Documente Academic
Documente Profesional
Documente Cultură
COBIT
OBJETIVOS DE CONTROL
3a Edicin
Emitido por el Comit Directivo de COBIT y El IT Governance Institute MR
Traduccin al espaol por Gustavo A. Sols Montes, CISA
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.
IT GOVERNANCE INSTITUTE
ARGENTINA ARUBA AUSTRALIA AUSTRIA BAHAMAS BAHRAIN BANGLEDESH BARBADOS BLGICA BERMUDA BOLIVIA BOSTSWANA BRASIL BRUENI CANAD CHILE CHINA COLOMBIA COSTA RICA CROATA CURAZAO CYPRUS REPBLICA CHECA DINAMARCA REPBLICA DOMINICANA
ECUADOR EGIPTO ESTONIA ISLAS FAEROE FINLANDIA FRANCIA ALEMANIA GHANA GRECIA GUAM GUATEMALA HONDURAS HONG KONG HUNGRA ISLANDIA INDIA INDONESIA IRLANDA ISRAEL ITALIA IVORY COAST JAMAICA JAPN JORDN KENYA COREA KUWAIT LATVIA LEBANON
Para ms Informacin
Para recibir informacin adicional, puede llamar al (+1.847.253.1545), enviar un email a (research@isaca.org) o visitar los siguentes sitios web:
LITUANIA LUXEMBURGO MALASIA MALTA MALAWI MXICO PASES BAJOS NUEVA GUINEA NUEVA ZELANDA NIGERIA NORUEGA OMN PAKISTN PANAM PER FILIPINAS POLONIA PORTUGAL QATAR RUSIA SAIPAN ARABIA SAUDITA ESCOCIA SEYCHELLES SINGAPUR REP. ESLOVACA ESLOVENIA SUDFRICA ESPAA SRI LANKA ST. KITTS ST. LUCIA SUECIA SUIZA SIRIA TAIWAN TANZANIA TASMANIA TAILANDIA TRINIDAD & TOBAGO
sus actividades estndar establecen la base de calidad mediante la cual otras actividades de control y auditora de TI se miden.
www.itgovernance.org www.isaca.org
IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
Reconocimientos Resumen Ejecutivo El Marco Referencial de COBIT Estableciendo la escena Los Principios del Marco Referencial Historia y Antecedentes del COBIT Tabla Resumen Principios de los Objetivos de Control Relaciones de Objetivos de Control Dominios, Procesos y Objetivos de Control Objetivos de Control Planeacin y Organizacin Adquisicin e Implementacin Entrega de Servicios y Soporte Monitoreo Apndice I Directrices Gerenciales del Gobierno de IT Apndice II Descripcin del Proyecto Cobit Apndice III Material de Referencia Primaria Apndice IV Glosario de Trminos Originales 134 131 129 125 32 62 80 114 4 5 9 9 14 20 22 23 25
Lmite de Responsabilidad La Information Systems Audit and Control Foundation, el IT Governance Institute y los patrocinadores de COBIT: Objetivos de Control para la Informacin y Tecnologas Relacionadas, han diseado y creado las publicaciones tituladas Resumen Ejecutivo, Marco Referencial, Objetivos de Control, Directrices Gerenciales, Directrices de Auditora, y el Conjunto de Herramientas de Implementacin (llamado colectivamente el Producto) principalmente como una fuente de instruccin para los profesionales dedicados a las actividades de control. La Information Systems Audit and Control Foundation, el IT Governance Institute y los patrocinadores no garantizan que el uso de este producto asegurar un resultado exitoso. No deber considerarse que este producto incluye todos los procedimientos o pruebas apropiados o que excluye otros procedimientos y pruebas que estn razonablemente dirigidos hacia la obtencin de los mismos resultados. Para determinar la conveniencia de cualquier prueba o procedimiento especfico, los expertos en control debern aplicar su propio juicio profesional a las circunstancias de control especiales presentadas por cada entorno de sistemas en particular. Acuerdo de Licencia de uso (disclosure) Copyright 1996, 1998, 2000, de la Information Systems Audit and Control Foundation (ISACF). La reproduccin para fines comerciales no est permitida sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el Conjunto de Herramientas de Implementacin para uso interno no comercial, incluyendo almacenamiento en medios de recuperacin de datos y transmisin en cualquier medio, incluyendo electrnico, mecnico, grabado u otro medio. Todas las copias del Resumen Ejecutivo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el Conjunto de Herramientas de Implementacin deben incluir el siguiente reconocimiento y leyenda de derechos de autor: Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reimpreso con la autorizacin de la Information Systems Audit and Control Foundation, y el IT Governance Institute. Las Guas/Directrices de Auditora no pueden ser usadas, copiadas, reproducidas, almacenadas, modificadas en un sistema de recuperacin de datos o transmitido en ninguna forma ni por ningn medio (electrnico, mecnico, fotocopiado, grabado u otro medio) sin la previa autorizacin por escrito de la ISACF. Sin embargo, las Directrices de Auditora pueden ser usadas con fines no comerciales internos nicamente. Excepto por lo indicado, no se otorga ningn otro derecho o permiso relacionado con esta obra. Todos los derechos de esta obra son reservados. Information Systems Audit and Control Foundation IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, Illinois 60008 USA. Telfono: 1+847.253.1525 Fax: 1+847.253.1443 E-mail: research@isaca.org Web sites: www.isaca.org www.Itgovernance.org ISBN 1-893209-17-2 (Control Objectives, English) ISBN 1-893209-13-X (Paquete completo de los 6 libros y CD) Impreso en los Estados Unidos de Amrica
IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
RECONOCIMIENTOS
Agradecimientos Especiales a los Captulos de ISACA del rea de la Capital Nacional y al de Boston por su contribucin a los Objetivos de Control de Cobit
Agradecimientos Especiales a los miembros de la Mesa Directiva de la Information Systems Audit and Control Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, encabezados por el Presidente Internacional Paul Williams, por su contnuo y firme apoyo al Cobit
IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
RESUMEN EJECUTIVO
Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) Relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticidad emerge de: La creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de informacin1 La escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin; y El potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa. Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la Gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de TI. Por lo tanto, la Administracin requiere niveles de servicio que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, as como un mejoramiento continuo y una disminucin de los tiempos de entrega; al tiempo que demanda que esto se realice a un costo ms bajo. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nuevas tecnologas. Hay numerosos cambios en TI y en su ambiente de operacin que enfatiza la necesidad de un mejor manejo relacionado con los riesgos de TI. La dependencia en la informacin electrnica y en los sistemas de TI son esenciales para soportar los procesos crticos del negocio. Adicionalmente, el ambiente regulatorio demanda control estricto sobre la informacin. Esto a su vez conduce a un incremento de los desastres en los sistemas de informacin y al incremento del fraude electrnico. La Administracin de los riesgos relacionados con TI est siendo entendido como un aspecto clave en el gobierno o direccin empresarial. Dentro del Gobierno Empresarial, el Gobierno / Gobernabilidad de TI2 se est volviendo mas y mas importante y est definido como una estructura de relaciones y procesos para dirigir y controlar a la empresa con el fin que sta pueda cumplir sus metas dando valor agregado mientras balancea sus riesgos versus el retorno sobre TI y sus procesos. El Gobierno de TI es parte integral del xito de la Gerencia de la Empresa al asegurar mejoras medibles, eficientes y efectivas de los procesos relacionados de la empresa. El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la informacin con las estrategias y los objetivos de la empresa. Adems, el Gobierno de TI integra e institucionaliza buenas (o mejores) prcticas de planeacin y organizacin, adquisicin e implementacin, entrega de servicios y soporte y monitorea el desempeo de TI para asegurar que la informacin de la empresa y las tecnologas relacionadas soportan sus objetivos del negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su informacin logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva GOBIERNO DE TI Una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar los objetivos de la empresa y aadir valor mientras se balancean los riesgos versus el retorno sobre TI y sus procesos. Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La Administracin deber adems optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir con esta responsabilidad, as como para alcanzar sus
1 2
Guerra de informacin (information warfare) Gobierno de TI (IT Governance) Governance es un trmino que representa el sistema de control o administracin que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.
IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
objetivos, la Administracin debe entender el estado de sus propios sistemas de TI y decidir el nivel de seguridad y control que deben proveer estos sistemas. Los Objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT), ahora en esta tercera edicin, ayuda a satisfacer las mltiples necesidades de la Administracin estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos tcnicos. Provee buenas prcticas a travs de un dominio y el marco referencial de los procesos y presenta actividades en una estructura manejable y lgica. Las Buenas prcticas de COBIT rene el consenso de expertos - quienes ayudarn a optimizar la inversin de la informacin y proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividades van por el camino equivocado. La Administracin debe asegurar que los sistemas de control interno o el marco referencial estn funcionando y soportan los procesos del negocio y debe tener claridad sobre la forma como cada actividad individual de control satisface los requerimientos de informacin e impacta los recursos de TI. El impacto sobre los recursos de TI son resaltados en el Marco de Referencia de COBIT junto con los requerimientos del negocio que deben ser alcanzados: eficiencia, efectividad, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la informacin. El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin. La administracin, mediante este gobierno corporativo, debe asegurar que todos los individuos involucrados en la administracin, uso, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin acten con la debida diligencia. Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una actividad de TI. La orientacin al negocio es el tema principal de COEst diseado no solo para ser utilizado por usuarios y auditores, sino que, lo ms importante, esta diseado para ser utilizado por los propietarios de los procesos de negocio como una gua clara y entendible. A medida que ascendemos, las prcticas de negocio requieren de una mayor delegacin y empoderamiento3 de los dueos de los procesos para que estos tengan total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En particular, esto incluye el proporcionar controles adecuados.
BIT.
IT GOVERNANCE INSTITUTE
El Marco de Referencia de COBIT proporciona, al propietario de procesos de negocio, herramientas que facilitan el cumplimiento de esta responsabilidad. El Marco de Referencia comienza con una premisa simple y prctica: Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural. El Marco de Referencia contina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: Planeacin y Organizacin, Adquisicin e Implementacin, Entrega de servicios y Soporte y Monitoreo. Esta estructura cubre todos los aspectos de informacin y de tecnologa que la soporta. Administrando adecuadamente estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin. El Marco de Referencia de COBIT provee adems una gua o lista de verificacin para el Gobierno de TI. El Gobierno de TI proporciona las estructuras que encadenan los procesos de TI, los recursos de TI y la informacin con los objetivos y las estrategias de la empresa. El Gobierno de TI integra de una forma ptima el desempeo de la Planeacin y Organizacin, la Adquisicin e Implementacin, la Entrega de Servicios y Soporte y el Monitoreo. El Gobierno de TI facilita que la empresa obtenga total ventaja de su informacin y as mismo maximiza sus beneficios, capitalizando sus oportunidades y obteniendo ventaja competitiva Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una Gua o directriz de Auditora o de aseguramiento que permite la revisin de los procesos de TI contra los 318 objetivos detallados de control recomendados por COBIT para proporcionar a la Gerencia la certeza de su cumplimiento y/o sugerencias para su mejoramiento.
Empoderamiento (empowerment)
OBJETIVOS DE CONTROL
Las Guas o Directrices Gerenciales de COBIT, desarrolladas recientemente, ayudan a la Gerencia a cumplir de una forma mas efectiva con las necesidades y requerimientos del Gobierno de TI. Las Directrices son acciones genricas orientadas a proveer a la Administracin la direccin para mantener bajo control la informacin de la empresa y sus procesos relacionados, para monitorear el logro de las metas organizacionales, para monitorear el desempeo de cada proceso de TI y para llevar a cabo un benchmarking de los logros organizacionales. Especficamente COBIT provee Modelos de Madurez para el control sobre los procesos de TI de tal forma que la Administracin puede ubicarse en el punto donde la organizacin est hoy, donde est en relacin con los mejores de su clase en su industria y con los estndares internacionales y as mismo determinar a donde quiere llegar; Factores Crticos de xito (Critical Success Factors), que definen o determina cuales son las mas importantes directrices que deben ser consideradas por la Administracin para lograr control sobre y dentro de los procesos de TI. Indicadores Claves del logro de Objetivos o de Resultados (Key Goal Indicators) los cuales definen los mecanismos de medicin que indicarn a la Gerencia despus del hecho si un proceso de TI ha satisfecho los requerimientos del negocio; y los Indicadores Clave de desempeo (Key Performance Indicators) los cuales son indicadores primarios que definen la medida para conocer qu tan bien se est ejecutando el proceso de TI frente o comparado contra el objetivo que se busca. Las Directrices Gerenciales de COBIT son genricas y son acciones orientadas al propsito de responder los siguientes tipos de preguntas gerenciales: Qu tan lejos debemos ir y es el costo justificado para el beneficio obtenido? Cules son los indicadores de buen desempeo? Cules son los factores crticos de xito? Cules son los riesgos de no lograr nuestros objetivos? Qu hacen otros? Cmo nos podemos medir y comparar? COBIT contiene adicionalmente un Conjunto de Herramientas de Implementacin que proporciona lecciones aprendidas por empresas que rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo. Incluye dos herramientas particularmente tiles - Diagnstico de Sensibilizacin Gerencial (Management Awareness Diagnostic) y Diagnstico de Control en TI (IT Control Diagnostic) - para proporcionar asistencia en el anlisis del ambiente de control de TI en una organizacin.
IT GOVERNANCE INSTITUTE
En los prximos aos las Directivas de las Organizaciones necesitarn demostrar que estn logrando incrementar sus niveles de seguridad y control. COBIT es una herramienta que ayuda a los Directivos a colocar un puente entre los requerimientos de control, los aspectos tcnicos y los riesgos del negocio y adicionalmente informa a los accionistas o dueos de la empresa el nivel de control alcanzado. COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de TI a travs de las organizaciones, a nivel mundial. Por lo tanto, COBIT est diseado para ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de los riesgos as como de los beneficios asociados con la informacin y sus tecnologas relacionadas.
OBJETIVOS DE CONTROL
COBIT
M1 Monitorear los procesos M2 Evaluar lo adecuado del control Interno M3 Obtener aseguramiento independiente M4 Proporcionar auditora independiente
PO1
INFORMACION
efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad
Definir un Plan Estratgico de Tecnologa de Informacin Definir la Arquitectura de Informacin Determinar la direccin tecnolgica Definir la Organizacin y de las Relaciones de TI PO5 Manejar la Inversin en Tecnologa de Informacin PO6 Comunicar la direccin y aspiraciones de la gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento de Requerimientos Externos PO9 Evaluar Riesgos PO10 Administrar proyectos PO11 Administrar Calidad PO2 PO3 PO4
MONITOREO
RECURSOS DE TI
datos sistemas de aplicacin tecnologa instalaciones gente
PLANEACION Y ORGANIZACION
ENTREGA Y SOPORTE
ADQUISICION E IMPLEMENTACION
DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13
Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeo y Capacidad Asegurar Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a los Usuarios Apoyar y Asistir a los Clientes de TI Administrar la Configuracin Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones
AI1 Identificar Soluciones AI2 Adquirir y Mantener Software de Aplicacin AI3 Adquirir y Mantener Arquitectura de Tecnologa AI4 Desarrollar y Mantener Procedimientos relacionados con TI AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios
IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
masiado complicada. Incluso, la administracin consulta cada vez ms a los auditores para que la asesoren en forma proactiva en lo referente a asuntos de seguridad y control de TI. EL AMBIENTE DE NEGOCIOS: COMPETENCIA, CAMBIO Y COSTOS La competencia global es ya un hecho. Las organizaciones se reestructuran con el fin de perfeccionar sus operaciones y al mismo tiempo aprovechar los avances en TI para mejorar su posicin competitiva. La reingeniera en los negocios, las reestructuraciones o rightsizing, el outsourcing, el empoderamiento, las organizaciones horizontales y el procesamiento distribuido son cambios que impactan la manera en la que operan tanto los negocios como las entidades gubernamentales. Estos cambios han tenido y continuarn teniendo, profundas implicaciones para la administracin y las estructuras de control operacional dentro de las organizaciones en todo el mundo. La especial atencin prestada a la obtencin de ventajas competitivas y a la eficiencia en costos implica una dependencia creciente en la tecnologa como el componente ms importante en la estrategia de la mayora de las organizaciones. La automatizacin de las funciones organizacionales, por su naturaleza, dicta la incorporacin de mecanismos de control ms poderosos en las computadoras y en las redes, tanto para las basadas en hardware como las basadas en software. Adems, las caractersticas estructurales fundamentales de estos controles estn evolucionando al mismo paso que las tecnologas de computacin y las redes. Dentro del marco referencial de cambios acelerados, si los administradores, los especialistas en sistemas de informacin y los auditores desean en realidad ser capaces de cumplir con sus tareas en forma efectiva , debern aumentar y mejorar sus habilidades tan rpidamente como lo demandan la tecnologa y el ambiente. Debemos comprender la tecnologa de controles involucrada y su naturaleza cambiante si deseamos emitir y ejercer juicios razonables y prudentes al evaluar las prcticas de control que se encuentran en los negocios tpicos o en las organizaciones gubernamentales.
OBJETIVOS DE CONTROL
APARICION DEL GOBIERNO DE LA EMPRESA Y DEL GOBIERNO DE TI Para lograr el xito en esta economa de informacin, el Gobierno de la empresa y el Gobierno de TI no pueden ser consideradas separadamente y en distintas disciplinas. El gobierno efectivo de la empresa enfoca el conocimiento y la experiencia en forma individual y grupal, donde puede ser mas productivo, monitoreado y medido el desempeo as como provisto el aseguramiento para aspectos crticos. TI, por mucho tiempo considerada aislada dentro del logro de los objetivos de la empresa debe ahora ser considerada como una parte integral de la estrategia. El Gobierno de TI provee la estructura que une los procesos de TI, los recursos de TI y las estrategias y objetivos de la empresa. El Gobierno de TI integra e institucionaliza de una manera ptima la planeacin y organizacin, la adquisicin e implementacin, la entrega de servicios y soporte y el monitoreo del desempeo de TI. El Gobierno de TI es integral para el xito del Gobierno de la Empresa asegurando una eficiente y efectiva medicin para mejorar los procesos de la empresa. El Gobierno de TI le permite a la empresa tomar ventaja total de su informacin, al maximizar sus beneficios, capitalizar sus oportunidades y ganar ventaja competitiva. Observando en el contexto a la empresa y los procesos del Gobierno de TI con mayor detalle, el gobierno de la empresa, el sistema por el cual las entidades son dirigidas y controladas direcciona y analiza el Gobierno de TI. Al mismo tiempo, TI debera proveer insumos crticos y constituirse en un componente importante de los planes estratgicos. De hecho TI puede influenciar las oportunidades estratgicas de la empresa.
Gobierno de la Empresa
Direcciona y Prepara
Las actividades de la empresa requieren informacin de las actividades de TI con el fin de satisfacer los objetivos del negocio. Organizaciones exitosas aseguran la interdependencia entre su plan estratgico y sus actividades de TI. TI debe estar alineado y debe permitir a la empresa tomar ventaja total de su informacin para maximizar sus beneficios, capitalizar oportunidades y ganar ventaja competitiva.
Actividades de la empresa
Requiere informacion de
Las empresas son gobernadas por buenas (o mejores) prcticas generalmente aceptadas para asegurar que la empresa cumpla sus metas asegurando que lo anterior est garantizado por ciertos controles. Desde estos objetivos fluye la direccin de la organizacin, la cual dicta ciertas actividades a la empresa usando sus propios recursos. Los resultados de las actividades de la empresa son medidos y reportados proporcionando insumos para el mantenimien10
IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
to y revisin constante de los controles, comenzando el ciclo de nuevo. Tambin TI es gobernado por buenas (o mejores) prcticas para asegurar que la informacin de la empresa y sus tecnologas relacionadas apoyan sus objetivos del negocio, estos recursos son utilizados responsablemente y sus riesgos son manejados apropiadamente. Estas prcticas conforman una base para la direccin de las actividades de TI las cuales pueden ser enmarcadas en la Planeacin y Organizacin, Adquisicin e Implementacin, Entrega de Servicios y Soporte y Monitoreo para los propsitos duales como son el manejo de riesgo (para obtener seguridad, confiabilidad y cumplimiento) y la obtencin de beneficios (incrementando la efectividad y eficiencia). Los reportes son enfocados sobre los resultados de las actividades de TI, los cuales son medidos contra diferentes prcticas y controles y el ciclo comienza otra vez.
Gobierno de la Empresa
Direcciona
Objetivos
CONTROL
Actividades de la Empresa
Recursos
Reportando
Usando
Gobierno de TI
Objetivos
TI est alineado con el negocio, habilita al negocio y maximiza beneficios.
DIRIGIR
Actividades de TI
Planea Hace Revisa Corrige PO AI DS MO
Manejo de Riesgo Seguridad Confiabilidad Conformidadcumplimiento Beneficios Incrementar Automatizacin ser efectivo Decrementar Costos ser eficiente
CONTROL
Los recursos de TI son utilizados responsablemente. Los riesgos relacionados a TI son manejados apropiadamente.
REPORTAR
Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se estn desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organizacin contra las mejores practicas industriales y los modelos internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices Gerenciales de COBIT en las cuales se han identificado Factores Crticos de Exito especficos, Indicadores Claves por Objetivo e Indicadores Clave de Desempeo y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apdice I.
IT GOVERNANCE INSTITUTE
11
OBJETIVOS DE CONTROL
RESPUESTA A LAS NECESIDADES En vista de estos continuos cambios, el desarrollo de este Marco Referencial de objetivos de control para TI, conjuntamente con una investigacin continua aplicada a controles de TI basada en este marco referencial, constituyen el fundamento para el progreso efectivo en el campo de los controles de sistemas de informacin. Por otro lado, hemos sido testigos del desarrollo y publicacin de modelos de control generales de negocios como COSO [Committee of Sponsoring Organisations of the Treadway Commisssion Internal ControlIntegrated Framework, 1992] en los EUA, Cadbury en el Reino Unido, CoCo en Canad y King en Sudfrica. Por otro lado, existe un nmero importante de modelos de control ms enfocados al nivel de tecnologa de informacin. Algunos buenos ejemplos de esta ltima categora son el Security Code of Conduct del DTI (Departamento de Industria y Comercio, Reino Unido) y el Security Handbook de NIST (National Institute of Standards and Technology, EUA). Sin embargo, estos modelos de control con orientacin especfica no proporcionan un modelo de control completo y utilizable sobre tecnologa de informacin como soporte para los procesos del negocio. El propsito de COBIT es cubrir este vaco proporcionando una base que est estrechamente ligada a los objetivos de negocio, al mismo tiempo que se enfoca a la tecnologa de informacin. (El documento que ms se acerca al COBIT es una publicacin reciente de AICPA/CICA Systrust TM Principios y Criterios para la Confiabilidad de los Sistemas. SysTrust es una autoridad que realiza publicaciones para el Comit Ejecutivo de Servicios de Aseguramiento de los Estados Unidos y para el Comit de Desarrollo de Servicios de Calidad de Canad, basado en parte en los Objetivos de Control de COBIT. SysTrust est diseado para incrementar el confort de la Administracin, los clientes y los socios de negocios con los sistemas que soportan un negocio o una actividad en particular. Los servicios de SysTrust incluyen al contador pblico proporcionndole un servicio de aseguramiento en el cual l o ella evala y prueba si el sistema es confiable cuando lo mide contra cuatro principios esenciales: Disponibilidad, seguridad, integridad y mantenimiento. Un enfoque hacia los requerimientos del negocio en cuanto a controles para tecnologa de informacin y la aplicacin de modelos de control emergentes y estndares internacionales relacionados incluyen los Objetivos de Control originales de la Information Systems Audit and Control Foundation como una herramienta usada por el Auditor y la Administracin. Adicionalmente, el desarrollo de las Directrices Gerenciales de TI ha llevado al COBIT al siguiente nivel proporcionando a la Administracin Indicadores Clave de Logros (KGIs Key Goal Indicators), Indicadores Claves de Desempeo (KPIs Key Performance Indicators), Factores Crticos de xito (CSFsCritical Success Factors) y un Modelo de Madurez con el cual puede analizar el ambiente de TI y considerar opciones para la implementacin y mejoramiento de los controles sobre la informacin de la organizacin y sus tecnologas relacionadas. Por lo tanto, el objetivo principal del proyecto COBIT es el desarrollo de polticas claras y buenas prcticas para la seguridad y el control de Tecnologa de Informacin, con el fin de obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. La meta del proyecto es desarrollar estos objetivos de control principalmente a partir de la perspectiva de los objetivos y necesidades de la empresa. (Esto concuerda con la perspectiva COSO, que constituye el primer y mejor marco referencial para la administracin en cuanto a controles internos.) Posteriormente, los objetivos de control fueron desarrollados a partir de la perspectiva de los objetivos de auditora (certificacin de informacin financiera, certificacin de medidas de control interno, eficiencia y efectividad, etc.) AUDIENCIA: ADMINISTRACION, USUARIOS Y AUDITORES COBIT est diseado para ser utilizado por tres audiencias distintas: ADMINISTRACION/ GERENCIA (Management): Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnologa de informacin frecuentemente impredecible. USUARIOS: Para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa de informacin proporcionados internamente o por terceras partes. AUDITORES: Para soportar su opinin y/o proporcionar consejos a la Administracin sobre los controles internos.
IT GOVERNANCE INSTITUTE
12
OBJETIVOS DE CONTROL
ORIENTACIN A OBJETIVOS DE NEGOCIO El CobiT est alineado con los Objetivos del Negocio. Los Objetivos de Control muestran una relacin clara y distintiva con los objetivos del negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditora. Los Objetivos de Control estn definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios. En dominios y procesos identificados, se identifica tambin un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Adicionalmente, se establecen consideraciones y guas para definir e implementar el Objetivo de Control de TI. La clasificacin de los dominios a los que se aplican los objetivos de control de alto nivel (dominios y procesos); una indicacin de los requerimientos de negocio para la informacin en ese dominio, as como los recursos de TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamente el Marco de Referencia de COBIT. El Marco de Referencia toma como base las actividades de investigacin que han identificado 34 objetivos de alto nivel y 318 objetivos de control detallados. El Marco de Referencia fue presentado a la industria de TI y a los profesionales dedicados a la auditora para abrir la posibilidad a revisiones, cambios y comentarios. Las ideas obtenidas fueron incorporadas en forma apropiada. DEFINICIONES GENERALES Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La definicin de Control est adaptada del reporte COSO [Committee of Sponsoring Organisations of the Treadway Commission. Internal Control-Integrated Framework, 1992 y la definicin para Objetivo de Control de TI ha sido adaptada del reporte SAC (Systems Auditability and Control Report, The Institute of Internal Auditors Research Foundation, 1991 y 1994).
Control Control se se define define como como
Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos Una sentencia del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular.
Una estructura de relaciones y procesos para dirigir y controlar la empresa con el fin de lograr sus objetivos al aadir valor mientras se equilibran los riesgos contra el retorno sobre TI y sus procesos.
IT GOVERNANCE INSTITUTE
13
OBJETIVOS DE CONTROL
Efectividad y eficiencia de las operaciones Confiabilidad de la informacin Cumplimiento de las leyes y regulaciones Confidencialidad Integridad Disponibilidad
Requerimientos de Seguridad
Requerimientos de Negocio
La Calidad ha sido considerada principalmente por su aspecto negativo (ausencia de fallas, confiabilidad, etc.), lo cual tambin se encuentra contenido en gran medida en los criterios de Integridad. Los aspectos positivos, pero menos tangibles, de la calidad (estilo, atractivo, ver y sentir, desempeo ms all de las expectativas, etc.) no fueron, por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La premisa se refiere a que la primera prioridad deber estar dirigida al manejo apropiado de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la Calidad est cubierto por los criterios de efectividad. Se consider que el aspecto de entrega o distribucin del servicio, de la Calidad se traslapa con el aspecto de disponibilidad correspondiente a los requerimientos de seguridad y tambin en alguna medida, con la efectividad y la eficiencia. Finalmente, el Costo tambin es considerado, siendo cubierto por la Eficiencia. Para los requerimientos fiduciarios, COBIT no intent reinventar la rueda se utilizaron las definiciones de COSO para la efectividad y eficiencia de las operaciones, confiabilidad de informacin y cumplimiento con leyes y regulaciones. Sin embargo, confiabilidad de informacin fue ampliada para incluir toda la informacin no slo informacin financiera. Con respecto a los aspectos de seguridad, COBIT identific la confidencialidad, integridad y disponibilidad como los elementos clave se encontr que estos mismos tres elementos son utilizados a nivel mundial para describir los requerimientos de seguridad. Comenzando el anlisis a partir de los requerimientos
Procesos de TI Recursos de TI
Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos criterios a los que COBIT hace referencia como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos: Calidad Costo Requerimientos de Calidad Entrega o Distribucin (de servicio)
IT GOVERNANCE INSTITUTE
14
OBJETIVOS DE CONTROL
de Calidad, Fiduciarios y de Seguridad ms amplios, se extrajeron siete categoras distintas, ciertamente superpuestas. A continuacin se muestran las definiciones utilizadas por COBIT:
Efectividad
Confiabilidad de la Informacin
Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente.
Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.
Eficiencia
Son objetos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc. Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados. La tecnologa cubre hardware, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. Recursos para alojar y dar soporte a los sistemas de informacin. Habilidades del personal, conocimiento, sensibilizacin y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin.
Confidencialidad
Sistemas de Aplicaciones
Tecnologa
Integridad
Instalaciones
Disponibilidad
Personal
Cumplimiento
Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se describe a continuacin:
E v e n to s
O b je t iv o s d e n e g o c io O p o r tu n id a d e s d e n e g o c io R e q u e r im ie n to s e x te r n o s R e g u la c io n e s R ie s g o s
m e n s a je e n tra d a
D Da a tto os s
S S iis stte em ma as sd de eA Ap p lliic ca ac c ii n n
In f o r m a c i n
s e rv ic io s a lid a
T TE EC CN NO OL LO G I IA A
I IN S ST TA AL LA AC CI IO N E ES S G GE EN NT E
IT GOVERNANCE INSTITUTE
15
OBJETIVOS DE CONTROL
El dinero o capital no se tuvo en cuenta como un recurso para la clasificacin de objetivos de control para TI debido a que puede considerarse como la inversin en cualquiera de los recursos mencionados anteriormente. Es importante hacer notar tambin que el Marco Referencial no menciona, en forma especfica para todos los casos, la documentacin de todos los aspectos materiales importantes relacionados con un proceso de TI particular. Como parte de las buenas prcticas, la documentacin es considerada esencial para un buen control y, por lo tanto, la falta de documentacin podra ser la causa de revisiones y anlisis futuros de controles de compensacin en cualquier rea especfica en revisin. Con el fin de asegurar que los requerimientos de negocio para la informacin son satisfechos, deben definirse, implementarse y monitorearse medidas de control adecuadas para estos recursos. Cmo pueden entonces las empresas estar satisfechas respecto a que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de un sano marco referencial de Objetivos de Control para TI. El diagrama mostrado a continuacin ilustra este concepto.
Qu obtiene?
PROCESOS DE NEGOCIO
Qu necesita?
Criterios
INFORMACION
RECURSOS DE TI
datos sistemas de aplicacin tecnologa instalaciones gente
Concuerdan ?
IT GOVERNANCE INSTITUTE
16
OBJETIVOS DE CONTROL
El Marco de Referencia de COBIT consta de Objetivos de Control de TI de alto nivel y de una estructura general para su clasificacin y presentacin. La teora subyacente para la clasificacin seleccionada se refiere a que existen, en esencia, tres niveles de actividades de TI al considerar la administracin de sus recursos. Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras que las tareas son consideradas ms discretas. Los procesos se definen entonces en un nivel superior como una serie de actividades o tareas conjuntas con cortes naturales (de control). En el nivel ms alto, los procesos son agrupados de manera natural en dominios. Su agrupamiento natural es denominado frecuentemente como dominios de responsabilidad en una estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de vida aplicable a los procesos de TI.
Criterios de informacin
Sistemas de Aplicacin
Dominios
Procesos de TI
Procesos
Actividades
Gente
Tecnologa
Re
os rs u c
Dominios
Con lo anterior como marco de referencia, los dominios son identificados utilizando las palabras que la gerencia utilizara en las actividades cotidianas de la organizacin y no la jerga4 o terminologa del auditor -. Por lo tanto, cuatro grandes dominios son identificados: planeacin y organizacin, adquisicin e implementacin; entrega y soporte y monitoreo. Las definiciones para los dominios mencionados son las siguientes: Este dominio cubre las estrategias y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deber establecerse una organizacin y una infraestructura tecnolgica apropiadas. Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e
Procesos
Actividades
Planeacin y organizacin
Por lo tanto, el Marco de Referencia conceptual puede ser enfocado desde tres puntos estratgicos: (1) Criterios de informacin, (2) recursos de TI y (3) procesos de TI. Estos tres puntos estratgicos son descritos en el Cubo COBIT que se muestra a continuacin:
Adquisicin e implementacin
Jerga (jargon)
IT GOVERNANCE INSTITUTE
Instalaciones Datos
de TI
lid Ca
ad d Fi
i os i ar c u
Se
a rid gu
17
OBJETIVOS DE CONTROL
integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes, para asegurar que el ciclo de vida es contnuo para esos sistemas
Entrega Entrega y y soporte soporte
Confidencialidad. Es claro que todas las medidas de control no necesariamente satisfarn los diferentes requerimientos del negocio para la informacin en el mismo grado. Primario es el grado en el cual se definen objetivos de control que impactan directamente los criterios de informacin considerados Secundario es el grado en el cual se definen objetivos de control que solo satisfacen una extensin pequea o satisfacen indirectamente al criterio de informacin considerado. En blanco podra ser aplicable. Sin embargo los requerimientos son satisfechos de una forma mas apropiada por otro criterio en este proceso y/o en otro proceso.
En este dominio se hace referencia a la entrega o distribucin de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por la seguridad en los sistemas y la continuidad de las operaciones as como aspectos sobre entrenamiento. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos el cual es ejecutado por los sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin. Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Este dominio tambin advierte a la Administracin sobre la necesidad de asegurar procesos de control independientes, los cuales son provistos por auditoras internas y externas u obtenidas de fuentes alternativas.
Monitoreo
En forma similar, todas las medidas de control no necesariamente impactarn a los diferentes recursos de TI en el mismo grado. Por consiguiente, el Marco de Referencia de COBIT indica especficamente la aplicabilidad de los recursos de TI que son especficamente administrados por el proceso bajo consideracin (no solamente los que toman parte en el proceso) . Esta clasificacin se realiza con el Marco de Referencia de COBIT, basado sobre un riguroso proceso de recoleccin de ideas proporcionadas por investigadores, expertos y revisores, usando estrictas definiciones previamente indicadas. En resumen, con el fin de proveer la informacin que la organizacin necesita para lograr sus objetivos, el Gobierno de TI debe ser entrenado por la organizacin para asegurar que los recursos de TI sern administrados por una coleccin de procesos de TI agrupados naturalmente. El siguiente diagrama ilustra este concepto.
Es importante tener en cuenta que estos procesos de TI pueden ser aplicados en diferentes niveles de la organizacin. Por ejemplo, algunos de los procesos sern aplicados al nivel de la empresa, otros al nivel de la funcin de TI, otros al nivel del propietario de los procesos del negocio, etc. Debe notarse adems, que el criterio de efectividad en los procesos que planean o distribuyen soluciones para los requerimientos del negocio cubrir algunas veces los criterios de disponibilidad, integridad y confidencialidad en la prctica, stos se han convertido en requerimientos del negocio. Por ejemplo, el proceso de identificar soluciones tiene que ser efectivo en proveer requerimientos de disponibilidad, integridad y
IT GOVERNANCE INSTITUTE
18
OBJETIVOS DE CONTROL
PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS
OBJETIVOS DEL NEGOCIO GOBIERNO TI OBJEIVOS DEDE NEGOCIO
COBIT
M1 Monitorear los procesos M2 Evaluar lo adecuado del control Interno M3 Obtener aseguramiento independiente M4 Proporcionar auditora independiente
INFORMACION
efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad
Definir un Plan Estratgico de Tecnologa de Informacin Definir la Arquitectura de Informacin Determinar la direccin tecnolgica Definir la Organizacin y de las Relaciones de TI PO5 Manejar la Inversin en Tecnologa de Informacin PO6 Comunicar la direccin y aspiraciones de la gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento de Requerimientos Externos PO9 Evaluar Riesgos PO10 Administrar proyectos PO11 Administrar Calidad
MONITOREO
RECURSOS DE TI
datos sistemas de aplicacin tecnologa instalaciones gente
PLANEACION Y ORGANIZACION
ENTREGA Y SOPORTE
ADQUISICION E IMPLEMENTACION
DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13
Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeo y Capacidad Asegurar Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a los Usuarios Apoyar y Asistir a los Clientes de TI Administrar la Configuracin Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones
AI1 Identificar Soluciones AI2 Adquirir y Mantener Software de Aplicacin AI3 Adquirir y Mantener Arquitectura de Tecnologa AI4 Desarrollar y Mantener Procedimientos relacionados con TI AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios
IT GOVERNANCE INSTITUTE
19
La tercera edicin de COBIT es la mas reciente versin de los Objetivos de Control para la informacin y sus tecnologas relacionadas, que fue liberado primero por la Information Systems Audit and Control Foundation (ISACF) en 1996. La 2da edicin que refleja un incremento en el nmero de documentos fuente, una revisin en el alto nivel y objetivos de control detallados y la adicin del Conjunto de herramientas de Implementacin fue publicado en 1998. La 3a edicin marca el ingreso de un nuevo editor para COBIT: El Instituto de Gobierno5 de TI (IT Governance Institute). El Instituto de Gobierno de TI fue formado por la Information Systems Audit and Control Association (ISACA) y su Fundacin asociada en 1998 para avanzar en el entendimiento y la adopcin de principios de gobierno de TI. Con la adicin de las Directrices Gerenciales en la 3a edicin de COBIT y su expansin y mayor cubrimiento sobre el Gobierno de TI, el Instituto de Gobierno de TI adquiri un rol de liderazgo en el desarrollo de la publicacin. COBIT se bas originalmente en los Objetivos de Control de la ISACF y ha sido mejorado con las actuales y emergentes estndares internacionales a nivel tcnico, profesional, regulatorio y especficos de la industria. Los Objetivos de Control resultantes han sido desarrollados para su aplicacin en sistemas de informacin de toda la empresa. El trmino generalmente aplicables y aceptados es utilizado explcitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas en ingls). Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y responder, en la medida de lo posible, a las necesidades del negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas tcnicas de TI adoptadas en una organizacin. Sin excluir ningn otro estndar aceptado en el campo del control de sistemas de informacin que pudiera emitirse durante la investigacin, las fuentes han sido identificadas inicialmente como: Estndares Tcnicos de ISO, EDIFACT, etc. Cdigos de Conducta emitidos por el Council of Eu-
rope, OECD, ISACA, etc.; Criterios de Calificacin para sistemas y procesos de TI: ITSEC, ISO9000, SPICE, TickIT, Common Criteria, etc.; Estndares Profesionales para control interno y auditora: reporte COSO, IFAC, IIA, ISACA, GAO, PCIE, CICA, AICPA, etc.; Prcticas y requerimientos de la Industria de foros industriales (ESF, 14) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI); y Nuevos requerimientos especficos de la industria de la banca, Comercio Electrnico y manufactura de TI. (Ver Apndice II, Descripcin del Proyecto COBIT; Apndice III Material de Referencia Primaria de COBIT y Apndice IV, Glosario de Trminos )
___________ 5 Gobierno (governance): sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.
IT GOVERNANCE INSTITUTE
20
La investigacin y las publicaciones han sido posibles gracias al fundamental apoyo de PricewaterhouseCoopers y las donaciones de los captulos de ISACA y de miembros de todo el mundo. La European Security Forum (ESF) amablemente llev a cabo la recoleccin de material disponible para el proyecto. La Gartner Group adems particip en el desarrollo y realiz la revisin de aseguramiento de calidad de las Directrices Gerenciales.
RESUMEN EJECUTIVO
DIRECTRICES GERENCIALES
DIRECTRICES DE AUDITORIA
Modelo de Madurez
IT GOVERNANCE INSTITUTE
21
Criterios de Informacin
Recursos de TI
DOMINIO Planeacin y Organizacin PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 P010 PO11 AI1 AI2 AI3 AI4 AI5 AI6 DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 M1 M2 M3 M4
PROCESO
Definir un plan estratgico de sistemas Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y sus relaciones Administrar las inversiones (en TI)
Comunicar los objetivos y y aspiraciones de la Comunicar la direccin objetivos de la gerencia gerencia
Administrar los recursos humanos Asegurar el apego a de disposiciones externas Asegurar el cumplimiento requerimientos externos Evaluar riesgos Administrar proyectos Administrar calidad Identificar soluciones de automatizacin Adquirir y mantener software de aplicacin Adquirir y mantener la arquitectura tecnolgica Desarrollar y mantener procedimientos Instalar y acreditar sistemas de informacin Administrar cambios Definir niveles de servicio Administrar servicios de terceros Administrar desempeo y capacidad Asegurar continuidad de servicio Garantizar la seguridad de sistemas Identificar y asignar costos Educar y capacitar a usuarios Apoyar y orientar a clientes Administrar la configuracin Administrar problemas e incidentes Administrar la informacin Administrar las instalaciones Administrar la operacin Monitorear el proceso Evaluar lo adecuado del control interno Obtener aseguramiento independiente Proporcionar auditora independiente
P P P P P P P P S P P P P P P P P P P P P
Adquisicin e Implementacin
P S S S S S P S S S S S P S S P P P S S S P P P S P P S S P P S P P P P P P S S P P P P S P P P S S S S S S S S S S S S S S S S S S S S
Monitoreo
ef ec ef tivi ic da co ienc d n ia in fide te n di grid cial sp a id cu on d ad m ibi co plim lida nf ie d ia n bi to li r reec dad cuu rs sisi rs stst oo e e ssh tete mm as u m cncn as ol d e d an in in olo o st s g g e inapos t a i a a a fo li l da da ac la ca rm ci toto io on ac ss n ciin ese n s
S S S S S S P S P
P S S P P P S S P P P S S P P P P