UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

Curso: Auditoria de Sistemas Catedratico: Ing. Giovanni Guzman

Titulo:

COBIT
(Control

Objectives for Information and related Technology)

Integrantes: Edilzar Bosbeli Samayoa Garrido Mirlo Mauricio Manzo Oliva Ricardo Androkles Arias Molina Sergio Alberto Donis Audon

092-98-620 092-98-1490 092-98-356 092-98-1220

Fecha:

Guatemala, 13 de Mayo del 2004

TABLA DE CONTENIDOS UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA....................1

COBIT..............................................................................................................................1

INTRODUCCION................................................................................3 COBIT (Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas)...............................................................4

Usuarios:..........................................................................................................................4 Caractersticas:.................................................................................................................4 Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios:...........................................................................................................................5 Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad .............5 En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:.......................................................................................................5 COBIT se divide en tres niveles:.....................................................................................6 GRAFICO DE PRINCIPIOS COBIT..............................................................................6

DENTRO DEL COBIT.........................................................................6 COBIT como producto......................................................................8

Resumen ejecutivo...........................................................................................................8 Documento dirigido a la alta gerencia.............................................................................8 Marco de referencia.........................................................................................................8 Objetivos de control.........................................................................................................8

Chequeo de Cumplimiento COBIT.................................................10 APLICACIN....................................................................................13

Descripcin Del Proyecto:.............................................................................................13 Determinacin De Objetivos Del Proyecto:..................................................................13

CONCLUSIONES.............................................................................14 BIBILIOGRAFIA...............................................................................15

INTRODUCCION
COBIT ha sido desarrollado para las aplicaciones en general y para la aceptacion de estandares en centros de IT, practicas de seguridad y control que proveen una referencia de administracion, y un mecanismo de auditoria aceptable. El objetivo de COBIT es en esencia crear una herramienta para Investigar, desarrollar, publicar y promover un conjunto de normas de control, actualizados, con un carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores a nivel mundial. El uso de COBIT permite controlar de manera eficaz los recursos en lo concerniente a IT brindando las herramientas para: mejorar el rendimiento en los elementos de medicion, una lista detallada de factores criticos para la creacion y mantenimiento de un centro de IT, niveles de madurez en los modelos para asistir a los niveles gerenciales en la toma de decisiones. La puesta en practica del COBIT es en realidad una manera de enmarcar los procesos que llevaran a un proyecto al xito, si se cumplen todos los requisitos del COBIT se obtiene automaticamente una herramienta de auditoria, ademas se puede observar el alcance del proyecto desde una perspectiva amplia y confiable.

COBIT (Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas)

COBIT, fue lanzado en 1996, y es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de control, COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofa de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.

Misin: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnologa de informacin que sea de uso cotidiano para gerentes y auditores

Usuarios:
La Gerencia: para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas. Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas.

Caractersticas:
Orientado al negocio Alineado con estndares y regulaciones "de facto" Basado en una revisin crtica y analtica de las tareas y actividades en TI Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

Principios: El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI. Requerimientos de la informacin del negocio

Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones. Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica). Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad

Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa. Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma. Recursos de TI

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:
Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin. Procesos de TI La estructura de COBIT se define a partir de una premisa simple y pragmtica: "Los recursos de las Tecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la informacin que la empresa necesita para alcanzar sus objetivos".

COBIT se divide en tres niveles:

Dominios Procesos Actividades

Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control. Actividades: Acciones requeridas para lograr un resultado medible.

Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI.

GRAFICO DE PRINCIPIOS COBIT

DENTRO DEL COBIT

COBIT est diseado como un estndar aplicable y aceptable en general para la buena prctica de la auditora de las tecnologas de la Informacin en todo el mundo. El producto COBIT utiliza los Objetivos de Control de ISACA, mejorados con estndares especficos de tipo tcnico, profesional, normativo e industrial existentes y emergentes. Los objetivos de control se han desarrollado para su aplicacin en el amplio espectro de

sistemas de informacin en la empresa. Estos objetivos de control tienen en cuenta lo siguiente:

Adecuacin a los estndares y normativas legislativos y de hecho existentes que se aplican en el marco global, as como en los objetivos de control individuales. Revisin crtica de las diferentes actividades y tareas bajo los dominios de control y posibilitando la especificacin de indicadores de prestaciones importantes (normas, reglas, etc.) Establecimiento de unas directrices y fundamentos para proporcionar investigacin consistente sobre los temas de auditora y control de TI.

El sistema consiste en objetivos de control de TI de alto nivel y una estructura global para su clasificacin y funcionamiento. La teora subyacente para la clasificacin elegida, en lnea con las experiencias de Re-Ingeniera, es que hay, en esencia tres niveles de esfuerzos en TI cuando se considera la gestin de los recursos de TI: Actividades: las actividades, junto con las tareas estn en el nivel inferior. Las actividades tienen el concepto de ciclo de vida mientras que las tareas se consideran discretas en el tiempo. Procesos: se definen en un nivel superior como series de actividades unidas con puntos de control naturales. Dominios: correspondientes al nivel superior, son agrupaciones de procesos. COBIT distingue cuatro dominios en lnea con el ciclo de gestin o el ciclo de vida aplicables a los procesos de TI Planificacin y Organizacin Conduce la estrategia y las tcticas y corresponde a la identificacin de la forma en que la informacin tecnolgica puede contribuir mejor a alcanzar los objetivos de gestin. Adquisicin e Implementacin Distribucin y Soporte Corresponde con la distribucin normal de los servicios requeridos, que van desde las tradicionales operaciones sobre seguridad y continuidad hasta la formacin. Monitorizacin o Seguimiento

Para llevar a cabo la estrategia es Todos los procesos de TI deben necesario identificar, desarrollar y evaluarse regularmente en el adquirir soluciones de TI tiempo para comprobar su calidad. apropiadas, as como implementarlas e integrarlas en los procesos de gestin. El marco conceptual se enfoca desde tres puntos de vista distintos: criterios de gestin para la informacin, recursos de TI y procesos de TI. Estos tres puntos de vista se ensamblan en un formato cbico y permiten que se obtengan referencias cruzadas en dicho marco y se pueda acceder a l eficientemente

Los objetivos de control de TI estn organizados inicialmente por proceso/actividad, pero las ayudas para la navegacin que se aportan, facilitan la entrada desde cualquier punto estratgico. Tambin facilitan la adopcin de enfoques combinados o globales, tal como la instalacin/implementacin de un proceso, responsabilidades de gestin global para un proceso, y el uso de los recursos de TI por un proceso.

COBIT como producto

Resumen ejecutivo
Documento dirigido a la alta gerencia Presenta los antecedentes y la estructura bsica de COBIT. Describe de manera general los procesos, los recursos y los criterios de informacin, los cuales conforman la Columna Vertebral de COBIT.

Marco de referencia
Incluye la introduccin contenida en el resumen ejecutivo Presenta las guas de navegacin para que los lectores se orienten en la exploracin del material de COBIT.

Objetivos de control
Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia

Presenta los objetivos de control detallados para cada uno de los 34 procesos. En total se describen 302 objetivos de control (de 3 a 30 objetivos por cada uno de los procesos)

Guas de Auditora
Se hace una presentacin del proceso de auditora generalmente aceptado (relevamiento de informacin, evaluacin de control, evaluacin de cumplimiento y evidenciacin de los riesgos). Este documento incluye guas detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 318 objetivos de control detallados.

Guas de Administracin
Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra los conceptos de: Modelo de madurez CMM (prcticas de Control) Indicadores claves de Desempeo de los procesos de TI Factores Crticos de xito a tener en cuenta para mantener bajo control los procesos de TI.

Chequeo de Cumplimiento COBIT

La tabla anterior muestra las areas de aplicacin del COBIT en lo concerniente a riesgos, basados en ella podemos apreciar las fortalezas y debelidades que nos promueve el uso de la herramienta. El chequeo del cumplimiento del COBIT nos dice como debemos de tratar exactamente la herramienta, para reducir a lo mas minimo los riesgos que conlleva su implementacion en cada fase o area de desarrollo. Para el caso de la auditoria le permite identificar las mejores opciones para la implementacion de controles adecuados y seguros en el desempeo de la actividad de revision.

APLICACIN
Descripcin Del Proyecto:
El Plan del Proyecto Digitren, consiste en crear el sistema automatizado que lleve el control de la informacin generada por un medio de transporte moderno como lo son los trenes elctricos. La informacion ser requerida y utilizada por un usuario frecuente del transporte colectivo. El sistema de trenes electricos se propone llevar a cabo el ao 2010 en la metrpoli guatemalteca, Digitren permitir al usuario interactuar de forma amigable y obtener la informacin pertinente para que el usuario decida cual es la mejor opcin que tiene disponible para viajar momentos antes de abordar un tren, es decir, el usuario podr en un momento dado estructurar si itinerario de viaje al usar este transporte colectivo. Como los trenes estarn dotados con puertas automticas, dichas puertas tendran sensores que generen informacin sobre la cantidad de usuarios que suben y bajan en una estacin, de esta forma se podr saber que disponibilidad de espacio tiene cada tren que llega a cualquiera de las estaciones. Todo esto se har funcional con el software y hardware implementado, el software ser realizado a la medida del proyecto y la interfaz ser interactiva. Adems el software podr servir de base a la organizacin para obtener estadsticas importantes al momento de tomar decisiones, esto debido a que podr evaluarse fcilmente la demanda que tiene el servicio, y compararla con los costos de operacin del sistema de transporte.

Determinacin De Objetivos Del Proyecto:

La creacion de un sistema que lleve el control automatizado de la informacin generada por los trenes y mostrada en las estaciones al usuario. Que el sistema acte interactivamente con el hardware requerido para brindar informacin relevante del funcionamiento de los trenes. Que el sistema le sirva al usuario para tomar sus decisiones de la forma en que desea transportarse, segn sea su necesidad.

CONCLUSIONES
El uso del COBIT en compaa con el ITIL y la norma ISO17799 , brindan la mejor herramienta que abarca todos los niveles de la IT, suministrando informacion veraz y confiable a la hora de ser requerida para la toma de decisiones a nivel Gerencial. Consideramos la herramienta COBIT de gran utilidad en el control de proyectos de IT, ya que se apega a las necesidades tanto de usuarios como a nivel gerencial y ademas a normativas para auditorias. El COBIT nos muestra los mecanismos a utilizar, pero es innegable que el apoyo a nivel gerecial es indispensable para llevarlo a cabo con xito, en las tareas que se piensan iniciar, tanto con nuevos proyectos como tambien con los que ya se encuentran en curso, brindando una buena herramienta de auditoria.

BIBILIOGRAFIA
http://pwcgolbal.com www.isaca.org/cobit.htm www.isaca.cl/cobit.html Apuntes curso de Administracion de Sistemas UMG. A cargod el ING. Giovanni Guzman