Auditoria y Seguridad en las

Empresas

PhD (c) Manuel Caldas Núñez

PMP ® | ITIL ® Expert (Lifecycle Stream) | COBIT ® F
Gerente de Soluciones Tecnológicas
 Acerca del Profesor
Manuel Caldas Núñez, actualmente desempeña el
cargo de Gerente de Consultoría Estratégica en
Tecnología de Información; ha laborado en destacadas
empresas de consultoría y de educación
especializadas en Tecnología de la Información.
Así como también cuenta con una Maestría en
Ingeniería de Seguridad Informática. Candidato a
Doctor (Doctor of Business Administration DBA),
adicionalmente ha sido capacitado en Estados Unidos
y Argentina.

PhD (c) Manuel Caldas Nuñez

Microsoft Certified Trainer (MCT®) & EXIN Best Practice Accredited Trainer & PECB Accredited Trainer
APMG ITIL® Services Manager / APMG ITIL® Practitioner
APMG ITIL® Expert / EXIN ITIL® Expert
Project Management Professional (PMP®)
COBIT 5® Foundations
Auditor Líder en ISO 27001:2005 - Seguridad de la Información Registro Internacional IRCA*
Implementador Lider ISO/IEC 20000* PECB
Implementador Lider ISO/IEC 27001* PECB
Implementador Lider ISO/IEC 22301* PECB
Cloud Computing Certified Integrator
Presentación de los alumnos

Nombre
Profesión y especialización
Experiencia años y laboral
Trabajo actual
Expectativas del curso
 Introducción a COBIT 4.1

Por qué TI necesita un marco de control de TI?

Quién necesita un marco de control de TI?

Cómo y por qué es utilizado COBIT?

Por qué TI necesita un marco de
Control?
Algunas de estas condiciones le son familiares?

• Crecimiento en la complejidad de los ambientes de TI

• Infraestructuras fragmentadas de TI

• Ausencia de comunicación entre los gerentes de negocio y de TI

• Frustración del usuario ante la implementación de soluciones empíricas

• Percepción de costos de TI fuera de control

 Antecedentes

• Control Objectives for Information and related Technology

• Originalmente desarrollado por ISACF (Information Systems Audit

and Control Foundation), hoy llamada ITGI ( Information Technology
Governance Institute)

• Proporciona panorama para control de TI

• Versión 3 desarrollada en el año 2000

• Versión On-line lanzada en el año 2003

• Versión 4 lanzada en octubre de 2005

 Composición de COBIT 4.1
• Conformado por 34 objetivos de control de alto nivel en sus cuatro
dominios

• Cada objetivo de control está soportado por los Lineamientos de

Auditoría

• Los Lineamientos de Auditoría en total contienen 318 objetivos de

control recomendados

• Lineamientos Gerenciales, orientados a la implementación de la

metodología
 Familia de Productos COBIT

• Directrices de Gerencia (Management Guidelines)

• Resumen Ejecutivo (Executive Summary)

• Marco Referencial (Framework)

• Objetivos de Control (Control Objectives)

• Directrices de Auditoría (Audit Guidelines)

• Conjunto de Herramientas de Implementación (Implementation

Tool Set)
COBIT esta orientado a ser la herramienta de gobierno de TI que
ayude al entendimiento y a la administración de riesgos
asociados con tecnología de información y con tecnologías
relacionadas.
¿Quiénes están detrás de COBIT?

IT Governance
Institute

Reconocida como líder mundial en el

gobierno, control y evaluación de TI.
COBIT – Cualidades Información
COBIT – Recursos de TI
Marco de COBIT
 Modelo de Madurez - COBIT

0 1 2 3 4 5

Leyenda: Nivel de madurez:

Estado actual 0 .. No existe

1 .. Básico
Estado internacional 2 .. Repetible
3 .. Documentado y comunicado
Mejor práctica 4 .. Función de monitoreo
5 .. Optimizado y automatizado
Objetivo estratégico
Algo de Historia de ISACA

• Fundada en 1969, como EDP Auditors Association (38 años)

• Más de 30,000 miembros en más de 100 países

• Más de 170 capítulos alrededor del mundo

 Objetivos y Beneficios
• Proveer un marco único reconocido a nivel mundial de las “mejores
prácticas” de control y seguridad de TI.

• Consolidar y armonizar estándares originados y desarrollados en

diferentes países.

• Concientizar a la comunidad sobre importancia del control y la auditoria

de TI.

• Enlazar los objetivos y estrategias de los negocios con la estructura de

control de la TI, como factor crítico de éxito

• Aplicar a todo tipo de organizaciones independiente de sus plataformas

de TI.

• Reiterar sobre la importancia de la información, como uno de los

recursos más valiosos de toda organización exitosa.
 Panorama de COBIT
Objetivos del Negocio

Gobierno de TI

Monitorear y Evaluar Planear y Organizar

CobiT
1. Monitorear y evaluar rendimiento de TI
2. Monitorear y evaluar control interno
1. Definir un plan estratégico de TI
3. Asegurar cumplimiento con requerimientos
2. Definir la arquitectura de información
externos
3. Determinar la dirección tecnológica
4. Proveer gobierno de TI
4. Definir la organización y relaciones de TI
5. Manejo de la inversión en TI
Req. Información 6. Comunicación de la directrices Gerenciales
7. Administración del Recurso Humano
Efectividad, Eficiencia, Confidencialidad,
8. Administrar calidad
Integridad, Disponibilidad,
9. Evaluar y administrar Riesgos
Cumplimiento, Confiabilidad
10. Administración de Proyectos

Entregar y Soportar

1.Definir y administrar niveles de servicio

2.Administrar servicios de terceros Recursos de TI Adquirir e
3.Administrar rendimiento y capacidad Datos, Aplicaciones Implementar
4.Asegurar servicio continuo Tecnología, Instalaciones, Recurso
5.Asegurar seguridad de sistemas
6.Identificar y asignar costos
Humano
1. Identificar soluciones automatizadas
7.Educar y entrenar usuarios 2. Adquirir y mantener software de aplicación
8.Administrar mesa de ayuda e incidentes 3. Adquirir y mantener infraestructura de TI
9.Administrar la configuración 4. Establecer operación y uso
10.Administrar problemas 5. Asignar recursos de TI
11.Administrar datos 6. Administrar Cambios
12.Administrar el ambiente físico 7. Instalar y acreditar soluciones y cambios
13.Administrar las Operaciones
Panorama de COBIT
Integración de otros Estándares
• ITIL (IT Infrastructure Library)

• ISO 17799 (Information Security Management)

• German Baseline Standards (Technical Security)

• ISO 13335 (Risk Management)

• ISO 15408 (Common Criteria)

• CoSo (Control System)

• Ensec (German TUEV)

•…
•…
COBIT y otros Estándares
 COBIT e ITIL

Support IT Services
Deliver IT Services -Service Desk
-Capacity Management -Incident Management
-Problem Management
-Financial Management -Configuration Management
-Customer Relationship Mgmt -Change Management
-Service Level Management -Release Management
-Continuity Management
-Availability Management
-Software development lifecycle
-Software lifecycle support
-Testing IT Services

Manage Applications

-Business Continuity -Network Service Management

-Operations Management
-Partnership and Outsourcing -Management of local processors
-Surviving Change -Computer Installation
-Transformation of business practise -Systems Management
The Business Perspective Manage the Infrastructure
COBIT e ISO/IEC 17799:2000
Preguntas?

¿?
 Caso: Evaluación del nivel de
cumplimiento con COBIT 4.1
Tomando como referencia la empresa donde trabaja usted, evalué
el nivel de cumplimiento de los siguientes procesos:

Materiales: Documento en PDF de COBIT 4.1 Spanish y la Matriz en Excel

Controles DS5.xlsx
Entregables: Sustentación y presentación en PPT (enviar por email al
profesor para la respectiva evaluación, máximo 04 diapositivas: Explicar el
escenario de la Empresa, Explicar la valoración y resultados,
Recomendaciones y acciones a tomar)
Tiempo: 03 horas, incluye sustentación
 Trabajo: Relacionar Practicas /
Marcos / Metodologías con COBIT 4.1
Presentar y Sustentar:
¿Qué modelos, marcos, practicas se tiene
para?
- Gestión de Proyecto (PMBOK)
- Gestión de Proveedores (ITIL e ISO 20000-1)
- Gestión de Cambios (ITIL e ISO 20000-1)
- Gestión de Riesgos (ISO 27000 e ISO 20000)
- Operaciones en TI (ITIL e ISO 20000-1)
Relacione 10 criterios, principios,
indicadores, métricas de los modelos
anteriormente mencionados con COBIT 4.1

Entregables: Sustentación y presentación en

PPT (enviar por email al profesor para la
respectiva evaluación, máximo 10 diapositivas)
Tiempo: 02 horas, incluye sustentación