrollo de conciencia
      • entrenamiento cruzado y rotacin de puestos
      • Procedimientos para contratacin, veto y despidos
      • evaluacin objetiva y medible del desempeo
      • responsabilidades sobre los cambios tcnicos y de mercado
      • Balance apropiado de recursos internos y externos
      • Plan de sucesin para posiciones clave

PO7 CPC. Eduardo Miranda Valdivia 68. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • aseguramiento del cumplimiento de requerimientos externos
  • que satisface los requerimientos de negocio de:
  • cumplir con obligaciones legales, regulatorias y contractuales
    • se hace posible a travs de:
    • la identificacin y anlisis de los requerimientos
    • externos en cuanto a su impacto en TI, y realizando las
    • medidas apropiadas para cumplir con ellos
      • y toma en consideracin:
      • leyes, regulaciones y contratos
      • monitoreo de desarrollos legales y regulatorios
      • Monitoreo regular sobre cumplimiento
      • seguridad y ergonoma
      • privacidad
      • propiedad intelectual

PO8 69. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • anlisis de riesgos
  • que satisface los requerimientos de negocio de:
  • Soportar las decisiones de la gerencia a travs del logro de los
  • objetivos de TI y responder a las amenazas reduciendo su
  • complejidad e incrementando objetivamente e identificando factores importantes de decisin.
    • se hace posible a travs de:
    • la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, involucrando funcionesmultidisciplinarias y tomando medidas efectivas en coste para mitigar los riesgos
      • y toma en consideracin:
      • Administracin de riesgos de la propiedad y del registro de las operaciones
      • diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de seguridad, de continuidad, regulatorios, etc.)
      • Definir y comunicar un perfil tolerable de riesgos
      • Anlisis de las causas y sesiones de tormenta de ideas sobre riesgos
      • Medicin cuantitativa y/o cualitativa de los riesgos
      • metodologa de anlisis de riesgos
      • Plan de accin contra los riesgos
      • Volver a realiza anlisis oportunos

PO9 70. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • administracin de proyectosque satisface los
  • requerimientos de negocio de:
  • establecer prioridades y entregar servicios oportunamente y de
  • acuerdo al presupuesto de inversin
    • se hace posible a travs de:
    • La organizacin identificando y priorizando proyectos en lnea con el plan operacional y la adopcin y aplicacin de tcnicas de administracin de proyectos para cada proyecto emprendido
      • y toma en consideracin:
      • El patrocinio que la gerencia de negocios debe dar a los proyectos
      • Administracin de programas
      • Capacidad para el manejo de proyectos
      • Involucramiento del usuario
      • Divisin de tareas, puntos de control y aprobacin de fases
      • Distribucin de responsabilidades
      • Rastreo riguroso de puntos de control y entregables
      • Costos y presupuestos de mano de obra, balance de recursos internos y externos
      • Planes y mtodos de aseguramiento de calidad
      • Programa y anlisis de riesgos del proyecto
      • Transicin de desarrollo a operacin

PO10 71. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • Administracin de la calidad
  • que satisface los requerimientos de negocio de:
  • satisfacer los requerimientos del cliente de TI
    • se hace posible a travs de:
    • la planeacin, implementacin y mantenimiento de estndares de administracin de calidad y sistemas provistos para las distintas fases de desarrollo, claros entregables y responsabilidades explcitas
      • y toma en consideracin:
      • Establecimiento de una cultura de calidad
      • Planes de calidad
      • responsabilidades de aseguramiento de la calidad
      • Practicas de control de calidad
      • metodologa del ciclo de vida de desarrollo de sistemas
      • pruebas y documentacin de sistemas y programas
      • revisiones y reporte de aseguramiento de calidad
      • Entrenamiento e involucramiento del usuario final y del personal de aseguramiento de calidad
      • Desarrollo de una base de conocimiento de aseguramiento de calidad
      • Benchmarking contra las normas de la industria

PO11 72. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • Identificacin de soluciones automatizadas
  • que satisface los requerimientos de negocio de:
  • asegurar un efectivo y eficiente enfoque para satisfacer los requerimientos del usuario
    • se hace posible a travs de:
    • Una objetiva y clara identificacin y anlisis de oportunidades alternativas comparadas contra los requerimientos de los usuarios
      • y toma en consideracin:
      • Conocimientos de soluciones disponibles en el mercado
      • Metodologas de Adquisicin e implementacin
      • Involucramiento del usuario en el proceso de compra
      • Alineamiento con las estrategias de la empresa y de TI
      • definicin de requerimientos de informacin
      • estudios de factibilidad ( de costo-beneficio, alternativas, etc)
      • Requerimientos de funcionalidad, operatividad, aceptacin y sostenimiento
      • Cumplimiento con la arquitectura de informacin
      • Costo - efectividad de la seguridad y los controles
      • Responsabilidades de los proveedores

AI1 73. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • Identificacin de soluciones automatizadas
  • que satisface los requerimientos de negocio de:
  • asegurar un efectivo y eficiente enfoque para satisfacer los requerimientos del usuario
    • se hace posible a travs de:
    • Una objetiva y clara identificacin y anlisis de oportunidades alternativas comparadas contra los requerimientos de los usuarios
      • y toma en consideracin:
      • Conocimientos de soluciones disponibles en el mercado
      • Metodologas de Adquisicin e implementacin
      • Involucramiento del usuario en el proceso de compra
      • Alineamiento con las estrategias de la empresa y de TI
      • definicin de requerimientos de informacin
      • estudios de factibilidad ( de costo-beneficio, alternativas, etc)
      • Requerimientos de funcionalidad, operatividad, aceptacin y sostenimiento
      • Cumplimiento con la arquitectura de informacin
      • Costo - efectividad de la seguridad y los controles
      • Responsabilidades de los proveedores

AI2 74. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • Definicin y administracin de niveles de servicio
  • que satisface los requerimientos de negocio de:
  • establecer un entendimiento comn del nivel de servicio
  • requerido
    • se hace posible a travs de:
    • el establecimiento de acuerdos de niveles de servicio
    • que formalicen los criterios de desempeo contra los
    • cuales se medir la cantidad y la calidad del servicio
      • y toma en consideracin:
      • Acuerdos o convenios formales
      • definicin de responsabilidades
      • tiempos y volmenes de respuesta
      • cargos
      • garantas de integridad
      • Acuerdos de confidencialidad
      • Criterio de satisfaccin del cliente
      • Anlisis costo-beneficio de los niveles de servicio requerido
      • Monitoreo y reporte

DS1 75. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • administracin de servicios prestados por terceros
  • que satisface los requerimientos de negocio de:
  • asegurar que los roles y responsabilidades de las terceras partes estn claramente definidas y que cumplan y continen satisfaciendo los requerimientos
    • se hace posible a travs de:
    • medidas de control dirigidas a la revisin y monitoreo de acuerdos/ contratos y procedimientos existentes, en cuanto a su efectividad y cumplimiento, con respecto a las polticas de la organizacin
      • y toma en consideracin:
      • Acuerdos de servicio con terceras partes
      • Administracin de contrato
      • Acuerdos de confidencialidad
      • Requerimientos legales y regulatorios
      • Monitoreo y reporte de la entrega de servicio
      • Anlisis de riesgos de la empresa y de TI
      • Ejecucin de recompensas y sanciones
      • Contabilidad organizacional interna y externa
      • Anlisis de costos y variaciones en los niveles de servicio

DS2 76. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • administracin de desempeo y capacidad
  • que satisface los requerimientos de negocio de:
  • asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado
    • se hace posible a travs de:
    • Recoleccin de datos, anlisis y reporte del
    • rendimiento de los recursos, aplicacin de mediciones
    • y demanda de cargas de trabajo
      • y toma en consideracin:
      • requerimientos de disponibilidad y desempeo
      • monitoreo y reporte automatizado
      • herramientas de modelado
      • administracin de capacidad
      • disponibilidad de recursos
      • Cambios en precio-rendimiento del hardware y software

DS3 77. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • asegurar el servicio continuo
  • que satisface los requerimientos de negocio de:
  • Asegurar que los servicios de TI estn disponibles cuando se
  • requieran y asegurar el impacto mnimo en el negocio en el
  • evento que se presente una interrupcin mayor
    • se hace posible a travs de:
    • tener un plan de continuidad de TI probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio
      • y toma en consideracin:
      • clasificacin de criticidad (severidad)
      • Procedimientos alternativos
      • respaldo y recuperacin
      • pruebas y entrenamiento sistemticos y regulares
      • Monitoreo y procesos de escalamiento
      • Responsabilidades organizacionales internas y externas
      • Activacin de la continuidad del negocio, vuelta atrs (fallback) y plan de reactivacin
      • Actividades de administracin de riesgos
      • Anlisis de puntos nicos de falla
      • Administracin de problemas

DS4 78. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • garantizar la seguridad de los sistemas
  • que satisface los requerimientos de negocio de:
  • salvaguardar la informacin contra uso no autorizado, divulgacin o revelacin, modificacin, dao o prdida
    • se hace posible a travs de:
    • controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados
      • y toma en consideracin:
      • Requerimientos de privacidad y confidencialidad
      • Autorizacin, autenticacin y control de acceso
      • identificacin de usuarios y perfiles de autorizacin
      • Necesidad de saber y necesidad de tener
      • administracin de llaves criptogrficas
      • manejo, reporte y seguimiento de incidentes
      • Prevencin y deteccin de virus
      • Firewalls
      • Administracin centralizada de seguridad
      • Entrenamiento a los usuarios
      • Herramientas para monitoreo del cumplimiento, pruebas de intrusin y reportes

DS5 79. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • identificacin y asignacin de costos
  • que satisface los requerimientos de negocio de:
  • asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI
    • se hace posible a travs de:
    • un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos y al apropiado servicio ofrecido
      • y toma en consideracin:
        • Recursos identificables y medibles
        • Procedimientos y polticas de cargo
        • Tarifas de cargo y procesos de reversin de
        • cargos.
        • Conexin a acuerdo de niveles de servicio
        • Reporte automatizado
        • Verificacin de comprensin de beneficios
        • Benchmarking externo

DS6 80. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • educacin y entrenamiento de usuarios
  • que satisface los requerimientos de negocio de:
  • asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y sean conscientes de los riesgos y
  • responsabilidades involucrados
    • se hace posible a travs de:
    • un plan completo de entrenamiento y desarrollo
      • y toma en consideracin:
      • Plan de entrenamiento
      • Inventario de habilidades
      • Campaas de concientizacin
      • Tcnicas de concientizacin
      • Uso de nuevas tecnologas y mtodos de
      • entrenamiento
      • Productividad del personal
      • Desarrollo de una base de conocimientos

DS7 81. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • Apoyo y asistencia a los clientes de TI
  • que satisface los requerimientos de negocio de:
  • asegurar que cualquier problema experimentado por los
  • usuarios sea atendido apropiadamente
    • se hace posible a travs de:
    • un help desk, o mesa de control y ayuda, que
    • proporcione soporte y asesora de primera lnea
      • y toma en consideracin:
      • consultas de los clientes y respuesta a
      • problemas
      • monitoreo de consultas y respuestas
      • anlisis y reporte de tendencias
      • Desarrollo de una base de conocimientos
      • Anlisis de las causas
      • Escalamiento y seguimiento de problemas

DS8 CPC. Eduardo Miranda Valdivia 82. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • Administracin de la configuracin
  • que satisface los requerimientos de negocio de:
  • dar cuenta de todos los componentes de TI, prevenir
  • alteraciones no autorizadas, verificar la existencia fsica y
  • proporcionar una base para la sana administracin del cambio
    • se hace posible a travs de:
    • controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia
      • y toma en consideracin:
      • registro de activos
      • administracin de cambios en la configuracin
      • chequeo de software no autorizado
      • controles de almacenamiento de software
      • Integracin e interrelacin de hardware y
      • software
      • Uso de herramientas automatizadas

DS9 83. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • administracin de problemas e incidentes
  • que satisface los requerimientos de negocio de:
  • asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir cualquier
  • recurrencia
    • se hace posible a travs de:
    • un sistema de administracin de problemas que
    • registre y d seguimiento a todos los incidentes
      • y toma en consideracin:
      • pistas de auditora de problemas y soluciones
      • resolucin oportuna de problemas reportados
      • procedimientos de escalamiento
      • reportes de incidentes
      • accesibilidad a la informacin de la configuracin
      • responsabilidades del proveedor
      • coordinacin con la administracin de cambios

DS10 CPC. Eduardo Miranda Valdivia 84. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • Administracin de datos
  • que satisface los requerimientos de negocio de:
  • asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin y almacenamiento
    • se hace posible a travs de:
    • una combinacin efectiva de controles generales y de
    • aplicacin sobre las operaciones de TI
      • y toma en consideracin:
      • diseo de formatos
      • controles sobre documentos fuente
      • controles de entrada, procesamiento y salida
      • identificacin, movimiento y administracin de la librera de medios
      • Recuperacin y almacenamiento de datos
      • autenticacin e integridad
      • propiedad de datos
      • polticas de administracin de datos
      • modelos de datos y estndares de representacin de datos
      • integracin y consistencia en todas las plataformas
      • requisitos legales y regulatorios

DS11 85. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • Administracin de instalaciones (sitios donde se procesa informacin)
  • que satisface los requerimientos de negocio de:
  • proporcionar un ambiente fsico conveniente que proteja los equipos y al personal de TI contra peligros naturales o fallas humanas
    • se hace posible a travs de:
    • la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para garantizar su adecuado funcionamiento
      • y toma en consideracin:
      • acceso a instalaciones
      • identificacin del sitio (instalacin)
      • seguridad fsica
      • Polticas de inspeccin y escalamiento
      • Plan de continuidad de negocios y administracin de crisis
      • salud y seguridad del personal
      • Polticas de mantenimiento preventivo
      • proteccin contra amenazas ambientales
      • Monitoreo automatizado

DS12 86. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • administracin de operaciones
  • que satisface los requerimientos de negocio de:
  • asegurar que las funciones importantes de soporte de TI estn
  • siendo llevadas a cabo regularmente y de una manera ordenada
    • se hace posible a travs de:
    • una programacin o planeacin de las actividades que sea
    • registrada y diligenciada con base en el cumplimiento de
    • todas las actividades
      • y toma en consideracin:
      • manual de procedimiento de operaciones
      • documentacin para el inicio de procesos
      • administracin de servicios de red
      • Programacin del personal y cargas de trabajo
      • proceso de cambio de turno
      • registro de eventos del sistema
      • Coordinacin con las reas de administracin de cambios, disponibilidad y manejo continuo de negocios
      • Mantenimiento preventivo
      • Acuerdos de niveles de servicio
      • Operaciones automatizadas
      • Registro, rastreo y escalamiento de incidentes

DS13 87. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • monitoreo del proceso
  • que satisface los requerimientos de negocio de:
  • asegurar el logro de los objetivos establecidos para los procesos de TI
    • se hace posible a travs de:
    • la definicin de indicadores de desempeo
    • gerenciales, el reporte oportuno y sistemtico del
    • desempeo y la oportuna accin sobre las
    • desviaciones
      • y toma en consideracin:
      • Tarjetas de decisin (scorecards) con indicadores de desempeo y medicin de resultados
      • evaluacin de la satisfaccin de clientes
      • reportes gerenciales
      • Base de conocimientos del desempeo histrico
      • Benchmarking externo

M1 88. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI:
  • Evaluar lo adecuado del control interno
  • que satisface los requerimientos de negocio de:
  • asegurar el logro de los objetivos de control interno
  • establecidos para los procesos de TI
    • se hace posible a travs de:
    • el compromiso de la Gerencia de monitorear los
    • controles internos, evaluar su efectividad y emitir
    • reportes sobre ellos en forma regular
      • y toma en consideracin:
      • Responsabilidades para el control interno
      • Monitoreo del control interno en proceso
      • benchmarks
      • reportes de errores y excepciones
      • autoevaluaciones
      • reportes gerenciales
      • Cumplimiento con los requerimientos legales y regulatorios

M2 CPC. Eduardo Miranda Valdivia 89. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • obtencin de aseguramiento independiente
  • que satisface los requerimientos de negocio de:
  • incrementar los niveles de confianza entre la organizacin,
  • clientes y proveedores externos
    • se hace posible a travs de:
    • revisiones de aseguramiento independientes llevadas a
    • cabo en intervalos regulares
      • y toma en consideracin:
      • certificaciones / acreditaciones independientes
      • evaluaciones independientes de efectividad
      • aseguramiento independiente sobre cumplimiento de requerimientos legales y regulatorios
      • aseguramiento independiente del cumplimiento de compromisos contractuales
      • revisiones y benchmarking a proveedores externos de servicios
      • Revisin por personal calificado del aseguramiento de desempeo
      • involucramiento proactivo de la auditora

M3 CPC. Eduardo Miranda Valdivia 90. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Control sobre el proceso de TI de:
  • proveer auditora independiente
  • que satisface los requerimientos de negocio de:
  • incrementar los niveles de confianza y beneficiarse de
  • recomendaciones basadas en mejores prcticas
    • se hace posible a travs de:
    • auditoras independientes desarrolladas a intervalos
    • regulares
      • y toma en consideracin:
      • independencia de auditora
      • involucramiento proactivo de la auditora
      • ejecucin de auditoras por parte de personal calificado
      • aclaracin de resultados y recomendaciones
      • actividades de seguimiento
      • Evaluacin del impacto de las recomendaciones de laauditoria (costos, beneficios, y riesgos)

M4 CPC. Eduardo Miranda Valdivia 91. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 92.

          • INDICE
      • Introduccin
          • Marco de referencia
          • Objetivos de Control
          • Directrices de auditora
          • Directrices gerenciales
          • Gua para la implementacin

REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 93.

          • INDICE
      • Introduccin
          • Marco de referencia
          • Objetivos de Control
          • Directrices de auditora
          • Directrices gerenciales
          • Gua para la implementacin

REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 94. Directrices de Auditora 1 Directriz genrica34 Directrices orientadas a procesos REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 95. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 96. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 97. DirectrizGenricadeAuditora REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 98. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • 1) OBTENCIN DE UN ENTENDIMIENTO
  • Los pasos de auditora que se deben realizar para documentar las actividades que generan inconvenientes a los objetivos de control, as como tambin identificar las medidas/procedimientos de control establecidas.
  • Entrevistar al personal administrativo y de staff apropiado para lograr la comprensin de:
    • Los requerimientos del negocio y los riesgos asociados
    • La estructura organizacional
    • Los roles y responsabilidades
    • Polticas y procedimientos
    • Leyes y regulaciones
    • Las medidas de control establecidas
    • La actividad de reporte a la administracin (estatus,
    • desempeo, acciones)
  • Documentar el proceso relacionado con los recursos de TI que se ven especialmente afectados por el proceso bajo revisin. Confirmar el entendimiento del proceso bajo revisin, losIndicadores Clave de Desempeo (KPI) del proceso, las implicaciones de control, por ejemplo, mediante una revisin paso a paso del proceso.

99. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • 2) EVALUACIN DE LOS CONTROLES
  • Los pasos de auditora a ejecutar en la evaluacin de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Bsicamente, decidir qu se va a probar, si se va a probar y cmo se va a probar.
  • Evaluar la conveniencia de las medidas de control para el proceso bajo revisin mediante la consideracin de los criterios identificados
  • y las prcticas estndares de la industria, los Factores Crticos de xito (CSF) de las medidas de control y la aplicacin del juicio profesional de auditor.
    • Existen procesos documentados
    • Existen resultados apropiados
    • La responsabilidad y el registro de las operaciones son claros y efectivos
    • Existen controles compensatorios, en donde es necesario
  • Concluir el grado en que se cumple el objetivo de control.

100. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN 3) VALORACIN DEL CUMPLIMIENTO Los pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia del ambiente de control. Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta. Realizar una revisin limitada de la suficiencia de los resultados del proceso. Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado. 101. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN 4) JUSTIFICAR/COMPROBAR EL RIESGO Los pasos de auditora a realizar para justificar el riesgo de que no se cumpla el objetivo de control mediante el uso de tcnicas analticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinin e impresionar a la administracin para que tome accin. Los auditores tienen que ser creativos para encontrar y presentar esta informacin que con frecuencia es sensible y confidencial. Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-efecto. Brindar informacin comparativa; por ejemplo, mediante benchmarks. 102. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 103. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 104. Directrices de auditora Son slo un punto de inicio para identificar tareas asociadas con determinados objetivos de control de proceso. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 105. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN CPC. Eduardo Miranda Valdivia 106. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN PO 1 DEFINIR UN PLAN ESTRATGICO DE TI Objetivos de control 1.-TI como parte del Plan a largo y corto plazo 2.-Plan a largo plazo de TI 3.-Plan a largo plazo de TI - Enfoque y Estructura 4.-Cambios al Plan a largo plazo de TI 5.-Planeacin a corto plazo para la Funcin de Servicios de Informacin 6.-Comunicacin de los planes de TI 7.-Monitoreo y evaluacin de los planes de TI 8.-Evaluacin de los sistemas existentes CPC. Eduardo Miranda Valdivia 107. REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN

  • Obtener un entendimiento a travs de:
  • Entrevistas :
    • Director General (Chief Executive Officer)
    • Director de Operaciones (Chief Operations Officer)
    • Director de Finanzas (Chief Financial Officer)
    • Director de TI (Chief Information Officer)
    • Miembros del comit de planeacin/direccin de la funcin de servicios de informacin.
    • Gerencia de TI y personal de apoyo de RRHH
  • Obteniendo :
    • Polticas y procedimientos inherentes al proceso de planeacin.
    • Roles y responsabilidades del equipo de Direccin
    • Objetivos de la Organizacin a largo y corto plazo
    • Objetivos de TI a largo y corto plazo
    • Reportes y minutas de seguimiento de las reuniones