1

ESTNDARES, MODELOS
Y METODOLOGAS
PARA LA GESTIN DE TI
C O B I T
2
C
O
B
I
T
(Control Objetives for Information
and related Technology
C O B I T
COBIT (Control Objetives for Information and
related Technology ( Objetivos de Control para
tecnologa de la informacin y relacionada)
Es el modelo para el Gobierno de la TI desarrollado
por la Information Systems Audit and Control
Association (ISACA) y el IT Governance Institute
(ITGI).
3
C O B I T
El marco de trabajo de COBIT tiene un triple
enfoque:
Enfocado al management
Enfocado a los usuarios de IT
Enfocado a auditores
4
C O B I T
En su cuarta edicin, COBIT tiene 34 objetivos de
alto nivel que cubren 318 objetivos de control
(especficos o detallados) clasificados en cuatro
dominios:
Planificacin y Organizacin
Adquisicin e Implementacin
Entrega y Soporte
Supervisin y Evaluacin.
5
Orientado a Procesos
www.themegallery.com
C O B I T
Los cuatro dominios principales de COBIT
Orientado a Procesos
Planeacin y
organizacin
Adquisicin e
implantacin
Entrega y
Soporte
Monitorear y
evaluar
Cubre las estrategias, las tcticas y la manera de identificar la forma en
que TI puede contribuir al logro de los objetivos de negocio.
Cubre las estrategias de TI. Las soluciones de TI necesitan ser
identificadas, desarrolladas o adquiridas as como ser implementadas e
integradas a los procesos del negocio
Incluye los procesos que permiten la entrega adecuada de los servicios de
tecnologa desde las operaciones tradicionales hasta el entrenamiento,
tomando en cuenta aspectos de seguridad y continuidad de las operaciones.
Se debe evaluar de forma regular los procesos de control
independientes, los mismos que son definidos por auditorias externas e
internas o por fuentes alternativas.
Auditoria Informtica Auditoria Informtica
C O B I T
Los procesos de estos dominios de COBIT se implantan dentro de las
polticas y especificaciones de requerimientos de negocio,
determinados por los criterios de la informacin, los cuales establecen
los niveles de rendimiento en cada uno de los siguientes aspectos:
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
7
Requerimientos del negocio
C O B I T
Los aspectos o criterios anteriores deben ser tomados en cuenta al
momento de ejecutar los procesos COBIT y al momento de
monitorear los diversos recursos de TI con los que cuenta la
compaa
Aplicaciones
Informacin
Infraestructura
Personas
8
Recursos de TI
9
C O B I T
Dominio
Objetivo de alto nivel
Objetivos de control
(especficos o detallados)
10
EJEMPLO:
Dominio: Planeacin y organizacin
Objetivo de alto nivel: PO9 Evaluacin de riesgos
Objetivos de control (especficos o detallados)
C O B I T
C O B I T
Objetivo: Asegurar el logro de los objetivos de TI y
responder a las amenazas hacia la provisin de
servicios de TI
Para ello se logra la participacin de la propia
organizacin en la identificacin de riesgos de TI y en
el anlisis de impacto, tomando medidas econmicas
para mitigar los riesgos y se toma en consideracin:
11
PO9 Evaluacin de riesgos
C O B I T
Definicin de un marco de referencia general para la
administracin de proyectos que defina el alcance y
los lmites del mismo, as como la metodologa de
administracin de proyectos a ser adoptada y aplicada
para cada proyecto emprendido. La metodologa
deber cubrir, como mnimo, la asignacin de
responsabilidades, la determinacin de tareas, la
realizacin de presupuestos de tiempo y recursos, los
avances, los puntos de revisin y las aprobaciones.
12
PO9 Evaluacin de riesgos
C O B I T
El involucramiento de los usuarios en el desarrollo,
implementacin o modificacin de los proyectos.
Asignacin de responsabilidades y autoridades a los
miembros del personal asignados al proyecto.
Aprobacin de fases de proyecto por parte de los
usuarios antes de pasar a la siguiente fase.
Presupuestos de costos y horas hombre
13
PO9 Evaluacin de riesgos
C O B I T
Planes y metodologas de aseguramiento de calidad
que sean revisados y acordados por las partes
interesadas.
Plan de administracin de riesgos para eliminar o
minimizar los riesgos.
Planes de prueba, entrenamiento, revisin post-
implementacin.
14
PO9 Evaluacin de riesgos
C O B I T
COBIT 4ta Edicin, incluye un modelo de madurez
para cada proceso TI.
Proporciona mtricas para la medicin del
rendimiento operacional como:
Factores crticos de xito (CSF).
Indicadores clave de metas (KGI).
Indicadores clave de desempeo (KPI).
15
C O B I T
0 No existe: No replican procesos administrativos en lo
absoluto
1 Inicial: Los procesos son ad-hoc y desorganizados
2 Repetible: Los procesos siguen un patrn regular
3 Definido: Los procesos se documentan y comunican
4 Administrado: Los procesos se monitorean y se
miden
5 Optimizado: Las buenas prcticas se siguen y se
automatizan
16
MODELO DE MADUREZ
C O B I T
17
Modelo de madurez
C O B I T
Factores Crticos de xito (CSF) definen los aspectos o
acciones ms importantes para que la administracin logre
el control sobre y dentro de sus procesos de TI. Ellos
deben ser directrices de implementacin orientados hacia
la administracin y deben identificar las cosas ms
importantes para hacer, estratgicamente, tcnicamente,
organizacionalmente o procedimentalmente.
Contribuyen a que el proceso de TI alcance sus metas.
Usualmente tratan con capacidades y destrezas y tienen
que ser cortos, enfocados y orientados a la accin,
apoyando los recursos que sean de importancia primordial
en el proceso en consideracin.
18
FACTORES CRTICOS DE XITO (CSF)
C O B I T
Los indicadores clave de metas (KGI) definen mediciones
para informar a la gerencia, despus del hecho, si un
proceso TI alcanz sus requerimientos de negocio, y se
expresan por lo general en trminos de criterios de
informacin:
1 Disponibilidad de informacin necesaria para dar
soporte a las necesidades del negocio.
2 Ausencia de riesgos de integridad y de
confidencialidad
3 Rentabilidad de procesos y operaciones
4 Confirmacin de confiabilidad, efectividad y
cumplimiento.
19
INDICADORES CLAVES DE OBJETIVOS (KGI)
C O B I T
Los indicadores clave de desempeo (KPI) definen
mediciones que determinan qu tan bien se est
desempeando el proceso de TI para alcanzar la meta.
Son los indicadores principales que indican si ser factible
lograr una meta o no, y son buenos indicadores de las
capacidades, prcticas y habilidades. Miden las metas de
las actividades, las cuales son las acciones que el
propietario del proceso debe seguir para lograr un efectivo
desempeo del proceso.
20
INDICADORES DE DESEMPEO (KPI)
Auditora Informtica
Proceso de revisin y evaluacin de la
administracin de los sistemas informticos y los
controles implantados en los mismos, basado en
un modelo de control y gobierno de TI, del cual se
obtiene una opinin independiente sobre los
controles evaluados.
PRESENTACIN DEL PROYECTO
General
Realizar una Auditora Informtica
del Sistema de Informacin de la
Escuela Politcnica del Ejrcito,
mediante la revisin del ambiente
de control implementado en los
procesos automatizados y en el
gerenciamiento de los mismos,
utilizando la metodologa COBIT,
a fin de identificar debilidades y
emitir recomendaciones que
permitan eliminar o minimizar los
riesgos.
Objetivos
Especficos
Evaluar la Planeacin y
Organizacin.
Evaluar la Adquisicin e
Implantacin.
Evaluar la Entrega de
servicios y Soporte.
Revisar el Monitoreo y la
evaluacin.
www.themegallery.com
PRESENTACIN DEL PROYECTO
El alcance de este proyecto incluye el anlisis
crtico del desempeo de las unidades
orgnicas, sistemas y otros recursos utilizados
por la Institucin para el almacenamiento,
procesamiento, y distribucin de la informacin
interna, en base del modelo COBIT, con sus
cuatro dominios y 34 procesos en forma
integral, para emitir recomendaciones que
permitan mejorar el funcionamiento de estos
sistemas.
Alcance
www.themegallery.com
MARCO TERICO
Marco
integrado
de control
Ambiente de Control
Evaluacin de Riesgos
Actividades de Control
Monitoreo
Informacin y Comunicacin
MARCO TERICO
Ambiente de Control
Se refiere a la integridad, valores ticos y
competencias de las personas que integran una
institucin y el ambiente en el cual estas personas
desempean sus funciones. Incluyendo tambin la
filosofa y estilo de operar de la gerencia.
www.themegallery.com
MARCO TERICO
Proceso de Auditora Informtica
El objetivo del proceso de auditora informtica es
analizar:
La manera mediante la cual son salvaguardados los
activos computarizados,
La forma en la que se mantiene la integridad de los
datos,
Como se logran los objetivos de la organizacin
eficazmente y se usan los recursos consumidos
eficientemente,
A travs de la recoleccin de evidencias
de manera organizada.
MARCO TERICO
Planificacin Ejecucin Finalizacin
Fases del Proceso de Auditora Informtica
Definir:
Objetivos y alcance
Recursos necesarios
Canales de
comunicacin
Programa de auditora
Responsables
Plan de trabajo
Recolectar evidencias
a travs de:
Entrevistas
Simulaciones
Cuestionarios
Anlisis de estndares
Anlisis de auditoras
anteriores
Evaluacin de la
informacin y
redaccin del informe
final , que debe
contener:
Criterio
Situacin actual
Efectos
Recomendaciones
Punto de vista
www.themegallery.com
MARCO TERICO
Controles de TI
Los controles de TI son actividades que permiten
asegurar la exactitud, integridad y autorizacin de
las transacciones que ejecutan los sistemas de
informacin.
La auditora informtica clasifica estos controles
en generales y de aplicacin, siendo los primeros
el soporte de los controles de aplicacin.
www.themegallery.com
MARCO TERICO
Clasificacin de los Controles de TI.
Controles Generales
Polticas y procedimientos que
permiten asegurar la operacin
continua y apropiada de los sistemas de
informacin, as como la integridad de
la informacin y la integridad de los
datos.
Controles de Aplicacin
Son procedimientos manuales o
automatizados que operan a nivel de
los procesos de la organizacin,
pueden ser de naturaleza preventiva o
de deteccin y se relacionan con los
procesos utilizados para iniciar,
registrar, procesar e informar las
transacciones de la organizacin.
30
EJEMPLO:
Dominio
Objetivo de alto nivel
Objetivos de control (especficos o detallados)
Auditora
Observacin
Criterio
Condicin
Causa
Efecto
Recomendacin
C O B I T
C O B I T
PO. PLANEACIN Y ORGANIZACIN
PO3.
DEFINICIN DE LA ORGANIZACIN Y DE
LAS RELACIONES DE TI
PO3.1
Planeacin de la Infraestructura Tecnolgica
31
C O B I T
Observacin PO:
No existe un Plan de Infraestructura Tecnolgica,
desarrollado o consolidado.
Criterio
La funcin de servicios de informacin debe crear y
actualizar regularmente un plan de infraestructura
tecnolgica, que deber abarcar aspectos tales como
arquitectura de sistemas, direccin tecnolgica y
estrategias de migracin
32
C O B I T
Condicin :
La UTIC no posee un Plan de Infraestructura
Tecnolgica, ya que el Plan RI (recursos
Informticos), no contiene anlisis de Arquitectura de
Sistemas, Direccin tecnolgica y Estrategias de
migracin en base a las cuales se realizaran los
planes de adquisiciones (Evidencia: AUDI-2007-
ENT-004, ENT-Dir-UTICs).
33
C O B I T
Causas :
Falta de una planificacin estratgica informtica, que
defina la Infraestructura Tecnolgica (Productos,
Servicios y mecanismos de entrega) a la cual la
INSTITUCIN apuntara.
Falta de capacitacin referida al tema por parte del
personal de la UTIC.
No se han designado responsabilidades en la
supervisin y en la captacin de estas actividades en
forma especfica.
34
C O B I T
Efecto:
La falta de un Plan de Infraestructura tecnolgica,
conlleva a la deficiencia de anlisis y
determinacin de expectativas claras y realistas de
lo que la tecnologa puede ofrecer en trminos de
productos, servicios y mecanismos de entrega; a la
INSTITUCIN como entidad Educativa.
35
C O B I T
Recomendacin :
El Director de la Unidad de Desarrollo Institucional,
elaborar el Plan de Infraestructura Tecnolgica
durante los tres meses posteriores al establecimiento
del Plan Estratgico Informtico; que se traduce en
planes para la adquisicin de tecnologa, capacitacin
y reclutamiento de personal, con consideracin de las
polticas y normas de uso de la tecnologa.
36
C O B I T
37