ASEGURAMIENTO DE LA INFORMACIN MEDIANTE COBIT

HERRAMIENTAS MEYCOR COBIT CSA Y MEYCOR COBIT AG

Relacin entre COSO y COBIT

Qu es COBIT?
El modelo para implantar Gobierno de TI. Es un estndar abierto y de amplia difusin. Consta de 34 procesos y 220 Objetivos de Control de bajo nivel. Es 100 % compatible con ISO 17799, COSO I y II, y con otros estndares de menor nivel de abstraccin en los que se apoya. COBIT fija el Qu y los estndares de apoyo el Cmo en materia de implantacin de Gobierno de TI.

COBIT
Significa: Control Objectives for Information and Related Technology. Modelo desarrollado por la ISACA y el IT Governance Institute (ITGI) para llevar a la prctica el Gobierno de TI en las organizaciones.

ISACA
Fundada en 1969. Es una organizacin lder en Gobernabilidad, Control, Aseguramiento y Auditora en TI. Con sede en Chicago USA. Tiene ms de 60.000 miembros en ms de 100 pases. Realiza eventos, conferencias, desarrolla estndares en IT Governance, Assurance and Security. COBIT:
1ra Edicin 1996 2da Edicin 1988 3ra Edicin 2000 4ta Edicin 2005 (Nov/Dic)

Marco COBIT
REQUERIMIENTOS DE NEGOCIO

PROCESOS DE INFORMACIN

CRITERIOS DE INFORMACIN
efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad

RECURSOS DE TI
aplicaciones informacin infraestructura personal

COBIT 4.0

Aseguramiento de la Informacin
El aseguramiento de la informacin es la base sobre la que se construye la toma de decisiones de una organizacin. Sin aseguramiento, las empresas no tienen certidumbre de que la informacin sobre la que sustentan sus decisiones de misin crtica es confiable, segura y est disponible cuando se la necesita. Definimos Aseguramiento de la Informacin como la utilizacin de informacin y de diferentes actividades operativas con el fin de proteger la informacin, los sistemas de informacin y las redes, de forma de preservar la disponibilidad, la integridad, la confidencialidad, la autenticacin y el no repudio, ante el riesgo de impacto de amenazas locales, o remotas a travs de comunicaciones e Internet. Veremos dos importantes tcnicas de aseguramiento, la auto evaluacin y la auditora de sistemas de informacin.

COBIT: Autoevaluacin de controles (Meycor COBIT CSA)

Es una tcnica gerencial que asegura a todos aquellos con intereses en el negocio, que el sistema de control interno del mismo es confiable. Tambin asegura que los empleados son concientes de los riesgos del negocio, y que llevan adelante revisiones proactivas peridicas de los controles.

COBIT Guas de Auditora (Meycor COBIT AG)

Dan una estructura simple para auditar los controles en TI. Son genricas nivel. y estructuradas a alto

Permiten la revisin de Procesos contra los Objetivos de Control en TI.

Se audita mediante los siguientes pasos:

Obtener un entendimiento de los requerimientos del negocio, los riesgos relacionados, y las medidas de control relevantes. Evaluar la conveniencia de los controles establecidos. Evaluar el cumplimiento al probar si los controles establecidos estn funcionando como se espera, de manera consistente y continua. Justificar el riesgo de que los objetivos de control no se estn cumpliendo mediante el uso de tcnicas analticas y/o consultando fuentes alternativas.

Gua Genrica de Auditora

Obtener entendimiento
Los pasos de auditora a realizar para documentar las actividades subyacentes a los objetivos de control, as como tambin identificar las medidas/procedimientos de control establecidas. Entrevistar al personal administrativo y de staff indicado para lograr la comprensin de:
Los requerimientos del negocio y los riesgos asociados. La estructura organizacional. Los roles y responsabilidades. Las medidas de control establecidas. La actividad de reporte a la administracin (estatus, desempeo, acciones).

Documentar los recursos de TI relacionados con el proceso que se ven especialmente afectados por el proceso bajo revisin. Confirmar el entendimiento del proceso bajo revisin, los Indicadores Clave de Desempeo (KPI) del proceso, las implicaciones de control, por ejemplo, mediante un seguimiento paso a paso del proceso.

Gua Genrica de Auditora

Evaluacin de los controles
Los pasos de auditora a realizar en la evaluacin de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Bsicamente, decidir qu se va a probar, si se va a probar y cmo se va a probar. Evaluar la conveniencia de las medidas de control para el proceso bajo revisin mediante la consideracin de los criterios identificados y las prcticas estndares de la industria, los Factores Crticos de xito (CSF) de las medidas de control y la aplicacin del juicio profesional de auditor.
Existen procesos documentados. Existen resultados apropiados. La responsabilidad y es clara y eficaz. Existen controles compensatorios en donde es necesario.

Concluir el grado en el que se cumple el objetivo de control.

Gua Genrica de Auditora

Valoracin del cumplimiento
Los pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia de ambiente de control. Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta. Realizar una revisin de la suficiencia de los resultados del proceso. Determinar el nivel de pruebas justificantes y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado.

Gua Genrica de Auditora

Justificar el riesgo
Los pasos de auditora a realizar para justificar el riesgo de que no se cumpla el objetivo de control mediante el uso de tcnicas analticas y/o consultas a fuentes alternativas. Documentar las debilidades del control y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-raz. Brindar informacin comparativa; por ejemplo, mediante puntos de referencia.

Descripcin de los productos Meycor COBIT CSA y AG

Meycor COBIT CSA

Importancia de los Procesos de TI

Para los procesos definidos por COBIT, se identifica la importancia, el desempeo, si ha sido auditado, cmo se procesa y quin es el responsable.

Meycor COBIT CSA

Auto Evaluacin sobre los controles

Meycor COBIT CSA incluye los Objetivos de Control de COBIT 4.0 y preguntas de seguridad de plataformas especficas.

Meycor COBIT CSA

Reporte de la evaluacin

Se presentan los resultados en puntajes. De este modo se pueden determinar valores meta.

Meycor COBIT CSA

Diagnstico sobre los Procesos de TI

La lnea roja indica el resultado obtenido. Cuanto mas prxima al centro, los riesgos se encuentran menos cubiertos por controles

Meycor COBIT CSA

Evaluaciones de varios Centros de Anlisis

Se pueden ver los resultados en forma comparativa (plataformas, sucursales, tecnologas)

Meycor COBIT CSA

Proyectos de Auditora

Permite crear proyectos de auditora, asignar recursos y gestionarlos.

El objetivo es determinar si los controles del proceso ofrecen aseguramiento.

Meycor COBIT CSA

Alineamiento con los Objetivos de negocio

Se identifica el alineamiento entre los Objetivos de TI y los Objetivos de negocio

Meycor COBIT AG
Inventario Tecnolgico

Se identifica cmo los recursos de TI contribuyen efectivamente al logro de los objetivos.

Meycor COBIT AG
Relacin entre procesos de COBIT y Procesos de Negocio

Se genera un mapa de calor a partir de los recursos de TI y los criterios de informacin requeridos.

Meycor COBIT AG
Inicio del proceso de auditora

Se registra cuando el supervisor crea un proyecto y lo asigna a los auditores. Se establece tambin cuando se est en desacuerdo con una observacin.

Meycor COBIT AG
Auditando un Proceso de TI

Meycor COBIT AG gua en las diversas Fases (entrevistas, etc.). Permite registrar tareas, adjuntar evidencias y registrar observaciones.

Meycor COBIT AG
Guas de Auditora

Los auditores cuentan con guas de auditora que constituyen una base de conocimiento que mejora la calidad de la auditora.

Meycor COBIT AG
Registro de tareas

Se identifica quin la ejecut, el tiempo invertido, comentarios, etc.

Meycor COBIT AG
Hallazgos y recomendaciones

Las observaciones se definen en un formato que incluye determinar los criterios contra los que se evala, las consecuencias, etc.

Meycor COBIT AG
Ejemplos de Papeles de Trabajo (I)

Reporte del programa de auditora por proyecto.

Meycor COBIT AG
Ejemplos de Papeles de Trabajo (II)

Informe sobre el grado de fortaleza de los controles auditados.

Meycor COBIT AG
Ejemplos de Papeles de Trabajo (III)

Identificacin de hallazgos, opinin del auditado, seguimiento, etc.

DATASEC IT Security & Control

Patria 716 - CP 11300 - Montevideo - Uruguay Tel: (+598 2) 711-58-78 / 711-04-20 Fax: (+598 2) 711-58-94 Sitio web: www.datasec-soft.com