herramienta de auditoria meycor cobit

JHOAN ACHICANOY

DIEGO ASTORQUIZA

CARLOS MELO

HERRAMIENTA DE AUDITORIA MEYCOR

COBIT

Software Web especialmente diseñado para el desarrollo, implantación y mantenimiento de sistemas de gestión ISO, y en especial de la norma ISO/IEC 27001: 2005.Desarrollado por DATASEC y contiene características únicas a nivel mundial puesto que se le han incorporado estándares del COBIT 4.0 el cual ha ido evolucionando desde su primera versión, permitiendo la incorporación de elementos que evalúan múltiples centros de análisis.

MEYCOR COBIT

MEYCOR COBIT además de realizar un diagnostico actual y generar recomendaciones, permite realizar evaluaciones periódicas que pueden ser comparadas y medir los avances de la empresa.Contiene informes (solo lectura, no modificables) que permiten al auditor ampliar procedimientos básicos y analizar significatividad de desviaciones.

Permite diagnosticar el estado de la organización en cuanto a nivel de seguridad, calidad, eficiencia, eficacia en TI basados en los 220 objeticos del marco COBIT 4.0.Permite ampliar base de conocimientos en materia de seguridad en las diferentes plataformas (Windows, Unix, Oracle, etc.), incluso en aspectos de seguridad de acceso, control ambiental, incendios, etc.

MEYCOR COBIT es un producto que se encuentra en constante evolución, adaptando metodologías mundialmente reconocidas, en cuanto a analizar, diagnosticar y recomendar. Se encuentra desarrollado en español a fin de facilitar su comprensión.

Incluye un enfoque de proyecto que permite guiarse a través de distintos pasos en procesos de evaluación.

Define niveles de acceso a cada usuario asignando login y una contraseña, posibilitando acceso selectivo para cada uno de los 34 procesos COBIT.

CARACTERISTICAS

Incluye 2 rutinas facilitan comprensión y conciencia de alta gerencia(extraídas COBIT implementation tool set):

Planilla de auto evaluación de gobernabilidad en TI (checklist TI).

Planilla diagnóstico materia de TI en la dirección.

Genera automáticamente una serie de procesos de acuerdo al resultado de lo anteriormente mencionado.

Incluye modulo de auditoría para la corrección de las respuestas efectuadas por la gerencia a los usuarios.

Permite al usuario ampliar la evaluación de objetivos de control COBIT personalizando los ya existentes en base de datos.

Permite administrar ponderación que el software utilice para cada objetivo de control.

Permite identificar niveles de restricción que obstaculizaran los objetivos de control.

Permite calcular costo de implementación de los objetivos de control, generando un cronograma para su implementación.

Analiza conexión de objetivos de control, estatus de control y seguridad en las diferentes plataformas, incluye cuestionarios adicionales para evaluar las plataformas.

Flexibilidad de evaluar corporaciones con recursos de TI distribuido en diferentes ubicaciones con la creación de centros de análisis y consolida resultados globales y locales.

Permite revisión periódica de la evolución de las decisiones efectuadas por la Dirección a través de gráficos de comparación de diferentes periodos.

Tres niveles de cuestionarios: De alto nivel, consiste en los 220 objetivos COBIT 4.0. Nivel medio en seguridad, cuestionarios sobre

seguridad física y lógica, incendios, daños por el agua, etc. Que estén conectados con objetivos de control.

Bajo nivel en seguridad, cuestionarios plataformas específicas como sistemas operativos, internet que se encuentren conectados con objetivos de control de COBIT.

Acceso multi-usuario y sincronización de respuesta para evaluaciones fuera de línea (off-line).

FUNCIONALIDADES DE MEYCOR COBIT

Gráficas de radar que describen el estatus de los 34 procesos de TI para COBIT.

Reportes detallados con recomendaciones ayudan a la implementación exitosa de los objetivos de control.

Interfaz total con Microsoft Word y Excel a nivel de reportes (documentos en formato RTF).

Ayuda en línea.

PC con procesador Pentium 1500 MHz (o superior).

512 MB de RAM mínimo.Unidad de disco duro con un mínimo de 3 GB

de espacio libre para el programa y todos los archivos relacionados.

Unidad de CD-ROM.

REQUISITOS MÍNIMOS DE HARDWARE

Windows® 2000/ XP/ Vista/ Windows 7/ Windows Server 2003-2008

SMTP Server (SERVIDOR CORREO ELECTRONICO).

Microsoft .NET Framework 2.0Microsoft SQL Server 2000/2005/2008MDAC 2.7 o superior (Microsoft data access

components).

REQUISITOS MÍNIMOS DE SOFTWARE

Producto utiliza BD Microsoft Access o Microsoft SQL server.

Diseñada para funcionar en red o PC local.Una sola licencia del producto se puede

utilizar en red.Si utilizará la base de datos en SQL Server

deberá crear para la base de datos una conexión ODBC en cada cliente y configurar el software para que use dicha conexión.

INFORMACIÓN TÉCNICA ADICIONAL

Si utilizará la base de datos con Access, debe copiar en un disco compartido de la red la base de datos y configurar el software con la ruta de acceso a la misma.

En ambos casos se debe configurar permisos para que los usuarios leer y escribir datos en la carpeta de la base de datos.

En el server se instalara programa que inicia el servicio y permite a los usuarios acceder a la base de datos.

El control de licenciamiento se hace por software de forma tal que una licencia de la aplicación se fija a una PC. Siguiendo un procedimiento definido, el usuario puede mover fácilmente una licencia de una PC a otra sin intervención de DATASEC.

CENTRALAdministración de usuarios, grupos, eventos, generación de novedades, aspectos técnicos.

GESTIÓN DOCUMENTALGestión de documentos, cuestionarios, datos, manteniendo control de la información.

GESTIÓN DE RIESGOSAnálisis y seguimiento de riesgos según los requisitos definidos en la norma ISO/IEC 27001:2005.

ESTRUCTURA MODULAR

Identificación de activos y amenazas utilizando los controles de la norma ISO/IEC 27002 para facilitar tratamiento de riesgos.

GESTIÓN DE EVENTOSGestiona y define el flujo de trabajo de diferentes tipos de eventos, por medio de este modulo se maneja: Eventos seguridad, No conformidades, Acciones correctivas y preventivas, Solicitudes de cambio, etc.

AUTO-EVALUACION DE CONTROLESPermite a la organización autoevaluarse contra lo que dice la ISO/IEC 27002, ISO/IEC 20000, COBIT, COSO I, COSO II, o cualquier marco de evaluación que desee utilizar.

COMUNICACIONESGenerar alertas que son enviadas por e-mail a los usuarios en algunas situaciones. Algunos son: cuando un documento debe ser aprobado o publicado, cuando un documento llega a su vencimiento, cuando debe ser tratado algún evento reportado, etc.

En esta metodología se prevé una primera etapa de implantación de software MEYCOR COBIT tomando conocimiento de la realidad de la organización según su base de datos, se entenderá el tipo de empresa (industrial, financiera, comercial, etc.) además capacita y asiste a los responsables.

METODOLOGIA MEYCOR COBIT

Una segunda etapa permite a la organización efectuar seguimiento y control de su evolución según las medidas tecnológicas adoptadas al actualizarse, se obtienen autodiagnósticos periódicos que permiten observar la evolución en factores de seguridad informática.

FASE 1Respuestas En Aspectos De Seguridad,

Calidad, Eficiencia Y EficaciaPermite calificar estado en seguridad, calidad, eficiencia y eficacia en sistemas de TI. Mejora calificación de procesos mediante recomendaciones según los riesgos de impacto de amenazas.

FASES MEYCOR COBIT

(Metodología evaluación y control de

riesgos)

FASE 2VERIFICACIÓN DE FIABILIDAD DE

RESPUESTAS

MEYCOR COBIT permite aplicar técnicas de recolección de evidencias aseguran respuestas que los cuestionarios sean confiables, si no es así se realizara rectificaciones.

FASE 3PRESENTACIÓN DE DIAGNÓSTICO EN

GRÁFICA DE RADAR

Muestra los cuatro dominios mediante distintos colores para mejor identificación de áreas mas criticas. Circunferencia azul es nivel deseado y el rojo nivel obtenido.

FASE 4EVALUACIÓN DE RESTRICCIONES

Evalúa restricciones respecto a instalaciones, personas, datos aplicativos e infraestructura tecnológica generando recomendaciones que se deberán tener en cuenta.

FASE 5ADMINISTRAR LOS RIESGOS, DECIDIR

POLITICAS Y SELECCIONAR RECOMENDACIONES SEGÚN LIMITACIONES EXISTENTES

Las políticas básicas traducen el mejoramiento de cada uno de los 34 procesos usados, proponiendo objetivos de mejoramiento que se articulan mediante recomendaciones.

FASE 6INCORPORAR RECOMENDACIONES

ACEPTADAS A LOS PLANES DE LARGO Y CORTO PLAZO DE LA ORGANIZACIÓN

Se desarrolla un plan de implantación, ajustada al presupuesto asignado teniendo en cuenta cronograma de trabajo ya sea de largo o corto plazo. MEYCOR COBIT permite diagnosticar documentalmente situaciones de alta gerencia imponiendo políticas y programas de seguridad de la información.

SEGUIMIENTO DE DIAGNOSTICOS PERIÓDICOS

MEYCOR COBIT permite realizar diagnósticos periódicos para determinar avances o bajas en procesos, permite corroborar mejoras logradas como producto de las recomendaciones implantadas.