View
240
Download
13
Category
Preview:
Citation preview
Modelo de Gestión de TIModelo de Gestión de TI
Ing. Víctor Manuel Montaño Ardila
RECORDEMOSRECORDEMOS• Para muchas empresas, la información y la tecnología
que las soportan representan sus más valiosos activos, aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnología de información y la utilizan para impulsar el valor de sus interesados (stakeholders). Estas empresas también entienden y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios, así como la dependencia crítica de muchos procesos de negocio en TI.
Ing. Víctor Manuel Montaño Ardila
RECORDEMOSRECORDEMOS• Estas empresas también entienden y administran los
riesgos asociados, tales como el aumento en requerimientos regulatorios, así como la dependencia crítica de muchos procesos de negocio en TI.
Ing. Víctor Manuel Montaño Ardila
RECORDEMOSRECORDEMOS• El Gobierno De TI es responsabilidad de los ejecutivos,
del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales.
Ing. Víctor Manuel Montaño Ardila
RECORDEMOSRECORDEMOS•Más aún, el gobierno de TI integra e institucionaliza las
buenas prácticas para garantizar que la TI de la empresa sirve como base a los objetivos del negocio. De esta manera, el gobierno de TI facilita que la empresa aproveche al máximo su información, maximizando así los beneficios, capitalizando las oportunidades y ganando ventajas competitivas.
Ing. Víctor Manuel Montaño Ardila
RECORDEMOSRECORDEMOS• Para que la TI tenga éxito en satisfacer los
requerimientos del negocio, la dirección debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera:1. Estableciendo un vínculo con los requerimientos del
negocio 2. Organizando las actividades de TI en un modelo de
procesos generalmente aceptado 3. Identificando los principales recursos de TI a ser
utilizados 4. Definiendo los objetivos de control gerenciales a ser
considerados
Ing. Víctor Manuel Montaño Ardila
Ing. Víctor Manuel Montaño Ardila
Ing. Víctor Manuel Montaño Ardila
Ing. Víctor Manuel Montaño Ardila
Modelo COBITModelo COBITMejores prácticas para Gestión de
Tecnologías Informáticas
Ing. Víctor Manuel Montaño Ardila
CONCEPTO BÁSICOSCONCEPTO BÁSICOS
Es el resultado de una investigación con expertos de varios paises, desarrollada por la “Information, Systems Audit and Control Association “ISACA”.
Esta asociación se ha constituido en el organismo normalizador y orientador en el control y la auditoría de los sistemas de Información y Tecnología (IT).
El modelo CobIT ha sido aceptado y adoptado por organizaciones en el ámbito mundial.
Modelo para evaluar y/o auditar la gestión y control de los de Sistemas de Información y Tecnología relacionada (IT):
MODELO COBIT
(Control Objectives for Information Systems and related Technology)
Ing. Víctor Manuel Montaño Ardila
Modelo COBITModelo COBITOrigenOrigen
LEGISLADORES / REGULADORES USUARIOS PRESTADORES
DE SERVICIOS
• MARCO UNICOREFERENCIAPRACTICASSEGURIDAD Y CONTROL
ALTA
GER
ENCI
A
•INVERSION CONTROL TI•BALANCE RIESGO/CONTROL• BASE BENCHMARKING
USU
ARIOS D
E TI
• ACREDITACÍON CONTROL /SEGURIDAD POR AUDITORES O TERCEROS
• CONFUSIÓN ESTANDARES
AUDITORES
• DESGASTE OPINION V.S.
ALTA GCIA.• CONSULTORES EN
CONTROL/SEG. TI
CONCEPTO BÁSICOSCONCEPTO BÁSICOS
Ing. Víctor Manuel Montaño Ardila
CONCEPTO BÁSICOSCONCEPTO BÁSICOS
Proveer un marco único reconocido a nivel mundial de las “mejores prácticas” de control y seguridad de TI
Consolidar y armonizar estándares originados en diferentes países desarrollados.
Concientizar a la comunidad sobre importancia del control y la auditoría de TI.
Enlaza los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito
Aplica a todo tipo de organizaciones independiente de sus plataformas de TI
Ratifica la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa
Ing. Víctor Manuel Montaño Ardila
CONCEPTO BÁSICOSCONCEPTO BÁSICOS
COSO : (Committe Of Sponsoring Org. of the Treadway Commission)
OECD : (Organizarion for Economic Cooperation and Development)
ISO 9003 : (International Standars Organization)
NIST : (National Institute of Standars and Technology)
DTI : (Departament of Trade and Industry of the U.K´)
ITSEC : (Information Technology Security Evaluation Criteria - Europa)
TCSEC : (Trusted Computer Evaluación Criteria - Orange Book- E.U)
IIA SAC : (Institute of Internal Auditors - Systems Auditability and Control)
IS : Auditing Standars Japón
COBITCOBITRepresentatividadRepresentatividad
ISACA - 95 paises 20.000 miembros
Investigación: E.U-Europa-Australia-Japón
Consolidación y armonización 18 estándares
Ing. Víctor Manuel Montaño Ardila
CONCEPTO BÁSICOSCONCEPTO BÁSICOSPara satisfacer los objetivos del negocio la información debe cumplir con criterios que COBIT extrae de los más reconocidos modelos:
Ing. Víctor Manuel Montaño Ardila
Requerimientos fiduciarios(informe COSO)
Eficacia y eficienciaConfiabilidad de la información Cumplimiento con leyes y
reglamentaciones
Requerimientos de seguridad(libro rojo, naranja,ISO 17799 y otros)
DisponibilidadIntegridad Confidencialidad
CONCEPTO BÁSICOSCONCEPTO BÁSICOS
Ing. Víctor Manuel Montaño Ardila
REGLA DE ORO DEL COBITREGLA DE ORO DEL COBIT
A fin, de proveer la información que la organización requiere para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y normalmente aceptada.
Ing. Víctor Manuel Montaño Ardila
¿POR QUÉ COBIT?¿POR QUÉ COBIT?
La Tecnología se ve como un costo, no hay una terminología común con el negocio, y se recorta el presupuesto en la seguridad, ya que la falta de difusion de normas y buenas prácticas que ayuden a generar conciencia de los riesgos mantiene la quimera del :
“ A mi no me va pasar..”
Ing. Víctor Manuel Montaño Ardila
¿POR QUÉ COBIT?¿POR QUÉ COBIT?
La Dirección, a través de su Gobierno Corporativo debe garantizar la debida diligencia por parte de todos los individuos involucrados en la administración, uso, diseño, desarrollo, mantenimiento u operación de los sistemas de información.
Gobierno de Tecnología de InformaciónGobierno de Tecnología de InformaciónEl rol de la DirecciónEl rol de la Dirección
Ing. Víctor Manuel Montaño Ardila
QUIÉNES NECESITAN REGLAS DE JUEGO QUIÉNES NECESITAN REGLAS DE JUEGO DEFINIDAS?DEFINIDAS?
•Los Mandos Gerenciales para saber que deben exigir, como medir los resultados y cuales son sus responsabilidades en esos temas.
• Balancear el riesgo y la inversión en control de un ambiente a menudo impredecible
•El Auditor para sustentar sus opiniones sobre los riesgos y la adecuación de la tecnología a las mejores prácticas. Ser asesores proactivos del negocio
Ing. Víctor Manuel Montaño Ardila
ADEMÁS...ADEMÁS...
•El Área usuaria para saber que puede pedir a tecnología y que se le va a exigir sobre el control de los procesos del negocio. Son los interesados en saber si los recursos de Tecnología de Información se utilizan adecuadamente y les ayudan a alcanzar sus objetivos
•El Gerente de Tecnología para definir un acuerdo de servicios y justificar su inversión
•Los Organismos estatales de control, para saber que es lo mínimo que pueden exigir.
Ing. Víctor Manuel Montaño Ardila
ORIENTACIÓN DE COBITORIENTACIÓN DE COBITSu orientación hacia el negocio consiste en vincular objetivos de negocio con objetivos de TI, facilitar métricas y modelos de madurez para medir su éxito, e identificar las responsabilidades asociadas del negocio y los propietarios de los procesos de TI.
“ENFOCADO EN EL NEGOCIO, ORIENTADO A PROCESO, BASADO EN CONTROLES Y DIRIGIDO POR MEDIDAS.”
Ing. Víctor Manuel Montaño Ardila
DEFINICIONESDEFINICIONES
Ing. Víctor Manuel Montaño Ardila
PRINCIPIOSPRINCIPIOSSe refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable.
Efectividad
Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos.
Eficiencia
Relativa a la protección de la información sensitiva de su revelación no autorizada.Confidencialidad
Ing. Víctor Manuel Montaño Ardila
PRINCIPIOSPRINCIPIOSSe refiere a la que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas.
Disponibilidad
Se refiere a la provisión de la información apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestión.
Confiabilidad
Ing. Víctor Manuel Montaño Ardila
NECESIDAD DE RESPUESTA A LOS RETOS NECESIDAD DE RESPUESTA A LOS RETOS DE TIDE TI
Qué no se interrumpa el servicio Qué aporte valor Administrar los costos Dominar la complejidad Alineación con el Negocio Cumplimiento de Regulaciones Seguridad.
Los 7 retos:
Ing. Víctor Manuel Montaño Ardila
BUEN GOBIERNO DE TIBUEN GOBIERNO DE TI
Dirigir y controlar
Con responsabilidad
Con imputabilidad (Accountability)
Mediante actividades (Procesos)
Principios, participantes, ámbito, ventajas …
Los 4 principios:
Ing. Víctor Manuel Montaño Ardila
NECESIDAD DE RESPUESTA A LOS RETOS DE NECESIDAD DE RESPUESTA A LOS RETOS DE TITI
Principios, participantes, ámbito, ventajas …
Los participantes (stakeholders):
Internos
Externos
Ing. Víctor Manuel Montaño Ardila
BUEN GOBIERNO DE TIBUEN GOBIERNO DE TIPrincipios, participantes, ámbito, ventajas …
Las 5 áreas:
Alineación estratégica
Aportación de Valor
Gestión de Riesgos
Gestión de Recursos
Medidas de Rendimiento
Ing. Víctor Manuel Montaño Ardila
BUEN GOBIERNO DE TIBUEN GOBIERNO DE TIPrincipios, participantes, ámbito, ventajas …
Las 5 ventajas:Las 5 ventajas:
Confianza de la Alta Dirección
TI es co-responsable al negocio
Retorno de Inversión Superior
Servicios más confiables
Mayor transparencia
Ing. Víctor Manuel Montaño Ardila
MARCOS DE BUEN GOBIERNO Y DE TIMARCOS DE BUEN GOBIERNO Y DE TI
Las 5 características generales de un buen marco:Las 5 características generales de un buen marco:
Enfocado al Negocio
Orientado a Procesos
Generalmente aceptado
Utilice un lenguaje común
Cumpla con los requisitos regulatorios
Ing. Víctor Manuel Montaño Ardila
Propuesta de SoluciónPropuesta de SoluciónExpectativas sobre COBIT (1)Expectativas sobre COBIT (1)
Alta Gerencia:Alta Gerencia:Utilizar los procesos de COBIT para lograr un lenguaje
común entre el negocio y TI y asignar responsabilidades claras
Gerencias Usuarias:Gerencias Usuarias:Utilizar los objetivos de control de COBIT para determinar
las necesidades que serán cubiertas por los Acuerdos de Niveles de Servicio
Ing. Víctor Manuel Montaño Ardila
Propuesta de SoluciónPropuesta de Solución
Expectativas sobre COBIT (2)Expectativas sobre COBIT (2)
Auditoría Interna:Auditoría Interna:Utilizar los objetivos de control de COBIT como un criterio
para evaluar y definir el alcance a revisar
Gerente TI:Gerente TI:Utilizar los objetivos de control de COBIT para:1. Estructurar los procesos 2. Establecer objetivos de los procesos3. Medir el desempeño de los procesos / gestión4. Generar políticas y procedimientos
Ing. Víctor Manuel Montaño Ardila
Fase 1Fase 1Levantamiento de procesos actuales
Procesos de trabajo
Procesos de trabajo
Recursos de TI
Recursos de TI
Criteriosde Información
Criteriosde Información
Datos Sistemas de
Aplicación Infraestructura Tecnológica Instalaciones
Físicas Recursos humanos
Planeación y organización Adquisición e implantación
de soluciones Entrega de servicio y
soporte Monitoreo
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
Ing. Víctor Manuel Montaño Ardila
Fase 1Fase 1Levantamiento de procesos actuales
Procesos de trabajo
Procesos de trabajoRecursos
de TIRecursos
de TI
Criteriosde Información
Criteriosde Información
Objetivos de ControlObjetivos de Control
Factores Críticos de ÉxitoFactores Críticos de Éxito
Indicadores de ResultadosIndicadores de Resultados
Indicadores de DesempeñoIndicadores de Desempeño
Recursos de TI
Recursos de TI
Ing. Víctor Manuel Montaño Ardila
EL MODELO DEL MARCO DE TRABAJO DE COBITEL MODELO DEL MARCO DE TRABAJO DE COBIT
OBJETIVOS DE NEGOCIO
Aplic
acio
nes
Info
rmac
ión
Infr
aest
ruct
ura
Gen
te
Criterios deInformación
Recursos de TI
Procesosde TI
Objetivos de Control de Alto Nivel
Indicadores clavede Objetivos
Indicadores clavede Rendiemiento
Resultados de Negocio
Drivers de Gobernabilidad
Procesos de TI
Objetivos de TI
El marco de trabajo COBIT, relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI. El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control de COBIT, y alineados y monitoreados usando las métricas KGI y KPI de COBIT
Administración, Control, Alineación y Monitoreo de Cobit.
Ing. Víctor Manuel Montaño Ardila
ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROLALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL
Dominios
Procesos
Actividades
Efectividad
P ro c
e so s
y O
bjeti
vos
d e
C on t
r ol d
e TI
Recursos TIPe
rson
as
Aplic
acio
nes
Infr
aest
ruct
ura
Dominios
Procesos
Actividades
Info
rmac
ión
EficienciaIntegridad
Disponibilidad
Confidencialidad
Confiabilidad
Cumplimiento
Criterios de Información
Ing. Víctor Manuel Montaño Ardila
CLASIFICACIÓNCLASIFICACIÓN Agrupamiento lógico de procesos, a menudo se concibe como dominios de responsabilidad dentro de una estructura y se relaciona con el ciclo de vida aplicable a los procesos de Tecnología de Información.
Una serie de actividades o tareas vinculadas con cortes (de control) naturales.
Son necesarias para lograr un resultado mensurable. Las actividades tienen un ciclo de vida mientras que las tareas son discretas.
Procesos
Actividades o tareas
Dominios
Ing. Víctor Manuel Montaño Ardila
Ing. Víctor Manuel Montaño Ardila
• Resumen Ejecutivo • Casos de Estudio • Preguntas Frecuentes• Presentaciones Power Point• Guías de Implementación
•Diagnóstico Conciencia Administrativa•Diagnóstico Control de TI
Resumen Ejecutivo
Marco Referencial-Esquema Objetivos de Alto Nivel
Lineamientos Gerenciales
Objetivos de Control Detallados
Guías de Auditoría
Modelos de Madurez
Factores Críticos de Exito
Indicadores Clave de
Rendimiento
Indicadores Clave de Logros
Herramientas de implementación
CobiT: enfoque e implementaciónCobiT: enfoque e implementación
Prácticas de Control
Ing. Víctor Manuel Montaño Ardila
DOMINIOS DEL COBITDOMINIOS DEL COBIT
•Abarca aspectos estratégicos y tácticos
•Se vincula con la identificación de la forma en que la tecnología de información puede contribuir más adecuadamente con el logro de los objetivos del negocio.
•Incluye las actividades de planificar, comunicar y administrar la realización de la visión estratégica desde distintas perspectivas.
Planeación y OrganizaciónPlaneación y Organización
Ing. Víctor Manuel Montaño Ardila
DOMINIODOMINIOPlanificación y OrganizaciónPlanificación y Organización
Proceso: PO1Proceso: PO1 Definición de un plan estratégico de TIDefinición de un plan estratégico de TI
Proceso: PO2Proceso: PO2 Definición de la arquitectura de la informaciónDefinición de la arquitectura de la información
Proceso: PO3Proceso: PO3 Determinación de la dirección tecnológicaDeterminación de la dirección tecnológica
Proceso: PO4Proceso: PO4 Definición de la organización y el relacionamiento en TIDefinición de la organización y el relacionamiento en TI
Proceso: PO5Proceso: PO5 Administración de la inversión en TIAdministración de la inversión en TI
Proceso: PO6Proceso: PO6 Comunicación de los objetivos y directivas de la gerenciaComunicación de los objetivos y directivas de la gerencia
Proceso: PO7Proceso: PO7 Administración de los recursos humanosAdministración de los recursos humanos
Proceso: PO8Proceso: PO8 Aseguramiento del cumplimiento de los requerimientos externosAseguramiento del cumplimiento de los requerimientos externos
Proceso: PO9Proceso: PO9 Evaluación de riesgosEvaluación de riesgos
Proceso: PO10Proceso: PO10 Administración de proyectosAdministración de proyectos
Proceso: PO11Proceso: PO11 Administración de la calidadAdministración de la calidadIng. Víctor Manuel Montaño Ardila
DOMINIOS DEL COBITDOMINIOS DEL COBIT
Identificación, desarrollo o adquisición de soluciones de Ti
Implantación e integración en el proceso de negocio.
Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.
Adquisición e ImplementaciónAdquisición e Implementación
Ing. Víctor Manuel Montaño Ardila
DOMINIODOMINIOAdquisición e ImplementaciónAdquisición e Implementación
Proceso: AI12Proceso: AI12 Identificación de solucionesIdentificación de soluciones
Proceso: AI13Proceso: AI13 Adquisición y mantenimiento de software de aplicaciónAdquisición y mantenimiento de software de aplicación
Proceso: AI14Proceso: AI14 Adquisición y mantenimiento de la infraestructura tecnológicaAdquisición y mantenimiento de la infraestructura tecnológica
Proceso: AI15Proceso: AI15 Desarrollo y mantenimiento de procedimientos de TIDesarrollo y mantenimiento de procedimientos de TI
Proceso: AI16Proceso: AI16 Instalación y certificación de sistemasInstalación y certificación de sistemas
Proceso: AI17Proceso: AI17 Administración de cambiosAdministración de cambios
Ing. Víctor Manuel Montaño Ardila
DOMINIOS DEL COBITDOMINIOS DEL COBIT
• Prestación efectiva de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitación.
• Procesos de soporte necesarios.
• Procesamiento real de los datos por los sistemas de aplicación.
Entrega y SoporteEntrega y Soporte
Ing. Víctor Manuel Montaño Ardila
DOMINIODOMINIOEntrega y SoporteEntrega y Soporte
Proceso: DS18Proceso: DS18 Definición de los niveles del servicioDefinición de los niveles del servicio
Proceso: DS19Proceso: DS19 Administración de los servicios prestados tercerosAdministración de los servicios prestados terceros
Proceso: DS20Proceso: DS20 Administración de la capacidad y del desempeño del sistemaAdministración de la capacidad y del desempeño del sistema
Proceso: DS21Proceso: DS21 Aseguramiento de la continuidad del servicioAseguramiento de la continuidad del servicio
Proceso: DS22Proceso: DS22 Establecimiento de pautas para la seguridad de los sistemasEstablecimiento de pautas para la seguridad de los sistemas
Proceso: DS23Proceso: DS23 Identificación e imputación de costosIdentificación e imputación de costos
Ing. Víctor Manuel Montaño Ardila
DOMINIODOMINIOEntrega y SoporteEntrega y Soporte
Proceso: DS24Proceso: DS24 Educación y capacitación de los usuariosEducación y capacitación de los usuarios
Proceso: DS25Proceso: DS25 Asistencia y asesoramiento a los clientes de TIAsistencia y asesoramiento a los clientes de TI
Proceso: DS26Proceso: DS26 Administración de la configuraciónAdministración de la configuración
Proceso: DS27Proceso: DS27 Administración de problemas e incidentesAdministración de problemas e incidentes
Proceso: DS28Proceso: DS28 Administración de datosAdministración de datos
Proceso: DS29Proceso: DS29 Administración de instalacionesAdministración de instalaciones
Proceso: DS30Proceso: DS30 Administración de las operacionesAdministración de las operaciones
Ing. Víctor Manuel Montaño Ardila
DOMINIOS DE COBITDOMINIOS DE COBIT
Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control.
Seguimiento de la gerencia sobre los procesos de control de la organización
Garantía independiente provista por la auditoria interna y externa u obtenida de fuentes alternativas.
MonitoreoMonitoreo
Ing. Víctor Manuel Montaño Ardila
DOMINIODOMINIOMonitoreoMonitoreo
Proceso: ME31Proceso: ME31 Monitoreo de los procesosMonitoreo de los procesos
Proceso: ME32Proceso: ME32 Evaluación de la adecuación del control internoEvaluación de la adecuación del control interno
Proceso: ME33Proceso: ME33 Obtención de aseguramiento independienteObtención de aseguramiento independiente
Proceso: ME34Proceso: ME34 Provisión de auditoria independienteProvisión de auditoria independiente
Ing. Víctor Manuel Montaño Ardila
PROCESOS
AI1 Identificar soluciones de IT
Administrar los cambios
Adquirir y mantener software aplicativoAdquirir y mantener arquitectura tecnológicaDesarrollar y mantener procedimientos de ITInstalar y acreditar sistemas
AI2
AI3
AI4
AI5
AI6
P S
PP S S
PP S
S
PP S S S
P S S
PP P SP
CRITERIOS RECURSOS
EFEC
TIVI
DAD
EFIC
IEN
CIA
CON
FID
ENCI
ALID
ADIN
TEG
RID
ADD
ISPO
NIB
ILID
ADCU
MPL
IMIE
NTO
CON
FIAB
ILID
AD
APLI
CACI
ON
ESTE
CNO
CLO
GÍA
FACI
LID
ADES
DAT
OS
PERS
ON
AS
DOMINIO AI:Adquisición e
Implementación
COBITNavegación
(Matriz)
Ing. Víctor Manuel Montaño Ardila
DEFINICIÓN DE PROCESOS DE TI DEFINICIÓN DE PROCESOS DE TI
PO1: Definir el Plan estratégico de ITPO1: Definir el Plan estratégico de IT
La función de servicios de información debería asegurar que hay planes a corto y
largo plazo para administrar y orientar todos los recursos de IT de la organización.
Estos planes deben ser actualizados de manera correcta y oportuna para
adecuarlos a los cambios de las condiciones de la IT. La evaluación de los
sistemas existentes debe realizarse antes de desarrollar o modificar el plan
estratégico de IT. Así mismo, la función de administración de los servicios de
información debe asegurar que el plan estratégico de IT es consistente con los
objetivos del negocio, y los planes a corto y largo plazo de la organización.
Ing. Víctor Manuel Montaño Ardila
OBJETIVOS DE CONTROL DE TI - DETALLADOSOBJETIVOS DE CONTROL DE TI - DETALLADOS
11La TI como parte de los planes a corto/largo plazo de laempresa
22Plan a largo
plazo dela TI
33Enfoque y estructura del Plan a
largo plazo de la TI
44Cambios al Plan a largo plazo de la TI
Plan corto plazo de la función de servicios de TI
5
PROCESO: PO1:PROCESO: PO1: Definir el Plan Estratégico de TI
DOMINIO PO: Planeación y Organización
Objetivos de Control - Detallados
Y tiene en consideración:
Evaluación objetivos de control detalladosEvaluación objetivos de control detallados
Ing. Víctor Manuel Montaño Ardila
PRODUCTOS DE COBITPRODUCTOS DE COBIT
Ing. Víctor Manuel Montaño Ardila
INTERRELACIÓN DE LOS COMPONENTES DE COBITINTERRELACIÓN DE LOS COMPONENTES DE COBITNegocio
Procesos de TI
Requerimientos Información
Objetivosde Control
Practicasde Control
Guías deAuditoría
Metas delas Actividades
Modelo deMadurez
IndicadoresClave de
Metas
IndicadoresClave de
Desempeño
Auditado porMedida para …
Implem
entado con
Transform
ado en
Para
des
empe
ño
Para Madurez
Controlado por
Logr
ando
Ef
ectiv
idad
yEfi
cien
cia
con
Para
resu
ltado
s
Ing. Víctor Manuel Montaño Ardila
CONTROLES GENERALESCONTROLES GENERALES
Controles Generalessobre procesos de
TI
Controles sobre procesos de negocio
que utilizan TI
• Desarrollo de soluciones• Administración de Cambios• Seguridad• Operación del Computador
• Integridad (completitud)• Precisión• Validez• Autorización• Segregación de Funciones
Ing. Víctor Manuel Montaño Ardila
CONTROLES DE APLICACIÓN - ORIGENCONTROLES DE APLICACIÓN - ORIGEN
Autorizaciónde Datos
ORIGEN
Ingreso deDatos
INPUT
Procesamientode Datos
Salida deDatos
OUTPUT
ENTORNO CON TERCEROS
Preparación de Datos (AC1) Autorización de documentos fuente (AC2) Recolección de datos fuente (AC3) Manejo de errores en documentos fuente (AC4) Retención de documentos fuente (AC5)
Ing. Víctor Manuel Montaño Ardila
Los procedimientos de manejo de errores durante la generación de los datos aseguran de forma razonable la detección, el reporte y la corrección de errores e irregularidades.
El personal autorizado, actuando dentro de su autoridad, prepara los documentos fuente de forma adecuada y existe una segregación de funciones apropiada con respecto a la generación y aprobación de los documentos fuente.
Los procedimientos garantizan que todos los documentos fuente autorizados son completos y precisos, debidamente justificados y transmitidos de manera oportuna para su captura.
Existen procedimientos para garantizar que los documentos fuente originales son retenidos o pueden ser reproducidos por la organización durante un lapso adecuado de tiempo para facilitar el acceso o reconstrucción de datos así como para satisfacer los requerimientos legales.
Preparación de Datos (AC1) Autorización de documentos fuente (AC2) Recolección de datos fuente (AC3) Manejo de errores en documentos fuente (AC4) Retención de documentos fuente (AC5)
Los departamentos usuarios implementan y dan seguimiento a los procedimientos de preparación de datos. En este contexto, el diseño de los formatos de entrada asegura que los errores y las omisiones se minimicen. Los procedimientos de manejo de errores durante la generación de los datos aseguran de forma razonable que los errores y las irregularidades son detectadas, reportadas y corregidas
Ing. Víctor Manuel Montaño Ardila
CONTROLES DE APLICACIÓN - INPUTCONTROLES DE APLICACIÓN - INPUT
Autorizaciónde Datos
ORIGEN
Ingreso deDatos
INPUT
Procesamientode Datos
Salida deDatos
OUTPUT
ENTORNO CON TERCEROS
Ing. Víctor Manuel Montaño Ardila
Existen y se siguen procedimientos para la corrección y re-captura de datos que fueron ingresados de manera incorrecta.
Los datos de transacciones, ingresados para ser procesados (generados por personas, por sistemas o entradas de interfases) están sujetos a una variedad de controles para verificar su precisión, integridad y validez. Los procedimientos también garantizan que los datos de entrada son validados y editados tan cerca del punto de origen como sea posible.
Los procedimientos aseguran que solo el personal autorizado capture los datos de entrada.
Procedimientos de autorización de captura de datos (AC6)
Verificación de precisión, integridad y autorización (AC7)
Manejo de errores en la entrada de datos (AC8)
Ing. Víctor Manuel Montaño Ardila
CONTROLES DE APLICACIÓN - PROCESAMIENTO
Autorizaciónde Datos
ORIGEN
Ingreso deDatos
INPUT
Procesamientode Datos
Salida deDatos
OUTPUT
ENTORNO CON TERCEROS
Integridad en el procesamiento de datos (AC9) Validación y edición del procesamiento de datos
(AC10) Manejo de errores en el procesamiento de datos
(AC11)
Ing. Víctor Manuel Montaño Ardila
Los procedimientos garantizan que la validación, la autenticación y la edición del procesamiento de datos se realizan tan cerca como sea posible del punto de generación. Los individuos aprueban decisiones vitales que se basan en sistemas de inteligencia artificial.
Los procedimientos de manejo de errores en el procesamiento de datos permiten que las transacciones erróneas sean identificadas sin ser procesadas y sin una indebida interrupción del procesamiento de otras transacciones válidas.
Los procedimientos para el procesamiento de datos aseguran que la separación de funciones se mantiene y que el trabajo realizado de forma rutinaria se verifica. Los procedimientos garantizan que existen controles de actualización adecuados, tales como totales de control de corrida-a-corrida, y controles de actualización de archivos maestros Procedimientos de autorización de captura
de datos (AC6) Verificación de precisión, integridad y
autorización (AC7) Manejo de errores en la entrada de datos
(AC8)
Ing. Víctor Manuel Montaño Ardila
CONTROLES DE APLICACIÓN - OUTPUT
Autorizaciónde Datos
ORIGEN
Ingreso deDatos
INPUT
Procesamientode Datos
Salida deDatos
OUTPUT
ENTORNO CON TERCEROS
Manejo y retención de salidas (AC12) Distribución de Salidas (AC13) Cuadre y conciliación de salidas (AC14) Revisión de Salidas y Manejo de errores (AC13) Provisión de seguridad para reportes de salida
(AC14)
Ing. Víctor Manuel Montaño Ardila
Existen procedimientos para garantizar que se mantiene la seguridad de los reportes de salida, tanto para aquellos que esperan ser distribuidos como para aquellos que ya están entregados a los usuarios.
Los procedimientos garantizan que tanto el proveedor como los usuarios relevantes revisan la precisión de los reportes de salida. También existen procedimientos para la identificación y el manejo de errores contenidos en las salidas.
Las salidas cuadran rutinariamente con los totales de control relevantes. Las pistas de auditoría facilitan el rastreo del procesamiento de las transacciones y la conciliación de datos alterados.
Los procedimientos para la distribución de las salidas de TI se definen, se comunican y se les da seguimiento.
El manejo y la retención de salidas provenientes de aplicaciones de TI siguen procedimientos definidos y tienen en cuenta los requerimientos de privacidad y de seguridad.
Manejo y retención de salidas (AC12) Distribución de Salidas (AC13) Cuadre y conciliación de salidas (AC14) Revisión de Salidas y Manejo de errores
(AC13) Provisión de seguridad para reportes de
salida (AC14)
Ing. Víctor Manuel Montaño Ardila
CONTROLES DE APLICACIÓN – ENTORNO CON TERCEROS
Autorizaciónde Datos
ORIGEN
Ingreso deDatos
INPUT
Procesamientode Datos
Salida deDatos
OUTPUT
ENTORNO CON TERCEROS
Autenticidad e Integridad (AC15) Protección de información sensitiva durante
su transmisión y transporte (AC16)
Ing. Víctor Manuel Montaño Ardila
Se proporciona una protección adecuada contra accesos no autorizados, modificaciones y envíos incorrectos de información sensitivadurante la transmisión y el transporte.
Se verifica de forma apropiada la autenticidad e integridad de la información generada fuera de la organización, ya sea que haya sido recibida por teléfono, por correo de voz, como documento en papel, fax o correo electrónico, antes de que se tomen medidas potencialmente críticas.
Autenticidad e Integridad (AC15) Protección de información sensitiva durante
su transmisión y transporte (AC16)
Ing. Víctor Manuel Montaño Ardila
Recommended