1 COBIT 4.1 Cobit 4.1 (Resumen DS13, ME1, ME2, ME3) Cayoja Bustillos Alex Escobar Endara Ariel Fernández Valdez Gabriel Gustavo Gonzales Rubín de Celis Pablo Juan Sainz Miranda Laura Isabel Materia: Auditoría de Sistemas Ingeniería de Sistemas Universidad Católica Boliviana 2 ENTREGAR Y DAR SOPORTE ADMINISTRACIÓN DE OPERACIONES DS13 Descripción del proceso Un procesamiento de información completo y apropiado requiere de una efectiva administración del procesamiento de datos y del mantenimiento del hardware. Este proceso incluye la definición de políticas y procedimientos de operación para una administración efectiva del procesamiento programado, protección de datos de salida sensitivos, monitoreo de infraestructura y mantenimiento preventivo de hardware. Una efectiva administración de operaciones ayuda a mantener la integridad de los datos y reduce los retrasos en el trabajo y los costos operativos de TI. Control sobre el proceso TI de: Administrar operaciones Que satisface el requerimiento del negocio de TI para: Mantener la integridad de los datos y garantizar que la infraestructura de TI puede resistir y recuperarse de errores y fallas Enfocándose en Cumplir con los niveles operativos de servicio para procesamiento de datos programado, protección de datos de salida sensitivos y monitoreo y mantenimiento de la infraestructura Se logra con Operando el ambiente de TI en línea con los niveles de servicio acordados y con las instrucciones definidas Manteniendo la infraestructura de TI Y se mide con Número de niveles de servicio afectados a causa de incidentes en la operación. Horas no planeadas de tiempo sin servicio a causa de incidentes en la operación. Porcentaje de activos de hardware incluidos en los programas de mantenimiento. 3 Objetivos de control - Procedimientos e Instrucciones de Operación - Programación de Tareas - Monitoreo de la Infraestructura de TI - Documentos Sensitivos y Dispositivos de Salida - Mantenimiento Preventivo del Hardware Directrices Gerenciales Modelo De Madurez La administración del proceso de Administrar las operaciones que satisface el requerimiento del negocio de TI de mantener la integridad de la información y garantizar que la infraestructura de TI pueda resistir y recuperarse de errores y fallos es: ◦ ◦ ◦ ◦ ◦ ◦ 0 No Existente 1 Inicial / Ad Hoc 2 Repetible pero Intuitivo 3 Definido 4 Administrado y medible 5 Optimizado 4 MONITOREAR Y EVALUAR MONITOREAR Y EVALUAR DESEMPEÑO DE TI ME1 Descripción del proceso Define indicadores de desempeño relevantes, reportes sistemáticos y oportunos de desempeño y toma medidas expeditas cuando existan desviaciones. Este monitoreo se requiere para que se hagan las correctas y además vayan de acuerdo con la políticas de la empresa. Control sobre el proceso TI de: Monitorear y evaluar el desempeño TI Que satisface el requerimiento del negocio de TI para: Transparencia y entendimiento de los datos de la empresa de acuerdo con los requisitos de gobierno. Enfocándose en Monitorear y reportar las estadísticas, además de implementar formas de mejorar el desempeño. Se logra con Reporte gerenciales e iniciando medidas correctivas cuando se detecta algo que no está de acuerdo con las metas. Y se mide con La satisfacción de la gerencia, el mejoramiento impulsado por el monitoreo y el numero de procesos críticos analizados. Objetivos de control - Enfoque del Monitoreo Establece un marco de trabajo de monitoreo general y un enfoque que definan el alcance del mismo. -Definición y Recolección de Datos de Monitoreo Definir un conjunto balanceado de objetivos de desempeño y tenerlos aprobados por la gerencia y otros. -Método de Monitoreo Garantizar que el proceso de monitoreo implante un método que se adapte al sistema que tiene la empresa. 5 -Evaluación del Desempeño Verificar periódicamente el desempeño, y realizar análisis de la causa raíz de los problemas que puedan existir. . -Reportes al Consejo Directivo y a Ejecutivos Proporcionar reportes administrativos para ser revisados por la alta dirección sobre el avance de la organización hacia metas. -Acciones Correctivas Identificar e iniciar medidas correctivas basadas en el monitoreo del desempeño, evaluación y reportes. Directrices Gerenciales Modelo De Madurez La administración del proceso de Monitorear y evaluar el desempeño de TI que satisfaga los requerimientos de negociospara TI de transparencia y entendimiento de los datos que lleva la empresa son: ◦ ◦ ◦ ◦ ◦ ◦ 0 No Existente 1 Inicial / Ad Hoc 2 Repetible pero Intuitivo 3 Definido 4 Administrado y medible 5 Optimizado 6 MONITOREAR Y EVALUAR MONITOREAR Y EVALUAR EL CONTROL INTERNO ME2 Descripción del proceso Establecer un programa de control interno para TI requiere un proceso bien definido de monitoreo. Todo este proceso incluye el monitoreo y reporte de las excepciones de control, resultados de las auto evaluaciones y revisiones por parte de terceros. Satisface el requerimiento del negocio de TI para proteger el logro del los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI enfocándose en el monitoreo de los procesos de control interno. Para las actividades relacionadas con TI e identificar las acciones se logra con: La definición de un sistema de controles internos integrados en el marco de trabajo de los procesos de TI. Monitorear y reportar la efectividad de los controles internos sobre TI. Reportar las excepciones de control a la gerencia para tomar acciones. Todo esto se mide con el número de brechas importantes del control interno, número de iniciativas para la mejora del control y número y cubrimiento de auto evaluaciones de control. Objetivos de Control - Monitoreo del Marco de Trabajo de Control Interno Monitorear de forma continua, comparar y mejorar el ambiente de control de TI y el marco de trabajo de control de TI para satisfacer los objetivos organizacionales. -Revisiones de Auditoria Monitorear y evaluar la eficiencia y efectividad de los controles internos de revisión de la gerencia de TI. Excepciones de Control Identificar las excepciones de control, y analizar e identificar sus causas raíz subyacentes. Escalar las excepciones de control y reportar a los interesados apropiadamente. Establecer acciones correctivas necesarias. 7 Control de Auto Evaluación Evaluar la completitud y efectividad de los controles de gerencia sobre los procesos, políticas y contratos de TI por medio de un programa continuo de auto-evaluación. Aseguramiento del Control Interno Obtener, según sea necesario, aseguramiento de la completitud y efectividad de los controles internos por medio de revisiones de terceros. Control Interno para Terceros Evaluar el estado de los controles internos de los proveedores de servicios externos. Conformar que los proveedores de servicios externos cumplen con los requerimientos legales y regulatorios y obligaciones contractuales. Acciones Correctivas Identificar, iniciar, rastrear e implementar acciones correctivas derivadas de los controles de evaluación y los informes. Directrices Gerenciales Modelo de Madurez ◦ ◦ ◦ ◦ ◦ ◦ 0 No Existente 1 Inicial / Ad Hoc 2 Repetible pero Intuitivo 3 Definido 4 Administrado y medible 5 Optimizado 8 MONITOREAR Y EVALUAR GARANTIZAR EL CUMPLIMIENTO CON REQUERIMIENTOS EXTERNOS ME3 Descripción del proceso Una supervisión efectiva del cumplimiento requiere del establecimiento de un proceso de revisión para garantizar el cumplimiento de las leyes, regulaciones y requerimientos contractuales. Este proceso incluye la identificación de requerimientos de cumplimientos, optimizando y evaluando la respuesta, obteniendo aseguramiento de que los requerimientos se han cumplido y, finalmente integrando los reportes de cumplimiento de TI con el resto del negocio. Enfocándose en La identificación de todas las leyes y regulaciones aplicables y el nivel correspondiente de cumplimiento de TI y la optimización de los procesos de TI para reducir el riesgo de no cumplimiento Se logra con La identificación de los requerimientos legales y regulatorios relacionados con TI La evaluación del impacto de los requisitos regulatorios El monitoreo y reporte del cumplimiento de los requisitos regulatorios Y se mide con El costo del no cumplimiento de TI, incluyendo arreglos y multas Tiempo promedio de demora entre la identificación de los problemas externos de cumplimiento y su resolución Frecuencia de revisiones de cumplimiento GOBIERNO DE TI Primario - Alineación Estratégica - Administración de riesgos Secundario - Medición del desempeño Entrega de Valor Administración de Recursos 9 Objetivos de control -Identificar los Requerimientos de las Leyes, Regulaciones y Cumplimientos Contractuales -Optimizar la Respuesta a Requerimientos Externos -Evaluación del Cumplimiento con Requerimientos Externos -Aseguramiento Positivo del Cumplimiento -Reportes Integrados Directrices Gerenciales Modelo de madurez La administración del proceso de Garantizar el cumplimiento con requerimientos externos que satisfaga el requerimiento de negocio de TI de asegurar el cumplimiento de las leyes, regulaciones y requerimientos contractuales es: ◦ ◦ ◦ ◦ ◦ ◦ 0 No Existente 1 Inicial / Ad Hoc 2 Repetible pero Intuitivo 3 Definido 4 Administrado y medible 5 Optimizado