Auditoría DE Sistemas Sobre EL Modelo Cobit PDF

Preview

Summary

Download Auditoría DE Sistemas Sobre EL Modelo Cobit PDF

Description

INVESTIGACIÓN DE AUDITORÍA DE SISTEMAS

INVESTIGACIÓN DE AUDITORÍA DE SISTEMAS SOBRE EL MODELO COBIT Asignatura: Auditoría de Sistemas

Curso: 10SA

Por los estudiantes: Richard Hugo FRANCO MANTILLA Angie Stefanie CARVACHE AYALA Joel Alexander GONZALEZ ACOSTA Tatiana Yuleissy AMANCHA BURGOS

Profesor: Ing. Jorge Hidalgo Larrea

Universidad Agraria del Ecuador.

Carrera de Computación e Informática Guayaquil - Ecuador Enero de 2019 – 2020

1

Tabla de contenido RESUMEN..................................................................................................................................... 3 INTRODUCCIÓN........................................................................................................................... 4 DESARROLLO Y DISCUSIÓN ..................................................................................................... 5 COBIT ........................................................................................................................................ 5 HISTORIA .................................................................................................................................. 5 COMPONENTES DEL MODELO COBIT .................................................................................. 6 PRINCIPIOS DEL MODELO COBIT ......................................................................................... 8 APLICABILIDAD DEL MODELO COBIT ................................................................................. 10 Niveles COBIT ......................................................................................................................... 10 CASOS DE ESTUDIO ................................................................................................................. 11 Caso éxito COBIT – Ecopetrol S.A .......................................................................................... 11 Caso de éxito Cobit 5. Una experiencia práctica. .................................................................... 12 COBIT: Caso de Estudio—Banco Supervielle S.A., Argentina ............................................... 13 Bancolombia ............................................................................................................................ 14 CONCLUSIÓN ............................................................................................................................ 16 BIBLIOGRAFÍA........................................................................................................................... 17

2

RE RESU SU SUM MEN El desarrollo informático de las organizaciones representa el progreso en el logro de las metas de las organizaciones. El COBIT 5, es un modelo para auditar la gestión y el control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores de las tecnologías de información (TI), usuarios y, por supuesto, a los auditores involucrados en el proceso. Por tal razón, el objetivo de esta investigación es conocer cómo se ha utilizado en modelo COBIT en la auditoría de los sistemas informáticos de las organizaciones, se aplicó una encuesta de la cual se obtuvo la información pertinente que permite concluir que los sistemas de información representan la oportunidad para el logro de los objetivos organizacionales en congruencia con sus metas corporativas, metas de tecnologías de la información y las metas de los catalizadores, por ende, es prioridad de los administradores de sistemas informáticos y del gobierno corporativo realizar todas las acciones necesarias para lograrlas y que el modelo COBIT 5 proporciona una visión integral y sistémica del gobierno, y la gestión de la empresa TI basada en varios catalizadores, así como que la gestión de la información de la empresa y la TI relacionada, incluyen las actividades y responsabilidades tanto de las funciones TI como de las funciones de negocio.

3

IN INTRO TRO TRODUC DUC DUCCI CI CIÓN ÓN El desarrollo de sistemas informáticos ha sido clave en el desarrollo empresarial, los sistemas han pasado por un sinnúmero de transformaciones que cada vez han implementado beneficios, y las formas de auditar han sido modificadas en función de las necesidades que se van presentando, el COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association). El modelo COBIT que fue lanzado en el año 1996 es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores. El modelo COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Tiene como misión buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de control de tecnologías de la información, generalmente aceptadas, para el uso diario por parte de gestores de negocio y auditores.

4

DE DESAR SAR SARR ROL OLLLO Y D DIS IS ISC CUSI SIÓN ÓN CO COBI BI BITT “El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios” (EAFIT, 2007).

HIS HISTO TO TORI RI RIA A Su lanzamiento se realizó en 1996, se la conoció por ser una importante herramienta para el monitoreo y control de las TI que con el pase de los años han ido evolucionando el trabajo de los profesionales en el área tecnológica.

Este modelo surge de una investigación realizada por profesionales expertos de diversos países, los cuales conformaron ISACA (Information Systems Audit and Control Association).

5

Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology), el modelo es usualmente utilizada debido a que vincula tecnología informática y prácticas de control, además, es aplicado a sistemas de información de toda empresa, ya que el mismo considera que los recursos de TI deben ser administrados para proveer la información necesaria que requieren las organizaciones para lograr sus objetivos.

CO COMP MP MPO ONE NEN NTES D DEL EL MO MODE DE DELO LO CO COBIT BIT Los cinco componentes principales de COBIT 5 incluyen:



Marco: el marco principal de COBIT guía a las organizaciones a través de las mejores prácticas y la estandarización de los procesos de TI y la infraestructura. El objetivo es alinear la TI con los objetivos comerciales generales al poner a TI en la misma página que el resto de la empresa y ayudar a otros ejecutivos y gerentes superiores a comprender mejor los objetivos de TI. 6









Descripciones de los procesos: COBIT incluye un lenguaje que cualquier persona en la organización entenderá, de modo que los CEO, CFO, CIO y otros actores clave comprendan fácilmente la terminología, los procesos y las descripciones. Puede ayudar a establecer un terreno sólido para la comunicación entre TI y departamentos externos. Objetivos de control: esta sección ofrece una descripción general de los requisitos de alto nivel que pueden ayudar a desarrollar y mejorar todos los procesos de TI, permitiendo a las empresas adaptarlos a sus propias necesidades y objetivos. Directrices de gestión: la guía COBIT ofrece mejores prácticas para establecer objetivos, procesar y asignar elementos de tareas o responsabilidades en toda la organización. También proporciona orientación sobre la medición del rendimiento y cómo el marco se puede integrar con otros marcos de gestión de TI. Modelos de madurez: los modelos de madurez COBIT ayudan a las empresas a evaluar la madurez de su organización, comprender cómo crecerá el proceso con la organización e identificar cualquier problema potencial que pueda surgir en el futuro (Llontop, 2018).

El modelo provee una herramienta automatizada para evaluar el cumplimiento de los objetivos de control, los cuales influyen en el logro de objetivos de la organización y asegurando los

procesos y recursos de 7

información y tecnología futuros. Se comprende que la estructura del modelo COBIT es un marco de referencia, que propone un marco dedicado a conjunto de procesos agrupados en los que se evalúan la seguridad y calidad de los sistemas de información involucrados que comprenden todos los recursos que se manejan en una organización.

PR PRIN IN INCIP CIP CIPIO IO IOSS DE DELL MOD ODELO ELO CO COBIT BIT El enfoque de control de TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.

Para alcanzar los requerimientos del negocio, la información necesita satisfacer ciertos criterios.

 Requerimientos de Calidad: Calidad, Costo y Entrega.

8

 Requerimientos

Financieros:

Efectividad

y

Eficiencia

operacional,

Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.



Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.



Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica).



Confiabilidad:

Proveer

la

información

apropiada

para

que

la

administración tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades. 

Cumplimiento: De las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa.

Principio básico de cobit

Para proporcionar la información que la empresa requiere para lograr sus objetivos, la empresa necesita invertir en, y administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que provean los servicios que entregan la información empresarial requerida.

9

El marco de trabajo COBIT ofrece herramientas para garantizar la alineación con los requerimientos del negocio. (Institute, 2010)

AP APLIC LIC LICABILI ABILI ABILIDA DA DAD D DE DELL M MODE ODE ODELO LO COB COBIT IT En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:

  

 

Datos: Todos los objetos de información. Considera información interna y externa, estructurada o no, gráficas, sonidos, etc. Aplicaciones: Entendidas como sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología: Incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información, o de procesos de TI.

Ni Nivel vel veles es CO COBIT BIT Se divide en 3 niveles, los cuales son los siguientes:

10

 Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.  Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.  Actividades: Acciones requeridas para lograr un resultado medible.

CAS CASO OS DE EESTU STU STUDIO DIO Cas Caso o éxi éxito to C CO OBIT – Ec Ecopetr opetr opetrol ol S. S.A A

Es una Sociedad de Economía Mixta, de carácter comercial, vinculada al Ministerio de Minas y Energía, es la empresa más grande del país y la principal compañía petrolera en Colombia, pertenece al grupo de las 39 petroleras más grandes del mundo y es una de las cinco principales de Latinoamérica. A lo largo del año 2010 y de acuerdo a las medidas de corrección y auditorías realizadas se logra confirmar el nivel 3 de madurez de los procesos de gestión de tecnología de información bajo la metodología COBIT. El resultado El trabajo es documentado como un caso de éxito internacional y fue aprobado por ISACA (Information System Audit and Control Association). Por otra parte como menciona (Valverde, F., 2014) se adelantaron planes de trabajo con 21 áreas de la Empresa con un nivel de cumplimiento de 97,6%, y se ejecutaron inversiones por $51.600 millones con un cumplimiento del indicador de proyectos del 100%. Dentro de los resultados más destacados de 2010 se encuentran:

11

 Transición al nuevo prestador de servicios básicos de soporte informático, bajo un enfoque de procesos acorde con la práctica internacional – ITIL.  Despliegue de la solución SAP en filiales (Bioenergy, Reficar, ODL); actualización de Ellipse; segregación de funciones de usuario final con el apoyo de la herramienta SAP GRC Access Control.  Puesta en producción de las soluciones de información para transportes alternativos y Nominaciones.  Implementación de soluciones para aprendizaje virtual. Se logró una participación de 2.126 funcionarios en programas técnicos e inglés virtual.  Cubrimiento de más de 3.900 funcionarios y contratistas para sensibilizarlos en prácticas de gestión segura de la información.  Desarrollo y valoración de la efectividad de seguridad informática de las 38 aplicaciones alcance SOX y su infraestructura asociada.  Definición de las especificaciones técnicas de seguridad para proyectos orientados hacia Cloud Computing Finalmente, en diciembre de 2009, el proyecto COBIT recibió un premio de la compañía por la excelencia para reconocer el rendimiento, la iniciativa y el trabajo en equipo del equipo del proyecto. (Otero, 2016)

Cas Caso o de éx éxit it ito o Co Cobit bit 5. U Una na ex expe pe perienc rienc riencia ia p prác rác ráctica. tica.

Empresa es una Cooperativa de Ahorro y Crédito, fundada en 1963. La Cooperativa tiene como objetivo único y exclusivo brindar servicios de Intermediación financiera en beneficio de sus socios, para mejorar sus 12

condiciones de vida. La Cooperativa hoy no solo depende directamente del Ministerio de Economía, Fomento y Reconstrucción, a través del Departamento de Cooperativas de dicho Ministerio sino que también producto de su posición y estructura de financiamiento y su capacidad de manejar activos que no son propios, está siendo regulada y controlada también por la Superintendencia de Bancos e Instituciones Financieras (SBIF). Posee una cantidad de 7.000 socios y 52 colaboradores. Su capital es de USD 28 millones. Es una de las 7 principales cooperativas del país. (Caneo, 2015)

COBI de EEst nco Su Supervi pervi COBI BIT: T: Ca Caso so de st studio udio udio— —Banco rvielle elle S.A S.A., ., Ar Arge ge genti nti ntina na

Banco Supervielle es uno de los principales Bancos privados de la República Argentina cuyos orígenes se remontan a 1887 y actualmente se concentra principalmente en la provisión de servicios bancarios y financieros a individuos y pequeñas y medianas empresas. Su red bancaria incluye 103 sucursales y 66 centros de servicios y 270 cajeros automáticos ubicados en las principales provincias del país. Banco Supervielle ocupaba el puesto decimoprimero en términos de depósitos, el decimosegundo en términos de total de activos y total de préstamos entre bancos del sector privado en la Argentina, el sexto en términos de depósitos y el séptimo en términos de total de activos y total de préstamos entre los grupos privados bancarios de capital nacional. En los últimos años la Alta Dirección del Banco comenzó a trabajar en un plan con el objetivo de mejorar la alineación de la TI al negocio, su entrega de valor, y a la vez administrar los riesgos y los recursos de manera más eficaz y eficiente.

13

Conclusión Utilizando los objetivos de control y procesos de COBIT como marco de referencia, permitieron al Banco Supervielle, trazar un camino para alcanzar el nivel de madurez fijado como meta tanto en tiempo como en calidad. Un número importante de iniciativas se encuentran bajo ejecución y muchas de ellas como las relacionadas a mejorar la continuidad del negocio han mejorado su nivel de madurez. Tanto la Gerencia como la Dirección están convencidas que tomando como referencia el Marco COBIT, permitirá al Banco alcanzar su objetivo de crecimiento planteado. (Martinez, 2014)

Ban Bancolom colom colombia bia

Es el primer banco en Colombia, se fundó en 1875, es un grupo financiero que opera los servicios de banca múltiples que incluyen inversiones, facturas, fiduciarias, arrendamiento financiero y mercado de valores. aunque el grupo Bancolombia ya contaba con políticas de control interno, busco adoptar y aplicar un sistema de control interno de gestión que ayudara a garantizar el cumplimiento del mismo. El consejo de administración adopto COBIT para que les permitiera cumplir con los retos y requerimientos del negocio propuestos. COBIT se utiliza en todo el mundo por los auditores para verificar el cumplimiento de los controles de TI. Ofrece un enfoque pro-activo para mejorar los recursos de tecnología y servicios. Además, COBIT fue elegido porque establece un equilibrio entre el cumplimiento y el rendimiento, y complementa COSO, el modelo interno de la organización. Grupo Bancolombia ha logrado excelentes resultados utilizando COBIT, claridad en los roles y responsabilidades, un mayor sentido de trabajo en equipo y el conocimiento de las fortalezas y debilidades. ITIL "IT OUTSOURCING" Durante los últimos años, una de las estrategias más exitosas a nivel mundial ha sido la tercerización de procesos que no son parte del CORE de la empresa. el outsourcing se ha consolidado como una excelente opción para las empresas que buscan maximizar el potencial de sus procesos de apoyo y a la vez no desenfocarse de su actividad misional.

14

Set software cuenta con un equipo de profesionales altamente calificados para brindar a sus clientes un servicio de outsourcing de TI mediante la definición de un acuerdo de nivel se servicio en el que se establecen claramente los compromisos que sumimos como outsourcer y las expectativas del cliente mediante esta práctica usted podrá asegurar la correcta gestión de TI, al vez que satisface las necesidades del área informática de su empresa. Outsourcing S.A. es una empresa especializada en prestar servicios de TI a terceros, cuenta con los siguientes servicios:  Mesa de ayuda  Mantenimiento de hardware  Administración de servidores  Entrenamiento en TI para usuarios Modelo RACI "UBA" Es la compañía más grande de india y es una empresa integrada en la cadena del petroleo. Ubicada entre las 50 petroleras más grandes del mundo y entre las cuatro principales en latinoamerica. Ademas de india, presencia actividades de exploración y producción en Brasil, Perú, y Estados Unidos. Factores claves del éxito:  Enfoque de gestión por procesos  Estructuración de la iniciativa como un proyecto y respaldo pleno de la dirección, monitoreo frecuente  Establecimiento de un frente de gestión de cultura, e...