Cobit Y Los Estandares Guias Y Procedimientos De Auditoria P Ropuestos Por Isaca
Páginas: 6 (1327 palabras)
Publicado: 2 de octubre de 2011
Análisis de COBIT y de los estándares, guías y procedimientos de auditoría propuestos por ISACA
Noviembre de 2008
Tabla de Contenidos:
RESUMEN EJECUTIVO 3
Contexto 5
Resumen Ejecutivo
Competencia
Familiarizarse con COBIT y con los estándares, guías y procedimientos relacionados con la seguridad y el control de infraestructura y facilidades.
Subtemas:
*COBIT 4.0
o PO5 – Administrar la inversión en TIo AI3 – Adquirir y mantener infraestructura tecnológica.
o AI4 – Facilitar la operación y el uso.
o DS1 – Definir y administrar los niveles de servicio.
o DS2 – Administrar los servicios de terceros.
o DS3 – Administrar el desempeño y la capacidad.
o DS4 – Garantizar la continuidad del servicio.
o DS12 – Administrar el ambiente físico
*Estándares, Guías y Procedimientos
o S9 – G9 – P7 – Irregularities and Illegal Acts.
o S13 – Using the Work of Other Experts.
o G4 – Outsourcing of IS Activities to Other Organisations.
o G32 – Business Continuity Plan (BCP) Review From IT Perspective.
o G36 – Biometric Controls.
o G37 – Configuration Management Process.
o G38 – Access Controls.
o P1 – IS Risk Assessment.
o P5 – ControlRisk Self-assessment
En el sitio de ISACA, localizar y descargar los estándares disponibles en español.
Proceso:
Leer el material de referencia y material complementario del Tema.
La riqueza del contenido es fruto de la colaboración es de los participantes, conforme lea los documentos:
* Resalte las ideas que más llamen su atención.
* Revise en el foro en cuál subtema corresponde suidea.
* Revise las aportaciones de sus compañeros y aporte sus reflexiones (mencione la página y el documento correspondiente cuando sea el caso)
Contexto
Me gustaría hacer énfasis en el Modelo Genérico de Madurez del Cobit el cual se ve reflejado en cada uno de los procesos de referencia.
Modelo genérico de madurez
0 No existente. Carencia completa de cualquier procesoreconocible. La empresa no ha reconocido siquiera que existe un problema a resolver.
1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado.
2Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.
3 Definido.Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes.
4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos ytomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada.
5 Optimizado. Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI seusa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.
Evidencias del Auditor.
El auditor de SI debe obtener evidencias de auditorías suficientes y apropiadas para llegar a conclusiones razonables sobre las que basar los resultados de la auditoría.
Evidencia...
Noviembre de 2008
Tabla de Contenidos:
RESUMEN EJECUTIVO 3
Contexto 5
Resumen Ejecutivo
Competencia
Familiarizarse con COBIT y con los estándares, guías y procedimientos relacionados con la seguridad y el control de infraestructura y facilidades.
Subtemas:
*COBIT 4.0
o PO5 – Administrar la inversión en TIo AI3 – Adquirir y mantener infraestructura tecnológica.
o AI4 – Facilitar la operación y el uso.
o DS1 – Definir y administrar los niveles de servicio.
o DS2 – Administrar los servicios de terceros.
o DS3 – Administrar el desempeño y la capacidad.
o DS4 – Garantizar la continuidad del servicio.
o DS12 – Administrar el ambiente físico
*Estándares, Guías y Procedimientos
o S9 – G9 – P7 – Irregularities and Illegal Acts.
o S13 – Using the Work of Other Experts.
o G4 – Outsourcing of IS Activities to Other Organisations.
o G32 – Business Continuity Plan (BCP) Review From IT Perspective.
o G36 – Biometric Controls.
o G37 – Configuration Management Process.
o G38 – Access Controls.
o P1 – IS Risk Assessment.
o P5 – ControlRisk Self-assessment
En el sitio de ISACA, localizar y descargar los estándares disponibles en español.
Proceso:
Leer el material de referencia y material complementario del Tema.
La riqueza del contenido es fruto de la colaboración es de los participantes, conforme lea los documentos:
* Resalte las ideas que más llamen su atención.
* Revise en el foro en cuál subtema corresponde suidea.
* Revise las aportaciones de sus compañeros y aporte sus reflexiones (mencione la página y el documento correspondiente cuando sea el caso)
Contexto
Me gustaría hacer énfasis en el Modelo Genérico de Madurez del Cobit el cual se ve reflejado en cada uno de los procesos de referencia.
Modelo genérico de madurez
0 No existente. Carencia completa de cualquier procesoreconocible. La empresa no ha reconocido siquiera que existe un problema a resolver.
1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado.
2Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.
3 Definido.Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes.
4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos ytomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada.
5 Optimizado. Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI seusa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.
Evidencias del Auditor.
El auditor de SI debe obtener evidencias de auditorías suficientes y apropiadas para llegar a conclusiones razonables sobre las que basar los resultados de la auditoría.
Evidencia...
Leer documento completo
Regístrate para leer el documento completo.