CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION COBIT® CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION 3a Edición Emitido por el Comité Directivo de COBIT y La Misión de COBIT: Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnología de información con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores. 28361 imp toolset.pub page 1 Tuesday, February 15, 2005 08:17 Composite ARGENTINA ARUBA AUSTRALIA AUSTRIA BAHAMAS BAHRAIN BANGLEDESH BARBADOS BÉLGICA BERMUDA BOLIVIA BOSTSWANA BRASIL BRUENI CANADÁ CHILE CHINA COLOMBIA COSTA RICA CROATA CURAZAO CYPRUS REPÚBLICA CHECA DINAMARCA REPÚBLICA DOMINICANA ECUADOR EGIPTO ESTONIA ISLAS FAEROE FINLANDIA FRANCIA ALEMANIA GHANA GRECIA GUAM GUATEMALA HONDURAS HONG KONG HUNGRÍA ISLANDIA INDIA INDONESIA IRLANDA ISRAEL ITALIA IVORY COAST JAMAICA JAPÓN JORDÁN KENYA COREA KUWAIT LATVIA LEBANON 28361 imp toolset.pub page 2 INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION Una sola Fuente Internacional para los Controles de la Tecnología de Información Information Systems Audit and Control • su programa de educación profesional Association es una organización global ofrece conferencias técnicas y adminis- líder de profesionales que representa a trativas en cinco continentes, así como individuos en más de 100 países y compren- seminarios en todo el mundo para de todos los niveles de la tecnología de ayudar a los profesionistas de todo el información ⎯ Dirección ejecutiva, media mundo a recibir educación continúa de alta calidad. gerencia y practicantes. La Asociación está únicamente posesionada para cubrir el • su área de publicidad técnica propor- papel de generador central que armoniza ciona materiales de desarrollo profe- los estándares de las prácticas de control sional y referencias con el fin de au- de la TI a nivel mundial. Sus alianzas es- mentar su distinguida selección de tratégicas con otros grupos dentro del programas y servicios. ámbito profesional financiero, contable, de auditoría y de la TI aseguran un nivel sin La Information Systems Audit and Control paralelo de integración y compromiso a los Association se creó en 1969 para cubrir las dueños del proceso de negocio. necesidades únicas, diversas y de alta tecno- Programas y Servicios de la Asociación Los Programas y Servicios de la Asociación han ganado prestigio al establecer los niveles más altos de excelencia en certificación, estándares, educación profesional y publicidad técnica. • su programa de certificación (el Auditor de Sistemas de Información Certificado) es la única designación global en toda la comunidad de control y auditoría de la TI. • las actividades estándares establecen la base de calidad mediante la cual otras actividades de control y auditoría de la TI se miden. logía en el naciente campo de la TI. En una industria donde el progreso se mide en nonasegundos, ISACA se ha movido ágil y velozmente para satisfacer las necesidades de la comunidad de negocios internacionales y de la profesión de controles de la TI. Para más Información Para recibir información adicional, puede llamar al (+1.847.253.1545), enviar un email a (research@isaca.org) o visitar nuestra página www.Itgovernance.org www.isaca.org LIECHTENSTEIN LITUANIA LUXEMBURGO MALASIA MALTA MALAWI MÉXICO PAÍSES BAJOS NUEVA GUINEA NUEVA ZELANDA NIGERIA NORUEGA OMÁN PAKISTÁN PANAMÁ PERÚ FILIPINAS POLONIA PORTUGAL QATAR RUSIA SAIPAN ARABIA SAUDITA ESCOCIA SEYCHELLES SINGAPUR REP. ESLOVACA ESLOVENIA SUDÁFRICA ESPAÑA SRI LANKA ST. KITTS ST. LUCIA SUECIA SUIZA SIRIA TAIWAN TANZANIA TASMANIA TAILANDIA TRINIDAD & TOBAGO TURQUÍA UGANDA EMIRATOS ARAB UNIDOS REINO UNIDO ESTADOS UNIDOS URUGUAY VENEZUELA VIETNAM GALES YEMEN ZAMBIA ZIMBABWE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION CONTENIDO Reconocimientos 4 Introducción al Conjunto de Herramientas de Implementación 5 Resumen Ejecutivo 6 Cuía de Implementación Cómo Presentatar al COBIT en su Organización 24 Cómo Implementar COBIT en su Organización 32 Diagnósticos de Sensibilización en la Administración 51 Diagnósticos de Control TI 55 Casos de Estudio COBIT 63 Preguntas Comunes sobre COBIT 71 Apendice I Directriz de Administración del Gobierno de TI 79 Apéndice II Descripción del Proyecto COBIT 83 Apéndice III Material de referencia primaria 84 Apéndice IV Glosario de Términos Information Systems Audit and Control Foundation IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, Illinois 60008 USA. Teléfono: 1+847.253.1525 Fax: 1+847.253.1443 E-mail: research@isaca.org Web sites: www.isaca.org www.itgi.org ISBN 1-893209-84-9 (Conjunto de Herramientas de Implementación, Español) ISBN 1-933284-02-1 (Paquete completo de los 6 libros y CD) 87 Límite de Responsabilidad La Information Systems Audit and Control Association—ISACA- y el IT Governance Institute –ITGI- (los propietarios) han creado esta publicación titulada COBIT: Objetivos de Control para la Información y las Tecnologías Relacionadas (el “trabajo”) principalmente como un recurso educativo para los profesionales dedicados a las actividades de control. Los Propietarios declaran que no responden o garantizan que el uso que se le de al “Trabajo” asegurará un resultado exitoso. No deberá considerarse que el “Trabajo” incluye toda la información, los procedimientos o las pruebas apropiadas o excluye otra información, procedimientos y pruebas que estén razonablemente dirigidas a la obtención de los mismos resultados. Para determinar la conveniencia de cualquier información, procedimiento o prueba específica, los expertos en control deberán aplicar su propio juicio profesional a las circunstancias específicas presentadas por los sistemas o por el ambiente de tecnología de información en particular. Esta edición de COBIT fue traducida al idioma español por Gustavo Adolfo Solís Montes, Lucio Augusto Molina Focazzio, Johann Tello Meryk y Rocío Torres Suárez, (los “traductores”). Los traductores asumen la responsabilidad exclusiva por la actualización y por la fidelidad de la traducción. La Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI) declaran que no responden por la actualización, totalidad, o por la calidad de la traducción. En ningún evento ISACA/ITGI será responsable ante un individuo u organización por los daños causados en relación con la edición del lenguaje, cualquier actualización, modificación, localización o traducción. Acuerdo de Licencia de uso (disclosure) Copyright 1996, 1998, 2000, de la Information Systems Audit and Control Foundation (ISACF). La reproducción para fines comerciales no está permitida sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el Conjunto de Herramientas de Implementación para uso interno no comercial, incluyendo almacenamiento en medios de recuperación de datos y transmisión en cualquier medio, incluyendo electrónico, mecánico, grabado u otro medio. Todas las copias del Resumen Ejecutivo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el Conjunto de Herramientas de Implementación deben incluir el siguiente reconocimiento y leyenda de derechos de autor: “Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reimpreso con la autorización de la Information Systems Audit and Control Foundation, y el IT Governance Institute”. Las Guías/Directrices de Auditoría no pueden ser usadas, copiadas, reproducidas, almacenadas, modificadas en un sistema de recuperación de datos o transmitido en ninguna forma ni por ningún medio (electrónico, mecánico, fotocopiado, grabado u otro medio) sin la previa autorización por escrito de la ISACF. Sin embargo, las Directrices de Auditoría pueden ser usadas con fines no comerciales internos únicamente. Excepto por lo indicado, no se otorga ningún otro derecho o permiso relacionado con esta obra. Todos los derechos de esta obra son reservados. Impreso en los Estados Unidos de América IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 3 3 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION RECONOCIMIENTOS EQUIPO DEL PROYECTO ERIK GULDENTOPS, S.W.I.F.T. SC, BÉLGICA EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BÉLGICA COMITÉ DIRECTIVO DE PROYECTO ERIK GULDENTOPS, S.W.I.F.T. SC, BÉLGICA JOHN BEVERIDGE, STATE AUDITOR´S OFFICE, MASSACHUSETTS, USA PROF. DR. BART DE SCHUTTER, VRIJE UNIVERSITEIT BRUSSELS, CHAIRMAN BRT BELGICA JOHN LAINHART, PRICEWATERHOUSECOOPERS, USA AKIRA MATSUO, CHUO AUDIT CORPORATION, JAPON EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BÉLGICA GARY HARDY, ARTHUR ANDERSEN, REINO UNIDO PAUL WILLIAMS, ARTHUR ANDERSEN, REINO UNIDO INVESTIGADORES PROF. ULRIC J. GELINAS, JR., BENTLEY COLLEGE, WATHMAN, MA REVISORES EXPERTOS CAPITULO BOSTON DE ISACA CAPITULO DEL AREA CAPITAL NACIONAL DE ISACA Agradecimientos Especiales a los miembros de la Mesa Directiva de la Information Systems Audit and Control Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, encabezados por el Presidente Internacional Paul Williams, por su contínuo y firme apoyo al COBIT 4 28361 imp toolset.pub page 4 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION La introducción determinante a Los Objetivos de Control para la Información y las Tecnologías relacionadas ( COBIT) en 1996 dio un marco de referencia a los tecnológos de la información sobre el gobierno y prácticas de control de la Tecnología de Información (TI) aplicables y aceptadas globalmente. El principal propósito del COBIT es el de presentar una política clara y una buena práctica para el gobierno de TI a través de las organizaciones en todo el mundo- para ayudar a la alta gerencia a comprender y administrar los riesgos relacionados con TI. COBIT logra esto proporcionando un marco de referencia del gobierno de TI y las guías objetivas de control para la administración, los dueños del proceso, los usuarios y los auditores. El COBIT inicia con una simple premisa pragmática: proveer la información necesaria para lograr sus objetivos, una organización debe administrar sus recursos de TI a través de un conjunto de procesos agrupados naturalmente. Los grupos COBIT procesan en una jerarquía simple orientada al negocio. Cada proceso se relaciona con los recursos de TI, y los requerimientos de seguridad, fiduciarios, y de calidad para la información. Como el COBIT está orientado al negocio, es directo su uso para comprender los objetivos de control de TI con el fin de administrar los riesgos del negocio relacionados con TI de la siguiente forma: • inice con los objetivos de su negocio en el Marco de Referencia, • seleccione los procesos y controles de TI adecuados para su empresa de los Objetivos de Control, • opere desde su plan de negocio • evalúe sus procedimientos y resultados con las Directrices. • Evalué el estado de su organización identificando actividades críticas necesarias para el éxito y mida el desempeño en busca de las metas de la empresa con Las Directrices Gerenciales. Inmediatamente después de que el COBIT fue publicado, el Comité Directivo del COBIT inició evaluando la forma de cómo se estaban implementando las ‘mejores prácticas globales’. Este Conjunto de Herramientas de Implementación es el resultado de sus descubrimientos. Toma las lecciones aprendidas en aquellas organizaciones que aplicaron el COBIT rápida y exitosamente y las coloca en un Conjunto de Herramientas para que las utilicen los demás. Las Directrices Gerenciales recientemente desarrolladas introducen nuevos conceptos y herramienta que abrirán nuevas perspectivas y opciones para introducir COBIT en la empresa y su uso evolucionará, en la medida que ellas sean adaptadas a necesidades específicas de cada organización. Esas lecciones incluyen consejos para: involucrar a la alta administración, desde un principio, en las discusiones; estar preparado para explicar el marco de referencia (tanto en un nivel general, como un nivel detallado); y citar las historias de éxitos de otras organizaciones. También se le pidió al Comité Directivo del COBIT que mejorara sus explicaciones de los puntos clave y que dieran un panorama general paso a paso, con ejemplos, de un proceso de implementación ideal. Así, este Conjunto de Herramientas de Implementación contiene: • Resumen Ejecutivo • Guía para la Implementación, incluyendo una muestra de memorándums y presentaciones • Diagnósticos de Sensibilización de la Administración y Diagnósticos de Control de TI • Casos de Estudio describiendo la implementación del COBIT • Las Preguntas más Comunes y las Respuestas • Presentaciones de Power Point para implementar/ vender el COBIT IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 5 5 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración efectiva de la información y de la Tecnología de Información (TI) relacionada. En esta sociedad global (donde la información viaja a través del “ciberespacio” sin las restricciones de tiempo, distancia y velocidad) esta criticidad emerge de: z la creciente dependencia en la información y en los sistemas que proporcionan dicha información z El incremento de vulnerabilidades y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de información z la escala y el costo de las inversiones actuales y futuras en información y en sistemas de información; y z el potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos Para muchas organizaciones, la información y la tecnología que la soporta, representan los activos mas valiosos de la empresa. Es más, en nuestro competitivo y rápidamente cambiante ambiente actual, la gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de TI: La administración requiere el incremento de la calidad, funcionalidad y facilidad de uso; y el decremento del tiempo de entrega y un mejoramiento continuo de los niveles de servicio mientras demanda que esto se logre a menor costo. Muchas organizaciones reconocen los beneficios potenciales que la tecnología puede proporcionar. Las organizaciones exitosas, sin embargo, también comprenden y administran los riesgos asociados con la implementación de nueva tecnología. versus el retorno sobre TI y sus procesos. El gobierno de TI es integral para el éxito del gobierno de la empresa asegurando una eficiente y efectiva medición del mejoramiento en relación con los procesos de la empresa. El gobierno de TI proporciona la estructura que encadena los procesos de TI, los recursos de TI y la información de las estrategias y objetivos de la empresa. Adicionalmente el gobierno de TI integra e institucionaliza buenas (o mejores) practicas de planeación y organización, adquisición e implementación, entrega de servicios y soporte y monitoreo del desempeño de TI para asegurar que la información de la empresa y la tecnología relacionada soporte los objetivos del negocio. El gobierno de TI también ayuda a la empresa a tomar una ventaja completa de su información maximizando beneficios, capitalizando sobre sus oportunidades y ganando ventaja competitiva. GOBIERNO DE TI Una Estructura de relaciones y procesos que Direccionan y controlas la empresa con el fin de lograra las metas de la empresa añadiendo valor mientras balancea el riesgo vs el retorno sobre TI y sus procesos Las organizaciones deben satisfacer requerimiento de calidad, fiduciarios y de seguridad para su información así como para todos sus activos. La gerencia debe además optimizar el uso de los recursos disponibles, incluyendo datos, sistemas de aplicación, tecnología, instalaciones y personas. Para descargarse de esas responsabilidades así como también lograr sus objetivo, la gerencia debe entender el estado de sus propios sistemas de TI y decidir que seguridad y control deben proveer. Hay numerosos cambios en TI en el ambiente operativo que enfatiza la necesidad de una mejor administración de los riesgos relacionados con TI. La dependencia de la información electrónica y de los sistemas de TI es esencial para soportar los procesos críticos de TI. Adicionalmente, el ambiente regulatorio está obligando a un control estricto sobre la información. Esto a su vez está llevando al incremento de la revelación de la información, desastres en los sistemas e incremento en el fraude electrónico. La administración de los riegos relacionados con TI esta siendo ahora entendida como una parte clave del gobierno de la empresa. Los objetivos de control para la información y la tecnología relacionada (COBIT), ahora en su tercera edición ayuda a cumplir con las múltiples necesidades de la gerencia para colocar un puente sobre las brechas entre los riesgos del negocio y las necesidades de control y los problemas técnicos. Provee buenas prácticas a través de un dominio y un marco referencial de procesos y presenta actividades en una estructura lógica y manejable. Las “buenas practicas” significan un consenso de los experto - ellos ayudarán a optimizar la inversión en la información y proveeran una medida para hacer un juicio cuando las cosas vayan mal. Dentro del gobierno de la empresa, el gobierno de TI se está volviendo cada vez más y más prominente, y está definido como una estructura de relaciones y procesos para dirigir y controlar la empresa con el fin de lograr las metas de la organización añadiendo valor mientras balancea el riesgo La administración debe asegurar que un sistema de control interno o un marco de referencia está funcionando y soporta los procesos del negocio. Y hace claridad en cómo cada 6 28361 imp toolset.pub page 6 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION actividad de control individual satisface los requerimientos de información e impactan los recursos de TI. El impacto sobre los recursos de TI es resaltado en el Marco de Referencia del COBIT junto con los requerimientos del negocio que deben ser satisfechos y que son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información. El control, que incluye políticas, estructuras organizacionales, prácticas y procedimientos es responsabilidad de la administración. La Administración, a través del gobierno de la empresa, debe asegurar que una debida diligencia sea llevada a cabo por todos los individuos involucrados en la administración, uso, diseño, desarrollo, mantenimiento u operación de los sistemas de información. Un objetivo de control de TI es una sentencia del resultado deseado o propósito a ser alcanzado mediante la implementación de procedimientos de control en una actividad particular de TI. La orientación a negocios es el tema principal de COBIT. Esta diseñado no solo para ser utilizado por usuarios y auditores, sino que en forma más importante, esta diseñado para ser utilizado como una lista de verificación detallada para los propietarios de los procesos del negocio. En forma incremental, las prácticas de negocio requieren de una mayor delegación y apoderamiento de los dueños de procesos para que estos posean total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En forma particular, esto incluye el proporcionar controles adecuados. El Marco Referencial de COBIT proporciona herramientas al propietario de procesos del negocio que facilitan el cumplimiento de esta responsabilidad. El Marco Referencial comienza con una premisa simple y pragmática: Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural. El Marco Referencial continúa con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: planeación & organización, adquisición & implementación, entrega de servicios y soporte y monitoreo. Esta estructura cubre todos los aspectos de información y de la tecnología que la soporta. Siguiendo estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podrá asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnología de información. y la información con las estrategias y los objetivos de la empresa. El Gobierno de TI integra una forma óptima de planeación & Organización. Adquisición & Implementación, Entrega de servicios & Soporte y Monitoreo al desempeño de TI. El Gobierno de TI ayuda a la empresa a tomar total ventaja completa de su información, maximizando beneficios, capitalizando oportunidades y ganando ventaja competitiva. Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una guía de auditoría o de aseguramiento que permite la revisión de los procesos de TI contra los 318 objetivos detallados de control recomendados por COBIT para proporcionar a la Gerencia la certeza de su cumplimiento y/o una recomendación para su mejora. Las Directrices Gerenciales de COBIT, el más reciente desarrollo, mejora fuertemente y ayuda a la gerencia de la empresa a lograr con mayor efectividad las necesidades y requerimientos del Gobierno de TI. Las directrices son acciones orientadas, son genéricas y proporcionan a la dirección de la administración la obtención de la información de la empresa y los procesos relacionados bajo control, mediante el monitoreo del logro de las metas de la organización, mediante el monitoreo del desempeño en cada uno de los procesos de TI y a través de la ejecución de Benchmarking organizacional. Específicamente, COBIT proporciona Modelos de Madurez para el control sobre los procesos de TI, de tal forma que la administración pueda darse cuenta donde está hoy la organización, donde está en relación con las mejores prácticas de su clase en la industria y con estándares internacionales y dónde quiere estar la organización; Factores Críticos de Éxito que definen las directrices más importantes para la administración que están orientadas a la implementación con el objeto de obtener control sobre y dentro de los procesos de TI; Indicadores Claves de Objetivo que definen las medidas que le dicen a la administración - después del hecho - si un proceso ha satisfecho los requerimientos del negocio; y Indicadores Claves de Desempeño que son indicadores líder que definen las medidas de qué también los procesos de TI se están ejecutando para obtener la meta que se está buscando. El Marco Referencial de COBIT también proporciona una guía del Gobierno de TI. El Gobierno de TI proporciona la estructura que conecta los procesos de TI, los recursos de TI IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 7 7 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Las Directrices Gerenciales de COBIT son genéricas y son acciones orientadas al propósito de responder los siguientes tipos de preguntas gerenciales: ¿Qué tan lejos debemos ir y se justifica el costo respecto al beneficio obtenido? ¿Cuáles son los indicadores de buen desempeño? ¿Cuáles son los factores críticos de éxito? ¿Cuáles son los riesgos de no lograr nuestros objetivos? ¿Qué hacen otros? ¿Cómo nos podemos medir y comparar? COBIT además contiene un conjunto de herramientas de implementación que proporcionan lecciones aprendidas por empresas que rápida y exitosamente aplicaron COBIT en sus ambientes de trabajo. Presenta dos herramientas que son particularmente útiles - diagnóstico de sensibilización gerencial y diagnóstico de los controles de TI - para proporcionar asistencia en el análisis del ambiente de control de TI en la organización. En los próximos años las Directivas de las organizaciones necesitarán demostrar cómo alcanzará mayores niveles en cuanto a seguridad y control. COBIT es una herramienta que permite a los gerentes cerrar la brecha con respecto a los requerimientos de control, problemas técnicos y riesgos del negocio así como comunicar a los dueños y accionistas el nivel de control alcanzado. COBIT motiva el desarrollo de políticas claras y buenas prácticas para el control de TI de toda la organización. Por lo tanto, COBIT está orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administración de riesgos asociados con tecnología de información y con tecnologías relacionadas. 8 28361 imp toolset.pub page 8 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION PROCESOS DE IT DE COBIT DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 9 9 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION EL MARCO REFERENCIAL DE COBIT LA NECESIDAD DE CONTROL EN TECNOLOGIA DE INFORMACION En años recientes, ha sido cada vez más evidente la necesidad de un Marco Referencial para la seguridad y el control en TI. Las organizaciones exitosas requieren una apreciación y un entendimiento básico de los riesgos y de las limitantes de TI a todos los niveles de la empresa con el fin de lograra una dirección efectiva y controles adecuados. LA ADMINISTRACIÓN debe decidir la inversión razonable en seguridad y control en TI y cómo lograr un balance entre riesgos e inversiones en control en un ambiente de TI frecuentemente impredecible. Aunque la seguridad en los sistemas de información y los controles ayudan a administrar los riesgos no los eliminan. Adicionalmente el nivel exacto de riesgo nunca puede ser conocido y siempre hay un grado de incertidumbre. Finalmente la administración debe decidir el nivel de riesgo que esta dispuesta a aceptar. Juzgando cual nivel puede ser tolerado particularmente cuando se compara contra el costo, puede ser difícil decisión para la administración. Por consiguiente, indudablemente la administración necesita un marco de referencia de las prácticas de seguridad y control de TI aceptadas generalmente para llevare a cabo un Benchmark entre lo existente y lo planeado en el ambiente de TI. Existe una creciente necesidad entre los USUARIOS de los servicios de TI de asegurarse a través de la acreditación y de los servicios de auditoria TI provistos por internas y terceras partes, que existen seguridades y controles adecuados. Actualmente, sin embargo, es confusa la implementación de buenos controles de TI en sistemas de negocios por parte de entidades comerciales, entidades sin fines de lucro o entidades gubernamentales. Esta confusión proviene de los diferentes métodos de evaluación, tales como ITSEC, TCSEC, evaluaciones ISO9000, nuevas evaluaciones de control interno COSO, etc. Como resultado, los usuarios necesitan una base general a ser establecida como primer paso. EL AMBIENTE DE NEGOCIOS: COMPETENCIA, CAMBIO & COSTOS La competencia global es ya un hecho. Las organizaciones se reestructuran con el fin de perfeccionar sus operaciones y al mismo tiempo aprovechar los avances en tecnología de sistemas de información para mejorar su posición competitiva. La reingeniería en los negocios, right-sizing, el outsourcing, el empoderamiento, las organizaciones horizontales y el procesamiento distribuido son cambios que impactan la manera en la que operan tanto los negocios como las entidades gubernamentales. Estos cambios han tenido y continuarán teniendo, profundas implicaciones para la administración y las estructuras de control operacional dentro de las organizaciones en todo el mundo. La especial atención prestada a la obtención de ventajas competitivas y a la economía implica una dependencia creciente en la tecnología como el componente más importante en la estrategia de la mayoría de las organizaciones. La automatización de las funciones organizacionales está, por su naturaleza, dictando la incorporación de mecanismos de control más poderosos en los computadores y las redes, tanto basadas en hardware como en software. Además, las características estructurales fundamentales de estos controles están evolucionando en la misma proporción y al mismo “salto de rana” que las tecnologías de computación y las redes. Si los administradores, los especialistas en sistemas de información y los auditores desean en realidad ser capaces de cumplir con sus tareas en forma efectiva dentro de un marco contextual de cambios acelerados, deberán aumentar y mejorar sus habilidades tan rápidamente como lo demandan la tecnología y el ambiente. Debemos comprender la tecnología de controles involucrada y su naturaleza cambiante si deseamos emitir y ejercer juicios razonables y prudentes al evaluar las prácticas de control que se encuentran en los negocios típicos o en las organizaciones gubernamentales Frecuentemente, los AUDITORES han tomado el liderazgo en estos esfuerzos internacionales de estandarización, debido a que ellos enfrentan continuamente la necesidad de sustentar y apoyar frente a la Gerencia su opinión acerca de los controles internos. Sin contar con un marco referencial, ésta se convierte en una tarea demasiado complicada. Incluso, la administración consulta cada vez más a los auditores para que la asesoren en forma proactiva en lo referente a asuntos de seguridad y control de TI. 10 28361 imp toolset.pub page 10 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION APARICION DEL GOBIERNO DE LA EMPRESA Y DEL GOBIERNO DE TI Para lograr el éxito en esta economía de información, el Gobierno de la empresa y el Gobierno de TI no pueden ser consideradas separadamente y en distintas disciplinas. El gobierno efectivo de la empresa enfoca el conocimiento y la experiencia en forma individual y grupal, donde puede ser mas productivo, monitoreado y medido el desempeño así como provisto el aseguramiento para aspectos críticos. TI, por mucho tiempo considerada aislada dentro del logro de los objetivos de la empresa debe ahora ser considerada como una parte integral de la estrategia. El Gobierno de TI provee la estructura que une los procesos de TI, los recursos de TI y las estrategias y objetivos de la empresa. El Gobierno de TI integra e institucionaliza de una manera óptima la planeación y organización, la adquisición e implementación, la entrega de servicios y soporte y el monitoreo del desempeño de TI. El Gobierno de TI es integral para el éxito del Gobierno de la Empresa asegurando una eficiente y efectiva medición para mejorar los procesos de la empresa. El Gobierno de TI le permite a la empresa tomar ventaja total de su información, al maximizar sus beneficios, capitalizar sus oportunidades y ganar ventaja competitiva. Observando en el contexto a la empresa y los procesos del Gobierno de TI con mayor detalle, el gobierno de la empresa, el sistema por el cual las entidades son dirigidas y controladas direcciona y analiza el Gobierno de TI. Al mismo tiempo, TI debería proveer insumos críticos y constituirse en un componente importante de los planes estratégicos. De hecho TI puede influenciar las oportunidades estratégicas de la empresa. las actividades de la empresa requieren información de las actividades de TI con el fin de satisfacer los objetivos del negocio. Organizaciones exitosas aseguran la interdependencia entre su plan estratégico y sus actividades de TI. TI debe estar alineado y debe permitir a la empresa tomar ventaja total de su información para maximizar sus beneficios, capitalizar oportunidades y ganar ventaja competitiva. IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 11 11 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Las empresas son gobernadas por buenas (o mejores) prácticas generalmente aceptadas para asegurar que la empresa cumpla sus metas asegurando que lo anterior esté garantizado por ciertos controles. Desde estos objetivos fluye la dirección de la organización, la cual dicta ciertas actividades a la empresa usando sus propios recursos. Los resultados de las actividades de la empresa son medidos y reportados proporcionando insumos para el mantenimiento y revisión constante de los controles, comenzando el ciclo de nuevo. 12 28361 imp toolset.pub page 12 También TI es gobernado por buenas (o mejores) prácticas para asegurar que la información de la empresa y sus tecnologías relacionadas apoyan sus objetivos del negocio, estos recursos son utilizados responsablemente y sus riesgos son manejados apropiadamente. Estas prácticas conforman una base para la dirección de las actividades de TI las cuales pueden ser enmarcadas en la Planeación y Organización, Adquisición e Implementación, Entrega de Servicios y Soporte y Monitoreo para los propósitos duales como son el manejo de riesgo (para obtener seguridad, confiabilidad y cumplimiento) y la obtención de beneficios (incrementando la efectividad y eficiencia). Los reportes son enfocados sobre los resultados de las actividades de TI, los cuales son medidos contra diferentes prácticas y controles y el ciclo comienza otra vez. IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Para asegurar que la Gerencia alcance los objetivos de negocios, ésta debe dirigir y administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se están desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organización contra las mejores practicas industriales y los modelos internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices Gerenciales de COBIT en las cuales se han identificado Factores Críticos de Exito específicos, Indicadores Claves por Objetivo e Indicadores Clave de Desempeño y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apéndice I. IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 13 13 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION RESPUESTA A LAS NECESIDADES En vista de estos continuos cambios, el desarrollo de este Marco Referencial de objetivos de control para TI, conjuntamente con una investigación continua aplicada a controles de TI basada en este marco referencial, constituyen el fundamento para el progreso efectivo en el campo de los controles de sistemas de información y las tecnologías relacionadas. Por otro lado, hemos sido testigos del desarrollo y publicación de modelos de control generales de negocios como COSO [Committee of Sponsoring Organisations of the Treadway Commisssion Internal Control-Integrated Framework, 1992] en los EUA, Cadbury en el Reino Unido y CoCo en Canadá y King en Sudáfrica. Por otro lado, existe un número importante de modelos de control más enfocados al nivel de tecnología de información. Algunos buenos ejemplos de esta última categoría son el Security Code of Conduct del DTI (Department of Trade and Industry, Reino Unido). Las Directrices de control para Tecnología de Información del CICA (Canadian Insitute of Chartered Accountants, Canada) y el Security Handbook de NIST (National Institute of Standards and Technology, EUA). Sin embargo, estos modelos de control con orientación específica no proporcionan un modelo de control completo y utilizable sobre tecnología de información como soporte para los procesos de negocio. El propósito de COBIT es el cubrir este vacío proporcionando una base que esté estrechamente ligada a los objetivos de negocio, al mismo tiempo que se enfoca a la tecnología de información. (El documento que más se acerca al COBIT es una publicación reciente de AICPA/CICA Systrust TM Principios y Criterios para la Confiabilidad de los Sistemas. SysTrust es una autoridad que realiza publicaciones para el Comité Ejecutivo de Servicios de Aseguramiento de los Estados Unidos y para el Comité de Desarrollo de Servicios de Calidad de Canadá, basado en parte en los Objetivos de Control de COBIT . SysTrust está diseñado para incrementar el confort de la Administración, los clientes y los socios de negocios con los sistemas que soportan un negocio o una actividad en particular. Los servicios de SysTrust incluyen al contador público proporcionándole un servicio de aseguramiento en el cual él o ella evalúa y prueba si el sistema es confiable cuando lo mide contra cuatro principios esenciales: Disponibilidad, seguridad, integridad y mantenimiento nuevos modelos de control y estándares internacionales relacionados, hicieron evolucionar los Objetivos de Control de la Information Systems Audit and Control Foundation y pasar de una herramienta de auditoría, a COBIT, que es una herramienta para la administración. Adicionalmente, el desarrollo de las Directrices Gerenciales de TI ha llevado al COBIT al siguiente nivel proporcionando a la Administración Indicadores Clave de Logros (KGIs— Key Goal Indicators), Indicadores Claves de Desempeño (KPIs— Key Performance Indicators), Factores Críticos de Éxito (CSFs—Critical Success Factors) y Modelos de Madurez con los cuales puede analizar el ambiente de TI y considerar opciones para la implementación y mejoramiento de los controles sobre la información de la organización y sus tecnologías relacionadas. Por lo tanto, el objetivo principal del proyecto COBIT es el desarrollo de políticas claras y buenas prácticas para la seguridad y el control de Tecnología de Información, con el fin de obtener la aprobación y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. La meta del proyecto es el desarrollar estos objetivos de control principalmente a partir de la perspectiva de los objetivos y necesidades de la empresa. Esto concuerda con la perspectiva COSO, que constituye el primer y mejor marco referencial para la administración en cuanto a controles internos. Posteriormente, los objetivos de control fueron desarrollados a partir de la perspectiva de los objetivos de auditoría (certificación de información financiera, certificación de medidas de control interno, eficiencia y efectividad, etc.) AUDIENCIA: ADMINISTRACION, USUARIOS & AUDITORES COBIT está diseñado para ser utilizado por tres audiencias distintas: ADMINISTRACION: Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnología de información frecuentemente impredecible. USUARIOS: Un enfoque hacia los requerimientos de negocio en cuanto a controles para tecnología de información y la aplicación de 14 28361 imp toolset.pub page 14 Para obtener una garantía en cuanto a la seguridad y controles de los servicios de tecnología de información proporcionados internamente o por terceras partes. IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION AUDITORES Para dar soporte a sus opiniones y/o proporcionar asesoría a la administración sobre controles internos. Control se define como ORIENTACIÓN A OBJETIVOS DE NEGOCIO El COBIT está alineado con los Objetivos del Negocio. Los Objetivos de Control muestran una relación clara y distintiva con los objetivos del negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditoría. Los Objetivos de Control están definidos con una orientación a los procesos, siguiendo el principio de reingeniería de negocios. En dominios y procesos identificados, se identifica también un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Adicionalmente, se establecen consideraciones y guías para definir e implementar el Objetivo de Control de TI. Objetivo de control de TI se define como Gobierno de TI se define como La clasificación de los dominios a los que se aplican los objetivos de control de alto nivel (dominios y procesos); una indicación de los requerimientos de negocio para la información en ese dominio, así como los recursos de TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamente el Marco de Referencia de COBIT. El Marco de Referencia toma como base las actividades de investigación que han identificado 34 objetivos de alto nivel y 318 objetivos de control detallados. El Marco de Referencia fue presentado a la industria de TI y a los profesionales dedicados a la auditoría para abrir la posibilidad a revisiones, cambios y comentarios. Las ideas obtenidas fueron incorporadas en forma apropiada. Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos Una sentencia del resultado o propósito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular. Una estructura de relaciones y procesos para dirigir y controlar la empresa con el fin de lograr sus objetivos al añadir valor mientras se equilibran los riesgos contra el retorno sobre TI y sus procesos. DEFINICIONES GENERALES Para propósitos de este proyecto, se proporcionan las siguientes definiciones. La definición de “Control” está adaptada del reporte COSO [Committee of Sponsoring Organisations of the Treadway Commission. Internal Control-Integrated Framework, 1992 y la definición para “Objetivo de Control de TI” ha sido adaptada del reporte SAC (Systems Auditability and Control Report, The Institute of Internal Auditors Research Foundation, 1991 y 1994). IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 15 15 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION LOS PRINCIPIOS DEL MARCO REFERENCIAL Existen dos clases distintas de modelos de control disponibles actualmente, aquéllos de la clase del “modelo de control de negocios” (por ejemplo COSO) y los “modelos de control más enfocados a TI” (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los dos. Debido a esto, COBIT se posiciona como una herramienta más completa para la Administración y para operar a un nivel superior que los estándares de tecnología para la administración de sistemas de información.. Por lo tanto, COBIT es el modelo para el gobierno de TI. El concepto fundamental del marco referencial COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con la Tecnología de Información que deben ser administrados por procesos de TI. Para satisfacer los objetivos del negocio, la información necesita concordar con ciertos criterios a los que COBIT hace referencia como requerimientos de negocio para la información. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos: principalmente por su aspecto ‘negativo’ (no fallas, confiable, etc.), lo cual también se encuentra contenido en gran medida en los criterios de Integridad. Los aspectos positivos pero menos tangibles de la calidad (estilo, atractivo, “ver y sentir14”, desempeño más allá de las expectativas, etc.) no fueron, por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La premisa se refiere a que la primera prioridad deberá estar dirigida al manejo apropiado de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la Calidad está cubierto por los criterios de efectividad. Se consideró que el aspecto de entrega (de servicio) de la Calidad se traslapa con el aspecto de disponibilidad correspondiente a los requerimientos de seguridad y también en alguna medida, con la efectividad y la eficiencia. Finalmente, se considera que el Costo queda cubierto por la Eficiencia. Para los requerimientos fiduciarios, COBIT no intentó reinventar la rueda – se utilizaron las definiciones de COSO para la efectividad y eficiencia de operaciones, confiabilidad de información y cumplimiento con leyes y regulaciones. Sin embargo, confiabilidad de información fue ampliada para incluir toda la información – no sólo información financiera. Con respecto a los requerimientos de seguridad, COBIT identificó la confidencialidad, integridad y disponibilidad como los elementos clave, fue descubierto que estos mismos tres elementos son utilizados a nivel mundial para describir los requerimientos de seguridad. Comenzando el análisis a partir de los requerimientos de Calidad, Fiduciarios y de Seguridad más amplios, se extrajeron siete categorías distintas, ciertamente superpuestas. A continuación se muestran las definiciones de trabajo de COBIT: Efectividad Requerimientos de Calidad Calidad Costo Entrega (de servicio) Eficiencia Requerimientos Fiduciarios (COSO) Efectividad & eficiencia de operaciones Confiabilidad de la información Cumplimiento con leyes y regulaciones Requerimientos de Seguridad Confidencialidad Integridad Disponibilidad La Calidad ha sido considerada Confidencialidad Integridad 14 16 28361 imp toolset.pub page 16 Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Se refiere a la provisión de información a través de la utilización óptima (más productiva y económica) de recursos. Se refiere a la protección de información sensitiva contra divulgación no autorizada. Se refiere a la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio. Ver y Sentir (look and feel) IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Disponibildad Cumplimiento Confiabilidad de la Información Se refiere a la disponibilidad de la información cuando ésta es requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente. Aplicaciones Tecnología Instalaciones Gente Otra forma de ver la relación de los recursos de TI con respecto a la entrega de servicios se describe a continuación: Se refiere a la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento. Los recursos de TI identificados en COBIT pueden explicarse/definirse como se muestra a continuación: Datos puede definirse como la inversión en cualquiera de los recursos mencionados anteriormente. El Marco referencial no menciona, en forma específica para todos los casos, la documentación de todos los aspectos “materiales” importantes relacionados con un proceso de TI particular. Como parte de las buenas prácticas, la documentación es considerada esencial para un buen control y, por lo tanto, la falta de documentación podría ser la causa de revisiones y análisis futuros de controles compensatorios en cualquier área específica en revisión. Son objetos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonidos, etc. Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados. Con el fin de asegurar que los requerimientos de negocio para la información son satisfechos, deben definirse, implementarse y monitorearse medidas de control adecuadas para estos recursos. ¿Cómo pueden entonces las empresas estar satisfechas respecto a que la información obtenida presente las características que necesitan? Es aquí donde se requiere de un sano marco referencial de Objetivos de Control para TI. El diagrama mostrado a continuación ilustra este concepto. La tecnología cubre hardware, software, sistemas operativos, sistemas de administración de bases de datos, redes, multimedia, etc. Recursos para alojar y dar soporte a los sistemas de información. Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información. El dinero o capital no fue considerado como un recurso para la clasificación de objetivos de control para TI debido a que IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 17 17 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Por lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos estratégicos: (1) Criterios de Información, (2) recursos de TI y (3) procesos de TI. Estos tres puntos estratégicos son descritos en el Cubo COBIT que se muestra a continuación: El Marco Referencial de COBIT consta de Objetivos de Control de alto nivel y de una estructura general para su clasificación y presentación. La teoría subyacente para la clasificación seleccionada se refiere a que existen, en esencia, tres niveles de actividades de TI cuando consideramos la administración de sus recursos de TI. Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras que las tareas son consideradas más discretas. El concepto de ciclo de vida cuenta típicamente con requerimientos de control diferentes a los de actividades discretas. Los procesos se definen entonces en un nivel superior como una serie de actividades o tareas conjuntas con “cortes” naturales (de control). Al nivel más alto, los procesos son agrupados de manera natural en dominios. Su agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad en una estructura organizacional, y está en línea con el ciclo administrativo o ciclo de vida aplicable a los procesos de TI. 18 28361 imp toolset.pub page 18 Con lo anterior como marco de referencia, los dominios son identificados utilizando las palabras que la gerencia utilizaría en las actividades cotidianas de la organización –y no la “jerga15” del auditor -. Por lo tanto, cuatro grandes dominios son identificados: planeación y organización, adquisición e implementación; entrega y soporte y monitoreo. IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Las definiciones para los dominios mencionados son las siguientes: Planeación y organización Adquisición e implementación Entrega Entrega yy soporte soporte Monitoreo Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas. Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas den-tro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. Para asegurar que el ciclo de vida de los sistemas continua. En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación. Todos los procesos de TI necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Este dominio también advierte a la Administración sobre la necesidad de asegurar procesos de control independientes, los cuales son provistos por auditorías internas y externas u obtenidas de fuentes alternativas. Debe tomarse en cuenta que estos procesos pueden ser aplicados a diferentes niveles dentro de una organización. Por ejemplo, algunos de estos procesos serán aplicados al nivel corporativo, otros al nivel de la función de TI, otros al nivel del propietario de los procesos de negocio, etc. También debe ser tomado en cuenta que el criterio de efectividad de los procesos que planean o entregan soluciones a los requerimientos de negocio, cubrirán algunas veces los criterios de disponibilidad, integridad y confidencialidad. – en la práctica, se han convertido en requerimientos del negocio. Por ejemplo, el proceso de “identificar soluciones automatizadas” deberá ser efectivo en el cumplimiento de requerimientos de disponibilidad, integridad y confidencialidad. Resulta claro que las medidas de control no satisfarán necesariamente los diferentes requerimientos de información del negocio en la misma medida. Primario es el grado al cual el objetivo de control definido impacta directamente el requerimiento de información de interés. Secundario es el grado al cual el objetivo de control definido satisface únicamente de forma indirecta o en menor medida el requerimiento de información de interés. Blanco (vacío) podría aplicarse; sin embargo, los requerimientos son satisfechos más apropiadamente por otro criterio en este proceso y/o por otro proceso. Similarmente, todas las medidas de control no necesariamente tendrán impacto en los diferentes recursos de TI en el mismo grado. Por lo tanto, el Marco Referencial de COBIT indica específicamente la aplicabilidad de los recursos de TI que son administrados en forma específica por el proceso bajo consideración (no por aquellos que simplemente toman parte en el proceso). Esta clasificación es hecha dentro del Marco Referencial de COBIT basado en el mismo proceso riguroso de información proporcionada por los investigadores, expertos y revisores, utilizando las definiciones estrictas indicadas previamente. IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 19 19 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION En resumen, con el fin de proveer la información que la organización necesita para lograr sus objetivos, el Gobierno de TI debe ser entrenado por la organización para asegurar que los recursos de TI serán administrados por una colección de procesos de TI agrupados naturalmente. El siguiente diagrama ilustra este concepto PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS 20 28361 imp toolset.pub page 20 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION HISTORIA Y ANTECEDENTES DE COBIT La tercera edición de COBIT es la mas reciente versión de los Objetivos de Control para la información y sus tecnologías relacionadas, que fue liberado primero por la Information Systems Audit and Control Foundation (ISACF) en 1996. La 2da edición que refleja un incremento en el número de documentos fuente, una revisión en el alto nivel y objetivos de control detallados y la adición del Conjunto de herramientas de Implementación fue publicado en 1998. La 3a edición marca el ingreso de un nuevo editor para COBIT: El Instituto de Gobierno de TI (IT Governance Institute). El IT Governance Institute fue formado por la Information Systems Audit and Control Association (ISACA) y su Fundación asociada en 1998 para avanzar en el entendimiento y la adopción de principios de gobierno de TI. Con la adición de las Directrices Gerenciales en la 3a edición de COBIT y su expansión y mayor cubrimiento sobre el Gobierno de TI, IT Governance Institute adquirió un rol de liderazgo en el desarrollo de la publicación. Criterios de Calificación para sistemas y procesos de TI: ITSEC, TCSEC, ISO9000, SPICE, TickIT, Common Criteria, etc.; Estándares Profesionales para control interno y auditoría: reporte COSO, IFAC, IIA, ISACA, GAO, PCIE, CICA, AICPA, etc.; Prácticas y requerimientos de la Industria de foros industriales (ESF, I4) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI), etc, y Nuevos requerimientos específicos de la industria de la banca, Comercio Electrónico y manufactura de TI. (Ver Apéndice II, Descripción del Proyecto COBIT; Apéndice III Material de Referencia Primaria de COBITy Apéndice IV, Glosario de Términos ) COBIT se basó originalmente en los Objetivos de Control de la ISACF y ha sido mejorado con las actuales y emergentes estándares internacionales a nivel técnico, profesional, regulatorio y específicos de la industria. Los Objetivos de Control resultantes han sido desarrollados para su aplicación en sistemas de información de toda la empresa. El término “generalmente aplicables y aceptados” es utilizado explícitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas en inglés). Este estándar es relativamente pequeño en tamaño, con el fin de ser práctico y responder, en la medida de lo posible, a las necesidades del negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas técnicas de TI adoptadas en una organización. Sin excluir ningún otro estándar aceptado en el campo del control de sistemas de información que pudiera emitirse durante la investigación, las fuentes han sido identificadas inicialmente como: Estándares Técnicos de ISO, EDIFACT, etc. Códigos de Conducta emitidos por el Council of Europe, OECD, ISACA, etc.; IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 21 21 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION EVOLUCIÓN DEL PRODUCTO COBIT COBIT evolucionará a través de los años y será el fundamento de investigaciones futuras. Por lo tanto, se generará una familia de productos COBIT y al ocurrir esto, las tareas y actividades que sirven como la estructura para organizar los Objetivos de Control de TI, serán refinadas posteriormente, también será revisado el balance entre los dominios y los procesos a la luz de los cambios en la industria. 22 28361 imp toolset.pub page 22 Las investigaciones y publicaciones han sido posibles gracias a contribuciones de PricewaterhouseCoopers, y las donaciones de los miembros y de los capítulos de ISACA de todo el mundo. El European Security Forum –ESF amablemente puso a disposición material para el proyecto. Adicionalmente La Gartner Group participó en el desarrollo y proporcionó una revisión de aseguramiento de calidad a las Directrices Gerenciales. IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION OBJETIVOS DE CONTROL TABLA RESUMEN La siguiente tabla proporciona una indicación, por proceso y dominio de TI, de cuáles criterios de información tienen impacto de los objetivos de control de alto nivel, así como una indicación de cuáles recursos de TI son aplicables. IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 23 23 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION CÓMO PRESENTAR COBIT EN SU ORGANIZACIÓN INTRODUCCIÓN El COBIT provee las prácticas generalmente aceptadas para manejar y administrar los recursos de la Tecnología de Información (TI). El COBIT fue diseñado para tres audiencias—administración, usuarios y auditores ( o personas que realizan evaluaciones o valoraciones): • Para la administración – El COBIT ayuda a “balancear las inversiones de control y riesgos en un ambiente de TI frecuentemente impredecible”. • Para los usuarios—el COBIT ayuda a “obtener aseguramiento en las seguridades y controles de los servicios de TI proporcionados por las partes internas y terceras partes”. • Para los auditores—el COBIT ayuda a “dar soportar sus opiniones ante la administración respecto a los controles internos de TI y a ser asesores de negocios proactivos”. Aún más, todas las audiencias pueden usar el COBIT para guiar las auto- evaluaciones. Cualquier área funcional de una organización puede ver los beneficios de usar el COBIT. Los gerentes pueden usar el COBIT para orientar sus decisiones de inversión en TI y para tener la seguridad de que están obteniendo los resultados óptimos de su información y de sus recursos de TI. Con COBIT, los usuarios tienen la seguridad de que sus procesos de negocios están bien soportados por sus servicios de TI. El COBIT es extremadamente valioso para los auditores al darles los criterios para la revisión e investigación, y proporcionándoles, a través del marco de referencia, un enfoque para mejorar la eficiencia y efectividad de la auditoría. Adicionalmente, con la introducción de las Directrices Gerenciales, ahora todos los usuarios obtienen modelos de madurez, factores críticos de éxito, indicadores claves de resultados/logros e indicadores claves de desempeño para cada uno de los procesos de TI identificados por COBIT. En el análisis final, sin embargo, el COBIT no tiene que empezar como un proceso de arriba-abajo-- puede empezarse como una iniciativa de abajo-arriba. No importa cómo llegue uno al COBIT, se obtienen los máximos beneficios cuando se adopta el COBIT por consenso de estos tres grupos. En una organización típica existirá una persona o grupo, el campeón COBIT, dedicado a la adopción formal del COBIT en la organización. Para obtener un consenso de la adopción, el campeón COBIT debe determinar quién debe ser influenciado y de qué manera para el mejor efecto de la influencia. Para determinar ese mejor acercamiento, el 24 28361 imp toolset.pub page 24 campeón tiene que identificar a las personas que elaboran las políticas de la organización y comprender las relaciones organizacionales clave y los objetivos. El reto es ligar la adopción del COBIT a la dirección de la organización y presentar el hecho de que el COBIT tiene sentido desde la perspectiva estratégica. Esta Guía de implementación está diseñada para ayudar al campeón COBIT a lograr que se adopte COBIT en toda la organización. PARA ADOPTAR COBIT, ¿QUIÉN TIENE QUE SER INFLUENCIADO? El COBIT es primero, un marco de referencia para la administración de la información de una organización y la tecnología relacionada. Por lo tanto, la administración, especialmente los creadores de la política de TI, juegan un papel importante para influenciar la adopción del COBIT en la organización. Los ejemplos de estos creadores de políticas incluyen al director ejecutivo (CEO), el ejecutivo senior de TI (CIO o Vice Presidente de IT), y el comité directivo de TI. Este grupo debe estar muy interesado en la función que puede jugar el COBIT para asegurar que los recursos de TI sean dirigidos al logro de los objetivos de la organización. Los usuarios de TI de alguna forma podrían tener una visión más cerrada que los creadores de la política de TI. Comúnmente están más enfocados en la forma como TI les ayuda en sus tareas rutinarias del día a día. Sin embargo, los usuarios también quieren saber que los recursos de TI se usan inteligentemente y pueden ayudarlos a lograr sus objetivos. Las personas clave a ser influenciadas dentro de este grupo incluyen al director operativo (COO), los dueños de los procesos de negocios, y los gerentes de área. Diversas funciones dentro de una organización podrían ser responsables de la evaluación de TI. Primero, los auditores proporcionan aseguramiento independiente de que TI es seguro, está cubriendo las necesidades de la organización, y está operando de alguna otra forma de manera controlada. Segundo, los usuarios pueden realizar revisiones periódicamente para ver si están obteniendo y usando apropiadamente los recursos de TI que ellos requieren. Por último, la función de TI puede realizar autoevaluaciones para determinar que están proveyendo un recurso de TI efectivo y eficiente para la organización. Las funciones clave a ser influencias en este grupo incluyen auditoría, el comité de auditoría, dueños de procesos de negocios, y profesionales de TI y administración. IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Las relaciones organizacionales, tanto formales como personales, así como y el acercamiento global a la implementación , pueden verse afectadas por aquellos con quienes el campeón debe formar alianzas . Los siguientes factores deben considerarse: 1. 2. 3. 4. ¿Cuál es el tamaño y la estructura organizacional de TI? Grande , centralizada, las organizaciones altas requerirán los procesos de adopción formal precedido por la aceptación del nivel superior. Las organizaciones planas podrían ser capaces de seguir un acercamiento de consenso donde todas las partes afectadas acuerden las metas a ser logradas y que trabajen en conjunto para la implementación del COBIT. ¿Cuál es el tamaño y la estructura de la organización de auditoría? Las implementación de COBIT dentro de organizaciones grandes de auditoría, con grandes y separados grupos de auditoría de SI, podría empezar dentro de la función de auditoría SI, y después extenderse a sus contrapartes de TI o hasta la gerencia de auditoría. Este acercamiento puede llevar al desarrollo del consenso. ¿Cuál es la relación entre TI y auditoría de SI, y entre auditoría y administración? ¿Cuál es la filosofía de la organización de auditoría? Las entidades de auditoría que son consejeros de negocio proactivos, pueden llegar fácilmente a consensos sobre la adopción del COBIT. De hecho, el marco de referencia del COBIT, con énfasis en los procesos de negocios, administración de los recursos de TI y el logro de los objetivos del negocio, proporcionarán direcciones adicionales a esta filosofía de auditoría preexistente, proactiva y orientada a la administración. Las entidades de auditorías enfocadas al cumplimiento y aquellas con menos que relaciones cálidas con sus clientes de auditoría tendrán que depender de un mandato para la adopción del marco de referencia del COBIT. Estos mandatos pueden provenir del director general y/o del comité de auditoría. ¿Cuánto de TI está contratado externamente? ¿Qué tan bien administradas están las relaciones con la tercera parte? Si las relaciones con las terceras partes están bien administradas, o una parte de TI es contratación externa, la adopción del COBIT será más sencilla porque las decisiones se podrán tomar dentro de la entidad. De otra forma, el respaldo de las renovaciones del contrato de las terceras partes y las auditorías externas (ej., SysTrust y revisiones SAS 70 en EUA) pueden ser necesarias para producir cambios. 5. ¿Hasta qué grado la organización ha aplicado reingeniería a sus procesos de negocios? ¿Qué está sucediendo en la organización respecto a la reingeniería de los procesos del negocio? El COBIT puede proporcionar información valiosa para quienes buscan cambiar los procesos de negocios y para las mejoras a los procesos de negocios. El énfasis del COBIT en incrementar la información y la información relacionada al uso de la tecnología dentro de las organizaciones puede proporcionar una buena guía práctica para hacer mejoras al proceso. ¿POR QUÉ UNA ORGANIZACIÓN ADOPTA EL COBIT? ¿Qué puntos de venta se pueden usar para desarrollar un consenso entre aquellos que toman decisiones clave? 1. Los problemas de alto perfil experimentados por las organizaciones han enfocado la atención en los aspectos del gobierno corporativo. Como resultado, la administración está experimentando mayor presión para mantener un sistema efectivo de control interno. Existen requerimientos legales, responsabilidades fiduciarias, requerimientos contractuales, y presiones sociales. El COBIT se puede usar para dar una seguridad razonable a que los objetivos del negocio, apoyados por TI, se lograrán, y que los riesgos de TI han sido identificados y las exposiciones residuales sean manejadas. 2. La administración es responsable por la mayoría de los recursos de la organización ¿Cómo sabe la administración que las inversiones de TI son las óptimas? Las revisiones basadas en el COBIT de la efectividad de TI pueden ayudar a responder esa pregunta. Por ejemplo, el COBIT recomienda que los procesos de TI estén en su lugar para manejar la compleja tecnología y para planear ante una rápida obsolescencia de dicha tecnología. 3. Además de lo anterior, los siguientes cuatro factores pueden motivar a la administración a aceptar el COBIT: a) Controlando los recursos de TI, el costo global de los servicios proporcionados por TI podría reducirse. Las Directrices Gerenciales de COBIT proporciona las herramientas que permitirán a la administración llevar a cabo autoevaluaciones y tomar decisiones para la implementación y el mejoramiento de los controles sobre su información y las tecnologías relacionadas. Esas Directrices apoyarán la alineación de la organización de TI con las metas de la empresa y proporcionarán mediciones del desempeño para asegurar que los objetivos serán logrados. IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 25 25 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION b) El COBIT reduce los temores de la administración, la incertidumbre, y las dudas respecto a que los recursos de TI sean vulnerables a la exposición y que los objetivos del negocio no se puedan lograr c) La adopción del COBIT ayudará a asegurar que la organización está cumpliendo con las reglas aplicables, las regulaciones, y las obligaciones contractuales. d) Una organización “ COBITizada” puede ser capaz de diferenciarse a sí mismas de sus competidores, como lo harían con la certificación ISO 9000, demostrando que sus operaciones de TI están bien manejadas y controladas. 4. 5. 6. 7. Una organización que ha adoptado o está por adoptar COSO (Internal Control & Integrated Framework) tiene la oportunidad de adoptar simultáneamente el COBIT. Las diversas organizaciones reporta que la implementación conjunta del COSO/ COBIT fue muy sencilla porque ambos marcos de referencia son muy complementarios-- el COSO adaptando todos los elementos relacionados a los controles internos y el COBIT atendiendo a aquellos específicos a TI. (Argumentos similares aplican para implementar CoCo en Canadá, Cadbury en el Reino Unido, y King en Sudáfrica.) De la misma manera la alineación de COBIT y SysTrust ofrecen la oportunidad a la organización de llevar a cabo autoevaluaciones de sus operaciones de TI contra los procesos de COBIT antes de someterse a un exámen SysTrust. La naturaleza autoritaria en el marco de referencia del COBIT ha convencido a muchas organizaciones de su adopción. Los 318 objetivos de control fueron desarrollados a partir de 41 estándares de seguridad, auditoría y control y de los recursos proporcionados por las mejores prácticas en todo el mundo. En algunas organizaciones, ha habido problemas para los cuales el COBIT surge como la solución. Por ejemplo, una organización ha determinado que sus soluciones de TI no estaban cumpliendo las necesidades de negocios. Mientras que tenían un proceso de administración de proyectos adecuado, no tenían un proceso adecuado del ciclo de vida de desarrollo de los sistemas. Utilizaron el COBIT como guía para la implementación de dicho proceso. 26 28361 imp toolset.pub page 26 8. La gente en muchas organizaciones que han adoptado el COBIT reportan que han experimentado mejoras en la comunicación entre la administración, los usuarios y los auditores. Los planes de auditorías y los reportes de auditoría preparados usando el COBIT, hablando en términos administrativos (ej., orientación de procesos, Administración de Calidad Total) y para problemas administrativos (ej., responsabilidad, logro de los objetivos de negocio). 9. Conforme se reducen las organizaciones, los recursos para la administración y control se vuelven más limitadas. El COBIT provee un marco de referencia para la evaluación de riesgos con el fin de identificar y administrar las exposiciones relacionadas con TI. 10. Varias organizaciones de auditoría interna y firmas de contadores públicos han reportado que usando el COBIT han mejorado sus auditorías integrales. Los auditores de SI y los que no pertenecen a esta área han usado el COBIT para coordinar sus objetivos de auditoría y para comunicar sus descubrimientos de auditorías. 11. La Directrices Gerenciales de COBIT proporcionan nuevas herramientas para ayudarle a la empresa y a la administración de TI a determinar el nivel apropiado de control sobre TI de tal manera que ésta soporte los objetivos de la empresa. A través de la definición de modelos de madurez, factores críticos de éxito, indicadores clave de objetivo/logros e indicadores clave de desempeño, esas directrices soportan autoevaluaciones del estado organizacional estratégico, y de la identificación de acciones para mejorar los procesos de TI y monitorear el desempeño de esos procesos de TI En breve, la administración busca el aseguramiento razonable de la contribución de TI a los objetivos del negocio, y busca Benchmarks para determinar si las operaciones de TI son satisfactorias y que se continuarán adaptando de manera oportuna a las tendencias en su ambiente. El COBIT puede usarse para proporcionar dicho aseguramiento. CUÁLES SON LAS LIMITACIONES Y ALCANCE DEL COBIT Para su implementación exitosa, todos deben tener claro lo que es el COBIT, para qué aplica, qué puede hacer, qué no hace y qué no puede hacer. Varios puntos aplican: 1. El COBIT es una manera de pensar—una nueva forma de pensar en algo. La adopción exitosa requiere de la orientación, educación y capacitación. Diversos auditores reportan haber dedicado 40 horas o más en este proceso. IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION 2. 3. 4. El COBIT es un marco de referencia que debe adaptarse a la organización. Por ejemplo, los procesos de TI del COBIT deben compararse a los procesos existentes en la organización, los riesgos de la organización deben revisarse, y las responsabilidades de los procesos de TI deben establecerse. Como una referencia de gobierno, auditoría y control el COBIT debe utilizarse con otros recursos incluyendo: guías de auditoría de la industria como aquellas publicadas por el American Institute of Certified Publique Accountants (AICPA), o el Federal Financial Institutions Examination council (FFIEC), guías generales de control y auditoría como el Manual de Auditoría Computerized Information Systems (CIS) de la Information Systems Audit and Control Foundation, el Systems Reliability Assurance Services the AICPA/CICA SysTrust, el Systems Auditability and Control (SAC) del Institute of Internal Auditors, las guías específicas de la plataforma (ej., aquellas para hardware como IBM y Sun, y aquellas para software como Novell, VMS, y Top Secret). El COBIT no es una colección de controles y programas de auditoría de TI. Todavía más importante, el COBIT contiene objetivos de control de TI que deben ser considerados generalmente por la mayoría de las organizaciones y las directrices de auditoría que se pueden usar para evaluar el desempeño contra aquellos objetivos de control de TI. Es la identificación y la comprensión de los objetivos de control de TI de alto nivel que sirven como el marco de referencia para el control interno y la selección, implementación y ejercicio de los controles internos adecuados para cumplir con esos objetivos de control de TI. El COBIT también permite indirectamente a los usuarios considerar riesgos con prioridades que amenazan el logro de los objetivos de control de TI. Ya que el COBIT construye sobre los objetivos de control relacionados con la mayoría de las organizaciones, su uso ayuda a asegurar la eficiencia de la evaluación ¿Por qué? Porque la experiencia indica que haciendo un sencillo acercamiento a un proceso usando una metodología de “listas de verificación” de controles, resulta generalmente en una organización añadiendo controles innecesarios o aquellos que no reducen ningún riesgo en particular. Por lo tanto tiene sentido utilizar una herramienta de evaluación que está construida sobre objetivos de control primero, en los riesgos significativos y relevantes de TI segundo, y controles de TI efectivos y relevantes tercero. 5. 6. Las directrices gerenciales de COBIT son genéricas, generalmente aplicables como una guía y no proveen mediciones específicas de la industria. En muchos casos se requiere que las organizaciones personalicen estas directrices a su entorno específico. Como se describió en la sección anterior, “Cómo Implementar el COBIT en su organización” para lograr la implementación exitosa, el campeón COBIT debe identificar a los jugadores clave, sensibilizarlos respecto al COBIT, dar la educación COBIT, y capacitar a aquellos que usarán el COBIT. COBIT: UN PRODUCTO PARA MUCHAS AUDIENCIAS La figura 1 sugieren el por qué y cómo se puede usar efectivamente el COBIT en una variedad de audiencias. HERRAMIENTAS DE DIAGNÓSTICO PARA LA SENSIBILIZACIÓN DE LA ADMINISTRACIÓN COBIT Esta guía de implementación ayuda en la “venta” usando e implementando el COBIT en cualquier organización. Sin embargo, una de las tareas más difíciles será atraer la atención de la alta administración. La guía es por lo tanto complementada con dos herramientas útiles y fundamentales para atraer la atención de la administración y elevar el interés de la administración: • Autoevaluación del gobierno de TI • Diagnóstico de Sensibilización de TI por parte de la administración Estas herramientas ayudan en el análisis, comprensión y comunicación del ambiente de control de TI de la organización y los problemas de control. AUTOEVALUACIÓN DEL GOBIERNO DE TI La concisa lista de verificación de la Autoevaluación de Gobierno de TI proporcionada en la sección Diagnóstico de concientización de la administración, pide a la administración determinar, para cada uno de los procesos COBIT: • qué tan importante es el proceso para sus objetivos de negocio; • si el proceso está bien realizado (la combinación de importancia y desempeño provee un fuerte indicador de riesgo); • quién realiza el proceso y quién responde por el proceso (y es inequívoco y aceptada su responsabilidad); • si el proceso y sus controles están formalizados, ej., existe un contrato completo para una actividad externa o un grupo claro de procedimientos documentados para los procesos internos; y IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 27 27 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION • si el proceso es auditado. El interés de la administración se fortalece por la combinación de indicadores de riesgos, grado de formalidad, claridad en la responsabilidad y compromiso. Además, los indicadores de riesgo alto combinados con las respuestas de ‘no sé’ transmiten un fuerte mensaje. (Ver la sección Diagnóstico de Concientización de la Administración – Autoevaluación del Gobierno de TI) CUADRO 1 CUANDO USTED ES... Gerente ejecutivo COBIT PUEDE ATENDER LOS SIGUIENTES ALGUNOS ACERCAMIENTOS ESPECÍFICOS QUE PUEDEN OBJETIVOS PARA USTED... PROBAR LA UTILIDAD PARA USTED Aceptar y promover el COBIT como el Use el COBIT para complementar los marcos de modelo general de autoridad de TI para todas referencia de los controles internos existentes las entidades dentro de la empresa. (ej., COSO) para los asuntos específicos de TI. Use el modelo del proceso COBIT para establecer un lenguaje común entre el negocio y la TI así como para asignar responsabilidades claras. Gerente de negocio Use el COBIT para establecer un modelo de control común en toda la compañía así como para manejar y monitorear la contribución de TI para el negocio. Use los objetivos de control del COBIT como un código de buenas prácticas para trabajar con todos los aspectos de TI dentro de las funciones del negocio. Use los objetivos de control del COBIT para determinar los diferentes aspectos que deben cubrirse en el Acuerdo de Nivel de Servicio (SLA-Service Level Agreement) acordado con la función de TI (ya sea interna o externa) Gerente de TI Use el modelo de procesos COBIT y los objetivos de control detallados para estructurar la función de servicios de TI dentro de procesos manejables y controlables enfocándose en la contribución al negocio. Lo último es el dominio de la calidad, seguridad y efectividad. Use el modelo de control de COBIT para establecer Acuerdos de Nivel de Servicio con el fin de comunicarse con las funciones del negocio. Use el modelo de control COBIT como la base de las medidas de desempeño relacionadas con el proceso. Use el modelo de control de COBIT como la base para las políticas y normas relacionadas a la TI. Use el COBIT como el modelo en la línea base para establecer el nivel adecuado de objetivos de control generalmente aceptados así como para las certificaciones externas (ej., SAS 70). 28 28361 imp toolset.pub page 28 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION CUADRO 1 (Cont.) CUANDO USTED ES... Gerente de proyecto COBIT PUEDE ATENDER LOS SIGUIENTES OBJETIVOS PARA USTED... Como el marco de referencia general para los estándares mínimos del proyecto y de aseguramiento de calidad. ALGUNOS ACERCAMIENTOS ESPECÍFICOS QUE PUEDEN PROBAR LA UTILIDAD PARA USTED Use el COBIT para ayudar a asegurar que los planes del proyecto incorporen fases generalmente aceptadas en la planeación de TI, adquisición y desarrollo, prestación de servicio, y administración y evaluación de proyectos. Desarrollador Como la guía mínima para los controles a ser aplicados dentro de los procesos de desarrollo así como para el control interno a ser integrado en los sistemas de información que se están creando. Use el COBIT para asegurar que todos los objetivos de control de TI en el proyecto de desarrollo se hayan considerado. Operaciones Como un marco de referencia general de los Use el COBIT para asegurar que las políticas y controles mínimos a ser integrados en la prestación procedimientos operativos sean lo suficientemente de servicios y procesos de soporte, colocando un comprensibles. enfoque claro en los objetivos del cliente. Usuario Como una guía mínima de control interno a ser integrado dentro de los sistemas de información, en operación normal o en desarrollo. Oficial de seguridad de información Un marco de referencia armonioso que propone Use el COBIT para estructurar el programa de una forma de integrar la seguridad de la seguridad de la información, las políticas y los información con otros objetivos de TI relacionados procedimientos. con el negocio. Auditor Como una influencia para determinar el universo de auditorías de TI y como referencia de control de TI. Use el COBIT para guiar los acuerdos en el nivel de servicio. Use el COBIT como los criterios de revisión y evaluación y para enmarcar las auditorías relacionadas con la TI. IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 29 29 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION DIAGNÓSTICO DE SENSIBILIZACIÓN DE TI REALIZADAPOR LA ADMINISTRACIÓN La segunda herramienta, el Diagnóstico de Sensibilización realizada por la Administración, es otra herramienta fuerte para la administración porque identifica una serie de intereses administrativos recientes y específicos respecto de TI (ej., interconectividad, Cliente/Servidor, groupware, etc.) cuyos procesos deben estar bajo control para enfocar los intereses surgidos. En cualquier organización particular, una serie de factores influenciarán el significado de los controles individuales dentro de los Objetivos de Control del COBIT. Estos factores incluyen los riesgos que son particularmente relevantes para un tipo de negocio y para el ambiente de TI, como también la función de controles actuales, y además las áreas donde existe el deseo de mejorar la eficiencias o reducir los costos globales. Bosquejando las condiciones conocidas de riesgos o los problemas de prioridad dentro de la propia organización en el conjunto de objetivos de control de COBIT, es posible señalar aquellos que son particularmente relevantes. PALABRAS CLAVE PALABRAS CLAVE PREOCUPACIONES DE LA ADMINISTRACIÓN SOBRE TI Administración PREOCUPACIONES DE TI DE LA ADMINISTRACIÓN Arquitectura Cliente/Servidor ALINEADO Iniciativas de TI en línea con la estrategia del negocio COORDINADO Falla en la coordinación de requerimientos AUTORIDAD/GOBIERNO Políticas de TI y autoridad corporativa CONTROL DE ACCESO Problemas de Control de Acceso COMPETITIVO Uso de TI como ventaja competitiva COMPATIBLE No compatible con la infraestructura técnica CONSOLIDADO Consolidación de la infraestructura de TI MANEJO DEL USUARIO FINAL Problemas de administración del usuario final COSTO DE PROPIEDAD Reducción de costos por la propiedad de TI CONTROL DE VERSIÓN Control de las versiones de software HABILIDADES REQUERIDAS Adquisición y desarrollo de habilidades COSTOS DE PROPIEDAD Altos costos de propiedad Internet/Intranet ACCESO A LA RED Workgroups y Groupware Acceso no autorizado a la red corporativa MENSAJES CONFIDENCIALES Acceso no autorizado a mensajes confidenciales CONTROL DE CALIDAD Control de calidad CONTROL DE ACCESO Control de acceso INTEGRIDAD DE TRANSACCIÓN Pérdida de integridad – transacciones corporativas PROCEDIMIENTOS Procedimientos informales DATOS CONFIDENCIALES Filtración de datos confidenciales INTEGRIDAD DE DATOS Integridad de datos DISPONIBILIDAD Interrupción de la disponibilidad del servicio CONTROL DE CONFIGURCIÓN Control de la configuración VIRUS Infección de virus Soluciones en Paquete de las Empresas NECESIDADES DE USUARIOS Administración de la Red Errores en el cumplimiento con requerimientos de los usuarios DISPONIBILIDAD Disponibilidad INTEGRADO Errores para integrar SEGURIDAD Seguridad COMPATIBLE No compatible con la infraestructura técnica CONTROL DE CONFIGURACIÓN Control de configuración SOPORTE Problemas con el soporte del distribuidor MANEJO DE INCIDENTES Administración de incidentes COSTO/COMPLEJIDAD Implementación costosa/compleja COSTOS Costos SOPORTE/MANTENIMIENTO Soporte y mantenimiento La matriz de Diagnóstico de la Sensibilización de TI de la Administración, es un ejemplo de cómo se puede hacer esto usando los hallazgos de 1997 del Grupo Gartner en relación a los intereses de la administración respecto a TI. Los problemas, desarrollados por ISACA dentro de un grupo de riesgos, han sido mapeados en los 34 objetivos de 30 28361 imp toolset.pub page 30 control de alto nivel del COBIT, y muestran dónde son relevantes Los controles. Usando esta técnica, el COBIT puede enfocarse en reconciliar a la organización y las prioridades de control propias con los argumentos de riesgos de negocios. IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Adicionalmente, las Directrices de Administración de COBIT proporcionan un paquete completo de herramientas que permiten a la administración llevar a cabo un autoanálisis del estado actual de su organización. Estos incluyen procesos genéricos de administración y Directrices de Gobierno de TI que aplican a toda la organización de TI así como a modelos de madurez específicos de los procesos de TI, factores críticos de éxito, indicadores claves de resultado e indicadores clave de desempeño para procesos específicos de TI, que pueden ser usados para definir la estrategia de mejoramiento de la organización. (Vea la sección – Diagnóstico de la Conciencia de la Administración/Preocupaciones de la Administración sobre TI) IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 31 31 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION CÓMO IMPLEMENTAR COBIT EN SU ORGANIZACIÓN PRESENTACIÓN DE COBIT A LOS JUGADORES CLAVE Así es que usted es el campeón COBIT. Usted se ha convertido en el paladín de la adopción del COBIT, ha identificado a los jugadores clave, y comprende las relaciones organizacionales formales e informales dentro de su organización. Ahora, debe convertirse en el embajador COBIT, quien tiene oficialmente el cargo de llevar al COBIT a la organización. La adopción exitosa del COBIT requiere de la conducción de sesiones de orientación, educación y capacitación. Un proceso genérico para el embajador se describe a continuación. (Se podría tener que adaptarlo de acuerdo al alcance que se le ha dado a la implementación que haya seleccionado.) El equipo de la alta administración debe recibir una sesión de orientación de una hora. Usando la presentación corta de diapositivas ISACA—puede enfatizar los siguientes elementos: 1. El propósito de un sistema de control interno es para: (i) “mantener en curso a una organización hacia el logro de su misión y reducir las sorpresas a lo largo del camino”, y (ii)”trabajar con los ambientes cambiantes económicos y competitivos , intercambiando las demandas y prioridades de los clientes , y reestructurando para el futuro crecimiento” (COSO Resumen Ejecutivo, p.1). Las organizaciones que adoptan un marco de referencia de control para que todos los empleados lo adopten, han demostrado que pueden sobresalir en el desempeño ante sus competidores en las medidas de éxito, como rentabilidad, penetración del mercado, servicio al cliente, y liderazgo en la industria. 2. El control interno está ampliamente definido (por COSO) como “un proceso, afectado por los directores del consejo, la administración y demás personal de una entidad diseñado para proporcionar una seguridad razonable en cuanto al logro de los objetivos en las siguientes categorías: eficiencia y efectividad en las operaciones, confiabilidad de los reportes financieros, y cumplimiento con las leyes y legislaciones aplicables” (COSO Resumen Ejecutivo, p1). COSO define que el control interno está influenciado principalmente por la gente, y está “basado en objetivos”. Como tal, todos en la organización son responsables por la calidad de la evaluación del control de riesgo. COSO reconoce que el control es trabajo de todos. 3. El control es definido (por COBIT) como las políticas, procedimientos, prácticas y estructuras 32 28361 imp toolset.pub page 32 4. 5. 6. organizacionales diseñadas para proveer la seguridad razonable de que los objetivos del negocio se lograrán y que los eventos indeseables serán prevenidos y detectados. [Resume estos tres puntos (1 al 3) estableciendo que el control interno es un proceso mediante el cual la administración incrementa la posibilidad de lograr los objetivos organizacionales mientras minimiza los riesgos que sucedan cosas malas a lo largo del camino. COBIT y COSO son marcos de referencia complementarios atendiendo tanto problemas de TI como problemas que no son de TI, respectivamente. (Resúmenes similares podrían ser provistos por CoCo en Canadá y Cadbury en Reino Unido)] Revisa el impacto que la tecnología tiene en el control. Esto es, mientras los objetivos de control y operativos cambian poco (algunos objetivos de control específicos de la tecnología cambiarán), son los métodos de control los que tiene más impacto directo por parte de los cambios en la tecnología. Luego, enfatiza que el énfasis del COBIT en los objetivos de control proporcionarán un marco de referencia fundamental que proveerá los lineamientos para aquellos responsables de diseñar, implementar y ejercitar los controles conforme cambia la tecnología. El COBIT incluye objetivos de control relacionados a la tecnología y métodos derivados de 41 referencias internacionales, aceptadas generalmente, de seguridad, auditoría y control. [Resume estos dos puntos (4 y 5) estableciendo que al adoptar el COBIT como un estándar administrativo y de control de TI, la organización puede obtener la seguridad razonable de que sus recursos de TI están dirigidos a lograr los objetivos organizacionales]. Concluya la sesión de orientación revisando el contenido del COBIT. a. En el Marco de Referencia del COBIT se describe la forma como el COBIT documenta las relaciones entre los criterios de información, los recursos de TI y los procesos de TI. b. En los Objetivos de Control del COBIT se describen las relaciones entre los 34 objetivos de control de alto nivel y los 318 objetivos de control detallados. c. En las Directrices de Auditoría del COBIT se revisa la directriz general de la auditoría y la estructura del proceso de auditoría. Estas Directrices pueden dirigir la evaluación del proceso de TI. IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION d. En las Directrices Gerenciales se describe como los modelos de madurez, los factores críticos de éxito, los indicadores claves de resultados y los indicadores claves de desempeño pueden ser usados para ayudarle a la administración a analizar los procesos de TI contra los 34 procesos de TI que se encuentran en el COBIT y medio ambiente del gobierno de TI en la organización. Los demás jugadores clave deben recibir una sesión de educación de uno a dos días. Usando la presentación larga de diapositivas del ISACA, estos talleres de implementación deben ayudar a la gente a comprender y a empezar a usar todos los productos del COBIT. (NOTA: el Taller COBIT de las Series de Seminarios Profesionales del ISACA [PSS-Professional Seminar Series] incluye el estudio de casos que complementan la presentación de diapositivas). La siguiente secuencia se ha usado con frecuencia. Una o más personas reciben una introducción sobre el COBIT (entre una hora y 2 días) en los talleres locales o internacionales que realiza ISACA. Después, ellos conducen talleres, o involucran a otros a hacerlo, dentro de la organización. Estos talleres pueden ser para los auditores de SI, otros auditores, administración (general, de auditoría y de TI), usuarios y personal de TI. 4. 5. para realizar las evaluaciones de riesgo y para guiar el desarrollo de los planes de auditoría. Como se explica en la sección siguiente “Conducción de Auditorías Usando el COBIT”, use el Marco de Referencia y los Objetivos de Control del COBIT para planear compromisos de auditorías específicas. Como se explica en la sección siguiente “Conducción de Auditorías Usando el COBIT”, adapte su programas de auditoría para incluir actividades de las Directrices de Auditoría del COBIT. Las siguientes actividades, documentos e ideas han sido usados por las organizaciones que han implementando exitosamente el COBIT. Muchas de éstas serán adecuadas en cualquier organización. El Cuadro 2 es un plan de acción para la implementación desarrollado por un auditor de SI en un banco. Hace mención especial a los objetivos de implementación y las metas, además del proceso. Mientras que este plan fue desarrollado por un auditor de SI, dicho plan pudo haber sido desarrollado y el memorándum expedido por un equipo de implementación que incluye a la administración superior y otros jugadores clave. Por último, aquellos que usarán realmente el COBIT pueden requerir una capacitación más extensa para utilizar efectivamente el COBIT. En la siguiente sección (Em-pezar a usar el COBIT) describimos las formas en que se ha implementado el COBIT con éxito. Entre éstas, existen actividades que pueden usarse para dar capacitación en el trabajo de la forma como se puede usar el COBIT. Al no tener la voluntad o la posibilidad de arrancar una implementación completa del COBIT, algunas organizaciones han puesto a funcionar el COBIT empezando por usarlo en compromisos de auditorías cuidadosamente elegidos. Estas implementaciones piloto se usaron entonces para identificar los beneficios de una implementación COBIT. En todos los casos estas pruebas han llevado a la completa implementación del COBIT. Los ejemplos se incluyen en la última sección, “Usando las Directrices de Auditoría del COBIT”. EMPEZAR A USAR COBIT Una vez que usted ha elegido el uso de COBIT en su organización, considere hacer lo siguiente para formalizar su uso: 1. Especifique en su manual de políticas de auditoría que el COBIT es un ejemplo de política clara y buenas prácticas para el control y auditorías de TI que se usarán para guiar las auditorías conducidas dentro de la organización. 2. Incluya en el manual de procedimientos de auditorías la “Directriz Genérica de Auditoría” incluido en las Directrices de Auditoría del COBIT. 3. Como se explica en la siguiente sección, Evaluación del Riesgo y Planeación de la Auditoría usando el COBIT”, utilice el Marco de Referencia del COBIT Las Directrices Gerenciales de COBIT introducen nuevos concepto y herramientas que incrementarán la aceptación y efectividad del COBIT. Su uso abrirá nuevas perspectivas y nuevas opciones para introducir COBITen la organización. El volumen de las Directrices Gerenciales de COBIT incluye una guía de “Como usar” en su apéndice I. Esta guía inicial es solo un comienzo y evolucionará basado en la retroalimentación proporcionada por los profesionales en seguridad y control quienes implementaran esas recientemente desarrolladas Directrices. Este conjunto de herramientas de implementación se actualizarán en futuras ediciones IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 33 33 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION CUADRO 2—PLAN DE ACCIÓN PARA LA IMPLEMENTACIÓN DE COBIT OBJETIVO Obtener la aceptación de los conceptos COBIT así como su integración en nuestra organización de la tecnología incluyendo Auditorías, Operaciones y Tecnología, y servicios externos. METAS 1. Continuar proporcionando los servicios esenciales de consultoría para el control y auditoría, mejorados y adaptados para asegurar la cobertura de los procesos de negocio COBIT, relevantes para la industria bancaria. 2. Asegurar que las necesidades de información del banco estén satisfechas por nuestra organización de tecnología consistentes con los criterios de información identificados en el COBIT.. 3. Asegurar que las actividades importantes de planeación y organización identificadas en COBIT estén integradas a la organización de la tecnología en el banco. 4. Asegurar que las actividades significativas de adquisición e implementación identificadas en COBIT se empleen en el departamento de Servicios Computacionales y sean incorporadas en el acercamiento a la administración del proyecto usado en el banco. 5. Asegurar que las actividades importantes de entrega y soporte identificadas en COBIT se provean a los clientes internos del banco mediante nuestro departamento de Servicios de la Red y los distribuidores de servicio externos. 6. Asegurar que los procesos de monitoreo significativos, identificados en COBIT, se empleen en las organizaciones de auditoría y tecnología del banco. ALCANCE SECUENCIA • Conocimiento • Compromiso • • Adaptación • • Proveedores externos de servicio • Administración senior Educación PROCESO • Organización de auditoría • Organización de la tecnología • Implementación Comité de Auditoría Distribuir copias del Resumen Ejecutivo COBIT y una encuesta preliminar (vea en Cuadro 3) a los gerentes clave, provocando el análisis sobre la organización existente y las ideas sobre la misma. 2. Compilar los resultados de la encuesta y desarrollar una presentación relacionando los conceptos COBIT con los resultados. 3. Presentar al equipo de administración de Operaciones y Tecnología. 4. Presentar al personal de Operaciones y Tecnología. 5. Presentar a los Directivos y al personal clave del proveedor de servicios externo. 6. Ayudar a los gerentes clave en el desarrollo de los planes de acción para integrar los conceptos COBIT a los procesos de negocios del banco. 7. Presentar los reportes de progreso de los conceptos y actividades COBIT a la alta administración para informar y obtener el compromiso. 8. Reestructurar el inventario de auditorías para reflejar la orientación de un proceso COBIT. 9. Desarrollar y actualizar los programas de auditorías consistentes con las guías de auditorías COBIT. 10. Desarrollar las oportunidades de educación COBIT consistentes con las necesidades organizacionales. 11. Conducir la capacitación COBIT según sea necesario. 12. Monitorear el progreso en los planes de acción de TI. 13. Presentar los conceptos, progreso y resultados COBIT al Comité de Auditoría. FECHAS CLAVE 1. Mayo—completar la encuesta y los planes de acción 2. Julio—presentar el COBIT a la alta administración 3. Agosto—presentar COBIT al Comité de Auditoría 1. 34 28361 imp toolset.pub page 34 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION EVALUACIÓN DEL RIESGO Y PLANEACIÓN DE AUDITORÍA USANDO COBIT Las siguientes matrices basadas en el COBIT podrían ser usadas por el equipo de auditoría durante el trabajo previo a la auditoría para ayudar a identificar áreas potenciales para el trabajo de los servicios de asesoría administrativa o de auditoría. Algunas de las matrices pueden usarse efectivamente haciendo que un participante de la administración o dueño del proceso las llene. Bajo esa luz, el equipo de auditoría debe decidir llenar las formas en conjunto con los participantes, las matrices pueden servir para facilitar las discusiones en la entrevista previa a la auditoría. Algunas de estas discusiones podrían mostrarse muy útiles para la administración al inicio del compromiso identificando tempranamente áreas operativas que realizan funciones de TI que deberían estar sujetas a los estándares de operaciones o control de la organización, ya que podrían no estar cumpliéndolos. También puede ayudar a la administración a asegurar que existen puntos claros de responsabilidad en todos los procesos de TI, y para identificar a quién debe entrevistar el equipo de auditoría o de quién tienen que obtener información. Estas matrices pueden ayudar al auditor a desempeñar un alto nivel de evaluación de la documentación del control interno. El equipo de auditoría debe determinar si la documentación de control interno ha sido revisada y aprobada por la administración. La falta de controles documentados para cualquiera de los procesos de TI debe considerarse como una bandera roja por la carencia de control, y como una oportunidad para los servicios de asesoría administrativa. FORMATO DE TRABAJO PREVIO A LA AUDITORÍA Propósito: Identificar si el trabajo de auditoría relacionado al proceso de TI se incluyó dentro del alcance previo de la auditoría. Si fue así, entonces la forma requiere que el auditor identifique las conclusiones derivadas del trabajo previo de auditoría. El llenado de estas formas presume el uso del COBIT en compromisos anteriores. A ser diligenciado por: El equipo de auditoría durante el trabajo previo a la auditoría antes de llevar a cabo una visita al sitio de la auditoria en compañía del auditado. Discusión: Si el trabajo previo de auditoría resultó en equivalencia a una opinión limpia, entonces no habrá descubrimientos en la auditoría que necesiten solución. Ya que podrían haber también más de un descubrimiento por proceso de TI, la forma requiere que el auditor identifique el número de hallazgos y representar su disposición. Si hubo más de un descubrimiento por proceso, el auditor debe usar valores numéricos en las columnas dispuestas para ello. (Vea Sección Diagnóstico del Control de TI— Forma de Trabajo Previa a la Auditoría) FORMATO CORTO DE LA ENTIDAD Propósito: Identificar qué procesos de TI se consideran los más importantes y qué tan bien cree la administración que se están ejecutando. A ser diligenciado por: 1.a. Administración auditada (TI o no TI) o los dueños del proceso durante la fase previa a la auditoría. Si se entrega a una muestra representativa de administradores en los diversos departamentos o divisiones, la matriz podría usarse para identificar las diferencias en la comprensión de la importancia relativa y el nivel de desempeño de cada proceso de TI. b. Si ciertos procesos de TI han sido contratados externamente, la matriz se puede usar para obtener una lectura del nivel de satisfacción de la administración o del dueño del proceso de negocio sobre el servicio prestado por el proveedor como tercero. Y, de nuevo, cuando lo concluye una muestra representativa de administradores en las fronteras organizacionales, podría proveer algunas ideas de las diversas percepciones del servicio prestado. 2. El equipo de auditoría durante la pre auditoría para registrar su entendimiento de la importancia relativa y el desempeño de cada proceso de TI. Lo último podría ser la lectura lograda mediante la encuesta de la satisfacción del usuario o podría basarse en los resultados obtenidos de las evaluaciones al desempeño de la administración. (La columna “Calificado Formalmente” se marcaría con ‘S’ para un ‘sí’ y una ‘N’ para un ‘no’, con el fin de indicar si la administración tiene un proceso para calificar formalmente el desempeño.) Discusión: Se puede enviar a los administradores y dueños de procesos de negocio. Si se envía, las descripciones de los procesos de TI, tales como aquellos encontrados en el Marco de Referencia del COBIT, deben incluirse en la forma. (La “Forma Larga de Entidad” debe utilizarse cuando la auditoría obtenga la información de primera mano mediante la entrevista.) IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 35 35 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Esta matriz se puede usar para la evaluación del riesgo con el fin de responder a la preguntas “¿qué es importante para nosotros?” y “¿cómo lo estamos haciendo? Existen ejemplos donde esto se utilizó para una discusión entre la administración, los auditores y TI. De manera alternativa, esta matriz se puede utilizar para recolectar información de estos grupos de manera separada y para comparar los resultados con el fin de determinar dónde existen desacuerdos sobre la importancia y el desempeño. En cualquier caso, esta matriz puede ser el catalizador de muchas discusiones útiles. Por ejemplo, donde ningún grupo puede decidir el nivel de importancia, puede indicar algo de educación, y, cuando el desempeño de algún proceso no se puede evaluar, se podría requerir más investigación. También, esta matriz se puede usar para iteraciones múltiples. Usted debe diligenciar primero sólo las columnas de importancia para determinar el nivel de desempeño percibido. Algún tiempo después (quizá una semana) use la matriz de nuevo con las columnas de desempeño únicamente. Ya que puede ser difícil valorar las funciones importantes mal realizadas, estos procesos de dos pasos podrían llevar a valoraciones de desempeño más útiles. (Vea la sección Diagnóstico de Los Controles de TI—Forma Corta de la Entidad) FORMATO LARGO DE LA ENTIDAD Propósito: Documentar las evaluaciones de los dueños de procesos de negocios y la administración para los cuales los procesos de TI son más importantes y qué tan bien creen que estos procesos se estén desempeñando. La forma también hace referencia a dónde existen controles internos documentados para los procesos de TI. A ser diligenciado por: El equipo de auditoría durante la fase previa a la auditoría. La matriz debe ser diligenciada en conjunto por la administración y los dueños de procesos de negocios, en el curso de la entrevista del auditor, o a través del mismo equipo de auditoría. Discusión: El auditor puede obtener beneficios al comprender el grado en el cual los controles internos de la administración se documentan en los procesos de TI. Ya que el equipo de auditoría estará solicitando copias de los controles documentados durante la pre auditoría, la referencias del papel de trabajo debe utilizarse para hacer referencias cruzadas 36 28361 imp toolset.pub page 36 con las copias de los controles documentados (manuales de control, procedimientos, estándares, etc.) o cualquier revisión preliminar realizada. (Vea la sección Diagnóstico de los Controles de TI—Forma Larga de la Entidad) FORMATO DE EVALUACIÓN DEL RIESGO Propósito: Ayudar al equipo de auditoría en la identificación de aquellos procesos de TI donde la auditoría basada en riesgos debe indicar que el trabajo de auditoría (o el trabajo de servicios de asesoría administrativa) puede garantizarse. A ser diligenciado por: ya sea el equipo de auditoría o la administración, o ambos en conjunto, durante el trabajo de pre auditoria. Discusión: El equipo de auditoría debe completar esto después de que hayan completado la “Forma Corta de la Entidad”, y “la Forma Larga de la Entidad” y después de que hayan obtenido y registrado la suficiente comprensión de la misión de la organización, los objetivos primarios del negocio, los factores críticos del éxito, los requerimientos legislativos o legales (incluyendo los contractuales), y la estructura de control. El equipo de auditoría podría haber realizado algunos análisis hasta ahora. (Vea la sección Diagnóstico de los Controles de TI – Forma de Evaluación del Riesgo) FORMATO DE LA PARTE RESPONSABLE Propósito: Identificar quién realiza cada proceso de TI y quién tiene la responsabilidad final de cada proceso. A ser diligenciado por: El equipo de auditoría, en conjunto con la administración auditada, durante la fase previa a la auditoría. Se pueden enviar a los administradores o dueños de procesos de negocios. Si se envía, las descripciones de los procesos de TI, tales como los encontrados en el Marco de Referencia del COBIT, debe anexarse a la forma. Vea un ejemplo en el Anexo 3, Encuesta COBIT. Discusión: Se sugiere que esta forma se complete junto con el formato de acuerdos de niveles de servicio / servicio contratado (SLA) (discutida en la siguiente sección), con el fin de identificar IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION plenamente los servicios proporcionados dentro de la entidad por los Servicios de TI, dentro de la entidad pero no por los Servicios de TI, o por un proveedor externo. Dada la naturaleza penetrante de TI, es probable que más de un proceso será realizado tanto por personal de los Servicios de TI como personal ajeno a los Servicios de TI. Bajo esa luz, el diligenciar la forma en conjunto con la alta administración traerá luz a la comprensión de la administración de qué procesos son realizados por quién. También resaltará el alcance de las responsabilidades de TI a través de la organización donde la TI ha adoptado una naturaleza penetrante. Aunque los procesos de TI y lo que deberían atender podría ser de algún modo evidente, se recomienda que el equipo de auditoría esté preparado para presentar un panorama general a la administración de lo que cubre cada proceso. También, la forma puede usarse mientras se entrevista a los administrados de diferentes departamentos o divisiones a través de la organización para identificar el punto hasta el cual tienen clara la idea de cuáles unidades funcionales, internas o externas, están realizando los procesos de TI. Aunque la forma requiere que el equipo de auditoría identifique quién tiene la responsabilidad primaria, debe considerarse como el punto de partida para las discusiones de pre auditoría en relación a las responsabilidades asignadas, puntos de responsabilidad, y las actividades de TI dadas ya sean descentralizadas o “distribuidas”, el grado de la estandarización requerida necesaria. Como ejemplo de lo anterior, si dentro de una organización dada ha habido un intercambio en el procesamiento de los Servicios de TI a los departamentos individuales, no significa que los objetivos de control de seguridad de datos y disponibilidad del sistema relacionados con los servicios de TI no sigan aplicando. Los objetivos de control aún se deben atender, pero ahora por diferentes unidades organizacionales y generalmente con diferentes estrategias de control. (Vea la sección Diagnóstico de Control de TI– Formato “Parte Responsable”) formales o SLA existen y si los controles estan documentados para cada proceso de TI “contratado”. Los procesos de TI Contratados/SLA incluyen: servicios externos, servicios contratados internamente (dentro de la organización pero por los Servicios de TI), y servicios para los cuales existe un SLA interno. La forma puede ayudar al auditor a identificar las funciones que han sido “contratadas” sin los contratos o acuerdos explícitos. De acuerdo con eso, la forma le ayudaría a identificar las necesidades potenciales de incluir trabajo de auditoría de contratos/SLA en el alcance de la auditoría. A ser diligenciado por: El equipo de auditoría durante la fase previa a la auditoría. Discusión: La forma de contrato de servicio /SLA ayuda al auditor en su evaluación de controles internos. Antes de evaluar la conveniencia de los controles definidos, el auditor determinaría la extensión hasta los controles que están documentados. (Vea la Sección de Diagnóstico de los Controles de TI—Formato de Contrato de Servicio/SLA) EJEMPLO DEL USO DE LAS MATRICES DE PLANEACIÓN Como una evaluación inicial, al principio de su implementación del COBIT, un Auditor de SI realizó una encuesta en un banco. La encuesta, incluida como el Anexo 3, es una aplicación de la “Forma de la Parte Responsable”. La encuesta está orientada a aquellos que reportan directamente al VP de Operaciones y Tecnología. Las cuatro páginas anexadas a la encuesta se imprimieron de la base de datos que el Auditor de SI desarrolló usando los archivos de texto que se incluyen en el paquete DEL COBIT. Las respuestas de la encuesta indicaron que ¡todos eran responsables por la mayoría de los procesos del COBIT! El Auditor de SI atribuyó la ausencia de responsabilidades claramente asignadas a la falta de dirección clara del VP. Como resultado de esta encuesta, y los descubrimientos de una auditoría regulatoria, se agregó una función de administración de tecnología a la organización de Operaciones y Tecnología. Esta función fue una responsabilidad asignada por muchos de los procesos de Planeación Y Organización del COBIT. FORMA SLA/SERVICIO CONTRATADO Propósito: Mientras la matriz de la “Parte Responsable” indica que uno o más servicios de TI no los realizan los servicios de TI, esta forma identifica si los contratos IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 37 37 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION CUADRO 3—ENCUESTA COBIT MEMORÁNDUM PARA: CC: De: FECHA: RE: Gerente de Servicios de la Red, Gerente de Telecomunicaciones, Supervisor de Programación, Gerente de Operaciones del Centro de Datos, Gerente del Centro de Datos de Confidencialidad VP Senior de Operaciones y Tecnología, Gerente de Cuenta Externo Gerente de Auditoría de SI Marzo 19, 20xx Procesos de Negocio de TI y Objetivos de Control. Me gustaría tomarme un momento para presentarles una nueva manera de ver los controles internos en el área de TI; y solicitar su ayuda en la medida que nos volvemos auditores más proactivos y de apoyo. Nuestro enfoque anterior a los controles de información y la auditoría de TI tendían a hacer énfasis en los problemas técnicos. La Information Systems Audit and Control Foundation (ISACF) recientemente publicó a través de su IT Governance Institute la 3a edición de su documento Objetivos de Control el cual enfoca las guías de control en los criterios de información, procesos de negocios y Procesos de control y administración de TI. Este documento, llamado Objetivos de Control para la Información y la Tecnología Relacionada, o COBIT, identifica 34 procesos de negocio de TI importantes dentro de cuatro dominios de la Planeación y Organización (PO), Adquisición e Implementación (AI), Entrega y Soporte (DS), y Monitoreo (M). Entonces, el COBIT vincula 318 tareas y actividades diferentes para estos 34 procesos. Cada una de estas actividades, tareas y procesos tienen un componente de control relacionado, al cual se pueden enfocar las actividades de auditoría. Consecuentemente, el COBIT proporciona una buena oportunidad para que el Auditor de SI haga reingeniería nuestras auditorías a los procesos de negocios de TI. También, presenta una oportunidad para que los TI realicen una autoevaluación, asegurando que todos los servicios necesarios se están proveyendo al banco. He anexado una copia del Resumen Ejecutivo del COBIT para sus revisiones (para aquellos de ustedes que todavía no tengan una). Para iniciar la reingeniería de la función de auditoría, me gustaría saber cómo perciben su propiedad o responsabilidad de estos procesos de TI. He incluido en este memo una encuesta preliminar el cual lista los 34 procesos y pide a los cuestionados indicar si tienen o no responsabilidad por el proceso. Esto nos ayudaría si obtengo sus repuestas y cualquier idea que pudieran tener sobre el COBIT, para Marzo 28. Espero encontrar coincidencias y diferencias; mantengan en mente que el propósito de esta encuesta es desarrollar un diagrama de la posición en la que estamos actualmente. Yo entregaré los resultados así cada uno de ustedes podrá comprender la forma que los demás ven sus actividades en la función de TI. Me emociona este cambio de enfoque porque nos ayudará a conducir las actividades de Auditoría de SI consistentes en la forma como ustedes operan la parte del negocios de la función de TI. Podemos realizar auditorías a “procesos” además de las auditorías de “productos”. Nos podemos concentrar en las mejoras continuas al proceso. Las auditorías pueden abocarse más fácilmente a los riesgos y los criterios de información y tecnología, tales como confidencialidad, integridad, disponibilidad, eficiencia, efectividad, cumplimiento y confiabilidad. Además podemos relacionar los controles con nuestros recursos de datos, sistemas de aplicación, tecnología, gente e instalaciones. En resumen, la auditoría se puede convertir en mejor recurso para ustedes si utilizamos el COBIT como una herramienta y una guía. Si existe más personal administrativo que ustedes crean deben completar la encuesta; o si ustedes tienen alguna observación o duda, o los conceptos COBIT en general, por favor comuníquense conmigo a la extensión xx, o envíenme un mensaje vía e-mail. Favor de regresar las entrevistas, vía correo interoficinas para Marzo 28. Gracias. 38 28361 imp toolset.pub page 38 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Encuesta Preliminar - Responsabilidades del Proceso de TI para: Área: Participante: ID DEL DOMINIO ID DEL PROCESO PO 1 2 3 4 Fecha: Auditor: EL ÁREA ES RESPONSABLE DEL PROCESO DE TI PARA: LO QUE SATISFACE LOS REQUERIMIENTOS DEL NEGOCIO SÍ/NO/ NO SÉ definir un plan estratégico de tecnología de información acertar a un óptimo balance de las oportunidades en la tecnología de información y los requerimientos de los negocios de TI así como ________________ asegurar su posterior logro definir la arquitectura de la información optimizar la organización de los sistemas de información determinar la dirección tecnológica tomar ventaja de la tecnología disponible y emergente para direccionar y hacer posible la estrategia del negocio. definir la organización de TI y prestar los servicios correctos de TI sus relaciones ________________ ________________ ________________ 5 administrar la inversión de TI asegurar los fondos y controlar los desembolsos de los recursos financieros ________________ 6 comunicar los objetivos y aspiraciones de la gerencia asegurar la concientización del usuario y la comprensión de las metas 7 8 ________________ administración de recursos humanos Adquirir y mantener una fuerza de trabajo competente y motivada y maximizar las ________________ contribuciones del personal a los procesos de TI asegurar el cumplimiento de los cumplir con las obligaciones contractuales, requerimientos externos legales y legislativas ________________ 9 evaluar los riesgos 10 administración de proyectos 11 administración de la calidad Soportar las decisiones administrativas a través del logro de los objetivos de TI y responder a las ________________ amenazas reduciendo la complejidad, incrementando la objetividad e identificando factores de decisión importante establecer prioridades y entregar a tiempo dentro del presupuesto ________________ cumplir con los requerimientos del cliente de TI ________________ Notas y Comentarios: IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 39 39 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION COMO IMPLEMENTAR COBIT EN SU ORGANIZACION, (continuación) CUADRO 3 (cont.) ID DEL DOMINIO ID DEL PROCESO AI1 EL ÁREA ES RESPONSABLE DEL PROCESO DE TI PARA: LO QUE SATISFACE LOS REQUERIMIENTOS DEL Identificar las soluciones automatizadas Asegurar un efectivo y eficiente acercamiento para satisfacer los requerimientos de los usuarios NEGOCIO SÍ/NO/ NO SÉ ________________ __________ 2 Adquirir y mantener el software Proveer las funciones automatizadas que de aplicaciones soporten efectivamente los procesos del negocio ________________ 3 Adquirir y mantener la infraestructura tecnológica Proveer las plataformas apropiadas para soportar las aplicaciones de negocios Desarrollar y mantener los procedimientos Asegurar que el uso adecuado de las aplicaciones y las soluciones tecnológicas tengan lugar Verificar y confirmar que la solución esté adaptada al propósito pretendido _______________ 4 5 6 Instalar y acreditar los sistemas Administrar cambios Minimizar la posibilidad de interrupciones, alteraciones no autorizadas, y los errores ________________ ________________ ________________ _______________ ________________ _______________ Notas y Comentarios: 40 28361 imp toolset.pub page 40 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION ID DEL DOMINIO ID DEL PROCESO DS1 2 EL ÁREA ES RESPONSABLE DEL PROCESO DE TI PARA: Definir y administrar los niveles de servicio Administrar los servicios con terceros LO QUE SATISFACE LOS REQUERIMIENTOS DEL SÍ/NO/ NO SÉ NEGOCIO Establecer una comprensión común del nivel de servicio requerido ________________ Asegurar que las funciones y responsabilidades de terceros estén claramente definidas, adheridas y continúen satisfaciendo los requerimientos ________________ 3 Administrar el desempeño y la Asegurar que la capacidad adecuada esté disponible capacidad y que se haga el mejor y óptimo uso para cumplir con las necesidades de desempeño requeridas ________________ 4 Asegurar el servicio continuo Tener la seguridad de que los servicios de TI estén disponibles cuando se requieran y asegurar ________________ un impacto mínimo en el negocio en el evento de una interrupción mayor Asegurar la seguridad del Salvaguardar la información contra el uso no sistema autorizado, divulgación o modificación, daño o ________________ pérdida. Identificar y atribuir costos Asegurar una atención correcta a los costos atribuibles a los servicios de TI. ________________ 5 6 7 Educar y entrenar a los usuarios Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucradas ________________ 8 Ayudar y aconsejar a los clientes Asegurar que cualquier problema experimentado por el usuario se resuelva apropiadamente ________________ 9 Administrar la configuración Responder por todos los componentes de TI, prevenir las alteraciones no autorizadas, verificar la existencia física y proveer una base para la buena administración de cambio. ________________ 10 Administrar los problemas e incidentes Asegurar que los problemas e incidentes se resuelvan y sus causas sean investigadas para prevenir cualquier recurrencia. ________________ 11 Administración de datos 12 Administración de instalaciones Proveer un entorno físico adaptable el cual proteja al 13 Administración de operaciones Asegurar que las importantes funciones de soporte de TI se realicen regularmente y de forma ________________ ordenada Asegurar que los datos permanezcan completos, precisos y válidos durante su captura, procesamiento y ________________ almacenamiento equipo y personas de TI contra los peligros naturales y provocados por el hombre ________________ Notas y Comentarios: IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 41 41 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION COMO IMPLEMENTAR COBIT EN SU ORGANIZACION, (continuación) CUADRO 3 (cont.) ID DEL DOMINIO ID DEL PROCESO M1 EL ÁREA ES RESPONSABLE DEL PROCESO DE TI PARA: LO QUE SATISFACE LOS REQUERIMIENTOS DEL SÍ/NO/ NO SÉ NEGOCIO Monitorear los procesos Asegurar el logro de los objetivos definidos para los procesos de TI ________________ Evaluar la conveniencia de los controles internos Asegurar el cumplimiento de los objetivos de control interno para los procesos de TI 3 Obtener el aseguramiento independiente Incrementar los niveles de confianza y credibilidad entre la organización, los clientes y los proveedores como terceros ________________ 4 Proveer auditoría independiente Incrementar los niveles de confianza y los beneficios a partir de las recomendaciones de las mejores prácticas 2 ________________ ________________ Notas y Comentarios: 42 28361 imp toolset.pub page 42 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Usando la matriz en el Anexo 4, otro auditor de SI en una organización diferente mapeó los 34 objetivos de control de alto nivel de COBIT para las políticas de SI, los procedimientos y los estándares en su organización. Hubo un proceso iterativo conforme el auditor de SI gradualmente descubría las políticas documentadas. Inicialmente una recompensa cuantitativa, este proceso continuaba en la organización con una evaluación de la calidad y la conveniencia de las políticas existentes, los procedimientos y los estándares. Esta es una adopción de la “Forma Larga de Entidad “ con entradas en la columna que hace la referencia cruzada con las políticas y procedimientos existentes que representan la documentación de los controles. CUADRO 5: USO DE COBIT PARA LA EVALUACIÓN DE RIESGOS Área de Auditoría Factores: Fecha de última auditoría, Criterios de información, recursos de TI, quejas/solicitudes, riesgo $ Rangos de riesgo –10 a +10 Totales por cada proceso y luego totalizado por cada área de auditoría CUADRO 4: REVISIÓN DE POLÍTICAS, 34 Procesos de COBIT PO1 PO2 • • • M4 Políticas & Procedimientos de TI A B C D E F - - - A = Atender Objetivos COBIT C = Puede Proveer los controles deseados E = Evaluar (pruebas de cumplimiento) R = Reporte • Conclusión positiva • Hallazgos PROCEDIMIENTOS Y ESTÁNDARES Otro Auditor de SI, en una organización diferente, utilizó el COBIT para evaluar los riesgos y escoger aquellas áreas de auditorías que requerían su atención. El Anexo 5 representa la matriz que él usó para esta valoración. Advierta que los Criterios de Información del COBIT y los Recursos de TI jugaron un papel preponderante en esta valoración. Esta matriz combina los elementos de las formas “Trabajo Previo a la Auditoría” y “Evaluación de Riesgos”. En otra organización, un auditor de SI y profesional de TI reunió al equipo para usar la matriz representada en el Anexo 6 con el fin de enfocar su atención a aquellas áreas que requerían políticas, procedimientos o estándares adicionales, o atención especial en la auditoría durante el año. Esta es una adaptación de la forma de “Evaluación del Riesgo”. CUADRO 6: EVALUACIÓN DEL RIESGO En una organización de auditoría, los auditores de SI estaban usando los 34 procesos del COBIT para valorar su cobertura de auditoría existente y planeada (vea el Cuadro 7). Querían saber cuánto esfuerzo de auditoría se dedicaba a qué tipos de procesos de TI y si algún proceso de TI era problemático (ej., muchos hallazgos de auditoría). Además, querían saber qué entidades habían recibido, o recibirían, auditorías y qué tipos de auditorías (ej., qué procesos de TI) se habían realizado o se realizarían. 34 Procesos de COBIT Alto Medio Bajo Notas PO1 PO2 • • • M4 IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 43 Nivel del Riesgo Evaluado 43 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION CUADRO 7: PLANEACION DE LA AUDITORIA 34 Procesos de COBIT PO1 PO2 • • • M4 Auditorías (o entidades auditadas) A B C D E F - - - 2. S = Encuesta previa a la auditoría A = Auditoría R = Reporte • Conclusión positiva • Hallazgos 3. En resumen, todas estas actividades de Benchmarking/ evaluaciones/planeación proporcionaron información adicional a la organización, como: • Se requieren políticas, procedimientos o estándares adicionales (o documentados). • Los procesos de TI (o controles) deben agregarse o eliminarse. • Las responsabilidades por los procesos de TI deben ser asignadas o reasignadas. • Existen riesgos que tienen que ser considerados. • Existen funciones internas o externas que tienen que manejarse mejor. • Existen auditorías que tienen que realizarse. Conducción de Auditorías Usando COBIT Lo siguiente nos describe de forma señalada de cómo las diversas piezas del COBIT y las evaluaciones de riesgo y matrices de planeación descritas anteriormente se pudieran usar en un proceso de auditoría “típico”. 1. Un Paso Opcional. Si es necesario, seleccione el tipo de compromiso de auditoría para la entidad a ser auditada. Los siguientes son tipos de auditorías que podrían realizarse: financiera, de desempeño, cumplimiento, TI (instalaciones, sistemas en desarrollo, revisión posterior a la implementación, planeación & organización, servicios de consultoría administrativa), auditoría integrada, procedimientos de acuerdo, etc. Estos tipos de auditorías no son mutuamente exclusivos. Una evaluación de riesgo usando el Marco de Referencia del COBIT y las herramientas similares a las 44 28361 imp toolset.pub page 44 4. 5. matrices de “Forma Corta de Entidad”, “Parte Responsable”, y “Servicios de contratos/SLA” explicadas anteriormente podrían facilitar la selección del tipo de compromiso en la auditoría. Refinar el Alcance y Determinar los Objetivos de la Auditoría. Habiendo elegido una entidad y un tipo de compromiso para la auditoría, es momento de usar los objetivos de control detallados del COBIT (de los Objetivos de Control del COBIT) para obtener ideas adicionales de los procesos de TI (del Marco de Referencia del COBIT) seleccionado para esta auditoría, una vez que el alcance se ha refinado, desarrolle objetivos de auditoría utilizando los Objetivos de Control del COBIT. El alcance y los objetivos de auditoría deben discutirse con el cliente durante la reunión previa al compromiso. NOTA: Este paso se puede repetir tanto como se requiera a lo largo de la auditoría. Desarrollar el Programa de Trabajo de la Auditoría. a. Si hay programa existente de trabajo para una auditoría i. Compare los objetivos de la auditoría con los Objetivos de Control del COBIT. ii. Compare los pasos en el programa de auditoría para las actividades en las Directrices de Auditoría del COBIT. iii. Agregue actividades de auditoría sugeridas por las guías y manuales específicos de la plataforma (ej., paquetes de seguridad, LANs), organizacionales, legales y reguladores. b. Si no existe un programa de trabajo de auditoría. Realice los pasos como se indica anteriormente, pero desarrolle el programa de auditoría usando el COBIT, en vez de comparar un programa existente con el COBIT buscando totalidad. Realice la Auditoría. En la reunión de apertura mientras se discute el tipo, alcance y objetivos, describa la forma como el COBIT contribuye a estos y la forma como serán usados para guiar la auditoría. Escriba el Reporte de Auditoría. Anote las conclusiones enfocándose en los objetivos logrados y no logrados. Usando el COBIT, presente el caso del negocio, para fundamentar los resultados. Incluya el COBIT en la sección donde se citan los criterios en los hallazgos de auditoría y en la sección que describe la metodología utilizada en la realización de la auditoría. IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION USO DE LAS DIRECTRICES DE AUDITORÍA DE COBIT Como se describe anteriormente, el uso de las Directrices de Auditoría COBIT cae en dos categorías principales: el auditor tiene un programa existente de auditoría o el auditor no tiene un programa existente de auditoría. Paso #2: ¿Cuáles son los más importantes? Objetivos de control detallados de COBIT SDM Paso #1: ¿El auditor está satisfecho con el SDM? SI NO HAY UN PROGRAMA DE AUDITORÍA EXISTENTE El diagrama de abajo representa los pasos que aplicarían si existiera un proceso de TI que fuera a ser auditado, aunque no existe un programa de auditoría. El proceso de TI utilizado en este ejemplo es una Metodología de Desarrollo de Sistemas (SDM). Paso #3: ¿Desarrollo del programa de auditoría? Directrices de Auditoría de COBIT Programa de auditoría SDM Paso #4: ¿Qué parte del programa de auditoría es más importante? En el Paso #1 los auditores determinan, por comparación del SDM a los objetivos de control del COBIT comparables (en los Objetivos de Control), si el SDM provee el control adecuado en el desarrollo de sistemas. del COBIT están agrupados en objetivos de control de alto nivel (ej., procesos de TI). El proceso de mapeo en las directrices de auditoría requeridas en el paso #3 se describen después. Asumiendo que están satisfechos, los auditores escogen, en el Paso #2 aquellos objetivos detallados de control que son más importantes, dado su comprensión de los riesgos y los objetivos relacionados a los procesos TI en cuestión (el SDM). COBIT ayuda a los auditores a llegar a esta determinación porque están enfocados en el control de los recursos de TI para asegurar que las siete cualidades de la información provista estén atendidos con el fin de lograr los objetivos organizacionales. En el Paso #4 el auditor determina qué pasos en el programa de auditoría requieren más atención. Habiendo determinado los objetivos detallados más importantes en el paso #2, este paso es directo. En el Paso #3, los auditores desarrollan un programa de auditoría con la ayuda de las Directrices de Auditoría del COBIT. Advierta que hemos definido los objetivos detallados de interés, aunque las Directrices de Auditoría En una organización, el uso del COBIT para una auditoría de control de cambio acelera el proceso de planeación de la auditoría y lleva a usos posteriores del COBIT mediante la auditoría y mediante TI. El Anexo 8 muestra una excepción de este programa de auditoría de control de cambios. Los “Objetivos del negocio” se adaptaron del Marco de Referencia del COBIT (los objetivos de control de alto nivel). Los “Efectos” son los riesgos indicados por la organización para esta auditoría. IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 45 45 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Los “Objetivos de Control” se adaptaron de los Objetivos de Control del COBIT. Los “Elementos para RevisiónPrueba” se adaptaron de las Directrices de Auditoría del COBIT. Este proceso es normal para el desarrollo de un programa de auditoría basado en el COBIT: a. Revise los 34 objetivos de control de alto nivel del COBIT y seleccione aquellos objetivos que aplican a esta auditoría. b. Describa los riesgos (o “exposiciones” o “efectos”) que podrían resultar de la falla en el logro de cada objetivo elegido en el paso a. c. Seleccione de los Objetivos de Control del COBIT aquellos objetivos de control que apliquen para esta auditoría. Normalmente, debemos tener que revisar solamente los objetivos de control detallados de los objetivos de control de alto nivel elegidos en el paso a, anterior. 46 28361 imp toolset.pub page 46 d. e. Usando las Directrices de Auditoría del COBIT, enumere los procedimientos de auditoría a ser realizados. En este paso el auditor de SI debe elegir aquellos procedimientos que se relacionan con los objetivos de control detallados que se seleccionaron en el paso c anterior. Si en el paso c, el auditor de SI sólo seleccionó objetivos detallados para los objetivos de control de alto nivel identificados en el paso a, debemos tener que revisar solamente los lineamientos de auditoría para aquellos objetivos de control de alto nivel. Para terminar el programa de auditoría el auditor de SI puede, entonces, tener que incluir pruebas de auditoría adicionales que se relacionen a la plataforma específica a ser auditada. Por ejemplo, el auditor podría tener que consultar el (los) manual(es) del sistema de administración de base de datos seleccionado en este esfuerzo de desarrollo de sistema. IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION CUADRO 8—EXTRACTO DE UN PROGRAMA DE AUDITORIA OBJETIVO DEL NEGOCIO AI6 EFECTO OBJETIVOS DE CONTROL ELEMENTOS A REVISIÓNPRUEBA REF. ADMINISTRACIÓN DE CAMBIOS Requerimiento del Cambio Iniciación y Control Asegurar que las soluciones Errores en el La administración de TI automatizadas sean seguimiento de los debe asegurar que todas identificadas vía un análisis procedimientos de las solicitudes de cambio, de todas las alternativas control de cambio causa Mantenimiento del sistema posibles que cumplen con de las fallas, datos y y Mantenimiento los requerimientos de los archivos corruptos, proporcionado por los usuarios retrasos en los procesos, proveedores están incremento de los estandarizadas y están costos y necesidades sujetas a los de usuarios y sistemas procedimientos formales de no satisfechos. Se administración de cambios. incrementa el riesgo Los cambios deben durante las situaciones categorizarse y priorizarse y de emergencia. Deben existir Procedimientos específicos Para administrar Situaciones urgentes. Debe mantenerse informado a quien solicita el cambio acerca del estado de su requerimiento. Control de Cambios Integración insuficiente La administración de TI con el sistema de debe asegurar que la manejo de la administración de configuración podría cambios y la distribución y afectar otras plataformas Control del software están Apropiadamente integradas con un sistema de manejo de Configuración comprensible. El sistema usado para monitorear los Cambios a los sistemas de aplicación deben ser automáticos para soportar el registro y rastreo de los Cambios hechos a los sistemas de información complejos y grandes. IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 47 Revise los procedimientos de cambios al sistema para tener los controles internos suficientes, etc. Haga pruebas para ver si los procedimientos de cambios al sistema son efectivos y están reforzados incluso en las situaciones de emergencia. Revise y pruebe la documentación adecuada para asegurar el cumplimiento con el sistema de manejo comprensible. 47 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION SI HAY UN PROGRAMA DE AUDITORÍA EXISTENTE El diagrama que se presenta a continuación representa los pasos que aplicarían si existiera un proceso de TI a ser auditado y se cuenta con un programa de auditoría al cual le queremos efectuar un Benchmark contra las Directrices de Auditoría del COBIT. De nuevo, el proceso de TI utilizado en este ejemplo es una metodología de desarrollo de sistemas (SDM-System Development Methodology). Los Pasos #1, #2, y #4 son iguales si no existe un programa de auditoría. En el Paso #3 el auditor compara su programa de auditoría con las Directrices de Auditoría del COBIT para determinar si existen actividades sugeridas por el COBIT que pudieran mejorar el programa de auditoría existente. Paso #2: ¿Cuáles son los más importantes? SDM Objetivos de control detallados del COBIT Paso #1: ¿El auditor está satisfecho con el SDM? 48 28361 imp toolset.pub page 48 MAPEO DE LOS OBJETIVOS DE CONTROL DETALLADOS PARA LAS DIRECTRICES DE AUDITORÍA Como se menciona anteriormente, las actividades en las Directrices de Auditoría del COBIT están agrupados en 34 objetivos de control de alto nivel. Ya que un auditor normalmente desarrollaría programas de auditoría para valorar el cumplimiento de los objetivos de control detallados, un auditor debe mapear sus objetivos detallados incluidos en las Directrices de Auditoría del COBIT. Por ejemplo, si el auditor fuera a auditar un objetivo de control detallado (una tarea absurda para estar seguro). Asuma que un objetivo es AI 1.18 Aceptación de la Tecnología (vea los Objetivos de Control). Las actividades de auditoría comienzan en la siguiente página donde se selecciona las actividades de las Directrices de Auditoría porque están relacionadas con el objetivo de control detallado AI 1.18. Paso #3: Benchmark al programa de auditoría Programa de auditoría SDM Directrices de Auditoría del COBIT Paso #4: ¿Qué parte del programa de auditoría es más importante? IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Obtener un entendimiento a través de: ► Entreviste a: • • Dueños/patrocinadores del proyecto Administración del contratista ► Obteniendo: • • • • Políticas y procedimientos relacionados con el ciclo de vida de desarrollo del sistema y la obtención del software. Objetivos de TI y los plantes a corto y largo plazo. Documentación seleccionada del proyecto, incluyendo la definición de los requerimientos, análisis de alternativas, estudios de factibilidad tecnológica, estudios de factibilidad económica, análisis de la arquitectura de la información/modelo de datos de la empresa, análisis de riesgos, estudios de costo-efectividad de la seguridad/ controles internos, análisis de las pistas de auditoría, estudios ergonómicos, y Planes de aceptación de las instalaciones y de tecnologías específicas y resultados de pruebas. Contratos seleccionados relacionados con la compra, desarrollo o mantenimiento del software. Evaluar los controles: ► Considerando si: • Las políticas y procedimientos existen, requiriendo que: • los requerimientos operativos y funcionales de la solución estén satisfechos incluyendo el desempeño, confiabilidad, compatibilidad, seguridad y legislación • los productos sean revisados y probados antes de su uso y el cargo o pago financiero • los productos finales de servicios de programación contratados y terminados, deben ser probados y revisados de acuerdo a los estándares correspondientes por el grupo de aseguramiento de calidad de TI y otras partes interesadas antes del pago del trabajo y la aprobación del producto final. • Un plan de aceptación para tecnología específica se acuerda con el proveedor en el contrato y este plan define los procedimientos y criterios de aceptación. • Las pruebas incluidas en las especificaciones del contrato consisten en pruebas al sistema, pruebas de integración, pruebas del hardware y componentes, pruebas de procedimientos, pruebas de carga y estrés, pruebas de afinamiento y desempeño, pruebas de regresión, pruebas de aceptación del usuario, y finalmente, pruebas piloto del sistema total para evitar cualquier falla inesperada en el sistema • Las pruebas específicas de aceptación de la tecnología deben incluir pruebas de inspección, funcionalidad y valoraciones de carga de trabajo. IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 49 49 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Evaluar el Cumplimiento mediante: ► Probando que: • • Los productos comprados se revisan y prueban antes de su uso y el cargo o pago financiero La conveniencia y perfección del plan de aceptación de la tecnología, incluyendo inspecciones, pruebas de funcionalidad y pruebas de carga de trabajo. Comprobar el riesgo de los objetivos de control no alcanzados: ► Llevando a Cabo • Benchmarking de la identificación de los requerimientos de los usuarios para satisfacer las soluciones automatizadas contra organizaciones similares o los estándares internacionales apropiados, reconocidos en la industria como mejores prácticas • Una revisión detallada del proceso de aceptación para la tecnología específica con el fin de asegurar que las inspecciones, pruebas de funcionalidad y pruebas de carga de trabajo cumplan con los requerimientos especificados en el contrato ► Identificando: • • • • • Deficiencias en la metodología del ciclo de vida del desarrollo del sistema de la organización Soluciones que no cumplan con los requerimientos de los usuarios Soluciones que no siguieron el enfoque de abastecimiento establecido en la organización y así resulten en costos adicionales provenientes de la organización Donde se acepta la tecnología específica pero las inspecciones, pruebas de funcionalidad y pruebas de carga de trabajo no se han realizado adecuadamente, y como resultado la tecnología no cumple con los requerimientos del usuario y/o no cumple con los términos del contrato. Cualquier falla en el sistema 50 28361 imp toolset.pub page 50 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION DIAGNÓSTICO DE SENSIBILIZACIÓN DE LA ADMINISTRACIÓN IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 51 51 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION DIAGNÓSTICO DE SENSIBILIZACIÓN DE LA ADMINISTRACIÓN AUTOEVALUACIÓN DEL GOBIERNO DE TI Auditado Formalidad No sabe Dominios y Procesos del COBIT Externo ¿Quién lo hace? Otros Importancia – la importancia para la organización en una escala de 1 (para nada) a 5 (mucho) Desempeño – qué tan bien se realiza de 1 (no sabe o mal) hasta 5 (muy bien) Auditado – Sí, No, o ? Formalidad – existe un contrato, un SLA o un procedimiento claramente documentado (Sí, No, o ?) Responsabilidad – Nombre o “no se sabe” TI Desempeño Importancia Riesgo ¿Quién es responsable? PLANEACIÓN & ORGANIZACIÓN PO1 Definir un Plan Estratégico deTI PO2 Definir la Arquitectura de Información PO3 Determinar la Dirección Tecnológica PO4 Definir la Organización y las Relaciones deTI PO5 Administrar la Inversión de Tecnología de Información PO6 Comunicar las Aspiraciones y Dirección de la Gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento con los Requerimientos Externos PO9 Evaluar los Riesgos PO10 Administrar Proyectos PO11 Administrar Calidad ADQUISICIÓN & IMPLEMENTACIÓN AI1 Identificar Soluciones Automatizadas AI2 Adquirir y Mantener Software de Aplicación AI3 Adquirir y Mantener la Infraestructura Tecnológica AI4 Desarrollar y Mantener los Procedimientos AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios ENTREGA & SOPORTE DS1 Definir y Administrar Niveles de Servicio DS2 Administrar los Servicios prestados por Terceras Partes DS3 Administrar el Desempeño y la Capacidad DS4 Asegurar el Servicio Continuo DS5 Garantizar la Seguridad en los sistemas DS6 Identificar y Asignar Costos DS7 Educar y Capacitar a Usuarios DS8 Atender y Aconsejar a los Clientes DS9 Administrar la Configuración DS10 Administrar Problemas e Incidentes DS11 Administrar Datos DS12 Administrar Instalaciones DS13 Administrar Operaciones MONITOREO M1 Monitorear los Procesos M2 Evaluar qué tan adecuado es el Control Interno M3 Obtener el Aseguramiento Independiente M4 Colaborar en la Auditoría Independiente 52 28361 imp toolset.pub page 52 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION PREOCUPACIONES DE LOS DIRECTIVOS DE TI Implementación Cara/Compleja Problemas de soporte del Vendedor Filtrado de Datos Confidenciales * Falla al integrar Pérdida de Integr. en las transac. Corp. * Incompatible con la Infra. Tecnológica Acceso no autorizado a los msgs. confid. * Infección de Virus Acceso no autorizado a la red corporativa Adquiriendo y Desarrollando Habilidades * Fallas al Satisf. los Requer. del Usuario Soluciones llave en mano1 para la Empresa Internet/Intranet Reduciendo los Costos de Propiedad de TI Consolidando la Infraestructura TI Uso de como Ventaja Competitiva Políticas de TI y Gobierno Corporativo Iniciativas de Ti en Línea con estrategia del Negocio FACTORES DE RIESGO Administración Interrupción de la Disponibilidad del serv. Preocupación de la Tecnología para la Administración (Gartner Group) PLANEACIÓN & ORGANIZACIÓN PO1 Definir un Plan Estratégico de TI * PO2 Definir la Arquitectura de Información * * * * * PO3 Determinar la Dirección Tecnológica * * * * PO4 Definir la Organización y las Relaciones de TI * * * PO5 Administrar la Inversión de Tecnología de Información * PO6 Comunicar las Aspiraciones y Dirección de la Gerencia * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * PO9 Evaluar los Riesgos PO10 Administrar Proyectos * * * * PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento con los Requerimientos Externos * * * * * * * * * * * * PO11 Administrar Calidad * ADQUISICIÓN & IMPLEMENTACIÓN AI11 Identificar Soluciones Automatizadas * * * * AI12 Adquirir y Mantener Software de Aplicación * * * * * * AI13 Adquirir y Mantener la Infraestructura Tecnológica * * * * * * * AI14 Desarrollar y Mantener los Procedimientos de TI * AI15 Instalar y Acreditar Sistemas AI16 Administrar de Cambios * * * * * * * * * * * * * * * * * ENTREGA & SOPORTE DS1 Definir y administrar los Niveles de Servicio * * * DS2 Administrar los Servicios de las Terceras Partes * DS3 Administrar el Desempeño y la Capacidad * DS4 Asegurar el Servicio Continuo * DS5 Garantizar la Seguridad en sistemas * * * * * * * * * DS6 Identificar y Asignar Costos * * * * * * * * * * * DS7 Educar y Capacitar a Usuarios * DS8 Atender y Aconsejar a los clientes * * * DS9 Administrar la Configuración * DS10 Administrar Problemas e Incidentes * DS11 Administrar Datos * * * * * DS12 Administrar Instalaciones * * * * * * * * * DS13 Administrar Operaciones * * MONITOREO M1 Monitorear los Procesos * M2 Evaluar qué tan adecuado es el Control Interno M3 Obtener el Aseguramiento Independiente M4 Colaborar en la Auditoría Independiente * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 53 * * * * * * 53 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION PREOCUPACIONES DE LOS DIRECTIVOS DE TI Costos Soporte y Mantenimiento Administración de Incidentes Control de Configuración Seguridad Disponibilidad Administración De la Red Control de Configuración Integridad de Datos Procedimientos Informales Control de Calidad Altos Costos de Propiedad Control de las Versiones de Software Problemas de Admón. del Usuario Final Incompatibilidad con la Infraestructura Técnica Problemas de Control de Acceso Falla al Coordinar los Requerimientos FACTORES DE RIESGO Control de Acceso Grupos de Trabajo y Groupware Arquitectura Cliente/Servidor PLANEACIÓN & ORGANIZACIÓN PO1 Definir un Plan Estratégico deTI * * PO2 Definir la Arquitectura de Información PO3 Determinar la Dirección Tecnológica PO4 Definir la Organización y las Relaciones de TI * * * * * * * * * * * * * * * * PO5 Administrar la Inversión de Tecnología de Información * * * * * * * * * PO8 Asegurar el Cumplimiento con los Requerimientos Externos * * * PO9 Evaluar los Riesgos * * PO6 Comunicar las Aspiraciones y Dirección de la Gerencia * * * PO7 Administrar Recursos Humanos PO10 Administrar Proyectos * * * * * PO11 Administrar Calidad * * * * * * * * * ADQUISICIÓN & IMPLEMENTACIÓN AI11 Identificar Soluciones Automatizadas * * * * * AI12 Adquirir y Mantener Software de Aplicación * AI13 Adquirir y Mantener la Infraestructura Tecnológica * * * AI14 Desarrollar y Mantener los Procedimientos AI15 Instalar y Acreditar Sistemas * AI16 Administrar Cambios * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * ENTREGA & SOPORTE * DS1 Definir y Administrar niveles de Servicio DS2 Administrar los Servicios de las Terceras Partes * * * * * DS3 Administrar el Desempeño y la Capacidad * * DS4 Asegurar el Servicio Continuo * * * DS5 Garantizar la Seguridad en los sistemas * * * * * * * * * * * * * * * DS6 Identificar y Asignar Costos * DS7 Educar y Capacitar a Usuarios * * * DS8 Atender y Aconsejar a los Clientes * * DS9 Administrar la Configuración * * * * * * * * * * DS10 Administrar Problemas e Incidentes DS11 Administrar Datos * DS12 Administrar Instalaciones * * * * * * * * * * DS13 Administrar Operaciones * * * * * * * * * MONITOREO M1 Monitorear los Procesos * M2 Evaluar qué tan adecuado es el Control Interno * M3 Obtener el Aseguramiento Independiente * * * M4 Colaborar en la Auditoría Independiente * * * 54 28361 imp toolset.pub page 54 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION DIAGNÓSTICO DE CONTROL DE TI IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 55 55 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION DIAGNÓSTICOS DE CONTROL DE TI FORMA DE TRABAJO PREVIA A LA AUDITORÍA PO1 Definir un Plan Estratégico de TI PO2 Definir la Arquitectura de TI PO3 Determinar la Dirección Tecnológica PO4 Definir la Organización y las Relaciones de TI PO5 Administrar la Inversión de Tecnología de Información PO6 Comunicar las Aspiraciones y Dirección de la Gerencia PO7 Manejar los Recursos Humanos PO8 Asegurar el Cumplimiento de los Requerimientos Externos PO9 Evaluar los Riesgos PO10 Administrar Proyectos PO11 Administrar Calidad AI1 Identificación de Soluciones Automatizadas AI2 Adquisición y Mantenimiento del Software de Aplicación AI3 Adquisición y Mantenimiento de Infraestructura Tecnológica AI4 Desarrollar y Mantener los Procedimientos de TI AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios DS1 Definir y administrar niveles de Servicio DS2 Administrar los Servicios prestados por Terceras Partes DS3 Administrar el Desempeño y la Capacidad DS4 Asegurar el Servicio Continuo DS5 Garantizar la Seguridad en los Sistemas DS6 Identificar y Asignar Costos DS7 Educar y Capacitar a los Usuarios DS8 Asistir y Aconsejar a los Clientes DS9 Administrar la Configuración DS10 Administrar Problemas e Incidentes DS11 Administrar Datos DS12 Administrar Instalaciones DS13 Administrar Operaciones M1 Monitorear los Procesos M2 Evaluar qué tan adecuado es el Control Interno M3 Obtener el Aseguramiento Independiente M4 No Determinado Resuelto N/A Disposición de los Descubrimientos Descubrimientos Rectificación Debilidades Materiales Proceso de TI Adversa Calificada No No Calificada Si Previo a la Auditoría Opinión Sin resolver Previo al Alcance Colaborar en la Auditoría Independiente Inserte el número de la debilidad material y/o hallazgo si hay más de uno por categoría de proceso y luego refleje el número apropiado bajo cada columna. 56 28361 imp toolset.pub page 56 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION FORMA CORTA DE LA ENTIDAD Definir un Plan Estratégico de TI PO2 Definir la Arquitectura de Información PO3 Determinar la Dirección Tecnológica PO4 Definir la Organización y las Relaciones de TI PO5 Administrar la Inversión de Tecnología de Información PO6 Comunicar las Aspiraciones y Dirección de la Gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento con los Requerimientos Externos PO9 Evaluar los Riesgo PO10 Administrar Proyectos PO11 Administrar Calidad AI1 Identificar Soluciones Automatizadas AI2 Adquirir y Mantener Software de Aplicación AI3 Adquirir y Mantener la Infraestructura Tecnológica AI4 Desarrollar y Mantener los Procedimientos AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios DS1 Definir y Administrar Niveles de Servicio DS2 Administrar los Servicios prestados por Terceras Partes DS3 Administrar el Desempeño y la Capacidad DS4 Asegurar el Servicio Continuo DS5 Garantizar la Seguridad en los Sistemas DS6 Identificar y Asignar Costos DS7 Educar y Capacitar a Usuarios DS8 Atender y Aconsejar a los Clientes DS9 Administrar la Configuración DS10 Administrar Problemas e Incidentes DS11 Administrar Datos DS12 Administrar Instalaciones DS13 Administrar Operaciones M1 Monitorear los Procesos M2 Evaluar qué tan adecuado es el Control Interno M3 Obtener el Aseguramiento Independiente M4 Colaborar en la Auditoría Independiente IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 57 No Aplicable No Clasificado Formalmente Clasificado No está Seguro Pobre Satisfactorio Muy Bien Proceso de TI PO1 Excelente Desempeño No Aplicable No Está Seguro No Importante Algo Importante Muy Importante Importancia 57 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION FORMA LARGA DE LA ENTIDAD 28361 imp toolset.pub page 58 Definir un Plan Estratégico de TI PO2 Definir la Arquitectura de Información PO3 Determinar la Dirección Tecnológica PO4 Definir la Organización y las Relaciones de TI PO5 Administrar la Inversión de Tecnología de Información PO6 Comunicar las Aspiraciones y Dirección de la Gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento con los Requerimientos Externos PO9 Evaluar los Riesgos PO10 Administrar Proyectos PO11 Administrar Calidad AI1 Identificar Soluciones Automatizadas AI2 Adquirir y Mantener Software de Aplicación AI3 Adquirir y Mantener la Infraestructura Tecnológica AI4 Desarrollar y Mantener los Procedimientos AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios DS1 Definir Niveles de Servicio DS2 Administrar los Servicios prestados por Terceras Partes DS3 Administrar el Desempeño y la Capacidad DS4 Asegurar el Servicio Continuo DS5 Garantizar la Seguridad en los Sistemas DS6 Identificar y Asignar Costos DS7 Educar y Capacitar a Usuarios DS8 Atender y Aconsejar a los Clientes DS9 Administrar la Configuración DS10 Administrar Problemas e Incidentes DS11 Administrar Datos DS12 Administrar Instalaciones DS13 Administrar Operaciones M1 Monitorear los Procesos M2 Evaluar qué tan adecuado es el Control Interno M3 Obtener el Aseguramiento Independiente M4 Colaborar en la Auditoría Independiente Ref. PT No está Seguro No Documentado Documentado No Aplicable No Clasificado Formalmente Clasificado No está Seguro Pobre Satisfactorio Procesos de TI PO1 Muy Bien Excelente No Está Seguro 58 Controles Internos Desempeño Algo Aplicable No Importante Muy Importante Algo Importante Importancia IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION FORMA DE EVALUACIÓN DE RIESGO Definir un Plan Estratégico de TI PO2 Definir la Arquitectura de Información PO3 Determinar la Dirección Tecnológica PO4 Definir la Organización y las Relaciones de TI PO5 Administrar la Inversión de Tecnología de Información PO6 Comunicar las Aspiraciones y Dirección de la Gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento con los Requerimientos Externos PO9 Evaluar los Riesgos PO10 Administrar Proyectos PO11 Administrar Calidad AI1 Identificar Soluciones Automatizadas AI2 Adquirir y Mantener Software de Aplicación AI3 Adquirir y Mantener la Infraestructura Tecnológica AI4 Desarrollar y Mantener los Procedimientos AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios DS1 Definir y Administrar Niveles de Servicio DS2 Administrar los Servicios prestados por Terceras Partes DS3 Administrar el Desempeño y la Capacidad DS4 Asegurar el Servicio Continuo DS5 Garantizar la Seguridad en los Sistemas DS6 Identificar y Asignar Costos DS7 Educar y Capacitar a Usuarios DS8 Atender y Aconsejar a los Clientes DS9 Administrar la Configuración DS10 Administrar Problemas e Incidentes DS11 Administrar Datos DS12 Administrar Instalaciones DS13 Administrar Operaciones M1 Monitorear los Procesos M2 Evaluar qué tan adecuado es el Control Interno M3 Obtener el Aseguramiento Independiente M4 Colaborar en la Auditoría Independiente Ref. PT No está Seguro No Documentado Documentado No está Seguro Inmaterial Bajo Medio Alto Procesos de TI PO1 IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 59 Controles de Riesgo Riesgo No Está Seguro No Importante Muy Importante Algo Importante Importancia 59 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION FORMA DE LA PARTE RESPONSABLE Realizado Por (1) Procesos de TI PO1 Definir un Plan Estratégico de TI PO2 Definir la Arquitectura de Información PO3 Determinar la Dirección Tecnológica PO4 Definir la Organización y las Relaciones de TI PO5 Administrar la Inversión de Tecnología de Información PO6 Comunicar las Aspiraciones y Dirección de la Gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento con los Requerimientos Externos PO9 Evaluar los Riesgos PO10 Administrar Proyectos PO11 Administrar Calidad AI1 Identificar Soluciones Automatizadas AI2 Adquirir y Mantener Software de Aplicación AI3 Adquirir y Mantener la infraestructura tecnológica AI4 Desarrollar y Mantener los Procedimientos AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios DS1 Definir y Administrar Niveles de Servicio DS2 Administrar los Servicios prestados por Terceras Partes DS3 Administrar el Desempeño y la Capacidad DS4 Asegurar el Servicio Continuo DS5 Garantizar la Seguridad en los Sistemas DS6 Identificar y Asignar Costos DS7 Educar y Capacitar a Usuarios DS8 Atender y Aconsejar a los Clientes DS9 Administrar la Configuración DS10 Administrar Problemas e Incidentes DS11 Administrar Datos DS12 Administrar Instalaciones DS13 Administrar Operaciones M1 Monitorear los Procesos M2 Evaluar qué tan adecuado es el Control Interno M3 Obtener el Aseguramiento Independiente M4 Colaborar en la Auditoría Independiente Entidad con la Responsabilidad Principal (1) Identifique las unidades organizacionales (departamento de TI, dentro de la organización, externo o no está seguro) que realizarán las actividades incorporadas dentro de los procesos de TI. 60 28361 imp toolset.pub page 60 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION FORMATO DE SERVICIO Ó ACUERDO DE NIVEL DE SERVICIO (SLA) Definir un Plan Estratégico de TI PO2 Definir la Arquitectura de Información PO3 Determinar la Dirección Tecnológica PO4 Definir la Organización y las Relaciones de TI PO5 Administrar la Inversión de Tecnología de Información PO6 Comunicar las Aspiraciones y Dirección de la Gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento con los Requerimientos Externos PO9 Evaluar los Riesgos PO10 Administrar Proyectos PO11 Administrar Calidad AI1 Identificar Soluciones Automatizadas AI2 Adquirir y Mantener Software de Aplicación AI3 Adquirir y Mantener la Infraestructura Tecnológica AI4 Desarrollar y Mantener los Procedimientos AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios DS1 Definir y Administrar Niveles de Servicio DS2 Administrar los Servicios prestados por Terceras Partes DS3 Administrar el Desempeño y la Capacidad DS4 Asegurar el Servicio Continuo DS5 Garantizar la Seguridad en los Sistemas DS6 Identificar y Asignar Costos DS7 Educar y Capacitar a Usuarios DS8 Atender y Aconsejar a los Clientes DS9 Administrar la Configuración DS10 Manejar Problemas e Incidentes DS11 Administrar Datos DS12 Administrar Instalaciones DS13 Administrar Operaciones M1 Monitorear los Procesos M2 Evaluar qué tan adecuado es el Control Interno M3 Obtener el Aseguramiento Independiente M4 Colaborar en la Auditoría Independiente IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 61 Ref. PT No está Seguro No Aplicable No Si ¿Contrato Formal/SLA establecido? No esta Seguro Documentado No Está Seguro Terceras Partes Departamento de TI Dentro de la Organiz. Procesos de TI PO1 No Documentado Controles Internos Realizado por 61 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION PAGINA INTENCIONALMENTE EN BLANCO 62 28361 imp toolset.pub page 62 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION ESTUDIO DE CASOS DE COBIT MICHAEL P. RAS, CISA, GERENTE SENIOR DE AUDITORÍA DE TI GRUPO CEDEL LUXEMBURGO RESUMEN El tremendo cambio en la manera en que el Grupo Cedel realiza sus negocios ha creado una necesidad de revisar los controles y actualizar las formulaciones de políticas. La implantación exitosa de COBIT ha sido un esfuerzo de equipo entre la alta administración, TI y los usuarios finales. Los objetivos de negocios se han vinculado estrechamente con las políticas de control y auditoría, ya que los líderes de negocios reciben el valor agregado de las actividades de control y de auditoría de TI. ANTECEDENTES Creada como una organización de compensación en 1970 por 66 de las más grandes instituciones financieras del mundo, Grupo Cedel minimiza el riesgo en el establecimiento de intercambio de valores entre países, particularmente en el creciente mercado Eurobond. Tiene más de 800 empleados en Luxemburgo, Dubai, Hong Kong, Londres, New York y Tokio y se han establecido vínculos con los mercados de valores de más de 30 países. Los resultados de las transacciones para 1997 excedieron los $15 trillones de dólares y Banco Cedel tiene $1.4 trillones de dólares en valores de clientes bajo su custodia. El creciente negocio internacional ha dado como resultado intercambios de hasta $100 billones de dólares, en transacciones de un día de negocios promedio. Mientras que nuestro ambiente anterior de TI era estable, confiable y cubría las necesidades del negocio, el cambio era necesario para mantener un ambiente controlado. A finales de 1980 experimentamos un crecimiento de nuevas oportunidades de negocio, demandas sofisticadas de TI, el desarrollo de nuevas aplicaciones cliente/servidor y cambios dramáticos en los ambientes de computadoras personales y redes de telecomunicaciones. Mientras que las Declaraciones de las Políticas de Sistemas de Grupo Cedel se mantuvieron aplicables y reforzadas, cada vez más surgían situaciones donde los métodos estipulados para cubrir los requerimientos de control no eran apropiados en el nuevo ambiente. Por ejemplo, la política asociada con el ambiente anterior DOS/Novell requería que existiera un control para evitar que un usuario entrara al sistema más de una vez al mismo tiempo. Ahora esto evitaba que un usuario que tuviera acceso al sistema desde un sitio de contingencia no tuviera acceso al sistema desde su sitios normal de trabajo. Los permisos y las solicitudes de cambio a los requerimientos de la política se estaban convirtiendo en algo muy común. PROCESO De frente al reto de desarrollar y mantener políticas de control que aplicasen a cambios significativos en las áreas tecnológica, ambiental y de proceso, aprovechamos la oportunidad para examinar el enfoque de auditoría de TI. Se revisaron varias metodologías alternativas y COBIT resultó ser la más apropiada. Comenzamos a implantar COBIT en 1996 mediante la aplicación de un marco de referencia para la auditoría, la cual se llevó a cabo de manera exitosa subsecuentemente. Nuestro departamento de TI fue urgido por los resultados de la auditoría para considerar al COBIT como el marco de referencia para un nuevo conjunto de Declaraciones de Políticas del Grupo Cedel. El director de procesamiento y comunicaciones, quien encabezó esta revisión, declaró: “COBIT presentó sus objetivos de control de una manera novedosa y lógica que es práctica para su implantación.” Los resultados de una revisión completa de COBIT de las políticas de Cedel se han vuelto alentadores. Las nuevas políticas que se están generando aplican a todas las plataformas técnicas. Además, la alta administración se está volviendo más consciente del riesgo y del control. El conflicto tradicional entre cubrir los objetivos del negocio y manejar los requerimientos de control se está convirtiendo en menos que un problema conforme los gerentes reconocen con frecuencia los beneficios de los controles en los negocios. CONCLUSIÓN Un enfoque novedoso y fuerte sobre negocios prácticos y prioridades de eficiencia fue la diferencia más notable cuando se implantó COBIT. Siguiendo sus principios, ahora establecemos auditorías basadas en los propios objetivos de negocios y de operación de los auditados. Ahora las auditorías se manejan desde arriba, en lugar de la parte media y hacia abajo. La introducción de COBIT ha probado ser un método de auditoría extremadamente eficaz y la alta administración ha encontrado que las auditorías agregan valor al negocio. Basándome en el éxito de nuestra organización con la implantación de COBIT, recomiendo a mis colegas analizar a COBIT con su respectiva administración de TI. COBIT es un enfoque altamente flexible y creíble para mantener y mejorar un ambiente controlado para beneficio de todos los involucrados en la industria. IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 63 63 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION JOHN BEVERIDGE, CISA OFICINA DEL AUDITOR DEL ESTADO DE MASSACHUSETTS ESTADOS UNIDOS RESUMEN La Oficina del Auditor del Estado es la principal entidad de auditoría gubernamental para el gobierno estatal de Massachusetts. Hemos utilizado extensamente COBIT en la selección de auditoría, en compromisos individuales y para sustentar resultados. COBIT ayuda a nuestros equipos en la identificación de auditorías de TI y para delimitarlas en uno o más dominios o conjuntos de objetivos de control. ANTECEDENTES Nuestras auditorías proporcionan al gobernador, al cuerpo legislativo, a los auditados, a las entidades de control y al público una evaluación independiente de las funciones y las actividades del estado. La división de auditoría de TI realiza auditorías integradas, financieras, operativas y de TI en un ambiente multi – plataforma que incluye 20 grandes centros de datos y más de 150 pequeñas y medianas instalaciones en más de 600 entidades de auditoría. PROCESO Nuestro equipo de administración de auditorías de TI utilizó un enfoque por fases en donde algunos miembros de nuestro personal de auditoría de TI fueron introducidos al Marco de Referencia, Objetivos de Control y Directrices de Auditoría para su utilización en auditorías. El equipo seleccionado audita la instalación de TI donde el examen incluye en el alcance el sistema bajo desarrollo auditando un sistema de aplicación en particular. Una vez que el equipo administrativo y los auditores senior seleccionados estuvieron lo suficientemente familiarizados con COBIT para apoyar a otra parte del personal, todo el personal de auditoría de TI recibió una sesión de capacitación de 2 días sobre el modelo de control y los productos relacionados. La utilización de COBIT como programa piloto proporcionó una excelente idea de su aplicación y las experiencias adecuadas sobre las cuales se desarrolla la capacitación. En la tarea previa a la auditoría COBIT ayuda a identificar procesos de alto riesgo de TI y evalúa el ambiente de control de TI. Por medio de la revisión de las políticas organizacionales y de TI contra los objetivos de control detallados y de alto nivel de COBIT, el equipo se enfoca rápidamente en las áreas a ser incluidas en el alcance de la auditoría o en la tarea de servicios potenciales de consultoría administrativa. Durante las actividades previas a la auditoría, nuestro equipo usa el marco de referencia y los objetivos de control de COBIT para facilitar las discusiones de entrevista. La identificación de datos y los requerimientos y fuentes de información son referidos a los requerimientos de información de negocios de COBIT. Esto ayuda a los equipos de auditoría y a los auditados en discusiones sobre objetivos de control y políticas, procedimientos y estándares de control. El enfoque de COBIT hacia los objetivos de controlo y su propósito relacionado con la organización de negocios ha apoyado los esfuerzos de la administración de auditorías para alejarse de las auditorías mediante listas de verificación. Continuamos fortaleciendo nuestro proceso de planeación de auditorías y nuestra comprensión de los objetivos de control fundamentales para la TI mediante la implantación de los principios de COBIT. CONCLUSIÓN Al comienzo del compromiso, el equipo de auditoría hace referencia a COBIT durante las conferencias iniciales como uno de sus principales criterios de auditoría. Es una fuente experta que otorga credibilidad a los criterios de revisión y, cuando se comparte con el auditado, proporciona excelentes oportunidades para un trabajo constructivo de auditoría. Esto ha ayudado a los auditados a entender la base de la revisión desde el principio. Además, nuestro equipo descubrió que COBIT utiliza eslabones con el Committee of Sponsoring Organizations (COSO) y cambios actuales para los estándares de auditoría (por ejemplo, implantación de SAS 70 y 78). Las Directrices de auditoría de COBIT también pueden utilizarse para desarrollar programas de trabajo de auditoría. COBIT también es útil para ayudar a los auditados a evaluar y fortalecer sus controles internos. Existe un tremendo beneficio para ellos al estar mejor preparados para las siguientes auditorías. El estar conscientes de los criterios de revisión significa que los auditados están conscientes de las prácticas de control recomendadas para los procesos de TI. La organización de COBIT facilita al auditado la relación e interpretación de las solicitudes de información y de las recomendaciones subsecuentes de los auditores. Nuestra experiencia con COBIT también ha ayudado a los auditores poco experimentados a comprender los procesos de TI y los objetivos detallados de control, y para delimitar esto dentro de la organización auditada y el ambiente de TI. Mediante la implantación de COBIT, hemos identificado la necesidad de mejorar y enmendar lineamientos de auditoría genéricos, manuales de procedimientos de auditoría y revisiones de aseguramiento de calidad. En lo general, hemos logrado una consistencia incrementada de las discusiones con respecto a dominios de TI, objetivos de control y controles de 64 28361 imp toolset.pub page 64 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION AD VAN NIJNATTEN, ASOCIADO, AUDITORÍA DE PED, PAÍSES BAJOS EDDY SCHUERMANS, CISA, ASOCIADO, SERVICIOS DE ASEGURAMIENTO, BÉLGICA RENE BARLAGE, AUDITOR DE PED PRICEWATERHOUSECOOPERS RESUMEN En los Países Bajos, PriceWaterHouseCoopers tiene 100 auditores de PED en servicios de aseguramiento de computadoras, muchos de los cuales ya poseen un profundo conocimiento de COBIT y lo están utilizando para sus clientes. Para muchos clientes, utilizamos el siguiente enfoque por fases: • Enfocar. Identificar los motores del negocio para la TI y evaluar el nivel de riesgos de negocios involucrados con la implementación de TI. • Evaluar. Valorar las amenazas y vulnerabilidades, identificar la falta o las medidas de control inadecuadas y determinar las raíces de las causas. • Resolver las deficiencias de control. Acordar planes de acción y aplicar mejoras de control interno. • Monitorear. Asegurar el mejoramiento continuo mediante la implantación de un monitoreo adecuado de las medidas de control interno aplicadas. ANTECEDENTES Hemos implantado COBIT para varios clientes de PriceWaterHouseCoopers y ellos apoyan fuertemente el marco de referencia. Nuestro personal lo utiliza para desarrollar programas de mejoramiento para los departamentos de TI de los clientes Los objetivos detallados de control nos ayudan a valorar mejor los procesos administrativos de los sistemas de los clientes. PROCESO Los ejemplos de la manera en que COBIT se utilizó exitosamente en situaciones de negocios incluyen: Línea aérea. El cliente nos pidió que midiéramos la eficacia y la eficiencia de su departamento de TI. Primero medimos la satisfacción de los usuarios y, después de analizar los resultados, realizamos una revisión detallada de los procesos de TI, basándonos en COBIT como guía. Como resultado, los procedimientos en el departamento de TI mejoraron significativamente. Proveedor de servicios de redes. Un proveedor de redes implantó una administración de sistemas basada en ITIL. Se nos pidió que realizáramos una revisión externa y que reportáramos los resultados a los clientes del proveedor. Nuestro personal utilizo el marco de referencia de COBIT para realizar la auditoría. Asociaciones civiles. Basándonos en los principios de COBIT e ITIL, realizamos un programa de mejoramiento para el departamento de TI. Cámara de Comercio. Varias fusiones y cambios significativos de negocios habían afectado el ambiente de TI de la organización. Usamos el marco de referencia de COBIT para implantar un programa de mejoramiento apropiado. Banca. Un banco danés nos solicitó documentar los controles base para diversas plataformas. Describimos los controles base para RS/6000, servidores Windows NT y diversos componentes de redes. Para la parte de administración de sistemas de los controles base, consultamos los objetivos detallados de control de COBIT. CONCLUSIÓN Un beneficio único de COBIT es que la Biblioteca de Infraestructura de TI (ITIL – Information Technology Infrastructure Library) es uno de los estándares globales sobre los cuales se basa COBIT. Desarrollada en el Reino Unido, ITIL es popular en muchos países. En los Países Bajos, a los auditores miembros de ITIMF.EDP, un grupo usuario de ITIL, con frecuencia se les pide que auditen procesos de TI creados utilizando publicaciones ITIL. COBIT proporciona un excelente marco de referencia para realizar dichas auditorías. IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 65 65 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION PRATAP OAK, AUDITOR SENIOR DE TI JAY STOTT, VICEPRESIDENTE, AUDITORÍA DE TI FIDELITY INVESTMENTS BOSTON, MASSACHUSETTS, ESTADOS UNIDOS DE AMÉRICA RESUMEN Desde que Fidelity Investments, una organización de administración de inversiones con base en Boston, MA, adoptó COBIT, el trabajo de auditoría se ha vuelto extremadamente consistente y ahora son factibles las auto – evaluaciones de control. ANTECEDENTES Fidelity tiene 24,000 empleados en 70 ciudades en los Estados Unidos, Canadá, Europa, Australia y Asia. Los bienes/ activos de sus clientes representan un total de aproximadamente $905 billones de dólares. El marco de referencia de COBIT puede mejorar proactivamente el ambiente de control y proporciona servicios con valor agregado. Resuelve directamente el reto enfrentado por nuestro CIO y otros ejecutivos en apoyo a los objetivos generales de negocios mediante el mejoramiento continuo de los sistemas de TI. Como resultado del apoyo de la alta administración y el ánimo de mejoramiento continuo, hemos ‘COBIT – izado’ el proceso de auditoría en un período de tiempo relativamente corto. Hemos logrado más auditorías con menos recursos y hemos mejorado la coordinación con otros grupos de auditoría, las evaluaciones de riesgos, la planeación de auditorías, el alcance de las auditorías y la comunicación de problemas de auditoría. Uno de los beneficios más importantes que hemos obtenido utilizando COBIT es la satisfacción de llevar a cabo un trabajo de calidad. PROCESO Anteriormente, el reto de mitigar los riesgos de TI se manejaba con las mejores prácticas y metodologías relacionadas. Nuestros gerentes apoyan fuertemente las mejoras continuas y reconocieron rápidamente que COBIT proporcionaba un estándar generalmente aplicable y aceptado para el control de TI. COBIT ha llevado el proceso hacia delante ofreciendo una base para los controles de TI que se relacionan directamente con los objetivos de negocios de Fidelity. En 1996, realizamos una revisión utilizando el marco de referencia de COBIT y confirmamos su utilidad. En 1997, creamos una base de datos de dominios, procesos y objetivos/elementos de control de COBIT. Entonces mapeamos la base de datos COBIT con los diversos tipos de auditorías que realizamos. Muchos cambios positivos fueron el resultado de este esfuerzo. Los programas de auditoría y la documentación de papeles de trabajo fueron actualizados con base al marco de referencia. COBIT fue incorporado en nuestra declaración de misión. Los memorándums de compromiso explican ahora la manera en que se usa el marco de referencia y copias del marco de referencia están disponibles para los auditados para ayudarles a prepararse mejor para la auditoría y para comprender sus beneficios. CONCLUSIÓN Mediante la implantación de COBIT, hemos incorporado en nuestras auditorías un cuerpo de conocimientos completo sobre los controles. COBIT proporciona una base experta de los controles de TI y ayuda a asegurar una cobertura completa, eficiente y consistente del ambiente de control de TI. En el futuro, planeamos utilizar COBIT para controlar las revisiones de auto – evaluación y para reforzar el ambiente de control. Proporciona una base para medir mejor el estado del ambiente de control de TI y es lo suficientemente flexible para apoyar nuestros objetivos a través de muchos cambios por venir. 66 28361 imp toolset.pub page 66 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION CHRISTIAN HENDRICKS DEPARTAMENTO DE DEFENSA ESTADOS UNIDOS RESUMEN The Office of Inspector General (OIG) del Departamento de Defensa de los Estados Unidos utiliza COBIT como un estándar para definir el área de auditoria de TI. COBIT está escrito de manera tal que la comunidad de TI puede entender y adherirse al mismo. Como resultado, pueden prepararse planes estratégicos para asegurar una cobertura de auditoría eficaz. Este estudio de caso detalla la forma en que se implantó COBIT para realizar la planeación estratégica de TI, establecer una base para evaluar las habilidades de sus auditores y seleccionar los mejores cursos de capacitación de TI. ANTECEDENTES El dominio y marco de referencia del proceso de COBIT presenta actividades de control dentro de una estructura manejable y definible. Para cada uno de los cuatro dominios, los objetivos de control se evalúan sobre la base de la oportunidad en que se presentan en el plan estratégico de la OIG. Nuestra meta a largo plazo es cubrir cada uno de los objetivos de control dentro de los dominios. PROCESO Las auditorías se planean utilizando los objetivos de control como criterios. Los procedimientos detallados de auditoría se desarrollan sobre la base de diversas áreas, incluyendo los requerimientos gubernamentales y el uso de técnicas de auditoría asistidas por computadora. Dado que los auditores que trabajan en TI necesitan experiencia especializada, utilizamos COBIT para realizar evaluaciones de habilidades y asegurar que la auditoría pueda llevarse a cabo exitosamente. Los auditores califican su capacidad de trabajo en los cuatro dominios de COBIT y evalúan su capacidad de auditoría utilizando los objetivos de control de alto nivel. Los estudios, la capacitación y la experiencia en TI de cada auditor se caracterizan basándose en los siguientes tres conjuntos de habilidades: Comprensión Básica: Amplio conocimiento de un proceso de TI, su propósito, sus objetivos y sus metas. Conocimiento Funcional: Capacidad demostrada para identificar fortalezas y debilidades de control interno dentro de un proceso de TI. Conocimiento Experto: Capacidad de diseñar y utilizar técnicas de auditoría asistidas por computadora para identificar, evaluar y corregir debilidades de control interno. Para evaluar las oportunidades de capacitación, mantenemos una base de datos de cursos basados en su capacidad de brindar un conjunto de habilidades que apoyen a un dominio y objetivo de control de COBIT. Otros factores, tales como costo del curso, fechas y desempeño, también son tomados en consideración. Basándonos en la evaluación de cursos de COBIT, podemos seleccionar el mejor curso en el momento adecuado. CONCLUSIÓN COBIT proporciona un marco de referencia al que la comunidad de TI puede comprender y adherirse. Como resultado, pueden prepararse planes estratégicos de auditoría para asegurar una cobertura de auditoría eficaz. Además, utilizando los objetivos de control como base para evaluar las auditorías de TI y los requerimientos de habilidades de los auditores, se puede brindar capacitación eficaz y oportuna para asegurar que la auditoría pueda llevarse a cabo exitosamente. IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 67 67 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION JOHN BEVERIDGE, CISA PARA BOSTON GAS COMPANY ESTADOS UNIDOS DE AMÉRICA RESUMEN Se estudió cuidadosamente a COBIT para aprender sus beneficios y determinar como sería más beneficioso para Boston Gas. Consistente con la estrategia de Auditoría Interna del departamento, de proporcionar servicios de auditoría con valor agregado, COBIT ha servido como un punto de referencia para las mejores prácticas de control y para los criterios de revisión. ANTECEDENTES Boston Gas Company, un servicio público, emplea a 1,400 personas y genera $700 millones de dólares al año. Da servicio a 74 ciudades y poblaciones en el área metropolitana de Boston, MA, EUA. Su ambiente de TI es manejado principalmente por un Mainframe IBM, plataformas UNIX, Novell, y plataformas y redes NT. PROCESO El Gerente de Auditoría Interna y un auditor de SI obtuvieron COBIT cuando se publicó en 1996 y poco después participaron en una presentación de COBIT patrocinada por el Capítulo de Nueva Inglaterra de ISACA. Convencidos de que COBIT podía beneficiar a Boston Gas en el desarrollo de políticas y procedimientos relacionados con TI y para llevar a cabo auditorías de TI, los gerentes presentaron los principios de COBIT al Vicepresidente de SI y a los miembros del personal de SI. Como resultado de dicha presentación, se identificaron varios usos personalizados y exitosos de COBIT, incluyendo: • El Director de Auditoría Interna indicó que el departamento adoptaría a COBIT como estándar de revisión de tal forma que los objetivos para la revisión se comunicasen de manera clara. • El departamento de SI adoptó a COBIT como punto de referencia y conjunto de objetivos y lineamientos de control contra los cuales medir las funciones y proyectos futuros y presentes de SI. CONCLUSIÓN El éxito de la introducción de COBIT y de que los departamentos de Auditoría Interna y SI lo adoptarán residió en familiarizarse con el marco de referencia de control, la obtención de capacitación y el enfoque de su tiempo hacia la implantación de sus principios. COBIT ha proporcionado valor agregado a la empresa de servicios públicos a través del enfoque hacia el objetivo general de negocios mientras se fortalecen los controles de TI. 68 28361 imp toolset.pub page 68 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION DAVID ABTS, VICEPRESIDENTE EJECUTIVO, DIRECTOR DE MIS Y OPERACIONES SANTA BARBARA BANK AND TRUST SANTA BARBARA, CALIFORNIA, ESTADOS UNIDOS DE AMÉRICA RESUMEN El Santa Barbara Bank and Trust implantó COBIT para dar apoyo a nuestros objetivos generales de negocios con un gobierno de TI eficaz. ANTECEDENTES Adoptamos el enfoque COBIT porque se enfoca sobre las necesidades del negocio. Primero que nada, estamos manejando un negocio. Al implantar los principios de COBIT, hemos sido capaces de mantener en la mira nuestros objetivos de negocios mientras que damos los pasos necesarios para asegurar un ambiente controlado de sistemas de información. PROCESO Nuestros auditores de SI anteriormente se enfocaban en auditorías de sistemas o códigos de cómputo. Después de implantar los principios de COBIT, realizan las auditorías de acuerdo con los procesos del negocio, con alcances de auditoría que son fácilmente comprendidos y apoyados por los gerentes de negocios. Por ejemplo, en donde una auditoría anteriormente se podría haber enfocado en el ‘control sobre NT’, ahora tendrá como objetivo el ‘procesamiento de principio a fin de una solicitud de préstamo.’ En vez de considerar a las auditorías de SI como una interrupción de los negocios, los gerentes de los departamentos ahora utilizan el conocimiento de los auditores para agregar valor y protección. Por dar un ejemplo, los gerentes aseguraron a los auditores que las personas externas indeseables no podrían tener acceso a las computadoras internas a través de un sitio corporativo de la red mundial (world wide web). Pero el personal de auditoría notó que existía una capacidad de correo electrónico y alertó a los gerentes de que el sistema de correo electrónico necesitaba controles para reducir el riesgo de correos Spam, el cual podría afectar a la red. CONCLUSIÓN Como resultado de la implantación de COBIT, la cooperación entre los gerentes de negocios y los auditores de SI aumentó y se mejoró la comunicación. El marco de referencia de COBIT y sus otros componentes ayudaron a los gerentes a comprender claramente la manera en que los controles y los asuntos de seguridad benefician a sus departamentos. Cuando los gerentes de los departamentos y los auditores de SI hablan el mismo idioma de negocios, el proceso de auditoría se convierte en un esfuerzo cooperativo que beneficia a todo el banco. IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 69 69 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION PETER DE KONICK, AUDITOR SENIOR, BRUSELAS, BÉLGICA ERIK GULDENTOPS, DIRECTOR, GLOBAL INFORMATION SECURITY SOCIEDAD PARA LA TELECOMUNICACIÓN FINANCIERA INTERBANCARIA MUNDIAL (S.W.I.F.T. – SOCIETY FOR WORLDWIDE INTERBANK FINANCIAL TELECOMMUNICATION) RESUMEN La Sociedad para la Telecomunicación Financiera Interbancaria Mundial (S.W.I.F.T.) utilizó COBIT en una auditoría de sus centros de apoyo al cliente localizados en los Países Bajos, Singapur y los Estados Unidos. Este fue un esfuerzo de auditoría que implicó 16 personas por semana. ANTECEDENTES S.W.I.F.T. es una cooperativa con base en Bélgica, propiedad de 2,465 bancos para servicios de mensajería financiera interbancaria segura y software de interfaz. La red global de S.W.I.F.T. maneja aproximadamente 2.5 millones de mensajes diariamente con un promedio total de transacciones diarias de $2.3 trillones de dólares. La función de apoyo al cliente de S.W.I.F.T. ha sido rediseñada recientemente y se pusieron en marcha nuevas herramientas y procesos. El plan de auditorías proporcionó espacio para herramientas y procesos de auditoría. COBIT ha sido utilizado para auditar los procesos, más no las herramientas. PROCESO La primera reacción de la administración ante el modelo de control y el gobierno de TI de COBIT fue un tanto negativa debido a la oportunidad. Pero los auditados con frecuencia piensan que las auditorías llegan en mal momento. Durante la auditoría, sin embargo, esta actitud se revirtió y el enfoque se convirtió en buena aceptación. Este cambio fue confirmado por la alta administración después de que recibieron el borrador del reporte de auditoría. Los gerentes estaban particularmente impresionados por la orientación del proceso que se utilizó en lugar de la forma tradicional de enfocarse hacia la confidencialidad/integridad/disponibilidad. El resultado más aparente del enfoque COBIT es la preparación lógica y la secuencia de las entrevistas que hacen más eficiente el proceso ya que los auditores obtienen su conocimiento en un orden apropiado. Se han tenido largas discusiones para obtener la aprobación del alcance de la auditoría por parte de la alta administración ya que el marco de referencia de COBIT estaba conduciendo una investigación en áreas anteriormente no investigadas. Los gerentes cuestionaron la capacidad del equipo de auditoría para realizar una auditoría de objetivos en estos nuevos campos. El departamento anteriormente únicamente observaba problemas de seguridad de TI, con una seguridad ampliamente definida. El enfoque COBIT se dirigía hacia la administración del proceso y a los problemas del control de procesos. Construimos una matriz utilizando los objetivos de control de COBIT. Una evaluación de riesgos nos ayudó a determinar cuáles objetivos serían verificados durante la auditoría. Entonces relacionamos los objetivos para la auditoría con (a) los alcances de auditorías anteriores, (b) los estándares de la industria y (c) con las listas de verificación proporcionadas por auditores externos. Basándonos en la matriz, construimos el programa de auditoría. El marco de referencia de COBIT nos permitió dar prioridad a las actividades de auditoría y áreas bajo revisión, utilizando las calificaciones primarias/secundarias proporcionadas por COBIT. CONCLUSIÓN La implantación del marco de referencia de COBIT en esta auditoría fue un cambio mayor para los auditores y la administración. Mientras que el cambio frecuentemente crea adversidad y crítica, la orientación del proceso fue rápidamente apreciada por la administración y los auditores están planeando utilizarla nuevamente. COBIT será usado más y más en auditorías futuras, seguramente ahora que el Comité de Auditoría lo ha ratificado como la referencia de auditoría de TI. Ciertamente se está considerando como una buena base para revisiones de tipo SAS70. Paralelamente, COBIT también ha logrado colarse dentro de la organización de TI de la empresa. Después de que el CIO, al encontrarse por accidente con el Marco de Referencia, lo ordenó para todos los Gerentes de Servicio de TI. Elevó sus ideas y planes para llevar a la organización de TI hacia una excelencia de procesos incrementada. COBIT también está encontrando uso inmediato y práctico. Cuando se buscan ideas para la definición de la misión y objetivos de un nuevo grupo de planeación de sistemas, el CIO vino y me dijo: “¡Dame tus Objetivos Detallados de COBIT para ayudarnos a hacer esto!” Yo solamente tuve que señalarle las secciones PO1 a la PO5. Él me había pedido ideas para esta misión y objetivos anteriormente, así es que ¿por qué no se me ocurrió a mí antes? 70 28361 imp toolset.pub page 70 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION 1. ¿CUÁL ES EL PROPÓSITO DE COBIT? El propósito de COBIT es proporcionar a los dueños de procesos administrativos y de negocios un modelo de gobierno de TI (IT – Information Technology) que ayude en la compresión y el manejo de los riesgos asociados con TI. COBIT ayuda a enlazar las brechas entre los riesgos de negocios, las necesidades de control y los problemas técnicos. Es un modelo de control para cubrir las necesidades de gobierno de TI y para asegurar la integridad de la información y de los sistemas de información. 2. ¿QUIÉN ESTÁ UTILIZANDO COBIT? COBIT está siendo utilizado por aquellos que tienen responsabilidades principales de procesos y tecnología de negocios, aquellos que dependen de la tecnología para información relevante y confiable, y aquellos que suministran calidad, confiabilidad y control de tecnología de información. 3. ¿QUIÉNES SON DUEÑOS DE PROCESOS? COBIT es un proceso de negocios orientado y por lo tanto se resuelve a sí mismo en primer lugar para los dueños de estos procesos. Refiriéndonos al Modelo Genérico de Negocios de Porter, estamos hablando de procesos básicos (abastecimiento, operaciones, mercadeo, ventas, etc.), así como también de procesos de apoyo (recursos humanos, administración, tecnología de información, etc.). Como consecuencia, COBIT no es aplicado solamente por el departamento de TI, sino por el negocio como un todo. El enfoque anterior se deriva del hecho de que en las empresas de hoy en día, los dueños de procesos son responsables del desempeño de sus procesos, de los cuales la TI se ha convertido en una parte integral. En otras palabras, tienen poder pero también son responsables. Como consecuencia, los dueños de procesos de negocios cargan con la responsabilidad final de la tecnología de información y su implementación dentro de los confines de sus procesos de negocios. Por supuesto, harán uso de servicios suministrados por entidades especializadas como el departamento de TI tradicional o el proveedor de servicios externo. COBIT brinda a los dueños de procesos un marco de referencia que deberá permitirles controlar todas las diferentes actividades que involucra la implementación de TI. Como resultado, sobre estas bases pueden obtener la seguridad razonable de que TI contribuirá en la consecución de los objetivos de su negocio.Además, COBIT brinda a los dueños de procesos de negocios un marco de referencia genérico de comunicación para facilitar la comprensión y la claridad entre las diferentes partes involucradas en el suministro de servicios de TI. De otra parte, la adición de Las Directrices Gerenciales, en la tercera edición provee a la administración un conjunto de herramientas que permiten auto-evaluaciones con el fin de tomar decisiones para la implementación de controles y el mejoramiento sobre TI, y medir el logro de los objetivos y del apropiado desempeño de los procesos de TI. Las Directrices Gerenciales incluyen Factores Críticos de Éxito, Indicadores Claves de Objetivo e Indicadores 4. ¿POR QUÉ SE ENFOCÓ LA ORIENTACIÓN DE COBIT EN EL PROCESO EN LUGAR DE LAS FUNCIONES O APLICACIONES? El marco de referencia de COBIT ha sido estructurado en 34 procesos de TI que agrupan actividades de ciclo de vida interrelacionadas o tareas discretas interrelacionadas. El modelo de procesos fue preferido por diversas razones. Primeramente, un proceso por naturaleza está orientado a los resultados de manera tal que se enfoca en el resultado final mientras optimiza el uso de recursos. La manera en que están físicamente estructurados dichos recursos, por ejemplo, personas/habilidades en departamentos, es menos relevante desde esta perspectiva. En segundo lugar, un proceso, y especialmente sus objetivos, es de naturaleza más permanente y no corre riesgos de cambio tan frecuentemente como una entidad organizacional. En tercer lugar, el despliegue de TI no puede confinarse a un departamento en particular e involucra usuarios y administración, así como también especialistas de TI. Dentro de este contexto, el proceso de TI permanece sin importar el común denominador. Por lo que a las aplicaciones respecta, se tratan dentro del marco de referencia de COBIT como una de las cinco categorías de recursos. Por lo tanto serán manejadas y controladas de manera tal que se obtenga la información requerida en el nivel de proceso del negocio. De esta forma, los sistemas de aplicaciones son una parte integral del marco de referencia de COBIT y pueden resolverse específicamente mediante el punto de ventaja de recurso. En otras palabras, al enfocarse estrictamente solo en los recursos, uno obtendría automáticamente un punto de vista de aplicaciones de los objetivos COBIT. 5. ¿QUÉ TAN ROBUSTOS SON LOS REQUERIMIENTOS DE NEGOCIOS? Durante el proceso de revisión de COBIT, a los gerentes senior y CIOs les agradó la definición de los IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 71 71 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION requerimientos de información del negocio y apoyaron las elecciones sobre cuáles requerimientos eran los más importantes en cuáles procesos. Las elecciones fueron difíciles y provocaron considerable debate entre los expertos durante el proyecto. El principio guía siempre ha sido: ¿Qué es realmente fundamental para este Objetivo de Control en este proceso? ¿Qué recurso necesita un control especial? ¿Cuál requerimiento de información necesita especial atención? 6. ¿CUÁL ES LA CALIDAD GENERAL DE COBIT Y FUERON ALGUNOS DUEÑOS/EJECUTIVOS DE NEGOCIOS PARTE DE LOS EXPERTOS QUE LLEVARON A CABO LA REVISIÓN? Con el fin de asegurar la calidad final de COBIT, se han tomado diversas medidas. Las más importantes son: i. Todo el proceso de investigación ha sido gobernado por el Comité Directivo de COBIT (CSC). Además de preconcebir las características de los entregables, el CSC también ha sido responsable por la calidad final de dichos entregables. ii. Los resultados detallados de la investigación han sido sujetos a controles de calidad a lo largo de todo el proceso. iii. Los resultados preliminares de la investigación, así como también el marco de referencia, han sido expuestos a dos grupos de expertos, incluyendo administradores de negocios. iv. Antes de publicar los textos finales, estos han sido distribuidos entre un número de especialistas para sus comentarios. Las Directrices Gerenciales fueron desarrolladas por un panel internacional conformado por 40 expertos en control y seguridad, directivos de TI profesionales en la administración del desempeño, analistas de la industria y académicos que participaron en un taller de trabajo residencial conducido por facilitadores profesionales. Los entregables del taller de trabajo atravesaron un proceso de aseguramiento de calidad y fueron expuestos para su revisión. Sin embargo en necesario enfatizar que las Directrices aún son genéricas, aplican generalmente y no proporcionan normas específicas de la industria. Las organizaciones necesitan en muchos casos personalizar éste conjunto general de Directrices a su propio ambiente. 72 28361 imp toolset.pub page 72 En general, la experiencia demuestra que el modelo COBIT convence a la administración de negocios como un todo y que aprecian su valor agregado desde el punto de vista del mejoramiento de su control sobre TI. A este respecto, estamos seguros de que se ha alcanzado el nivel de calidad requerido, más allá de la satisfacción del cliente. 7. ¿CUÁL ES LA DIRECCIÓN A FUTURO DE COBIT? Como cualquier investigación innovadora, COBIT será actualizado cada 3 años. Esto asegurará que el modelo y el marco de referencia permanezcan válidos. La validación también conllevará el aseguramiento de que los 41 materiales de referencia primarios no hayan sufrido cambios, y si los han tenido, que se reflejen en el documento 8. ¿CÓMO HIZO ISACF/A PARA DECIDIR SOBRE LA LISTA DE REFERENCIAS PRIMARIAS? La lista de referencias primarias fue desarrollada como un consenso colectivo basado en la experiencia de los profesionales que participaron en el grupo de investigación del Comité Directivo del COBIT, que enfocaron sus esfuerzos a una revisión experta y al aseguramiento de calidad. 9. ¿PUEDO USAR COBIT COMO UNA DECLARACIÓN DE CRITERIOS PARA CONCLUSIONES ESPECÍFICAS DE AUDITORÍA? Sí. Al basar firmemente las Directrices de Auditoría sobre los Objetivos de Control, COBIT retira la opinión del auditor de la conclusión de auditoría, reemplazándola con criterios sólidos. COBIT está basado en 41 estándares y documentos de las mejores prácticas para tecnología de información a partir de los organismos de fijación de estándares (tanto públicos como privados) mundiales. Estos incluyen documentos de Europa, Canadá, Australia, Japón y los Estados Unidos. Dado que COBIT contiene todos los estándares mundiales pertinentes e identificables hasta este momento, incluye todo con respecto a los estándares de control de TI. Como resultado, COBIT puede utilizarse como una fuente sólida de documentos de referencia, brindando criterios de control de TI para auditorías. 10. ¿LOS OBJETIVOS DE CONTROL TIENEN COMO FINALIDAD SER UN NIVEL MÍNIMO DE CONTROL O LA MEJOR PRÁCTICA? Son tanto la práctica mínima como la mejor ya que todavía estamos al nivel de objetivos de control, no en el nivel de lineamientos de control o prácticas de control. IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Esto será resuelto en fases subsecuentes del proyecto COBIT en donde el ambiente de la empresa, los objetivos específicos de negocios, el nivel de seguridad que uno desea alcanzar, el nivel de riesgo que uno desea aceptar, etc., determinarán cómo se traducirán los objetivos de control para un proceso en el nivel correcto de control. Dado que todas estas elecciones no son evidentes por sí mismas y dado que el proceso de selección de control puede ser oneroso y consumir demasiado tiempo, seguramente deberán desarrollarse y promoverse la seguridad mínima estándar y los niveles de control. 11. ¿QUÉ HAY RESPECTO A LA FALTA DE CONTROLES ESPECÍFICOS DE PLATAFORMA? Los objetivos de control de COBIT son de naturaleza genérica y resuelven actividades o tareas dentro de procesos de TI. De esta forma, son independientes de la plataforma por una parte. Por otra parte, sin embargo, son la estructura general sobre la cual se van a definir controles más específicos relacionados con la plataforma. De hecho, los objetivos generales de control deberán permanecer válidos sin importar si uno está controlando, por ejemplo, una plataforma Mainframe o una plataforma de automatización de oficinas. Es obvio que ciertos aspectos requerirán mayor énfasis en un ambiente dado. 12. ¿DÓNDE ESTÁN LOS CONTROLES DE APLICACIÓN? Los controles de aplicaciones han sido completamente integrados al modelo de COBIT. Esta opción ha sido tomada considerando que COBIT está orientado a procesos de negocios y que en este nivel los controles de aplicación son simplemente parte de los controles generales a ejercerse sobre los sistemas de información y las tecnologías relacionadas. En la mayoría de los casos, sin embargo, esta parte no puede ser externa. De ahí que la pregunta, “¿Dónde están los controles de aplicación?”, sea de primordial importancia. Los sistemas de aplicaciones y datos se tratan dentro del marco de referencia de COBIT como dos de las cinco categorías de recursos. Estas van a suministrar la información requerida en el nivel de proceso de negocios. De esta forma, los sistemas de aplicaciones y datos son una parte integral del marco de referencia de COBIT y pueden tratarse específicamente a través del punto de ventaja de recursos. Al hacer esto, uno notará que muchos procesos de COBIT tratan los controles de aplicación y los continúan a través de todo el ciclo de vida, desde la concepción hasta las operaciones. Además del punto de vista general de recursos, existe un proceso “Administrar datos” en donde se pueden encontrar transacciones y controles de archivos tradicionales. Sin embargo, uno debe tomar en consideración que dichos controles por si solos ya no bastan para controlar eficazmente los sistemas de aplicaciones y datos. Cuando se integra a COBIT dentro de la organización, deben tenerse en cuenta los anteriores elementos. A este respecto, se requiere agregar controles específicos de plataforma a los objetivos genéricos de control. Las plataformas deberán interpretarse ampliamente en este sentido (por ejemplo, automatización de oficinas, telecomunicaciones, DatawareHouse, etc.). Los procesos de COBIT que se volverán a revisar a este respecto son aquellos que están relacionados con la categoría de recursos de “tecnología.” 13. ¿POR QUÉ SE SUPERPONEN LOS OBJETIVOS DE CONTROL? La superposición de los objetivos de control, aunque no ocurren frecuentemente, fue intencional. Algunos objetivos de control trascienden dominios y procesos y adicionalmente deben ser repetidos para asegurara que existen en cada dominio o proceso. Algunos objetivos de control son un medio para hacer cruces de verificación entre uno y otro y desde luego debe ser repetido para asegurar una aplicación consistente en mas de un dominio o proceso. Es así que, aunque se percibe como una superposición, COBIT intencionalmente repitió algunos objetivos de control con el fin de asegurar una cobertura apropiada de esos controles de TI. 14. ¿LOS OBJETIVOS DE CONTROL ESTÁN VINCULADOS A LAS DIRECTRICES DE AUDITORÍA – Y HASTA QUÉ GRADO? Los objetivos han sido desarrollados a partir de una orientación al proceso porque la administración está buscando consejo pro – activo sobre cómo resolver el problema de mantener TI bajo control. El equilibrio entre costo y riesgo es el siguiente problema a resolver (esto es, hacer una elección consciente de la manera en que se van a implantar cada uno de los objetivos de control y si se van a implantar o no). Los futuros productos de COBIT tratarán profundamente esta elección, a pesar de que permanezca el principio pro - activo – los objetivos de control deberán aplicarse desde el primer momento para obtener unos criterios de control de información (eficacia, eficiencia, confidencialidad, disponibilidad, integridad, cumplimiento y confiabilidad). El vínculo es el proceso. Los objetivos de control ayudan a la administración a establecer el control sobre el proceso, las directrices de auditoría ayudan al auditor o asesor al proporcionarles seguridad de que el IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 73 73 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION proceso está realmente bajo control de manera tal que los requerimientos de información necesarios para alcanzar los objetivos del negocio serán satisfechos. En relación con el marco de referencia de control representado por el modelo de cascada, las directrices de auditoría pueden ser considerados como retroalimentación de los procesos de control hacia los objetivos de negocios. Los objetivos de control son la guía que baja por la cascada para tener bajo control el proceso de TI. Las directrices de auditoría son la guía para subir de regreso a la cascada con la pregunta: “¿Existe seguridad de que se alcanzará el objetivo de negocios?” Algunas veces los lineamientos de auditoría son traducciones literales de los objetivos de control; con más frecuencia los lineamientos buscan la evidencia de que el proceso está bajo control. 15. ¿POR QUÉ NO HAY NINGUNA DECLARACIÓN DE RIESGO CON LOS OBJETIVOS DE CONTROL? La provisión de declaraciones de riesgos se consideró e investigó seriamente durante las fases de investigación y revisión del proyecto inicial de COBIT, pero no se mantuvo porque la administración prefirió el enfoque pro – activo (la consecución de objetos) sobre el enfoque reactivo (la mitigación de riesgos). El enfoque de riesgos viene al final de las directrices de auditoría cuando se sustenta el riesgo de no implantar los controles. En la aplicación de COBIT, el enfoque de riesgos es ciertamente útil cuando la administración decide qué controles implantar o cuando los auditores deciden qué objetivos de control revisar. Ambas decisiones dependen completamente del ambiente de riesgo. 16. ¿QUÉ TIPO DE CAPACITACIÓN ESTÁ DISPONIBLE PARA EL USO DE COBIT? A través de las Oficinas Generales Internacionales de ISACA, están disponibles sesiones de capacitación de uno o dos días sobre los fundamentos de COBIT y su uso por la administración y auditores o evaluadores. La capacitación cubre los elementos de COBIT: marco de referencia, definiciones, objetivos de control, directrices de auditoría, estudios de casos y enfoques exitosos de implantación. La capacitación puede personalizarse al gusto de la administración ejecutiva, de los usuarios o evaluadores. Además, ISACA ha preparado presentaciones con diapositivas (incluidas en este paquete) para informar sobre COBIT, su marco de referencia, sus definiciones, objetivos de control y directrices de auditoría. ISACA también brinda un curso de COBIT de dos días a través de todo el año. ISACA puede personalizar las presentaciones para los requerimientos de cualquier organización y el nivel de detalle requerido. 74 28361 imp toolset.pub page 74 17. ¿QUIÉN DENTRO DE MI ORGANIZACIÓN DEBERÍA IR A LA CAPACITACIÓN? La capacitación de COBIT deberá ser tomada por la administración, gerentes y auditores de SI, profesionales de TI, gerentes de procesos de negocios y profesionales de auditoría y aseguramiento de calidad. 18. ¿CUÁL ES EL NIVEL DE CAPACITACIÓN REQUERIDO? La cantidad y nivel de capacitación necesaria está en función de qué tan cómodo se siente uno con el producto. Para aquellas entidades que son más pro – activas y que tienen una relación bien definida con su departamento de TI, la capacitación pudiera cumplirse simplemente por medio de la utilización del Conjunto de Herramientas de Implantación de COBIT. Sin embargo, para aquellas entidades en donde las cosas no están tan bien definidas, se recomienda que aquellos que integran la Administración, TI y Auditoría asistan a una sesión de ISACA de un día. Estas sesiones están disponibles a través de la Oficina Internacional o de los capítulos locales distribuidos a nivel mundial. 19. ¿POR QUÉ EXISTEN DIFERENCIAS ENTRE LOS OBJETIVOS DETALLADOS DE CONTROL Y LAS CONSIDERACIONES DE CONTROL? Los Objetivos de control se enfocan sobre específicos objetivos de control detallados asociados con cada proceso de TI. Están definidos basados en un número de recursos que comprenden estándares internacionales de Jure y de facto relacionados con los controles sobre TI que proporcionan el punto de vista del control del especialista. Las consideraciones de control actualizadas en la tercera edición del COBIT proporcionan puntos de vista de la administración y están alineadas con los factores críticos de éxito para los controles incluidos en las Directrices Gerenciales. 20. ¿DE QUÉ FORMA PUEDO SUGERIR A LA ADMINISTRACIÓN DE TECNOLOGÍA DE INFORMACIÓN QUE UTILICE COBIT? Como COBIT está orientado al negocio, su uso para comprender los objetivos de control de TI con el fin de administrar los riesgos del negocio relacionados con TI es directo: 1. 2. Empiece con sus objetivos del negocio en el Marco Referencial. Seleccione de los Objetivos de Control los procesos de TI y los apropiados objetivos de control para su empresa. IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION 3. 4. 5. Opere desde su plan de negocio Analice sus procedimientos y resultados con Las Directrices de Auditoria. Analice el estado de su organización identificado actividades críticas necesarias para el éxito y mida el desempeño en busca de los objetivos de la empresa con Las Directrices Gerenciales. 21. ¿EL MARCO DE REFERENCIA DE COBIT ES SUPERIOR A OTROS MODELOS DE CONTROL ACEPTADOS? La mayoría de los altos gerentes están conscientes de la importancia de los marcos de referencia de control generales con respecto a su responsabilidad fiduciaria, tales como COSO, Cadbury, COCO o King; sin embargo, no necesariamente pueden estar conscientes de los detalles de cada uno de ellos. Además, la administración está cada vez más consciente sobre las guías de seguridad más técnicas, tales como las declaraciones de TI de OECD e IFAC en el nivel superior y el Código de Prácticas de DTI en el nivel detallado. Aunque los modelos anteriormente mencionados enfatizan el control de negocios y los problemas de seguridad de TI, solamente COBIT intenta resolver los problemas específicos de control de TI desde una perspectiva de negocios. Debería hacerse notar que COSO fue utilizado como un material fuente para el modelo de negocios. Por último, COBIT no tiene como finalidad reemplazar a ninguno de dichos modelos de control. Tiene como finalidad proporcionar más detalles dentro del ambiente de TI mientras se refuerzan las fortalezas de dichos modelos de control. 22. ¿CUÁL ES LA MEJOR Y MÁS RÁPIDA MANERA DE VENDER COBIT A LOS GERENTES DE TECNOLOGÍA DE INFORMACIÓN? Como todos sabemos, no existe una caballería que venga al rescate. Como lo señalan el resto de las Herramientas de Implementación, la cultura organizacional es vitalmente importante. Una cultura pro – activa será más receptiva que una que no lo es. Sin embargo, considere el enfatizar los aspectos de negocios y el hecho de que COBIT no se pierde en terminología técnica. Además, señale que COBIT fue diseñado de la misma forma que piensa un gerente de TI, y que uno de sus grandes beneficios es que todo se documenta en un solo lugar. De otra parte con la adición de Las Directrices Gerenciales, COBIT proporciona a la administración nuevas capacidades para soportar las autoevaluaciones del estado de la organización, comparado con las mejores prácticas de la industria, alineado con los objetivos de la empresa y con la implementación de la toma de decisiones y el monitoreo del desempeño. Los modelos de madurez, los factores críticos de éxito, los indicadores claves de objetivo y los indicadores claves de desempeño proporcionan guías que ayudan a la administración en mejorar la alineación de TI con la estrategia de toda la empresa mediante el aseguramiento de que TI es un posibilitador de las metas de la empresa. 23. DADO QUE ACTUALMENTE COBIT NO RESUELVE RIESGOS ASOCIADOS CON NEGOCIOS, SINO MÁS BIEN DECLARACIONES PRO-ACTIVAS DE CONTROL A SER ALCANZADAS, ¿SE ESTÁ TOMANDO ALGUNA CONSIDERACIÓN PARA RESOLVER LA NECESIDAD PERCIBIDA DE IDENTIFICACIÓN DE RIESGOS? El riesgo está considerado de una manera difundida a través del COBIT y aún mas con el advenimiento de las Directrices Gerenciales en la tercera edición. Una mayor consideración de los procesos de aseguramiento y control es el modelo de Gobierno de TI que ahora es cubierto extensamente en COBIT y en marco de referencia de Las Directrices Gerenciales. El Gobierno de TI se refiere a los objetivos genéricos de la empresa de medir los beneficios y administrar los riesgos. La misma idea, de administración de riesgos es un objetivo de la empresa que sin embargo ya había sido capturado por COBIT anteriormente, porque COBIT establece la necesidad de TI para proveer información a la empresa, la cual debe tener las características requeridas con el fin de posibilitar el logro de los objetivos de la empresa. Mientras que los criterios disponibilidad, integridad y confidencialidad relacionados con la seguridad pueden ser más fácilmente asociados con el riesgo, el no lograr los objetivos de la empresa o no proporcionar los criterios requeridos es un riesgo que la empresa necesita controlar. Se proporcionan ejemplos específicos en la sección de “Comprobación1” de Las Directrices de Auditoria. El objetivo de esa sección es documentar para la administración que puede o que ha sucedido como resultado de no tener controles efectivos en funcionamiento. De una forma más práctica, un proceso completo fue definido para cubrir la evaluación de riegos. (ver PO9-Evaluar Riesgos). En conclusión, el riesgo está considerado en el Marco de Referencia de una manera proactiva, por ejemplo enfocándonos en los objetivos, porque el riesgo primario IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 75 75 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION que necesita ser administrado es que no se logren los objetivos del negocio. Segundo, la sección de “comprobación” de Las Directrices de Auditoría proporcionan ejemplos de esos riesgos para cada proceso. Esto provee la información sobre el riesgo que el profesional en aseguramiento y control está buscando. Finalmente un proceso completo de TI está dedicado a la evaluación de riesgos en el paquete completo de los objetivos de TI. ¿COBIT Y SU MARCO DE REFERENCIA HAN SIDO ACEPTADOS POR LOS CIOS (Directores de Sistemas de Información)? Sí, ha sido aceptado por muchas organizaciones en el ámbito global y se continúan documentando nuevos casos. Sin embargo, no debería sorprender a nadie que en aquellas entidades donde el CIO ha acogido a COBIT como un útil marco de referencia de TI, esto ha sido consecuencia directa de uno o más Campeones de COBIT dentro de los Departamentos de Auditoría y/o TI. 24. La adición de Las Directrices Gerenciales debe haber incrementado la aceptación de COBIT tanto en la empresa como en la administración de Ti, el énfasis sobre la alineación de TI con las metas de la empresa, la autoevaluación y la medición del desempeño aseguraran que COBIT no sea solo visto como un marco de referencia del control sino también como un proveedor de un conjunto de herramienta para mejorar la eficacia de la información y de los recursos de TI. La integración de Las Directrices Gerenciales con el Marco de Referencia y los Objetivos de Control proporcionarán énfasis adicional a la administración para usar COBIT como un modelo establecido, obligatorio y actualizado para el Gobierno y el control de TI. 25. ¿COMO SE INTEGRAN LAS DIRECTRICES GERENCIALES DENTRO DEL MARCO REFERENCIAL DE COBIT? Empezando con el Marco Referencial del COBIT , la aplicación de estándares y directrices internacionales y la investigación sobre las mejores prácticas han permitido el desarrollo de los Objetivos de Control. Las Directrices de Auditorías fueron desarrolladas después para evaluar si esos Objetivos de Control están apropiadamente 1 implementados. Sin embargo la administración necesita una aplicación similar del Marco de Referencia para permitir una autoevaluación y tomar decisiones para la implementación y mejoramiento de controles sobre su información y la tecnología relacionada. Las Directrices Gerenciales proporcionan las herramientas que ayudan a cumplir esto. Fueron desarrolladas para cada uno de los 34 Objetivos de control de alto nivel con un proceso administrativo y una perspectiva de la medición del desempeño. Los modelos de madurez, los factores críticos del éxito, los indicadores claves de objetivos y los indicadores claves de desempeño son proporcionados por las directrices para soportar los procesos de toma de decisiones de la administración. Las consideraciones de control de los objetivos de control de alto nivel han sido actualizadas para reflejar, sin comprar una a una, los factores críticos de éxito de los objetivos de control. El desarrollo de Directrices Gerenciales tomó en consideración la necesidad de soportar los requerimientos de: • • La administración de la empresa y de TI, con un conjunto de herramientas de administración para nuevos procesos, mientras se considera el beneficio de utilizar un marco de referencia del control establecido, autorizado y actualizado como es el representado por el COBIT . Los profesionales en seguridad y control con unas bases para liderar y evolucionar los procesos existentes orientados al control para proveer servicios y valor adicional en el soporte de los objetivos de la empresa Las Directrices Gerenciales asumen un pequeño conocimiento del marco de referencia del control, en general, y del COBIT , en particular, para la gerencia de la empresa y de TI. Todavía ellos utilizan la misma estructura de Los Objetivos de Control y de Las Directrices de Auditoría para soportar las necesidades de los profesionales en seguridad y control. A través del formato de contenido y presentación hay apropiadas diferencias, todavía hay integración y sinergia en la tercera edición del COBIT para soportar las necesidades de las audiencias ya mencionadas. Comprobación ( substantiating) 76 28361 imp toolset.pub page 76 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION APÉNDICES IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 77 77 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION PAGINA INTENCIONALMENTE EN BLANCO 78 28361 imp toolset.pub page 78 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION APÉNDICE I – DIRECTRIZ DE ADMINISTRACIÓN DESGOBIERNO DE IT Las siguientes Directrices Gerenciales y el Modelo de Madurez identifican los Factores Críticos de Éxito (Critical Success Factors — CSFs), los Indicadires Claves de objetivos/resultados (Key Goal Indicators—KGIs), Indicadores Claves de Desempeño (Key Performance Indicators—KPIs) para la Gobernabilidad de TI. Primero, la Gobernabilidad de TI se define articulando las necesidades del negocio. A continuación, los criterios de información relacionados con la Gobernabilidad de TI son identificados. Las necesidades del negocio son medidas por los Indicadores Claves de Resultados - KGIs - y organizados por sentencias de control apoyado por todos los recursos de TI. El resultado de las sentencias de control organizadas son medidas por los Indicadores Clave de desempeño - KPIs los cuales consideran los Factores críticos de Éxito - CSFs. El modelo de madurez se utiliza para evaluar el nivel de la organización para cumplir con lo establecido por la Gobernabilidad de TI—desde el mas bajo nivel donde no existe, pasando por un estado inicial /adhoc, ascendiendo a otro repetible pero intuitivo, luego a otro con procesos definidos, a otro administrado y medido y llegando al nivel optimista que es el mas alto nivel. Para llegar al nivel de madurez optimista para la Gobernabilidad de TI, una organización debe estar al menos en el nivel optimizado del dominio de Monitoreo y al menos estar en el nivel de medir y administrar los demás dominios. (Ver las Directrices Gerenciales de COBIT para una completa discusión del uso de esas herramientas) IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 79 79 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION APÉNDICE I DIRECTRICES GERENCIALES DEL GOBIERNO/ GOBERNABILIDAD DE TI Gobierno sobre la tecnología de información y los procesos con las metas del negocio para añadir valor, mientras se balancean los riesgos y el retorno z Criterios de Información Asegurar la entrega de información al Negocio el cual establece los Criterios de Información requeridos y es medido por Indicadores Clave de Resultados/ Logros Se hace posible a través de la creación y mantenimiento de un sistema de procesos y controles apropiados para el negocio, el cual dirige y monitorea el valor del negocio proporcionado por TI Considera Factores Críticos de Éxito que tiene en cuenta todos los Recursos de TI y es medido por Indicadores Clave de Desempeño Factores Críticos de Éxito - CSFs z z z z z z z Las actividades del gobierno de TI son integradas dentro del proceso de gobierno de la empresa y las conductas de liderazgo El gobierno de TI se enfoca en los objetivos y metas de la empresa, en las iniciativas estratégicas y el uso de tecnología para mejorar el negocio, con base en la disponibilidad de recursos y capacidades suficientes para soportar las demandas del negocio. Las actividades del Gobierno de TI están definidas sobre propósitos claros, documentados e implementados, basados en las necesidades de la empresa y con responsabilidades concretas. Las prácticas gerenciales son implementadas para incrementar la eficiencia y el uso óptimo de los recursos así como incrementar la efectividad de los procesos de TI. Se establecen prácticas organizacionales para: evitar descuidos; una cultura/ ambiente de control; análisis de riesgos como práctica estándar; grado de adherencia a estándares establecidos; monitoreo y seguimiento a los riesgos y a las deficiencias de control. Se definen prácticas de control para evitar el incumplimiento o mal uso de controles internos. Hay integración e interoperabilidad transparente de los procesos de TI mas complejos como podrían ser: problemas, cambios y administración de la configuración. 80 28361 imp toolset.pub page 80 Se establece un comité de auditoría para designar y supervisar un auditor independiente enfocado sobre TI cuando dirige la ejecución de planes de auditoría y revisa los resultados de las auditorías y revisiones de terceros. Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Recursos de TI Personas Aplicaciones Tecnología Instalaciones Datos Indicadores Clave de Resultados / Logros — KGIs z z z z z z z z z z z z Incrementar el desempeño y la administración de costos Mejorar el retorno de la inversión sobre las mayores inversiones de TI Mejorar el tiempo de comercialización Incrementar la calidad, la innovación y la administración de riesgos Procesos del negocio apropiadamente integrados y estandartizados Búsqueda de nuevos clientes y satisfacer los existentes Disponibilidad de apropiado ancho de banda, poder de cómputo y mecanismos para la entrega de servicios de TI Satisfacer los requerimientos y las expectativas de los clientes de los procesos con base en un presupuesto y a tiempo Cumplir con las leyes, regulaciones, estándares de la industria y compromisos contractuales. Transparencia en los riesgos asumidos y cumplimiento con el acuerdo del perfil de riesgo organizacional. Comparaciones mediante Benchmarking sobre el nivel de madurez de TI Creación de nuevos canales de distribución y entrega de servicios IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION I - DIRECTRICES GERENCIALES Indicadores Clave de Desempeño - KPIs DEL GOBIERNO DE TI z z z z z z z z Mejorar los procesos de costo-eficiencia de TI (costos versus entregables o servicios) Incrementare el número de planes de acción de TI para las iniciativas de mejoramiento de procesos Incrementar la utilización de la infraestructura de TI Incrementar la satisfacción de los socios y accionistas (encuestas y número de reclamaciones). Incrementar la productividad de los funcionarios de TI (número de entregables) y su moral (encuesta) Incrementar la disponibilidad de conocimiento e información para administrar la empresa. Incrementar las relaciones entre el gobierno de la empresa y el gobierno de TI Incrementar el desempeño mediante mediciones utilizando tarjetas de medición (Balanced Scorecards). Modelo de Madurez del Gobierno de TI El Gobierno sobre la tecnología de información es un proceso que tiene como finalidad proveer valor agregado al negocio mientras balancea riesgos versus retorno. 0 No existe. Hay una completa falta de cualquier proceso de gobierno de TI identificable. La organización no ha reconocido aun que hay aspectos que deben ser identificados y resaltados y no hay comunicación al respecto. 1 Inicial / Ad Hoc7. Hay evidencia de que la organización ha reconocido que existen aspectos del gobierno de TI que deben ser considerados. Hay, sin embargo, procesos no estandarizados, pero en su lugar, hay procedimientos ad hoc aplicados sobre un caso individual o sobre bases de caso a caso8. El enfoque Gerencial es caótico y hay una esporádica e inconsistente comunicación sobre aspectos y enfoques que deban ser considerados. Puede haber algún reconocimiento para utilizar el valor de TI en el desempeño orientado al resultado de los procesos relacionados de la empresa. No hay procesos de análisis estándar. El monitoreo de TI está implementado en una forma reactiva a incidentes que han causado algunas pérdidas o apuros a la organización. 2 Repetible pero Intuitiva. Hay una conciencia global sobre los aspectos del gobierno de TI. Las actividades del gobierno de TI y los indicadores de desempeño están en desarrollo, incluyendo la planeación de TI y los procesos de entrega y monitoreo. Como parte de los esfuerzos, las actividades del gobierno de TI están formalmente establecidas dentro del proceso de administración del cambio con el involucramiento activo de la alta gerencia. Procesos seleccionados de TI son identificados para mejorar y/o controlar el núcleo de los procesos de la empresa, son efectivamente planeados y monitoreados como si fueran inversiones y son derivados en el contexto de un marco de referencia de la arquitectura de TI. La gerencia ha identificado los métodos y técnicas básicos de análisis y medición del gobierno de TI, sin embargo, el proceso no ha sido adoptado a través la organización. No hay entrenamiento y comunicación sobre los estándares de gobernabilidad y las responsabilidades son dejadas a los individuos. Los individuos direccionan los procesos de gobernabilidad como si no fueran procesos y proyectos de TI. Las herramientas de gobernabilidad son limitadas, escogidas e implementadas para lograr métricas de gobernabilidad pero puede que no se usen en toda su capacidad debido a la falta de experiencia en su funcionalidad. 3 Procesos Definidos. La necesidad de actuar con respecto al gobierno de TI es entendida y aceptada. Se desarrolla un grupo básico de indicadores de Gobierno de TI, donde el encadenamiento entre medidas de ingresos y controladores de desempeño es definido, documentado e integrado dentro de la planeación operacional y estratégica . Los procedimientos han sido estandarizados, documentados e implementados. La Gerencia ha comunicado los procedimientos estandarizados y se establece un entrenamiento informal. Los indicadores de desempeño sobre las actividades de gobernabilidad de TI son registrados y monitoreados generando mejoras a todo lo largo de la empresa. Aunque medidos, los procedimientos no son sofisticados pero son la formalización de prácticas existentes. Las herramientas están estandarizadas, utilizando técnicas disponibles y modernas. La idea de utilizar tarjetas de medición que balancean el negocio y TI son adoptadas por la organización. Esto, sin embargo, deja que el individuo, de acuerdo con su entrenamiento, siga y aplique los estándares. El análisis de causa efecto es ocasionalmente aplicado. La mayoría de los procesos son monitoreados sobre métricas (bases), pero cualquier desviación, debido a que generalmente se basa en las iniciativas de los individuos, probablemente IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 81 81 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION no serían detectadas por la Gerencia. De todas maneras, el registro total del desempeño de los procesos claves es realizado y la gerencia es recompensada basada en mediciones clave de desempeño. 4 Administrado y Medible. Hay un completo entendimiento de los aspectos de Gobierno de TI a todos los niveles de la organización, soportado por un entrenamiento formal. Hay un claro entendimiento de quien es el cliente y sus responsabilidades están definidas y monitoreadas a través de acuerdos de nivel de servicio. Las responsabilidades son claras y el proceso de “propiedad” está establecido. Los procesos de TI están alineados con el negocio y con la estrategia de TI. El mejoramiento de los procesos de TI está basado primariamente sobre un entendimiento cuantitativo y por ello es posible monitorear y medir el cumplimiento con procesos y con métrica de procesos. Todos los responsables o propietarios de los procesos son advertidos sobre los riesgos, la importancia de TI y las oportunidades que TI puede ofrecer. La Gerencia ha definido una tolerancia bajo la cual los procesos deben operar. Se toman acciones en la mayoría, pero no en todos los casos, donde parece que los procesos no están operando efectiva o eficientemente. Los procesos se mejoran ocasionalmente y se refuerzan las mejores prácticas internas. Se estandariza el uso de análisis causa-efectos. Hay un limitado, primario y táctico uso de la tecnología, basado en técnicas de madurez y reforzado con herramientas estándar. Hay involucramiento de todos los expertos internos requeridos. El gobierno de TI involucra los procesos a todo lo ancho de la empresa. Las actividades del gobierno de TI están llegando a integrarse con los procesos de gobierno de la empresa. 82 28361 imp toolset.pub page 82 5 Optimizado. En esta fase hay un entendimiento avanzado y hacia futuro de los aspectos y soluciones del gobierno de TI. El entrenamiento y las comunicaciones son soportadas por conceptos y técnicas de vanguardia. Los procesos han sido refinados a un nivel de mejores prácticas externas basadas sobre resultados de mejoramiento contínuo y modelos de madurez con otras organizaciones. La implementación de esas políticas han permitido a la organización, a la gente y a los procesos que se adapten rápidamente y por completo a los requerimientos de gobierno de TI. Todos los problemas y desviaciones son analizados de raíz y con base en ese análisis se identifican e inician acciones eficientes y oportunas. La Tecnología de Información es utilizada de una manera extensiva y optimizada para automatizar el flujo de trabajo y proporcionar herramientas para mejorar la calidad y la efectividad. Los riesgos y el retorno de los procesos de TI son definidos, balanceados y comunicados a través de toda la empresa. Se aprovechan expertos externos y se utilizan benchmarks como guías. El monitoreo y el auto-análisis de riesgos y las comunicaciones acerca de las expectativas del gobierno influencian la organización y hay un óptimo uso de la tecnología para soportar la medición, el análisis, las comunicaciones y el entrenamiento. El gobierno de la empresa y el gobierno de TI están estratégicamente conectados empujando a los recursos humanos y financieros a incrementar la ventaja competitiva de la empresa. IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION APÉNDICE II – DESCRIPCIÓN DEL PROYECTO COBIT El proyecto continua siendo supervisado por un Comité de Dirección formado por representantes internacionales de la academia, industria, gobierno y la profesión de auditoría. El Comité de Dirección del Proyecto intervino en el desarrollo del Marco Referencial ("Framework") COBIT y en la aplicación de los resultados de la investigación. Se establecieron grupos de trabajo internacionales con el propósito de asegurar la calidad y contar con una revisión experta de la investigación y los elementos entregables del desarrollo del proyecto. El IT Governance Institute proporcionó toda la dirección del proyecto. INVESTIGACION Y ENFOQUE PARA EL DESARROLLO INICIAL Empezando con el Marco Referencial de COBIT, definido en la primera edición, la aplicación de estándares y directrices internacionales y la investigación dentro de mejores prácticas ha permitido el desarrollo de los Objetivos de Control. Las Guías o Directrices de Auditoría fueron desarrolladas a continuación para analizar si esos objetivos de control son apropiadamente implementados. La investigación de la primera y segunda edición incluyó la recolección y el análisis de fuentes identificadas y fue llevada a cabo por equipos de investigación en Europa (Free University of Amsterdam), Estados Unidos (California Polytechnic University) y Australia (University of New South Wales). Los equipos de investigación fueron encargados de la compilación, revisión, análisis y apropiada incorporación de estándares técnicos internacionales, códigos de conducta, estándares de calidad, estándares profesionales en prácticas y requerimientos de la auditoría y de la industria, en cuanto a su relación con el Marco de Referencia y con los Objetivos de Control individuales. Después de la colección y análisis los investigadores fueron encargados de examinar cada dominio y cada proceso en profundidad y sugerir nuevos o modificados objetivos de control aplicables a los procesos particulares de TI. La Consolidación de los resultados fue llevada a cabo por el Comité de Dirección de Cobit y por el Director de Investigaciones de ISACF. INVESTIGACION Y ENFOQUE PARA LA 3a EDICION El proyecto de la 3a edición de COBIT consistió en desarrollar las Directrices Gerenciales y actualizar la 2a Edición de COBIT basado en nuevas y revisadas referencias internacionales. Adicionalmente, el Marco de Referencia de COBIT fue revisado y mejorado para soportar el incremento de controles gerenciales, introducir gerencia de desempeño y también desarrollar el Gobierno de TI. Con el fin de proporcionarle a la gerencia una aplicación del Marco de Referencia para que pueda analizar y efectuar cambios para la implementación de controles y el mejoramiento sobre la información y las tecnologías relacionadas, así como medir el desempeño, las Directrices Gerenciales incluyen Modelos de Madurez, Factores Críticos de Éxito, Indicadores Clave de Logros/ resultados e Indicadores Clave de Desempeño relacionados con los Objetivos de Control. Las Directrices Gerenciales fueron desarrolladas para ser utilizadas por un grupo de 40 expertos de todo el mundo, pertenecientes a la industria, la academia, el gobierno y profesionales en control y seguridad de TI. Esos expertos participaron en talleres de trabajo guiados por facilitadores profesionales que utilizaron guías definidas por el Comité de Dirección del Proyecto COBIT. Los talleres fueron fuertemente apoyados por el Gartner Group y PricewaterhouseCoopers, quienes no solo proporcionaron liderazgo de pensamiento sino que también enviaron varios de sus expertos en control, gerencia del desempeño y seguridad de la información. Los resultados de los talleres generaron los borradores de los Modelos de Madurez, los Factores Críticos de Éxito, los Indicadores Clave de Logros y los Indicadores Clave de Desempeño para cada uno de los 34 objetivos de control de alto nivel. El aseguramiento de calidad de los entregables iniciales fue dirigido por el Comité de Dirección del Proyecto y el resultado de este trabajo fue colocado a disposición en la Web site de ISACA. El documento de las Directrices Gerenciales fue finalmente preparado para ofrecer un nuevo grupo de herramientas orientadas a la gerencia, mientras que ofrecía integración y consistencia con el Marco de Referencia de COBIT. La actualización de los Objetivos de Control, basada en nuevos y revisados estándares internacionales fue conducida por miembros de los Capítulos de ISACA, bajo la coordinación de los miembros del Comité de Dirección de COBIT. La intención no fue llevar a cabo un análisis global de todo el material o volver a desarrollar los Objetivo de Control, sino generar un proceso de actualización incremental. El resultado del desarrollo de las Directrices Gerenciales fue utilizado para revisar el Marco de Referencia de COBIT, especialmente en lo que tiene que ver con las consideraciones, objetivos y sentencias que configuran los objetivos de control de alto nivel. IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 83 83 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION APÉNDICE III – MATERIAL DE REFERENCIA PRIMARIA Nota del traductor: Debido a que el contenido de este apéndice se compone principalmente de nombres propios de instituciones y publicaciones, dichos nombres han sido respetados manteniéndolos en inglés. COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - Integrated Framework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994. OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of Information, Paris, 1992. DTI Code of Practice for Information Security Management: Department of Trade and Industry and British Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995. ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance Standards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of software, Switzerland, 1991. An Introduction to Computer Security: The NIST Handbook: National Institute of Standards and Technology, U.S. Department of Commerce. Washington, DC, 1995. ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines developed by the Central Computer and Telecommunications Agency (CCTA), London, 1989. IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials Group on Information Security, advising the European Commission) Brussels, Belgium, 1994. NSW Premiers Office Statements of Best Practices and Planning Information Management and Techniques: Statements of Best Practice #1 through #6. premier's Department New South Wales, Government of New South Wales, Australia, 1990 through 1994. Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data Processing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998. EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph Series #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994. PCIE (president's Council on Integrity and Efficiency) Model Framework: A Model Framework for Management Over Automated Information Systems. Prepared jointly by the president's Council on Management Improvement and the president's Council on Integrity and Efficiency, Washington, DC, 1987. Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by the Chuo Audit Corporation, Tokyo, August 1994. CONTROL OBJECTIVES Controls in an Information Systems Environment: Control Guidelines and Audit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Fourth Edition, Rolling Meadows, IL, 1992. CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified Information Systems Auditor Job Analysis Study", Rolling Meadows, IL, 1994. 84 28361 imp toolset.pub page 84 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION CICA Computer Control Guidelines: Canadian Institute of Chartered Accountants, Toronto, 1986. IFAC International Guidelines for Managing Security of Information and Communications: International Federation of Accountants, New York, NY, 1997. IFAC International Guidelines on Information Technology Management - Managing Information Technology Planning for Business Impact (Draft): International Federation of Accountants, New York, NY, 1998. Standards for Internal Control in the U.S. Federal Government: U.S. General Accounting Office, Washington, DC, 1983. Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NBS Special Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington, DC, 1988. Government Auditing Standards: U. S. General Accounting Office, Washington, DC, 1994. Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants, Denmark, 1994. SPICE: Software Process Improvement and Capability Determination. A standard on software process improvement, British Standards Institution, London, 1995. DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute International. Guideline for Business Continuity Planners, St. Louis, MO, 1997. IIA, SAC Systems Audibility and Control: Institute of Internal Auditors Research Foundation, Systems Audibility and Control Report, Alamonte Springs, FL, 1991, 1994. IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research Foundation, Alamonte Springs, FL, 1997. E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996. C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, NY, 1997. ISO IEC JTC1/SC27 Information Technology - Security: International Organisation for Standardisation (ISO) Technical Committee on Information Technology Security, Switzerland, 1998. ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical Committee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992. ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services: International Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services, Draft, Switzerland, 1997. CCEB 96/011, Common Criteria for Information Technology Security Evaluation: Common Criteria Implementation Board, Alignment and comparison of existing European, US and Canadian IT Security Criteria, Draft, Washington, DC, 1997. IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 85 85 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987. TickIT: Guide to Software Quality Management System Construction and Certification. British Department of Trade and Industry (DTI), London, 1994 ESF Baseline Control - Communications: European Security Forum, London. Communications Network Security, September 1991; Baseline Controls for Local Area Networks, September, 1994. ESF Baseline Control - Microcomputers: European Security Forum, London. Baseline Controls Microcomputers Attached to Network, June 1990. Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Rolling Meadows, IL, 1992. Guide for Developing Security Plans for Information Technology: NIST Special Publication 800-18, National Institute for Standards and Technology, US Department of Commerce, Washington, DC 1998 Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office, Washington, DC, 1999. BS7799-Information Security Management: British Standards Institute, London, 1999. CICA Information Technology Control Guidelines, 3er Edition: Canadian Institute of Chartered Accountants, Toronto, 1998 ISO/IEC TR 1335-n Guidelines for the Management of IT Security, (GMITS) Parts 1-5: International Organisation for Standardisation, Switzerland, 1998. AICPA/CICA SystrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute of Certified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999. 86 28361 imp toolset.pub page 86 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION APÉNDICE IV – GLOSARIO DE TÉRMINOS AICPA Instituto Americano de Contadores Públicos Certificado. (American Institute of Certified Public Accountants) CCEB Criterios comunes para seguridad en tecnología de información. (Common Criteria for Information Technology Security) CICA Instituto Canadiense de Contadores. (Canadian Institute of Chartered Accountants) CISA Auditor Certificado de Sistemas de Información. (Certified Information Systems Auditor) Control Políticas, procedimientos, prácticas y estructuras organizacionales, diseñados para proporcionar una seguridad razonable de que los objetivos del negocio serán alcanzados y que eventos no deseados serán prevenidos o detectados y corregidos. COSO Comité de Organizaciones Patrocinadoras de la Comisión de Intercambio. "Tradeway" (Committee of Sponsoring Organisations of the Tradeway Commission). DRI Instituto Internacional de Recuperación de Desastres. (Disaster Recovery Institute International) DTI Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of the United Kingdom) EDIFACT Intercambio Electrónico de Datos para la Administración, el Comercio y la Industria (Electronic Data Interchange for Administration, Commerce and Trade) EDPAF Fundación de Auditores de Procesamiento Electrónico de Datos (Electronic Data Processing Auditors Foundation), ahora ISACF. ESF Foro Europeo de Seguridad (European Security Forum), cooperación de 70+ multinacionales europeas principalmente con el propósito de investigar problemas de seguridad y control comunes de TI. GAO Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office) I4 Instituto Internacional de Integridad de Información. (International Information Integrity Institute), asociación similar a ESF, con metas similares, pero con base principalmente en los Estados Unidos y dirigida por el Instituto de Investigaciones de Stanford (Stanford Research Institute) IBAG Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group), representantes de la industria que asesoran al Comité Infosec. Este Comité está compuesto por funcionarios de los gobiernos de la Comunidad Europea y asesora a la Comisión Europea sobre cuestiones de seguridad de TI. IFAC Federación Internacional de Contadores. (International Federation of Accountants) IIA Instituto de Auditores Internos. (Institute of Internal Auditors) IT GOVERNANCE INSTITUTE 28361 imp toolset.pub page 87 87 Tuesday, February 15, 2005 08:17 Composite CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACION INFOSEC Comité Consultivo para la Comisión Europea en Materia de Seguridad TI. (Advisory Committee for IT Security Matters to the European Commission) ISACA Asociación para la Auditoría y Control de Sistemas de Información. (Information Systems Audit and Control Foundation) ISACF Fundación para la Auditoría y Control de Sistemas de Información. (Information Systems Audit and Control Foundation) ISO Organización de Estándares Internacionales. (International Standards Organisation) (con oficinas en Génova, Suiza) ISO9000 Estándares de manejo y aseguramiento de la calidad definidos por ISO. ITIL Biblioteca de Infraestructura de Tecnología de Información. (Information Technology Infrastructure Library) ITSEC Criterios de Evaluación de Seguridad de Tecnología de Información (Information Technology Security Evaluation Criteria). Combinación de los criterios de Francia, Alemania, Holanda y Reino Unido, soportadas consecuentemente por la Comisión Europea (ver también TCSEC, el equivalente en los Estados Unidos). NBS Departamento Nacional de Estándares de los Estados Unidos (National Bureau of Standards of the U.S.) NIST (antes NBS) Instituto Nacional de Estándares y Tecnología. (National Institute of Standards and Technology), con base en Washington D.C. NSW Nueva Gales del Sur, Australia. (New South Wales, Australia) Objetivo de Control Una sentencia o declaración del resultado deseado o propósito a ser alcanzado mediante la implementación de procedimientos de control en una actividad particular de TI OECD Organización para la Cooperación y el Desarrollo Económico. (Organisation for Economic Cooperation and Development) OSF Fundación de Software Público (Open Software Foundation) PCIE Consejo Presidencial de Integridad y Eficiencia. (President´s Council on Integrity and Efficiency) SPICE TCSEC Mejoramiento del Proceso de Software y Determinación de la Capacidad (Software Process Improvement and Capability Determination) - un estándar pare el mejoramiento del proceso de software Criterios de Evaluación de Sistemas Computarizados Confiables. (Trusted Computer System Evaluation Criteria), conocido también como "The Orange Book". Criterios de evaluación de seguridad para sistemas computarizados definidos originalmente por el Departamento de Defensa de los Estados Unidos. Ver también ITSEC, el equivalente europeo. TickIT Guía para la Construcción y Certificación de Sistemas de Administración de Calidad. (Guide to Software Quality Management System Construction and Certification) 88 28361 imp toolset.pub page 88 IT GOVERNANCE INSTITUTE Tuesday, February 15, 2005 08:17 Composite