Auditoria Informatica - Tema AI10 ISACA

AI10 ISACA

AI10 1 1 MCMP - PLGR

ISACA

VIDEOS

CobitMan

COBIT Intro

Mª Carmen Molina Prego

Pedro Luis García Repetto

Auditoría Informática

Grado Ingeniería Informática

DACYA – FDI – UCM

Videos/CobitMan.wmv

Videos/COBIT.wmv

Videos/COBIT.wmv

AI10 ISACA


Índice

1.ISACA

2. COBIT

3. Gobierno TI: Val IT

4. ITAF

5. Estándares y guías

6. Bibliografía

AI10 ISACA


10.1 ISACA

HISTORIA

Fundada en 1969

Information Systems Audit and Control Association

Agrupa a más de 100 000 especialistas

Auditores SGSI

Administradores SGSI

Gobierno de las TI

Analistas y gestores del riesgo TI

MISIÓN

Proveer conocimientos y formación en auditoría y

aseguramiento

Certificar especialistas

Red social

AI10 ISACA


10.1 ISACA

CERTIFICACIONES PROFESIONALES CISA

Auditor Certificado de Sistemas de Información

+ 90 000 desde 1978

CISM

Administrador Certificado de Seguridad de la Información

+ 18 000 desde 2002

CGEIT

Certificado en la gobernanza de la TI empresarial

+ 4 800 desde 2007

CRISC

Diplomado en Riesgos y Control de Sistemas de

Información

+ 16 000 desde 2010

AI10 ISACA


10.1 ISACA

MARCOS DE TRABAJO

COBIT

Seguridad de los Sistemas de Información

VAL IT

Gestión de inversiones en TI

ITAF

Prácticas profesionales para el aseguramiento de TI

RISK IT

Gestión de Riesgos en TI

BMIS

Modelo de Negocio de la Seguridad Información

AI10 ISACA


10.1 ISACA

ACTIVIDADES

FORMACIÓN

CISA, CISM, CGEIT y CRISC

COBIT

VAL IT

RISK IT

IT Assurance Framework (ITAF)

CONGRESOS

INSIGHTS: IT and business leaders CACS: Informática Auditoría, Control y Seguridad

IT GRC: IT Gobernanza del riesgo y cumplimieto

ISRM: Gestión del Riesgo de la SI

AI10 ISACA


10.1 ISACA

© www.isaca.org

AI10 ISACA


10.1 ISACA

BMIS

AI10 ISACA


Índice

1. ISACA

2.COBIT


4. ITAF


6. Bibliografía

AI10 ISACA


10.2 COBIT

Gobierno Corporativo de TI

COBIT 5

Gobierno de TI

COBIT4.0/4.1

Administración

COBIT3

Control

COBIT2

Un Marco Empresarial de ISACA, en www.isaca.org/cobit

Auditoría

COBIT1

2005/7 2000 1998

Evo

lució

n d

el A

lca

nce

1996 2012

Val IT

10.0 (2008)

Risk IT (2009)

© 2012 ISACA® Todos los derechos reservados.

AI10 ISACA


Marco de trabajo (CÓMO) para

Gobernanza TI (Similar a ISO/IEC 38500)

Control y seguridad TI

COBIT 5.0 integra:

COBIT 4.1

Risk IT

Val IT

COBIT

Referente en seguridad y gobernanza TI

No describe un proceso de auditoría TI

COBIT vs ISO/IEC 27001

ISO/IEC 27001: + Seguridad TI y – Gobernanza

TI. (Estándar: QUÉ)

COBIT: + Seguridad TI y + Gobernanza TI

10.2 COBIT

AI10 ISACA


COBIT: Orientado a los objetivos de negocio

10.2 COBIT

AI10 ISACA


Criterios o propiedades de la información

Efectividad: relevante y pertinente con el negocio

Eficiencia: uso óptimo recursos para su generación

Confidencialidad: acceso sólo a autorizados

Integridad: precisión y completitud

Disponibilidad: a disposición de los proc. negocio

Cumplimiento: legales y normativos internos o

externos

Confiabilidad: apropiada para la gerencia

10.2 COBIT

AI10 ISACA


Metas TI y Arquitectura empresarial TI

10.2 COBIT

AI10 ISACA


Gestión de recursos TI para alcanzar metas TI

Aplicaciones: automatizadas

y manuales

Información: datos entrada,

procesados, salidas, manuales

Infraestructura: instalaciones,

sitios y ambiente

Personas: internas o externas

10.2 COBIT

AI10 ISACA


Dominios de Cobit

Dominios se organizan en procesos

10.2 COBIT

Planificar y

Organizar PO 10

Adquirir e Implemen-

tar AI 7

Entrega y Soporte DS 13

Monitori-zar y

Evaluar ME 4

Dominios 4

Procesos 34

Controles 210

¿Alineado TI y negocio?

¿Uso óptimo recursos?

¿Se entienden objetivos TI?

¿Calidad sistema TI?

¿Alineado proyecto-negocio?

¿Proyectos en tiempo y en €?

¿Nuevos sistemas OK?

¿Cambios no afectan sistema?

¿Prioridades negocio?

¿Optimizados costos TI?

¿Uso y admin. TI segura?

¿CID?

¿Monitorea TI?

¿Controles efectivos y

eficientes?

¿Metas negocio-metas TI?

¿Gestión riesgos?

AI10 ISACA


CONTROLES GENERALES, DE NEGOCIO Y DE APLICACIÓN

n

10.2 COBIT

AI10 ISACA


Metas negocio TI, metas TI y procesos (Apéndice I)

10.2 COBIT

Meta Negocio TI 1

Meta TI 1.1

Proceso 1.1.1

Proceso 1.1.2

Meta TI 1.2

Proceso 1.10.1

Proceso 1.10.2 Financiera

Cliente

Interna

Aprendizaje y mejora

Metas negocio 17

Metas TI 28

Procesos 34

Dominios 4

Procesos 34

Controles 210

AI10 ISACA



10.2 COBIT

6 Continuidad y disponibilidad

del servicio

10 Asegurar relaciones con terceras partes

DS2

DS10.1

DS10.2

16 Reducir defectos entrega

PO8, AI14, AI6, AI7, DS10

22 Mínimo impacto si

interrupción

PO6, AI6, DS4, DS12

23 Servicio TI disponible

DS3, DS4, DS8, DS13

META

NEGOCIO TI

(CLIENTE)

CONTROLES PROCESOS META TI

AI10 ISACA



10.2 COBIT

17 Contratar y mantener

personal cualificado

9 Contratar y mantener

habilidades TI según metas TI

PO7 Gestión y desarrollo de personas

PO7.1

PO7.2

AI5 Adquirir recursos TI

AI5.1, AI5.2

AI5.3, AI5.4

META NEGOCIO

TI

(APRENDIZAJE

Y MEJORA)

CONTROLES PROCESOS META TI

AI10 ISACA


Proceso DD99 del dominio DD

Identificación del proceso.

DD99 Nombre del proceso

Proceso satisface el requerimiento de negocio de TI

Resumen de las metas de TI más importantes

Enfocándose a

Resumen de las metas de proceso más

importantes

Se logra con

Metas de actividad

Y se mide con

Métricas

10.2 COBIT

AI10 ISACA


Ej. 1 - Proceso PO9 del dominio PO


PO9 Evaluar y administrar los riesgos de TI


Analizar los riesgos y su impacto en negocio

Enfocándose en

Elaborar un marco de trabajo gestión riesgos TI

Se logra con

Gestión y evaluación de riesgos en procesos

Planes de acción

Y se mide con

% objetivos críticos de TI cubiertos por evaluación riesgos

% Riesgos críticos TI

% Planes de acción aprobados

10.2 COBIT

Proceso PO09

COBIT PO9 Evaluar y Administrar los riesgos TI.pdf

AI10 ISACA




PO10 Administración de proyectos


Proyectos en tiempo, presupuesto y calidad

Enfocándose en

Programa de administración de proyectos.

Participación de interesados, riesgos y avances

Se logra con

Marco trabajo proyectos y planificación

Y se mide con

% proyectos que cumplen tiempo, presupuesto y calidad

% proyectos con revisión

% proyectos que siguen estándares y prácticas

10.2 COBIT

AI10 ISACA



Objetivo de control de alto nivel (PO10)

Objetivos de control detallados (PO10.1, PO10.2, hasta

PO10.14) Controles generales

Directrices gerenciales

Entradas del procesos y salidas del proceso

Ej PO1 Proyecto PO10 ME1 Informes de

ejecución del proyecto

Matriz RACI de actividades: quién es Responsable, a

quién hay que reportar (Assist), a quién se Consulta y a

quién se Informa en cada actividad del proceso.

Metas (TI, Procesos y actividades) se miden mediante

métricas

10.2 COBIT

Proceso PO10

COBIT PO10 Administrar proyectos.pdf

AI10 ISACA


Entradas y Salidas del Proceso PO10

10.2 COBIT

PO10 Administrar

proyectos

AI10 ISACA


Matriz RACI del Proceso PO10

10.2 COBIT

AI10 ISACA


Metas DS5 Garantizar la seguridad de los SI

10.2 COBIT

Negocio • Reputación y

liderazgo

TI

• Confidencialidad

• Confiabilidad

• Integridad

• Disponibilidad

Proceso

• Información sensible

• Detectar y resolver accesos no autorizados

• Minimizar impactos

Actividad

• Comprender los requisitos de seguridad, vulnerabilidades y amenazas

• Gestión entidades y autorizaciones

• Gestión incidentes seguridad

AI10 ISACA


Métricas DS5 Garantizar la Seguridad de los Sistemas

10.2 COBIT

Negocio • Nº reclamaciones

clientes.

• Nº Clientes OFF

TI

• Nº incidentes impacto en negocio

• Nº sistemas no cumplen req. seg.

• Tiempo gestión identidades

Proceso

• Nº accesos no autorizados

• Nº segregación funciones OFF

• % contraseñas débiles

• Nº Código malicioso prevenido

Actividad

• Frecuencia revisión eventos

• % cuentas obsoletas

• % IP no autorizadas

• % llaves criptográficas OFF

• Nº derechos accesos modificados

AI10 ISACA


Proceso de un dominio

Modelo de madurez: método para evaluar cómo está

funcionando el proceso definiendo un nivel entre (0) no

existente hasta (5) optimizado.

10.2 COBIT

AI10 ISACA


Niveles de madures en desarrollo software

0- No existente. No procesos. No se reconoce problema.

1 - Inicial. Las organizaciones en este nivel no disponen de un

ambiente estable para el desarrollo y mantenimiento de

software. Se utilizan técnicas correctas de ingeniería pero los

esfuerzos se ven minados por falta de planificación. El éxito

de los proyectos se basa la mayoría de las veces en el

esfuerzo personal, aunque a menudo se producen fracasos y

casi siempre retrasos y sobrecostes. El resultado de los

proyectos es impredecible.

2 – Repetible pero intuitivo. En este nivel las organizaciones

disponen de unas prácticas institucionalizadas de gestión de

proyectos, existen unas métricas básicas y un razonable

seguimiento de la calidad.

10.2 COBIT

AI10 ISACA


Niveles de madures en desarrollo software

3 - Definido. Además de una buena gestión de proyectos, a

este nivel las organizaciones disponen de correctos

procedimientos de coordinación entre grupos, formación

del personal, técnicas de ingeniería más detalladas y un nivel

más avanzado de métricas en los procesos. Se implementan

técnicas de revisión por pares (peer reviews).

4 - Administrado. Se caracteriza porque las organizaciones

disponen de un conjunto de métricas significativas de calidad

y productividad, que se usan de modo sistemático para la

toma de decisiones y la gestión de riesgos. El software

resultante es de alta calidad.

5 - Optimizado. La organización completa está volcada en la

mejora continua de los procesos. Se hace uso intensivo de

las métricas y se gestiona el proceso de innovación.

10.2 COBIT

http://es.wikipedia.org/wiki/Revisi%C3%B3n_por_pares





AI10 ISACA


Cubo de Cobit

10.2 COBIT

AI10 ISACA


Prácticas

Analizar procesos:

Dominio Planear y Organizar

PO7 Administrar Recursos Humanos de TI

(Pág. 55 Cobit 4.1)

Dominio Entregar y dar Soporte

DS12 Administración del Ambiente Físico

(Pág. 145 Cobit 4.1)

10.2 COBIT

COBIT PO7 Administrar recursos humanos de TI.pdf

COBIT DS12 Administración del Ambiente Físico.pdf

AI10 ISACA


Índice

1. ISACA

2. COBIT

3.Gobierno TI: Val IT

4. ITAF


6. Bibliografía

AI10 ISACA


10.3 Gobierno TI: Val IT

Val IT

Proporciona los

medios para

medir,

monitorizar y

optimizar la

realización de

valor de

negocio a parir

de las

inversiones TI

AI10 ISACA



• Ayudar a la dirección (CEO) a lograr un valor óptimo de las inversiones a través de las TI con un coste económico y un riesgo conocido y aceptado

Objetivo

• Marco de trabajo para apoyar a la dirección (CEO) a entender y desempeñar sus roles relacionados con esas inversiones.

Proporciona

AI10 ISACA



¿Estamos haciendo

lo que debemos)

hacer? (Estrategia)

¿Lo estamos haciendo correcta-mente?

(Arquitectu-ra TI)

¿Lo estamos logrando

bien? (Entrega)

¿Estamos obteniendo beneficio?

(Valor)

AI10 ISACA



CEO: ¿Estamos haciendo lo que debemos hacer?

La pregunta estratégica ¿ Está la inversión:

De acuerdo con nuestra visión?

Coherente con nuestros objetivos de negocio?

Contribuyendo a nuestros objetivos estratégicos?

Proporcionando valor a un costo económico y

niveles de riego aceptable ?

AI10 ISACA



CEO: ¿Estamos obteniendo beneficio?

La pregunta de valor ¿ Tenemos:

Un conocimiento claro y compartido de los

beneficios esperados?

Un mecanismo eficaz y transparente para

contabilizar los beneficios generados?

Una métrica relevante?

Un proceso eficaz de medición de beneficios?

AI10 ISACA



CIO: ¿Lo estamos logrando bien?

La pregunta de entrega ¿ Tenemos:

Procesos eficaces y disciplinados de gestión,

entrega y gestión de cambios?

Personas técnicas y de negocio o comerciales

competentes y disponibles que reúnan las

capacidades necesarias?

Y la organización puede generar los cambios

necesarios para potenciar las capacidades?

AI10 ISACA



CIO: ¿Lo estamos haciendo correctamente?

La pregunta de arquitectura ¿ Está la inversión:

De acuerdo con nuestra arquitectura?

Coherente con nuestros principios arquitectónicos?

Contribuyendo al mayor uso de nuestra

arquitectura?

En línea con otras iniciativas?

AI10 ISACA


Índice

1. ISACA

2. COBIT


4.ITAF


6. Bibliografía

AI10 ISACA


10.4 ITAF

Information Technology Assurance Framework

Proporciona orientación sobre la planificación de

la auditoría, la realización y la presentación de

informes de auditoría y aseguramiento TI.

Define los términos y conceptos específicos de

aseguramiento de TI.

Establece las normas que se ocupan de las

funciones de auditoría y aseguramiento TI.

Respecto a los profesionales, establece las

responsabilidades, conocimientos, habilidades, la

diligencia, conducta y competencia.

AI10 ISACA


10.4 ITAF

ITAF proporciona al profesional de la auditoría y

aseguramiento TI:

AI10 ISACA


10.4 ITAF

Normas o estándares generales: de obligado

cumplimiento sobre la ética profesional, la

independencia, la objetividad, conocimiento,

competencia y habilidad.

Estándares de desempeño: sobre la realización de la

auditoría o implementación de seguridad como:

planificación y supervisión, definición del alcance,

riesgo y materialidad, personas y recursos, evidencia,

juicio profesional y debido cuidado.

Estándares sobre informes: sobre la forma de

transmitir los resultados y la estructura y contenido de

los informes.

Directrices Guidelines: cómo aplicar los estándares.

AI10 ISACA


Índice

1. ISACA

2. COBIT


4. ITAF

5.Estándares y guías

6. Bibliografía

AI10 ISACA


10.5 Estándares y guías

Estándares: definen los requisitos obligatorios para

la auditoría y aseguramiento. Definen:

Las características principales que deben reunir

los auditores TI.

Las fases y actividades del proceso de auditoría

TI.

Materialidad, evidencia, riesgo, controles IT, etc.

Directrices: proporcionan una guía para aplicar los

estándares y proporcionar información acerca de su

cumplimiento.

Herramientas y técnicas: proveen ejemplos sobre

cómo debe actuar un auditor de SI en una auditoría

AI10 ISACA



Conjunto de estándares, guías y procedimientos para

guiar la ejecución de las auditorías TI.

Estándares: S1 al S16

Guías: G1 a la G42

Técnicas y herramientas (Procedimientos) : P1 al P11

Versión: agosto 2010

AI10 ISACA



S1 Audit Charter S2 Independence

S3 Professional Ethics and

Standards S4 Competence

S5 Planning S6 Performance of Audit

Work

S7 Reporting S8 Follow-Up Activities

S9 Irregularities and Illegal

Acts S10 IT Governance

S11 Use of Risk Assessment

in Audit Planning S12 Audit Materiality

S13 Using the Work of Other

Experts S14 Audit Evidence

S15 IT Controls S16 E-commerce

AI10 ISACA



S2 Independencia

10.1 Introducción

01 Igual para todos los estándares

02 Propósito: independencia en proceso auditoría

10.2 Estándar

03 Independencia profesional: auditor

independiente en actitud y apariencia

04 Independencia organizacional: unidad de

auditoría independiente de la unidad auditada

10.3 Comentario

07 Informar sobre riesgo no independencia

09 Evaluación regular de la independencia

11 Guías relacionadas: G17 y G12

AI10 ISACA



G17 Rol de no auditoría en el auditor e influencia

en su independencia

1. Antecedentes

a) Relación con estándares: G2

b) Relación con controles de COBIT

c) Motivos que justifican la guía

i. Implicar auditor: implantación, consultoría y

formación

ii. Cómo “salvar” la independencia.

2. Carta de auditoría: Define en qué funciones de

auditoría puede participar. Si no, se reporta a

dirección.

AI10 ISACA



G17 Rol de no auditoría en el auditor e influencia

en su independencia

3. Funciones de no auditoría del auditor

a) No comprometen la independencia

b) Sí comprometen la independencia

4. Independencia

a) En funciones de no auditoría

b) Consecuencias de actividades de no

auditoría en auditoría futuras

5. Planificación de auditorías: riesgo independencia

6. Ejecución auditoría: monitorizar independencia

7. Informe: si la independencia está en riesgo

AI10 ISACA


Índice

1. ISACA

2. COBIT


4. ITAF


6.Bibliografía

AI10 ISACA


1.6 Bibliografía

www.isaca.org

www.isaca.org/Knowledge-Center/cobit/Pages/Overview.aspx

www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/Pages/default.aspx

www.isaca.org/Knowledge-Center/Val-IT-IT-Value-Delivery-/Pages/Val-IT1.aspx

www.isaca.org/Knowledge-Center/BMIS/Pages/Business-Model-for-Information-

Security.aspx

www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages/Risk-

IT1.aspx

www.isaca.org/Knowledge-Center/Standards/Pages/default.aspx

www.isaca.org/spanish/Pages/default.aspx

http://www.itgi.org/

http://www.isaca.org/

http://www.isaca.org/

http://www.isaca.org/Knowledge-Center/cobit/Pages/Overview.aspx





http://www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/Pages/default.aspx













http://www.isaca.org/Knowledge-Center/Val-IT-IT-Value-Delivery-/Pages/Val-IT1.aspx

















http://www.isaca.org/Knowledge-Center/BMIS/Pages/Business-Model-for-Information-Security.aspx













http://www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages/Risk-IT1.aspx














http://www.isaca.org/Knowledge-Center/Standards/Pages/default.aspx





http://www.isaca.org/spanish/Pages/default.aspx



http://www.itgi.org/

AI10 ISACA


Dudas, preguntas y reflexiones

MUCHAS GRACIAS

?

Auditoria Informatica - Tema AI10 ISACA

Technology

Transcript of Auditoria Informatica - Tema AI10 ISACA