UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

Facultad de Ingeniera de Sistemas e Informtica

Auditora Informtica

Modelo de Gestin de TI

INTRODUCCIN
Para muchas empresas, la informacin y la tecnologa
que las soportan representan sus ms valiosos activos,
aunque con frecuencia son poco entendidos.
Las empresas exitosas reconocen los beneficios de la
tecnologa de informacin y la utilizan para impulsar el
valor de sus interesados (stakeholders).
Estas empresas tambin entienden y administran los
riesgos asociados, tales como el aumento en
requerimientos regulatorios, as como la dependencia
crtica de muchos procesos de negocio en TI.

INTRODUCCIN
El Gobierno De TI es responsabilidad de los ejecutivos,
del consejo de directores y consta de liderazgo,
estructuras y procesos organizacionales que garantizan
que la TI de la empresa sostiene y extiende las
estrategias y objetivos organizacionales.
Ms an, el gobierno de TI integra e institucionaliza las
buenas prcticas para garantizar que la TI de la empresa
sirve como base a los objetivos del negocio.

INTRODUCCIN
Para que la TI tenga xito en satisfacer los
requerimientos del negocio, la direccin debe implantar
un sistema de control interno o un marco de trabajo.
El marco de trabajo de control COBIT es el mejor, y
contribuye a estas necesidades de la siguiente manera:
1. Estableciendo un vnculo con los requerimientos del
negocio
2. Organizando las actividades de TI en un modelo de
procesos generalmente aceptado
3. Identificando los principales recursos de TI a ser
utilizados
4. Definiendo los objetivos de control gerenciales a ser
considerados

Modelo COBIT
Mejores prcticas para Gestin de
Tecnologas Informticas

CONCEPTO BSICOS
MODELO COBIT
(Control Objectives for
Information Systems and
related Technology)

Modelo para evaluar y/o auditar la

gestin y control de los de
Sistemas de Informacin y
Tecnologa relacionada (IT):

Es el resultado de una investigacin con expertos de varios paises,

desarrollada por la Information, Systems Audit and Control
Association ISACA.
Esta asociacin se ha constituido en el organismo normalizador y
orientador en el control y la auditora de los sistemas de Informacin
y Tecnologa (IT).
El modelo CobIT ha sido aceptado y adoptado por organizaciones en
el mbito mundial.

CONCEPTO BSICOS
Modelo COBIT
Origen

LEGISLADORES / REGULADORES
USUARIOS PRESTADORES
DE SERVICIOS

ALTA GERENCIA

INVERSION CONTROL TI
BALANCE RIESGO/CONTROL
BASE BENCHMARKING

ACREDITACON CONTROL
/SEGURIDAD POR
AUDITORES O TERCEROS
CONFUSIN ESTANDARES

DESGASTE
OPINION AUD- V.S. ALTA GCIA.
CONSULTORES EN CONTROL/SEG. TI

AUDITORES

USUARIOS DE TI

MARCO UNICO
REFERENCIA
PRACTICAS
SEGURIDAD
Y CONTROL

CONCEPTO BSICOS
Proveer un marco nico reconocido a nivel mundial de las
mejores prcticas de control y seguridad de TI

Consolidar y armonizar estndares originados en diferentes

pases desarrollados.

Concientizar a la comunidad sobre importancia del control y la

auditora de TI.

Enlaza los objetivos y estrategias de los negocios con la

estructura de control de la TI, como factor crtico de xito

Aplica a todo tipo de organizaciones independiente de sus

plataformas de TI

Ratifica la importancia de la informacin, como uno de los

recursos ms valiosos de toda organizacin exitosa

CONCEPTO BSICOS
Para satisfacer los objetivos del negocio la informacin debe
cumplir con criterios que COBIT extrae de los ms reconocidos
modelos:

Calidad

Requerimientos de calidad
(ISO 9000-3)

Costo
Entrega

CONCEPTO BSICOS
Requerimientos fiduciarios
(informe COSO)

Requerimientos de seguridad
(ISO 17799 y otros)

Eficacia y eficiencia
Confiabilidad de la informacin
Cumplimiento con leyes y
reglamentaciones

Disponibilidad
Integridad
Confidencialidad

REGLA DE ORO DEL COBIT

A fin, de proveer la informacin que la
organizacin requiere para lograr sus
objetivos, los recursos de TI deben ser
administrados por un conjunto de
procesos, agrupados de forma
adecuada y normalmente aceptada.

POR QU COBIT?
Gobierno de Tecnologa de Informacin
El rol de la Direccin

La Direccin, a travs de su
Gobierno
Corporativo
debe
garantizar la debida diligencia por
parte de todos los individuos
involucrados en la administracin,
uso,
diseo,
desarrollo,
mantenimiento u operacin de los
sistemas de informacin.

QUINES NECESITAN REGLAS DE JUEGO

DEFINIDAS?
Los Mandos Gerenciales para saber que
deben exigir, como medir los resultados y
cuales son sus responsabilidades en esos
temas.

Balancear el riesgo y la inversin en control

de un ambiente a menudo impredecible

El Auditor para sustentar sus opiniones sobre

los riesgos y la adecuacin de la tecnologa a
las mejores prcticas. Ser asesores proactivos
del negocio

ADEMS...
El rea usuaria para saber que puede pedir a
tecnologa y que se le va a exigir sobre el control
de
los
procesos
del
negocio.
Son los interesados en saber si los recursos de
Tecnologa
de
Informacin
se
utilizan
adecuadamente y les ayudan a alcanzar sus
objetivos

El Gerente de Tecnologa para definir un acuerdo

de servicios y justificar su inversin

Los Organismos estatales de control, para saber

que es lo mnimo que pueden exigir.

ORIENTACIN DE COBIT
Su orientacin hacia el negocio consiste en vincular
objetivos de negocio con objetivos de TI, facilitar
mtricas y modelos de madurez para medir su xito, e
identificar las responsabilidades asociadas del negocio
y los propietarios de los procesos de TI.

ENFOCADO EN EL NEGOCIO, ORIENTADO

A PROCESO, BASADO EN CONTROLES Y
DIRIGIDO POR MEDIDAS.

PRINCIPIOS
Efectividad

Se refiere a la informacin que es relevante para

el negocio y que debe ser entregada de manera
correcta, oportuna, consistente y usable.

Eficiencia

Se refiere a la provisin de informacin a travs

del ptimo (ms productivo y econmico) uso
de los recursos.

Confidencialidad

Relativa a la proteccin de la informacin

sensitiva de su revelacin no autorizada.

Integridad

Se refiere a la exactitud y completitud de la

informacin, as como su validez, en
concordancia con los valores y expectativas del
negocio.

PRINCIPIOS
Disponibilidad

Cumplimiento

Confiabilidad

Se refiere a la que la informacin debe estar

disponible cuando es requerida por los procesos
del negocio ahora y en el futuro. Involucra la
salvaguarda de los recursos y sus capacidades
asociadas.
Se refiere a cumplir con aquellas leyes,
regulaciones y acuerdos contractuales, a los que
estn sujetos los procesos del negocio.

Se refiere a la provisin de la informacin

apropiada a la alta gerencia, para operar la
entidad y para ejercer sus responsabilidades
finacieras y de cumplir con los reportes de su
gestin.

NECESIDAD DE RESPUESTA A LOS RETOS

DE TI
Los 7 retos:
Qu no se interrumpa el servicio
Qu aporte valor a la organizacin
Administrar correctamente los costos

Dominar la complejidad de los procesos

Alineacin con el Negocio
Cumplimiento de Regulaciones
Seguridad de la informacin.

BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas

Los 4 principios:
Dirigir y controlar la organizacin con base en las TI

Creando historia de lo actuado

Con imputabilidad (Accountability)
Mediante actividades (Procesos)

NECESIDAD DE RESPUESTA A LOS RETOS DE TI

Principios, participantes, mbito, ventajas

Los participantes (stakeholders):

Internos

Externos

BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas

Las 5 reas:
Alineacin estratgica

Aportacin de Valor
Gestin de Riesgos

Gestin de Recursos
Medidas de Rendimiento

BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas

Las 5 ventajas:
Confianza de la Alta Direccin
TI es co-responsable al negocio
Retorno de Inversin Superior
Servicios ms confiables
Mayor transparencia

MARCOS DE BUEN GOBIERNO Y DE TI

Las 5 caractersticas generales de un buen marco:
Enfocado al Negocio
Orientado a Procesos

Generalmente aceptado
Utiliza un lenguaje comn basado en estndares

Cumpla con los requisitos regulatorios

Propuesta de Solucin
Expectativas sobre COBIT (1)
Alta Gerencia:
Utilizar los procesos de COBIT para lograr un lenguaje
comn entre el negocio y TI y asignar responsabilidades
claras
Gerencias Usuarias:
Utilizar los objetivos de control de COBIT para
determinar las necesidades que sern cubiertas por los
Acuerdos de Niveles de Servicio

Propuesta de Solucin
Expectativas sobre COBIT (2)
Auditora Interna:
Utilizar los objetivos de control de COBIT como un criterio
para evaluar y definir el alcance a revisar
Gerente TI:
Utilizar los objetivos de control de COBIT para:
1. Estructurar los procesos
2. Establecer objetivos de los procesos
3. Medir el desempeo de los procesos / gestin
4. Generar polticas y procedimientos

Fase 1
Levantamiento de procesos actuales
Recursos
de TI

Datos

Sistemas de Aplicacin
Infraestructura
Tecnolgica

Instalaciones Fsicas
Recursos humanos

Procesos de
trabajo

Planeacin y organizacin
Adquisicin e implantacin
de soluciones
Entrega de servicio y soporte
Monitoreo

Criterios
de Informacin

Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad

Cumplimiento
Confiabilidad

Fase 1
Levantamiento de procesos actuales
Recursos
de TI
Recursos
de TI

Procesos de
trabajo

Adems:
Objetivos de Control
Factores Crticos de xito
Indicadores de Resultados
Indicadores de Desempeo

Criterios
de Informacin

EL MODELO DEL MARCO DE TRABAJO DE COBIT

Administracin, Control, Alineacin y Monitoreo de Cobit.
OBJETIVOS DE NEGOCIO

Drivers de Gobernabilidad

Gente

Infraestructura

Informacin

Aplicaciones

Resultados de Negocio

Criterios de
Informacin

Recursos
de TI

El marco de trabajo COBIT,

relaciona los requerimientos
de informacin y de gobierno
a los objetivos de la funcin
de servicio de TI.
El modelo de procesos COBIT
permite que las actividades
de TI y los recursos que los
soportan sean administrados
y controlados basados en los
objetivos de control de COBIT,
y alineados y monitoreados
usando las mtricas de COBIT

Indicadores clave
de Rendiemiento

Procesos de TI

Procesos
de TI
Indicadores clave
de Objetivos

Objetivos de TI

Objetivos de Control
de Alto Nivel

Actividades
Actividades

Informacin

Procesos
Procesos

Personas

Dominios

Aplicaciones

Dominios

Infraestructura

ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL

Criterios de Informacin

CLASIFICACIN

Agrupamiento lgico de procesos, a

Dominios

menudo se concibe como dominios de

responsabilidad dentro de una
estructura y se relaciona con el ciclo
de vida aplicable a los procesos de
Tecnologa de Informacin.

Una serie de actividades o tareas

Procesos

Actividades
o tareas

vinculadas con cortes (de control)

naturales.

Son necesarias para lograr un

resultado mensurable. Las actividades
tienen un ciclo de vida mientras que
las tareas son discretas.

DOMINIOS DEL COBIT

Planeacin y Organizacin

Abarca aspectos estratgicos y tcticos

Se vincula con la identificacin de la
forma en que la tecnologa de
informacin puede contribuir ms
adecuadamente con el logro de los
objetivos del negocio.

Incluye las actividades de planificar,

comunicar y administrar la realizacin de
la visin estratgica desde distintas
perspectivas.

DOMINIO: Planificacin y Organizacin

Proceso: PO1

Definicin de un plan estratgico de TI

Proceso: PO2

Definicin de la arquitectura de la informacin

Proceso: PO3

Determinacin de la direccin tecnolgica

Proceso: PO4

Definicin de la organizacin y el relacionamiento en TI

Proceso: PO5

Administracin de la inversin en TI

Proceso: PO6

Comunicacin de los objetivos y directivas de la gerencia

Proceso: PO7

Administracin de los recursos humanos

Proceso: PO8

Aseguramiento del cumplimiento de los requerimientos externos

Proceso: PO9

Evaluacin de riesgos

Proceso: PO10

Administracin de proyectos

Proceso: PO11

Administracin de la calidad

DOMINIOS DEL COBIT: Adquisicin e Implementacin

Identificacin, desarrollo o adquisicin de
soluciones de Ti

Implantacin e integracin en el proceso de

negocio.

Cambios y mantenimiento de los sistemas

existentes para garantizar la natural
continuidad del ciclo de vida para estos
sistemas.

DOMINIO: Adquisicin e Implementacin

Proceso: AI12 Identificacin de soluciones

Proceso: AI13 Adquisicin y mantenimiento de software de aplicacin

Proceso: AI14 Adquisicin y mantenimiento de la infraestructura tecnolgica
Proceso: AI15 Desarrollo y mantenimiento de procedimientos de TI
Proceso: AI16 Instalacin y certificacin de sistemas

Proceso: AI17 Administracin de cambios

DOMINIO: Entrega y Soporte

Prestacin efectiva de los servicios
requeridos, que comprenden desde
las operaciones tradicionales sobre
aspectos

de

seguridad

continuidad hasta la capacitacin

de usuarios.

Procesos de soporte necesarios.

Procesamiento real de los datos por
los sistemas de aplicacin.

DOMINIO: Entrega y Soporte

Proceso: DS18 Definicin de los niveles del servicio
Proceso: DS19 Administracin de los servicios prestados terceros

Proceso: DS20 Administracin de la capacidad y del desempeo del sistema

Proceso: DS21 Aseguramiento de la continuidad del servicio
Proceso: DS22 Establecimiento de pautas para la seguridad de los sistemas

Proceso: DS23 Identificacin e imputacin de costos

DOMINIO: Entrega y Soporte

Proceso: DS24 Educacin y capacitacin de los usuarios

Proceso: DS25 Asistencia y asesoramiento a los clientes de TI

Proceso: DS26 Administracin de la configuracin
Proceso: DS27 Administracin de problemas e incidentes
Proceso: DS28 Administracin de datos

Proceso: DS29 Administracin de instalaciones

Proceso: DS30 Administracin de las operaciones

DOMINIO: Monitoreo
Evaluar regularmente todos los procesos de
TI para determinar su calidad
y el
cumplimiento de los requerimientos de
control.

Seguimiento

de la gerencia sobre los

procesos de control de la organizacin

Garanta independiente provista por la

auditoria interna y externa u obtenida de
fuentes alternativas.

DOMINIO: Monitoreo
Proceso: ME31 Monitoreo de los procesos

Proceso: ME32 Evaluacin de la adecuacin del control interno

Proceso: ME33 Obtencin de aseguramiento independiente
Proceso: ME34 Provisin de auditoria independiente

Navegacin
(Matriz)

Adquisicin e
Implementacin

AI1

Identificar soluciones
de IT

P S

AI2

Adquirir y mantener
software aplicativo
Adquirir y mantener
arquitectura tecnolgica
Desarrollar y mantener
procedimientos de IT
Instalar y acreditar
sistemas
Administrar los cambios

P P

P P

P P

S S

P P

P P

AI3

AI4
AI5
AI6

S S

S S

CRITERIOS

S
RECURSOS

PERSONAS

DOMINIO AI:

APLICACIONES
TECNOCLOGA
FACILIDADES
DATOS

COBIT

EFECTIVIDAD
EFICIENCIA
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
CUMPLIMIENTO
CONFIABILIDAD

PROCESOS

DEFINICIN DE PROCESOS DE TI
PO1: Definir el Plan estratgico de IT
La funcin de servicios de informacin debera asegurar que hay planes a corto y largo
plazo para administrar y orientar todos los recursos de IT de la organizacin.
Estos planes deben ser actualizados de manera correcta y oportuna para adecuarlos a
los cambios de las condiciones de la IT.

La evaluacin de los sistemas existentes debe realizarse antes de desarrollar o

modificar el plan estratgico de IT.

As mismo, la funcin de administracin de los servicios de informacin debe asegurar

que el plan estratgico de IT es consistente con los objetivos del negocio, y los planes

a corto y largo plazo de la organizacin.

OBJETIVOS DE CONTROL DE TI - DETALLADOS

DOMINIO PO: Planeacin y Organizacin

PROCESO: PO1: Definir el Plan Estratgico de TI

Y tiene en consideracin:

Objetivos de Control - Detallados

La TI como
Enfoque y
Plan
a
parte de los
estructura
largo
planes a
del Plan a
plazo
de
corto/largo
largo plazo
la
TI
plazo de la
de la TI
empresa

Cambios
al Plan a
largo
plazo
de la TI

Evaluacin objetivos de control detallados

Plan corto
plazo de
la funcin
de
servicios
de TI

INTERRELACIN DE LOS COMPONENTES DE COBIT

Negocio
Informacin

Requerimientos
Procesos de TI

Objetivos
de Control

Para resultados

Implementado
con

Indicadores
Clave de
Desempeo

Indicadores
Clave de
Metas

Metas de
las Actividades

Modelo de
Madurez

Guas de
Auditora

Practicas
de Control

Gracias