San Isidro, 10 Junio 2009

CONTROL INTERNO EN TECNOLOGÍAS DE

INFORMACIÓN - COBIT II

Elaborado: Oficina de Riesgos y Desarrollo

2

COBIT (Control Objectives for Information andRelated Technology) es un compendio deObjetivos de Control para la Tecnología deInformación que incluye herramientas quepermiten a la administración cubrir la brechaentre los requerimientos de control, la tecnologíay los riesgos de negocio.

¿QUE ES COBIT ?

3

EL MODELO DEL MARCO DE TRABAJO DE COBIT

OBJETIVOS DE NEGOCIO

Ap

licac

ion

es

Info

rmac

ión

Infr

aest

ruct

ura

Gen

te

Criterios deInformación

Recursos de TI

Procesosde TI

Objetivos de Control de Alto

Nivel

Indicadores clave

de Objetivos

Indicadores clavede Rendiemiento

Resultados de Negocio

Drivers de Gobernabilidad

Procesos de TI

Objetivos de TI

El marco de trabajo COBIT,relaciona los requerimientosde información y degobierno a los objetivos dela función de servicio de TI.El modelo de procesosCOBIT permite que lasactividades de TI y losrecursos que los soportansean administrados ycontrolados basados en losobjetivos de control deCOBIT, y alineados ymonitoreados usando lasmétricas KGI y KPI deCOBIT

Administración, Control, Alineación y Monitoreo de Cobit.

4

Dominios

Procesos

ActividadesPe

rson

as

Apl

icac

ione

s

Infr

aest

ruct

ura

Dominios

Procesos

Actividades

Info

rmac

ión

Criterios de Información

ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL

5

COBITRepresentatividad

ISACA - 95 países 20.000 miembros

Investigación: E.U-Europa-Australia-Japón

Consolidación y armonización 18 estándares

CONCEPTO BÁSICOS

COSO (Committe Of Sponsoring Org. of the Treadway Commission) OECD (Organizarion for Economic Cooperation and Development) ISO 9003 (International Standars Organization) NIST (National Institute of Standars and Technology) DTI (Departament of Trade and Industry of the U.K´) ITSEC (Information Technology Security Evaluation Criteria - Europa) TCSEC (Trusted Computer Evaluación Criteria - Orange Book- E.U) IIA SAC (Institute of Internal Auditors - Systems Auditability and Control) IS Auditing Standars Japón

6

Para satisfacer los objetivos del negocio la informacióndebe cumplir con criterios que COBIT extrae de los másreconocidos modelos:

Requerimientos de calidad

(ISO 9000-3)

CalidadCostoEntrega

CONCEPTO BÁSICOS

Requerimientos fiduciarios(informe COSO)

Eficacia y eficiencia Confiabilidad de la información Cumplimiento con leyes y reglamentaciones

Requerimientos deseguridad

(libro rojo, naranja,ISO 17799 y otros)

Disponibilidad Integridad Confidencialidad

7

¿POR QUÉ COBIT?

La Tecnología se ve como uncosto, no hay una terminologíacomún con el negocio, y serecorta el presupuesto en laseguridad, ya que la falta dedifusion de normas y buenasprácticas que ayuden a generarconciencia de los riesgosmantiene la quimera del :

“ A mi no me va pasar..”

8

La Dirección, a través de suGobierno Corporativo debegarantizar la debida diligencia porparte de todos los individuosinvolucrados en la administración,uso, diseño, desarrollo,mantenimiento u operación de lossistemas de información.

Gobierno de Tecnología de InformaciónEl rol de la Dirección

¿POR QUÉ COBIT?

9

A fin, de proveer la informaciónque la organización requiere paralograr sus objetivos, los recursosde IT deben ser administrados porun conjunto de procesos,agrupados de forma adecuada ynormalmente aceptada.

REGLA DE ORO DEL COBIT

10

Proveer un marco único reconocido a nivelmundial de las “mejores prácticas” de control yseguridad de TI

Consolidar y armonizar estándares originados endiferentes países desarrollados.

Enlaza los objetivos y estrategias del negocio conla estructura de control de la TI, como factorcrítico de éxito

Aplica a todo tipo de organizacionesindependiente de sus plataformas de TI

Ratifica la importancia de la información, comouno de los recursos más valiosos de todaorganización exitosa

OBJETIVOS Y BENEFICIOS DE COBIT

11

¿A QUIÉN ESTA DIRIGIDO EL COBIT?

Las Gerencias y Oficinas parasaber que deben exigir, comomedir los resultados y cuales sonsus responsabilidades en esos

temas.Balancear el riesgo y la inversiónen control de un ambiente amenudo impredecible.

La Auditoría para sustentar susopiniones sobre los riesgos y laadecuación de la tecnología a lasmejores prácticas. Ser asesoresproactivos del negocio

12

¿A QUIÉN ESTA DIRIGIDO EL COBIT?

El Area usuaria para saber quepuede pedir a tecnología y que sele va a exigir sobre el control delos procesos del negocio.Son los interesados en saber silos recursos de Tecnología deInformación se utilizanadecuadamente y les ayudan aalcanzar sus objetivos

El Jefe de Informática para definirun acuerdo de servicios yjustificar su inversión

13

ORIENTACION DEL COBIT

Su orientación hacia el negocioconsiste en vincular objetivos denegocio con objetivos de TI,facilitar métricas y modelos demadurez para medir su éxito, eidentificar las responsabilidadesasociadas del negocio y lospropietarios de los procesos deTI.

“Enfocado en el negocio,orientado a proceso, basado encontroles y dirigido pormedidas.”

14

Los 7 retos:

Qué no se interrumpa el servicio

Qué aporte valorAdministrar los costosDominar la complejidadAlineación con el NegocioCumplimiento de

RegulacionesSeguridad.

NECESIDAD DE RESPUESTA A LOS RETOS DE TI

15

Principios, participantes, ámbito, ventajas …

Los 4 principios:

BUEN GOBIERNO DE TI

Dirigir y controlarCon responsabilidadCon imputabilidadMediante actividades

(Procesos)

16

NECESIDAD DE RESPUESTA A LOS RETOS DE TI

Principios, participantes, ámbito, ventajas …

Los participantes (grupo de interés):

InternosExternos

17

BUEN GOBIERNO DE TI

Principios, participantes, ámbito, ventajas …

Las 5 áreas:

Alineación estratégicaAportación de ValorGestión de RiesgosGestión de RecursosMedidas de rendimiento

18

BUEN GOBIERNO DE TI

Principios, participantes, ámbito, ventajas …

Las 5 ventajas:

Confianza de la Alta Dirección

TI es co-responsable al negocio

Retorno de Inversión Superior

Servicios más confiablesMayor transparencia

19

MARCO DE BUEN GOBIERNO Y DE TI

Las 5 características de un buen marco:

Enfocado al NegocioOrientado a ProcesosGeneralmente aceptadoUtilice un lenguaje comúnCumpla con los requisitos

regulatorios

20

APLICABILIDAD EN LA CPMP ORIENTADO AL SCI

Establecer Objetivos de Control a través de acciones,políticas y procedimientos, para alcanzar objetivos eintentar que incidentes no deseados sean prevenidos,detectados y corregidos sobre la tecnología deinformación.

Es parte de la implementación del Sistema de ControlInterno:

Componente de Control gerencia 3.10 Tecnologíade Información y comunicaciones

Componente de Información y Comunicaciones.

MUCHAS GRACIAS