A - COBIT-Objetivos de Control - 3 Edicion

OBJETIVOS DE CONTROL
COBIT
3a Edicin
Emitido por el Comit Directivo de COBIT y El IT Governance Institute MR
Traduccin al espaol por Gustavo A. Sols Montes, CISA
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.
IT GOVERNANCE INSTITUTE
ARGENTINA ARUBA AUSTRALIA AUSTRIA BAHAMAS BAHRAIN BANGLEDESH BARBADOS BLGICA BERMUDA BOLIVIA BOSTSWANA BRASIL BRUENI CANAD CHILE CHINA COLOMBIA COSTA RICA CROATA CURAZAO CYPRUS REPBLICA CHECA DINAMARCA REPBLICA DOMINICANA
LIECHTENSTEIN OBJETIVOS DE CONTROL
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION

Una sola Fuente Internacional para los Controles de la Tecnologa de Informacin
Information Systems Audit and Control Association es una organizacin global lder de profesionales que representa a individuos en ms de 100 pases y comprende todos los niveles de la tecnologa de informacin Direccin ejecutiva, gerencia media y practicantes. La Asociacin est nicamente posesionada para cubrir el papel de generador central que armoniza los estndares de las prcticas de control de TI a nivel mundial. Sus alianzas estratgicas con otros grupos dentro del mbito profesional financiero, contable, de auditora y de TI aseguran a los dueos del proceso del negocio un nivel sin paralelo de integracin y compromiso. La Information Systems Audit and Control Association se cre en 1969 para cubrir las necesidades nicas, diversas y de alta tecnologa en el naciente campo de la TI. En una industria donde el progreso se mide en nanosegundos, ISACA se ha movido gil y velozmente para satisfacer las necesidades de la comunidad de negocios internacionales y de la profesin de controles de la TI. su programa de educacin profesional ofrece conferencias tcnicas y administrativas en cinco continentes, as como seminarios en todo el mundo para ayudar a los profesionistas de todas partes a recibir educacin contina de alta calidad. su rea de publicidad tcnica proporciona materiales de desarrollo profesional y referencias con el fin de aumentar su distinguida seleccin de programas y servicios.
ECUADOR EGIPTO ESTONIA ISLAS FAEROE FINLANDIA FRANCIA ALEMANIA GHANA GRECIA GUAM GUATEMALA HONDURAS HONG KONG HUNGRA ISLANDIA INDIA INDONESIA IRLANDA ISRAEL ITALIA IVORY COAST JAMAICA JAPN JORDN KENYA COREA KUWAIT LATVIA LEBANON
Programas y Servicios de la Asociacin

Los Programas y Servicios de la Asociacin han ganado prestigio al establecer los niveles ms altos de excelencia en certificacin, estndares, educacin profesional y publicidad tcnica. su programa de certificacin (el Auditor de Sistemas de Informacin Certificado) es la nica designacin global en toda la comunidad de control y auditora de la TI.
Para ms Informacin
Para recibir informacin adicional, puede llamar al (+1.847.253.1545), enviar un email a (research@isaca.org) o visitar los siguentes sitios web:
LITUANIA LUXEMBURGO MALASIA MALTA MALAWI MXICO PASES BAJOS NUEVA GUINEA NUEVA ZELANDA NIGERIA NORUEGA OMN PAKISTN PANAM PER FILIPINAS POLONIA PORTUGAL QATAR RUSIA SAIPAN ARABIA SAUDITA ESCOCIA SEYCHELLES SINGAPUR REP. ESLOVACA ESLOVENIA SUDFRICA ESPAA SRI LANKA ST. KITTS ST. LUCIA SUECIA SUIZA SIRIA TAIWAN TANZANIA TASMANIA TAILANDIA TRINIDAD & TOBAGO
sus actividades estndar establecen la base de calidad mediante la cual otras actividades de control y auditora de TI se miden.
www.itgovernance.org www.isaca.org
TURQUA UGANDA EMIRATOS ARAB UNIDOS REINO UNIDO ESTADOS UNIDOS
URUGUAY VENEZUELA VIETNAM GALES YEMEN ZAMBIA ZIMBABWE
Reconocimientos Resumen Ejecutivo El Marco Referencial de COBIT Estableciendo la escena Los Principios del Marco Referencial Historia y Antecedentes del COBIT Tabla Resumen Principios de los Objetivos de Control Relaciones de Objetivos de Control Dominios, Procesos y Objetivos de Control Objetivos de Control Planeacin y Organizacin Adquisicin e Implementacin Entrega de Servicios y Soporte Monitoreo Apndice I Directrices Gerenciales del Gobierno de IT Apndice II Descripcin del Proyecto Cobit Apndice III Material de Referencia Primaria Apndice IV Glosario de Trminos Originales 134 131 129 125 32 62 80 114 4 5 9 9 14 20 22 23 25
Lmite de Responsabilidad La Information Systems Audit and Control Foundation, el IT Governance Institute y los patrocinadores de COBIT: Objetivos de Control para la Informacin y Tecnologas Relacionadas, han diseado y creado las publicaciones tituladas Resumen Ejecutivo, Marco Referencial, Objetivos de Control, Directrices Gerenciales, Directrices de Auditora, y el Conjunto de Herramientas de Implementacin (llamado colectivamente el Producto) principalmente como una fuente de instruccin para los profesionales dedicados a las actividades de control. La Information Systems Audit and Control Foundation, el IT Governance Institute y los patrocinadores no garantizan que el uso de este producto asegurar un resultado exitoso. No deber considerarse que este producto incluye todos los procedimientos o pruebas apropiados o que excluye otros procedimientos y pruebas que estn razonablemente dirigidos hacia la obtencin de los mismos resultados. Para determinar la conveniencia de cualquier prueba o procedimiento especfico, los expertos en control debern aplicar su propio juicio profesional a las circunstancias de control especiales presentadas por cada entorno de sistemas en particular. Acuerdo de Licencia de uso (disclosure) Copyright 1996, 1998, 2000, de la Information Systems Audit and Control Foundation (ISACF). La reproduccin para fines comerciales no est permitida sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el Conjunto de Herramientas de Implementacin para uso interno no comercial, incluyendo almacenamiento en medios de recuperacin de datos y transmisin en cualquier medio, incluyendo electrnico, mecnico, grabado u otro medio. Todas las copias del Resumen Ejecutivo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el Conjunto de Herramientas de Implementacin deben incluir el siguiente reconocimiento y leyenda de derechos de autor: Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reimpreso con la autorizacin de la Information Systems Audit and Control Foundation, y el IT Governance Institute. Las Guas/Directrices de Auditora no pueden ser usadas, copiadas, reproducidas, almacenadas, modificadas en un sistema de recuperacin de datos o transmitido en ninguna forma ni por ningn medio (electrnico, mecnico, fotocopiado, grabado u otro medio) sin la previa autorizacin por escrito de la ISACF. Sin embargo, las Directrices de Auditora pueden ser usadas con fines no comerciales internos nicamente. Excepto por lo indicado, no se otorga ningn otro derecho o permiso relacionado con esta obra. Todos los derechos de esta obra son reservados. Information Systems Audit and Control Foundation IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, Illinois 60008 USA. Telfono: 1+847.253.1525 Fax: 1+847.253.1443 E-mail: research@isaca.org Web sites: www.isaca.org www.Itgovernance.org ISBN 1-893209-17-2 (Control Objectives, English) ISBN 1-893209-13-X (Paquete completo de los 6 libros y CD) Impreso en los Estados Unidos de Amrica
RECONOCIMIENTOS
COMIT DIRECTIVO DE COBIT

ERIK GULDENTOPS, S.W.I.F.T. SC, BLGICA JOHN LAINHART, PRICEWATERHOUSECOOPERS, USA EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BLGICA JOHN BEVERIDGE, STATE AUDITORS OFFICE, MASSACHUSETTS, USA MICHAEL DONAHUE, PRICEWATERHOUSECOOPERS, USA GARY HARDY, ARTHUR ANDERSEN, REINO UNIDO RONALD SAULL, GREAT-WEST LIFE ASSURANCE, LONDON LIFE AND INVESTORS GROUP, CANADA
MARK STANLEY, SUN AMERICA INC., USA
Agradecimientos Especiales a los Captulos de ISACA del rea de la Capital Nacional y al de Boston por su contribucin a los Objetivos de Control de Cobit
Agradecimientos Especiales a los miembros de la Mesa Directiva de la Information Systems Audit and Control Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, encabezados por el Presidente Internacional Paul Williams, por su contnuo y firme apoyo al Cobit
RESUMEN EJECUTIVO
Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) Relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticidad emerge de: La creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de informacin1 La escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin; y El potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa. Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la Gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de TI. Por lo tanto, la Administracin requiere niveles de servicio que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, as como un mejoramiento continuo y una disminucin de los tiempos de entrega; al tiempo que demanda que esto se realice a un costo ms bajo. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nuevas tecnologas. Hay numerosos cambios en TI y en su ambiente de operacin que enfatiza la necesidad de un mejor manejo relacionado con los riesgos de TI. La dependencia en la informacin electrnica y en los sistemas de TI son esenciales para soportar los procesos crticos del negocio. Adicionalmente, el ambiente regulatorio demanda control estricto sobre la informacin. Esto a su vez conduce a un incremento de los desastres en los sistemas de informacin y al incremento del fraude electrnico. La Administracin de los riesgos relacionados con TI est siendo entendido como un aspecto clave en el gobierno o direccin empresarial. Dentro del Gobierno Empresarial, el Gobierno / Gobernabilidad de TI2 se est volviendo mas y mas importante y est definido como una estructura de relaciones y procesos para dirigir y controlar a la empresa con el fin que sta pueda cumplir sus metas dando valor agregado mientras balancea sus riesgos versus el retorno sobre TI y sus procesos. El Gobierno de TI es parte integral del xito de la Gerencia de la Empresa al asegurar mejoras medibles, eficientes y efectivas de los procesos relacionados de la empresa. El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la informacin con las estrategias y los objetivos de la empresa. Adems, el Gobierno de TI integra e institucionaliza buenas (o mejores) prcticas de planeacin y organizacin, adquisicin e implementacin, entrega de servicios y soporte y monitorea el desempeo de TI para asegurar que la informacin de la empresa y las tecnologas relacionadas soportan sus objetivos del negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su informacin logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva GOBIERNO DE TI Una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar los objetivos de la empresa y aadir valor mientras se balancean los riesgos versus el retorno sobre TI y sus procesos. Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La Administracin deber adems optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir con esta responsabilidad, as como para alcanzar sus
1 2
Guerra de informacin (information warfare) Gobierno de TI (IT Governance) Governance es un trmino que representa el sistema de control o administracin que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.
objetivos, la Administracin debe entender el estado de sus propios sistemas de TI y decidir el nivel de seguridad y control que deben proveer estos sistemas. Los Objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT), ahora en esta tercera edicin, ayuda a satisfacer las mltiples necesidades de la Administracin estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos tcnicos. Provee buenas prcticas a travs de un dominio y el marco referencial de los procesos y presenta actividades en una estructura manejable y lgica. Las Buenas prcticas de COBIT rene el consenso de expertos - quienes ayudarn a optimizar la inversin de la informacin y proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividades van por el camino equivocado. La Administracin debe asegurar que los sistemas de control interno o el marco referencial estn funcionando y soportan los procesos del negocio y debe tener claridad sobre la forma como cada actividad individual de control satisface los requerimientos de informacin e impacta los recursos de TI. El impacto sobre los recursos de TI son resaltados en el Marco de Referencia de COBIT junto con los requerimientos del negocio que deben ser alcanzados: eficiencia, efectividad, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la informacin. El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin. La administracin, mediante este gobierno corporativo, debe asegurar que todos los individuos involucrados en la administracin, uso, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin acten con la debida diligencia. Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una actividad de TI. La orientacin al negocio es el tema principal de COEst diseado no solo para ser utilizado por usuarios y auditores, sino que, lo ms importante, esta diseado para ser utilizado por los propietarios de los procesos de negocio como una gua clara y entendible. A medida que ascendemos, las prcticas de negocio requieren de una mayor delegacin y empoderamiento3 de los dueos de los procesos para que estos tengan total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En particular, esto incluye el proporcionar controles adecuados.
BIT.
El Marco de Referencia de COBIT proporciona, al propietario de procesos de negocio, herramientas que facilitan el cumplimiento de esta responsabilidad. El Marco de Referencia comienza con una premisa simple y prctica: Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural. El Marco de Referencia contina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: Planeacin y Organizacin, Adquisicin e Implementacin, Entrega de servicios y Soporte y Monitoreo. Esta estructura cubre todos los aspectos de informacin y de tecnologa que la soporta. Administrando adecuadamente estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin. El Marco de Referencia de COBIT provee adems una gua o lista de verificacin para el Gobierno de TI. El Gobierno de TI proporciona las estructuras que encadenan los procesos de TI, los recursos de TI y la informacin con los objetivos y las estrategias de la empresa. El Gobierno de TI integra de una forma ptima el desempeo de la Planeacin y Organizacin, la Adquisicin e Implementacin, la Entrega de Servicios y Soporte y el Monitoreo. El Gobierno de TI facilita que la empresa obtenga total ventaja de su informacin y as mismo maximiza sus beneficios, capitalizando sus oportunidades y obteniendo ventaja competitiva Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una Gua o directriz de Auditora o de aseguramiento que permite la revisin de los procesos de TI contra los 318 objetivos detallados de control recomendados por COBIT para proporcionar a la Gerencia la certeza de su cumplimiento y/o sugerencias para su mejoramiento.
Empoderamiento (empowerment)
Las Guas o Directrices Gerenciales de COBIT, desarrolladas recientemente, ayudan a la Gerencia a cumplir de una forma mas efectiva con las necesidades y requerimientos del Gobierno de TI. Las Directrices son acciones genricas orientadas a proveer a la Administracin la direccin para mantener bajo control la informacin de la empresa y sus procesos relacionados, para monitorear el logro de las metas organizacionales, para monitorear el desempeo de cada proceso de TI y para llevar a cabo un benchmarking de los logros organizacionales. Especficamente COBIT provee Modelos de Madurez para el control sobre los procesos de TI de tal forma que la Administracin puede ubicarse en el punto donde la organizacin est hoy, donde est en relacin con los mejores de su clase en su industria y con los estndares internacionales y as mismo determinar a donde quiere llegar; Factores Crticos de xito (Critical Success Factors), que definen o determina cuales son las mas importantes directrices que deben ser consideradas por la Administracin para lograr control sobre y dentro de los procesos de TI. Indicadores Claves del logro de Objetivos o de Resultados (Key Goal Indicators) los cuales definen los mecanismos de medicin que indicarn a la Gerencia despus del hecho si un proceso de TI ha satisfecho los requerimientos del negocio; y los Indicadores Clave de desempeo (Key Performance Indicators) los cuales son indicadores primarios que definen la medida para conocer qu tan bien se est ejecutando el proceso de TI frente o comparado contra el objetivo que se busca. Las Directrices Gerenciales de COBIT son genricas y son acciones orientadas al propsito de responder los siguientes tipos de preguntas gerenciales: Qu tan lejos debemos ir y es el costo justificado para el beneficio obtenido? Cules son los indicadores de buen desempeo? Cules son los factores crticos de xito? Cules son los riesgos de no lograr nuestros objetivos? Qu hacen otros? Cmo nos podemos medir y comparar? COBIT contiene adicionalmente un Conjunto de Herramientas de Implementacin que proporciona lecciones aprendidas por empresas que rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo. Incluye dos herramientas particularmente tiles - Diagnstico de Sensibilizacin Gerencial (Management Awareness Diagnostic) y Diagnstico de Control en TI (IT Control Diagnostic) - para proporcionar asistencia en el anlisis del ambiente de control de TI en una organizacin.
En los prximos aos las Directivas de las Organizaciones necesitarn demostrar que estn logrando incrementar sus niveles de seguridad y control. COBIT es una herramienta que ayuda a los Directivos a colocar un puente entre los requerimientos de control, los aspectos tcnicos y los riesgos del negocio y adicionalmente informa a los accionistas o dueos de la empresa el nivel de control alcanzado. COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de TI a travs de las organizaciones, a nivel mundial. Por lo tanto, COBIT est diseado para ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de los riesgos as como de los beneficios asociados con la informacin y sus tecnologas relacionadas.
PROCESOS DE TI DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS DE COBIT

GOBIERNO DE TI
OBJEIVOS DE OBJETIVOS DE NEGOCIO NEGOCIO
COBIT
M1 Monitorear los procesos M2 Evaluar lo adecuado del control Interno M3 Obtener aseguramiento independiente M4 Proporcionar auditora independiente
PO1
INFORMACION
efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad
Definir un Plan Estratgico de Tecnologa de Informacin Definir la Arquitectura de Informacin Determinar la direccin tecnolgica Definir la Organizacin y de las Relaciones de TI PO5 Manejar la Inversin en Tecnologa de Informacin PO6 Comunicar la direccin y aspiraciones de la gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento de Requerimientos Externos PO9 Evaluar Riesgos PO10 Administrar proyectos PO11 Administrar Calidad PO2 PO3 PO4
MONITOREO
RECURSOS DE TI
datos sistemas de aplicacin tecnologa instalaciones gente
PLANEACION Y ORGANIZACION
ENTREGA Y SOPORTE
ADQUISICION E IMPLEMENTACION
DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13
Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeo y Capacidad Asegurar Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a los Usuarios Apoyar y Asistir a los Clientes de TI Administrar la Configuracin Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones
AI1 Identificar Soluciones AI2 Adquirir y Mantener Software de Aplicacin AI3 Adquirir y Mantener Arquitectura de Tecnologa AI4 Desarrollar y Mantener Procedimientos relacionados con TI AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios
EL MARCO REFERENCIAL DE COBIT

LA NECESIDAD DE CONTROL EN TECNOLOGIA DE INFORMACION En los ltimos aos , ha sido cada vez ms evidente la necesidad de un Marco Referencial para la seguridad y el control de tecnologa de informacin (TI). Las organizaciones exitosas requieren una apreciacin y un entendimiento bsico de los riesgos y limitaciones de TI a todos los niveles dentro de la empresa con el fin de obtener un efectiva direccin y controles adecuados. LA ADMINISTRACION (MANAGEMENT) debe decidir cual es la inversin razonable en seguridad y en control en TI y cmo lograr un balance entre riesgos e inversiones en control en un ambiente de TI frecuentemente impredecible. Mientras la seguridad y los controles en los sistemas de informacin ayudan a administrar los riesgos, no los eliminan. Adicionalmente, el exacto nivel de riesgo nunca puede ser conocido ya que siempre existe un grado de incertidumbre. Finalmente, la Administracin debe decidir el nivel de riesgo que est dispuesta a aceptar. Juzgar cual puede ser el nivel tolerable, particularmente cuando se tiene en cuenta contra el costo, puede ser una decisin difcil para la Administracin. Por esta razn, la Administracin necesita un marco de referencia de las prcticas generalmente aceptadas de control y seguridad de TI para compararlos contra el ambiente de TI existente y planeado. Existe una creciente necesidad entre los USUARIOS de los servicios de TI, de estar protegidos a travs de la acreditacin y la auditora de servicios de TI proporcionados internamente o por terceras partes, que aseguren la existencia de controles y seguridades adecuadas. Actualmente, sin embargo, es confusa la implementacin de buenos controles de TI en sistemas de negocios por parte de entidades comerciales, entidades sin fines de lucro o entidades gubernamentales. Esta confusin proviene de los diferentes mtodos de evaluacin, tales como ITSEC, TCSEC, evaluaciones ISO9000, nuevas evaluaciones de control interno COSO, etc. Como resultado, los usuarios necesitan que se establezca una base general como un primer paso. Frecuentemente, los AUDITORES han tomado el liderazgo en estos esfuerzos internacionales de estandarizacin, debido a que ellos enfrentan continuamente la necesidad de sustentar y apoyar su opinin acerca de los controles internos frente a la Gerencia. Sin contar con un marco referencial, sta se convierte en una tarea deIT GOVERNANCE INSTITUTE
masiado complicada. Incluso, la administracin consulta cada vez ms a los auditores para que la asesoren en forma proactiva en lo referente a asuntos de seguridad y control de TI. EL AMBIENTE DE NEGOCIOS: COMPETENCIA, CAMBIO Y COSTOS La competencia global es ya un hecho. Las organizaciones se reestructuran con el fin de perfeccionar sus operaciones y al mismo tiempo aprovechar los avances en TI para mejorar su posicin competitiva. La reingeniera en los negocios, las reestructuraciones o rightsizing, el outsourcing, el empoderamiento, las organizaciones horizontales y el procesamiento distribuido son cambios que impactan la manera en la que operan tanto los negocios como las entidades gubernamentales. Estos cambios han tenido y continuarn teniendo, profundas implicaciones para la administracin y las estructuras de control operacional dentro de las organizaciones en todo el mundo. La especial atencin prestada a la obtencin de ventajas competitivas y a la eficiencia en costos implica una dependencia creciente en la tecnologa como el componente ms importante en la estrategia de la mayora de las organizaciones. La automatizacin de las funciones organizacionales, por su naturaleza, dicta la incorporacin de mecanismos de control ms poderosos en las computadoras y en las redes, tanto para las basadas en hardware como las basadas en software. Adems, las caractersticas estructurales fundamentales de estos controles estn evolucionando al mismo paso que las tecnologas de computacin y las redes. Dentro del marco referencial de cambios acelerados, si los administradores, los especialistas en sistemas de informacin y los auditores desean en realidad ser capaces de cumplir con sus tareas en forma efectiva , debern aumentar y mejorar sus habilidades tan rpidamente como lo demandan la tecnologa y el ambiente. Debemos comprender la tecnologa de controles involucrada y su naturaleza cambiante si deseamos emitir y ejercer juicios razonables y prudentes al evaluar las prcticas de control que se encuentran en los negocios tpicos o en las organizaciones gubernamentales.
APARICION DEL GOBIERNO DE LA EMPRESA Y DEL GOBIERNO DE TI Para lograr el xito en esta economa de informacin, el Gobierno de la empresa y el Gobierno de TI no pueden ser consideradas separadamente y en distintas disciplinas. El gobierno efectivo de la empresa enfoca el conocimiento y la experiencia en forma individual y grupal, donde puede ser mas productivo, monitoreado y medido el desempeo as como provisto el aseguramiento para aspectos crticos. TI, por mucho tiempo considerada aislada dentro del logro de los objetivos de la empresa debe ahora ser considerada como una parte integral de la estrategia. El Gobierno de TI provee la estructura que une los procesos de TI, los recursos de TI y las estrategias y objetivos de la empresa. El Gobierno de TI integra e institucionaliza de una manera ptima la planeacin y organizacin, la adquisicin e implementacin, la entrega de servicios y soporte y el monitoreo del desempeo de TI. El Gobierno de TI es integral para el xito del Gobierno de la Empresa asegurando una eficiente y efectiva medicin para mejorar los procesos de la empresa. El Gobierno de TI le permite a la empresa tomar ventaja total de su informacin, al maximizar sus beneficios, capitalizar sus oportunidades y ganar ventaja competitiva. Observando en el contexto a la empresa y los procesos del Gobierno de TI con mayor detalle, el gobierno de la empresa, el sistema por el cual las entidades son dirigidas y controladas direcciona y analiza el Gobierno de TI. Al mismo tiempo, TI debera proveer insumos crticos y constituirse en un componente importante de los planes estratgicos. De hecho TI puede influenciar las oportunidades estratgicas de la empresa.
Gobierno de la Empresa
Direcciona y Prepara
Gobierno de Tecnologia de Informacion
Las actividades de la empresa requieren informacin de las actividades de TI con el fin de satisfacer los objetivos del negocio. Organizaciones exitosas aseguran la interdependencia entre su plan estratgico y sus actividades de TI. TI debe estar alineado y debe permitir a la empresa tomar ventaja total de su informacin para maximizar sus beneficios, capitalizar oportunidades y ganar ventaja competitiva.
Actividades de la empresa
Requiere informacion de
Actividades de Tecnologia de Informacion
Las empresas son gobernadas por buenas (o mejores) prcticas generalmente aceptadas para asegurar que la empresa cumpla sus metas asegurando que lo anterior est garantizado por ciertos controles. Desde estos objetivos fluye la direccin de la organizacin, la cual dicta ciertas actividades a la empresa usando sus propios recursos. Los resultados de las actividades de la empresa son medidos y reportados proporcionando insumos para el mantenimien10
to y revisin constante de los controles, comenzando el ciclo de nuevo. Tambin TI es gobernado por buenas (o mejores) prcticas para asegurar que la informacin de la empresa y sus tecnologas relacionadas apoyan sus objetivos del negocio, estos recursos son utilizados responsablemente y sus riesgos son manejados apropiadamente. Estas prcticas conforman una base para la direccin de las actividades de TI las cuales pueden ser enmarcadas en la Planeacin y Organizacin, Adquisicin e Implementacin, Entrega de Servicios y Soporte y Monitoreo para los propsitos duales como son el manejo de riesgo (para obtener seguridad, confiabilidad y cumplimiento) y la obtencin de beneficios (incrementando la efectividad y eficiencia). Los reportes son enfocados sobre los resultados de las actividades de TI, los cuales son medidos contra diferentes prcticas y controles y el ciclo comienza otra vez.
Gobierno de la Empresa
Direcciona
Objetivos
CONTROL
Actividades de la Empresa
Recursos
Reportando
Usando
Gobierno de TI
Objetivos
TI est alineado con el negocio, habilita al negocio y maximiza beneficios.
DIRIGIR
Actividades de TI
Planea Hace Revisa Corrige PO AI DS MO
Manejo de Riesgo Seguridad Confiabilidad Conformidadcumplimiento Beneficios Incrementar Automatizacin ser efectivo Decrementar Costos ser eficiente
CONTROL
Los recursos de TI son utilizados responsablemente. Los riesgos relacionados a TI son manejados apropiadamente.
REPORTAR
Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se estn desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organizacin contra las mejores practicas industriales y los modelos internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices Gerenciales de COBIT en las cuales se han identificado Factores Crticos de Exito especficos, Indicadores Claves por Objetivo e Indicadores Clave de Desempeo y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apdice I.
11
RESPUESTA A LAS NECESIDADES En vista de estos continuos cambios, el desarrollo de este Marco Referencial de objetivos de control para TI, conjuntamente con una investigacin continua aplicada a controles de TI basada en este marco referencial, constituyen el fundamento para el progreso efectivo en el campo de los controles de sistemas de informacin. Por otro lado, hemos sido testigos del desarrollo y publicacin de modelos de control generales de negocios como COSO [Committee of Sponsoring Organisations of the Treadway Commisssion Internal ControlIntegrated Framework, 1992] en los EUA, Cadbury en el Reino Unido, CoCo en Canad y King en Sudfrica. Por otro lado, existe un nmero importante de modelos de control ms enfocados al nivel de tecnologa de informacin. Algunos buenos ejemplos de esta ltima categora son el Security Code of Conduct del DTI (Departamento de Industria y Comercio, Reino Unido) y el Security Handbook de NIST (National Institute of Standards and Technology, EUA). Sin embargo, estos modelos de control con orientacin especfica no proporcionan un modelo de control completo y utilizable sobre tecnologa de informacin como soporte para los procesos del negocio. El propsito de COBIT es cubrir este vaco proporcionando una base que est estrechamente ligada a los objetivos de negocio, al mismo tiempo que se enfoca a la tecnologa de informacin. (El documento que ms se acerca al COBIT es una publicacin reciente de AICPA/CICA Systrust TM Principios y Criterios para la Confiabilidad de los Sistemas. SysTrust es una autoridad que realiza publicaciones para el Comit Ejecutivo de Servicios de Aseguramiento de los Estados Unidos y para el Comit de Desarrollo de Servicios de Calidad de Canad, basado en parte en los Objetivos de Control de COBIT. SysTrust est diseado para incrementar el confort de la Administracin, los clientes y los socios de negocios con los sistemas que soportan un negocio o una actividad en particular. Los servicios de SysTrust incluyen al contador pblico proporcionndole un servicio de aseguramiento en el cual l o ella evala y prueba si el sistema es confiable cuando lo mide contra cuatro principios esenciales: Disponibilidad, seguridad, integridad y mantenimiento. Un enfoque hacia los requerimientos del negocio en cuanto a controles para tecnologa de informacin y la aplicacin de modelos de control emergentes y estndares internacionales relacionados incluyen los Objetivos de Control originales de la Information Systems Audit and Control Foundation como una herramienta usada por el Auditor y la Administracin. Adicionalmente, el desarrollo de las Directrices Gerenciales de TI ha llevado al COBIT al siguiente nivel proporcionando a la Administracin Indicadores Clave de Logros (KGIs Key Goal Indicators), Indicadores Claves de Desempeo (KPIs Key Performance Indicators), Factores Crticos de xito (CSFsCritical Success Factors) y un Modelo de Madurez con el cual puede analizar el ambiente de TI y considerar opciones para la implementacin y mejoramiento de los controles sobre la informacin de la organizacin y sus tecnologas relacionadas. Por lo tanto, el objetivo principal del proyecto COBIT es el desarrollo de polticas claras y buenas prcticas para la seguridad y el control de Tecnologa de Informacin, con el fin de obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. La meta del proyecto es desarrollar estos objetivos de control principalmente a partir de la perspectiva de los objetivos y necesidades de la empresa. (Esto concuerda con la perspectiva COSO, que constituye el primer y mejor marco referencial para la administracin en cuanto a controles internos.) Posteriormente, los objetivos de control fueron desarrollados a partir de la perspectiva de los objetivos de auditora (certificacin de informacin financiera, certificacin de medidas de control interno, eficiencia y efectividad, etc.) AUDIENCIA: ADMINISTRACION, USUARIOS Y AUDITORES COBIT est diseado para ser utilizado por tres audiencias distintas: ADMINISTRACION/ GERENCIA (Management): Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnologa de informacin frecuentemente impredecible. USUARIOS: Para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa de informacin proporcionados internamente o por terceras partes. AUDITORES: Para soportar su opinin y/o proporcionar consejos a la Administracin sobre los controles internos.
12
ORIENTACIN A OBJETIVOS DE NEGOCIO El CobiT est alineado con los Objetivos del Negocio. Los Objetivos de Control muestran una relacin clara y distintiva con los objetivos del negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditora. Los Objetivos de Control estn definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios. En dominios y procesos identificados, se identifica tambin un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Adicionalmente, se establecen consideraciones y guas para definir e implementar el Objetivo de Control de TI. La clasificacin de los dominios a los que se aplican los objetivos de control de alto nivel (dominios y procesos); una indicacin de los requerimientos de negocio para la informacin en ese dominio, as como los recursos de TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamente el Marco de Referencia de COBIT. El Marco de Referencia toma como base las actividades de investigacin que han identificado 34 objetivos de alto nivel y 318 objetivos de control detallados. El Marco de Referencia fue presentado a la industria de TI y a los profesionales dedicados a la auditora para abrir la posibilidad a revisiones, cambios y comentarios. Las ideas obtenidas fueron incorporadas en forma apropiada. DEFINICIONES GENERALES Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La definicin de Control est adaptada del reporte COSO [Committee of Sponsoring Organisations of the Treadway Commission. Internal Control-Integrated Framework, 1992 y la definicin para Objetivo de Control de TI ha sido adaptada del reporte SAC (Systems Auditability and Control Report, The Institute of Internal Auditors Research Foundation, 1991 y 1994).
Control Control se se define define como como
Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos Una sentencia del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular.
Objetivo Objetivode de control control en enTI TI se sedefine define como como
Gobierno de TI se define como
Una estructura de relaciones y procesos para dirigir y controlar la empresa con el fin de lograr sus objetivos al aadir valor mientras se equilibran los riesgos contra el retorno sobre TI y sus procesos.
13
LOS PRINCIPIOS DEL MARCO DE REFERENCIA

Existen dos clases distintas de modelos de control actualmente disponibles, aqullos de la clase del modelo de control de negocios (por ejemplo COSO) y los modelos ms enfocados a TI (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la Administracin y para operar a un nivel superior a los estndares de tecnologa para la administracin de sistemas de informacin.. Por lo tanto, COBIT es el modelo para el gobierno de TI! El concepto fundamental del Marco Referencial de COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que deben ser administrados por procesos de TI.
Requerimientos Fiduciarios (COSO)
Efectividad y eficiencia de las operaciones Confiabilidad de la informacin Cumplimiento de las leyes y regulaciones Confidencialidad Integridad Disponibilidad
Requerimientos de Seguridad
Requerimientos de Negocio
La Calidad ha sido considerada principalmente por su aspecto negativo (ausencia de fallas, confiabilidad, etc.), lo cual tambin se encuentra contenido en gran medida en los criterios de Integridad. Los aspectos positivos, pero menos tangibles, de la calidad (estilo, atractivo, ver y sentir, desempeo ms all de las expectativas, etc.) no fueron, por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La premisa se refiere a que la primera prioridad deber estar dirigida al manejo apropiado de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la Calidad est cubierto por los criterios de efectividad. Se consider que el aspecto de entrega o distribucin del servicio, de la Calidad se traslapa con el aspecto de disponibilidad correspondiente a los requerimientos de seguridad y tambin en alguna medida, con la efectividad y la eficiencia. Finalmente, el Costo tambin es considerado, siendo cubierto por la Eficiencia. Para los requerimientos fiduciarios, COBIT no intent reinventar la rueda se utilizaron las definiciones de COSO para la efectividad y eficiencia de las operaciones, confiabilidad de informacin y cumplimiento con leyes y regulaciones. Sin embargo, confiabilidad de informacin fue ampliada para incluir toda la informacin no slo informacin financiera. Con respecto a los aspectos de seguridad, COBIT identific la confidencialidad, integridad y disponibilidad como los elementos clave se encontr que estos mismos tres elementos son utilizados a nivel mundial para describir los requerimientos de seguridad. Comenzando el anlisis a partir de los requerimientos
Procesos de TI Recursos de TI
Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos criterios a los que COBIT hace referencia como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos: Calidad Costo Requerimientos de Calidad Entrega o Distribucin (de servicio)
14
de Calidad, Fiduciarios y de Seguridad ms amplios, se extrajeron siete categoras distintas, ciertamente superpuestas. A continuacin se muestran las definiciones utilizadas por COBIT:
Efectividad
Confiabilidad de la Informacin
Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente.
Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.
Los recursos de TI identificados en COBIT pueden explicarse/definirse como se muestra a continuacin:

Datos
Eficiencia
Son objetos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc. Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados. La tecnologa cubre hardware, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. Recursos para alojar y dar soporte a los sistemas de informacin. Habilidades del personal, conocimiento, sensibilizacin y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin.
Confidencialidad
Sistemas de Aplicaciones
Tecnologa
Integridad
Instalaciones
Disponibilidad
Personal
Cumplimiento
Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se describe a continuacin:
E v e n to s
O b je t iv o s d e n e g o c io O p o r tu n id a d e s d e n e g o c io R e q u e r im ie n to s e x te r n o s R e g u la c io n e s R ie s g o s
m e n s a je e n tra d a
D Da a tto os s
S S iis stte em ma as sd de eA Ap p lliic ca ac c ii n n
In f o r m a c i n
s e rv ic io s a lid a
T TE EC CN NO OL LO G I IA A
I IN S ST TA AL LA AC CI IO N E ES S G GE EN NT E
E fe c t iv id a d E fic ie n c ia C o n fid e n c ia lid a d I n t e g r id a d D is p o n ib ilid a d C u m p lim ie n t o C o n fia b ilid a d
15
El dinero o capital no se tuvo en cuenta como un recurso para la clasificacin de objetivos de control para TI debido a que puede considerarse como la inversin en cualquiera de los recursos mencionados anteriormente. Es importante hacer notar tambin que el Marco Referencial no menciona, en forma especfica para todos los casos, la documentacin de todos los aspectos materiales importantes relacionados con un proceso de TI particular. Como parte de las buenas prcticas, la documentacin es considerada esencial para un buen control y, por lo tanto, la falta de documentacin podra ser la causa de revisiones y anlisis futuros de controles de compensacin en cualquier rea especfica en revisin. Con el fin de asegurar que los requerimientos de negocio para la informacin son satisfechos, deben definirse, implementarse y monitorearse medidas de control adecuadas para estos recursos. Cmo pueden entonces las empresas estar satisfechas respecto a que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de un sano marco referencial de Objetivos de Control para TI. El diagrama mostrado a continuacin ilustra este concepto.
Qu obtiene?
PROCESOS DE NEGOCIO
Qu necesita?
Criterios
INFORMACION
RECURSOS DE TI
Concuerdan ?
16
El Marco de Referencia de COBIT consta de Objetivos de Control de TI de alto nivel y de una estructura general para su clasificacin y presentacin. La teora subyacente para la clasificacin seleccionada se refiere a que existen, en esencia, tres niveles de actividades de TI al considerar la administracin de sus recursos. Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras que las tareas son consideradas ms discretas. Los procesos se definen entonces en un nivel superior como una serie de actividades o tareas conjuntas con cortes naturales (de control). En el nivel ms alto, los procesos son agrupados de manera natural en dominios. Su agrupamiento natural es denominado frecuentemente como dominios de responsabilidad en una estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de vida aplicable a los procesos de TI.
Criterios de informacin
Sistemas de Aplicacin
Dominios
Procesos de TI
Procesos
Actividades
Gente
Tecnologa
Re
os rs u c
Dominios
Con lo anterior como marco de referencia, los dominios son identificados utilizando las palabras que la gerencia utilizara en las actividades cotidianas de la organizacin y no la jerga4 o terminologa del auditor -. Por lo tanto, cuatro grandes dominios son identificados: planeacin y organizacin, adquisicin e implementacin; entrega y soporte y monitoreo. Las definiciones para los dominios mencionados son las siguientes: Este dominio cubre las estrategias y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deber establecerse una organizacin y una infraestructura tecnolgica apropiadas. Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e
Procesos
Actividades
Planeacin y organizacin
Por lo tanto, el Marco de Referencia conceptual puede ser enfocado desde tres puntos estratgicos: (1) Criterios de informacin, (2) recursos de TI y (3) procesos de TI. Estos tres puntos estratgicos son descritos en el Cubo COBIT que se muestra a continuacin:
Adquisicin e implementacin
Jerga (jargon)
Instalaciones Datos
de TI
lid Ca
ad d Fi
i os i ar c u
Se
a rid gu
17
integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes, para asegurar que el ciclo de vida es contnuo para esos sistemas
Entrega Entrega y y soporte soporte
Confidencialidad. Es claro que todas las medidas de control no necesariamente satisfarn los diferentes requerimientos del negocio para la informacin en el mismo grado. Primario es el grado en el cual se definen objetivos de control que impactan directamente los criterios de informacin considerados Secundario es el grado en el cual se definen objetivos de control que solo satisfacen una extensin pequea o satisfacen indirectamente al criterio de informacin considerado. En blanco podra ser aplicable. Sin embargo los requerimientos son satisfechos de una forma mas apropiada por otro criterio en este proceso y/o en otro proceso.
En este dominio se hace referencia a la entrega o distribucin de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por la seguridad en los sistemas y la continuidad de las operaciones as como aspectos sobre entrenamiento. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos el cual es ejecutado por los sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin. Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Este dominio tambin advierte a la Administracin sobre la necesidad de asegurar procesos de control independientes, los cuales son provistos por auditoras internas y externas u obtenidas de fuentes alternativas.
Monitoreo
En forma similar, todas las medidas de control no necesariamente impactarn a los diferentes recursos de TI en el mismo grado. Por consiguiente, el Marco de Referencia de COBIT indica especficamente la aplicabilidad de los recursos de TI que son especficamente administrados por el proceso bajo consideracin (no solamente los que toman parte en el proceso) . Esta clasificacin se realiza con el Marco de Referencia de COBIT, basado sobre un riguroso proceso de recoleccin de ideas proporcionadas por investigadores, expertos y revisores, usando estrictas definiciones previamente indicadas. En resumen, con el fin de proveer la informacin que la organizacin necesita para lograr sus objetivos, el Gobierno de TI debe ser entrenado por la organizacin para asegurar que los recursos de TI sern administrados por una coleccin de procesos de TI agrupados naturalmente. El siguiente diagrama ilustra este concepto.
Es importante tener en cuenta que estos procesos de TI pueden ser aplicados en diferentes niveles de la organizacin. Por ejemplo, algunos de los procesos sern aplicados al nivel de la empresa, otros al nivel de la funcin de TI, otros al nivel del propietario de los procesos del negocio, etc. Debe notarse adems, que el criterio de efectividad en los procesos que planean o distribuyen soluciones para los requerimientos del negocio cubrir algunas veces los criterios de disponibilidad, integridad y confidencialidad en la prctica, stos se han convertido en requerimientos del negocio. Por ejemplo, el proceso de identificar soluciones tiene que ser efectivo en proveer requerimientos de disponibilidad, integridad y
18
PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS
OBJETIVOS DEL NEGOCIO GOBIERNO TI OBJEIVOS DEDE NEGOCIO
COBIT
M1 Monitorear los procesos M2 Evaluar lo adecuado del control Interno M3 Obtener aseguramiento independiente M4 Proporcionar auditora independiente
PO1 PO2 PO3 PO4
INFORMACION
Definir un Plan Estratgico de Tecnologa de Informacin Definir la Arquitectura de Informacin Determinar la direccin tecnolgica Definir la Organizacin y de las Relaciones de TI PO5 Manejar la Inversin en Tecnologa de Informacin PO6 Comunicar la direccin y aspiraciones de la gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento de Requerimientos Externos PO9 Evaluar Riesgos PO10 Administrar proyectos PO11 Administrar Calidad
MONITOREO
RECURSOS DE TI
ENTREGA Y SOPORTE
DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13
Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeo y Capacidad Asegurar Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a los Usuarios Apoyar y Asistir a los Clientes de TI Administrar la Configuracin Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones
AI1 Identificar Soluciones AI2 Adquirir y Mantener Software de Aplicacin AI3 Adquirir y Mantener Arquitectura de Tecnologa AI4 Desarrollar y Mantener Procedimientos relacionados con TI AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios
19
OBJETIVOS DE CONTROL HISTORIA Y ANTECEDENTES DE COBIT
La tercera edicin de COBIT es la mas reciente versin de los Objetivos de Control para la informacin y sus tecnologas relacionadas, que fue liberado primero por la Information Systems Audit and Control Foundation (ISACF) en 1996. La 2da edicin que refleja un incremento en el nmero de documentos fuente, una revisin en el alto nivel y objetivos de control detallados y la adicin del Conjunto de herramientas de Implementacin fue publicado en 1998. La 3a edicin marca el ingreso de un nuevo editor para COBIT: El Instituto de Gobierno5 de TI (IT Governance Institute). El Instituto de Gobierno de TI fue formado por la Information Systems Audit and Control Association (ISACA) y su Fundacin asociada en 1998 para avanzar en el entendimiento y la adopcin de principios de gobierno de TI. Con la adicin de las Directrices Gerenciales en la 3a edicin de COBIT y su expansin y mayor cubrimiento sobre el Gobierno de TI, el Instituto de Gobierno de TI adquiri un rol de liderazgo en el desarrollo de la publicacin. COBIT se bas originalmente en los Objetivos de Control de la ISACF y ha sido mejorado con las actuales y emergentes estndares internacionales a nivel tcnico, profesional, regulatorio y especficos de la industria. Los Objetivos de Control resultantes han sido desarrollados para su aplicacin en sistemas de informacin de toda la empresa. El trmino generalmente aplicables y aceptados es utilizado explcitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas en ingls). Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y responder, en la medida de lo posible, a las necesidades del negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas tcnicas de TI adoptadas en una organizacin. Sin excluir ningn otro estndar aceptado en el campo del control de sistemas de informacin que pudiera emitirse durante la investigacin, las fuentes han sido identificadas inicialmente como: Estndares Tcnicos de ISO, EDIFACT, etc. Cdigos de Conducta emitidos por el Council of Eu-
rope, OECD, ISACA, etc.; Criterios de Calificacin para sistemas y procesos de TI: ITSEC, ISO9000, SPICE, TickIT, Common Criteria, etc.; Estndares Profesionales para control interno y auditora: reporte COSO, IFAC, IIA, ISACA, GAO, PCIE, CICA, AICPA, etc.; Prcticas y requerimientos de la Industria de foros industriales (ESF, 14) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI); y Nuevos requerimientos especficos de la industria de la banca, Comercio Electrnico y manufactura de TI. (Ver Apndice II, Descripcin del Proyecto COBIT; Apndice III Material de Referencia Primaria de COBIT y Apndice IV, Glosario de Trminos )
___________ 5 Gobierno (governance): sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.
20
OBJETIVOS DE CONTROL HISTORIA Y ANTECEDENTES DE COBIT
EVOLUCIN DEL PRODUCTO COBIT

COBIT evolucionar a travs de los aos y ser el fundamento de investigaciones futuras. Por lo tanto, se generar una familia de productos COBIT y al ocurrir esto, las tareas y actividades que sirven como estructura para organizar los Objetivos de Control de TI, sern refinadas posteriormente. Tambin ser revisado el balance entre los dominios y los procesos a la luz de los cambios en la industria.
La investigacin y las publicaciones han sido posibles gracias al fundamental apoyo de PricewaterhouseCoopers y las donaciones de los captulos de ISACA y de miembros de todo el mundo. La European Security Forum (ESF) amablemente llev a cabo la recoleccin de material disponible para el proyecto. La Gartner Group adems particip en el desarrollo y realiz la revisin de aseguramiento de calidad de las Directrices Gerenciales.
PRODUCTOS DE LA FAMILIA COBIT
RESUMEN EJECUTIVO
Familia de Productos COBIT
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACIN

Resumen Ejecutivo Casos de Estudio FAQs Presentaciones en PowerPoint Guas de Implementacin Diagnstico de la conciencia de la Administracin Diagnostico de Control de TI
MARCO REFERENCIAL objetivos de control de alto nivel
DIRECTRICES GERENCIALES
OBJETIVOS DE CONTROL DETALLADOS
DIRECTRICES DE AUDITORIA
Factores Crticos de xito
Indicadores Clave por Objetivos
Indicadores Clave de Desempeo
Modelo de Madurez
21
OBJETIVOS DE CONTROL OBJETIVOS DE CONTROL TABLA RESUMEN

La siguiente tabla proporciona una indicacin, por proceso y dominio de TI, de cules criterios de informacin son impactados por los objetivos de alto nivel, as como una indicacin de cules recursos de TI son aplicables.
Criterios de Informacin
Recursos de TI
DOMINIO Planeacin y Organizacin PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 P010 PO11 AI1 AI2 AI3 AI4 AI5 AI6 DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 M1 M2 M3 M4
PROCESO
Definir un plan estratgico de sistemas Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y sus relaciones Administrar las inversiones (en TI)
Comunicar los objetivos y y aspiraciones de la Comunicar la direccin objetivos de la gerencia gerencia
Administrar los recursos humanos Asegurar el apego a de disposiciones externas Asegurar el cumplimiento requerimientos externos Evaluar riesgos Administrar proyectos Administrar calidad Identificar soluciones de automatizacin Adquirir y mantener software de aplicacin Adquirir y mantener la arquitectura tecnolgica Desarrollar y mantener procedimientos Instalar y acreditar sistemas de informacin Administrar cambios Definir niveles de servicio Administrar servicios de terceros Administrar desempeo y capacidad Asegurar continuidad de servicio Garantizar la seguridad de sistemas Identificar y asignar costos Educar y capacitar a usuarios Apoyar y orientar a clientes Administrar la configuracin Administrar problemas e incidentes Administrar la informacin Administrar las instalaciones Administrar la operacin Monitorear el proceso Evaluar lo adecuado del control interno Obtener aseguramiento independiente Proporcionar auditora independiente
P P P P P P P P S P P P P P P P P P P P P
Adquisicin e Implementacin
Entrega de servicios y Soporte
P S S S S S P S S S S S P S S P P P S S S P P P S P P S S P P S P P P P P P S S P P P P S P P P S S S S S S S S S S S S S S S S S S S S
Monitoreo
(P) Primario (S) Secundario
ef ec ef tivi ic da co ienc d n ia in fide te n di grid cial sp a id cu on d ad m ibi co plim lida nf ie d ia n bi to li r reec dad cuu rs sisi rs stst oo e e ssh tete mm as u m cncn as ol d e d an in in olo o st s g g e inapos t a i a a a fo li l da da ac la ca rm ci toto io on ac ss n ciin ese n s
S S S S S S P S P
P S S P P P S S P P P S S P P P P

S S S S S S S S S P P S

() Aplicable a
22
OBJETIVOS DE CONTROL PRINCIPIOS DE LOS OBJETIVOS DE CONTROL
COBIT, tal como aparece en esta ltima versin de los Objetivos de Control refleja los compromisos de ISACA para engrandecer y mantener el cuerpo comn del conocimiento requerido para soportar la profesin de auditora y control de los sistemas de informacin El Marco de Referencia de COBIT ha sido limitado a objetivos de control de alto nivel en forma de necesidades de negocio dentro de un proceso de TI particular, cuyo logro es posible a travs del establecimiento de controles, para el cual deben considerarse controles potenciales aplicables.
El control de
Mientras que el Marco de Referencia de COBIT enfoca controles a alto nivel para cada proceso, los Objetivos de Control se enfocan sobre objetivos de control detallados y especficos asociados a cada proceso de TI. Por cada uno de los 34 procesos de TI del marco referencial, hay desde tres hasta 30 objetivos de control detallados, para un total de 318. Los Objetivos de Control se alinean para cubrir todo el Marco referencial con objetivos de control detallados con base en 41 fuentes primarias que comprenden estndares y regulaciones internacionales de TI, de facto y de jure. Contiene sentencias de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de procedimientos de control especficos en una actividad de TI, de esta manera provee polticas claras y buenas prcticas para los controles de TI a travs de la industria, alrededor del mundo.
Proceso de TI
Que satisface
Los Objetivos de Control estn dirigidos a la Administracin y al staff de TI, a las funciones de control y auditora y lo mas importante, a los propietarios de los procesos del negocio. Los Objetivos de Control Declaracin de Considerando Control proporcionan un trabajo, que es un documento de escritorio para esos individuos. Se identifican definicioPrcticas de nes precisas y claras para un mnimo conjunto de conControl troles con el fin de asegurar la efectividad, eficiencia y economa de la utilizacin de los recursos. Objetivos de control detallados son identificados para cada proceso, como los controles mnimos necesarios . Esos Los Objetivos de Control de TI han sido organizados controles sern analizados por los profesionales de por proceso/actividad y tambin se han proporcionacontrol para verificar su suficiencia. dos ayudas de navegacin no solamente para facilitar la entrada a partir de cualquier punto de vista estratgiLos Objetivos de Control permiten el traslado de los co como se explic anteriormente, sino tambin para conceptos presentados en el Marco de Referencia facilitar enfoques combinados o globales, tales como hacia controles especficos aplicables a cada proceso instalacin/implementacin de un proceso, responsabide TI. lidades gerenciales globales para un proceso y utilizacin de recursos de TI por un proceso.
Requerimiento de Negocio
Es habilitado por
Tambin deber tomarse en cuenta que los Objetivos de Control de COBIT han sido definidos de una manera genrica, por ejemplo, sin depender de la plataforma tcnica, aceptando el hecho de que algunos ambientes de tecnologa especiales pueden requerir una cobertura separada para objetivos de control.
23
tiv id ici ad nf enc id en i a in cia te li di grid dad sp on ad cu ibi m lid a p co lim d nf i en ia bi t o lid ad co ef
AYUDAS DE NAVEGACIN
La seccin de los Objetivos de Control contienen objetivos de control detallados para cada uno de los 34 procesos de TI. A la izquierda de cada pgina, se presenta el objetivo de control de alto nivel. El indicador del dominio (PO para Planeacin y Organizacin, AI para Adquisicin e Implementacin, DS para Entrega de Servicios y Soporte y M para Monitoreo se presentan a la izquierda y arriba de cada pgina. El criterio de informacin aplicable y el recurso de TI utilizado son mostrados en matrices pequeas como se describe a continuacin. Iniciando en la derecha de la pgina estn las descripciones de los objetivos de control detallados para cada proceso de TI. Para facilitar el empleo eficiente de los objetivos de control como soporte a los diferentes puntos de vista, se proporcionan algunas ayudas de navegacin como parte de la presentacin de los objetivos de control de alto nivel. Se proporciona una ayuda de navegacin para cada una de las tres dimensiones del Marco de Referencia de COBIT - procesos, recursos de TI y criterios de informacin Los dominios son identificados por este cono en la ESQUINA SUPERIOR DERECHA de cada pgina, en la seccin de Objetivos de Control, agrandando y haciendo ms visible el dominio bajo revisin.
ef
ec
P
Planeacin & Organizacin
Criterios de Informacin
Adquisicin & Implementacin
Dominios De TI
TI Recursos
Entrega & Soporte
Monitoreo
Tres puntos de posicin

nt lic e ac t e i on cn e in olo s st al g a ac io da nes to s ap ge
Planeacin & Organizacin Entrega & Soporte Monitoreo
La clave para el criterio de informacin se presentar en la ESQUINA SUPERIOR IZQUIERDA, en la seccin de Objetivos de Control mediante la siguiente mini matriz, la cual identificar cul criterio y en qu grado (primario o secundario) es aplicable a cada Objetivo de Control de TI de alto nivel.
Una segunda mini matriz en la ESQUINA INFERIOR DERECHA de la seccin de Objetivos de Control identifica los recursos de TI que son administrados en forma especfica por el proceso bajo consideracin - no solo aquellos que simplemente toman parte en el proceso -. Por ejemplo, el proceso administracin de datos se concentra particularmente en la integridad y confiabilidad de los recursos de datos.
nt e ac te ion cn e in olo s st al g a ac io da nes to s ap lic
ge
ec tiv ef ida co icie d nf id ncia en in cia te li di grid dad sp a d o cu nibi m lid a pl co im d nf i en ia bi t o lid ad
ef

24
OBJETIVOS DE CONTROL RELACIONES DE OBJETIVOS DE CONTROL DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL

PLANEACIN Y ORGANIZACIN
1.0 Definicin de un Plan Estratgico de Tecnologa de Informacin 1.1 Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo 1.2 Plan a largo plazo de Tecnologa de Informacin 1.3 Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura 1.4 Cambios al Plan a largo plazo de Tecnologa de Informacin 1.5 Planeacin a corto plazo para la funcin de Servicios de Informacin 1.6 Comunicacin de los planes de TI 1.7 Evaluacin y Monitoreo de los planes de TI. 1.8 Valoracin de los sistemas existentes. Definicin de la Arquitectura de Informacin 2.1 Modelo de la Arquitectura de Informacin 2.2 Diccionario de Datos y Reglas de sintaxis de datos corporativos 2.3 Esquema de Clasificacin de Datos 2.4 Niveles de Seguridad. Determinacin de la Direccin Tecnolgica 3.1 Planeacin de la Infraestructura Tecnolgica 3.2 Monitoreo de Tendencias y Regulaciones Futuras 3.3 Contingencias en la Infraestructura Tecnolgica 3.4 Planes de Adquisicin de Hardware y Software 3.5 Estndares de Tecnologa Definicin de la Organizacin y de las Relaciones de TI 4.1 Planeacin de TI o Comit de planeacin/ direccin de la funcin de servicios de informacin 4.2 Ubicacin de los servicios de informacin en la organizacin 4.3 Revisin de Logros Organizacionales 4.4 Funciones y Responsabilidades
4.5 4.6 4.7 4.8 4.9 4.10 4.11 4.12 4.13 4.14 4.15
Responsabilidad del aseguramiento de calidad Responsabilidad por la seguridad lgica y fsica Propiedad y Custodia Propiedad de Datos y Sistemas Supervisin Segregacin de Funciones Asignacin de Personal para Tecnologa de Informacin Descripcin de Puestos para el Personal de la Funcin de TI Personal clave de TI Procedimientos y polticas para el personal contratado Relaciones
2.0
5.0 Manejo de la Inversin en Tecnologa de Informacin 5.1 Presupuesto Operativo Anual para la Funcin de Servicio de informacin 5.2 Monitoreo de Costo - Beneficio 5.3 Justificacin de Costo - Beneficio 6.0 Comunicacin de los Objetivos y Aspiraciones de la Gerencia 6.1 Ambiente positivo de control de la informacin 6.2 Responsabilidad de la Gerencia en cuanto a Polticas 6.3 Comunicacin de las Polticas de la Organizacin 6.4 Recursos para la implementacin de Polticas 6.5 Mantenimiento de Polticas 6.6 Cumplimiento de Polticas, Procedimientos y Estndares 6.7 Compromiso con la Calidad 6.8 Poltica sobre el Marco Referencial para la Seguridad y el Control Interno 6.9 Derechos de propiedad intelectual 6.10 Polticas Especficas 6.11 Comunicacin de Conciencia de Seguridad en TI
3.0
4.0
25
7.0 Administracin de Recursos Humanos 7.1 Reclutamiento y Promocin de Personal 7.2 Calificacin del Personal 7.3 Roles y Responsabilidades 7.4 Entrenamiento del personal 7.5 Entrenamiento Cruzado o Respaldo de Personal 7.6 Procedimientos para la Acreditacin del Personal 7.7 Evaluacin de Desempeo de los Empleados 7.8 Cambios de Puesto y Terminacin de contrato de trabajo Aseguramiento del Cumplimiento con Requerimientos Externos 8.1 Revisin de Requerimientos Externos 8.2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos 8.3 Cumplimiento de los Estndares de Seguridad y Ergonoma 8.4 Privacidad, Propiedad Intelectual y Flujo de Datos 8.5 Comercio Electrnico 8.6 Cumplimiento con Contratos de Seguros Anlisis de Riesgos 9.1 Anlisis de Riesgos del Negocio 9.2 Enfoque de Anlisis de Riesgos 9.3 Identificacin de Riesgos 9.4 Medicin de Riesgos 9.5 Plan de Accin para mitigar los Riesgos 9.6 Aceptacin de Riesgos 9.7 Seleccin de Proteccin. 9.8 Compromiso de Anlisis de Riesgos 10.12 Plan de Entrenamiento 10.13 Plan de Revisin Post Implementacin 11.0 Administracin de Calidad 11.1 Plan General de Calidad 11.2 Enfoque de Aseguramiento de Calidad 11.3 Planeacin del Aseguramiento de Calidad 11.4 Revisin de Aseguramiento de Calidad sobre el Cumplimiento de Estndares y Procedimientos de la Funcin de Servicios de Informacin 11.5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas 11.6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual 11.7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas 11.8 Coordinacin y Comunicacin 11.9 Marco Referencial para la Adquisicin y Mantenimiento de la Infraestructura de Tecnologa 11.10 Relaciones con Terceras Partes en su rol de Implementadores 11.11 Estndares para la Documentacin de Programas 11.12 Estndares para Pruebas de Programas 11.13 Estndares para Pruebas de Sistemas 11.14 Pruebas Piloto/En Paralelo 11.15 Documentacin de las Pruebas del Sistema 11.16 Evaluacin del Aseguramiento de la Cali dad sobre el Cumplimiento de Estndares de Desarrollo 11.17 Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Funcin de Servicios de Informacin 11.18 Mtricas de Calidad 11.19 Reportes de Revisiones de Aseguramiento de la Calidad
8.0
9.0
10.0 Administracin de Proyectos 10.1 Marco Referencial para la Administracin de Proyectos 10.2 Participacin del Departamento Usuario en la Iniciacin de Proyectos 10.3 Miembros y Responsabilidades del Equipo del Proyecto 10.4 Definicin del Proyecto 10.5 Aprobacin del Proyecto 10.6 Plan maestro del proyecto 10.7 Plan Maestro del Proyecto 10.8 Plan de Aseguramiento de Calidad de Sistemas 10.9 Planeacin de Mtodos de Aseguramiento 10.10 Administracin Formal de Riesgos de Proyectos 10.11 Plan de Prueba
ADQUISICIN E IMPLEMENTACIN
1.0 Identificacin de Soluciones 1.1 1.2 1.3 Definicin de Requerimientos de Informacin Formulacin de Acciones Alternativas Formulacin de Estrategias de Adquisicin.
26
1.4 1.5 1.6 1.7 1.8 1.9 1.10 1.11 1.12 1.13 1.14 1.15 Requerimientos de Servicios de Terceros Estudio de Factibilidad Tecnolgica Estudio de Factibilidad Econmica Arquitectura de Informacin Reporte de Anlisis de Riesgos Controles de Seguridad costo-efectivo Diseo de Pistas de Auditora Ergonoma Seleccin de Software del Sistema Control de Abastecimiento Adquisicin de Productos de Software Mantenimiento de Software de Terceras Partes 1.16 Contratos para la Programacin de Aplicaciones 1.17 Aceptacin de Instalaciones 1.18 Aceptacin de Tecnologa 3.3 3.4 3.5 3.6 3.7 Seguridad del Software del Sistema Instalacin del Software del Sistema Mantenimiento del Software del Sistema Controles para Cambios del Software del Sistema Uso y Monitoreo de Utilidades/Utilitarios del Sistema
4.0 Procedimientos de Desarrollo y Mantenimiento de TI 4.1 Requerimientos Operacionales y Niveles de Servicio 4.2 Manual de Procedimientos para Usuario 4.3 Manual de Operacin 4.4 Material de Entrenamiento 5.0 Instalacin y Acreditacin de Sistemas 5.1 Entrenamiento 5.2 Medicin del Desempeo del Software de Aplicacin 5.3 Plan de Implementacin 5.4 Conversin del Sistema 5.5 Conversin de datos 5.6 Planes y estrategias de pruebas 5.7 Pruebas a cambios 5.8 Criterios y Desempeo de Pruebas en Paralelo/Piloto 5.9 Prueba de Aceptacin Final 5.10 Pruebas y Acreditacin de la Seguridad 5.11 Prueba Operacional 5.12 Promocin a Produccin 5.13 Evaluacin de la Satisfaccin de los Requerimientos del Usuario 5.14 Revisin Gerencial Post - Implementacin 6.0 Administracin de Cambios 6.1 Inicio y Control de Solicitudes de Cambio 6.2 Anlisis de Impacto 6.3 Control de Cambios 6.4 Cambios de Emergencia 6.5 Documentacin y Procedimientos 6.6 Mantenimiento Autorizado 6.7 Poltica de Liberacin de Software 6.8 Distribucin de Software
2.0 Adquisicin y Mantenimiento de Software de Aplicacin 2.1 Mtodos de Diseo 2.2 Cambios Significativos a Sistemas Actuales 2.3 Aprobacin del Diseo 2.4 Definicin y Documentacin de Requerimientos de Archivos 2.5 Especificaciones de Programas 2.6 Diseo para la Recopilacin de Datos Fuente 2.7 Definicin y Documentacin de Requerimientos de Entrada de Datos 2.8 Definicin de Interfases 2.9 Interfases Usuario-Mquina 2.10 Definicin y Documentacin de Requerimientos de Procesamiento 2.11 Definicin y Documentacin de Requerimientos de Salida de Datos 2.12 Controlabilidad 2.13 Disponibilidad como Factor Clave de Diseo 2.14 Consideracin de Integridad de TI en programas de software de aplicaciones 2.15 Pruebas al Software de Aplicacin 2.16 Materiales de Consulta y Soporte para Usuario 2.17 Reevaluacin del Diseo del Sistema 3.0 Adquisicin y Mantenimiento de la Arquitectura de Tecnologa 3.1 Evaluacin de Nuevo Hardware y Software 3.2 Mantenimiento Preventivo para Hardware
ENTREGA DE SERVICIOS Y SOPORTE

1.0 Definicin de Niveles de Servicio 1.1 Marco de Referencia para acuerdos de Nivel de Servicio 1.2 Aspectos sobre los Acuerdos de Nivel de Servicio 1.3 Procedimientos de Desempeo 27
1.4 1.5 1.6 1.7 Monitoreo y Reporte Revisin de Contratos y Acuerdos de Nivel de Servicio Elementos sujetos a Cargo Programa de Mejoramiento del Servicio do 4.12 Almacenamiento de copias de respaldo fuera del sitio 4.13 Procedimientos de Refinamiento del Plan de Continuidad de TI6 5.0 Garantizar la Seguridad de Sistemas 5.1 Administrar Medidas de Seguridad 5.2 Identificacin, Autenticacin y Acceso 5.3 Seguridad de Acceso a Datos en Lnea 5.4 Administracin de Cuentas de Usuario 5.5 Revisin Gerencial de Cuentas de Usuario 5.6 Control de Usuarios sobre Cuentas de Usuario 5.7 Vigilancia de Seguridad 5.8 Clasificacin de Datos 5.9 Administracin Centralizada de Identificacin y Derechos de Acceso 5.10 Reportes de Violacin y de Actividades de Seguridad 5.11 Manejo de Incidentes 5.12 Re-acreditacin 5.13 Confianza en las Contrapartes 5.14 Autorizacin de Transacciones 5.15 No Rechazo 5.16 Sendero Seguro 5.17 Proteccin de las funciones de seguridad 5.18 Administracin de las Llaves Criptogrficas 5.19 Prevencin, Deteccin y Correccin de Software Malicioso 5.20 Arquitecturas de Firewalls y conexin a redes pblicas 5.21 Proteccin de Valores Electrnicos 6.0 Identificacin y Asignacin de Costos 6.1 Elementos Sujetos a Cargo 6.2 Procedimientos de Costeo 6.3 Procedimientos de Cargo y Facturacin a Usuarios 7.0 Educacin y Entrenamiento de Usuarios 7.1 Identificacin de Necesidades de Entrenamiento 7.2 Organizacin de Entrenamiento 7.3 Entrenamiento sobre Principios y Conciencia de Seguridad
2.0 Administracin de Servicios prestados por Terceros 2.1 Interfases con Proveedores 2.2 Relaciones con los Dueos 2.3 Contratos con Terceros 2.4 Calificaciones de terceros 2.5 Contratos con Outsourcing 2.6 Continuidad del Servicios 2.7 Relaciones de Seguridad 2.8 Monitoreo 3.0 Administracin de Desempeo y Capacidad 3.1 Requerimientos de Disponibilidad y Desempeo 3.2 Plan de Disponibilidad 3.3 Monitoreo y Reporte 3.4 Herramientas de Modelado 3.5 Administracin de Desempeo Proactivo 3.6 Pronstico de Carga de Trabajo 3.7 Administracin de Capacidad de Recursos 3.8 Disponibilidad de Recursos 3.9 Calendarizacin / Programacin de recursos 4.0 Aseguramiento de Servicio Continuo 4.1 Marco de Referencia de Continuidad de Tecnologa de Informacin 4.2 Estrategia y Filosofa del Plan de Continuidad de Tecnologa de Informacin 4.3 Contenido del Plan de Continuidad de Tecnologa de Informacin 4.4 Minimizacin de requerimientos de Continuidad de Tecnologa de Informacin 4.5 Mantenimiento del Plan de Continuidad de Tecnologa de Informacin 4.6 Pruebas del Plan de Continuidad de Tecnologa de Informacin 4.7 Entrenamiento sobre el Plan de Continuidad de Tecnologa de Informacin 4.8 Distribucin del Plan de Continuidad de Tecnologa de Informacin 4.9 Procedimientos de Respaldo de Procesamiento para Departamentos Usuarios 4.10 Recursos crticos de Tecnologa de Informacin 4.11 Centro de Cmputo y Hardware de respalIT GOVERNANCE INSTITUTE
Refinamiento del Plan de Continuidad de TI (wrap up): procedimiento seguido para evaluar y actualizar el Plan
28
8.0 Apoyo y Asistencia a los Clientes de Tecnologa de Informacin 8.1 Help Desk 8.2 Registro de consultas del Cliente 8.3 Escalamiento de consultas del Cliente 8.4 Monitoreo de Atencin a Clientes 8.5 Anlisis y Reporte de Tendencias 9.0 Administracin de la Configuracin 9.1 Registro de la Configuracin 9.2 Base de la Configuracin 9.3 Registro de status 9.4 Control de la Configuracin 9.5 Software no Autorizado 9.6 Almacenamiento de Software 9.7 Procedimientos para la Administracin de la Configuracin 9.8 Contabilidad y registro del Software 10.0 Administracin de Problemas e Incidentes 10.1 Sistema de Administracin de Problemas 10.2 Escalamiento de Problemas 10.3 Seguimiento de Problemas y Pistas de Auditora 10.4 Autorizaciones para acceso temporal y de emergencia. 10.5 Prioridades en Procesos de Emergencia 11.0 Administracin de Datos 11.1 Procedimientos de Preparacin de Datos 11.2 Procedimientos de Autorizacin de Documentos Fuente 11.3 Recopilacin de Datos de Documentos Fuente 11.4 Manejo de Errores de Documentos Fuente 11.5 Retencin de Documentos Fuente 11.6 Procedimientos para la Autorizacin de Entrada de Datos 11.7 Chequeos de Exactitud, Suficiencia y Autorizacin 11.8 Manejo de Errores en la Entrada de Datos 11.9 Integridad de Procesamiento de Datos 11.10 Validacin y Edicin de Procesamiento de Datos 11.11 Manejo de Errores en el Procesamiento de Datos 11.12 Manejo y Retencin de Datos de Salida 11.13 Distribucin de Datos de Salida 11.14 Balanceo y Conciliacin de Datos de Salida 11.15 Revisin de Salida de Datos y Manejo de Errores 11.16 Provisiones de Seguridad para Reportes
de Salida 11.17 Proteccin de Informacin Sensitiva durante transmisin y transporte 11.18 Proteccin de Informacin Sensitiva a ser Desechada 11.19 Administracin de Almacenamiento 11.20 Perodos de Retencin y Trminos de Almacenamiento 11.21 Sistema de Administracin de la Librera de Medios 11.22 Responsabilidades de la Administracin de la Librera de Medios 11.23 Respaldo y Restauracin 11.24 Funciones de Respaldo 11.25 Almacenamiento de Respaldo 11.26 Archivo 11.27 Proteccin de Mensajes Sensitivos 11.28 Autenticacin e Integridad 11.29 Integridad de Transacciones Electrnicas 11.30 Integridad Continua de Datos Almacenados 12.0 Administracin de Instalaciones 12.1 Seguridad Fsica 12.2 Discrecin (bajo perfil) de las Instalaciones de Tecnologa de Informacin 12.3 Escolta de Visitantes 12.4 Salud y Seguridad del Personal 12.5 Proteccin contra Factores Ambientales 12.6 Suministro Ininterrumpido de Energa 13.0 Administracin de Operaciones 13.1 Manual de Instrucciones y procedimientos de Operaciones de procesamiento 13.2 Documentacin del Proceso de Inicio y de Otras Operaciones 13.3 Calendarizacin/programacin de Trabajos 13.4 Ejecucin de los Trabajos estndar programados 13.5 Continuidad de Procesamiento 13.6 Bitcoras de Operacin 13.7 Proteccin de Formas Especiales y dispositivos de salida 13.8 Operaciones Remotas
MONITOREO
1.0 Monitoreo del Proceso 1.1 Recoleccin de Datos de Monitoreo 1.2 Anlisis del Desempeo 1.3 Evaluacin de la Satisfaccin de Clientes 1.4 Reportes Gerenciales 29
2.0 Evaluar lo adecuado del Control Interno 2.1 Monitoreo de Control Interno 2.2 Operacin oportuna del Control Interno 2.3 Reporte sobre el Nivel de Control Interno 2.4 Seguridad en las operaciones y aseguramiento del Control Interno Obtencin de Aseguramiento Independiente 3.1 Certificacin / Acreditacin Independiente de Control Interno y Seguridad de los servicios de TI 3.2 Certificacin / Acreditacin Independiente de Control Interno y Seguridad de proveedores externos de servicios 3.3 Evaluacin Independiente de la Efectividad de los Servicios de TI 3.4 Evaluacin Independiente de la Efectividad de proveedores externos de servicios 3.5 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales 3.6 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales con proveedores externos de servicios 3.7 Competencia de la Funcin de Aseguramiento Independiente 3.8 Participacin Proactiva de Auditora
3.0
4.0 Proveer Auditora Independiente 4.1 Estatutos de Auditora 4.2 Independencia 4.3 Etica y Estndares Profesionales 4.4 Competencia 4.5 Planeacin 4.6 Desempeo del Trabajo de Auditora 4.7 Reporte 4.8 Actividades de Seguimiento
30
31
(PO)
32
OBJETIVOS DE CONTROL OBJETIVOS DE CONTROL DE ALTO NIVEL

PO1
ec ti v ef ida c o ic ie d nf id nc ia en in c ia te li di gr i dad s p da o d cu nibi m lid p a c o lim d nf ien ia b i to lid ad

ef
S Control sobre el proceso de TI de: Definicin de un plan Estratgico de TI que satisface los requerimientos del negocio de: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos del negocio para TI, as como para asegurar sus logros futuros. se hace posible a travs de: un proceso de planeacin estratgica emprendido en intervalos regulares dando lugar a planes a largo plazo. Los planes a largo plazo debern ser traducidos peridicamente en planes operacionales estableciendo metas claras y concretas a corto plazo: y toma en consideracin:

Entrega & Soporte
Monitoreo
Estrategia del negocio de la empresa definicin de cmo TI soporta los objetivos de negocio inventario de soluciones tecnolgicas e infraestructura actual Monitoreo del mercado de tecnologa Estudios de factibilidad oportunos y chequeos con la realidad Anlisis de los sistemas existentes Posicin de la empresa sobre riesgos, en el proceso de compra (time-on-market), calidad Necesidades de la Administracin senior en el proceso de compra, soportado en revisin crtica

g ap ente l ic a te c i o n cn e in olo s st al ga ac io da nes to s
33
1. DEFINICIN DE UN PLAN ESTRATGICO DE TI
rios, requerimientos de terceras partes o del mercado, el horizonte de planeacin, reingeniera de procesos del negocio, la asignacin de personal, in u outsourcing, datos, sistemas de aplicacin y arquitecturas de la tecnologa. Los planes de TI, de largo y corto alcance debern incorporar indicadores y objetivos de desempeo. El plan mismo deber hacer referencia a otros planes tales como el plan de calidad de la organizacin y el plan de manejo de riesgos de informacin. 1.4 Cambios al Plan a largo plazo de TI OBJETIVO DE CONTROL La Gerencia de TI y los dueos del proceso del negocio debern asegurar que se establezca un proceso con el fin de adaptar los cambios al plan a largo plazo de la organizacin y los cambios en las condiciones de la TI. La gerencia Senior deber establecer una poltica que requiera que se desarrollen y se mantengan planes de largo y corto plazo de TI. 1.5 Planeacin a corto plazo para la Funcin de TI OBJETIVO DE CONTROL La Gerencia de TI y los dueos del proceso del negocio debern asegurar que el plan a largo plazo de TI se traduzca regularmente en planes a corto plazo de TI. Estos planes a corto plazo debern asegurar que se asignen los recursos apropiados de la funcin de servicios de TI con una base consistente con el plan a largo plazo de TI. Los planes a corto plazo debern ser reevaluados y modificados peridicamente segn se considere necesario respondiendo a las condiciones de cambios en el negocio y en TI. La realizacin oportuna de estudios de factibilidad deber asegurar que la ejecucin de los planes a corto plazo sea iniciada adecuadamente.
1.1 Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo. OBJETIVO DE CONTROL La alta gerencia ser la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misin y las metas de la organizacin. A este respecto, la alta gerencia deber asegurar que los problemas de TI, as como las oportunidades, sean evaluados adecuadamente y reflejados en los planes a largo y corto plazo de la organizacin. Se deben desarrollar planes de TI a largo y corto plazo para ayudar a asegurar que el uso de la TI est acorde con la misin y las estrategias de negocio de la organizacin. 1.2 Plan a largo plazo de TI OBJETIVO DE CONTROL La Gerencia de TI y los dueos del proceso de negocio sern responsables de desarrollar regularmente planes de TI a largo plazo , que apoyen el logro de la misin y las metas generales de la organizacin. El mtodo de planeacin deber incluir mecanismos para solicitar informacin a los interesados internos y externos mas importantes, que se ven afectados por los planes estratgicos de TI. De la misma manera, la Gerencia deber implementar un proceso de planeacin a largo plazo, adoptar un enfoque estructurado y determinar la estructura para el plan. 1.3 Plan a largo plazo de TI - Enfoque y Estructura OBJETIVO DE CONTROL La Gerencia de TI y los dueos del proceso de negocio debern establecer y aplicar un enfoque estructurado al proceso de planeacin a largo plazo. Esto deber traer como resultado un plan de alta calidad que cubra las preguntas bsicas de qu, quin, cmo, cundo y por qu el proceso de planeacin de TI debe tomar en cuenta los resultados del anlisis del riesgo, incluyendo los riesgos del negocio, entorno, tecnologa y recursos humanos. Los aspectos que necesitan ser tomados en cuenta y ser cubiertos adecuadamente durante el proceso de planeacin incluyen el modelo de organizacin y sus cambios, la distribucin geogrfica, la evolucin tecnolgica, los costos, los requerimientos legales y regulato-
34
1.6 Comunicacin de los Planes de TI OBJETIVO DE CONTROL La gerencia debe asegurar que los planes de largo y de corto plazo de tecnologa de la informacin sean comunicados a los dueos del proceso del negocio y a otras partes relevantes en toda la organizacin. 1.7 Monitoreo y Evaluacin de los Planes de Tecnologa de la Informacin OBJETIVO DE CONTROL La gerencia debe establecer procesos para captar y reportar la retroalimentacin de los dueos y usuarios del proceso del negocio respecto a la calidad y utilidad de los planes de largo y de corto plazo. La retroalimentacin obtenida debe ser evaluada y considerada en la planeacin futura de la tecnologa de la informacin. 1.8 Evaluacin de los Sistemas Existentes OBJETIVO DE CONTROL Previo al desarrollo o modificacin del Plan Estratgico o plan a largo plazo de TI, la Gerencia de TI debe evaluar los sistemas existentes en trminos de: nivel de automatizacin de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el propsito de determinar el nivel de soporte que ofrecen los sistemas existentes a los requerimientos del negocio.
35

PLANEACION Y ORGANIZACION PO2
ef ec ti ef vida c o ic ie d nf n id c ia en in c ia te li di gr i dad s p da o d c u nibi m lid p a c o lim d nf ien ia b i to lid ad

Control sobre el proceso de TI de: Definicin de la Arquitectura de Informacin que satisface los requerimientos de negocio de: organizar de la mejor manera los sistemas de informacin se hace posible a travs de: la creacin y mantenimiento de un modelo de informacin de negocios y asegurando que se definan sistemas apropiados para optimizar la utilizacin de esta informacin y toma en consideracin:

Entrega & Soporte
Monitoreo
Repositorio automatizado de datos y diccionario reglas de sintaxis de datos propiedad de la informacin y clasificacin con base en criticidad /seguridad un modelo de informacin que represente el negocio Normas de arquitectura de informacin de la empresa

36
2
2.1
DEFINICIN DE LA ARQUITECTURA DE INFORMACIN

Modelo de la Arquitectura de Informacin OBJETIVO DE CONTROL La informacin deber conservar consistencia con las necesidades y deber ser identificada, capturada y comunicada de tal forma y dentro de perodos de tiempo que permitan a los responsables llevar a cabo sus tareas eficiente y oportunamente. Asimismo, la funcin de sistemas de informacin deber crear y actualizar regularmente un modelo de arquitectura de informacin, abarcando el modelo de datos corporativo y los sistemas de informacin asociados. El modelo de arquitectura de informacin deber conservar consistencia con el plan a largo plazo de tecnologa de informacin.
Se deben establecer los criterios para soportar los diferentes niveles de seguridad en toda la empresa para resolver las necesidades del creciente comercio electrnico, la computacin mvil y los entornos de teleconmutacin.
2.2 Diccionario de Datos y Reglas de Sintaxis de Datos de la Corporacin OBJETIVO DE CONTROL La funcin de servicios de informacin deber asegurar la creacin y la continua actualizacin de un diccionario de datos corporativo que incorpore las reglas de sintaxis de datos de la organizacin. 2.3 Esquema de Clasificacin de Datos OBJETIVO DE CONTROL Deber establecerse un marco de referencia de clasificacin general relativo a la ubicacin de datos en clases de informacin (por ejemplo, categoras de seguridad), as como la asignacin de propiedad. Las reglas de acceso para las clases debern definirse apropiadamente. 2.4 Niveles de Seguridad OBJETIVO DE CONTROL La Gerencia deber definir, implementar y mantener niveles de seguridad para cada una de las clasificaciones de datos identificadas con un nivel superior al de "no requiere proteccin". Estos niveles de seguridad debern representar el conjunto de medidas de seguridad y de control apropiado (mnimo) para cada una de las clasificaciones y debern ser reevaluados peridicamente y modificados en consecuencia.
37

PO3
ti v ef ida c o ic ie d nf id ncia en in c ia te li di gri dad s p da o d c u nibi m lid p a c o lim d nf ien ia b i to lid ad
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: determinacin de la direccin tecnolgica que satisface los requerimientos de negocio de: aprovechar la tecnologa disponible y las que van apareciendo en el mercado para impulsar y posibilitar la estrategia del negocio. se hace posible a travs de: la creacin y mantenimiento de un plan de infraestructura tecnolgica que establece y administra expectativas claras y realistas de lo que puede brindar la tecnologa en trminos de productos, servicios y mecanismos de entrega y toma en consideracin:
Monitoreo
capacidad de la infraestructura actual monitoreo de desarrollos tecnolgicos por la va de fuentes confiables realizacin de prueba de conceptos riesgos, restricciones y oportunidades planes de adquisicin estrategia de migracin y mapas alternativos (roadmaps) relaciones con los vendedores reevaluacin independiente de la tecnologa Cambios de precio /desempeo de hardware y de software

g ap ente lic a te c i o n cn e in olo s st g al ac a io da nes to s
38
3 DETERMINACIN DE LA DIRECCIN
TECNOLGICA
3.1 Planeacin de la Infraestructura Tecnolgica OBJETIVO DE CONTROL La funcin de servicios de informacin deber crear y actualizar regularmente un plan de infraestructura tecnolgica que concuerde con los planes a largo y corto plazo de tecnologa de informacin. Dicho plan deber abarcar aspectos tales como arquitectura de sistemas, direccin tecnolgica y estrategias de migracin. 3.2 Monitoreo de Tendencias y Regulaciones Futuras OBJETIVO DE CONTROL La funcin de servicios de informacin deber asegurar el monitoreo contnuo de tendencias futuras y condiciones regulatorias, de tal manera que estos factores puedan ser tomados en consideracin durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica. 3.3 Contingencias en la Infraestructura Tecnolgica OBJETIVO DE CONTROL El plan de infraestructura tecnolgica deber ser evaluado sistemticamente en cuanto a aspectos de contingencia (por ejemplo, redundancia, resistencia7, capacidad de adecuacin y evolucin de la infraestructura). 3.4 Planes de Software Adquisicin de Hardware y
OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que los planes de adquisicin de hardware y software sean establecidos y que reflejen las necesidades identificadas en el plan de infraestructura tecnolgica. 3.5 Estndares de Tecnologa OBJETIVO DE CONTROL Tomando como base el plan de infraestructura tecnolgica, la Gerencia deber definir normas de tecnologa con la finalidad de fomentar la estandarizacin.
Resistencia (resilience): ndice de resistencia a fallas
39
OBJETIVOS DE CONTROL DE ALTO NIVEL

PO4

c en ia in c iali te da di gr id d sp a on d i b cu m ilida pl d co imi nf en ia b i to lid ad da d
ef e
ef
co
nf
id
ct
ic i
en
iv i
Entrega & Soporte
Control sobre el proceso de TI de: definicin de la organizacin y de las relaciones de TI que satisface los requerimientos de negocio de: prestacin de los servicios correctos de TI se hace posible a travs de: una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas, acordes con el negocio y que facilita la estrategia y provee una direccin efectiva y un control adecuado. y toma en consideracin:
Monitoreo
nt e lic ac te i o n cn es in olo g st al ac a io n da es to s ap
responsabilidades del nivel directivo sobre TI direccin de la gerencia y supervisin de TI Alineacin de TI con el negocio participacin de TI en los procesos clave de decisin flexibilidad organizacional roles y responsabilidades claras equilibrio entre supervisin y delegacin de autoridad (empoderamiento) descripciones de puestos de trabajo Niveles de asignacin de personal y personal clave Ubicacin organizacional de las funciones de seguridad, calidad y control interno Segregacin de funciones
ge
40
4 DEFINICIN DE LA ORGANIZACIN Y DE LAS RELACIONES DE TI
OBJETIVO DE CONTROL La alta gerencia de la organizacin deber designar un comit de planeacin o direccin para vigilar la funcin de TI y sus actividades. Entre los miembros del comit debern encontrarse representantes de la alta gerencia, de la gerencia usuaria y de la funcin de TI. El comit deber reunirse regularmente y reportar a la alta gerencia. 4.2 Ubicacin de la Funcin de TI en la organizacin OBJETIVO DE CONTROL Al ubicar la funcin de TI en la estructura organizacional general, la alta gerencia deber asegurar la existencia de autoridad, actitud crtica e independencia por parte del departamento usuario con un grado tal que sea posible garantizar soluciones de tecnologa de informacin efectivas y progreso suficiente al implementarlas, as como establecer una relacin de socios con la alta Gerencia para ayudar a incrementar la concientizacin, el entendimiento y las habilidades para identificar y resolver problemas de tecnologa de informacin. 4.3 Revisin de Logros Organizacionales OBJETIVO DE CONTROL Deber establecerse un marco de referencia con el propsito de revisar que la estructura organizacional cumpla continuamente con los objetivos y se adapte a las circunstancias cambiantes. 4.4 Funciones y Responsabilidades OBJETIVO DE CONTROL La Gerencia deber asegurar que todo el personal en la organizacin conozca sus funciones y responsabilidades en relacin con los sistemas de informacin. Todo el personal deber contar con la autoridad suficiente para llevar a cabo las funciones y responsabilidades que le hayan sido asignadas. Las funciones debern ser designadas tomando en consideracin la segregacin apropiada de tareas. Ninguna persona en forma individual deber controlar todos los aspectos clave de una transaccin o evento. Todos debern estar
4.1 Comit de planeacin o direccin de TI
conscientes de que tienen un grado de responsabilidad con respecto a la seguridad y al control interno. Consecuentemente, debern organizarse y emprenderse campaas regulares para aumentar la conciencia y la disciplina. 4.5 Responsabilidad del Aseguramiento de Calidad OBJETIVO DE CONTROL La Gerencia deber asignar la responsabilidad de la ejecucin de la funcin de aseguramiento de calidad a miembros del personal de la funcin de servicios de informacin y asegurar que existan sistemas de aseguramiento de calidad apropiados, controles y experiencia en comunicaciones dentro del grupo de aseguramiento de calidad de la funcin de servicios de informacin. La ubicacin de la funcin dentro del rea de servicios de informacin, las responsabilidades y el tamao del grupo de aseguramiento de calidad debern satisfacer los requerimientos de la empresa. 4.6 Responsabilidad de la Seguridad Lgica y Fsica OBJETIVO DE CONTROL La Gerencia deber asignar formalmente la responsabilidad de la seguridad lgica y fsica de los activos de informacin de la organizacin a un Gerente de seguridad de la informacin, quien reportar a la alta gerencia. Como mnimo, la responsabilidad de la Gerencia de seguridad deber establecerse a todos los niveles de la organizacin para manejar los problemas generales de seguridad en la organizacin. En caso necesario, debern asignarse responsabilidades gerenciales de seguridad adicionales a niveles especficos con el fin de resolver los problemas de seguridad relacionados con ellos. 4.7 Propiedad y Custodia OBJETIVO DE CONTROL La Gerencia deber crear una estructura para designar formalmente a los propietarios y custodios de los datos. Sus funciones y responsabilidades debern estar claramente definidas. 4.8 Propiedad de Datos y Sistemas OBJETIVO DE CONTROL La Gerencia deber asegurar que todos los acti41
vos de informacin (sistemas y datos) cuenten con un propietario asignado que tome decisiones sobre la clasificacin y los derechos de acceso. Los propietarios del sistema normalmente delegarn la custodia diaria al grupo de distribucin/ operacin de sistemas y las responsabilidades de seguridad a un administrador de la seguridad. Los Propietarios, sin embargo, permanecern como responsables del mantenimiento de medidas de seguridad apropiadas. 4.9 Supervisin OBJETIVO DE CONTROL La alta gerencia deber implementar prcticas de supervisin adecuadas en la organizacin de servicios de informacin para asegurar que las funciones y responsabilidades sean llevadas a cabo apropiadamente, para evaluar si todo el personal cuenta con suficiente autoridad y recursos para llevar a cabo sus tareas y responsabilidades, y para revisar de manera general los indicadores clave de desempeo. 4.10 Segregacin de Funciones OBJETIVO DE CONTROL La alta gerencia deber implementar una divisin de roles y responsabilidades que excluya la posibilidad de que un solo individuo responda por un proceso crtico. La Gerencia deber asegurar tambin que el personal lleve a cabo nicamente aquellas tareas estipuladas para sus respectivos puestos. En particular, deber mantenerse una segregacin de funciones entre las siguientes funciones:

larmente para asegurar que la funcin de servicios de informacin cuente con un nmero suficiente de personal competente de tecnologa de informacin. Los requerimientos de asignacin de personal debern ser evaluados por lo menos anualmente o al presentarse cambios mayores en el negocio, en el ambiente operacional o de tecnologa de informacin. Deber actuarse oportunamente tomando como base los resultados de las evaluaciones para asegurar una asignacin de personal adecuada en el presente y en el futuro. 4.12 Descripcin de Puestos de trabajo para el Personal de la Funcin de TI OBJETIVO DE CONTROL La Gerencia deber asegurar que las descripciones de los puestos para el personal de TI sean establecidos y actualizados regularmente. Estas descripciones de puestos debern delinear claramente tanto la responsabilidad como la autoridad, incluir las definiciones de las habilidades y la experiencia necesarias para el puesto, y ser adecuadas para su utilizacin en evaluaciones de desempeo. 4.13 Personal Clave de TI OBJETIVO DE CONTROL La Gerencia de TI deber definir e identificar al personal clave de tecnologa de informacin. 4.14 Polticas y Procedimientos para Personal por Contrato OBJETIVO DE CONTROL La Gerencia deber definir e implementar polticas y procedimientos relevantes para controlar las actividades de consultores y dems personal externo contratado por la funcin de TI para asegurar la proteccin de los activos de informacin de la organizacin. 4.15 Relaciones OBJETIVO DE CONTROL La Gerencia de TI deber llevar a cabo las acciones necesarias para establecer y mantener una coordinacin, comunicacin y un enlace ptimos entre la funcin de TI y dems interesados dentro y fuera de la funcin de servicios de informacin (usuarios, proveedores, oficiales de seguridad, administradores de riesgos). 42
uso de sistemas de informacin; entrada de datos; operacin de cmputo; administracin de redes; administracin de sistemas; desarrollo y mantenimiento de sistemas administracin de cambios administracin de seguridad; y auditora a la seguridad
4.11 Asignacin de Personal de TI OBJETIVO DE CONTROL Las evaluaciones de los requerimientos de asignacin de personal debern llevarse a cabo reguIT GOVERNANCE INSTITUTE

PO5
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: Manejo o administracin de la inversin de TI que satisface los requerimientos de negocio de: asegurar el financiamiento y el control de desembolsos de recursos financieros se hace posible a travs de: Inversin peridica y presupuestos operacionales establecidos y aprobados por el negocio y toma en consideracin:
Monitoreo
alternativas de financiamiento Claros responsables del presupuesto Control sobre los gastos actuales justificacin de costos y concientizacin sobre el costo total de la propiedad justificacin del beneficio y contabilizacin de todos los beneficios obtenidos Ciclo de vida del software de aplicacin y de la tecnologa Alineacin con las estrategias del negocio de la empresa Anlisis de impacto Administracin de los activos

43
5 MANEJO / ADMINISTRACIN DE LA INVERSIN EN TECNOLOGA DE INFORMACIN
5.1 Presupuesto Operativo Anual para la Funcin de Servicios de Informacin OBJETIVO DE CONTROL La alta gerencia deber implementar un proceso de asignacin de presupuestos para asegurar que un presupuesto operativo anual para TI sea establecido y aprobado en lnea con los planes a largo y corto plazo de la organizacin, as como con los planes a largo y corto plazo de tecnologa de informacin. Debern investigarse alternativas de financiamiento. 5.2 Monitoreo de Costo - Beneficios OBJETIVO DE CONTROL La Gerencia deber establecer un proceso de monitoreo de costos que compare los costos reales contra los presupuestados. Aun ms, los posibles beneficios derivados de la actividad de tecnologa de informacin debern ser identificados y reportados. En cuanto al monitoreo de costos, la fuente de las cifras reales deber tomar como base el sistema de contabilidad de la organizacin, mismo que deber registrar, procesar y reportar rutinariamente los costos asociados con las actividades de la funcin de servicios de informacin. En lo referente al monitoreo de los beneficios, se debern definir indicadores de medicin de desempeo de alto nivel y ser reportados y revisados regularmente para asegurar que son adecuados. 5.3 Justificacin de Costo - Beneficio OBJETIVO DE CONTROL Deber establecerse un control gerencial que garantice que los servicios que presta la funcin de TI presenten un costo justificado y se encuentren en lnea con la industria. Los beneficios derivados de las actividades de tecnologa de informacin debern ser analizados en forma similar.
44

PO6
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: comunicacin de los objetivos y aspiraciones de la gerencia que satisface los requerimientos de negocio de: asegurar que el usuario sea conciente y comprenda dichas aspiraciones se hace posible a travs de: polticas establecidas y transmitidas a la comunidad de usuarios; adems, se necesitan estndares para traducir las opciones estratgicas en reglas de usuario prcticas y utilizables y toma en consideracin:
Monitoreo
Misin claramente articulada Directivas tecnolgicas vinculadas con aspiraciones de negocios Cdigo de tica / conducta Compromiso con la calidad Polticas de seguridad y control interno Practicas de seguridad y control interno Ejemplos de liderazgo Programacin continua de comunicaciones Proveer guas y verificar su cumplimiento
45
6 COMUNICACIN DE LOS OBJETIVOS Y
ASPIRACIONES DE LA GERENCIA
6.1 Ambiente Positivo de Control de la Informacin OBJETIVO DE CONTROL Con el fin de proveer guas para el desempeo apropiado, evitar tentaciones de acciones no ticas y crear disciplina donde se requiera, la Gerencia deber crear un marco de referencia y un programa de concientizacin que fomente un ambiente de control positivo a travs de toda la organizacin. Estas actividades debern encauzarse hacia la integridad, los valores ticos, competencia del empleado, filosofa de la Gerencia, estilo de operacin y registro. Se debe dar especial atencin a los aspectos relacionados con tecnologa de informacin incluyendo la seguridad y el plan de continuidad del negocio. 6.2 Responsabilidad de la Gerencia sobre las Polticas OBJETIVO DE CONTROL La Gerencia deber asumir la responsabilidad completa de la formulacin, el desarrollo, la documentacin, la promulgacin y el control de polticas que cubran metas y directrices generales. Debern llevarse a cabo revisiones regulares de las polticas para asegurar su conveniencia. La complejidad de las polticas y los procedimientos escritos debern estar siempre en proporcin con el tamao de la organizacin y el estilo gerencial. 6.3 Comunicacin de las Polticas de la Organizacin OBJETIVO DE CONTROL La Gerencia deber asegurar que las polticas organizacionales sean claramente comunicadas, comprendidas y aceptadas por todos los niveles de la organizacin. El proceso de comunicacin debe estar soportado por un plan efectivo que utilice diversos mecanismos de comunicacin. 6.4 Recursos para la implementacin de Polticas OBJETIVO DE CONTROL La Gerencia deber destinar recursos para la implementacin de sus polticas y para asegurar su cumplimiento, de tal manera que ellas se construyan dentro y formen parte integral de las
operaciones. La Gerencia deber tambin monitorear la duracin de la implementacin de sus polticas. 6.5 Mantenimiento de Polticas OBJETIVO DE CONTROL Las polticas debern ser ajustadas regularmente para adecuarse a las condiciones cambiantes. Las polticas debern ser reevaluadas, por lo menos anualmente o al momento de presentarse cambios significativos en el ambiente operacional o del negocio, para evaluar que sean convenientes y apropiadas y debern ser modificadas en caso necesario. La Gerencia deber proporcionar un marco de referencia y un proceso para las revisiones peridicas y la aprobacin de estndares, polticas, directrices y procedimientos. 6.6 Cumplimiento de Polticas, Procedimientos y Estndares OBJETIVO DE CONTROL La Gerencia deber asegurar que se establezcan procedimientos apropiados para determinar si el personal comprende los procedimientos y polticas implementados, y que ste cumple con dichas polticas y procedimientos. El cumplimiento de las reglas de tica, seguridad y estndares de control interno deber ser establecido por la Alta Gerencia y promoverse a travs del ejemplo. 6.7 Compromiso con la Calidad OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber definir, documentar y mantener una filosofa de calidad, as como polticas y objetivos que sean consistentes con la filosofa y las polticas de la corporacin a este respecto. La filosofa de calidad, las polticas y los objetivos debern ser comprendidos, implementados y mantenidos a todos los niveles de la funcin de servicios de informacin. 6.8 Poltica sobre el Marco de Referencia para la Seguridad y el Control Interno OBJETIVO DE CONTROL La Gerencia deber asumir la responsabilidad total del desarrollo y mantenimiento de una poltica sobre el marco de referencia, que establezca 46
el enfoque general de la organizacin en cuanto a seguridad y control interno para establecer y mejorar la proteccin de los recursos de tecnologa de informacin. La poltica deber cumplir con los objetivos generales del negocio y estar dirigida a minimizar riesgos a travs de medidas preventivas, identificacin oportuna de irregularidades, limitacin de prdidas y recuperacin oportuna. Estas medidas debern basarse en anlisis costo-beneficio y deber priorizarse. Adems, la alta gerencia deber asegurar que esta poltica de seguridad de alto nivel y de control interno especifique el propsito y los objetivos, la estructura gerencial, el alcance dentro de la organizacin, la definicin y asignacin de responsabilidades para su implementacin a todos los niveles y la definicin de multas y de acciones disciplinarias asociadas con la falta de cumplimiento con las polticas de seguridad y control interno. Se debern establecer criterios para la reevaluacin peridica del marco de referencia con el objeto de soportar responsablemente los cambios organizacionales y los requerimientos tcnicos y ambientales. 6.9 Derechos de propiedad intelectual OBJETIVO DE CONTROL La gerencia deber proveer e implementar una poltica por escrito sobre derechos de propiedad intelectual, que cubra el desarrollo de software, tanto interno como contratado a externos. 6.10 Polticas para Situaciones Especficas OBJETIVO DE CONTROL Debern ponerse en prctica medidas que aseguren el establecimiento de polticas para situaciones especficas con el fin de documentar las decisiones gerenciales con respecto al tratamiento de actividades, aplicaciones, sistemas o tecnologas particulares. 6.11 Comunicacin para educar y concientizar (crear conciencia) sobre Seguridad de TI OBJETIVO DE CONTROL Un programa de concientizacin sobre seguridad de TI debe comunicar las polticas de TI a cada usuario de TI y asegurar el completo entendimiento de la importancia de la seguridad de TI. Debe transmitir el mensaje en cuanto a que la seguridad de TI es para el beneficio de toda la organizacin, todos los empleados, y as mismo todos son responsables de ella. El programa de concientizacin en seguridad de TI debe estar apoyado y representar el punto de vista de la gerencia.
47
OBJETIVOS DE CONTROL DE ALTO NIVEL

PO7
ti v ef ida c o ic ie d nf id ncia en in c ia te li di gri dad s p da o d c u nib i m lid p co lim ad nf ien ia bi to lid ad
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: administracin de recursos humanos que satisface los requerimientos de negocio de: Adquirir y mantener una fuerza de trabajo motivada y competente y maximizar las contribuciones del personal a los procesos de TI se hace posible a travs de: prcticas de administracin de personal, sensatas, justas y transparentes para reclutar, alinear, pensionar, compensar, entrenar, promover y despedir y toma en consideracin: reclutamiento y promocin Entrenamiento y requerimientos de calificaciones desarrollo de conciencia entrenamiento cruzado y rotacin de puestos Procedimientos para contratacin, veto y despidos evaluacin objetiva y medible del desempeo responsabilidades sobre los cambios tcnicos y de mercado Balance apropiado de recursos internos y externos Plan de sucesin para posiciones clave
Monitoreo

g a p e n te lic a te cion cn e in olo s st g al a c a io da nes to s
48
7 ADMINISTRACIN DE RECURSOS HUMANOS
7.1 Reclutamiento y Promocin de Personal OBJETIVO DE CONTROL La Gerencia deber implementar y evaluar regularmente los procesos necesarios para asegurar que las prcticas de reclutamiento y promocin de personal tengan como base criterios objetivos y consideren factores como la educacin, la experiencia y la responsabilidad. Estos procesos debern estar en lnea con las polticas y procedimientos generales de la organizacin a este respecto, como son la contratacin, la orientacin, el entrenamiento, evaluacin, asesora, promocin, compensacin y disciplina. La administracin debe asegurar que el conocimiento y las habilidades necesarias sean continuamente evaluadas y que la organizacin est en la capacidad de obtener una fuerza de trabajo que tenga las habilidades para satisfacer los objetivos y metas de la organizacin 7.2 Personal Calificado OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber verificar regularmente que el personal que lleva a cabo tareas especficas est calificado tomando como base una educacin, entrenamiento y/ o experiencia apropiados, segn se requiera. La Gerencia deber alentar al personal para que participe como miembro, en organizaciones profesionales. 7.3 Roles y Responsabilidades OBJETIVO DE CONTROL La Gerencia debe definir claramente los roles y responsabilidades del personal, incluyendo los requisitos para adherirse a las polticas y procedimientos establecidos por la gerencia, el cdigo de tica y las prcticas profesionales. Los trminos y condiciones de los cargos debe estrechar la responsabilidad de los empleados por la seguridad de la informacin y el control interno. 7.4 Entrenamiento de Personal OBJETIVO DE CONTROL La Gerencia deber asegurar que los empleados reciban orientacin al ser contratados, as como entrenamiento y capacitacin constantes con la finalidad de conservar los conocimientos, habilidades, destrezas y
conciencia de seguridad al nivel requerido, para la ejecucin efectiva de sus tareas. Los programas de educacin y entrenamiento dirigidos a incrementar los niveles de habilidad tcnica y administrativa del personal debern ser revisados regularmente. 7.5 Entrenamiento Cruzado o Respaldo de personal OBJETIVO DE CONTROL La Gerencia deber proporcionar un suficiente entrenamiento cruzado o contar con personal de respaldo para personal clave identificado, con la finalidad de solucionar posibles ausencias. La Gerencia debe establecer planes de sucesin para todas las funciones y posiciones claves El personal encargado de puestos sensitivos deber tomar vacaciones sin interrupciones y con una duracin suficiente como para probar la habilidad de la organizacin para manejar casos de ausencia y detectar actividades fraudulentas. 7.6 Procedimientos de Acreditacin de Personal OBJETIVO DE CONTROL La Gerencia de TI deber asegurar que su personal se sujete a una revisin o acreditacin de seguridad antes de ser contratado, transferido o promovido, dependiendo de lo delicado o sensible del puesto. Un empleado que no haya pasado por este procedimiento de revisin o acreditacin al ser contratado por primera vez, no deber ser colocado en un puesto delicado hasta que ste haya obtenido la acreditacin de seguridad. 7.7 Evaluacin de Desempeo de los Empleados OBJETIVO DE CONTROL La Gerencia deber implementar un proceso de evaluacin de desempeo de los empleados, reforzadas con un efectivo sistema de recompensas que sea diseado para ayudar a los empleados a entender la conexin entre su desempeo y el xito de la organizacin. La evaluacin debe ser realizada segn los estndares establecidos y las responsabilidades especficas del puesto. Los empleados debern recibir asesora sobre su desempeo o su conducta cuando lo requiera. 7.8 Cambio y Terminacin de Trabajo OBJETIVO DE CONTROL La Gerencia debe asegurar que se tomen acciones apropiadas y a tiempo en cuanto a cambios y terminacin de trabajo para que los controles internos y de seguridad no se vean perjudicados por estos eventos. 49

PO8
ec ti v ef ida c o ic ie d nf id ncia en in c ia te li di gri dad s p da o d c u nibi m lid p co lim ad nf ien ia b i to lid ad
ef
Entrega & Soporte
Control sobre el proceso de TI de: aseguramiento del cumplimiento de requerimientos externos que satisface los requerimientos de negocio de: cumplir con obligaciones legales, regulatorias y contractuales se hace posible a travs de: la identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, y realizando las medidas apropiadas para cumplir con ellos y toma en consideracin:
Monitoreo
leyes, regulaciones y contratos monitoreo de desarrollos legales y regulatorios Monitoreo regular sobre cumplimiento seguridad y ergonoma privacidad propiedad intelectual

50
8 ASEGURAMIENTO DE CUMPLIMIENTO DE REQUERIMIENTOS EXTERNOS
OBJETIVO DE CONTROL La organizacin deber establecer y mantener procedimientos para la revisin de requerimientos externos y para la coordinacin de estas actividades. La investigacin continua deber determinar los requerimientos externos aplicables en la organizacin. Debern revisarse los requerimientos legales, gubernamentales o cualquier otro requerimiento externo relacionado con las prcticas y controles de tecnologa de informacin. La Gerencia deber tambin evaluar el impacto de cualquier relacin externa en las necesidades generales de informacin de la organizacin, incluyendo la determinacin del grado al cual las estrategias de la funcin de servicios de informacin deben soportar o cumplir con los requerimientos de terceros. 8.2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos OBJETIVO DE CONTROL Las prcticas organizacionales debern asegurar que se lleven a cabo oportunamente las acciones correctivas apropiadas para garantizar el cumplimiento de los requerimientos externos. Adems, debern establecerse y mantenerse procedimientos adecuados que aseguren el cumplimiento continuo. A este respecto la Gerencia deber solicitar apoyo legal en caso necesario. 8.3 Cumplimiento de Seguridad y Ergonoma OBJETIVO DE CONTROL La Gerencia deber asegurar el cumplimiento de los estndares ergonmicos y de seguridad en el ambiente de trabajo de los usuarios y el personal de TI. 8.4 Privacidad, propiedad intelectual y Flujo de Datos OBJETIVO DE CONTROL La Gerencia deber asegurar el cumplimiento de las regulaciones sobre privacidad, propiedad intelectual, flujo de datos a entes externos y regulaciones criptografa aplicables a las prcticas de tecnologa de informacin de la organizacin.
8.5 Comercio Electrnico OBJETIVO DE CONTROL La Gerencia deber asegurar que se establezcan contratos formales para que existan acuerdos entre socios comerciales sobre procesos de comunicacin, as como sobre estndares de mensajes transaccionales, seguridad y almacenamiento de datos. Cuando se realicen operaciones de intercambio en Internet, la gerencia deber imponer adecuados controles para asegurar el cumplimiento de leyes locales y de clientes sobre bases internacionales. 8.6 Cumplimiento con los Contratos de Seguros OBJETIVO DE CONTROL La Gerencia deber asegurar que los requerimientos de contratos de seguros sean apropiadamente identificados y cumplidos continuamente.
8.1 Revisin de Requerimientos Externos
51

PO9
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: anlisis de riesgos que satisface los requerimientos de negocio de: Soportar las decisiones de la gerencia a travs del logro de los objetivos de TI y responder a las amenazas reduciendo su complejidad e incrementando objetivamente e identificando factores importantes de decisin. se hace posible a travs de: la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, involucrando funciones multidisciplinarias y tomando medidas costoefectivas para mitigar los riesgos y toma en consideracin:
Monitoreo
Administracin de riesgos de la propiedad y del registro de las operaciones8 diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de seguridad, de continuidad, regulatorios, etc.) Definir y comunicar un perfil tolerable de riesgos Anlisis de las causas y sesiones de tormenta de ideas sobre riesgos Medicin cuantitativa y/o cualitativa de los riesgos metodologa de anlisis de riesgos Plan de accin contra los riesgos 8 Registro de las operaciones: Accountability Volver a realiza anlisis oportunos
52
9 ANALISIS DE RIESGOS
OBJETIVO DE CONTROL La Gerencia deber establecer un marco de referencia de evaluacin sistemtica de riesgos. Este marco de referencia deber incorporar una evaluacin regular de los riesgos de informacin relevantes para el logro de los objetivos del negocio, formando una base para determinar la manera en la que los riesgos deben ser manejados a un nivel aceptable. El proceso deber proporcionar evaluaciones de riesgos tanto a un nivel global como a niveles especficos del sistema, para nuevos proyectos y para casos recurrentes y con participacin multidisciplinaria. La Administracin deber asegurar que se realicen reevaluaciones y que la informacin sobre evaluacin de riesgos sea actualizada como resultado de auditoras, inspecciones e incidentes identificados. 9.2 Enfoque de Evaluacin de Riesgos OBJETIVO DE CONTROL La Gerencia deber establecer un enfoque general para la evaluacin de riesgos que defina el alcance y los lmites, la metodologa a ser adoptada para las evaluaciones de riesgos, las responsabilidades y las habilidades requeridas. La Gerencia debe adelantar la identificacin de soluciones para la mitigacin de riesgos e involucrarse en la identificacin de vulnerabilidades. Especialistas de seguridad deben realizar identificacin de amenazas y especialistas de TI deben dirigir la seleccin de controles. La calidad de las evaluaciones de riesgos deber estar asegurada por un mtodo estructurado y por asesores expertos en riesgos. 9.3 Identificacin de Riesgos OBJETIVO DE CONTROL La evaluacin de riesgos deber enfocarse al examen de los elementos esenciales de riesgo y las relaciones causa/efecto entre ellos. Los elementos esenciales de riesgo incluyen activos tangibles e intangibles, valor de los activos, amenazas, vulnerabilidades, protecciones, consecuencias y probabilidad de amenaza. El proceso de identificacin de riesgos debe incluir una clasificacin cualitativa y, donde sea apropiado, clasificacin cuantitativa de riesgos y debe obtener inIT GOVERNANCE INSTITUTE
9.1 Evaluacin de Riesgos del Negocio
sumos de las tormentas de ideas de la Gerencia, de planeacin estratgica, auditoras anteriores y otros anlisis. El anlisis de riesgos debe considerar el negocio, regulaciones, aspectos legales, tecnologa, comercio entre socios y riesgos del recurso humano. 9.4 Medicin de Riesgos OBJETIVO DE CONTROL El enfoque de la evaluacin de riesgos deber asegurar que la informacin del anlisis de la identificacin de riesgos genere como resultado una medida cuantitativa y/o cualitativa del riesgo al cual est expuesta el rea examinada. Asimismo, deber evaluarse la capacidad de aceptacin de riesgos de la organizacin. 9.5 Plan de Accin contra Riesgos OBJETIVO DE CONTROL El enfoque de evaluacin de riesgos deber proporcionar la definicin de un plan de accin contra riesgos para asegurar que el costo efectividad de los controles y las medidas de seguridad mitiguen los riesgos en forma continua. El plan de accin contra los riesgos debe identificar la estrategia de riesgos en trminos de evitar, mitigar o aceptar el riesgo. 9.6 Aceptacin de Riesgos OBJETIVO DE CONTROL El enfoque de la evaluacin de riesgos deber asegurar la aceptacin formal del riesgo residual, dependiendo de la identificacin y la medicin del riesgo, de la poltica organizacional, de la incertidumbre incorporada al enfoque de evaluacin de riesgos y el costo-efectividad de la implementacin de protecciones y controles. El riesgo residual deber compensarse con una cobertura de seguro adecuada, compromisos de negociacin contractual y autoaseguramiento.
53
9.7 Seleccin de Garantas o Protecciones OBJETIVO DE CONTROL Mientras se logra un sistema de controles y garantas razonable, apropiado y proporcional, controles con el mas alto retorno de inversin (ROI return of investment) y aquellos que provean ganancia rpida deben recibir la primera prioridad. El sistema de control necesita adems balancear las medidas de prevencin, deteccin, correccin y recuperacin. Adicionalmente, la Gerencia necesita comunicar el propsito de las medidas de control, manejar el conflicto y monitorear continuamente la efectividad de las medidas de control. 9.8 Compromiso con el Anlisis de Riesgos OBJETIVO DE CONTROL La Gerencia deber motivar el anlisis de riesgos como una herramienta importante para proveer informacin para el diseo e implementacin de controles internos, en la definicin del plan estratgico de tecnologa de informacin y en los mecanismos de evaluacin y monitoreo.
54

PO10
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: administracin de proyectos que satisface los requerimientos de negocio de: establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversin se hace posible a travs de: La organizacin identificando y priorizando proyectos en lnea con el plan operacional y la adopcin y aplicacin de tcnicas de administracin de proyectos para cada proyecto emprendido y toma en consideracin:
Monitoreo
El patrocinio que la gerencia de negocios debe dar a los proyectos Administracin de programas Capacidad para el manejo de proyectos Involucramiento del usuario Divisin de tareas, definicin de puntos de control y aprobacin de fases Distribucin de responsabilidades Rastreo riguroso de puntos de control y entregables Costos y presupuestos de mano de obra, balance de recursos internos y externos Planes y mtodos de aseguramiento de calidad Programa y anlisis de riesgos del proyecto Transicin de desarrollo a operacin

55
10 ADMINISTRACIN DE PROYECTOS
10.1 Marco de Referencia para la Administracin de Proyectos OBJETIVO DE CONTROL La Gerencia deber establecer un marco de referencia general para la administracin de proyectos que defina el alcance y los lmites del mismo, as como la metodologa de administracin de proyectos a ser adoptada y aplicada para cada proyecto emprendido. La metodologa deber cubrir, como mnimo, la asignacin de responsabilidades, la determinacin de tareas, la elaboracin de presupuestos de tiempo y recursos, los avances, los puntos de revisin y las aprobaciones. 10.2 Participacin del Departamento Usuario en la Iniciacin de Proyectos OBJETIVO DE CONTROL El marco de referencia de la administracin de proyectos de la organizacin deber fomentar la participacin del departamento usuario afectado en la definicin y autorizacin de cualquier proyecto de desarrollo, implementacin o modificacin. 10.3 Miembros y Responsabilidades del Equipo del Proyecto OBJETIVO DE CONTROL El marco de referencia de administracin de proyectos de la organizacin deber especificar las bases para asignar a los miembros del personal al proyecto y definir las responsabilidades y autoridades de los miembros del equipo del proyecto. 10.4 Definicin del Proyecto OBJETIVO DE CONTROL El marco de referencia de administracin de proyectos de la organizacin deber generar la creacin de un estatuto claro y por escrito que defina la naturaleza y el alcance de cada proyecto de implementacin antes de que los trabajos del mismo empiecen. 10.5 Aprobacin del Proyecto OBJETIVO DE CONTROL El marco de referencia de administracin de proyectos de la organizacin deber asegurar que la
alta gerencia de la organizacin revise los reportes de los estudios de factibilidad relevantes para cada proyecto propuesto, como una base para fundamentar la decisin de proceder con el proyecto. 10.6 Aprobacin de las Fases del Proyecto OBJETIVO DE CONTROL El marco de referencia de administracin de proyectos de la organizacin deber disponer que los Gerentes designados en representacin de las funciones del usuario y de los servicios de TI aprueben el trabajo realizado en cada fase del ciclo antes de iniciar los trabajos de la siguiente fase. 10.7 Plan Maestro del Proyecto OBJETIVO DE CONTROL La Gerencia deber asegurar que, para cada proyecto aprobado, se cree un plan maestro adecuado para mantener el control del proyecto a travs de todo su desarrollo e incluya un mtodo de monitoreo del tiempo y los costos incurridos durante su vida. El contenido del plan del proyecto debe contener objetivos, recursos y responsabilidades requeridos y debe proveer informacin que permita a la Gerencia medir el progreso del proyecto. 10.8 Plan de Aseguramiento de la Calidad del Sistema OBJETIVO DE CONTROL La Gerencia deber asegurar que la implementacin de un sistema nuevo o la modificacin de otro incluya la preparacin de un plan de calidad que sea integrado posteriormente al plan maestro del proyecto y que sea formalmente revisado y acordado por todas las partes interesadas. 10.9 Planeacin de Mtodos de Aseguramiento OBJETIVO DE CONTROL Las tareas de aseguramiento debern ser definidas durante la fase de planeacin del marco de referencia de administracin de proyectos. Las tareas de aseguramiento debern apoyar la acre-
56
ditacin de sistemas nuevos o modificados y garantizar que los controles internos y los dispositivos de seguridad cumplan con los requerimientos necesarios. 10.10 Administracin Formal de Riesgos de Proyectos OBJETIVO DE CONTROL La Gerencia deber implementar un programa de administracin formal de riesgos de proyectos para eliminar o minimizar los riesgos asociados con proyectos individuales (por ejemplo, identificacin y control de reas o eventos que tengan la posibilidad de causar cambios no deseados). 10.11 Plan de Prueba OBJETIVO DE CONTROL El marco de referencia de administracin de proyectos de la organizacin deber requerir la creacin de un plan de pruebas para cada proyecto de desarrollo, implementacin y modificacin. 10.12 Plan de Entrenamiento OBJETIVO DE CONTROL El marco de referencia de administracin de proyectos de la organizacin deber requerir la creacin de un plan de entrenamiento para cada proyecto de desarrollo, implementacin y modificacin. 10.13 Plan de Revisin Post - Implementacin OBJETIVO DE CONTROL El marco de referencia de administracin de proyectos de la organizacin deber disponer que, como parte integral de las actividades del equipo del proyecto, se desarrolle un plan de revisin post - implementacin para cada sistema de informacin nuevo o modificado, con la finalidad de determinar si el proyecto ha generado los beneficios planeados.
57

PO11
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: Administracin de la calidad que satisface los requerimientos de negocio de: satisfacer los requerimientos del cliente de TI se hace posible a travs de: la planeacin, implementacin y mantenimiento de estndares de administracin de calidad y sistemas provistos para las distintas fases de desarrollo, claros entregables y responsabilidades explcitas y toma en consideracin:
Monitoreo
Establecimiento de una cultura de calidad Planes de calidad responsabilidades de aseguramiento de la calidad Practicas de control de calidad metodologa del ciclo de vida de desarrollo de sistemas pruebas y documentacin de sistemas y programas revisiones y reporte de aseguramiento de calidad Entrenamiento e involucramiento del usuario final y del personal de aseguramiento de calidad Desarrollo de una base de conocimiento de aseguramiento de calidad Benchmarking contra las normas de la industria

58
11 ADMINISTRACIN DE LA CALIDAD
11.1 Plan General de Calidad OBJETIVO DE CONTROL La alta gerencia deber desarrollar y mantener regularmente un plan general de calidad basado en los planes organizacionales y de tecnologa de informacin a largo plazo. El plan deber promover la filosofa de mejora continua y contestar a las preguntas bsicas de qu, quin y cmo. 11.2 Enfoque de Aseguramiento de Calidad OBJETIVO DE CONTROL La Gerencia deber establecer un enfoque estndar con respecto al aseguramiento de calidad, que cubra tanto las actividades de aseguramiento de calidad generales como las especficas de un proyecto. El enfoque deber determinar el (los) tipo(s) de actividades de aseguramiento de calidad (tales como revisiones, auditoras, inspecciones, etc.) que deben realizarse para alcanzar los objetivos del plan general de calidad. Asimismo deber requerir una revisin especfica de aseguramiento de calidad. 11.3 Planeacin del Aseguramiento de Calidad OBJETIVO DE CONTROL La Gerencia deber implementar un proceso de planeacin de aseguramiento de calidad para determinar el alcance y la duracin de las actividades de aseguramiento de calidad. 11.4 Revisin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares y Procedimientos de TI OBJETIVO DE CONTROL La Gerencia deber asegurar que las responsabilidades asignadas al personal de aseguramiento de calidad incluyan una revisin del cumplimiento general de los estndares y procedimientos de TI. 11.5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas OBJETIVO DE CONTROL La alta gerencia de la organizacin deber definir e implementar estndares de sistemas de informacin y adoptar una metodologa del ciclo de vida de desarrollo de sistemas que gobierne el proceso de desarrollo, adquisicin, implementacin y mantenimiento de sistemas de informacin computarizados y tecnologas relacionadas. La metodologa del ciclo de vida de desarrollo de sistemas elegida deber ser la apropiada para los sistemas a ser desarrollados, adquiridos, implementados y mantenidos. 11.6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual OBJETIVO DE CONTROL En el caso de requerirse cambios mayores a la tecnologa actual, como en el caso de adquisicin de nueva tecnologa, la Gerencia deber asegurar el cumplimiento de la metodologa del ciclo de vida de desarrollo de sistemas, . 11.7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas OBJETIVO DE CONTROL La alta gerencia deber implementar una revisin peridica de su metodologa del ciclo de vida de desarrollo de sistemas para asegurar que incluya tcnicas y procedimientos actuales generalmente aceptados. 11.8 Coordinacin y Comunicacin OBJETIVO DE CONTROL La Gerencia deber establecer un proceso para asegurar la coordinacin y comunicacin estrecha entre los clientes de la funcin TI y los implementadores de sistemas. Este proceso deber ocasionar que los mtodos estructurados que utilice la metodologa del ciclo de vida de desarrollo de sistemas aseguren la provisin de soluciones de tecnologa de informacin de calidad que satisfagan las demandas de negocio. La Gerencia deber promover una organizacin que se caracterice por la estrecha cooperacin y comunicacin a lo largo del ciclo de vida de desarrollo de sistemas. 11.9 Marco de Referencia de Adquisicin y Mantenimiento para la Infraestructura de Tecnologa OBJETIVO DE CONTROL Deber establecerse un marco de referencia general referente a la adquisicin y mantenimiento 59
de la infraestructura de tecnologa. Los diferentes pasos que deben ser seguidos con respecto a la infraestructura de tecnologa (tales como adquisicin; programacin, documentacin y pruebas; establecimiento de parmetros; mantenimiento y aplicacin de correcciones) debern estar regidos por y mantenerse en lnea con el marco de referencia para la adquisicin y mantenimiento de la infraestructura de tecnologa. 11.10 Relaciones con Terceras Partes como Implementadores OBJETIVO DE CONTROL La Gerencia deber crear un proceso para asegurar las buenas relaciones de trabajo con los implementadores externos que pertenezcan a terceras partes. Dicho proceso deber disponer que el usuario y el implementador estn de acuerdo sobre los criterios de aceptacin, el manejo de cambios, los problemas durante el desarrollo, las funciones de los usuarios, las instalaciones, las herramientas, el software, los estndares y los procedimientos. 11.11 Estndares para la Documentacin de Programas OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas deber incorporar estndares para la documentacin de programas que hayan sido comunicados y ratificados al personal interesado. La metodologa deber asegurar que la documentacin creada durante el desarrollo del sistema de informacin o durante la modificacin de los proyectos coincida con estos estndares. 11.12 Estndares para Pruebas de Programas OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe proporcionar estndares que cubran los requerimientos de pruebas, verificacin, documentacin y retencin para probar las unidades de software y los programas agregados9, creados como parte de cada proyecto de desarrollo o modificacin de sistemas de informacin. 11.13 Estndares para Pruebas de Sistemas OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe proporcionar estndares que cubran los requerimientos de pruebas, verificacin, documentacin y retencin para la prueba total del sistema, como parte de cada proyecto de desarrollo o modificacin de sistemas de informacin. 11.14 Pruebas Piloto/En Paralelo OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe definir las condiciones bajo las cuales debern conducirse las pruebas piloto o en paralelo de sistemas nuevos y/o actuales. 11.15 Documentacin de las Pruebas del Sistema OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe disponer, como parte de cualquier proyecto de desarrollo, implementacin o modificacin de sistemas de informacin, que se conserve la documentacin de los resultados de las pruebas del sistema. 11.16 Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares de Desarrollo OBJETIVO DE CONTROL El enfoque de aseguramiento de calidad de la organizacin deber requerir que una revisin post - implementacin de un sistema de informacin operacional evale si el equipo encargado del proyecto, cumpli con las estipulaciones de la metodologa del ciclo de vida de desarrollo de sistemas.
Agregados (aggregated)
60
11.17 Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de TI OBJETIVO DE CONTROL El enfoque de aseguramiento de calidad deber incluir una revisin de hasta qu punto los sistemas particulares y las actividades de desarrollo de aplicaciones han alcanzado los objetivos de la funcin de servicios de informacin. 11.18 Mtricas de calidad OBJETIVO DE CONTROL La gerencia deber definir y utilizar mtricas para medir los resultados de actividades, evaluando si las metas de calidad han sido alcanzadas. 11.19 Reportes de Revisiones de Aseguramiento de Calidad OBJETIVO DE CONTROL Los reportes de revisiones de aseguramiento de calidad debern ser preparados y enviados a la Gerencia de los departamentos usuarios y de la funcin de servicios de informacin (TI).
61
(AI)
ADQUISICION E IMPLEMENTACIN
62

AI1
ef
ec

Entrega & Soporte
Control sobre el proceso de TI de: Identificacin de soluciones automatizadas que satisface los requerimientos de negocio de: asegurar un efectivo y eficiente enfoque para satisfacer los requerimientos del usuario se hace posible a travs de: Una objetiva y clara identificacin y anlisis de oportunidades alternativas comparadas contra los requerimientos de los usuarios y toma en consideracin:
Monitoreo
Conocimientos de soluciones disponibles en el mercado Metodologas de Adquisicin e implementacin Involucramiento del usuario en el proceso de compra Alineamiento con las estrategias de la empresa y de TI definicin de requerimientos de informacin estudios de factibilidad ( de costo-beneficio, alternativas, etc) Requerimientos de funcionalidad, operatividad, aceptacin y sostenimiento Cumplimiento con la arquitectura de informacin Costo - efectividad de la seguridad y los controles Responsabilidades de los proveedores

63
1 IDENTIFICACIN
TOMATIZADAS DE
SOLUCIONES AU-
no. 1.5 Estudio de Factibilidad Tecnolgica OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe estipular un examen de factibilidad tecnolgica de cada alternativa con la finalidad de satisfacer los requerimientos de negocio establecidos para el desarrollo de un proyecto propuesto de cualquier sistema nuevo o modificado. 1.6 Estudio de Factibilidad Econmica OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe generar, en cada proyecto de desarrollo, implementacin y modificacin de sistemas de informacin propuesto, el anlisis de los costos y beneficios asociados con cada alternativa considerada para satisfacer los requerimientos del negocio establecidos. 1.7 Arquitectura de Informacin OBJETIVO DE CONTROL La Gerencia deber asegurar que se tome en consideracin el modelo de datos de la empresa al definir las soluciones y analizar la factibilidad de las mismas. 1.8 Reporte de Anlisis de Riesgos OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar, en cada proyecto de desarrollo, implementacin y modificacin de sistemas de informacin propuesto, el anlisis y la documentacin de las amenazas a la seguridad, puntos de impacto y debilidad y protecciones factibles de seguridad y control interno, con la finalidad de reducir o eliminar el riesgo identificado. Esto deber llevarse a cabo en lnea con el marco de referencia general de evaluacin de riesgos.
10
1.1 Definicin de Requerimientos de Informacin OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que los requerimientos del negocio ya satisfechos por el sistema actual y a ser satisfechos por el sistema nuevo propuesto o modificado (software, datos e infraestructura), estn claramente definidos antes de aprobar cualquier proyecto de desarrollo, implementacin o modificacin. La metodologa del ciclo de vida de desarrollo de sistemas deber exigir que los requerimientos de las soluciones funcionales y operacionales sean especificados, incluyendo desempeo, proteccin, confiabilidad, compatibilidad, seguridad y legislacin. 1.2 Formulacin de Acciones Alternativas OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe proveer el anlisis de las acciones alternativas que debern satisfacer los requerimientos del negocio, establecidos para un sistema nuevo o modificado. 1.3 Formulacin de Estrategias de Adquisicin OBJETIVO DE CONTROL La adquisicin, desarrollo y mantenimiento de sistemas de informacin debe ser considerada en el contexto de la tecnologa de informacin de la organizacin y en sus planes a largo y corto plazo. La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe estipular un plan de estrategia de adquisicin del software, definiendo si el software ser adquirido del anaquel10, desarrollados internamente, a travs de contratacin, por mejoramiento del software existente o mediante una combinacin de estos. 1.4 Requerimientos de Servicios de Terceros OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe estipular la evaluacin de requerimientos y las especificaciones para una RFP (Solicitud de Propuesta)11 cuando se negocie con un proveedor de servicios exterIT GOVERNANCE INSTITUTE
Del anaquel (off-the-shelf): se dice de productos de software terminados que pueden adquirirse directamente de un proveedor o distribuidor. 11 Solicitud de propuesta (request for proposal, RFP): invitacin que se extiende a proveedores para que presenten una propuesta.Trminos de referencia
64
1.9 Costo - efectivo de los controles de Seguridad OBJETIVO DE CONTROL La Gerencia deber asegurar que los costos y beneficios de seguridad sean examinados cuidadosamente en trminos monetarios y no monetarios, para garantizar que los costos de los controles no excedan a los beneficios. La decisin requerir la firma de aprobacin formal de la Gerencia. Todos los requerimientos de seguridad debern ser identificados en la fase de requerimientos de un proyecto y justificados, acordados y documentados como parte del caso total del negocio para un sistema de informacin. Los requerimientos de seguridad para la administracin de la continuidad del negocio deben ser definidos para asegurar que la activacin planeada, la recuperacin y la reactivacin de procesos son soportadas por la solucin propuesta. 1.10 Diseo de Pistas de Auditora OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que existan mecanismos adecuados para que las pistas de auditora estn disponibles o que dichos mecanismos puedan ser desarrollados para la solucin identificada y seleccionada. Los mecanismos debern proporcionar la capacidad de proteger datos sensitivos (ej. identificacin de usuarios -user IDs- contra divulgacin o mal uso) 1.11 Ergonoma OBJETIVO DE CONTROL La Gerencia deber asegurar que los proyectos de desarrollo, implementacin y cambios emprendidos por la funcin de TI, tomen en consideracin los aspectos ergonmicos asociados con la introduccin de soluciones automatizadas. 1.12 Seleccin del Software del Sistema OBJETIVO DE CONTROL La Gerencia deber asegurar que la funcin de servicios de informacin cumpla con un procedimiento estndar para identificar todos los programas de software potenciales que debern satisfacer sus requerimientos operacionales.
1.13 Control de Abastecimiento OBJETIVO DE CONTROL La Gerencia deber desarrollar e implementar un enfoque central de abastecimientos que describa un conjunto comn de procedimientos y estndares a ser seguidos en la adquisicin de hardware, software y servicios relacionados con la tecnologa de informacin. Los productos debern ser revisados y probados antes de su utilizacin y pago. 1.14 Adquisicin de Productos de Software OBJETIVO DE CONTROL La adquisicin de productos de software deber seguir las polticas de adquisicin de la organizacin. 1.15 Mantenimiento de Software de Terceras Partes OBJETIVO DE CONTROL La Gerencia deber asegurar que, para el software con licencia adquirido a terceras partes, los proveedores cuenten con los procedimientos apropiados para validar, proteger y mantener los derechos de integridad de los productos de software. Deber tomarse en consideracin el soporte del producto en cualquier acuerdo de mantenimiento relacionado con el producto entregado. 1.16 Contratos de Programacin de Aplicaciones OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que los servicios de programacin contratados estn justificados con una solicitud de servicios por escrito elaborada por un miembro designado de la funcin de servicios de informacin. El contrato deber estipular que el software, la documentacin y otros elementos entregables12 estn sujetos a pruebas y revisiones antes de ser aceptados. Adems, deber asegurar que los productos finales incluidos en el contrato de servicios de programacin sean revisados y probados de acuerdo con los estndares definidos por el grupo de aseguramiento de calidad de la funcin de servicios de informacin y otras partes interesa12
Entregable (deliverable): un producto formal que es entregado como parte final de un proceso o trabajo.
65
das (como usuarios, administradores de proyecto, etc.) antes de pagar por el trabajo y aprobar el producto final. Las pruebas que debern ser incluidas en las especificaciones del contrato debern consistir en pruebas del sistema, pruebas de integracin, pruebas de hardware y componentes, pruebas de procedimientos, pruebas de carga y estrs, pruebas de afinacin y desempeo, pruebas de regresin, pruebas de aceptacin del usuario y, finalmente, pruebas piloto del sistema total, con la finalidad de evitar fallas no esperadas del mismo. 1.17 Aceptacin de Instalaciones OBJETIVO DE CONTROL La Gerencia deber asegurar que, dentro del contrato con el proveedor, se acuerde un plan de aceptacin para las instalaciones que se proporcionarn, el cual defina los procedimientos y criterios de aceptacin. Adems, debern llevarse a cabo pruebas de aceptacin para garantizar que la instalacin y el medio ambiente cumplan con los requerimientos especificados en el contrato. 1.18 Aceptacin de Tecnologa OBJETIVO DE CONTROL La Gerencia deber asegurar que, dentro del contrato con el proveedor, se acuerde un plan de aceptacin para la tecnologa especfica a ser proporcionada, el cual defina los procedimientos y criterios de aceptacin. Adems, las pruebas de aceptacin establecidas en el plan, debern incluir inspeccin, pruebas de funcionalidad y seguimiento de cargas de trabajo.
66

AI2
ef
ec

Entrega & Soporte
Control sobre el proceso de TI de: adquisicin y mantenimiento del software de aplicacin que satisface los requerimientos de negocio de: proporcionar funciones automatizadas que soporten efectivamente los procesos del negocio se hace posible a travs de: la definicin de declaraciones especficas sobre requerimientos funcionales y operacionales y una implementacin estructurada con entregables claros y toma en consideracin:
Monitoreo
pruebas funcionales y de aceptacin controles de aplicacin y requerimientos de seguridad Requerimientos de documentacin Ciclo de vida del software de aplicacin Arquitectura en la informacin empresarial Metodologa para el ciclo de vida de desarrollo del sistema Interfase usuario-maquina Personalizacin de paquetes
67
2 ADQUISICIN Y MANTENIMIENTO DEL SOFTWARE DE APLICACIN
OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe estipular que se apliquen tcnicas y procedimientos apropiados, incluyendo una estrecha relacin con los usuarios del sistema, en la creacin de las especificaciones de diseo para cada nuevo proyecto de desarrollo de sistemas de informacin, verificando las especificaciones del diseo contra los requerimientos del usuario. 2.2 Cambios Significativos a Sistemas Actuales OBJETIVO DE CONTROL La Gerencia deber asegurar que, en caso de presentarse la necesidad de realizar modificaciones significativas a los sistemas actuales, se siga un proceso de desarrollo similar al utilizado en el desarrollo de sistemas nuevos. 2.3 Aprobacin del Diseo OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin requerir que las especificaciones de diseo para todos los proyectos de desarrollo y modificacin de sistemas de informacin, sean revisados y aprobados por la Gerencia, por los departamentos usuarios afectados y por la alta gerencia de la organizacin, cuando esto sea pertinente. 2.4 Definicin y Documentacin de Requerimientos de Archivos OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar la aplicacin de un procedimiento apropiado para la definicin y documentacin del formato de los archivos para cada proyecto de desarrollo y modificacin de sistemas de informacin. Este procedimiento deber garantizar el respeto a las reglas de diccionario de datos. 2.5 Especificaciones de Programas OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir la preparacin de especificaciones detalladas por escrito, de los programas para cada proyecto de desarrollo o modificacin de sistemas de informacin. Adems, la metodologa deber garantizar que las especificaciones de los programas correspondan a las especificaciones del diseo del sistema. 2.6 Diseo para la Recopilacin13 de Datos Fuente OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir la especificacin de mecanismos adecuados, para la recopilacin y entrada de datos para cada proyecto de desarrollo o modificacin de sistemas de informacin. 2.7 Definicin y Documentacin de Requerimientos de Entrada de Datos OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir que existan mecanismos adecuados para definir y documentar los requerimientos de entrada de datos para cada proyecto de desarrollo o modificacin de sistemas de informacin. 2.8 Definicin de Interfases OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe estipular que se especifiquen, diseen y documenten apropiadamente todas las interfases internas y externas.
2.1 Mtodos de Diseo
13
Recopilacin (collection): recabar o reunir informacin.
68
2.9 Interfase Usuario-Mquina OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar el desarrollo de una interfase entre el usuario y la mquina fcil de utilizar y que sea capaz de autodocumentarse (por medio de funciones de ayuda en lnea). 2.10 Definicin y Documentacin de Requerimientos de Procesamiento OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir que existan mecanismos adecuados para definir y documentar los requerimientos de procesamiento para cada proyecto de desarrollo o modificacin de sistemas de informacin. 2.11 Definicin y Documentacin de Requerimientos de Salida de Datos OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir que existan mecanismos adecuados para definir y documentar los requerimientos de salida de datos para cada proyecto de desarrollo o modificacin de sistemas de informacin 2.12 Controlabilidad OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir que se especifiquen mecanismos adecuados, para garantizar que se identifiquen los requerimientos de seguridad y control internos para cada proyecto de desarrollo o modificacin de sistemas de informacin. La metodologa deber asegurar adems que los sistemas de informacin estn diseados para incluir controles de aplicacin que garanticen que los datos de entrada y salida estn completos, sean precisos, oportunos y autorizados. Deber llevarse a cabo una evaluacin de sensibilidad durante el inicio del desarrollo o modificacin del sistema. Los aspectos bsicos de seguridad y control interno de un sistema a ser desarrollado o modificado debern ser evaluados junto con el diseo conceptual del mismo, con el fin de integrar los conceptos de seguridad en el diseo, tan pronto como sea posible. 2.13 Disponibilidad como Factor Clave de Diseo OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que la disponibilidad sea considerada en el proceso de diseo de nuevos o modificados sistemas de informacin en la fase ms temprana posible. La disponibilidad debe ser analizada y, en caso necesario, incrementada a travs de mejoras de mantenimiento y confiabilidad. 2.14 Consideraciones de Integridad de TI para el Software de Programas de Aplicacin OBJETIVO DE CONTROL La organizacin deber establecer procedimientos para asegurar, cuando esto aplique, que los programas de aplicacin contengan instrucciones que verifiquen rutinariamente las tareas realizadas por el software, para apoyar el aseguramiento de la integridad de los datos y el cual haga posible la restauracin de la integridad a travs de procedimientos de recuperacin en reversa14 u otros medios. 2.15 Pruebas de Software de Aplicacin OBJETIVO DE CONTROL Debern aplicarse pruebas unitarias, pruebas de aplicacin, pruebas de integracin y pruebas de carga y estrs, de acuerdo con el plan de prueba del proyecto y con los estndares de pruebas establecidos antes de ser aprobado por el usuario. Se debern aplicar adecuadas medidas de seguridad para prevenir divulgacin de informacin sensitiva durante las pruebas. 2.16 Materiales de Consulta y Soporte para Usuarios OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que se preparen manuales de referencia y soporte adecuados para los usuarios (preferiblemente en formato electrnico) como parte de cada proyecto de desarrollo o modificacin de sistemas de informacin
14
En reversa (rollback): estrategia de recuperacin de bases de datos que se utiliza para restaurar un estado previo de los datos
69
2.17 Reevaluacin del Diseo del Sistema OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que el diseo del sistema sea reevaluado siempre que ocurran discrepancias tcnicas y/o lgicas durante el desarrollo o mantenimiento del sistema.
70

AI3
ef
ec

Entrega & Soporte
Control sobre el proceso de TI de: adquisicin y mantenimiento de la infraestructura tecnolgica que satisface los requerimientos de negocio de: proporcionar las plataformas apropiadas para soportar las aplicaciones de negocios se hace posible a travs de: la juiciosa adquisicin de hardware y software, estandarizacin del software, anlisis del rendimiento del hardware y de software y la administracin consistente del sistema y toma en consideracin:
Monitoreo
Cumplimiento con las direcciones y estndares de la infraestructura tecnolgica evaluacin de tecnologa Instalacin, mantenimiento y control de cambios Actualizacin, conversin y planes de migracin Uso de infraestructuras y/o recursos internos y externos Responsabilidades y relaciones del proveedor Administracin de cambios Costo total de propiedad Seguridad del software del sistema

71
3 ADQUISICIN Y MANTENIMIENTO DE
INFRAESTRUCTURA TECNOLOGICA
3.5 Mantenimiento del Software del Sistema OBJETIVO DE CONTROL Debern implementarse procedimientos para asegurar que el software del sistema sea mantenido de acuerdo al marco de referencia de adquisicin y mantenimiento para infraestructura de tecnologa. 3.6 Controles para Cambios del Software del Sistema OBJETIVO DE CONTROL Debern implementarse procedimientos para asegurar que las modificaciones realizadas al software del sistema sean controladas de acuerdo con los procedimientos de administracin de cambios de la organizacin. 3.7 Uso y monitoreo de los utilitarios (utilities) del sistema OBJETIVO DE CONTROL Polticas y tcnicas deben ser implementadas para usar, monitorear y evaluar el uso de los utilitarios del sistema. Las responsabilidades por el uso de utilitarios de software sensitivo deben estar claramente definidas y entendidas por los desarrolladores y el uso de los utilitarios debe ser monitoreado y registrado.
3.1 Evaluacin de Nuevo Hardware y Software OBJETIVO DE CONTROL Criterios de seleccin de hardware y software debern basarse en especificaciones funcionales para el nuevo sistema o para el que se va a modificar y se deben identificar los requerimientos mandatorios y opcionales. Debern establecerse procedimientos para evaluar el impacto de nuevo hardware y software sobre el rendimiento del sistema en general. 3.2 Mantenimiento Preventivo para Hardware OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber agendar o programar el mantenimiento rutinario y peridico del hardware con el fin de reducir la frecuencia y el impacto de fallas de rendimiento. 3.3 Seguridad del Software del Sistema OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que la instalacin del software del sistema no arriesgue la seguridad de los datos y programas ya almacenados en el mismo. Deber prestarse gran atencin a la instalacin y mantenimiento de los parmetros del software del sistema. 3.4 Instalacin del Software del Sistema OBJETIVO DE CONTROL Debern implementarse procedimientos para asegurar que el software del sistema sea instalado de acuerdo al marco de referencia de adquisicin y mantenimiento de infraestructura de tecnologa. Las pruebas debern ser llevadas a cabo antes de autorizarse su utilizacin en ambiente de produccin. Un grupo independiente de usuarios y desarrolladores debe controlar el traslado de programas y datos entre las libreras.
72

AI4
ef
ec

Entrega & Soporte
Control sobre el proceso de TI de: Desarrollo y mantenimiento de Procedimientos que satisface los requerimientos de negocio de: asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas se hace posible a travs de: un enfoque estructurado del desarrollo de manuales de procedimientos para las operaciones y para los usuarios, requerimientos de servicio y material de entrenamiento y toma en consideracin:
Monitoreo
Rediseo de los procesos de negocios Tratamiento de procedimientos como cualquier otra tecnologa disponible Desarrollo a tiempo procedimientos y controles de usuarios procedimientos y controles operacionales materiales de entrenamiento Administracin de cambios

73
4 DESARROLLO Y MANTENIMIENTO DE
PROCEDIMIENTOS
4.1 Requerimientos Operacionales y Niveles de Servicios OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar la definicin oportuna de requerimientos operacionales y niveles de servicio. 4.2 Manual de Procedimientos para Usuario OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que se preparen y actualicen manuales adecuados de procedimientos para los usuarios como parte de cada proyecto de desarrollo o modificacin de sistemas de informacin. 4.3 Manual de Operaciones OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que se prepare y se mantenga actualizado un manual de operaciones adecuado como parte de cada proyecto de desarrollo o modificacin de sistemas de informacin. 4.4 Material de Entrenamiento OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que se desarrollen materiales de entrenamiento adecuados como parte de cualquier proyecto de desarrollo, implementacin o modificacin de sistemas de informacin. Estos materiales debern enfocarse al uso del sistema en la prctica diaria.
74

AI5
ef
ec

Entrega & Soporte
Control sobre el proceso de TI de: instalacin y acreditacin de sistemas que satisface los requerimientos de negocio de: verificar y confirmar que la solucin sea adecuada para el propsito deseado se hace posible a travs de: la realizacin de una migracin de instalacin, conversin y plan de aceptacin adecuadamente formalizados y toma en consideracin: Entrenamiento del usuario y personal de operaciones de TI Conversin de datos Una prueba ambiental reflejando al ambiente real Acreditacin revisiones post implementacin y retroalimentacin Participacin del usuario final en las pruebas Planes continuos de mejoramiento de calidad Requerimientos de continuidad del negocio Medicin de capacidad y desempeo a travs del sistema Acuerdos y criterios de aceptacin
Monitoreo

75
5 INSTALACIN Y ACREDITACIN DE SISTEMAS
5.5 Conversin de Datos OBJETIVO DE CONTROL La Gerencia debe requerir que el plan de conversin de datos este preparado, definiendo los mtodos de recoleccin y verificacin de los datos que sern convertidos e identificando y resolviendo cualquier error encontrado durante la conversin. Las pruebas a ser desarrolladas incluyen la comparacin, del archivo original, y el convertido, revisin de la compatibilidad de los datos transformados con el nuevo sistema, revisin de los archivos maestros despus de la conversin para asegurar la precisin de los datos de los archivo maestros y as asegurar que las transacciones realizadas actualicen tanto a los archivos maestros antiguos como los nuevos durante el periodo entre la conversin inicial y la implementacin final. Una verificacin detallada de los procesos iniciales del nuevo sistema deben ser desarrollados para confirmar una implementacin exitosa. La gerencia debe asegurar que la responsabilidad de la transformacin exitosa de datos recaiga sobre los propietarios del sistema. 5.6 Planes y estrategias de prueba OBJETIVO DE CONTROL Los planes y las estrategias de prueba deben estar preparadas y autorizadas por el propietario del sistema y por la gerencia de TI. 5.7 Pruebas a Cambios OBJETIVO DE CONTROL La Gerencia deber asegurar que los cambios sean probados por un grupo de prueba independiente (distinto al de los desarrolladores) de acuerdo con la evaluacin de impacto y recursos en un ambiente de prueba separado antes de comenzar su uso en el ambiente de operacin regular. Tambin debern desarrollarse planes de respaldo externo16. Las pruebas de aceptacin debern llevarse a cabo en un ambiente representativo del ambiente operacional futuro (por ejemplo, condiciones similares de seguridad, controles internos, cargas de trabajo, etc.)
5.1 Entrenamiento OBJETIVO DE CONTROL El personal de los departamentos usuarios afectados y el grupo de operaciones de la funcin de servicios de informacin debern estar entrenados de acuerdo al plan de entrenamiento definido y los materiales relacionados, como parte de cualquier proyecto de desarrollo, implementacin o modificacin de sistemas de informacin. 5.2 Dimensionamiento15 del Desempeo del Software de Aplicacin OBJETIVO DE CONTROL El dimensionamiento (optimizacin) del desempeo del software de aplicacin deber establecerse como una parte integral de la metodologa del ciclo de vida de desarrollo de sistemas de la organizacin para predecir los recursos requeridos para operar software nuevo o significativamente modificado. 5.3 Plan de implementacin OBJETIVO DE CONTROL Un plan de implementacin debe ser preparado, revisado y aprobado por partes relevantes y debe ser usado para medir el progreso. El plan de implementacin debe estar direccionado hacia la preparacin del sitio, adquisicin e instalacin de equipos, entrenamiento del usuario, instalacin de cambios al software operativo, implementacin de procedimientos operativos y conversin.. 5.4 Conversin del Sistema OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar, como parte de cada proyecto de desarrollo, implementacin o modificacin de sistemas de informacin, que los elementos necesarios del sistema anterior sean convertidos al sistema nuevo de acuerdo con el plan preestablecido.
Dimensionamiento (sizing): asignar la dimensin o tamaa adecuado. 16 Respaldo externo (back-out)

15
76
5.8 Criterios y Desempeo de Pruebas en Paralelo/Piloto OBJETIVO DE CONTROL Deben establecerse procedimientos para asegurar que las pruebas piloto o en paralelo sean llevadas a cabo de acuerdo con un plan preestablecido y que los criterios para la terminacin del proceso de pruebas sean especificados con anterioridad. 5.9 Prueba de Aceptacin Final OBJETIVO DE CONTROL Los procedimientos debern asegurar, como parte de las pruebas de aceptacin final o de aseguramiento de calidad de sistemas de informacin nuevos o modificados, una evaluacin y aprobacin formal de los resultados de las pruebas por parte de la Gerencia de los departamentos usuarios afectados y de TI. Las pruebas deben cubrir todos los componentes del sistema de informacin (software de aplicacin, instalaciones, tecnologa, procedimientos de usuarios). 5.10 Pruebas y Acreditacin de Seguridad OBJETIVO DE CONTROL La Gerencia deber definir e implementar procedimientos para asegurar que la Gerencia de operaciones y la Gerencia usuaria acepten formalmente los resultados de las pruebas y el nivel de seguridad para los sistemas, junto con el riesgo residual existente. Esos procedimientos deben reflejar los roles y responsabilidades acordados entre el usuario final, desarrollo de sistemas, administracin de red y del personal de operaciones del sistema, considerando los aspectos de segregacin de cuentas, supervisin y control. 5.11 Prueba Operacional OBJETIVO DE CONTROL La Gerencia deber asegurar que, antes de poner el sistema en operacin, el usuario o custodio designado (la parte designada para correr el sistema en nombre del usuario), valide su operacin como un producto completo, bajo condiciones similares a las del ambiente de aplicacin y de la misma manera en que el sistema ser operado en un ambiente de produccin.
5.12
Paso o promocin a Produccin OBJETIVO DE CONTROL La Gerencia deber definir e implementar procedimientos formales para controlar la entrega del sistema de desarrollo a pruebas y a operacin. La Gerencia debe solicitar que se obtenga la autorizacin del propietario del sistema antes que el nuevo sistema sea trasladado a produccin y antes que el sistema viejo sea descontinuado. El nuevo sistema ser sucesivamente operado durante los ciclos de produccin diaria, mensual y trimestral. Los ambientes respectivos debern separarse y protegerse apropiadamente.
5.13 Evaluacin del Cumplimiento de los Requerimientos del Usuario OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir que se realice una revisin post - implementacin de los requerimientos operacionales del sistema de informacin (por ejemplo, capacidad, desempeo de procesamiento a travs del sistema etc.) con el fin de evaluar si las necesidades del usuario estn siendo satisfechas por el sistema. 5.14 Revisin Gerencial Post - Implementacin OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir que una revisin post - implementacin del sistema de informacin operacional evale y reporte si el sistema proporcion los beneficios esperados de la manera ms econmica.
Entrega (handover): traspaso del sistema de un ambiente de pruebas al ambiente de produccin. 39 Desempeo de procesamiento (throughput) capacidad de procesamiento de datos de un sistema de informatin.
38
77

AI6
ef
ec

Entrega & Soporte
Control sobre el proceso de TI de: administracin de cambios que satisface los requerimientos de negocio de: minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores se hace posible a travs de: un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual y toma en consideracin:
Monitoreo
identificacin de cambios procedimientos de categorizacin, priorizacin y emergencia Anlisis de impacto autorizacin de cambios Administracin de la liberacin del cambio distribucin de software Uso de herramientas automatizadas Administracin de la configuracin Rediseo del proceso del negocio

78
6 ADMINISTRACIN DE CAMBIOS
OBJETIVO DE CONTROL La Gerencia deber asegurar que todas las solicitudes de cambios tanto internos como por parte de proveedores estn estandarizados y sujetos a procedimientos formales de administracin de cambios. Las solicitudes debern categorizarse y priorizarse y se deben establecer procedimientos especficos para manejar cambios urgentes. Los solicitantes de los cambios deben permanecer informados acerca del estatus de su solicitud. 6.2 Anlisis de Impacto OBJETIVO DE CONTROL Deber establecerse un procedimiento para asegurar que todas las solicitudes de cambio sean evaluadas en una forma estructurada que considere todos los posibles impactos que el cambio pueda ocasionar sobre el sistema operacional y su funcionalidad. 6.3 Control de Cambios OBJETIVO DE CONTROL La Gerencia de TI deber asegurar que la administracin de cambios, as como el control y la distribucin de software sean integrados apropiadamente en un sistema completo de administracin de configuracin. El sistema utilizado para monitorear los cambios a los sistemas de aplicacin debe ser automtico para soportar el registro y seguimiento de los cambios realizados a grandes y complejos sistemas de informacin. 6.4 Cambios de Emergencia OBJETIVO DE CONTROL La gerencia de TI debe establecer parmetros definiendo cambios de emergencia y procedimientos para controlar estos cambios cuando ellos traspasan los procesos normales de anlisis de prioridades de la gerencia para su implementacin. Los cambios de emergencia deben ser registrados y autorizados por la gerencia de TI antes de su implementacin.
17
6.5 Documentacin y Procedimientos OBJETIVO DE CONTROL El procedimiento de cambios deber asegurar que, siempre que se implementen modificaciones a un sistema, la documentacin y procedimientos relacionados sean actualizados de manera correspondiente. 6.6 Mantenimiento Autorizado OBJETIVO DE CONTROL La Gerencia de TI deber asegurar que el personal de mantenimiento tenga asignaciones especficas y que su trabajo sea monitoreado apropiadamente. Adems, sus derechos de acceso al sistema debern ser controlados para evitar riesgos de accesos no autorizados a los sistemas automatizados. 6.7 Poltica de Liberacin de Software OBJETIVO DE CONTROL La Gerencia de TI deber garantizar que la liberacin de software est regida por procedimientos formales asegurando aprobacin, empaque17, pruebas de regresin, entrega, etc. 6.8 Distribucin de Software OBJETIVO DE CONTROL Debern establecerse medidas de control especficas para asegurar la distribucin del elemento de software correcto al lugar correcto, con integridad y de manera oportuna y con adecuadas pistas de auditora.
6.1 Inicio y Control de Solicitudes de Cambio
Empaque (packaging) programas, reglas y documentacin asociada a un sistema o producto de software
79
(DS)
80

DS1
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: Definicin y administracin de niveles de servicio que satisface los requerimientos de negocio de: establecer un entendimiento comn del nivel de servicio requerido se hace posible a travs de: el establecimiento de acuerdos de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio y toma en consideracin: Acuerdos o convenios formales definicin de responsabilidades tiempos y volmenes de respuesta cargos garantas de integridad Acuerdos de confidencialidad Criterio de satisfaccin del cliente Anlisis costo-beneficio de los niveles de servicio requerido Monitoreo y reporte
Monitoreo

81
1 DEFINICIN Y ADMINISTRACIN DE NIVELES DE SERVICIO
relaciones que rigen el desempeo (por ejemplo, acuerdos de confidencialidad) entre todas las partes involucradas sean establecidas, coordinadas, mantenidas y comunicadas a todos los departamentos afectados. 1.4 Monitoreo y Reporte OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber designar a un Gerente de nivel de servicio que sea responsable de monitorear y reportar los alcances de los criterios de desempeo del servicio especificado y todos los problemas encontrados durante el procesamiento. Las estadsticas de monitoreo debern ser analizadas oportunamente. Debern tomarse acciones correctivas apropiadas e investigarse las fallas. 1.5 Revisin de Acuerdos y Contratos de Nivel de Servicio OBJETIVO DE CONTROL La Gerencia deber implementar un proceso de revisin regular de los convenios de nivel de servicio y de los contratos de proveedores de servicios como terceras partes. 1.6 Elementos sujetos a Cargo OBJETIVO DE CONTROL Debern incluirse provisiones para elementos sujetos a cargo en los acuerdos de niveles de servicio para hacer posible las comparaciones y decisiones de niveles de servicio contra su costo. 1.7 Programa de Mejoramiento del Servicio OBJETIVO DE CONTROL La Gerencia deber implementar un proceso para asegurar que los usuarios y los Gerentes de nivel de servicio concuerden regularmente en un programa de mejoramiento del servicio con el fin de dar seguimiento a mejoras al nivel de servicio cuyo costo est justificado.
1.1 Marco de Referencia para el Acuerdo de Niveles de Servicio OBJETIVO DE CONTROL La alta gerencia deber establecer un marco de referencia en donde presente la definicin de acuerdos de niveles de servicio formales y determine el contenido mnimo: disponibilidad, confiabilidad, desempeo, capacidad de crecimiento, niveles de soporte proporcionados al usuario, plan de contingencia/Recuperacin, nivel mnimo aceptable de funcionalidad del sistema satisfactoriamente liberado, restricciones (lmites en la cantidad de trabajo), cargos por servicio, instalaciones de impresin central (disponibilidad), distribucin de impresin central y procedimientos de cambio. Los usuarios y la funcin de servicios de informacin debern contar con un convenio escrito que describa el nivel de servicio en trminos cualitativos y cuantitativos. El convenio definir las responsabilidades de ambas partes. La funcin de servicios de informacin deber prestar la calidad y la cantidad de servicios ofrecida y los usuarios debern ajustar los servicios solicitados a los lmites acordados. 1.2 Aspectos sobre los Acuerdos de Nivel de Servicio OBJETIVO DE CONTROL Deber lograrse un acuerdo explcito sobre los aspectos que el convenio de nivel de servicios deber tener. El convenio de nivel de servicio deber cubrir por lo menos los siguientes aspectos: disponibilidad, confiabilidad, desempeo, capacidad de crecimiento, niveles de soporte proporcionados a los usuarios, plan de contingencia/ Recuperacin, nivel mnimo aceptable de funcionalidad del sistema satisfactoriamente liberado, restricciones (lmites en la cantidad de trabajo), cargos por servicio, instalaciones de impresin central (disponibilidad), distribucin de impresin central y procedimientos de cambios 1.3 Procedimientos de Desempeo OBJETIVO DE CONTROL Debern definirse procedimientos que aseguren que la forma y las responsabilidades sobre las
82

DS2
ti v ef ida c o ic ie d nf id nc ia en in c ia te li di gr i dad s p da o d c u nibi m lid p a c o lim d n f ien ia b i to lid ad
ef ec
S Entrega & Soporte
Control sobre el proceso de TI de: administracin de servicios prestados por terceros que satisface los requerimientos de negocio de: asegurar que los roles y responsabilidades de las terceras partes estn claramente definidas y que cumplan y continen satisfaciendo los requerimientos se hace posible a travs de: medidas de control dirigidas a la revisin y monitoreo de acuerdos/contratos y procedimientos existentes, en cuanto a su efectividad y cumplimiento, con respecto a las polticas de la organizacin y toma en consideracin:

Monitoreo
Acuerdos de servicio con terceras partes Administracin de contrato Acuerdos de confidencialidad Requerimientos legales y regulatorios Monitoreo y reporte de la entrega de servicio Anlisis de riesgos de la empresa y de TI Ejecucin de recompensas y sanciones Contabilidad organizacional interna y externa Anlisis de costos y variaciones en los niveles de servicio

83
2 ADMINISTRACIN DE SERVICIOS PRESTADOS POR TERCEROS
OBJETIVO DE CONTROL La Gerencia deber asegurar que todos los servicios prestados por terceros sean propiamente identificados y que las interfaces tcnicas y organizacionales con los proveedores sean documentadas. 2.2 Relaciones con los Propietarios (usuarios dueos) OBJETIVO DE CONTROL La Gerencia de la organizacin del cliente deber establecer relaciones con un dueo que sea responsable de asegurar la calidad de las relaciones con terceros. 2.3 Contratos con Terceros OBJETIVO DE CONTROL La gerencia debe definir procedimientos especficos para asegurar que un contrato formal sea definido y acordado para cada relacin de servicio con un proveedor antes que el trabajo comience. 2.4 Calificacin de Terceros OBJETIVO DE CONTROL La gerencia debe asegurar en forma previa a su seleccin, que los terceros potenciales cuentan con las calificaciones adecuadas a travs de una evaluacin de su capacidad para proporcionar los servicios requeridos (due diligence). 2.5 Contratos de Outsourcing OBJETIVO DE CONTROL Debern definirse procedimientos organizacionales especficos para asegurar que el contrato entre la organizacin y el proveedor de la administracin de instalaciones est basado en niveles de procesamiento requeridos, seguridad, monitoreo y requerimientos de contingencia, as como en otras estipulaciones segn sea apropiado.
2.6 Continuidad de Servicios OBJETIVO DE CONTROL Con respecto al aseguramiento de la continuidad de los servicios, la gerencia deber considerar el riesgo de negocios relacionado con la participacin de terceros en trminos de incertidumbre legal y con el concepto de inters sobre la continuidad18 y negociar contratos de depsito19 en garanta donde sea apropiado 2.7 Relaciones con la Seguridad OBJETIVO DE CONTROL Con respecto a las relaciones con los proveedores de servicios como terceras partes, la Gerencia deber asegurar que los acuerdos de seguridad (por ejemplo, los acuerdos de confidencialidad) sean identificados, declarados explcitamente y acordados, que stos concuerden con los estndares de negocios universales y estn en lnea con los requerimientos legales y regulatorios, incluyendo obligaciones. 2.8 Monitoreo OBJETIVO DE CONTROL La Gerencia deber establecer un proceso continuo de monitoreo sobre la prestacin de servicio de terceros, con el fin de asegurar el cumplimiento de los acuerdos del contrato.
2.1 Interfases con Proveedores
18
Concepto de inters sobre la continuidad (going concern concept) 19 Contrato en depsito (scrow contract) contratos que se celebran para garantizar la continuidad del servicio aun cuando el proveedor no pueda proporcionarlo.
84

DS3
ef
Entrega & Soporte
Control sobre el proceso de TI de: administracin de desempeo y capacidad que satisface los requerimientos de negocio de: asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado se hace posible a travs de: Recoleccin de datos, anlisis y reporte del rendimiento de los recursos, aplicacin de mediciones y demanda de cargas de trabajo y toma en consideracin:
Monitoreo
requerimientos de disponibilidad y desempeo monitoreo y reporte automatizado herramientas de modelado administracin de capacidad disponibilidad de recursos Cambios en precio-rendimiento del hardware y software

85
3 ADMINISTRACIN DE DESEMPEO Y CAPACIDAD
de que stos afecten el desempeo del sistema. Debern llevarse a cabo anlisis de las fallas e irregularidades del sistema en cuanto a frecuencia, grado del impacto y magnitud del dao. 3.6 Pronstico de Carga de Trabajo OBJETIVO DE CONTROL Debern establecerse controles para asegurar que se preparen pronsticos de carga de trabajo con el fin de identificar tendencias y proporcionar la informacin necesaria para el plan de capacidad20. 3.7 Administracin de Capacidad de Recursos OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber establecer un proceso de planeacin para la revisin del desempeo y capacidad del hardware con el fin de asegurar que siempre exista una capacidad justificable econmicamente para procesar las cargas de trabajo acordadas y para proporcionar la cantidad y calidad de desempeo requeridas, prescritas en los acuerdos de nivel de servicio. El plan de capacidad deber cubrir escenarios mltiples. 3.8 Disponibilidad de Recursos OBJETIVO DE CONTROL Cuando se identifiquen como recursos de alta disponibilidad, la gerencia deber prevenir que estos recursos no estn disponibles, mediante la implementacin de mecanismos de tolerancia de fallas, mecanismos de asignacin equitativa de recursos y la definicin de prioridades de tareas. 3.9 Programacin21 de Recursos OBJETIVO DE CONTROL La Gerencia deber asegurar la adquisicin oportuna de la capacidad requerida, tomando en cuenta aspectos como resistencia, contingencia, cargas de trabajo y planes de almacenamiento.
3.1 Requerimientos de Disponibilidad y Desempeo OBJETIVO DE CONTROL El proceso de administracin deber asegurar que las necesidades del negocio con respecto a disponibilidad y desempeo de los servicios de informacin sean identificados y convertidas en requerimientos y trminos de disponibilidad. 3.2 Plan de Disponibilidad OBJETIVO DE CONTROL La Gerencia deber asegurar el establecimiento de un plan de disponibilidad para alcanzar, monitorear y controlar la disponibilidad de los servicios de informacin. 3.3 Monitoreo y Reporte OBJETIVO DE CONTROL La Gerencia deber implementar un proceso que asegure que el desempeo de los recursos de tecnologa de informacin sea continuamente monitoreado y que las excepciones sean reportadas de manera oportuna y completa. 3.4 Herramientas de Modelado OBJETIVO DE CONTROL La gerencia deber asegurar que se utilicen las herramientas de modelado apropiadas para producir un modelo del sistema actual, calibrado y ajustado segn la carga de trabajo real y que sea preciso dentro de los niveles de carga recomendados. Las herramientas de modelado debern utilizarse para apoyar el pronstico de los requerimientos de capacidad, confiabilidad de la configuracin, desempeo y disponibilidad. Debern llevarse a cabo investigaciones tcnicas profundas sobre el hardware de los sistemas y debern incluirse pronsticos acerca de futuras tecnologas. 3.5 Manejo Proactivo del Desempeo OBJETIVO DE CONTROL El proceso de administracin del desempeo deber incluir la capacidad de pronstico para permitir que los problemas sean solucionados antes
Planeacin de la capacidad (capacity planning) 21 Schedule (programacin )

20
86

DS4
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: asegurar el servicio continuo que satisface los requerimientos de negocio de: Asegurar que los servicios de TI estn disponibles cuando se requieran y asegurar el impacto mnimo en el negocio en el evento que se presente una interrupcin mayor se hace posible a travs de: tener un plan de continuidad de TI probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio y toma en consideracin:
Monitoreo
clasificacin de criticidad (severidad) Procedimientos alternativos respaldo y recuperacin pruebas y entrenamiento sistemticos y regulares Monitoreo y procesos de escalamiento Responsabilidades organizacionales internas y externas Activacin de la continuidad del negocio, vuelta atrs (fallback) y plan de reactivacin Actividades de administracin de riesgos Anlisis de puntos nicos de falla Administracin de problemas

87
4 ASEGURAR EL SERVICIO CONTINUO 4.1 Marco de Referencia de Continuidad de Tecnologa de informacin
OBJETIVO DE CONTROL La Gerencia de TI, en cooperacin con los propietarios de los procesos del negocio, deber crear un marco de referencia de continuidad que defina los roles, responsabilidades, el enfoque/ metodologa basada en riesgo a seguir y las reglas y la estructura para documentar el plan de continuidad, as como los procedimientos de aprobacin. 4.2 Estrategia y Filosofa del Plan de Continuidad de TI OBJETIVO DE CONTROL La Gerencia deber garantizar que el Plan de continuidad de tecnologa de informacin se encuentra en lnea con el plan general de continuidad de la empresa para asegurar consistencia. An ms, el plan de continuidad de TI debe tomar en consideracin el plan a mediano y largo plazo de tecnologa de informacin, con el fin de asegurar consistencia. 4.3 Contenido del Plan de Continuidad de TI OBJETIVO DE CONTROL La Gerencia de TI deber asegurar que se desarrolle un plan escrito conteniendo lo siguiente:

Informacin crtica sobre grupos de continuidad, personal afectado, clientes, proveedores, autoridades pblicas y medios de comunicacin.
4.4 Reduccin de requerimientos de Continuidad de Tecnologa de Informacin. OBJETIVO DE CONTROL La Gerencia de servicios de informacin deber establecer procedimientos y guas para minimizar los requerimientos de continuidad con respecto a personal, instalaciones, hardware, software, equipo, formatos, consumibles y mobiliario. 4.5 Mantenimiento del Plan de Continuidad de Tecnologa de Informacin OBJETIVO DE CONTROL La Gerencia de TI deber proveer procedimientos de control de cambios para asegurar que el plan de continuidad se mantiene actualizado y refleja requerimientos de negocio actuales. Esto requiere de procedimientos de mantenimiento del plan de continuidad alineados con el cambio, la administracin y los procedimientos de recursos humanos. 4.6 Pruebas del Plan de Continuidad de TI OBJETIVO DE CONTROL Para contar con un Plan efectivo de Continuidad, la gerencia necesita evaluar su adecuacin de manera regular o cuando se presenten cambios mayores en el negocio o en la infraestructura de TI; esto requiere una preparacin cuidadosa, documentacin, reporte de los resultados de las pruebas e implementar un plan de accin de acuerdo con los resultados. 4.7 Entrenamiento sobre el Plan de Continuidad de Tecnologa de Informacin OBJETIVO DE CONTROL La metodologa de Continuidad ante desastres deber asegurar que todas las partes interesadas reciban sesiones de entrenamiento regulares con respecto a los procedimientos a ser seguidos en caso de un incidente o un desastre.
Guas sobre la utilizacin del Plan de Continuidad; Procedimientos de emergencia para asegurar la integridad de todo el personal afectado; Procedimientos de respuesta definidos para regresar al negocio al estado en que se encontraba antes del incidente o desastre; Procedimientos para salvaguardar y reconstruir las instalaciones; Procedimientos de coordinacin con las autoridades pblicas; Procedimientos de comunicacin con los socios y dems interesados: empleados, clientes clave, proveedores crticos, accionistas y gerencia; y
88
4.8 Distribucin del Plan de Continuidad de TI OBJETIVO DE CONTROL Debido a la naturaleza sensitiva de la informacin del plan de continuidad, dicha informacin deber ser distribuida solo a personal autorizado y mantenerse bajo adecuadas medidas de seguridad para evitar su divulgacin. Consecuentemente, algunas secciones del plan debern ser distribuidas solo a las personas cuyas actividades hagan necesario conocer dicha informacin. 4.9 Procedimientos de respaldo de procesamiento alternativo para Departamentos usuarios OBJETIVO DE CONTROL La metodologa de continuidad deber asegurar que los departamentos usuarios establezcan procedimientos alternativos de procesamiento, que puedan ser utilizados hasta que la funcin de servicios de informacin sea capaz de restaurar completamente sus servicios despus de un evento o un desastre. 4.10 Recursos Crticos de Tecnologa de Informacin OBJETIVO DE CONTROL El plan de continuidad deber identificar los programas de aplicacin, servicios de terceros, sistemas operativos, personal, insumos, archivos de datos que resultan crticos as como los tiempos necesarios para la recuperacin despus de que se presenta un desastre. Los datos y las operaciones crticas deben ser identificadas, documentadas, priorizadas y aprobadas por los dueos de los procesos del negocio en cooperacin con la Gerencia de TI. 4.11 Sitio22 y Hardware de Respaldo OBJETIVO DE CONTROL La Gerencia deber asegurar que la metodologa de continuidad incorpora la identificacin de alternativas relativas al sitio y al hardware de respaldo, as como una seleccin alternativa final. En caso de aplicar, deber establecerse un contrato formal para este tipo de servicios.
22 23 24
4.12 Almacenamiento de respaldo en el sitio alterno (Off-site) OBJETIVO DE CONTROL El almacenamiento externo de copias de respaldo, documentacin y otros recursos tecnolgicos de informacin, catalogados como crticos, debe ser establecido para soportar el plan de recuperacin y continuidad del negocio. Los propietarios de los procesos del negocio y el personal de la funcin de TI deben involucrarse en determinar que recursos de respaldo deben ser almacenados en el sitio alterno23. La instalacin de almacenamiento externo debe contar con medidas ambientales para los medios y otros recursos almacenados; y debe tener un nivel de seguridad suficiente, que permita proteger los recursos de respaldo contra accesos no autorizados, robo o dao. La Gerencia de TI debe asegurar que los acuerdos/ contratos del sitio alterno son peridicamente analizados, al menos una vez al ao, para garantizar que ofrezca seguridad y proteccin ambiental. 4.13 Procedimiento de afinamiento24 del Plan de Continuidad OBJETIVO DE CONTROL Dada una exitosa reanudacin de la funcin de TI despus de un desastre, la gerencia de servicios de informacin deber establecer procedimientos para evaluar lo adecuado del plan y actualizarlo de acuerdo con los resultados de dicha evaluacin.
Sitio de Respaldo (Back-up Site) Sitio Alterno (Off-Site) Afinamiento (Wrap-up)
89

DS5
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: garantizar la seguridad de los sistemas que satisface los requerimientos de negocio de: salvaguardar la informacin contra uso no autorizado, divulgacin o revelacin, modificacin, dao o prdida se hace posible a travs de: controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados y toma en consideracin:
Monitoreo
Requerimientos de privacidad y confidencialidad Autorizacin, autenticacin y control de acceso identificacin de usuarios y perfiles de autorizacin Necesidad de saber y necesidad de tener (need-to-know and need-to-have) administracin de llaves criptogrficas manejo, reporte y seguimiento de incidentes Prevencin y deteccin de virus Firewalls Administracin centralizada de seguridad Entrenamiento a los usuarios Herramientas para monitoreo del cumplimiento, pruebas de intrusin y reportes

90
5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
duales demostradas de visualizar, agregar, modificar o eliminar datos. 5.4 Administracin de Cuentas de Usuario OBJETIVO DE CONTROL La Gerencia deber establecer procedimientos para asegurar acciones oportunas relacionadas con la solicitud, establecimiento, emisin, suspensin y cierre de cuentas de usuario. Deber incluirse un procedimiento de aprobacin formal que indique el propietario de los datos o del sistema que otorga los privilegios de acceso. La seguridad de acceso a terceros debe definirse contractualmente teniendo en cuenta requerimientos de administracin y no revelacin. Los acuerdos de outsourcing deben considerar los riesgos, los controles sobre seguridad y los procedimientos para los sistemas de informacin y las redes en el contrato que se establece entre las partes. 5.5 Revisin Gerencial de Cuentas de Usuario OBJETIVO DE CONTROL La Gerencia deber contar con un proceso de control establecido para revisar y confirmar peridicamente los derechos de acceso. Se debe llevar a cabo la comparacin peridica entre los recursos y los registros de las cuentas para reducir el riesgo de errores, fraudes, alteracin no autorizada o accidental. 5.6 Control de Usuarios sobre Cuentas de Usuario OBJETIVO DE CONTROL Los usuarios debern controlar en forma sistemtica la actividad de su(s) propia(s) cuenta(s). Tambin se debern establecer mecanismos de informacin para permitirles supervisar la actividad normal, as como alertarlos oportunamente sobre actividades inusuales. 5.7 Vigilancia de Seguridad OBJETIVO DE CONTROL La administracin de seguridad de TI debe asegurar que la actividad de seguridad sea registrada y que cualquier indicacin sobre una inminente violacin de seguridad sea notificada inmediatamente a todos aquellos que puedan verse afecta25
5.1 Administrar Medidas de Seguridad OBJETIVO DE CONTROL La seguridad en TI deber ser administrada de tal forma que las medidas de seguridad se encuentren en lnea con los requerimientos de negocio. Esto incluye:
Trasladar informacin sobre evaluacin de riesgos a los planes de seguridad de TI; Implementar el plan de seguridad de TI; Actualizar el plan de seguridad de TI para reflejar cambios en la configuracin de TI; Evaluar el impacto de las solicitudes de cambio en la seguridad de TI; Monitorear la implementacin del plan de seguridad de TI; y Alinear los procedimientos de seguridad de TI a otras polticas y procedimientos

5.2 Identificacin, Autenticacin y Acceso OBJETIVO DE CONTROL El acceso lgico y el uso de los recursos de TI deber restringirse a travs de la implementacin de mecanismos adecuados de identificacin, autenticacin y autorizacin relacionando los usuarios y los recursos con las reglas de acceso. Dicho mecanismo deber evitar que personal no autorizado, conexiones telefnicas por marcado25 y otros puertos de entrada al sistema (redes) tengan acceso a los recursos de cmputo, de igual forma deber minimizar la necesidad de autorizar usuarios para usar mltiples sign-ons. Asimismo debern establecerse procedimientos para conservar la efectividad de los mecanismos de autenticacin y acceso (por ejemplo, cambios peridicos de contraseas o passwords). 5.3 Seguridad de Acceso a Datos en Lnea OBJETIVO DE CONTROL En un ambiente de tecnologa de informacin en lnea, la Gerencia de TI deber implementar procedimientos acordes con la poltica de seguridad que garantiza el control de la seguridad de acceso, tomando como base las necesidades indivi-
Marcado por lnea telefnica (dial up)
91
dos, tanto interna como externamente y se debe actuar de una manera oportuna. 5.8 Clasificacin de Datos OBJETIVO DE CONTROL La Gerencia deber implementar procedimientos para asegurar que todos los datos son clasificados en trminos de sensitividad, mediante una decisin explcita y formal del dueo de los datos de acuerdo con el esquema de clasificacin de datos. An los datos que no requeren proteccin debern contar con una decisin formal que les asigne dicha clasificacin. Los dueos deben determinar la ubicacin o disposicin de sus datos y determinar quienes pueden compartir los datos aun si y cuando los programas y archivos sean mantenidos, archivados o borrados. Debe quedar evidencia de la aprobacin del dueo y de la disposicin del dato. Se deben definir polticas para soportar la reclasificacin de la informacin, basados sobre cambios en la sensitividad. El esquema de clasificacin debe incluir criterios para administrar el intercambio de informacin entre organizaciones, teniendo en cuenta tanto la seguridad y el cumplimiento como la legislacin relevante. 5.9 Administracin de Derechos de Acceso e Identificacin Centralizada OBJETIVO DE CONTROL Deben existir controles para asegurar que la identificacin y los derechos de acceso de los usuarios, as como la identidad del sistema y la propiedad de los datos, son establecidos y administrados de forma nica y centralizada, para obtener consistencia y eficiencia de un control de acceso global. 5.10 Reportes de Violacin y de Actividades de Seguridad OBJETIVO DE CONTROL La administracin de la funcin de servicios de informacin deber asegurar que las violaciones y la actividad de seguridad sean registradas, reportadas, revisadas y escaladas apropiadamente en forma regular para identificar y resolver incidentes que involucren actividades no autorizadas. El acceso lgico a la informacin sobre el
26 27
registro26 de recursos de cmputo (seguridad y otros logs) deber otorgarse tomando como base el principio de menor privilegio o necesidad de saber. 5.11 Manejo de Incidentes OBJETIVO DE CONTROL La Gerencia deber implementar la capacidad de manejar incidentes de seguridad computacional, dar atencin a dichos incidentes mediante el establecimiento de una plataforma centralizada con suficiente experiencia y equipada con instalaciones de comunicacin rpidas y seguras. Debern establecerse las responsabilidades y los procedimientos de manejo de incidentes para asegurar una respuesta apropiada, efectiva y oportuna a los incidentes de seguridad. 5.12 Reacreditacin OBJETIVO DE CONTROL La Gerencia deber asegurar que se lleve a cabo peridicamente una reacreditacin de seguridad (por ejemplo, a travs de equipos de personal tcnico tigre27) con el fin de mantener actualizado el nivel de seguridad aprobado formalmente y la aceptacin del riesgo residual. 5.13 Confianza en Contrapartes OBJETIVO DE CONTROL Las polticas organizacionales debern asegurar que se implementen prcticas de control para verificar la autenticidad de las contrapartes que proporcionan instrucciones o transacciones electrnicas. Esto puede lograrse mediante el intercambio confiable de passwords, tokens o llaves criptogrficas.
Registro (accountability) Equipo tigre (Tiger team): es un grupo de personal tcnico al cual se le asignan trabajos de verificacin de seguridad en una instalacin. Estos trabajos consisten tipicamente en actuar en forma incgnita y tratar de violar las medidas de seguridad establecidas para probar la efectividad de las mismas e identificar las reas vulnerables que requieren atencin.
92
5.14 Autorizacin de transacciones OBJETIVO DE CONTROL Las polticas organizacionales debern asegurar que, en donde sea apropiado, se implementen controles para proporcionar autenticidad a las transacciones y establecer la validez de la identificacin solicitada por el usuario ante el sistema. Esto requiere el empleo de tcnicas criptogrficas para firmar y verificar transacciones. 5.15 No negacin o no rechazo OBJETIVO DE CONTROL Las polticas organizacionales debern asegurar que, en donde sea apropiado, las transacciones no puedan ser negadas por ninguna de las partes participantes en la operacin y que se implementen controles para que no se pueda negar el origen o destino de la transaccin y que se pueda probar que se envi y recibi la transaccin. Esto puede lograrse a travs de firmas digitales, registro de tiempos y terceros confiables, y adicionalmente con polticas apropiadas que tengan en cuenta los requerimientos regulatorios relevantes. 5.16 Sendero Seguro OBJETIVO DE CONTROL Las polticas organizacionales debern asegurar que la informacin de transacciones sensitivas es enviada y recibida exclusivamente a travs de canales o senderos seguros (trusted paths). La informacin sensitiva incluye: informacin sobre administracin de seguridad, datos de transacciones sensitivas, passwords y llaves criptogrficas. Para lograr esto, se pueden establecer canales confiables utilizando encripcin entre usuarios, entre usuarios y sistemas y entre sistemas. 5.17 Proteccin de las funciones de seguridad OBJETIVO DE CONTROL Todo el hardware y software relacionado con seguridad debe encontrarse permanentemente protegido contra intromisiones para proteger su integridad y contra divulgacin de sus claves secretas. Adicionalmente, la organizacin deber mantener discrecin sobre el diseo de su seguridad, pero no basar la seguridad en mantener el diseo como secreto. 5.18 Administracin de Llaves Criptogrficas OBJETIVO DE CONTROL La Gerencia deber definir e implementar procedimientos y protocolos a ser utilizados en la generacin, cambio, revocacin, destruccin, distribucin, certificacin, almacenamiento, entrada, utilizacin y archivo de llaves criptogrficas con el fin de asegurar la proteccin de las mismas contra modificaciones y divulgacin no autorizada. Si una llave se encuentra comprometida (en riesgo), la gerencia deber asegurarse de que esta informacin se hace llegar a todas las partes interesadas a travs de una lista de revocacin de certificados o mecanismos similares. 5.19 Prevencin, Deteccin y Correccin de Software Malicioso OBJETIVO DE CONTROL Con respecto al software malicioso, tal como los virus computacionales o Caballos de Troya, la Gerencia deber establecer un marco de referencia de adecuadas medidas de control preventivas, detectivas y correctivas y responder y reportar su presencia. Las Gerencias de TI y de negocios deben asegurar que se establezcan procedimientos a travs de toda la organizacin para proteger los sistemas de informacin contra virus computacionales. Los procedimientos deben incorporar proteccin contra virus, deteccin, respuesta ante su presencia y reporte. 5.20 Arquitectura de Firewalls y conexin a redes pblicas OBJETIVO DE CONTROL La organizacin deber contar con Firewall adecuados para proteger contra negacin de servicios y cualquier acceso no autorizado a los recursos internos si existe conexin con Internet u otras redes pblicas; se deber controlar en ambos sentidos cualquier aplicacin y el flujo de administracin de infraestructura y se deber proteger contra ataques de negacin del servicio.
93
5.21 Proteccin de Valores Electrnicos OBJETIVO DE CONTROL La Gerencia debe proteger la integridad continuada de todas las tarjetas o mecanismos de seguridad fsica similares, utilizadas para autenticacin o almacenamiento de informacin financiera o sensitiva tomando en consideracin las instalaciones o equipos relacionados, los dispositivos, los empleados y los mtodos de validacin utilizados.
94

DS6
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: identificacin y asignacin de costos que satisface los requerimientos de negocio de: asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI se hace posible a travs de: un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos y al apropiado servicio ofrecido y toma en consideracin:
Monitoreo
Recursos identificables y medibles Procedimientos y polticas de cargo Tarifas de cargo y procesos de reversin de cargos. Conexin a acuerdo de niveles de servicio Reporte automatizado Verificacin de comprensin de beneficios Benchmarking externo

95
6 IDENTIFICACIN Y ASIGNACIN DE COSTOS
6.1 Elementos Sujetos a Cargo o Cobro por su Uso OBJETIVO DE CONTROL La Gerencia de TI, en coordinacin con la alta Gerencia, deber asegurar que los elementos sujetos a cargo sean identificables, medibles y predecibles para los usuarios. Los usuarios debern ser capaces de controlar el uso de los servicios de informacin y de los niveles de facturacin asociados. 6.2 Procedimientos de Costeo OBJETIVO DE CONTROL La Gerencia de TI deber definir e implementar procedimientos de costeo para proporcionar informacin gerencial acerca del costo de prestar servicios de informacin, asegurando al mismo tiempo la economa. Las variaciones entre los costos pronosticados y los reales debern ser analizadas adecuadamente y reportados, con el fin de facilitar el monitoreo de los mismos. Adems, la alta gerencia deber evaluar peridicamente los resultados de los procedimientos de contabilidad de costos de la funcin de servicios de informacin, a la luz de los otros sistemas de medicin financiera de la organizacin. 6.3 Procedimientos de Reversin de Cargos y Facturacin a Usuarios OBJETIVO DE CONTROL La Gerencia de TI deber definir y utilizar procedimientos de reversin de cargos y facturacin. Esta deber mantener procedimientos de reversin de cargos y facturacin que fomenten el uso apropiado de los recursos de cmputo y aseguren el trato justo de los departamentos usuarios y de sus necesidades. El monto cargado deber reflejar los costos asociados con los servicios prestados.
96

DS7
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: educacin y entrenamiento de usuarios que satisface los requerimientos de negocio de: asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y sean conscientes de los riesgos y responsabilidades involucrados se hace posible a travs de: un plan completo de entrenamiento y desarrollo y toma en consideracin: Plan de entrenamiento Inventario de habilidades Campaas de concientizacin Tcnicas de concientizacin Uso de nuevas tecnologas y mtodos de entrenamiento Productividad del personal Desarrollo de una base de conocimientos
Monitoreo

97
7 EDUCACIN Y ENTRENAMIENTO DE USUARIOS
7.1 Identificacin de Necesidades de Entrenamiento OBJETIVO DE CONTROL En lnea con el plan a largo plazo, la Gerencia deber establecer y mantener procedimientos para identificar y documentar las necesidades de entrenamiento de todo el personal que haga uso de los servicios de informacin. Deber establecerse un plan de entrenamiento para cada grupo de empleados. 7.2 Organizacin del Entrenamiento OBJETIVO DE CONTROL Tomando como base las necesidades identificadas, la Gerencia deber definir los grupos objetivo, identificando y asignando entrenadores y organizando oportunamente las sesiones de entrenamiento. Asimismo, debern investigarse las alternativas de entrenamiento (Localidad interna o externa, entrenadores internos o externos, etc.). 7.3 Entrenamiento sobre Principios y Conciencia de Seguridad OBJETIVO DE CONTROL Todo el personal deber estar capacitado y entrenado en los principios de seguridad de sistemas, incluyendo actualizaciones peridicas con especial atencin en concientizacin sobre seguridad y manejo de incidentes. La alta gerencia deber proporcionar un programa de educacin y entrenamiento que incluya: conducta tica de la funcin de TI, prcticas de seguridad para proteger de una manera segura contra daos que afecten la disponibilidad, la confidencialidad la integridad y el desempeo de las tareas.
98

DS8
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: Apoyo y asistencia a los clientes de TI que satisface los requerimientos de negocio de: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente se hace posible a travs de: un help desk, o mesa de control y ayuda, que proporcione soporte y asesora de primera lnea y toma en consideracin:
Monitoreo
consultas de los clientes y respuesta a problemas monitoreo de consultas y respuestas anlisis y reporte de tendencias Desarrollo de una base de conocimientos Anlisis de las causas Escalamiento y seguimiento de problemas

99
8
8.1
APOYO Y ASISTENCIA A LOS CLIENTES DE TECNOLOGA DE INFORMACIN

Help Desk OBJETIVO DE CONTROL Deber establecerse un soporte para usuarios dentro de una funcin de Help Desk o Mesa de Control y Ayuda. Las personas responsables de llevar a cabo esta funcin debern interactuar estrechamente con el personal de administracin de problemas.
8.2 Registro de Consultas de los Usuario OBJETIVO DE CONTROL Debern establecerse procedimientos para asegurar que todas las consultas de los clientes sean registradas adecuadamente por el Help desk. 8.3 Escalamiento de Consultas del Cliente OBJETIVO DE CONTROL Los procedimientos del help desk debern asegurar que las consultas de los clientes que no puedan ser resueltas inmediatamente sean reasignadas apropiadamente dentro de la funcin de servicios de informacin escalando hasta el nivel adecuado para atenderlas. 8.4 Monitoreo de Atencin a Clientes OBJETIVO DE CONTROL La Gerencia deber establecer procedimientos para monitorear oportunamente la atencin a las consultas de los clientes. Las consultas que permanezcan pendientes por largo tiempo debern ser investigadas y atendidas. 8.5 Anlisis y Reporte de Tendencias OBJETIVO DE CONTROL Debern establecerse procedimientos que aseguren el reporte adecuado de las consultas de los clientes y su solucin, de los tiempos de respuesta y la identificacin de tendencias. Los reportes debern ser analizados y sus resultados debern ser atendidos adecuadamente.
100

DS9
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: Administracin de la configuracin que satisface los requerimientos de negocio de: dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para la sana administracin del cambio se hace posible a travs de: controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia y toma en consideracin:
Monitoreo
registro de activos administracin de cambios en la configuracin chequeo de software no autorizado controles de almacenamiento de software Integracin e interrelacin de hardware y software Uso de herramientas automatizadas

101
9 ADMINISTRACIN DE LA CONFIGURACIN
9.1 Registro de la Configuracin OBJETIVO DE CONTROL Debern establecerse procedimientos para asegurar que sean registrados nicamente los elementos de configuracin autorizados e identificables en el inventario, luego de la adquisicin. Esos procedimientos debern proveer adicionalmente informacin de la eliminacin autorizada y la consecuente venta de los elementos de la configuracin. Por otra parte, debern establecerse procedimientos para dar seguimiento a los cambios en la configuracin (nuevo elemento, cambio de estatus de desarrollo a prototipo). El registro en bitcoras y el control debern ser una parte integrada del registro de configuracin del sistema, incluyendo revisiones de registros modificados. 9.2 Configuracin Base OBJETIVO DE CONTROL La Gerencia de TI deber asegurarse de que exista una configuracin base de elementos como punto de verificacin al cual regresar despus de las modificaciones. 9.3 Registro de Estatus OBJETIVO DE CONTROL La Gerencia de TI deber asegurar que los registros de la configuracin reflejen el estatus real de todos los elementos de la configuracin incluyendo la historia de los cambios. 9.4 Control de la Configuracin OBJETIVO DE CONTROL Los procedimientos debern asegurar que la existencia y consistencia del registro de la configuracin de la funcin de TI sean revisadas peridicamente. 9.5 Software no Autorizado OBJETIVO DE CONTROL Se debern desarrollar y hacer cumplir polticas claras que restrinjan el uso de software personal
y no licenciado. La organizacin deber usar software de deteccin y eliminacin de virus. La Gerencia de TI deber revisar peridicamente la existencia de software no autorizado en las computadoras personales de la organizacin. Se deber verificar peridicamente si se est cumpliendo con los requisitos de contratos de licencia de software y de hardware 9.6 Almacenamiento de Software OBJETIVO DE CONTROL Deber definirse un rea de almacenamiento de archivos (biblioteca o librera) para todos los elementos de software vlidos en las fases apropiadas del ciclo de vida de desarrollo de sistemas. Estas reas debern estar separadas de otras y de las reas de almacenamiento de archivos de desarrollo, pruebas y produccin. 9.7 Procedimientos Administrativos de la Configuracin OBJETIVO DE CONTROL Se debern establecer procedimientos administrativos de la configuracin para asegurar que se hayan identificado debidamente y se mantengan los componentes crticos de los recursos de TI de la organizacin. Deber haber un proceso integrado por el cual se midan las exigencias actuales y futuras de procesamiento y que provean insumos al proceso de adquisiciones de recursos de tecnologa de la informacin. 9.8 Registro o contabilizacin del Software OBJETIVO DE CONTROL El software deber ser etiquetado, inventariado y debidamente licenciado. Se deber usar un software para administracin de bibliotecas para producir rastros de auditora de los cambios a los programas y para mantener informacin sobre el nmero de versin del programa, informacin sobre fecha de creacin y copias de versiones anteriores.
102

DS10
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: administracin de problemas e incidentes que satisface los requerimientos de negocio de: asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir cualquier recurrencia se hace posible a travs de: un sistema de administracin de problemas que registre y d seguimiento a todos los incidentes y toma en consideracin:
Monitoreo
pistas de auditora de problemas y soluciones resolucin oportuna de problemas reportados procedimientos de escalamiento reportes de incidentes accesibilidad a la informacin de la configuracin responsabilidades del proveedor coordinacin con la administracin de cambios

103
10 ADMINISTRACIN DE PROBLEMAS E INCIDENTES
10.4 Autorizaciones de Accesos Temporales y de Emergencia OBJETIVO DE CONTROL Las autorizaciones de acceso temporal y de emergencia debern ser documentadas en formularios estndar y mantenidas en archivo, aprobadas por los gerentes apropiados, comunicadas de forma segura a la funcin de seguridad y las mismas debern terminarse automticamente despus de un perodo predeterminado. 10.5 Prioridades de Procesamiento de Emergencia OBJETIVO DE CONTROL La gerencia de TI debe establecer, documentar y aprobar mediante el uso de programas adecuados las prioridades de procesamiento de emergencia.
10.1 Sistema de Administracin de Problemas OBJETIVO DE CONTROL La Gerencia de TI deber definir e implementar un sistema de administracin de problemas para asegurar que todos los eventos operacionales que no formen parte de la operacin estndar (incidentes, problemas y errores) sean registrados, analizados y resueltos oportunamente. Los procedimientos de cambios de emergencia a programas se deben probar, documentar, aprobar y reportar prontamente. Debern emitirse reportes de incidentes en caso de problemas significativos. 10.2 Escalamiento de Problemas OBJETIVO DE CONTROL La Gerencia deber definir e implementar procedimientos de escalamiento de problemas para asegurar que los problemas identificados sean resueltos oportunamente de la manera ms eficiente. Estos procedimientos debern asegurar que las prioridades sean establecidas apropiadamente. Los procedimientos tambin debern documentar el proceso de escalamiento para la activacin del plan de continuidad de TI. 10.3 Seguimiento de Problemas y Pistas de Auditora OBJETIVO DE CONTROL El sistema de administracin de problemas deber proporcionar adecuadas pistas de auditora que permitan el seguimiento de un incidente a partir de sus causas (por ejemplo, liberacin de paquetes o implementacin de cambios urgentes) y viceversa. Deber trabajar estrechamente con la administracin de cambios, la administracin de disponibilidad y la administracin de configuracin.
104

DS11
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: Administracin de datos que satisface los requerimientos de negocio de: asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin y almacenamiento se hace posible a travs de: una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI y toma en consideracin:
Monitoreo
diseo de formatos controles sobre documentos fuente controles de entrada, procesamiento y salida identificacin, movimiento y administracin de la librera de medios Recuperacin y almacenamiento de datos autenticacin e integridad propiedad de datos polticas de administracin de datos modelos de datos y estndares de representacin de datos integracin y consistencia en todas las plataformas requisitos legales y regulatorios

105
11 ADMINISTRACIN DE DATOS
11.1 Procedimientos de Preparacin de Datos OBJETIVO DE CONTROL La Gerencia deber establecer procedimientos de preparacin de datos que deben ser seguidos por los departamentos usuarios. En este contexto, el diseo de formas de entrada de datos deber ayudar a minimizar los errores y las omisiones. Durante la creacin de los datos, los procedimientos de manejo de errores debern asegurar razonablemente que los errores y las irregularidades sean detectados, reportados y corregidos. 11.2 Procedimientos de Autorizacin de Documentos Fuente OBJETIVO DE CONTROL La Gerencia deber asegurar que los documentos fuente sean preparados apropiadamente por personal autorizado que acta dentro de su autoridad, y que se establezca una separacin de funciones adecuada con respecto al origen y aprobacin de documentos fuente. 11.3 Recopilacin de Datos de Documentos Fuente OBJETIVO DE CONTROL Los procedimientos de la organizacin debern asegurar que todos los documentos fuente autorizados estn completos, sean precisos, registrados apropiadamente y transmitidos oportunamente para su ingreso a proceso. 11.4 Manejo de errores de documentos fuente OBJETIVO DE CONTROL Los procedimientos de manejo de errores durante la creacin de datos debern asegurar razonablemente que los errores y las irregularidades sean detectados, reportados y corregidos. 11.5 Retencin de Documentos Fuente OBJETIVO DE CONTROL Debern establecerse procedimientos para asegurar que la organizacin pueda retener o reproducir los documentos fuente originales durante un perodo de tiempo razonable para facilitar la recuperacin o reconstruccin de datos, as como para satisfacer requerimientos legales. 11.6 Procedimientos de Autorizacin de Entrada de Datos OBJETIVO DE CONTROL La organizacin deber establecer procedimientos apropiados para asegurar que la entrada de datos sea llevada a cabo nicamente por personal autorizado. 11.7 Chequeos de Exactitud, Suficiencia y Autorizacin OBJETIVO DE CONTROL Los datos de transacciones, ingresados para su procesamiento (generados por personas, por sistemas o entradas de interfase) debern estar sujetos a una variedad de controles para verificar su exactitud, suficiencia y validez. Asimismo, debern establecerse procedimientos para asegurar que los datos de entrada sean validados y editados tan cerca del punto de origen como sea posible. 11.8 Manejo de Errores en la Entrada de Datos OBJETIVO DE CONTROL La organizacin deber establecer procedimientos para la correccin y reenvo de datos que hayan sido capturados errneamente. 11.9 Integridad de Procesamiento de Datos OBJETIVO DE CONTROL La organizacin deber establecer procedimientos para el procesamiento de datos que aseguren que la segregacin de funciones sea mantenida y que el trabajo realizado sea verificado rutinariamente. Los procedimientos debern asegurar que se establezcan controles de actualizacin adecuados como totales de control "corrida a corrida run to run-" y controles de actualizacin de archivos maestros. 11.10 Validacin y Edicin de Procesamiento de Datos OBJETIVO DE CONTROL La organizacin deber establecer procedimientos para asegurar que la validacin, autenticacin y edicin del procesamiento sean llevadas a cabo tan cerca del punto de origen como sea posible. Cuando se utilicen sistemas de Inteligencia Artificial, dichos sistemas sern ubica106
dos en una infraestructura de control interactiva con operadores humanos para asegurar que las decisiones vitales son aprobadas. 11.11 Manejo de Errores en el Procesamiento de Datos OBJETIVO DE CONTROL La organizacin deber establecer procedimientos para el manejo de errores en el procesamiento de datos que permitan la identificacin de transacciones errneas sin que stas sean procesadas y sin interrumpir el procesamiento de otras transacciones vlidas. 11.12 Manejo y Retencin de Datos de Salida OBJETIVO DE CONTROL La organizacin deber establecer procedimientos para el manejo y la retencin de datos producidos por sus programas de aplicacin de TI. En caso de que instrumentos negociables (ej. Ttulos valores) sean los receptores de la salida, se deber prestar especial cuidado en prevenir usos inadecuados. 11.13 Distribucin de Datos Salidos de los Procesos OBJETIVO DE CONTROL La organizacin deber establecer y comunicar procedimientos escritos para la distribucin de datos de salida de tecnologa de informacin. 11.14 Balanceo y Conciliacin de Datos de Salida OBJETIVO DE CONTROL La organizacin deber establecer procedimientos para asegurar que los datos de salida sean balanceados rutinariamente con los totales de control relevantes. Debern existir pistas de auditora para facilitar el seguimiento del procesamiento de transacciones y la conciliacin de datos con problema. 11.15 Revisin de Datos de Salida y Manejo de Errores OBJETIVO DE CONTROL La Gerencia de la organizacin deber establecer procedimientos para asegurar que la precisin de los reportes de los datos de salida sea revisada por el proveedor y por los usuarios responsables. Asimismo, debern establecerse procedimientos para controlar los errores contenidos en los datos de salida.
11.16 Provisiones de Seguridad para Reportes de Salida OBJETIVO DE CONTROL La organizacin deber establecer procedimientos para garantizar que la seguridad de los reportes generados por los procesos sea mantenida para todos aquellos reportes que estn por distribuirse, as como para todos aqullos que ya hayan sido distribuidos a los usuarios. 11.17 Proteccin de Informacin Sensible durante transmisin y transporte OBJETIVO DE CONTROL La Gerencia deber asegurar que durante la transmisin y transporte de informacin sensible, se proporcione una adecuada proteccin contra acceso o modificacin no autorizada, as como contra envos a direcciones errneas. 11.18 Proteccin de Informacin Sensitiva Desechada OBJETIVO DE CONTROL La Gerencia deber definir e implementar procedimientos para impedir el acceso a la informacin sensitiva, al software de las computadoras, a los discos y otros equipos o medios cuando los mismos son desechados o transferidos a otro uso. Tales procedimientos debern garantizar que ninguna informacin marcada como borrada o desechada, pueda ser accedida por personas internas o externas a la organizacin. 11.19 Administracin de Almacenamiento OBJETIVO DE CONTROL Debern desarrollarse procedimientos para el almacenamiento de datos que consideren requerimientos de recuperacin, de economa y as mismo tengan en cuenta las polticas de seguridad de la organizacin. 11.20 Perodos de Retencin y Trminos de Almacenamiento OBJETIVO DE CONTROL Debern definirse los perodos de retencin y
107
los trminos de almacenamiento para documentos, datos, programas, reportes y mensajes (de entrada y de salida), as como los datos (claves, certificados) utilizados para su encripcin y autenticacin. 11.21 Sistema de Administracin de la Librera de Medios OBJETIVO DE CONTROL La funcin de servicios de informacin deber establecer procedimientos para asegurar que el contenido de su librera de medios sea inventariado sistemticamente, que cualquier discrepancia revelada por un inventario fsico sea solucionada oportunamente y que se consideren las medidas necesarias para mantener la integridad de los medios magnticos almacenados en la librera. 11.22 Responsabilidades de la Administracin de la Librera de Medios OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber establecer procedimientos de administracin para proteger el contenido de la librera de medios. Debern definirse estndares para la identificacin externa de medios magnticos y el control de su movimiento y almacenamiento fsico para soporte y registro. Las responsabilidades sobre el manejo de la libreras de medios (cintas magnticas, cartuchos, discos y disquetes) debern ser asignadas a miembros especficos del personal de servicios de informacin. 11.23 Respaldo (Back-up) y Restauracin OBJETIVO DE CONTROL La Gerencia deber implementar una estrategia apropiada de respaldo y recuperacin para asegurar que sta incluya una revisin de los requerimientos del negocio, as como el desarrollo, implementacin, prueba y documentacin del plan de recuperacin. Se debern establecer procedimientos para asegurar que los respaldos satisfagan los requerimientos mencionados anteriormente. 11.24 Funciones de Respaldo OBJETIVO DE CONTROL Debern establecerse procedimientos para asegurar que los respaldos sean realizados de acuerdo con la estrategia de respaldo definida, y que las copias de respaldo sean verificadas regularmente. 11.25 Almacenamiento de Respaldos OBJETIVO DE CONTROL Los procedimientos de respaldo para los medios relacionados con tecnologa de informacin debern incluir el almacenamiento apropiado de los archivos de datos, del software y de la documentacin relacionada, tanto dentro como fuera de las instalaciones. Los respaldos debern ser almacenados con seguridad y las instalaciones de almacenamiento debern ser revisadas peridicamente con respecto a la seguridad de acceso fsico y la seguridad de los archivos de datos y otros elementos. 11.26 Archivo OBJETIVO DE CONTROL La Gerencia deber implementar una poltica y procedimientos para asegurar que el archivo cumple con requerimientos legales y de negocio y que se encuentra debidamente protegido y su informacin adecuadamente registrada. 11.27 Proteccin de Mensajes Sensitivos OBJETIVO DE CONTROL Con respecto a la transmisin de datos a travs de Internet u otra red pblica, la Gerencia deber definir e implementar procedimientos y protocolos que deben ser utilizados para el aseguramiento de la integridad, confidencialidad y no negacin/rechazo de mensajes sensitivos. 11.28 Autenticacin e Integridad OBJETIVO DE CONTROL Antes que alguna accin crtica sea tomada sobre informacin originada fuera de la Organizacin, que se reciba va telfono, correo de voz, documentos (en papel), fax o correo electrnico, se deber verificar adecuadamente la autenticidad e integridad de dicha informacin.
108
11.29 Integridad de Transacciones Electrnicas OBJETIVO DE CONTROL Tomando en consideracin que las fronteras tradicionales de tiempo y de geografa son menos precisas y confiables, la Gerencia deber definir e implementar apropiados procedimientos y prcticas para transacciones electrnicas que sean sensitivas y crticas para la Organizacin, que permitan asegurar su integridad y autenticidad de:
atomicidad (unidad de trabajo indivisible, todas sus acciones tienen xito o todas ellas fallan) consistencia (si la transaccin no logra alcanzar un estado final estable, deber regresar al sistema a su estado inicial); aislamiento (el comportamiento de una transaccin no es afectado por otras transacciones que se ejecutan concurrentemente); y durabilidad (los efectos de una transaccin son permanentes despus que concluye su proceso28, los cambios que origina deben sobrevivir a fallas de sistema)
11.30 Integridad Continua de Datos Almacenados OBJETIVO DE CONTROL La Gerencia deber asegurar que la integridad y lo adecuado de los datos mantenidos en archivos y otros medios (ej. tarjetas electrnicas) se verifique peridicamente. Atencin especfica deber darse a dispositivos de tokens29, archivos de referencia y archivos que contengan informacin privada.
28
29
Concluye su proceso (commits): se dice de una transaccin que actualiza los datos que procesa al concluir su procesamiento. Tokens: Dispositivos especiales que permiten el clculo de claves en forma aleatoria. Utiliza semillas que cambian cada minuto.
109

DS12
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: Administracin de instalaciones (sitios donde se procesa informacin) que satisface los requerimientos de negocio de: proporcionar un ambiente fsico conveniente que proteja los equipos y al personal de TI contra peligros naturales o fallas humanas se hace posible a travs de: la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para garantizar su adecuado funcionamiento y toma en consideracin:
Monitoreo
acceso a instalaciones identificacin del sitio (instalacin) seguridad fsica Polticas de inspeccin y escalamiento Plan de continuidad de negocios y administracin de crisis salud y seguridad del personal Polticas de mantenimiento preventivo proteccin contra amenazas ambientales Monitoreo automatizado
110
12 ADMINISTRACIN DE INSTALACIONES30
12.1 Seguridad Fsica OBJETIVO DE CONTROL Debern establecerse medidas apropiadas de seguridad fsica y medidas de control de acceso para las instalaciones de tecnologa de informacin incluyendo el uso de dispositivos de informacin off-site en conformidad con la poltica general de seguridad. La seguridad fsica y los controles de acceso deben abarcar no slo el rea que contenga el hardware del sistema sino tambin las ubicaciones del cableado usado para conectar elementos del sistema, servicios de soporte (como la energa elctrica), medios de respaldo y dems elementos requeridos para la operacin del sistema. El acceso deber restringirse a las personas que hayan sido autorizadas. Cuando los recursos de tecnologa de informacin estn ubicados en reas pblicas, debern estar debidamente protegidos para impedir o para prevenir prdidas o daos por robo o por vandalismo. 12.2 Discrecin31 sobre las Instalaciones de Tecnologa de Informacin OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que se mantenga un bajo perfil sobre la identificacin fsica de las instalaciones relacionadas con sus operaciones de tecnologa de informacin. La informacin sobre la ubicacin del sitio debe ser limitada y mantenerse con la adecuada reserva. 12.3 Escolta de Visitantes OBJETIVO DE CONTROL Debern establecerse procedimientos apropiados que aseguren que las personas que no formen parte del grupo de operaciones de la funcin de servicios de informacin sean escoltadas por algn miembro de ese grupo cuando deban entrar a las instalaciones de cmputo. Deber mantenerse y revisarse regularmente una bitcora de visitantes. 12.4 Salud y Seguridad del Personal OBJETIVO DE CONTROL Debern establecerse y mantenerse prcticas de salud y seguridad en lnea con las leyes y regulaciones internacionales, nacionales, regionales, estatales y locales. 12.5 Proteccin contra Factores Ambientales OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que se establezcan y mantengan las suficientes medidas para la proteccin contra los factores ambientales (por ejemplo, fuego, polvo, electricidad, calor o humedad excesivos). Debern instalarse equipo y dispositivos especializados para monitorear y controlar el ambiente. 12.6 Suministro Ininterrumpido de Energa OBJETIVO DE CONTROL La Gerencia deber evaluar regularmente la necesidad de contar con generadores y bateras de suministro ininterrumpido de energa (UPS) para las aplicaciones crticas de tecnologa de informacin, con el fin de protegerse contra fallas y fluctuaciones de energa. Cuando sea justificable, deber instalarse el equipo ms apropiado.
30 31
Instalaciones (Facilities) Discrecin (low profile)
111

DS13
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: administracin de operaciones que satisface los requerimientos de negocio de: asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada se hace posible a travs de: una programacin o planeacin de las actividades que sea registrada y diligenciada con base en el cumplimiento de todas las actividades y toma en consideracin:
Monitoreo
manual de procedimiento de operaciones documentacin para el inicio de procesos administracin de servicios de red Programacin del personal y cargas de trabajo proceso de cambio de turno registro de eventos del sistema Coordinacin con las reas de administracin de cambios, disponibilidad y manejo continuo de negocios Mantenimiento preventivo Acuerdos de niveles de servicio Operaciones automatizadas Registro, rastreo y escalamiento de incidentes

112
13 ADMINISTRACIN DE OPERACIONES
13.1 Manual de Instrucciones y Procedimientos de las Operaciones de Procesamiento OBJETIVO DE CONTROL La Gerencia de TI deber establecer y documentar procedimientos estndar para las operaciones de tecnologa de informacin (incluyendo operaciones de red). Todas las soluciones y plataformas de tecnologa de informacin con que cuente la empresa debern ser operadas utilizando estos procedimientos, los cuales debern ser revisados peridicamente para asegurar su efectividad y cumplimiento. 13.2 Documentacin del Proceso de Inicio y de Otras Operaciones OBJETIVO DE CONTROL La Gerencia de TI deber asegurar que el personal de operaciones est adecuadamente familiarizado y sepa como ejecutar las tareas del proceso de inicio y con otras operaciones con base en una adecuada documentacin la cual debe ser peridicamente probada y ajustada, segn se requiera. 13.3 Programacin de Trabajos OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que la programacin continua de trabajos, procesos y tareas sea organizada en la secuencia ms eficiente, maximizando el uso de recursos y su utilizacin, con el fin de alcanzar los objetivos establecidos en los convenios de nivel de servicio. Las programaciones iniciales as como los cambios a estas programaciones debern ser autorizados apropiadamente. 13.4 Desviaciones32 de la Programacin de Trabajos Estndar OBJETIVO DE CONTROL Debern establecerse procedimientos para identificar, investigar y aprobar la ejecucin de los programas de trabajos estndar. 13.5 Continuidad de Procesamiento OBJETIVO DE CONTROL Los procedimientos debern requerir continuidad de procesamiento durante los cambios de turno de los operadores mediante la existencia de un proceso de entrega formal de actividades, actualizacin del estado en que se encuentran los procesos y reporte sobre las responsabilidades actuales. 13.6 Bitcoras de Operacin OBJETIVO DE CONTROL Los controles de la Gerencia debern garantizar que se almacene en bitcoras suficiente informacin cronolgica de las operaciones para permitir la reconstruccin, la revisin y el examen oportunos de las secuencias de tiempo de procesamiento y otras actividades que rodean y soportan el procesamiento. 13.7 Custodia de Formularios Especiales y de Dispositivos de Salida OBJETIVO DE CONTROL La gerencia deber establecer seguridades fsicas apropiadas para proteger los formularios especiales, como por ejemplo los instrumentos negociables, y los dispositivos sensitivos de salida, como por ejemplo los cartuchos de firma tomando en consideracin el apropiado registro de los recursos de tecnologa de informacin, formularios o artculos que requieran proteccin adicional y administracin de inventario. 13.8 Operaciones Remotas OBJETIVO DE CONTROL Para las operaciones remotas, debern existir procedimientos especficos que aseguren que la conexin y desconexin de los enlaces con la(s) instalacin(es) remota(s) sean identificadas e implementadas.
32
Desviaciones (departures) 113
(M)
MONITOREO
114

MONITOREO
M1
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: monitoreo del proceso que satisface los requerimientos de negocio de: asegurar el logro de los objetivos establecidos para los procesos de TI se hace posible a travs de: la definicin de indicadores de desempeo gerenciales, el reporte oportuno y sistemtico del desempeo y la oportuna accin sobre las desviaciones y toma en consideracin:
Monitoreo
Tarjetas de decisin (scorecards) con indicadores de desempeo y medicin de resultados evaluacin de la satisfaccin de clientes reportes gerenciales Base de conocimientos del desempeo histrico Benchmarking externo

115
1 MONITOREO DEL PROCESO
OBJETIVO DE CONTROL Para los procesos de tecnologa de informacin y de control interno, la Gerencia deber asegurar que se definan indicadores de desempeo relevantes (ej. benchmarks) tanto para actividades internas como las proporcionadas por terceros y que se recolecten datos para la creacin de reportes con informacin gerencial y reportes de excepcin relacionados con estos indicadores. Los controles deben tambin estar dirigidos a validar la integridad y lo apropiado tanto de las medidas e indicadores de desempeo organizacional como individuales. 1.2 Evaluacin de Desempeo OBJETIVO DE CONTROL Los servicios a ser proporcionados por la funcin de servicios de informacin debern ser medidos (indicadores clave de desempeo y/o factores crticos de xito) y comparados con los niveles esperados. Las evaluaciones a la funcin de servicios de informacin debern ser desarrolladas en forma continua. 1.3 Evaluacin de la satisfaccin de Clientes OBJETIVO DE CONTROL A intervalos regulares, la Gerencia deber efectuar mediciones de la satisfaccin de los clientes con respecto a los servicios proporcionados por la funcin de servicios de informacin, con la intencin de identificar deficiencias en los niveles de servicio y establecer objetivos de mejoramiento. 1.4 Reportes Gerenciales OBJETIVO DE CONTROL Debern proporcionarse reportes gerenciales para ser revisados por la alta gerencia en cuanto al avance de la organizacin hacia las metas identificadas. Los reportes de estatus debern incluir en qu medida se han logrado los objetivos planeados, se han obtenido productos, se han cumplido los objetivos de desempeo y se han mitigado los riesgos. Con base en la revisin, la Gerencia deber iniciar y controlar las acciones pertinentes.
1.1 Recoleccin de Datos de Monitoreo
116

MONITOREO
M2
ef
Entrega & Soporte
Control sobre el proceso de TI: Evaluar lo adecuado del control interno que satisface los requerimientos de negocio de: asegurar el logro de los objetivos de control interno establecidos para los procesos de TI se hace posible a travs de: el compromiso de la Gerencia de monitorear los controles internos, evaluar su efectividad y emitir reportes sobre ellos en forma regular y toma en consideracin:

Monitoreo
Responsabilidades para el control interno Monitoreo del control interno en proceso benchmarks33 reportes de errores y excepciones autoevaluaciones reportes gerenciales Cumplimiento con los requerimientos legales y regulatorios

33
Comparacin con mejores prcticas (benchmarks)

117
2 EVALUAR LO ADECUADO DEL CONTROL INTERNO
OBJETIVO DE CONTROL La Gerencia deber monitorear la efectividad de los controles internos en el curso normal de las operaciones a travs de actividades administrativas y de supervisin, comparaciones, reconciliaciones y otras acciones rutinarias. Las desviaciones debern generar anlisis y acciones correctivas. Adems, las desviaciones debern ser comunicadas a la persona responsable de la funcin y tambin, por lo menos, a un nivel de la gerencia por encima de esa persona. Las desviaciones graves debern ser reportadas a la alta gerencia. 2.2 Operacin Oportuna de Controles Internos OBJETIVO DE CONTROL La confiabilidad en los controles internos requiere que los controles operen rpidamente para detectar errores e inconsistencias y que stos sean corregidos antes de que impacten a la produccin y a la prestacin de servicios. La informacin relacionada con los errores, inconsistencias y excepciones deber ser conservada y reportada sistemticamente a la Gerencia. 2.3 Reporte sobre el Nivel de Control Interno OBJETIVO DE CONTROL La Gerencia deber reportar informacin sobre los niveles de control interno y sobre las excepciones a las partes afectadas para asegurar la efectividad continua de su sistema de control interno. Debern llevarse a cabo acciones para identificar qu informacin es necesaria y a qu nivel en particular para facilitar la toma de decisiones. 2.4 Seguridad de la Operacin y Aseguramiento de Control Interno OBJETIVO DE CONTROL La seguridad en las operaciones y el aseguramiento de control interno debern ser establecidos y repetidos peridicamente a travs de una autoanlisis o de una auditora independiente para examinar si la seguridad y los controles internos se encuentran operando de acuerdo con los requerimientos de seguridad y control interno
2.1 Monitoreo del Control Interno
establecidos o implcitos. Las actividades de monitoreo continuo por parte de la Gerencia debern revisar la existencia de puntos vulnerables y problemas de seguridad.
118

MONITOREO
M3
ti v ef ida c o ic ie d nf id ncia en in c ia te li di gr i dad s p da o d c u nibi m lid p a c o lim d nf ien ia b i to lid ad
ec
ef
S
Entrega & Soporte
Control sobre el proceso de TI de: obtencin de aseguramiento independiente
Monitoreo que satisface los requerimientos de negocio de: incrementar los niveles de confianza entre la organizacin, clientes y proveedores externos se hace posible a travs de: revisiones de aseguramiento independientes llevadas a cabo en intervalos regulares y toma en consideracin:

certificaciones / acreditaciones independientes evaluaciones independientes de efectividad aseguramiento independiente sobre cumplimiento de requerimientos legales y regulatorios aseguramiento independiente del cumplimiento de compromisos contractuales revisiones y benchmarking a proveedores externos de servicios Revisin por personal calificado del aseguramiento de desempeo involucramiento proactivo de la auditora

119
3 OBTENCIN DE ASEGURAMIENTO INDEPENDIENTE
3.1 Certificacin / Acreditacin Independiente de Control y Seguridad de los servicios de TI OBJETIVO DE CONTROL La Gerencia deber obtener una certificacin o acreditacin independiente sobre la seguridad y el control interno antes de implementar nuevos servicios de tecnologa de informacin que resulten crticos y obtener re-certificaciones o reacreditaciones de estas actividades en forma cclica y rutinaria despus de haber hecho la implementacin. 3.2 Certificacin / Acreditacin Independiente de Control y Seguridad de proveedores externos de servicios OBJETIVO DE CONTROL La Gerencia deber obtener una certificacin o acreditacin independiente de seguridad y control interno antes de utilizar proveedores de servicios de tecnologa de informacin y obtener recertificaciones o re-acreditaciones de estas actividades en forma cclica y rutinaria. 3.3 Evaluacin Independiente de la Efectividad de los Servicios de TI OBJETIVO DE CONTROL La Gerencia deber obtener una evaluacin independiente sobre la efectividad de los servicios de tecnologa de informacin en forma cclica y rutinaria. 3.4 Evaluacin Independiente de la Efectividad de proveedores externos de servicios OBJETIVO DE CONTROL La Gerencia deber obtener una evaluacin independiente sobre la efectividad de los proveedores de servicios de tecnologa de informacin en forma cclica y rutinaria.
3.5 Aseguramiento Independiente del Cumplimiento de leyes, requerimientos regulatorios y compromisos contractuales OBJETIVO DE CONTROL La Gerencia deber obtener un aseguramiento independiente sobre el cumplimiento de la funcin de servicios de tecnologa de informacin con respecto a requerimientos regulatorios y legales y compromisos contractuales en forma cclica y rutinaria. 3.6 Aseguramiento Independiente del Cumplimiento de leyes, requerimientos regulatorios y compromisos contractuales de proveedores externos de servicios OBJETIVO DE CONTROL La Gerencia deber obtener un aseguramiento independiente sobre el cumplimiento de proveedores externos de servicios de tecnologa de informacin con respecto a requerimientos regulatorios, leyes y compromisos contractuales en forma cclica y rutinaria. 3.7 Competencia de la Funcin de Aseguramiento Independiente OBJETIVO DE CONTROL La Gerencia deber asegurarse de que la funcin de aseguramiento independiente posea competencia tcnica, habilidades y conocimiento necesario para desempear dicha funcin en una forma efectiva, eficiente y econmica. 3.8 Participacin Proactiva de la Auditora OBJETIVO DE CONTROL La Gerencia de Tecnologa de Informacin deber buscar la participacin de la auditora en una forma proactiva, antes de finalizar soluciones de servicio de tecnologa de informacin.
120

MONITOREO
M4
ef
ec
Entrega & Soporte
Control sobre el proceso de TI de: proveer auditora independiente que satisface los requerimientos de negocio de: incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas se hace posible a travs de: auditoras independientes desarrolladas a intervalos regulares y toma en consideracin: independencia de auditora involucramiento proactivo de la auditora ejecucin de auditoras por parte de personal calificado aclaracin de resultados y recomendaciones actividades de seguimiento Evaluacin del impacto de las recomendaciones de la auditoria (costos, beneficios, y riesgos)

Monitoreo

121
4 PROVEER AUDITORA INDEPENDIENTE OBJETIVO DE CONTROL La alta gerencia de la organizacin deber establecer el estatuto para la funcin de auditora. Este documento deber establecer la responsabilidad, autoridad y obligaciones de la funcin de auditora. Asimismo este documento deber ser revisado peridicamente para asegurar que se mantengan la independencia, autoridad y responsabilidad de la funcin de auditora. 4.2 Independencia OBJETIVO DE CONTROL El auditor deber ser independiente del auditado tanto en actitud como en apariencia (real y percibida). Los auditores no debern estar relacionados con la seccin o departamento que est siendo auditado, y en la medida de lo posible, deber tambin ser independiente de la propia empresa. De esta manera, la funcin de auditora deber ser suficientemente independiente del rea auditada para concluir una auditora en forma objetiva. 4.3 Etica y Estndares Profesionales OBJETIVO DE CONTROL La funcin de auditora deber asegurar el cumplimiento de los cdigos aplicables de tica profesional (ej. Cdigo de Etica de la Information Systems Audit and Control Association) y estndares de auditora (ej. Estndares de la Information Systems Audit and Control Association) en todo lo que el auditor lleve a cabo. El debido cuidado profesional deber observarse en todos los aspectos del trabajo de auditora, incluyendo el respeto de estndares aplicables sobre auditora y tecnologa de informacin. 4.4 Competencia OBJETIVO DE CONTROL La Gerencia deber asegurar que los auditores responsables de las revisiones de las actividades de la funcin de servicios de informacin de la organizacin, sean tcnicamente competentes y cuenten en forma general con las habilidades y conocimientos (ej. dominios requeridos para obIT GOVERNANCE INSTITUTE
4.1 Estatuto34 de Auditora
tener el CISA35) necesarios para desempear dichas revisiones en forma efectiva, eficiente y econmica. La Gerencia deber asegurar que el personal asignado a tareas de auditora de sistemas de informacin, mantiene su nivel de competencia tcnica mediante un programa adecuado de educacin profesional continua. 4.5 Planeacin OBJETIVO DE CONTROL La alta gerencia deber establecer un plan de auditora para garantizar que se obtenga un aseguramiento regular e independiente con respecto a la efectividad, eficiencia y economa de la seguridad y de los procedimientos de control interno, as como de la habilidad de la Gerencia para controlar las actividades de la funcin de servicios de informacin. Dentro de este plan la Gerencia deber determinar las prioridades relacionadas con la obtencin de aseguramiento independiente. Los auditores debern planear el trabajo de auditora para alcanzar los objetivos de auditora y cumplir con los estndares profesionales correspondientes. 4.6 Ejecucin del Trabajo de Auditora OBJETIVO DE CONTROL Las auditoras debern ser supervisadas apropiadamente para proporcionar certeza de que los objetivos de auditora estn siendo alcanzados y que los estndares profesionales de auditora que sean aplicables estn siendo considerados. Los auditores debern asegurarse de obtener evidencia suficiente, confiable, relevante y til para alcanzar los objetivos de auditora de forma efectiva. Los hallazgos y conclusiones de auditora deben estar soportadas por un anlisis apropiado y una correcta interpretacin de esta evidencia. 4.7 Reporte OBJETIVO DE CONTROL La funcin de auditora de la organizacin deber entregar un reporte, en un formato adecuado, a todo el personal interesado una vez concluida su
34 35
Estatuto (charter) CISA: es un acrnimo para el titulo de Certified Information Systems Auditor (auditor de sistemas de informacin certificado). 122
revisin. El reporte de auditora deber mostrar los objetivos de la auditora, el perodo de cobertura y la naturaleza y extensin de trabajo de auditora realizado. El reporte deber identificar la Organizacin, los destinatarios del informe y cualquier restriccin en su circulacin. El reporte de auditora deber tambin mostrar los hallazgos, conclusiones y recomendaciones relacionadas con el trabajo de auditora llevado a cabo, as como cualquier salvedad o comentario que el auditor tenga con respecto a la auditora. 4.8 Actividades de Seguimiento OBJETIVO DE CONTROL La resolucin y atencin de los comentarios sobre la auditora depende de la Gerencia. Los auditores debern solicitar y evaluar la relacionada con los hallazgos, conclusiones y recomendaciones de auditoras anteriores para determinar si las acciones apropiadas han sido implementadas de manera oportuna.
123
APENDICES
124
OBJETIVOS DE CONTROL APENDICE I DIRECTRICES GERENCIALES DE GOBIERNO / GOBERNABILIDAD DE TI

Las siguientes Directrices Gerenciales y el Modelo de Madurez identifican los Factores Crticos de xito (Critical Success Factors CSFs), los Indicadires Claves de objetivos/resultados (Key Goal Indicators KGIs), Indicadores Claves de Desempeo (Key Performance IndicatorsKPIs) para la Gobernabilidad de TI. Primero, la Gobernabilidad de TI se define articulando las necesidades del negocio. A continuacin, los criterios de informacin relacionados con la Gobernabilidad de TI son identificados. Las necesidades del negocio son medidas por los Indicadores Claves de Resultados - KGIs - y organizados por sentencias de control apoyado por todos los recursos de TI. El resultado de las sentencias de control organizadas son medidas por los Indicadores Clave de desempeo - KPIs los cuales consideran los Factores crticos de xito - CSFs. El modelo de madurez se utiliza para evaluar el nivel de la organizacin para cumplir con lo establecido por la Gobernabilidad de TIdesde el mas bajo nivel donde no existe, pasando por un estado inicial /adhoc, ascendiendo a otro repetible pero intuitivo, luego a otro con procesos definidos, a otro administrado y medido y llegando al nivel optimista que es el mas alto nivel. Para llegar al nivel de madurez optimista para la Gobernabilidad de TI, una organizacin debe estar al menos en el nivel optimizado del dominio de Monitoreo y al menos estar en el nivel de medir y administrar los dems dominios. (Ver las Directrices Gerenciales de Cobit para una completa discusin del uso de esas herramientas)
125
APENDICE I DIRECTRICES GERENCIALES DELGOBIERNO/GOBERNABILIDAD DE TI
Gobierno sobre la tecnologa de informacin y los procesos con las metas del negocio para aadir valor, mientras se balancean los riesgos y el retorno Asegurar la entrega de informacin al Negocio el cual establece los Criterios de Informacin requeridos y es medido por Indicadores Clave de Resultados/Logros Se hace posible a travs de la creacin y mantenimiento de un sistema de procesos y controles apropiados para el negocio, el cual dirige y monitorea el valor del negocio proporcionado por TI Considera Factores Crticos de xito que tiene en cuenta todos los Recursos de TI y es medido por Indicadores Clave de Desempeo incumplimiento o mal uso de controles internos. Hay integracin e interoperabilidad transparente de los procesos de TI mas complejos como podran ser: problemas, cambios y administracin de la configuracin. Se establece un comit de auditora para designar y supervisar un auditor independiente enfocado sobre TI cuando dirige la ejecucin de planes de auditora y revisa los resultados de las auditoras y revisiones de terceros. Criterios de Informacin Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Recursos de TI Personas Aplicaciones Tecnologa Instalaciones Datos
Indicadores Clave de Resultados / Logros KGIs

Factores Crticos de xito - CSFs

Las actividades del gobierno de TI son integradas dentro del proceso de gobierno de la empresa y las conductas de liderazgo El gobierno de TI se enfoca en los objetivos y metas de la empresa, en las iniciativas estratgicas y el uso de tecnologa para mejorar el negocio, con base en la disponibilidad de recursos y capacidades suficientes para soportar las demandas del negocio. Las actividades del Gobierno de TI estn definidas sobre propsitos claros, documentados e implementados, basados en las necesidades de la empresa y con responsabilidades concretas. Las prcticas gerenciales son implementadas para incrementar la eficiencia y el uso ptimo de los recursos as como incrementar la efectividad de los procesos de TI. Se establecen prcticas organizacionales para: evitar descuidos; una cultura/ ambiente de control; anlisis de riesgos como prctica estndar; grado de adherencia a estndares establecidos; monitoreo y seguimiento a los riesgos y a las deficiencias de control. Se definen prcticas de control para evitar el

Incrementar el desempeo y la administracin de costos Mejorar el retorno de la inversin sobre las mayores inversiones de TI Mejorar el tiempo de comercializacin Incrementar la calidad, la innovacin y la administracin de riesgos Procesos del negocio apropiadamente integrados y estandartizados Bsqueda de nuevos clientes y satisfacer los existentes Disponibilidad de apropiado ancho de banda, poder de cmputo y mecanismos para la entrega de servicios de TI Satisfacer los requerimientos y las expectativas de los clientes de los procesos con base en un presupuesto y a tiempo Cumplir con las leyes, regulaciones, estndares de la industria y compromisos contractuales. Transparencia en los riesgos asumidos y cumplimiento con el acuerdo del perfil de riesgo organizacional. Comparaciones mediante Benchmarking sobre el nivel de madurez de TI Creacin de nuevos canales de distribucin y entrega de servicios 126
I - DIRECTRICES GERENCIALES DEL GOBIERNO DE TI
Indicadores Clave de Desempeo - KPIs

do de los procesos relacionados de la empresa. No hay procesos de anlisis estndar. El monitoreo de TI est implementado en una forma reactiva a incidentes que han causado algunas prdidas o apuros a la organizacin. 2 Repetible pero Intuitiva. Hay una conciencia global sobre los aspectos del gobierno de TI. Las actividades del gobierno de TI y los indicadores de desempeo estn en desarrollo, incluyendo la planeacin de TI y los procesos de entrega y monitoreo. Como parte de los esfuerzos, las actividades del gobierno de TI estn formalmente establecidas dentro del proceso de administracin del cambio con el involucramiento activo de la alta gerencia. Procesos seleccionados de TI son identificados para mejorar y/o controlar el ncleo de los procesos de la empresa, son efectivamente planeados y monitoreados como si fueran inversiones y son derivados en el contexto de un marco de referencia de la arquitectura de TI. La gerencia ha identificado los mtodos y tcnicas bsicos de anlisis y medicin del gobierno de TI, sin embargo, el proceso no ha sido adoptado a travs la organizacin. No hay entrenamiento y comunicacin sobre los estndares de gobernabilidad y las responsabilidades son dejadas a los individuos. Los individuos direccionan los procesos de gobernabilidad como si no fueran procesos y proyectos de TI. Las herramientas de gobernabilidad son limitadas, escogidas e implementadas para lograr mtricas de gobernabilidad pero puede que no se usen en toda su capacidad debido a la falta de experiencia en su funcionalidad. 3 Procesos Definidos. La necesidad de actuar con respecto al gobierno de TI es entendida y aceptada. Se desarrolla un grupo bsico de indicadores de Gobierno de TI, donde el encadenamiento entre medidas de ingresos y controladores de desempeo es definido, documentado e integrado dentro de la planeacin operacional y estratgica . Los procedimientos han sido estandarizados, documentados e implementados. La Gerencia ha comunicado los procedimientos estandarizados y se establece un entrenamiento informal. Los indicadores de desempeo sobre las actividades de gobernabilidad de TI son registrados y monitoreados generando mejoras a todo lo largo de la
36 37

Mejorar los procesos de costo-eficiencia de TI (costos versus entregables o servicios) Incrementare el nmero de planes de accin de TI para las iniciativas de mejoramiento de procesos Incrementar la utilizacin de la infraestructura de TI Incrementar la satisfaccin de los socios y accionistas (encuestas y nmero de reclamaciones). Incrementar la productividad de los funcionarios de TI (nmero de entregables) y su moral (encuesta) Incrementar la disponibilidad de conocimiento e informacin para administrar la empresa. Incrementar las relaciones entre el gobierno de la empresa y el gobierno de TI Incrementar el desempeo mediante mediciones utilizando tarjetas de medicin (Balanced Scorecards).
Modelo de Madurez del Gobierno de TI

El Gobierno sobre la tecnologa de informacin es un proceso que tiene como finalidad proveer valor agregado al negocio mientras balancea riesgos versus retorno. 0 No existe. Hay una completa falta de cualquier proceso de gobierno de TI identificable. La organizacin no ha reconocido aun que hay aspectos que deben ser identificados y por lo tanto no hay comunicacin al respecto. 1 Inicial / Ad Hoc36. Hay evidencia de que la organizacin ha reconocido que existen aspectos del gobierno de TI que deben ser considerados. Hay, sin embargo, procesos no estandarizados, pero en su lugar, hay procedimientos ad hoc aplicados sobre un caso individual o sobre bases de caso a caso37. El enfoque Gerencial es catico y hay una espordica e inconsistente comunicacin sobre aspectos y enfoques que deban ser considerados. Puede haber algn reconocimiento para utilizar el valor de TI en el desempeo orientado al resultaIT GOVERNANCE INSTITUTE
Ad Hoc: porque s, por costumbre case-by-case basis: Bases de caso a caso 127
empresa. Aunque medidos, los procedimientos no son sofisticados pero son la formalizacin de prcticas existentes. Las herramientas estn estandarizadas, utilizando tcnicas disponibles y modernas. La idea de utilizar tarjetas de medicin que balancean el negocio y TI son adoptadas por la organizacin. Esto, sin embargo, deja que el individuo, de acuerdo con su entrenamiento, siga y aplique los estndares. El anlisis de causa efecto es ocasionalmente aplicado. La mayora de los procesos son monitoreados sobre mtricas (bases), pero cualquier desviacin, debido a que generalmente se basa en las iniciativas de los individuos, probablemente no seran detectadas por la Gerencia. De todas maneras, el registro total del desempeo de los procesos claves es realizado y la gerencia es recompensada basada en mediciones clave de desempeo. 4 Administrado y Medible. Hay un completo entendimiento de los aspectos de Gobierno de TI a todos los niveles de la organizacin, soportado por un entrenamiento formal. Hay un claro entendimiento de quien es el cliente y sus responsabilidades estn definidas y monitoreadas a travs de acuerdos de nivel de servicio. Las responsabilidades son claras y el proceso de propiedad est establecido. Los procesos de TI estn alineados con el negocio y con la estrategia de TI. El mejoramiento de los procesos de TI est basado primariamente sobre un entendimiento cuantitativo y por ello es posible monitorear y medir el cumplimiento con procesos y con mtrica de procesos. Todos los responsables o propietarios de los procesos son advertidos sobre los riesgos, la importancia de TI y las oportunidades que TI puede ofrecer. La Gerencia ha definido una tolerancia bajo la cual los procesos deben operar. Se toman acciones en la mayora, pero no en todos los casos, donde parece que los procesos no estn operando efectiva o eficientemente. Los procesos se mejoran ocasionalmente y se refuerzan las mejores prcticas internas. Se estandariza el uso de anlisis causa-efectos. Hay un limitado, primario y tctico uso de la tecnologa, basado en tcnicas de madurez y reforzado con herramientas estndar. Hay involucramiento de todos los expertos internos requeridos. El gobierno de TI involucra los procesos a todo lo ancho de la empresa. Las actividades del gobierno de TI estn llegando a integrarse con los procesos de gobierno de la emIT GOVERNANCE INSTITUTE
presa. 5 Optimizado. En esta fase hay un entendimiento avanzado y hacia futuro de los aspectos y soluciones del gobierno de TI. El entrenamiento y las comunicaciones son soportadas por conceptos y tcnicas de vanguardia. Los procesos han sido refinados a un nivel de mejores prcticas externas basadas sobre resultados de mejoramiento contnuo y modelos de madurez con otras organizaciones. La implementacin de esas polticas han permitido a la organizacin, a la gente y a los procesos que se adapten rpidamente y por completo a los requerimientos de gobierno de TI. Todos los problemas y desviaciones son analizados de raz y con base en ese anlisis se identifican e inician acciones eficientes y oportunas. La Tecnologa de Informacin es utilizada de una manera extensiva y optimizada para automatizar el flujo de trabajo y proporcionar herramientas para mejorar la calidad y la efectividad. Los riesgos y el retorno de los procesos de TI son definidos, balanceados y comunicados a travs de toda la empresa. Se aprovechan expertos externos y se utilizan benchmarks como guas. El monitoreo y el autoanlisis de riesgos y las comunicaciones acerca de las expectativas del gobierno influencian la organizacin y hay un ptimo uso de la tecnologa para soportar la medicin, el anlisis, las comunicaciones y el entrenamiento. El gobierno de la empresa y el gobierno de TI estn estratgicamente conectados empujando a los recursos humanos y financieros a incrementar la ventaja competitiva de la empresa.
128
APNDICE II DESCRIPCIN DEL PROYECTO COBIT

El proyecto continua siendo supervisado por un Comit de Direccin formado por representantes internacionales de la academia, industria, gobierno y la profesin de auditora. El Comit de Direccin del Proyecto intervino en el desarrollo del Marco Referencial ("Framework") COBIT y en la aplicacin de los resultados de la investigacin. Se establecieron grupos de trabajo internacionales con el propsito de asegurar la calidad y contar con una revisin experta de la investigacin y los elementos entregables del desarrollo del proyecto. El IT Governance Institute proporcion toda la direccin del proyecto. INVESTIGACION Y ENFOQUE PARA EL DESARROLLO INICIAL Empezando con el Marco Referencial de Cobit, definido en la primera edicin, la aplicacin de estndares y directrices internacionales y la investigacin dentro de mejores prcticas ha permitido el desarrollo de los Objetivos de Control. Las Guas o Directrices de Auditora fueron desarrolladas a continuacin para analizar si esos objetivos de control son apropiadamente implementados. La investigacin de la primera y segunda edicin incluy la recoleccin y el anlisis de fuentes identificadas y fue llevada a cabo por equipos de investigacin en Europa (Free University of Amsterdam), Estados Unidos (California Polytechnic University) y Australia (University of New South Wales). Los equipos de investigacin fueron encargados de la compilacin, revisin, anlisis y apropiada incorporacin de estndares tcnicos internacionales, cdigos de conducta, estndares de calidad, estndares profesionales en prcticas y requerimientos de la auditora y de la industria, en cuanto a su relacin con el Marco de Referencia y con los Objetivos de Control individuales. Despus de la coleccin y anlisis los investigadores fueron encargados de examinar cada dominio y cada proceso en profundidad y sugerir nuevos o modificados objetivos de control aplicables a los procesos particulares de TI. La Consolidacin de los resultados fue llevada a cabo por el Comit de Direccin de Cobit y por el Director de Investigaciones de ISACF. INVESTIGACION Y ENFOQUE PARA LA 3a EDICION El proyecto de la 3a edicin de Cobit consisti en desarrollar las Directrices Gerenciales y actualizar la 2a Edicin de Cobit basado en nuevas y revisadas referencias internacionales.
Adicionalmente, el Marco de Referencia de Cobit fue revisado y mejorado para soportar el incremento de controles gerenciales, introducir gerencia de desempeo y tambin desarrollar el Gobierno de TI. Con el fin de proporcionarle a la gerencia una aplicacin del Marco de Referencia para que pueda analizar y efectuar cambios para la implementacin de controles y el mejoramiento sobre la informacin y las tecnologas relacionadas, as como medir el desempeo, las Directrices Gerenciales incluyen Modelos de Madurez, Factores Crticos de xito, Indicadores Clave de Logros/ resultados e Indicadores Clave de Desempeo relacionados con los Objetivos de Control. Las Directrices Gerenciales fueron desarrolladas para ser utilizadas por un grupo de 40 expertos de todo el mundo, pertenecientes a la industria, la academia, el gobierno y profesionales en control y seguridad de TI. Esos expertos participaron en talleres de trabajo guiados por facilitadores profesionales que utilizaron guas definidas por el Comit de Direccin del Proyecto Cobit. Los talleres fueron fuertemente apoyados por el Gartner Group y PricewaterhouseCoopers, quienes no solo proporcionaron liderazgo de pensamiento sino que tambin enviaron varios de sus expertos en control, gerencia del desempeo y seguridad de la informacin. Los resultados de los talleres generaron los borradores de los Modelos de Madurez, los Factores Crticos de xito, los Indicadores Clave de Logros y los Indicadores Clave de Desempeo para cada uno de los 34 objetivos de control de alto nivel. El aseguramiento de calidad de los entregables iniciales fue dirigido por el Comit de Direccin del Proyecto y el resultado de este trabajo fue colocado a disposicin en la web site de ISACA. El documento de las Directrices Gerenciales fue finalmente preparado para ofrecer un nuevo grupo de herramientas orientadas a la gerencia, mientras que ofreca integracin y consistencia con el Marco de Referencia de Cobit. La actualizacin de los Objetivos de Control, basada en nuevos y revisados estndares internacionales fue conducida por miembros de los Captulos de ISACA, bajo la coordinacin de los miembros del Comit de Direccin de Cobit. La intencin no fue llevar a cabo un anlisis global de todo el material o volver a desarrollar los Objetivo de Control, sino generar un proceso de actualizacin incremental. 129
El resultado del desarrollo de las Directrices Gerenciales fue utilizado para revisar el Marco de Referencia de Cobit, especialmente en lo que tiene que ver con las consideraciones, objetivos y sentencias que configuran los objetivos de control de alto nivel.
130
OBJETIVOS DE CONTROL APNDICE III - MATERIAL DE REFERENCIA PRIMARIA

Nota del traductor: Debido a que el contenido de este apndice se compone principalmente de nombres propios de instituciones y publicaciones, dichos nombres han sido respetados mantenindolos en ingls.
COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - Integrated Framework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994. OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of Information, Paris, 1992. DTI Code of Practice for Information Security Management: Department of Trade and Industry and British Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995. ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance Standards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of software, Switzerland, 1991. An Introduction to Computer Security: The NIST Handbook: National Institute of Standards and Technology, U.S. Department of Commerce. Washington, DC, 1995. ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines developed by the Central Computer and Telecommunications Agency (CCTA), London, 1989. IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials Group on Information Security, advising the European Commission) Brussels, Belgium, 1994. NSW Premiers Office Statements of Best Practices and Planning Information Management and Techniques: Statements of Best Practice #1 through #6. premier's Department New South Wales, Government of New South Wales, Australia, 1990 through 1994. Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data Processing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998. EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph Series #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994. PCIE (president's Council on Integrity and Efficiency) Model Framework: A Model Framework for Management Over Automated Information Systems. Prepared jointly by the president's Council on Management Improvement and the president's Council on Integrity and Efficiency, Washington, DC, 1987. Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by the Chuo Audit Corporation, Tokyo, August 1994. CONTROL OBJECTIVES Controls in an Information Systems Environment: Control Guidelines and Audit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Fourth Edition, Rolling Meadows, IL, 1992. CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified Information Systems Auditor Job Analysis Study", Rolling Meadows, IL, 1994.
131
CICA Computer Control Guidelines: Canadian Institute of Chartered Accountants, Toronto, 1986. IFAC International Guidelines for Managing Security of Information and Communications: International Federation of Accountants, New York, NY, 1997. IFAC International Guidelines on Information Technology Management - Managing Information Technology Planning for Business Impact (Draft): International Federation of Accountants, New York, NY, 1998. Standards for Internal Control in the U.S. Federal Government: U.S. General Accounting Office, Washington, DC, 1983. Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NBS Special Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington, DC, 1988. Government Auditing Standards: U. S. General Accounting Office, Washington, DC, 1994. Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants, Denmark, 1994. SPICE: Software Process Improvement and Capability Determination. A standard on software process improvement, British Standards Institution, London, 1995. DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute International. Guideline for Business Continuity Planners, St. Louis, MO, 1997. IIA, SAC Systems Audibility and Control: Institute of Internal Auditors Research Foundation, Systems Audibility and Control Report, Alamonte Springs, FL, 1991, 1994. IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research Foundation, Alamonte Springs, FL, 1997. E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996. C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, NY, 1997. ISO IEC JTC1/SC27 Information Technology - Security: International Organisation for Standardisation (ISO) Technical Committee on Information Technology Security, Switzerland, 1998. ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical Committee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992. ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services: International Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services, Draft, Switzerland, 1997.
132
CCEB 96/011, Common Criteria for Information Technology Security Evaluation: Common Criteria Implementation Board, Alignment and comparison of existing European, US and Canadian IT Security Criteria, Draft, Washington, DC, 1997. Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987. TickIT: Guide to Software Quality Management System Construction and Certification. British Department of Trade and Industry (DTI), London, 1994 ESF Baseline Control - Communications: European Security Forum, London. Communications Network Security, September 1991; Baseline Controls for Local Area Networks, September, 1994. ESF Baseline Control - Microcomputers: European Security Forum, London. Baseline Controls Microcomputers Attached to Network, June 1990. Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Rolling Meadows, IL, 1992. Guide for Developing Security Plans for Information Technology: NIST Special Publication 800-18, National Institute for Standards and Technology, US Department of Commerce, Washington, DC 1998 Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office, Washington, DC, 1999. BS7799-Information Security Management: British Standards Institute, London, 1999. CICA Information Technology Control Guidelines, 3er Edition: Canadian Institute of Chartered Accountants, Toronto, 1998 ISO/IEC TR 1335-n Guidelines for the Management of IT Security, (GMITS) Parts 1-5: International Organisation for Standardisation, Switzerland, 1998. AICPA/CICA SystrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute of Certified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999.
133
OBJETIVOS DE CONTROL APNDICE IV - GLOSARIO DE TERMINOS

AICPA CCEB CICA CISA Control Instituto Americano de Contadores Pblicos Certificado. (American Institute of Certified Public Accountants) Criterios comunes para seguridad en tecnologa de informacin. (Common Criteria for Information Technology Security) Instituto Canadiense de Contadores. (Canadian Institute of Chartered Accountants) Auditor Certificado de Sistemas de Informacin. (Certified Information Systems Auditor) Polticas, procedimientos, prcticas y estructuras organizacionales, diseados para proporcionar una seguridad razonable de que los objetivos del negocio sern alcanzados y que eventos no deseados sern prevenidos o detectados y corregidos. Comit de Organizaciones Patrocinadoras de la Comisin de Intercambio. "Tradeway" (Committee of Sponsoring Organisations of the Tradeway Commission). Instituto Internacional de Recuperacin de Desastres. (Disaster Recovery Institute International) Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of the United Kingdom) Intercambio Electrnico de Datos para la Administracin, el Comercio y la Industria (Electronic Data Interchange for Administration, Commerce and Trade) Fundacin de Auditores de Procesamiento Electrnico de Datos (Electronic Data Processing Auditors Foundation), ahora ISACF. Foro Europeo de Seguridad (European Security Forum), cooperacin de 70+ multinacionales europeas principalmente con el propsito de investigar problemas de seguridad y control comunes de TI. Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office) Instituto Internacional de Integridad de Informacin. (International Information Integrity Institute), asociacin similar a ESF, con metas similares, pero con base principalmente en los Estados Unidos y dirigida por el Instituto de Investigaciones de Stanford (Stanford Research Institute) Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group), representantes de la industria que asesoran al Comit Infosec. Este Comit est compuesto por funcionarios de los gobiernos de la Comunidad Europea y asesora a la Comisin Europea sobre cuestiones de seguridad de TI. Federacin Internacional de Contadores. (International Federation of Accountants) Instituto de Auditores Internos. (Institute of Internal Auditors)
COSO DRI DTI EDIFACT EDPAF ESF
GAO I4
IBAG
IFAC IIA
134
INFOSEC ISACA ISACF ISO ISO9000 ITIL ITSEC Comit Consultivo para la Comisin Europea en Materia de Seguridad TI. (Advisory Committee for IT Security Matters to the European Commission) Asociacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit and Control Foundation) Fundacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit and Control Foundation) Organizacin de Estndares Internacionales. (International Standards Organisation) (con oficinas en Gnova, Suiza) Estndares de manejo y aseguramiento de la calidad definidos por ISO. Biblioteca de Infraestructura de Tecnologa de Informacin. (Information Technology Infrastructure Library) Criterios de Evaluacin de Seguridad de Tecnologa de Informacin (Information Technology Security Evaluation Criteria). Combinacin de los criterios de Francia, Alemania, Holanda y Reino Unido, soportadas consecuentemente por la Comisin Europea (ver tambin TCSEC, el equivalente en los Estados Unidos). Departamento Nacional de Estndares de los Estados Unidos (National Bureau of Standards of the U.S.) (antes NBS) Instituto Nacional de Estndares y Tecnologa. (National Institute of Standards and Technology), con base en Washington D.C. Nueva Gales del Sur, Australia. (New South Wales, Australia) Una sentencia o declaracin del resultado deseado o propsito a ser alcanzado mediante la implementacin de procedimientos de control en una actividad particular de TI Organizacin para la Cooperacin y el Desarrollo Econmico. (Organisation for Economic Cooperation and Development) Fundacin de Software Pblico (Open Software Foundation) Consejo Presidencial de Integridad y Eficiencia. (Presidents Council on Integrity and Efficiency) Mejoramiento del Proceso de Software y Determinacin de la Capacidad (Software Process Improvement and Capability Determination) - un estndar pare el mejoramiento del proceso de software Criterios de Evaluacin de Sistemas Computarizados Confiables. (Trusted Computer System Evaluation Criteria), conocido tambin como "The Orange Book". Criterios de evaluacin de seguridad para sistemas computarizados definidos originalmente por el Departamento de Defensa de los Estados Unidos. Ver tambin ITSEC, el equivalente europeo. Gua para la Construccin y Certificacin de Sistemas de Administracin de Calidad. (Guide to Software Quality Management System Construction and Certification)
NBS NIST NSW Objetivo de Control OECD OSF PCIE SPICE TCSEC
TickIT
135

A - COBIT-Objetivos de Control - 3 Edicion

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

A - COBIT-Objetivos de Control - 3 Edicion

Încărcat de

Drepturi de autor:

Formate disponibile

OBJETIVOS DE CONTROL

LIECHTENSTEIN OBJETIVOS DE CONTROL

INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION

Programas y Servicios de la Asociacin

TURQUA UGANDA EMIRATOS ARAB UNIDOS REINO UNIDO ESTADOS UNIDOS

URUGUAY VENEZUELA VIETNAM GALES YEMEN ZAMBIA ZIMBABWE

COMIT DIRECTIVO DE COBIT

MARK STANLEY, SUN AMERICA INC., USA

PROCESOS DE TI DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS DE COBIT

OBJEIVOS DE OBJETIVOS DE NEGOCIO NEGOCIO

EL MARCO REFERENCIAL DE COBIT

Gobierno de Tecnologia de Informacion

Actividades de Tecnologia de Informacion

Objetivo Objetivode de control control en enTI TI se sedefine define como como

Gobierno de TI se define como

LOS PRINCIPIOS DEL MARCO DE REFERENCIA

Los recursos de TI identificados en COBIT pueden explicarse/definirse como se muestra a continuacin:

E fe c t iv id a d E fic ie n c ia C o n fid e n c ia lid a d I n t e g r id a d D is p o n ib ilid a d C u m p lim ie n t o C o n fia b ilid a d

efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad

PO1 PO2 PO3 PO4

OBJETIVOS DE CONTROL HISTORIA Y ANTECEDENTES DE COBIT

OBJETIVOS DE CONTROL HISTORIA Y ANTECEDENTES DE COBIT

EVOLUCIN DEL PRODUCTO COBIT

PRODUCTOS DE LA FAMILIA COBIT

Familia de Productos COBIT

CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACIN

MARCO REFERENCIAL objetivos de control de alto nivel

OBJETIVOS DE CONTROL DETALLADOS

Factores Crticos de xito

Indicadores Clave por Objetivos

Indicadores Clave de Desempeo

OBJETIVOS DE CONTROL OBJETIVOS DE CONTROL TABLA RESUMEN

Entrega de servicios y Soporte

(P) Primario (S) Secundario

OBJETIVOS DE CONTROL PRINCIPIOS DE LOS OBJETIVOS DE CONTROL

Adquisicin & Implementacin

Entrega & Soporte

Tres puntos de posicin

Adquisicin & Implementacin

nt e ac te ion cn e in olo s st al g a ac io da nes to s ap lic

OBJETIVOS DE CONTROL RELACIONES DE OBJETIVOS DE CONTROL DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL

ENTREGA DE SERVICIOS Y SOPORTE

OBJETIVOS DE CONTROL OBJETIVOS DE CONTROL DE ALTO NIVEL

Planeacin & Organizacin

Entrega & Soporte

OBJETIVOS DE CONTROL OBJETIVOS DE CONTROL DE ALTO NIVEL

Planeacin & Organizacin

Entrega & Soporte

DEFINICIN DE LA ARQUITECTURA DE INFORMACIN

OBJETIVOS DE CONTROL OBJETIVOS DE CONTROL DE ALTO NIVEL

Entrega & Soporte

Resistencia (resilience): ndice de resistencia a fallas

OBJETIVOS DE CONTROL DE ALTO NIVEL

Planeacin & Organizacin

Adquisicin & Implementacin

Entrega & Soporte

4.1 Comit de planeacin o direccin de TI

OBJETIVOS DE CONTROL OBJETIVOS DE CONTROL DE ALTO NIVEL

Entrega & Soporte

OBJETIVOS DE CONTROL OBJETIVOS DE CONTROL DE ALTO NIVEL

Entrega & Soporte

g ap ente lic a te c i o n cn e in olo s st g al ac a io da nes to s

OBJETIVOS DE CONTROL DE ALTO NIVEL