Embed Size (px)
Citation preview
SEPTIEMBRE 2012
APLICACIÓN DE ESTRATEGIAS PARA EL CONTROL INTERNO
INFORMÁTICO EN XXX BASADAS EN EL DOMINIO DE ENTREGA DE
SERVICIOS Y SOPORTE DEL MARCO OBJETIVOS DE CONTROL PARA LA
INFORMACIÓN Y LAS TECNOLOGÍAS (COBIT)
Metodología del Marco Objetivos de Control para la Información y las
Tecnologías Relacionadas o Marco COBIT (Control Objectives for
Information and Related Technology, por sus siglas en ingles)
Metodologías del Marco Objetivos de Control para la Información y las
Tecnologías Relacionadas o Marco COBIT (Control Objectives for Information and
Related Technology, por sus siglas en ingles)
• Diagnóstico del grado de madurez del control interno en el área de Tecnología de la
Información de la empresa XXX, utilizando el Modelo de Madurez del Marco COBIT.
• Establecer el Marco de Objetivos de Control para la Información y las Tecnologías
(COBIT) para el control interno del área de informática de la empresa XXXX .
A partir de lo pautado en la teoría macro asumida, se formulan los objetivos, de
acuerdo a las fases que se deben desarrollar según lo estipulado en la teoría
macro seleccionada por el investigador
Los modelos de madurez para el control de los procesos de TI consisten en desarrollar un método de puntaje de modo que una organización pueda calificarse a sí misma, por ejemplo, desde inexistente hasta optimizada (de 0 a 5). Algunos modelos han sido derivados del Modelo de Madurez que el Software Engineering Institute definió para la madurez de la capacidad de desarrollo de software.
Marco de Objetivos de Control: Marco Referencial de dominios y procesos, presenta actividades en una estructura manejable y lógica, para ayudar a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos técnicos. El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores TI, usuarios y por supuesto, los auditores involucrados en el proceso.
El COBIT es un marco de referencia aceptado internacionalmente como una buena práctica de control de la información, desarrollado por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI) con un equipo de conformado por más de 100 expertos alrededor del mundo (miembros de ISACA y otros industrias) y es utilizado para implementar el gobierno de TI y mejorar los controles de TI. Se trata de un marco compatible y que incorpora aspectos fundamentales de otros estándares y modelos relacionados (COSO, CMM, ISO 27002 y BS7799).
Grafico 1. Modelo de Madurez COBIT
Cuadro X. Cuestionario para el Nivel de Madurez 1 del Proceso DS4
DS4 Garantizar la Continuidad del Servicio
Nivel Cumplimiento Contribución Valor
0 0,50 0,00 0,00
1 0,50 1,00 0,50
2 0,50 1,00 0,50
3 0,50 1,00 0,50
4 0,48 1,00 0,48
5 0,50 1,00 0,50
Nivel de Madurez = 2,46
Cuadro X. Valor numérico de nivel de cumplimiento
Nivel de Madurez
Cuestionario 1 2,64
Cuestionario 2 2,30
Cuestionario 3 2,79
Cuestionario 4 2,29
Cuestionario 5 1,70
Promedio 2,34
Cuadro X. Resultados del Nivel de Madurez del proceso DS1 Definir y administrar los niveles de servicio
0,00
0,50
1,00
1,50
2,00
2,50
3,00
3,50
4,00
4,50
5,00
Nivel de Madurez
Promedio
Gráfico X. Resultados del Nivel de Madurez del proceso DS1 Definir y administrar los niveles de servicio
Proceso Nivel Actual Nivel Optimo
DS1 2,34 5
DS2 2,48 5
DS3 2,12 5
DS4 2,11 5
DS5 2,45 5
DS6 2,38 5
DS7 2,06 5
DS8 2,18 5
DS9 2,06 5
DS10 2,37 5
DS11 2,17 5
DS12 1,84 5
DS13 2,18 5
DS3 Administrar el desempeño y la capacidad
Para optimizar el desempeño de los recursos y las capacidades de TI en respuesta a las necesidades del negocio, se deben hacer mejoras continuas de desempeño y capacidad de TI a través del monitoreo y la medición, tomándose en cuenta lo siguiente:
•DS3.2 Revisión de capacidad de los recursos de Tecnología de la Información y Comunicación
•DS3.1 Planificación de la capacidad de los recursos de Tecnología de la Información y Comunicación
DS8 Administrar la mesa de servicio y los incidentes
A fin de responder de manera oportuna y efectiva a las consultas y problemas de los usuarios de TI, se requeriría de una mesa de servicio con registro y escalamiento de incidentes, análisis de tendencia, análisis causa-raiz y resolución. Ello enfocándose en los objetivos siguientes:
•DS8.1Administración de incidentes
•DS8.1Análisis de incidentes
•DS8.4Cierre de incidentes
