Metodología COBIT

METODOLOGIA COBIT

El modelo COBIT sirve para evitar y auditor sistemas de control y gestión de los sistemas de información y tecnología relacionada. Está orientado a todos los sectores de la organización, es decir administradores de IT.

Esta metodología está conformada por la siguiente estructura:

  ü  Dominios: conjunto de procesos;

  ü  Procesos: son una serie de actividades;

  ü  Actividades: son acciones para lograr resultados.

Los procesos de TI están integrados por 4 dominios:

1) Planeamiento y Organización; 2) Adquisición e implementación; 3) Entrega y Soporte; 4) Monitoreo.

Dentro de sus usuarios están: Gerencias / Usuarios finales / Auditores / Responsables de TI

Características:        

•            Está orientado al negocio;
•       .  Alineado con estándares “de facto”;
•      Alineado con estándares de auditoría.

Como toda metodología COBIT necesita de recursos en IT para alcanzar sus objetivos, entre estos están:

1.        Datos,
2.        Aplicaciones,
3.        Tecnología,
4.        Instalaciones.

Aspectos o Principios:

     a)       Satisfacer necesidades de las partes interesadas;

     b)       Aplicar un marco integrado;

     c)       Habilitar un enfoque Holístico,

     d)       Separar el Gobierno de la administración.

Estandares y Metodologias Internacionales

                                ESTANDARES Y METODOLOGIAS INTERNACIONALES

Al realizar una auditoría de sistemas informáticos es fundamental conocer las normas y estándares internacionales los cuales han sido diseñados por profesionales en la materia como una guía que permita identificar, enumerar y describir las diversas vulnerabilidades que pueden presentarse dentro del proceso de la auditoria, y permiten realizar una mejor protección, control, y medidas de seguridad.

A continuación se detallan algunas normas que el auditor de sistemas debe conocer:

•  Normas Internacionales de Auditoría – NIAS;
•  Norma ISA 401 – Sistemas de Información por Computadora
•  Norma SAP 1009 – CAATs (en español Técnicas de Auditoría Asistidas por Aomputadora – TAACs)

También existen varias metodologías desde un enfoque  de control Internacional; Dentro de las más importantes para los profesionales son:

  ü  ISACA (COBIT)

  ü  COSO

  ü  AICPA (SAS)

  ü  IFAC (NIA)

  ü  SAC

  ü  MARGERIT

  ü  EDP

ISACA – COBIT: The Information Systems Audit and Control Foundation

Propone la metodología de COBIT (Control Objetives for Information and related Technology). Es un documento realizado en 1996, y revisado posteriormente, dirigido a auditores, administradores, y usuarios de sistemas de información, que tienen como objetivos de control la efectividad y la eficiencia de las operaciones; confidencialidad e integridad de la información financiera y el cumplimiento de las leyes y regulaciones. COBIT se desarrolla a travez de varios capítulos: planificación y organización, adquisición e implementación, desarrollo, soporte y control.

COSO: The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework (COSO).

Publicado en 1992, hace recomendaciones a los contadores de como evaluar, informar e implementar sistemas de control, teniendo como objetivo de control la efectividad y eficiencia de las  operaciones, la información financiera y e l cumplimiento de las regulaciones que explica en los componentes del ambiente de control, valoración de riesgos, actividades de control, información y comunicación, y el monitoreo.

AICPA – SAS: The American Institute of Certified Public Accountants' Consideration of the Internal Control Structure in a Financial Statement Audit (SAS 55)

Da una guía a los auditores externos sobre el impacto del control interno en la planificación y desarrollo de una auditoría de estados financieros de las empresas, presentado como objetivos de control la información financiera, la efectividad y eficiencia de las operaciones y el cumplimiento de regulaciones, que desarrolla en los componentes de ambiente de control, valoración de riesgo, actividades de control, información, comunicación y monitoreo.

IFAC-NIA: La Federación Internacional de Contables IFAC

Emitió las Normas Internacionales de Auditoría NIA 15, 16 y 20 en 1991. IFAC muestra en la NIA 15 (Auditoría en Entornos Informatizados) una referencia de controles para procesamiento electrónico de datos y la necesidad de estos cuando estamos en ambientes donde los instrumentos tradicionales del papel y demás pistas de auditoría no son visibles para los contables en el momento de realizar su trabajo. SAC

SAC: The Institute of Internal Auditors Research Foundation's Systems Auditability and Control (SAC).

Realizado en 1991 y revisado posteriormente. Ofrece una guía de estándares y controles para los auditores internos en el área de auditoría de sistemas de información y tecnología. Tiene como objetivos de control la efectividad y eficiencia de las operaciones, la integridad de la información financiera y el cumplimiento de normas y regulaciones que explica en el ambiente de control, sistemas manuales y automatizados y procedimientos de control.

MARGERIT: Consejo superior de informática del ministerio de administraciones públicas de España MARGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información).

Es una metodología de análisis y gestión de riesgos de los sistemas de información de las administraciones públicas, emitida en el año 1997 por el consejo superior de informática y recoge las recomendaciones de las directivas de la Unión Europea en materia de seguridad de sistemas de información, esta metodología presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de información y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberían adoptarse para conocer, prevenir, evaluar y controlar los riesgos investigados. Margerit desarrolla el concepto de control de riesgos en las guías de procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.

EDP: La E.D.P. Auditors Foundation (EDPAF) fundada en 1976, es otra entidad de carácter educativo e investigativo en los temas sobre estándares para la auditoría de los sistemas de información.

Esta fundación ha investigado sobre controles en los sistemas de información, generando los diez estándares generales de auditoría de sistemas y el código de ética para los auditores de sistemas que relacionamos a continuación.

Procedimientos de Seguridad Informática

PROCEDIMIENTOS DE SEGURIDAD INFORMATICA

La administración de la seguridad informática tiene que cumplir con los siguientes requisitos:

La administración de la Seguridad Informática es el conjunto de aspectos interrelacionados con el fin de proteger de amenazas la información de la entidad.

La estructura organizacional de la seguridad informática se puede dividir de la siguiente manera:

·         Seguridad informática para toda la organización;

1.       Requiere responsabilidad a nivel organización;
2.       Debe haber un responsable que analiza necesidades, que de soporte, vigile y haga mejoras.

Análisis de Riesgo:

El propósito de este análisis es cuantificar para toma de decisiones adecuadas si se usa para convertir “Miedos Técnicos” en aspectos en beneficio del negocio.

Propiedad de los Recursos:

Todo sistema debe tener un dueño o propietario que toma las decisiones del negocio.

Políticas:

1.      Estas definen la posición de la organización y documenta loas decisiones de la administración En lo relacionado a Seguridad Informática.

            2.      Definen el nivel de seguridad al ser logrados.

Guías y Estándares:

  ü  Información detallada como las personas soportan al sistema;

  ü  Dependen de la tecnología.

Procedimientos:

      a)      La tecnología es parte de la solución.

      b)      La altura organizacional es más importante que la tecnología.

Tipos de Política:

  ü  Política General o Corporativa;

  ü  Política sobre aspectos de seguridad

  ü  Políticas Generales o Corporativo

Seguridad Informática

SEGURIDAD INFORMATICA

Es la disciplina que se ocupa de diseñar normas, reglas, métodos, técnicas y procedimientos, orientados a proveer condiciones seguras y confiables para el procedimiento de datos en sistemas informáticos.

Principios Básicos:

• Confidencialidad > privacidad de elementos de información (los protege de intrusos o accesos no autorizados);
• Integridad > validez y consistencia de los elementos de información (autorización y sincronización de procesos);
• Disponibilidad > continuidad de acceso a la información.

Factores de Riesgo:

IMPREDECIBLES:

• Factores ambientales: se dan por factores externos a nuestra voluntad,

• Factores Tecnológicos: son impredecibles (falta de energía, aire acondicionado etc)

PREDECIBLES:

  ü  Factores Humanos: interviene la mano del hombre y pueden ser predecibles.

FACTORES DE RIESGO TECNOLOGICO:

  ü  Virus: programa que se replica a si mismo en otros programas, y son dañinos;

  ü  Hackers: personas que tienen conocimiento avanzado en informática y su objetivo es tener acceso a sistemas no autorizados; persiguen probar que tienen inteligencia para invadir sistemas protegidos y probar que la seguridad de los sistemas falla;

  ü  Crackers: personas que usan sus habilidades para violentar los sistemas de información con el fin de destruir total o parcialmente los sistemas de información, y esto lo hacen por satisfacción personal.

FACTORES DE RIESGO TECNOLOGICO

Son técnicas que se usan para fortalecer la confidencialidad e integridad de los sistemas de informática.

Clasificación:

                    I.            Preventivos: actúan antes que ocurran los hechos;

                  II.            Detectivos: revelan la presencia de agentes no deseados;

                III.            Correctivos: actúan luego de ocurrido los hechos y su finalidad es corregir las consecuencias y daños hechos por intrusos.