Cobit 3 Spanish Audit Guidelines

La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de con-

trol en tecnologa de informacin con autoridad, actualizados, de carcter in-
ternacional y aceptados generalmente para el uso cotidiano de gerentes de
empresas y auditores.
COBIT

DIRECTRICES DE AUDITORIA

Julio de 2000
3a Edicin

Emitido por el Comit Directivo de COBIT y
El IT Governance Institute
TM

ARGENTINA
ARUBA
AUSTRALIA
AUSTRIA
BAHAMAS
BAHRAIN
BANGLEDESH
BARBADOS
BLGICA
BERMUDA
BOLIVIA
BOSTSWANA
BRASIL
BRUENI
CANAD
CHILE
CHINA
COLOMBIA
COSTA RICA
CROATA
CURAZAO
CYPRUS
REPBLICA CHECA
DINAMARCA
REPBLICA DOMI-
NICANA
ECUADOR
EGIPTO
ESTONIA
ISLAS FAEROE
FINLANDIA
FRANCIA
ALEMANIA
GHANA
GRECIA
GUAM
GUATEMALA
HONDURAS
HONG KONG
HUNGRA
ISLANDIA
INDIA
INDONESIA
IRLANDA
ISRAEL
ITALIA
IVORY COAST
JAMAICA
JAPN
JORDN
KENYA
COREA
KUWAIT
LATVIA
LEBANON
LIECHTENSTEIN
LITUANIA
LUXEMBURGO
MALASIA
MALTA
MALAWI
MXICO
PASES BAJOS
NUEVA GUINEA
NUEVA ZELANDA
NIGERIA
NORUEGA
OMN
PAKISTN
PANAM
PER
FILIPINAS
POLONIA
PORTUGAL
QATAR
RUSIA
SAIPAN
ARABIA SAUDITA
ESCOCIA
SEYCHELLES
SINGAPUR
REP. ESLOVACA
ESLOVENIA
SUDFRICA
ESPAA
SRI LANKA
ST. KITTS
ST. LUCIA
SUECIA
SUIZA
SIRIA
TAIWAN
TANZANIA
TASMANIA
TAILANDIA
TRINIDAD & TO-
BAGO
TURQUA
UGANDA
EMIRATOS ARAB
UNIDOS
REINO UNIDO
ESTADOS UNI-
DOS
URUGUAY
VENEZUELA
VIETNAM
GALES
YEMEN
ZAMBIA
ZIMBABWE
INFORMATION SYSTEMS AUDIT AND
CONTROL ASSOCIATION
Una sola Fuente Internacional para los Controles
de la Tecnologa de Informacin
Information Systems Audit and Control
Association es una organizacin global
lder de profesionales que representa a
individuos en ms de 100 pases y compren-
de todos los niveles de la tecnologa de
informacin Direccin ejecutiva, geren-
cia media y practicantes. La Asociacin
est nicamente posesionada para cubrir el
papel de generador central que armoniza
los estndares de las prcticas de control
de TI a nivel mundial. Sus alianzas estrat-
gicas con otros grupos dentro del mbito
profesional financiero, contable, de audito-
ra y de TI aseguran a los dueos del proce-
so del negocio un nivel sin paralelo de inte-
gracin y compromiso.
Programas y Servicios
de la Asociacin
Los Programas y Servicios de la Asociacin
han ganado prestigio al establecer los nive-
les ms altos de excelencia en certificacin,
estndares, educacin profesional y publici-
dad tcnica.
su programa de certificacin (el Audi-
tor de Sistemas de Informacin Certi-
ficado) es la nica designacin global
en toda la comunidad de control y
auditora de la TI.
sus actividades estndar establecen la
base de calidad mediante la cual otras
actividades de control y auditora de TI
se miden.
su programa de educacin profesional
ofrece conferencias tcnicas y adminis-
trativas en cinco continentes, as como
seminarios en todo el mundo para
ayudar a los profesionistas de todas
partes a recibir educacin contina de
alta calidad.
su rea de publicidad tcnica propor-
ciona materiales de desarrollo profe-
sional y referencias con el fin de au-
mentar su distinguida seleccin de
programas y servicios.
La Information Systems Audit and Control
Association se cre en 1969 para cubrir las
necesidades nicas, diversas y de alta tecno-
loga en el naciente campo de la TI. En una
industria donde el progreso se mide en na-
nosegundos, ISACA se ha movido gil y
velozmente para satisfacer las necesidades
de la comunidad de negocios internaciona-
les y de la profesin de controles de la TI.
Para ms Informacin
Para recibir informacin adicional, puede
llamar al (+1.847.253.1545), enviar un e-
mail a (research@isaca.org) o visitar los
siguientes sitios web:

www.itgovernance.org
www.isaca.org
Reconocimientos 4-5

Resumen Ejecutivo 7-8

Antecedentes 9-10

El Marco Referencial de COBIT

Estableciendo la escena.........................................11-13
Los Principios del Marco Referencial...................14-18
Gua para la utilizacin del Marco
Referencial y Objetivos de Control.......................19-20

Tabla Resumen 21

Introduccin a los Lineamientos
de Auditoria 23-27, 29-31

Lineamiento General de Auditoria 28

Lineamientos de Auditora 33

Planeacin y Organizacin....................................35-86
Adquisicin e Implementacin............................87-118
Entrega de Servicios y Soporte..........................119-188
Monitoreo...........................................................189-204

Apndice I

Lista de Dominios, Procesos y
Objetivos de Control..........................................205-209

Apndice II

Material de Referencia Primaria........................210-211

Apndice III

Glosario de Trminos................................................212

Apndice IV

Proceso de Auditora..........................................213-216

Apndice V

Cumplimiento del Ao 2000..............................217-219

ndice 220-222
IT GOVERNANCE INSTITUTE 3
D DIRECTRICES IRECTRICES DE DE A AUDITORIA UDITORIA
Lmite de Responsabilidad
La Information Systems Audit and Control Foundation, el IT Governance
Institute y los patrocinadores de COBIT: Objetivos de Control para la Informa-
cin y Tecnologas Relacionadas, han diseado y creado las publicaciones
tituladas Resumen Ejecutivo, Marco Referencial, Objetivos de Control, Direc-
trices Gerenciales, Directrices de Auditora, y el Conjunto de Herramientas de
Implementacin (llamado colectivamente el Producto) principalmente como
una fuente de instruccin para los profesionales dedicados a las actividades de
control. La Information Systems Audit and Control Foundation, el IT Gover-
nance Institute y los patrocinadores no garantizan que el uso de este producto
asegurar un resultado exitoso. No deber considerarse que este producto
incluye todos los procedimientos o pruebas apropiados o que excluye otros
procedimientos y pruebas que estn razonablemente dirigidos hacia la obten-
cin de los mismos resultados. Para determinar la conveniencia de cualquier
prueba o procedimiento especfico, los expertos en control debern aplicar su
propio juicio profesional a las circunstancias de control especiales presentadas
por cada entorno de sistemas en particular.
Acuerdo de Licencia de uso (disclosure)
Copyright 1996, 1998, 2000, de la Information Systems Audit and Control
Foundation (ISACF). La reproduccin para fines comerciales no est permitida
sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para
reproducir el Resumen Ejecutivo, el Marco Referencial, los Objetivos de Con-
trol, las Directrices Gerenciales y el Conjunto de Herramientas de Implemen-
tacin para uso interno no comercial, incluyendo almacenamiento en medios
de recuperacin de datos y transmisin en cualquier medio, incluyendo electr-
nico, mecnico, grabado u otro medio. Todas las copias del Resumen Ejecuti-
vo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales
y el Conjunto de Herramientas de Implementacin deben incluir el siguiente
reconocimiento y leyenda de derechos de autor: Copyright 1996, 1998, 2000
Information Systems Audit and Control Foundation. Reimpreso con la autori-
zacin de la Information Systems Audit and Control Foundation, y el IT Go-
vernance Institute.
Las Guas/Directrices de Auditora no pueden ser usadas, copiadas, reproduci-
das, almacenadas, modificadas en un sistema de recuperacin de datos o trans-
mitido en ninguna forma ni por ningn medio (electrnico, mecnico, fotoco-
piado, grabado u otro medio) sin la previa autorizacin por escrito de la
ISACF. Sin embargo, las Directrices de Auditora pueden ser usadas con fines
no comerciales internos nicamente. Excepto por lo indicado, no se otorga
ningn otro derecho o permiso relacionado con esta obra. Todos los derechos
de esta obra son reservados.
Information Systems Audit and Control Foundation
IT Governance Institute
3701 Algonquin Road, Suite 1010
Rolling Meadows, Illinois 60008 USA.
Telfono: 1+847.253.1525
Fax: 1+847.253.1443
E-mail: research@isaca.org
Web sites: www.isaca.org
www.Itgovernance.org
ISBN 1-893209-18-0 (Audit Guidelines, English)
ISBN 1-893209-13-X (Paquete completo de los 6 libros y CD)

Impreso en los Estados Unidos de Amrica
CONTENIDO
C COBI OBIT T

Especiales Agradecimientos a los miembros de la Mesa Directiva de la Information Systems Audit and
Control Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, enca-
bezados por el Presidente Internacional Paul Williams, por su contnuo y firme apoyo al Cobit
COMIT DIRECTIVO DE COBIT

ERIK GULDENTOPS, S.W.I.F.T. SC, BLGICA

JOHN LAINHART, PRICEWATERHOUSECOOPERS, USA

EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BLGICA

JOHN BEVERIDGE, STATE AUDITORS OFFICE, MASSACHUSETTS, USA

MICHAEL DONAHUE, PRICEWATERHOUSECOOPERS, USA

GARY HARDY, ARTHUR ANDERSEN, REINO UNIDO

RONALD SAULL, GREAT-WEST LIFE ASSURANCE, LONDON LIFE AND INVESTORS GROUP, CANADA

MARK STANLEY, SUN AMERICA INC., USA

RECONOCIMIENTOS
R RESUMEN ESUMEN E EJECUTIVO JECUTIVO
Un elemento crtico para el xito y la supervivencia de las
organizaciones, es la administracin efectiva de la informa-
cin y de la Tecnologa de Informacin (TI) Relacionada. En
esta sociedad global (donde la informacin viaja a travs del
ciberespacio sin las restricciones de tiempo, distancia y ve-
locidad) esta criticidad emerge de:
La creciente dependencia en informacin y en los siste-
mas que proporcionan dicha informacin
La creciente vulnerabilidad y un amplio espectro de ame-
nazas, tales como las ciber amenazas y la guerra de
informacin
1

La escala y el costo de las inversiones actuales y futuras
en informacin y en tecnologa de informacin; y
El potencial que tienen las tecnologas para cambiar radi-
calmente las organizaciones y las prcticas de negocio,
crear nuevas oportunidades y reducir costos
Para muchas organizaciones, la informacin y la tecnologa
que la soporta, representan los activos mas valiosos de la em-
presa. Es ms, en nuestro competitivo y rpidamente cambian-
te ambiente actual, la Gerencia ha incrementado sus expectati-
vas relacionadas con la entrega de servicios de TI. Por lo tan-
to, la Administracin requiere niveles de servicio que presen-
ten incrementos en calidad, en funcionalidad y en facilidad de
uso, as como un mejoramiento continuo y una disminucin de
los tiempos de entrega; al tiempo que demanda que esto se
realice a un costo ms bajo.
Muchas organizaciones reconocen los beneficios potencia-
les que la tecnologa puede proporcionar. Las organizacio-
nes exitosas, sin embargo, tambin comprenden y adminis-
tran los riesgos asociados con la implementacin de nuevas
tecnologas.
Hay numerosos cambios en TI y en su ambiente de operacin
que enfatiza la necesidad de un mejor manejo relacionado con
los riesgos de TI. La dependencia en la informacin electrni-
ca y en los sistemas de TI son esenciales para soportar los pro-
cesos crticos del negocio. Adicionalmente, el ambiente regu-
latorio demanda control estricto sobre la informacin. Esto a
su vez conduce a un incremento de los desastres en los siste-
mas de informacin y al incremento del fraude electrnico. La
Administracin de los riesgos relacionados con TI est siendo
entendido como un aspecto clave en el gobierno o direccin
empresarial.
Dentro del Gobierno Empresarial, el Gobierno / Gobernabili-
dad de TI
2
se est volviendo mas y mas importante y est defi-
nido como una estructura de relaciones y procesos para dirigir
y controlar a la empresa con el fin que sta pueda cumplir sus
metas dando valor agregado mientras balancea sus riesgos
versus el retorno sobre TI y sus procesos. El Gobierno de TI
es parte integral del xito de la Gerencia de la Empresa al ase-
gurar mejoras medibles, eficientes y efectivas de los procesos
relacionados de la empresa. El Gobierno de TI provee las es-
tructuras que unen los procesos de TI, los recursos de TI y la
informacin con las estrategias y los objetivos de la empresa.
Adems, el Gobierno de TI integra e institucionaliza buenas (o
mejores) prcticas de planeacin y organizacin, adquisicin e
implementacin, entrega de servicios y soporte y monitorea el
desempeo de TI para asegurar que la informacin de la em-
presa y las tecnologas relacionadas soportan sus objetivos del
negocio. El Gobierno de TI conduce a la empresa a tomar total
ventaja de su informacin logrando con esto maximizar sus
beneficios, capitalizar sus oportunidades y obtener ventaja
competitiva
GOBIERNO/ GOBERNABILIDAD DE TI
Una estructura de relaciones y procesos para dirigir y con-
trolar la empresa con el objeto de alcanzar los objetivos de
la empresa y aadir valor mientras se balancean los ries-
gos versus el retorno sobre TI y sus procesos.

Las organizaciones deben cumplir con requerimientos de cali-
dad, fiduciarios y de seguridad, tanto para su informacin,
como para sus activos. La Administracin deber adems
optimizar el empleo de sus recursos disponibles, los cuales
incluyen: personal, instalaciones, tecnologa, sistemas de apli-
cacin y datos. Para cumplir con esta responsabilidad, as
como para alcanzar sus objetivos, la Administracin debe en-
tender el estado de sus propios sistemas de TI y decidir el ni-
vel de seguridad y control que deben proveer estos sistemas.

Los Objetivos de Control para la Informacin y las Tecnolog-
as Relacionadas (COBIT), ahora en esta tercera edicin, ayuda
a satisfacer las mltiples necesidades de la Administracin
estableciendo un puente entre los riesgos del negocio, los con-
troles necesarios y los aspectos tcnicos. Provee buenas prcti-
cas a travs de un dominio y el marco referencial de los proce-
sos y presenta actividades en una estructura manejable y lgi-
ca. Las Buenas prcticas de COBIT rene el consenso de
expertos - quienes ayudarn a optimizar la inversin de la in-
formacin y proporcionarn un mecanismo de medicin que
permitir juzgar cuando las actividades van por el camino
equivocado.
1
Guerra de informacin (information warfare)
2
Gobierno de TI (IT Governance) Governance es un trmino
que representa el sistema que establece la alta gerencia para
asegurar el logro de los objetivos de una Organizacin.
La Administracin debe asegurar que los sistemas de control
interno o el marco referencial estn funcionando y soportan
los procesos del negocio y debe tener claridad sobre la forma
como cada actividad individual de control satisface los reque-
rimientos de informacin e impacta los recursos de TI. El im-
pacto sobre los recursos de TI son resaltados en el Marco Re-
ferencial de COBIT junto con los requerimientos del negocio
que deben ser alcanzados: eficiencia, efectividad, confidencia-
lidad, integridad, disponibilidad, cumplimiento y confiabilidad
de la informacin. El control, que incluye polticas, estructu-
ras, prcticas y procedimientos organizacionales, es responsa-
bilidad de la administracin.
La administracin, mediante este gobierno corporativo, debe
asegurar que todos los individuos involucrados en la adminis-
tracin, uso, diseo, desarrollo, mantenimiento u operacin de
sistemas de informacin acten con la debida diligencia.
Un Objetivo de Control en TI es una definicin del resultado o
propsito que se desea alcanzar implementando procedimien-
tos de control especficos dentro de una actividad de TI.
La orientacin al negocio es el tema principal de COBIT. Est
diseado no solo para ser utilizado por usuarios y auditores,
sino que, lo ms importante, esta diseado para ser utilizado
por los propietarios de los procesos de negocio como una gua
clara y entendible. A medida que ascendemos, las prcticas de
negocio requieren de una mayor delegacin y empoderamien-
to
3
de los dueos de los procesos para que estos tengan total
responsabilidad de todos los aspectos relacionados con dichos
procesos de negocio. En particular, esto incluye el proporcio-
nar controles adecuados.. El Marco Referencial de COBIT
proporciona, al propietario de procesos de negocio, herramien-
tas que facilitan el cumplimiento de esta responsabilidad. El
Marco Referencial comienza con una premisa simple y prcti-
ca:
Con el fin de proporcionar la informacin que la empresa
necesita para alcanzar sus objetivos, los recursos de TI
deben ser administrados por un conjunto de procesos de TI
agrupados en forma natural.
El Marco Referencial contina con un conjunto de 34 Objeti-
vos de Control de alto nivel, uno para cada uno de los Proce-
sos de TI, agrupados en cuatro dominios: Planeacin y Orga-
nizacin, Adquisicin e Implementacin, Entrega de servicios
y Soporte y Monitoreo. Esta estructura cubre todos los aspec-
tos de informacin y de tecnologa que la soporta. Adminis-
trando adecuadamente estos 34 Objetivos de Control de alto
nivel, el propietario de procesos de negocio podr asegurar
que se proporciona un sistema de control adecuado para el
ambiente de tecnologa de informacin.
El Marco Referencial de COBIT provee adems una gua o
lista de verificacin para el Gobierno de TI. El Gobierno de TI
proporciona las estructuras que encadenan los procesos de TI,
los recursos de TI y la informacin con los objetivos y las es-
trategias de la empresa. El Gobierno de TI integra de una for-
ma ptima el desempeo de la Planeacin y Organizacin, la
Adquisicin e Implementacin, la Entrega de Servicios y So-
porte y el Monitoreo. El Gobierno de TI facilita que la empre-
sa obtenga total ventaja de su informacin y as mismo maxi-
miza sus beneficios, capitalizando sus oportunidades y obte-
niendo ventaja competitiva
Adicionalmente, correspondiendo a cada uno de los 34 objeti-
vos de control de alto nivel, existe una Gua o directriz de
Auditora o de aseguramiento que permite la revisin de los
procesos de TI contra los 318 objetivos detallados de control
recomendados por COBIT para proporcionar a la Gerencia la
certeza de su cumplimiento y/o sugerencias para su mejora-
miento.
Las Guas o Directrices Gerenciales de COBIT, desarrolladas
recientemente, ayudan a la Gerencia a cumplir de una forma
mas efectiva con las necesidades y requerimientos del Gobier-
no de TI. Las Directrices son acciones genricas orientadas a
proveer a la Administracin la direccin para mantener bajo
control la informacin de la empresa y sus procesos relaciona-
dos, para monitorear el logro de las metas organizacionales,
para monitorear el desempeo de cada proceso de TI y para
llevar a cabo un benchmarking de los logros organizacionales.
Especficamente COBIT provee Modelos de Madurez para el
control sobre los procesos de TI de tal forma que la Adminis-
tracin puede ubicarse en el punto donde la organizacin est
hoy, donde est en relacin con los mejores de su clase en
su industria y con los estndares internacionales y as mismo
determinar a donde quiere llegar; Factores Crticos de xito
(Critical Success Factors), que definen o determina cuales
son las mas importantes directrices que deben ser consideradas
por la Administracin para lograr control sobre y dentro de los
procesos de TI. Indicadores Claves del logro de Objetivos o
de Resultados (Key Goal Indicators) los cuales definen los
mecanismos de medicin que indicarn a la Gerencia
despus del hecho si un proceso de TI ha satisfecho los re-
querimientos del negocio; y los Indicadores Clave de desem-
peo (Key Performance Indicators) los cuales son indicado-
res primarios que definen la medida para conocer qu tan bien
se est ejecutando el proceso de TI frente o comparado contra
el objetivo que se busca.

3
Empoderamiento (empowerment)
Las Directrices Gerenciales de COBIT son genricas y son
acciones orientadas al propsito de responder los siguien-
tes tipos de preguntas gerenciales: Qu tan lejos debemos
ir y es el costo justificado para el beneficio obtenido? Cu-
les son los indicadores de buen desempeo? Cules son los
factores crticos de xito? Cules son los riesgos de no lo-
grar nuestros objetivos? Qu hacen otros? Cmo nos po-
demos medir y comparar?
COBIT contiene adicionalmente un Conjunto de Herramien-
tas de Implementacin que proporciona lecciones aprendidas
por empresas que rpida y exitosamente aplicaron COBIT en
sus ambientes de trabajo. Incluye dos herramientas particular-
mente tiles - Diagnstico de Sensibilizacin Gerencial

(Management Awareness Diagnostic) y Diagnstico de Con-
trol en TI (IT Control Diagnostic) - para proporcionar asisten-
cia en el anlisis del ambiente de control de TI en una organi-
zacin.
En los prximos aos las Directivas de las Organizaciones
necesitarn demostrar que estn logrando incrementar sus
niveles de seguridad y control. COBIT es una herramienta que
ayuda a los Directivos a colocar un puente entre los requeri-
mientos de control, los aspectos tcnicos y los riesgos del ne-
gocio y adicionalmente informa a los accionistas o dueos de
la empresa el nivel de control alcanzado. COBIT habilita el
desarrollo de una poltica clara y de buenas prcticas de con-
trol de TI a travs de las organizaciones, a nivel mundial.
Por lo tanto, COBIT est diseado para ser la herramien-
ta de gobierno de TI que ayude al entendimiento y a la
administracin de los riesgos as como de los beneficios
asociados con la informacin y sus tecnologas relaciona-
das.

C COBI OBIT T
PROCESOS DE TI DE COBIT DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS
RECURSOS DE TI
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
PLANEACION Y
ORGANIZACION
ADQUISICION E
IMPLEMENTACION ENTREGA Y
SOPORTE
MONITOREO
PO1 Definir un Plan Estratgico de
Tecnologa de Informacin
PO2 Definir la Arquitectura de Informacin
PO3 Determinar la direccin tecnolgica
PO4 Definir la Organizacin y de las
Relaciones de TI
PO5 Manejar la Inversin en Tecnologa de
Informacin
PO6 Comunicar la direccin y aspiraciones de
la gerencia
PO7 Administrar Recursos Humanos
PO8 Asegurar el Cumplimiento de
Requerimientos Externos
PO9 Evaluar Riesgos
PO10 Administrar proyectos
PO11 Administrar Calidad
AI1 Identificar Soluciones
AI2 Adquirir y Mantener Software de
Aplicacin
AI3 Adquirir y Mantener Arquitectura de
Tecnologa
AI4 Desarrollar y Mantener Procedimientos
relacionados con TI
AI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios
DS1 Definir Niveles de Servicio
DS2 Administrar Servicios prestados por Terceros
DS3 Administrar Desempeo y Capacidad
DS4 Asegurar Servicio Continuo
DS5 Garantizar la Seguridad de Sistemas
DS6 Identificar y Asignar Costos
DS7 Educar y Entrenar a los Usuarios
DS8 Apoyar y Asistir a los Clientes de TI
DS9 Administrar la Configuracin
DS10 Administrar Problemas e Incidentes
DS11 Administrar Datos
DS12 Administrar Instalaciones
DS13 Administrar Operaciones
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditora independiente
INFORMACION
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
COBIT
COBIT
OBJEIVOS DE NEGOCIO
OBJETIVOS DE NEGOCIO
GOBIERNO DE TI
LA NECESIDAD DE CONTROL EN TECNOLOGIA
DE INFORMACION
En los ltimos aos , ha sido cada vez ms evidente la necesi-
dad de un Marco Referencial para la seguridad y el control de
tecnologa de informacin (TI). Las organizaciones exitosas
requieren una apreciacin y un entendimiento bsico de los
riesgos y limitaciones de TI a todos los niveles dentro de la
empresa con el fin de obtener un efectiva direccin y controles
adecuados.
LA ADMINISTRACION (MANAGEMENT) debe decidir
cual es la inversin razonable en seguridad y en control en TI
y cmo lograr un balance entre riesgos e inversiones en con-
trol en un ambiente de TI frecuentemente impredecible.
Mientras la seguridad y los controles en los sistemas de infor-
macin ayudan a administrar los riesgos, no los eliminan. Adi-
cionalmente, el exacto nivel de riesgo nunca puede ser conoci-
do ya que siempre existe un grado de incertidumbre.
Finalmente, la Administracin debe decidir el nivel de riesgo
que est dispuesta a aceptar. Juzgar cual puede ser el nivel
tolerable, particularmente cuando se tiene en cuenta contra el
costo, puede ser una decisin difcil para la Administracin.
Por esta razn, la Administracin necesita un marco de refe-
rencia de las prcticas generalmente aceptadas de control y
seguridad de TI para compararlos contra el ambiente de TI
existente y planeado.
Existe una creciente necesidad entre los USUARIOS de los
servicios de TI, de estar protegidos a travs de la acreditacin
y la auditora de servicios de TI proporcionados internamente
o por terceras partes, que aseguren la existencia de controles y
seguridades adecuadas. Actualmente, sin embargo, es confusa
la implementacin de buenos controles de TI en sistemas de
negocios por parte de entidades comerciales, entidades sin
fines de lucro o entidades gubernamentales. Esta confusin
proviene de los diferentes mtodos de evaluacin, tales como
ITSEC, TCSEC, evaluaciones ISO9000, nuevas evaluaciones
de control interno COSO, etc. Como resultado, los usuarios
necesitan que se establezca una base general como un primer
paso.
Frecuentemente, los AUDITORES han tomado el liderazgo
en estos esfuerzos internacionales de estandarizacin, debido a
que ellos enfrentan continuamente la necesidad de sustentar y
apoyar su opinin acerca de los controles internos frente a la
Gerencia. Sin contar con un marco referencial, sta se con-
vierte en una tarea demasiado complicada. Incluso, la admi-
nistracin consulta cada vez ms a los auditores para que la
asesoren en forma proactiva en lo referente a asuntos de segu-
ridad y control de TI.

EL AMBIENTE DE NEGOCIOS:
COMPETENCIA, CAMBIO Y COSTOS
La competencia global es ya un hecho. Las organizaciones se
reestructuran con el fin de perfeccionar sus operaciones y al
mismo tiempo aprovechar los avances en TI para mejorar su
posicin competitiva. La reingeniera en los negocios, las
reestructuraciones o right-sizing, el outsourcing, el empodera-
miento, las organizaciones horizontales y el procesamiento
distribuido son cambios que impactan la manera en la que
operan tanto los negocios como las entidades gubernamenta-
les. Estos cambios han tenido y continuarn teniendo, profun-
das implicaciones para la administracin y las estructuras de
control operacional dentro de las organizaciones en todo el
mundo.
La especial atencin prestada a la obtencin de ventajas com-
petitivas y a la eficiencia en costos implica una dependencia
creciente en la tecnologa como el componente ms importan-
te en la estrategia de la mayora de las organizaciones. La
automatizacin de las funciones organizacionales, por su natu-
raleza, dicta la incorporacin de mecanismos de control ms
poderosos en las computadoras y en las redes, tanto para las
basadas en hardware como las basadas en software. Adems,
las caractersticas estructurales fundamentales de estos contro-
les estn evolucionando al mismo paso que las tecnologas de
computacin y las redes.
Dentro del marco referencial de cambios acelerados, si
los administradores, los especialistas en sistemas de in-
formacin y los auditores desean en realidad ser capa-
ces de cumplir con sus tareas en forma efectiva , debe-
rn aumentar y mejorar sus habilidades tan rpidamente
como lo demandan la tecnologa y el ambiente. Debe-
mos comprender la tecnologa de controles involucrada
y su naturaleza cambiante si deseamos emitir y ejercer
juicios razonables y prudentes al evaluar las prcticas de
control que se encuentran en los negocios tpicos o en
las organizaciones gubernamentales.

EL MARCO REFERENCIAL DE COBIT

C COBI OBIT T
APARICION DEL GOBIERNO
4
DE LA EMPRESA Y
DEL GOBIERNO DE TI

Para lograr el xito en esta economa de informacin, el Go-
bierno de la empresa y el Gobierno de TI no pueden ser con-
sideradas separadamente y en distintas disciplinas. El go-
bierno efectivo de la empresa enfoca el conocimiento y la
experiencia en forma individual y grupal, donde puede ser
mas productivo, monitoreado y medido el desempeo as
como provisto el aseguramiento para aspectos crticos. TI,
por mucho tiempo considerada aislada dentro del logro de
los objetivos de la empresa debe ahora ser considerada como
una parte integral de la estrategia.
El Gobierno de TI provee la estructura que une los procesos
de TI, los recursos de TI y las estrategias y objetivos de la
empresa. El Gobierno de TI integra e institucionaliza de una
manera ptima la planeacin y organizacin, la adquisicin e
implementacin, la entrega de servicios y soporte y el moni-
toreo del desempeo de TI. El Gobierno de TI es integral
para el xito del Gobierno de la Empresa asegurando una
eficiente y efectiva medicin para mejorar los procesos de la
empresa. El Gobierno de TI le permite a la empresa tomar
ventaja total de su informacin, al maximizar sus beneficios,
capitalizar sus oportunidades y ganar ventaja competitiva.
Observando en el contexto a la empresa y los procesos
del Gobierno de TI con mayor detalle, el gobierno de la
empresa, el sistema por el cual las entidades son dirigidas
y controladas direcciona y analiza el Gobierno de TI. Al
mismo tiempo, TI debera proveer insumos crticos y
constituirse en un componente importante de los planes
estratgicos. De hecho TI puede influenciar las oportuni-
dades estratgicas de la empresa.
Gobierno
de la
Empresa
Direcciona y Prepara
Gobierno de Tecnologia de
Informacion
Las actividades de la empresa requieren informa-
cin de las actividades de TI con el fin de satisfa-
cer los objetivos del negocio. Organizaciones exi-
tosas aseguran la interdependencia entre su plan
estratgico y sus actividades de TI. TI debe estar
alineado y debe permitir a la empresa tomar ven-
taja total de su informacin para maximizar sus
beneficios, capitalizar oportunidades y ganar ven-
taja competitiva.
Actividades de
la empresa
Requiere informacion de
Actividades de Tecnologia
de Informacion
Las empresas son gobernadas por buenas (o me-
jores) prcticas generalmente aceptadas para
asegurar que la empresa cumpla sus metas ase-
gurando que lo anterior est garantizado por cier-
tos controles. Desde estos objetivos fluye la di-
reccin de la organizacin, la cual dicta ciertas
actividades a la empresa usando sus propios re-
cursos. Los resultados de las actividades de la
empresa son medidos y reportados proporcionan-
do insumos para el mantenimiento y revisin
constante de los controles, comenzando el ciclo
de nuevo.
4
Gobierno (governance): sistema que
establece la alta gerencia para asegurar el
logro de los objetivos de una Organiza-
cin.

Objetivos
Gobierno de la Empresa
CONTROL Actividades de la
Empresa
Recursos
Direcciona
Usando Reportando
Tambin TI es gobernado por buenas (o mejores) prcticas
para asegurar que la informacin de la empresa y sus tec-
nologas relacionadas apoyan sus objetivos del negocio,
estos recursos son utilizados responsablemente y sus ries-
gos son manejados apropiadamente. Estas prcticas con-
forman una base para la direccin de las actividades de TI
las cuales pueden ser enmarcadas en la Planeacin y Orga-
nizacin, Adquisicin e Implementacin, Entrega de Servi-
cios y Soporte y Monitoreo para los propsitos duales co-
mo son el manejo de riesgo (para obtener seguridad, con-
fiabilidad y cumplimiento) y la obtencin de beneficios
(incrementando la efectividad y eficiencia). Los reportes
son enfocados sobre los resultados de las actividades de TI,
los cuales son medidos contra diferentes prcticas y con-
troles y el ciclo comienza otra vez.
Gobierno de TI
PO
AI
DS
MO
Objetivos
Actividades de TI
Planea
Hace
Revisa
Corrige
DIRIGIR
REPORTAR
TI est alineado con el
negocio, habilita al
negocio y maximiza
beneficios.
Los recursos de TI
son utilizados
responsablemente.
Los riesgos
relacionados a TI son
manejados
apropiadamente.
Decrementar
Costos ser
eficiente
Incrementar
Automatizacin
ser efectivo
Seguridad
Confiabilidad
Conformidad-
cumplimiento
Beneficios Manejo de Riesgo
Decrementar
Costos ser
eficiente
Incrementar
Automatizacin
ser efectivo
Seguridad
Confiabilidad
Conformidad-
cumplimiento
Beneficios Manejo de Riesgo
CONTROL
Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y administrar las actividades de TI para
alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita
identificar las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las
metas y determinando que tan bien se estn desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de ava-
luar el nivel de madurez de la organizacin contra las mejores practicas industriales y los modelos internacionales. Para
soportar estas necesidades la Gerencia necesita las Directrices Gerenciales de COBIT en las cuales se han identificado
Factores Crticos de Exito especficos, Indicadores Claves de Logros e Indicadores Clave de Desempeo y un Modelo
de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apdice I.
C COBI OBIT T
a la Administracin Indicadores Clave de Logros (KGIs
Key Goal Indicators), Indicadores Claves de Desempeo
(KPIs Key Performance Indicators), Factores Crticos de
xito (CSFsCritical Success Factors) y un Modelo de Ma-
durez con el cual puede analizar el ambiente de TI y conside-
rar opciones para la implementacin y mejoramiento de los
controles sobre la informacin de la organizacin y sus tecno-
logas relacionadas.
Por lo tanto, el objetivo principal del proyecto COBIT es el
desarrollo de polticas claras y buenas prcticas para la seguri-
dad y el control de Tecnologa de Informacin, con el fin de
obtener la aprobacin y el apoyo de las entidades comerciales,
gubernamentales y profesionales en todo el mundo. La meta
del proyecto es desarrollar estos objetivos de control principal-
mente a partir de la perspectiva de los objetivos y necesidades
de la empresa. (Esto concuerda con la perspectiva COSO, que
constituye el primer y mejor marco referencial para la admi-
nistracin en cuanto a controles internos.) Posteriormente, los
objetivos de control fueron desarrollados a partir de la pers-
pectiva de los objetivos de auditora (certificacin de informa-
cin financiera, certificacin de medidas de control interno,
eficiencia y efectividad, etc.)

AUDIENCIA: ADMINISTRACION, USUARIOS Y AU-
DITORES
COBIT est diseado para ser utilizado por tres audiencias
distintas:
ADMINISTRACION/ GERENCIA (Management):
Para ayudarlos a lograr un balance entre los riesgos y las in-
versiones en control en un ambiente de tecnologa de informa-
cin frecuentemente impredecible.
USUARIOS:
Para obtener una garanta en cuanto a la seguridad y controles
de los servicios de tecnologa de informacin proporcionados
internamente o por terceras partes.
AUDITORES:
Para soportar su opinin y/o proporcionar consejos a la Admi-
nistracin sobre los controles internos.

RESPUESTA A LAS NECESIDADES
En vista de estos continuos cambios, el desarrollo de este
Marco Referencial de objetivos de control para TI, conjunta-
mente con una investigacin continua aplicada a controles de
TI basada en este marco referencial, constituyen el funda-
mento para el progreso efectivo en el campo de los controles
de sistemas de informacin.
Por otro lado, hemos sido testigos del desarrollo y publica-
cin de modelos de control generales de negocios como CO-
SO [Committee of Sponsoring Organisations of the Tread-
way Commisssion Internal Control-Integrated Framework,
1992] en los EUA, Cadbury en el Reino Unido, CoCo en
Canad y King en Sudfrica. Por otro lado, existe un nme-
ro importante de modelos de control ms enfocados al nivel
de tecnologa de informacin. Algunos buenos ejemplos de
esta ltima categora son el Security Code of Conduct del
DTI (Departamento de Industria y Comercio, Reino Unido)
y el Security Handbook de NIST (National Institute of Stan-
dards and Technology, EUA). Sin embargo, estos modelos
de control con orientacin especfica no proporcionan un
modelo de control completo y utilizable sobre tecnologa de
informacin como soporte para los procesos del negocio. El
propsito de COBIT es cubrir este vaco proporcionando una
base que est estrechamente ligada a los objetivos de nego-
cio, al mismo tiempo que se enfoca a la tecnologa de infor-
macin.
(El documento que ms se acerca al COBIT es una publica-
cin reciente de AICPA/CICA Systrust
TM
Principios y Crite-
rios para la Confiabilidad de los Sistemas. SysTrust es una
autoridad que realiza publicaciones para el Comit Ejecutivo
de Servicios de Aseguramiento de los Estados Unidos y para
el Comit de Desarrollo de Servicios de Calidad de Canad,
basado en parte en los Objetivos de Control de COBIT. Sys-
Trust est diseado para incrementar el confort de la Admi-
nistracin, los clientes y los socios de negocios con los siste-
mas que soportan un negocio o una actividad en particular.
Los servicios de SysTrust incluyen al contador pblico pro-
porcionndole un servicio de aseguramiento en el cual l o
ella evala y prueba si el sistema es confiable cuando lo mi-
de contra cuatro principios esenciales: Disponibilidad, segu-
ridad, integridad y mantenimiento.
Un enfoque hacia los requerimientos del negocio en cuanto
a controles para tecnologa de informacin y la aplicacin de
modelos de control emergentes y estndares internacionales
relacionados incluyen los Objetivos de Control originales de
la Information Systems Audit and Control Foundation como
una herramienta usada por el Auditor y la Administracin.
Adicionalmente, el desarrollo de las Directrices Gerenciales
de TI ha llevado al COBIT al siguiente nivel proporcionando
ORIENTACIN A OBJETIVOS DE NEGOCIO
El CobiT est alineado con los Objetivos del Negocio. Los Ob-
jetivos de Control muestran una relacin clara y distintiva con
los objetivos del negocio con el fin de apoyar su uso en forma
significativa fuera de las fronteras de la comunidad de auditora.
Los Objetivos de Control estn definidos con una orientacin a
los procesos, siguiendo el principio de reingeniera de negocios.
En dominios y procesos identificados, se identifica tambin un
objetivo de control de alto nivel para documentar el enlace con
los objetivos del negocio. Adicionalmente, se establecen consi-
deraciones y guas para definir e implementar el Objetivo de
Control de TI.
La clasificacin de los dominios a los que se aplican los objeti-
vos de control de alto nivel (dominios y procesos); una indica-
cin de los requerimientos de negocio para la informacin en
ese dominio, as como los recursos de TI que reciben un impacto
primario por parte del objetivo del control, forman conjuntamen-
te el Marco de Referencia de COBIT. El Marco de Referencia
toma como base las actividades de investigacin que han identi-
ficado 34 objetivos de alto nivel y 318 objetivos de control de-
tallados. El Marco de Referencia fue presentado a la industria
de TI y a los profesionales dedicados a la auditora para abrir la
posibilidad a revisiones, cambios y comentarios. Las ideas obte-
nidas fueron incorporadas en forma apropiada.

DEFINICIONES GENERALES
Para propsitos de este proyecto, se proporcionan las siguientes
definiciones. La definicin de Control est adaptada del repor-
te COSO [Committee of Sponsoring Organisations of the Tread-
way Commission. Internal Control-Integrated Framework, 1992
y la definicin para Objetivo de Control de TI ha sido adapta-
da del reporte SAC (Systems Auditability and Control Report,
The Institute of Internal Auditors Research Foundation, 1991 y
1994).

Una sentencia del resultado o prop-
sito que se desea alcanzar implemen-
tando procedimientos de control en
una actividad de TI particular.

Una estructura de relaciones y pro-
cesos para dirigir y controlar la em-
presa con el fin de lograr sus objeti-
vos al aadir valor mientras se equi-
libran los riesgos contra el retorno
sobre TI y sus procesos.
Objetivo de
control en TI
se define
como
Objetivo de
control en TI
se define
como
Control se
define como
Control se
define como
Las polticas, procedimientos, prcticas y
estructuras organizacionales diseadas
para garantizar razonablemente que los
objetivos del negocio sern alcanzados y
que eventos no deseables sern preveni-
dos o detectados y corregidos

Gobierno de TI
se define como
C COBI OBIT T
Existen dos clases distintas de modelos de control actual-
mente disponibles, aqullos de la clase del modelo de con-
trol de negocios (por ejemplo COSO) y los modelos ms
enfocados a TI (por ejemplo, DTI). COBIT intenta cubrir la
brecha que existe entre los dos. Debido a esto, COBIT se
posiciona como una herramienta ms completa para la Ad-
ministracin y para operar a un nivel superior a los estnda-
res de tecnologa para la administracin de sistemas de infor-
macin.. Por lo tanto, COBIT es el modelo para el gobier-
no de TI!

El concepto fundamental del Marco Referencial de COBIT se
refiere a que el enfoque del control en TI se lleva a cabo
visualizando la informacin necesaria para dar soporte a los
procesos de negocio y considerando a la informacin como
el resultado de la aplicacin combinada de recursos relacio-
nados con la Tecnologa de Informacin que deben ser admi-
nistrados por procesos de TI.

Para satisfacer los objetivos del negocio, la informacin ne-
cesita concordar con ciertos criterios a los que COBIT hace
referencia como requerimientos de negocio para la informa-
cin. Al establecer la lista de requerimientos, COBIT combi-
na los principios contenidos en los modelos referenciales
existentes y conocidos:

Calidad
Costo
Entrega o Distribucin (de servicio)

Efectividad y eficiencia de las
operaciones
Confiabilidad de la informacin
Cumplimiento de leyes y
regulaciones

Confidencialidad
Integridad
Disponibilidad

La Calidad ha sido considerada principalmente por su aspec-
to negativo (ausencia de fallas, confiabilidad, etc.), lo cual
tambin se encuentra contenido en gran medida en los crite-
rios de Integridad. Los aspectos positivos, pero menos tan-
gibles, de la calidad (estilo, atractivo, ver y sentir, desem-
peo ms all de las expectativas, etc.) no fueron, por un
tiempo, considerados desde un punto de vista de Objetivos
de Control de TI. La premisa se refiere a que la primera
prioridad deber estar dirigida al manejo apropiado de los
riesgos al compararlos contra las oportunidades. El aspecto
utilizable de la Calidad est cubierto por los criterios de
efectividad. Se consider que el aspecto de entrega o distri-
bucin del servicio, de la Calidad se traslapa con el aspecto
de disponibilidad correspondiente a los requerimientos de
seguridad y tambin en alguna medida, con la efectividad y
la eficiencia. Finalmente, el Costo tambin es considerado,
siendo cubierto por la Eficiencia.

Para los requerimientos fiduciarios, COBIT no intent reinven-
tar la rueda se utilizaron las definiciones de COSO para la
efectividad y eficiencia de las operaciones, confiabilidad de
informacin y cumplimiento con leyes y regulaciones. Sin
embargo, confiabilidad de informacin fue ampliada para in-
cluir toda la informacin no slo informacin financiera.

Con respecto a los aspectos de seguridad, COBIT identific la
confidencialidad, integridad y disponibilidad como los ele-
mentos clave se encontr que estos mismos tres elementos
son utilizados a nivel mundial para describir los requerimien-
tos de seguridad.

Comenzando el anlisis a partir de los requerimientos de Cali-
dad, Fiduciarios y de Seguridad ms amplios, se extrajeron
siete categoras distintas, ciertamente superpuestas. A conti-
nuacin se muestran las definiciones utilizadas por COBIT:
LOS PRINCIPIOS DEL MARCO REFERENCIAL
Requerimientos
de Negocio
Recursos de TI
Procesos de TI
Requerimientos
Fiduciarios
(COSO)
Requerimientos
de Seguridad
Requerimientos de
Calidad

Se refiere a que la informacin relevan-
te sea pertinente para el proceso del
negocio, as como a que su entrega sea
oportuna, correcta, consistente y de
manera utilizable.

Se refiere a la provisin de informacin
a travs de la utilizacin ptima (ms
productiva y econmica) de recursos.

Se refiere a la proteccin de informa-
cin sensible contra divulgacin no
autorizada.

Se refiere a la precisin y suficiencia
de la informacin, as como a su vali-
dez de acuerdo con los valores y expec-
tativas del negocio.

Se refiere a la disponibilidad de la in-
formacin cuando sta es requerida por
el proceso de negocio ahora y en el
futuro. Tambin se refiere a la salva-
guarda de los recursos necesarios y
capacidades asociadas.

Se refiere al cumplimiento de aquellas
leyes, regulaciones y acuerdos contrac-
tuales a los que el proceso de negocios
est sujeto, por ejemplo, criterios de
negocio impuestos externamente.

Se refiere a la provisin de informacin
apropiada para la administracin con el
fin de operar la entidad y para ejercer
sus responsabilidades de reportes finan-
cieros y de cumplimiento.

Los recursos de TI identificados en COBIT pueden explicarse/
definirse como se muestra a continuacin:

Son objetos en su ms amplio sentido,
(por ejemplo, externos e internos), es-
tructurados y no estructurados, grficos,
sonido, etc.

Se entiende como sistemas de aplicacin
la suma de procedimientos manuales y
programados.

La tecnologa cubre hardware, sistemas
operativos, sistemas de administracin
de bases de datos, redes, multimedia,
etc.

Recursos para alojar y dar soporte a los
sistemas de informacin.

Habilidades del personal, conocimiento,
sensibilizacin y productividad para
planear, organizar, adquirir, entregar,
soportar y monitorear servicios y siste-
mas de informacin.

El dinero o capital no fue considerado como un recurso de TI
para la clasificacin de los objetivos de control porque el dine-
ro puede ser considerado como una inversin dentro de cual-
quiera de los recursos presentados. Adems debe anotarse que
el Marco Referencial no se refiere especficamente a la docu-
mentacin de todos los materiales relacionados con un proce-
so de TI en particular. Como un aspecto de buenas prcticas,
la documentacin es considerada como un buen control, y por
lo tanto la falta de documentacin sera causa de una mayor
revisin y anlisis de los controles compensatorios en cual-
quier rea bajo revisin.

Otra forma de ver la relacin de los recursos de TI con respec-
to a la entrega de servicios se describe a continuacin:

Con el fin de asegurar que los requerimientos del negocio
para la informacin se cumplan, es necesario definir, imple-
mentar y monitorear adecuadas medidas de control sobre esos
recursos. Cmo pueden entonces las empresas estar satisfe-
chas respecto a que la informacin obtenida presente las ca-
ractersticas que necesitan? Es aqu donde se requiere de un
sano marco referencial de Objetivos de Control para TI. El
siguiente diagrama ilustra este concepto.

Disponibilidad
Cumplimiento
Confiabilidad
de la
Informacin
Datos
Aplicaciones
Tecnologa
Instalaciones
Personal
mensaje
entrada
servicio
salida
TECNOLOGIA TECNOLOGIA
INSTALACIONES INSTALACIONES
GENTE GENTE
Sistemas de Aplicacin Sistemas de Aplicacin
Datos Datos
Eventos
Objetivos de negocio
Oportunidades de negocio
Requerimientos externos
Regulaciones
Riesgos
Informacin
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Integridad
Confidencialidad
Eficiencia
Efectividad

El Marco Referencial consta de Objetivos de Control de alto
nivel y de una estructura general para su clasificacin y pre-
sentacin. La teora subyacente para esta clasificacin se re-
fiere a que existen, en esencia, tres niveles de actividades de
TI al considerar la administracin de sus recursos. Comenzan-
do por la base, encontramos las actividades y tareas necesa-
rias para alcanzar un resultado medible. Las actividades
cuentan con un concepto de ciclo de vida, mientras que las
tareas son consideradas ms discretas. El concepto de ciclo
de vida cuenta tpicamente con requerimientos de control
diferentes a los de actividades discretas. Los procesos se
definen entonces en un nivel superior como una serie de ac-
tividades o tareas conjuntas con cortes naturales (de con-
trol). Al nivel ms alto, los procesos son agrupados de mane-
ra natural en dominios. Su agrupamiento natural es confir-
mado frecuentemente como dominios de responsabilidad en
una estructura organizacional, y est en lnea con el ciclo
administrativo o ciclo de vida aplicable a los procesos de TI.
Por lo tanto, el marco referencial conceptual puede ser enfo-
cado desde tres puntos estratgicos: (1)criterios de informa-
cin; (2) recursos de TI, (3) procesos de TI. Estos tres puntos
de vista diferentes estn descritos en el Cubo CobiT que se
muestra a continuacin:
Dominios
Procesos
Actividades
C COBI OBIT T
PROCESOS PROCESOS
DE NEGOCIO DE NEGOCIO
INFORMACION INFORMACION
RECURSOS DE TI RECURSOS DE TI
datos datos
sistemas de aplicacin sistemas de aplicacin
tecnologa tecnologa
instalaciones instalaciones
gente gente
efectividad efectividad
eficiencia eficiencia
confidencialidad confidencialidad
integridad integridad
disponibilidad disponibilidad
cumplimiento cumplimiento
confiabilidad confiabilidad
Criterios Criterios
?
?
Concuerdan ?
Qu obtiene?
Qu necesita?
I
n
s
t
a
l
a
c
i
o
n
e
s

D
a
t
o
s

G
e
n
t
e

S
i
s
t
e
m
a
s

d
e

A
p
l
i
c
a
c
i
n

T
e
c
n
o
l
o
g
a

Actividades
Dominios
Procesos
C
a
l
i
d
a
d

F
i
d
u
c
i
a
r
i
o
s

S
e
g
u
r
i
d
a
d

R
e
c
u
r
s
o
s

d
e

T
I

Criterios de informacin
P
r
o
c
e
s
o
s

d
e

T
I

Con lo anterior cono marco de referencia, los dominios son
identificados utilizando las palabras que la gerencia utilizara
en las actividades cotidianas de la organizacin y no la
jerga
5
del auditor -. Por lo tanto, cuatro grandes dominios
son identificados: planeacin y organizacin, adquisicin e
implementacin, entrega y soporte y monitoreo.

Las definiciones para los dominios mencionados son las si-
guientes:

Este dominio cubre la estrategia y las
tcticas y se refiere a la identificacin
de la forma en que la tecnologa de
informacin puede contribuir de la me-
jor manera al logro de los objetivos del
negocio. Adems, la consecucin de la
visin estratgica necesita ser planeada,
comunicada y administrada desde dife-
rentes perspectivas. Finalmente, debe-
rn establecerse una organizacin y una
infraestructura tecnolgica apropiadas.

Para llevar a cabo la estrategia de TI,
las soluciones de TI deben ser identifi-
cadas, desarrolladas o adquiridas, as
como implementadas e integradas de-
ntro del proceso del negocio. Adems,
este dominio cubre los cambios y el
mantenimiento realizados a sistemas
existentes.

En este dominio se hace referencia a la
entrega de los servicios requeridos, que
abarca desde las operaciones tradicio-
nales hasta el entrenamiento, pasando
por seguridad y aspectos de continui-
dad. Con el fin de proveer servicios,
debern establecerse los procesos de
soporte necesarios. Este dominio inclu-
ye el procesamiento de los datos por
sistemas de aplicacin, frecuentemente
clasificados como controles de aplica-
cin.

Todos los procesos necesitan ser evaluados
regularmente a travs del tiempo para verifi-
car su calidad y suficiencia en cuanto a los
requerimientos de control. Este dominio
tambin advierte a la Administracin
sobre la necesidad de asegurar procesos
de control independientes, los cuales
son provistos por auditoras internas y
externas u obtenidas de fuentes alterna-
tivas.

Debe tomarse en cuenta que estos procesos pueden ser aplica-
dos a diferentes niveles dentro de una organizacin. Por ejem-
plo, algunos de estos procesos sern aplicados al nivel corpo-
rativo, otros al nivel de la funcin de servicios de informacin,
otros al nivel del propietario de los procesos de negocio.

Tambin debe ser tomado en cuenta que el criterio de efectivi-
dad de los procesos que planean o entregan soluciones a los
requerimientos de negocio, cubrirn algunas veces los criterios
de disponibilidad, integridad y confidencialidad. en la prcti-
ca, se han convertido en requerimientos del negocio. Por
ejemplo, el proceso de identificar soluciones automatizadas
deber ser efectivo en el cumplimiento de requerimientos de
disponibilidad, integridad y confidencialidad.

En resumen, los Recursos de TI necesitan ser administrados
por un conjunto de procesos agrupados en forma natural, con
el fin de proporcionar la informacin que la empresa necesi-
ta para alcanzar sus objetivos.

Resulta claro que las medidas de control no satisfarn necesa-
riamente los diferentes requerimientos de informacin del
negocio en la misma medida.

Primario es el grado al cual el objetivo de con-
trol definido impacta directamente el
requerimiento de informacin de inte-
rs.

Secundario es el grado al cual el objetivo de con-
trol definido satisface nicamente de
forma indirecta o en menor medida el
requerimiento de informacin de inte-
rs.

Blanco (vaco) podra aplicarse; sin embargo, los re-
querimientos son satisfechos ms apro-
piadamente por otro criterio en este
proceso y/o por otro proceso.

Planeacin y
organizacin
Adquisicin e
implementacin
Monitoreo
Entrega y
soporte
Entrega y
soporte
5
Jerga (jargon)
Similarmente, todas las medidas de control no necesariamente
tendrn impacto en los diferentes recursos de TI a un mismo
nivel. Por lo tanto, el Marco Referencial de COBIT indica es-
pecficamente la aplicabilidad de los recursos de TI que son
administrados en forma especfica por el proceso bajo consi-
deracin (no por aquellos que simplemente toman parte en el
proceso). Esta clasificacin es hecha dentro el Marco Referen-
cial de COBIT basado en el mismo proceso riguroso de infor-
macin proporcionada por los investigadores, expertos y revi-
sores, utilizando las definiciones estrictas indicadas previa-
mente.

En resumen, con el fin de proveer la informacin que la or-
ganizacin necesita para lograr sus objetivos, el Gobierno
de TI debe ser entrenado por la organizacin para asegurar
que los recursos de TI sern administrados por una coleccin
de procesos de TI agrupados naturalmente. El siguiente dia-
grama ilustra este concepto.

PROCESOS DE TI DE COBIT DEFINIDOS EN LOS
CUATRO DOMINIOS
C COBI OBIT T
RECURSOS DE TI
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
PLANEACION Y
ORGANIZACION
ADQUISICION E
IMPLEMENTACION ENTREGA Y
SOPORTE
MONITOREO
PO1 Definir un Plan Estratgico de
PO2 Definir la Arquitectura de Informacin
PO3 Determinar la direccin tecnolgica
PO4 Definir la Organizacin y de las
Relaciones de TI
PO5 Manejar la Inversin en Tecnologa de
Informacin
PO6 Comunicar la direccin y aspiraciones de
la gerencia
PO7 Administrar Recursos Humanos
PO8 Asegurar el Cumplimiento de
Requerimientos Externos
PO9 Evaluar Riesgos
PO10 Administrar proyectos
PO11 Administrar Calidad
AI1 Identificar Soluciones
AI2 Adquirir y Mantener Software de
Aplicacin
AI3 Adquirir y Mantener Arquitectura de
Tecnologa
AI4 Desarrollar y Mantener Procedimientos
relacionados con TI
AI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios
DS1 Definir Niveles de Servicio
DS2 Administrar Servicios prestados por Terceros
DS3 Administrar Desempeo y Capacidad
DS4 Asegurar Servicio Continuo
DS5 Garantizar la Seguridad de Sistemas
DS6 Identificar y Asignar Costos
DS7 Educar y Entrenar a los Usuarios
DS8 Apoyar y Asistir a los Clientes de TI
DS9 Administrar la Configuracin
DS10 Administrar Problemas e Incidentes
DS11 Administrar Datos
DS12 Administrar Instalaciones
DS13 Administrar Operaciones
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditora independiente
INFORMACION
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
COBIT
COBIT
OBJEIVOS DE NEGOCIO
OBJETIVOS DE NEGOCIO
Gobierno de TI
HISTORIA Y ANTECEDENTES DE COBIT
La tercera edicin de COBIT es la mas reciente versin de los
Objetivos de Control para la informacin y sus tecnologas
relacionadas, que fue liberado primero por la Information
Systems Audit and Control Foundation (ISACF) en 1996. La
2da edicin que refleja un incremento en el nmero de docu-
mentos fuente, una revisin en el alto nivel y objetivos de
control detallados y la adicin del Conjunto de herramientas
de Implementacin fue publicado en 1998. La 3a edicin
marca el ingreso de un nuevo editor para COBIT: El Institu-
to de Gobierno de TI (IT Governance Institute).

El Instituto de Gobierno de TI fue formado por la Informa-
tion Systems Audit and Control Association (ISACA) y su
Fundacin asociada en 1998 para avanzar en el entendimien-
to y la adopcin de principios de gobierno de TI. Con la adi-
cin de las Directrices Gerenciales en la 3a edicin de CO-
BIT y su expansin y mayor cubrimiento sobre el Gobierno
de TI, el Instituto de Gobierno de TI adquiri un rol de lide-
razgo en el desarrollo de la publicacin.

COBIT se bas originalmente en los Objetivos de Control
de la ISACF y ha sido mejorado con las actuales y emergen-
tes estndares internacionales a nivel tcnico, profesional,
regulatorio y especficos de la industria. Los Objetivos de
Control resultantes han sido desarrollados para su aplicacin
en sistemas de informacin de toda la empresa. El trmi-
no generalmente aplicables y aceptados es utilizado
explcitamente en el mismo sentido que los Principios de
Contabilidad Generalmente Aceptados (PCGA o GAAP por
sus siglas en ingls).

Este estndar es relativamente pequeo en tamao, con el fin
de ser prctico y responder, en la medida de lo posible, a las
necesidades del negocio, manteniendo al mismo tiempo una
independencia con respecto a las plataformas tcnicas de TI
adoptadas en una organizacin.

Sin excluir ningn otro estndar aceptado en el campo del
control de sistemas de informacin que pudiera emitirse du-
rante la investigacin, las fuentes han sido identificadas ini-
cialmente como:

Estndares Tcnicos de ISO, EDIFACT, etc.
Cdigos de Conducta emitidos por el Council of Europe,
OECD, ISACA, etc.;
Criterios de Calificacin para sistemas y procesos de TI:
ITSEC, ISO9000, SPICE, TickIT, Common Criteria, etc.;
Estndares Profesionales para control interno y auditora:
reporte COSO, IFAC, IIA, ISACA, GAO, PCIE, CICA,
AICPA, etc.;
Prcticas y requerimientos de la Industria de foros indus-
triales (ESF, 14) y plataformas patrocinadas por el gobierno
(IBAG, NIST, DTI); y
Nuevos requerimientos especficos de la industria de la
banca, Comercio Electrnico y manufactura de TI.

(Ver Apndice II, Descripcin del Proyecto COBIT;
Apndice III Material de Referencia Primaria de COBIT
y Apndice IV, Glosario de Trminos )
C COBI OBIT T

EVOLUCIN DEL PRODUCTO COBIT

COBIT evolucionar a travs de los aos y ser el fundamento
de investigaciones futuras. Por lo tanto, se generar una fami-
lia de productos COBIT y al ocurrir esto, las tareas y activida-
des que sirven como estructura para organizar los Objetivos de
Control de TI, sern refinadas posteriormente. Tambin ser
revisado el balance entre los dominios y los procesos a la luz
de los cambios en la industria.

La investigacin y las publicaciones han sido posibles gracias
al fundamental apoyo de PricewaterhouseCoopers y las dona-
ciones de los captulos de ISACA y de miembros de todo el
mundo. La European Security Forum (ESF) amablemente
llev a cabo la recoleccin de material disponible para el pro-
yecto. La Gartner Group adems particip en el desarrollo y
realiz la revisin de aseguramiento de calidad de las Directri-
ces Gerenciales.

HISTORIA Y ANTECEDENTES DE COBIT

RESUMEN EJECUTIVO
MARCO REFERENCIAL
objetivos de control de alto nivel
DIRECTRICES GERENCIALES OBJETIVOS DE CONTROL DETALLA-
DOS
DIRECTRICES DE AUDITORIA
Factores Crticos de xito
Indicadores Clave por Objetivos
Indicadores Clave de Desempeo
Resumen Ejecutivo
Casos de Estudio
FAQs
Presentaciones en PowerPoint
Guas de Implementacin
Diagnstico de la conciencia de la Administracin
Diagnostico de Control de TI
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACIN
Familia de Productos COBIT

PRODUCTOS DE LA FAMILIA COBIT
Modelo de Madurez
COBIT Y LAS DIRECTRICES DE AUDITORA
Las Directrices de Auditora ofrecen una herramienta
complementaria para la fcil aplicacin del Marco Refe-
rencial y los Objetivos de Control COBIT dentro de las
actividades de auditora y evaluacin. El propsito de
las Directrices de Auditora es contar con una estructura
sencilla para auditar y evaluar controles, con base en
prcticas de auditora generalmente aceptadas y compa-
tibles con el esquema global COBIT.

Los objetivos y prcticas individuales varan considera-
blemente de organizacin a organizacin y existen mu-
chos tipos de practicantes dedicados a actividades rela-
cionadas con la auditora; por ejemplo auditores exter-
nos, auditores internos, evaluadores, revisores de cali-
dad, y asesores tcnicos. Por estas razones, las Directri-
ces de Auditora tienen una estructura genrica y de alto
nivel.

Los auditores deben cumplir con algunos requerimientos
generales para proporcionar a los directivos y a los pro-
pietarios o dueos de los procesos de negocios, seguri-
dad y asesora respecto a los controles en una organiza-
cin: ofrecer una seguridad razonable de que se est
cumpliendo con los objetivos de control correspondien-
tes; identificar dnde se encuentran las debilidades signi-
ficativas en dichos controles; justificar los riesgos que
pueden estar asociados con tales debilidades, y final-
mente, aconsejar a estos ejecutivos sobre las medidas
correctivas que deben adoptarse. COBIT ofrece polti-
cas claras y prcticas eficaces en materia de seguridad y
para los controles de informacin y la tecnologa asocia-
da. Por tanto, las Directrices de Auditora firmemente
basados en los Objetivos de Control, toman la opinin
del auditor a partir de la conclusin de auditora, rempla-
zndola con criterios normativos (41 estndares y mejo-
res prcticas tomadas de normas privadas y pblicas
aceptadas a nivel mundial).

Estas Directrices de Auditora proporcionan guas para
preparar planes de auditora que se integran al Marco
Referencial de COBIT y a los Objetivos de Control deta-
llados. Deben ser usados conjuntamente con estos dos
ltimos, y a partir de ah pueden desarrollarse programas
especficos de auditora. Sin embargo, las Directrices no
son exhaustivas ni definitivas. No pueden incluir todo ni
ser aplicables a todo, as que debern ajustarse a condi-
ciones especficas.

No obstante, hay cuatro cosas que las Directrices no son:

1. Las Directrices de Auditora no pretenden ser una herra-
mienta para crear el plan global de auditora que considera
una amplia gama de factores, incluyendo debilidades ante-
riores, riesgo de la organizacin, incidentes conocidos, nue-
vos acontecimientos, y seleccin de estrategias. Aun cuan-
do el Marco Referencial y los Objetivos de Control ofrecen
algunas orientaciones, los alcances de las Directrices no
incluyen una gua precisa para actividades especficas.

2. Las Directrices de Auditora no estn diseados como ins-
trumento para ensear las bases de la auditora, aun cuando
incorporen los elementos normalmente aceptados de la au-
ditora general y de TI.

3. Las Directrices de Auditora no pretenden explicar en deta-
lle la forma en que pueden utilizarse las herramientas com-
putarizadas para apoyar y automatizar los procesos de audi-
tora a TI, en materia de planeacin, evaluacin, anlisis y
documentacin (que estn incluidas, pero no se limitan a
ellas, en las Tcnicas de Auditora Asistidas por Computa-
dor). Existe un enorme potencial para usar la tecnologa de
informacin dirigida a aumentar la eficiencia y efectividad
de las auditoras, pero una orientacin en este sentido, tam-
poco est dentro de los alcances de las Directrices.

4. Las Directrices de Auditora no son exhaustivas ni definiti-
vas, pero se desarrollarn conjuntamente con COBIT y sus
Objetivos de Control detallados.

Las Directrices de Auditora de COBIT permiten al auditor com-
parar los procesos especficos de TI con los Objetivos de Control
de COBIT recomendados para ayudar a los directivos a identifi-
car en qu casos los controles son suficientes, o para asesorarlos
respecto a los procesos que requieren ser mejorados.

Desde el punto de vista de los directivos, los propietarios de los
procesos harn las preguntas: Estoy haciendo lo correcto?, y si
no es as: Qu puedo hacer para corregirlo? El Marco Referen-
cial y las Directrices de Auditora COBIT ayudarn a responder
a estas preguntas. El enfoque ofrece una perspectiva reactiva,
mientras que los auditores necesitan tambin apoyar a la directiva
de una manera proactiva. El Marco Referencial y las Directri-
ces de Auditora pueden aplicarse igualmente en forma proactiva
en las primeras etapas de los procesos y el desarrollo de proyec-
tos, al responder a la pregunta: Qu es lo que necesito hacer
ahora para no tener que ajustarlo o corregirlo despus?
INTRODUCCIN A LAS DIRECTRICES DE AUDITORA
C COBI OBIT T
ESTRUCTURA GENERAL DE LAS DIRECTRICES DE
AUDITORA
El modelo ms comn para evaluar el control es el modelo
de auditora. Otro enfoque que se est adoptando cada vez
ms es el modelo de anlisis de riesgos, que se cubrir hacia
el final de esta introduccin. Todos aquellos involucrados
en la evaluacin del control pueden inclinarse por cualquiera
de los dos modelos.

Los objetivos de la auditora son para:
Proporcionar administracin con aseguramiento
razonable de que se estn cubriendo los objetivos
de control,
En donde existan debilidades de control significa-
tivas, justificar los riesgos resultantes, y
Aconsejar a la administracin sobre acciones co-
rrectivas

La estructura generalmente aceptada del proceso de auditora
es:
Identificacin y documentacin
Evaluacin
Pruebas de cumplimiento
Pruebas sustantivas

El proceso de TI, por lo tanto, se audita mediante:
La obtencin de un entendimiento de los riesgos rela-
cionados con los requerimientos del negocio y de las
medidas relevantes de control
La evaluacin de la conveniencia de los controles
establecidos
La valoracin del cumplimiento probando si
los controles establecidos estn funcionando
como se espera, de manera consistente y con-
tinua
La comprobacin
6
que existe el riesgo
de que los objetivos de control no se
estn cumpliendo mediante el uso de
tcnicas analticas y/o consultando fuen-
tes alternativas.

Con el objetivo de brindar asistencia a la administracin en
la forma de asesora de aseguramiento, hemos desarrollado
esta estructura dentro de un marco referencial fundamentado
en los requerimientos del COBIT:
Presentacin en un enfoque de niveles
Orientacin hacia los objetivos del negocio
Orientado en funcin del proceso
Enfocado sobre
Los recursos que necesitan administrarse
Los criterios de informacin que se requieren

En el nivel ms alto, este enfoque general de auditora est
apoyado por:
El Marco Referencial de COBIT, particularmente
el resumen con la clasificacin de los procesos de
TI, los criterios de informacin aplicables y los
recursos de TI (vea la pgina 30)
Los requerimientos para el proceso de auditora
mismo (vea la seccin Requerimientos del Proceso
de Auditora en la pgina 23)
Los requerimientos genricos para la auditora de
procesos de TI (vea la seccin Directrices de Au-
ditora Genricos de TI, pgina 24)
Los principios generales de control (vea la seccin
Observaciones del Proceso de Control, pginas 24-
25)
El segundo nivel est compuesto por las Directrices detalla-
das de auditora para cada uno de los procesos de TI como se
muestra en la seccin principal de esta publicacin.

Las Directrices han sido presentadas en una plantilla estn-
dar que sigue la estructura general de Obtencin, Evalua-
cin, Valoracin y Comprobacin. Esta plantilla ha sido
aplicada a las Directrices de Auditora Genricas de TI, as
como tambin a las Directrices de Auditora Detalladas.

En el tercer y ltimo nivel, el auditor puede complementar
las Directrices de Auditora para cubrir las condiciones loca-
les, conduciendo la fase de planeacin de auditora con pun-
tos de atencin de auditora que influyen sobre los objetivos
detallados de control mediante:
Criterios especficos del sector
Estndares de la industria
Elementos especficos de la plataforma
Tcnicas detalladas de control empleadas

Importante para este nivel es el hecho de que los objetivos
de control no son necesariamente aplicables en todos los
casos y en cualquier lugar. Por lo tanto se sugiere que se
realice una evaluacin de riesgos de alto nivel para determi-
nar sobre qu objetivos se necesita enfocarse especficamen-
te y cules pueden ignorarse.
6
Comprobacin (substantiating)
Todos estos elementos se ofrecen para apoyar la planeacin
y la realizacin de las auditoras de TI, y para una mejor
aplicacin integrada de las directrices / lineamientos detalla-
dos de auditora. Las directrices no son exhaustivas y no son
aplicables universalmente. El nivel de informacin de apoyo
(guas genricas, requerimientos del proceso de auditora y
observaciones de control) ayudar a los auditores a desarro-
llar el programa de auditora que necesitan.
D DIRECTRICES IRECTRICES DE DE A AUDITORA UDITORA

Nivel 1

Enfoque general de auditora de TI
Marco Referencial de COBIT
Requerimientos del Proceso de Auditora
Observaciones de Control
Directriz General de Auditora
Nivel 2

Directrices del proceso de auditora

Directrices de Auditora detalladas
Nivel 3

Puntos de atencin de auditora para
complementar los objetivos detallados
de control

Condiciones Locales
Criterios especficos del sector
Estndares de la industria
Elementos especficos de la plataforma
Tcnicas detalladas de control utilizadas
ESTRUCTURA DETALLADA PARA LA APLICACIN DE LAS DIRECTRICES DE AUDITORA
REQUERIMIENTOS DEL PROCESO DE AUDITORA
Una vez definido qu vamos a auditar y sobre qu vamos a
proporcionar aseguramiento, tenemos que determinar el enfo-
que o estrategia ms apropiada para llevar a cabo el trabajo de
auditora. Primero tenemos que determinar el alcance correcto
de nuestra auditora. Para lograrlo, necesitamos investigar,
analizar y definir:
Los procesos del negocio involucrados;
Las plataformas y los sistemas de informacin que
estn apoyando el proceso del negocio, as como la
interconectividad con otras plataformas o sistemas;
Los roles y responsabilidades de TI definidas, inclu-
yendo las correspondientes al outsourcing interno y/
o externo; y
Los riesgos del negocio y las decisiones estratgicas
asociadas.

El siguiente paso es identificar los requerimientos de informa-
cin que tienen una relevancia particular con respecto a los
procesos del negocio. Luego necesitaremos identificar los
riesgos inherentes de TI, as como el nivel general de control
que puede asociarse con el proceso del negocio. Para lograrlo,
identificamos:
Los cambios recientes en el ambiente del negocio
que tienen impacto sobre TI;
Los cambios recientes al ambiente de TI, nuevos
desarrollos, etc.;
Los incidentes recientes relevantes para los controles
y el ambiente del negocio;
Los controles de monitoreo de TI aplicados por la
administracin;
Los reportes recientes de auditora y/o certificacin;
y
Los resultados recientes de auto evaluaciones.
Basndonos en la informacin obtenida, ahora podemos se-
leccionar los procesos relevantes de COBIT, as como tam-
bin los recursos que aplican a los mismos. Esto pudiera
requerir que ciertos procesos de COBIT necesiten auditarse
varias veces, cada vez para una plataforma o sistema distin-
to.

El auditor deber determinar una estrategia de auditora ba-
sndose en el plan detallado de auditora que deber elabo-
rarse con ms profundidad, por ejemplo, si uno busca un
enfoque basado en controles o un enfoque sustantivo.

Finalmente, necesitan considerarse todos los pasos, tareas y
puntos de decisin para llevar a cabo la auditora. Un ejem-
plo de un proceso genrico de auditora (con pasos, tareas y
puntos de decisin), que sigue la plantilla estndar, se pro-
porciona en el Apndice IV.
C COBI OBIT T
DIRECTRIZ GENERAL DE AUDITORA DE TI
La plantilla en la pgina 26 (que adems se presenta como
un anexo el final de este documento) presenta los requeri-
mientos genricos para auditar procesos de TI para brindar el
primer nivel de las directrices de auditora, generalmente
aplicables a todos los procesos. Est primordialmente orien-
tado hacia la comprensin del proceso y la determinacin de
la propiedad y deber ser el fundamento y el marco referen-
cial para todos las directrices detalladas de auditora.

Esta misma plantilla se aplica luego a los 34 procesos que se
identifican en el Marco Referencial de COBIT.

OBSERVACIONES DEL PROCESO DE CONTROL
Los principios generales de control tambin pueden propor-
cionar una gua adicional sobre cmo complementar las Di-
rectrices de Auditora. Estos principios estn primordial-
mente enfocados sobre el proceso y las responsabilidades del
control, los estndares de control y los flujos de la informa-
cin de control.
El control, desde el punto de vista de la administracin, se
define como el determinar qu se est logrando; esto es, eva-
luar el desempeo y si es necesario aplicar medidas correcti-
vas para que el desempeo est de acuerdo con lo planeado.
Definir el alcance de la auditora
procesos del negocio involucrados
plataformas, sistemas y su interconectividad, que
apoyan el procesos
roles, responsabilidades y estructura organizacional
Identificar los requerimientos de informacin rele-
vantes para el proceso del negocio
importancia para el proceso del negocio
Identificar los riesgos inherentes de TI y el nivel
general de control
cambios recientes e incidentes en el ambiente del nego-
cio y de la tecnologa
resultados de auditoras, autoevaluaciones, y certificacin
controles de monitoreo aplicados por la administracin
Selccionar procesos y plataformas a auditar
procesos
recursos

REQUERIMIENTOS DEL PROCESO DE AUDITORA
Fijar una estrategia de auditora
Controles versus riesgos
Pasos y tareas
Puntos de decisin
El proceso de control consiste de cuatro pasos. Primero, se
especifica un estndar de desempeo deseado para un proce-
so. Segundo, existe un medio de saber qu esta sucediendo
en el proceso, por ejemplo, el proceso proporciona informa-
cin de control a una unidad de control. Tercero, la unidad
de control compara la informacin con el estndar. Cuarto,
si lo que realmente est sucediendo no cumple con el estn-
dar, la unidad de control dirige aquella accin correctiva a
tomar, en forma de informacin para el proceso. A partir de
este modelo, las siguientes observaciones de control pueden
resultar relevantes para la auditora:
1. Para que este modelo funcione, la responsabilidad por
el proceso del negocio (o en este caso, de TI) debe ser
claro y la responsabilidad no debe ser ambigua. Si no
es as, la informacin de control no fluir y no podr
tomarse accin correctiva.
2. Los estndares pueden ser de una amplia variedad, des-
de planes y estrategias de alto nivel hasta indicadores
clave de desempeo (KPI - Key Performance Indica-
tors) y factores crticos de xito (CSF Critical Success
Factors). Los estndares claramente documentados,
mantenidos y comunicados son necesarios para un buen
proceso de control. La responsabilidad clara por la cus-
todia de dichos estndares tambin es un requerimiento
para un buen control.
3. El proceso de control tiene los mismos requerimientos:
bien documentado en cuanto a cmo funciona y con
responsabilidades claras. Un aspecto importante es la
clara definicin de lo que constituye una desviacin,
esto es, cules son los lmites de desviacin.
Normas
Estndares
KPI / CSF
Comparacin
Proceso
Acto
Informacin
De Control
4. La oportunidad, integridad y conveniencia de la infor-
macin de control, as como tambin otra informa-
cin, son bsicas para el buen funcionamiento de un
sistema de control y es algo que el auditor debe tratar.
5. Tanto la informacin de control como la informacin
de accin correctiva tendrn que cumplir los requeri-
mientos de evidencia, con el fin de establecer la res-
ponsabilidad despus del evento.
C COBI OBIT T
DIRECTRIZ GENERAL DE AUDITORA
OBTENCIN DE UN ENTENDIMIENTO
Los pasos de auditora que se deben realizar para documentar las actividades que generan inconvenientes a los objetivos de con-
trol, as como tambin identificar las medidas/procedimientos de control establecidas.

Entrevistar al personal administrativo y de staff apropiado para lograr la comprensin de:
Los requerimientos del negocio y los riesgos asociados
La estructura organizacional
Los roles y responsabilidades
Polticas y procedimientos
Leyes y regulaciones
Las medidas de control establecidas
La actividad de reporte a la administracin (estatus, desempeo, acciones)

Documentar el proceso relacionado con los recursos de TI que se ven especialmente afectados por el proceso bajo revisin. Con-
firmar el entendimiento del proceso bajo revisin, los Indicadores Clave de Desempeo (KPI) del proceso, las implicaciones de
control, por ejemplo, mediante una revisin paso a paso del proceso.
EVALUACIN DE LOS CONTROLES
Los pasos de auditora a ejecutar en la evaluacin de la eficacia de las medidas de control establecidas o el grado en el que se
logra el objetivo de control. Bsicamente, decidir qu se va a probar, si se va a probar y cmo se va a probar.

Evaluar la conveniencia de las medidas de control para el proceso bajo revisin mediante la consideracin de los criterios inden-
tificados y las prcticas estndares de la industria, los Factores Crticos de xito (CSF) de las medidas de control y la aplicacin
del juicio profesional de auditor.
Existen procesos documentados
Existen resultados apropiados
La responsabilidad y el registro de las operaciones son claros y efectivos
Existen controles compensatorios, en donde es necesario
Concluir el grado en que se cumple el objetivo de control.
VALORACIN DEL CUMPLIMIENTO
Los pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como es debido, de
manera consistente y continua, y concluir sobre la conveniencia del ambiente de control.

Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimien-
tos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta.

Realizar una revisin limitada de la suficiencia de los resultados del proceso.

Determinar el nivel de pruebas sustantivas y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado.
JUSTIFICAR/COMPROBAR EL RIESGO
Los pasos de auditora a realizar para justificar el riesgo de que no se cumpla el objetivo de control mendiante el uso de tcnicas
analticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinin e impresionar a la administracin para que
tome accin. Los auditores tienen que ser creativos para encontrar y presentar esta informacin que con frecuencia es sensitiva y
confidencial.

Documentar las debilidades de control y las amenazas y vulnerabilidades resultantes.

Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-efecto.

Brindar informacin comparativa; por ejemplo, mediante benchmarks.
Los controles tambin operan en diferentes niveles dentro
del ciclo tradicional de Planear-Hacer-Verificar-Corregir con
el que la administracin se siente cmoda. Este modelo ilus-
tra:
La secuencia lgica de planear-hacer-verificar y
corregir el plan si es necesario:
Cmo sucede esto a nivel estratgico, tctico y
administrativo;
Las diversas relaciones laterales y horizontales
El hacer estratgico da como resultado pla-
neacin tctica; el hacer tctico da como
resultado planeacin administrativa;
Las actividades de verificar y hacer co-
operan e influyen continuamente una con
otra; y
La actividad administrativa de verificar
reporta a verificar tctico, quien a su vez
reporta a verificar estratgico.
Cuando se evalan mecanismos de control, los revisores
debern estar conscientes de que estos controles operan en
estos diferentes niveles y de que tienen relaciones intrnse-
cas. La orientacin hacia el proceso de COBIT proporciona
algunas indicaciones acerca de los diferentes procesos de
control, niveles e interrelaciones, pero la implantacin o va-
loracin real de los sistemas de control requiere tomar en
cuenta esta compleja dimensin adicional.
COLOCNDOLAS TODAS JUNTAS
En resumen, las Directrices de Auditora detalladas siempre
pueden complementarse tomando en cuenta el Lineamiento
Genrico y el proceso bajo revisin, y obteniendo tareas de
auditora adicionales para lograr el objetivo de auditora. El
desarrollo del programa de auditora en s puede beneficiarse
de tomar en consideracin los requerimientos del proceso de
auditora de TI, el Marco Referencial de COBIT y los Objeti-
vos de Control de Alto Nivel, y las Consideraciones de Con-
trol que se muestran aqu.

RELACIN ENTRE LOS OBJETIVOS DE CONTROL Y LAS DI-
RECTRICES DE AUDITORA
Los objetivos han sido desarrollados a partir de una orienta-
cin al proceso porque la administracin est buscando ase-
sora proactiva sobre cmo tratar el problema de mantener
TI bajo control. Los Objetivos de Control ayudan a la admi-
nistracin a establecer el control sobre el proceso, las Direc-
trices de Auditora ayudan al auditor o asesor a asegurar que
el proceso est realmente bajo control, de tal manera que los
requerimientos de informacin necesarios para lograr los
objetivos del negocio sern satisfechos.
La relacin entre estos dos conceptos es el proceso, por lo
que las Directrices de Auditora han sido desarrolladas para
cada uno de los procesos, en oposicin a cada uno de los
objetivos de control.
Plan Accin Verificacin
Estratgico
Tctico
Administrativo
Correccin
Reporte
Reporte
En cuanto al marco referencial de control representado por el
modelo de cascada, las Directrices de Auditora pueden ver-
se como los elementos que proporcionan retroalimentacin a
partir de los procesos de control para los objetivos del nego-
cio. Los objetivos de control son la gua que baja por la cas-
cada para tener el proceso de TI bajo control. Las Directri-
ces de Auditora son la gua para regresar a la parte superior
de la cascada con la pregunta: Hay seguridad de que se
logre el objetivo del negocio? Algunas veces, las Directri-
ces de Auditora son traducciones literales de los Objetivos
de Control; con mayor frecuencia, las Directrices buscan la
evidencia de que el proceso est bajo control.

OPORTUNIDADES Y RETOS PARA LAS TAREAS DE EVALUA-
CIN
La utilizacin del Marco Referencial, los Objetivos de Con-
trol y las Directrices de Auditora como fundamento para la
tarea de auditora/valoracin nos presenta algunas ventajas
definitivas:
Permite dar prioridad a las actividades de auditora
y reas bajo revisin, utilizando las calificaciones
Primaria y Secundaria de los criterios de informa-
cin;
Conduce a reas de investigacin que normalmen-
te sin un marco referencial o modelo- no seran
tratadas; Puede desarrollarse una planeacin y se-
cuencia de entrevistas ms lgica conforme los
auditores avanzan en el proceso;
Las investigaciones pueden enfocarse utilizando el
indicador de qu recurso es ms importante en qu
proceso; y
Como un estndar para definir las reas de TI au-
ditables para el plan estratgico de auditora, con
el fin de asegurar
La cobertura efectiva de la auditora
La adquisicin/desarrollo oportuno de las
habilidades necesarias para la auditora.
Sin embargo, existen algunos retos en cuanto a la integra-
cin del marco referencial y de los objetivos dentro del tra-
bajo de auditora:
El cambio nunca es fcil (actitud, conjunto de
herramientas, conjunto de habilidades, etc.);
La naturaleza detallada hace difcil la aplicacin
inicial, especialmente cuando se est verificando la
completitud
7
y aplicabilidad de los objetivos de
control para el rea bajo revisin;
Existe un grado necesario de repeticin en las Di-
rectrices de Auditora porque rara vez hay una
relacin uno-a-uno entre el objetivo de control y
los mecanismos de control, un mecanismo contri-
buye de varias maneras a varios objetivos, un obje-
tivo necesita de varios mecanismos para lograr su
cometido; y

C COBI OBIT T
Lineamientos
Detallados de Auditoria
Requerimientos de
Proceso de Auditoria
Marco de Referencia de Control
efect ividad
efi cienci a
confi dencial idad
int egri dad
di sponi bil idad
cumpli mi ent o
confiabi li dad
P S
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
aplicaciones
tecnologa
facilidades
datos
gente

Prcticas de
Control
Los Estatutos
de Control
Requerimientos
de negocio
El control de
Lo cual satisface
es posible por
considerando las
Proceso de TI
Observaciones de Control
Normas
Estndares
KPI / CSF
Comparacin
Proceso
Acto
Informacin de
Control
Lineamiento
General de Auditoria
identificar
evaluar
probar
establecer
Uso en
combinacin
7
Completitud / Integridad: (Completeness)
Refuerza cierto formalismo (por ejemplo, registrar
informacin previa) que puede parecer innecesa-
rio.

ANLISIS DE RIESGOS COMO UN ENFOQUE ALTERNATIVO
DE EVALUACIN

El balance entre costo y riesgo es el siguiente problema a
tratar, esto es, tomar una decisin consciente de cmo se va
a implementar cada uno de los objetivos de control y si se
van a implementar. Los enfoques de anlisis de riesgos tra-
tan esta decisin, a pesar de que permanece el principio
proactivo; los objetivos de control debern aplicarse en pri-
mera instancia para lograr unos criterios de control de infor-
macin (efectividad, eficiencia, confidencialidad, disponibi-
lidad, integridad, cumplimiento y confiabilidad). Es eviden-
te que la administracin necesita utilizar alguna forma de
evaluacin de riesgos del negocio para definir las medidas a
implementar (vea CO PO9). Los auditores tambin llevarn
a cabo alguna forma de evaluacin de riesgos cuando elijan
los dominios del proceso y los objetivos de control para la
revisin.
Un enfoque comnmente aceptado para el anlisis de riesgos
en TI es el siguiente:
El modelo comienza a partir de la valoracin de los activos,
que dentro del Marco Referencial de COBIT consiste en la
informacin que tiene los criterios requeridos para ayudar a
lograr los objetivos del negocio (incluyendo todos los recur-
sos necesarios para producir dicha informacin). El siguien-
te paso es el anlisis de vulnerabilidad
que trata de la im-

portancia de los criterios de informacin dentro del proceso
bajo revisin, por ejemplo, si un proceso del negocio es vul-
nerable a la prdida de integridad, entonces se requieren me-
didas especficas. Luego se tratan las amenazas, esto es,
aquello que puede provocar una vulnerabilidad. La probabi-
lidad de la amenaza, el grado de vulnerabilidad y la severi-
dad del impacto se combinan para concluir acerca de la eva-
luacin del riesgo. Esto es seguido por la seleccin de con-
tramedidas (controles) y una evaluacin de su eficacia, que
tambin identifica el riesgo residual. La conclusin es un
plan de accin despus del cual el ciclo puede comenzar
nuevamente.

El resultado de un anlisis de vulnerabilidad es la identificacin de amenazas
relevantes y el resultado de un anlisis de amenazas es la identificacin de
vulnerabilidades relevantes.
Valuacin
de Activos
Evaluacin
de Riesgo
Contra-
Medidas
Evaluacin de
Vulnerabilidad
Evaluacin
del Riesgo
Evaluacin
del Control
Plan de
Accin
Riesgo
Residual
Marco Referencial del Anlisis de Riesgo
C COBI OBIT T

Criterios de Informacin Recursos de TI
e
f
e
c
t
i
v
i
d
a
d
e
f
i
c
i
e
n
c
i
a
c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d
i
n
t
e
g
r
i
d
a
d
d
i
s
p
o
n
i
b
i
l
i
d
a
d
c
u
m
p
l
i
m
i
e
n
t
o
c
o
n
f
i
a
b
i
l
i
d
a
d
r
e
c
u
r
s
o
s

h
u
m
a
n
o
s
s
i
s
t
e
m
a
s

d
e

i
n
f
o
r
m
a
c
i
n
t
e
c
n
o
l
o
g
a
i
n
s
t
a
l
a
c
i
o
n
e
s
d
a
t
o
s
DOMINIO PROCESO
Planeacin y PO1 Definir un plan estratgico de sistemas P S
Organizacin PO2 Definir la arquitectura de informacin P S S S
PO3 Determinar la direccin tecnolgica P S
PO4 Definir la organizacin y sus relaciones P S
PO5 Administrar las inversiones (en TI) P P S
PO6 Comunicar la direccin y objetivos de la gerencia P S
PO7 Administrar los recursos humanos P P
PO8 Asegurar el apego a disposiciones externas P P S
PO9 Evaluar riesgos S S P P P S S
P010 Administrar proyectos P P
PO11 Administrar calidad P P P S
Adquisicin e AI1 Identificar soluciones de automatizacin P S
Implementacin AI2 Adquirir y mantener software de aplicacin P P S S S
AI3 Adquirir y mantener la arquitectura tecnolgica P P S
AI4 Desarrollar y mantener procedimientos P P S S S
AI5 Instalar y acreditar sistemas de informacin P S S
AI6 Administrar cambios P P P P S
Entrega de servicios y DS1 Definir niveles de servicio P P S S S S S
Soporte DS2 Administrar servicios de terceros P P S S S S S
DS3 Administrar desempeo y capacidad P P S
DS4 Asegurar continuidad de servicio P S P
DS5 Garantizar la seguridad de sistemas P P S S S
DS6 Identificar y asignar costos P P
DS7 Educar y capacitar a usuarios P S
DS8 Apoyar y orientar a clientes P
DS9 Administrar la configuracin P S S
DS10 Administrar problemas e incidentes P P S
DS11 Administrar la informacin P P
DS12 Administrar las instalaciones P P
DS13 Administrar la operacin P P S S
Monitoreo M1 Monitorear el proceso P S S S S S S
M2 Evaluar lo adecuado del control interno P P S S S S S
M3 Obtener aseguramiento independiente P P S S S S S
M4 Proporcionar auditora independiente P P S S S S S
R
e
c
u
r
s
o
s

h
u
m
a
n
o
s

s
i
s
t
e
m
a
s

d
e

a
p
l
i
c
a
c
i
n

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

OBJETIVOS DE CONTROL
TABLA RESUMEN

La siguiente tabla proporciona una indicacin, por proceso y dominio de TI, de cules criterios de informacin son impac-
tados por los objetivos de alto nivel, as como una indicacin de cules recursos de TI son aplicables.
(P) Primario () Aplicable a
(S) Secundario
Comunicar los objetivos y aspiraciones de la Gerencia
Asegurar el cumplimiento de requerimientos externos

de TI por un proceso.

Tambin deber tomarse en cuenta que los Objetivos de
Control de COBIT han sido definidos de una manera ge-
nrica, por ejemplo, sin depender de la plataforma tcni-
ca, aceptando el hecho de que algunos ambientes de
tecnologa especiales pueden requerir una cobertura se-
parada para objetivos de control.
El Marco de Referencia de COBIT ha sido limitado a
objetivos de control de alto nivel en forma de necesida-
des de negocio dentro de un proceso de TI particular,
cuyo logro es posible a travs del establecimiento de
controles, para lo cual deben considerarse controles po-
tenciales aplicables.

Los Objetivos de Control de TI han sido organizados por
proceso/actividad y tambin se han proporcionados ayu-
das de navegacin no solamente para facilitar la entrada
a partir de cualquier punto de vista estratgico como se
explic anteriormente, sino tambin para facilitar enfo-
ques combinados o globales, tales como instalacin/
implementacin de un proceso, responsabilidades geren-
ciales globales para un proceso y utilizacin de recursos

AYUDAS DE NAVEGACIN PARA LAS DIRECTRICES DE AUDITORIA

Las Directrices de Auditora contienen secciones detalladas de guas de auditora para cada uno de los 34 procesos de TI.
En la izquierda de la pgina est el objetivo de control de alto nivel. El indicador de dominio (PO para Planeacin y
Organizacin, AI para Adquisicin e Implementacin, DS para Entrega y Soporte y M para Monitoreo) se presentan
en la parte superior izquierda. El criterio de informacin aplicable y el recurso de TI utilizado son mostrados en una mini-
matriz, como se describe en la siguiente pgina. Empezando en la parte derecha de la pgina est la descripcin de la
directriz de auditora para el proceso de TI
Considerando
Es habilitado por
Que satisface
Proceso de TI
Requerimiento de Nego-
cio
Declaracin de Control
Prcticas de Control
El control de
C COBI OBIT T
Adquisicin &
Implementa-
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
Criterios de
Dominios TI

P

S
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
-
c
o
n
f
i
a
b
i
l
i
d
a
d

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

Adquisicin &
Implementa-
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo

P

S
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
-
c
o
n
f
i
a
b
i
l
i
d
a
d

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

Tres puntos de posicin

Para facilitar el empleo eficiente de los objetivos de control
como soporte a los diferentes puntos de vista, se proporcio-
nan algunas ayudas de navegacin como parte de la presenta-
cin de los objetivos de control de alto nivel. Se proporciona
una ayuda de navegacin para cada una de las tres dimensio-
nes del Marco de Referencia de COBIT - procesos, recursos
de TI y criterios de informacin -

Los dominios son identificados por este cono en la ESQUI-
NA SUPERIOR DERECHA de cada pgina, en la seccin de
Objetivos de Control, agrandando y haciendo ms visible el
dominio bajo revisin.

La clave para el criterio de informacin se presentar en la
ESQUINA SUPERIOR IZQUIERDA, en la seccin de Obje-
tivos de Control mediante la siguiente mini matriz, la cual
identificar cul criterio y en qu grado (primario o secunda-
rio) es aplicable a cada Objetivo de Control de TI de alto
nivel.

Una segunda mini matriz en la ESQUINA INFERIOR DERE-
CHA de la seccin de Objetivos de Control identifica los recursos
de TI que son administrados en forma especfica por el proceso
bajo consideracin - no solo aquellos que simplemente toman
parte en el proceso -. Por ejemplo, el proceso administracin de
datos se concentra particularmente en la integridad y confiabili-
dad de los recursos de datos.
Planeacin y Organizacin
1.0 Definicin de un Plan Estratgico de Tecnologa
de Informacin
1.1 Tecnologa de Informacin como parte del
Plan de la Organizacin a corto y largo
plazo
1.2 Plan a largo plazo de Tecnologa de Informa-
cin
1.3 Plan a largo plazo de Tecnologa de Informa-
cin - Enfoque y Estructura
1.4 Cambios al Plan a largo plazo de Tecnologa
de Informacin
1.5 Planeacin a corto plazo para la funcin de
Servicios de Informacin
1.6 Comunicacin de los planes de TI
1.7 Evaluacin y Monitoreo de los planes de TI.
1.8 Valoracin de los sistemas existentes.
2.0 Definicin de la Arquitectura de Informacin
2.1 Modelo de la Arquitectura de Informacin
2.2 Diccionario de Datos y Reglas de sintaxis de
datos corporativos
2.3 Esquema de Clasificacin de Datos
2.4 Niveles de Seguridad.
3.0 Determinacin de la Direccin Tecnolgica
3.1 Planeacin de la Infraestructura Tecnolgica
3.2 Monitoreo de Tendencias y Regulaciones
Futuras
3.3 Contingencias en la Infraestructura Tecnol-
gica
3.4 Planes de Adquisicin de Hardware y Soft-
ware
3.5 Estndares de Tecnologa
4.0 Definicin de la Organizacin y de las Relaciones
de TI
4.1 Planeacin de TI o Comit de planeacin/
direccin de la funcin de servicios de infor-
macin
4.2 Ubicacin de los servicios de informacin en
la organizacin
4.3 Revisin de Logros Organizacionales
4.4 Funciones y Responsabilidades

RELACIONES DE OBJETIVOS DE CONTROL
DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
4.5 Responsabilidad del aseguramiento de cali-
dad
4.6 Responsabilidad por la seguridad lgica y
fsica
4.7 Propiedad y Custodia
4.8 Propiedad de Datos y Sistemas
4.9 Supervisin
4.10 Segregacin de Funciones
4.11 Asignacin de Personal para Tecnologa de
Informacin
4.12 Descripcin de Puestos para el Personal de
la Funcin de TI
4.13 Personal clave de TI
4.14 Procedimientos y polticas para el personal
contratado
4.15 Relaciones
5.0 Manejo de la Inversin en Tecnologa de Infor-
macin
5.1 Presupuesto Operativo Anual para la Fun-
cin de Servicio de informacin
5.2 Monitoreo de Costo - Beneficio
5.3 Justificacin de Costo - Beneficio
6.0 Comunicacin de los Objetivos y Aspiraciones
de la Gerencia
6.1 Ambiente positivo de control de la informa-
cin
6.2 Responsabilidad de la Gerencia en cuanto a
Polticas
6.3 Comunicacin de las Polticas de la Organi-
zacin
6.4 Recursos para la implementacin de Polti-
cas
6.5 Mantenimiento de Polticas
6.6 Cumplimiento de Polticas, Procedimientos
y Estndares
6.7 Compromiso con la Calidad
6.8 Poltica sobre el Marco Referencial para la
Seguridad y el Control Interno
6.9 Derechos de propiedad intelectual
6.10 Polticas Especficas
6.11 Comunicacin de Conciencia de Seguridad
en TI
C COBI OBIT T
7.0 Administracin de Recursos Humanos
7.1 Reclutamiento y Promocin de Personal
7.2 Calificacin del Personal
7.3 Roles y Responsabilidades
7.4 Entrenamiento del personal
7.5 Entrenamiento Cruzado o Respaldo de
Personal
7.6 Procedimientos para la Acreditacin del
Personal
7.7 Evaluacin de Desempeo de los Em-
pleados
7.8 Cambios de Puesto y Terminacin de
contrato de trabajo
8.0 Aseguramiento del Cumplimiento con Reque-
rimientos Externos
8.1 Revisin de Requerimientos Externos
8.2 Prcticas y Procedimientos para el Cum-
plimiento de Requerimientos Externos
8.3 Cumplimiento de los Estndares de Se-
guridad y Ergonoma
8.4 Privacidad, Propiedad Intelectual y Flujo
de Datos
8.5 Comercio Electrnico
8.6 Cumplimiento con Contratos de Seguros
9.0 Anlisis de Riesgos
9.1 Anlisis de Riesgos del Negocio
9.2 Enfoque de Anlisis de Riesgos
9.3 Identificacin de Riesgos
9.4 Medicin de Riesgos
9.5 Plan de Accin para mitigar los Riesgos
9.6 Aceptacin de Riesgos
9.7 Seleccin de Proteccin.
9.8 Compromiso de Anlisis de Riesgos
10.0 Administracin de Proyectos
10.1 Marco Referencial para la Administra-
cin de Proyectos
10.2 Participacin del Departamento Usuario
en la Iniciacin de Proyectos
10.3 Miembros y Responsabilidades del Equi-
po del Proyecto
10.4 Definicin del Proyecto
10.5 Aprobacin del Proyecto
10.6 Plan maestro del proyecto
10.7 Plan Maestro del Proyecto
10.8 Plan de Aseguramiento de Calidad de
Sistemas
10.9 Planeacin de Mtodos de Aseguramien-
to
10 Administracin Formal de Riesgos de Pro-
yectos
10.11 Plan de Prueba
10.12 Plan de Entrenamiento
10.13 Plan de Revisin Post Implementacin
11.0 Administracin de Calidad
11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de Calidad
11.3 Planeacin del Aseguramiento de Calidad
11.4 Revisin de Aseguramiento de Calidad sobre
el Cumplimiento de Estndares y Procedi-
mientos de TI
11.5 Metodologa del Ciclo de Vida de Desarrollo
de Sistemas
11.6 Metodologa del Ciclo de Vida de Desarrollo
de Sistemas para Cambios Mayores a la Tec-
nologa Actual
11.7 Actualizacin de la Metodologa del Ciclo de
Vida de Desarrollo de Sistemas
11.8 Coordinacin y Comunicacin
11.9 Marco Referencial para la Adquisicin y
Mantenimiento de la Infraestructura de Tec-
nologa
11.10 Relaciones con Terceras Partes en su rol de
Implementadores
11.11 Estndares para la Documentacin de Progra-
mas
11.12 Estndares para Pruebas de Programas
11.13 Estndares para Pruebas de Sistemas
11.14 Pruebas Piloto/En Paralelo
11.15 Documentacin de las Pruebas del Sistema
11.16 Evaluacin del Aseguramiento de la Cali
dad sobre el Cumplimiento de Estndares de
Desarrollo
11.17 Revisin del Aseguramiento de Calidad
sobre el Logro de los Objetivos de la
Funcin de Servicios de Informacin
11.18 Mtricas de Calidad
11.19 Reportes de Revisiones de Aseguramiento de
la Calidad

Adquisicin e Implementacin
1.0 Identificacin de Soluciones
1.1 Definicin de Requerimientos de Infor-
macin
1.2 Formulacin de Acciones Alternativas
1.3 Formulacin
1.4 Requerimientos de Servicios de Terce-
ros
1.5 Estudio de Factibilidad Tecnolgica
1.6 Estudio de Factibilidad Econmica
1.7 Arquitectura de Informacin
1.8 Reporte de Anlisis de Riesgos
1.9 Controles de Seguridad costo-efectivo
1.10 Diseo de Pistas de Auditora
1.11 Ergonoma
1.12 Seleccin de Software del Sistema
1.13 Control de Abastecimiento
1.14 Adquisicin de Productos de Software
1.15 Mantenimiento de Software de Terceras
Partes
1.16 Contratos para la Programacin de Apli-
caciones
1.17 Aceptacin de Instalaciones
1.18 Aceptacin de Tecnologa
2.0 Adquisicin y Mantenimiento de Software de
Aplicacin
2.1 Mtodos de Diseo
2.2 Cambios Significativos a Sistemas Ac-
tuales
2.3 Aprobacin del Diseo
2.4 Definicin y Documentacin de Requeri-
mientos de Archivos
2.5 Especificaciones de Programas
2.6 Diseo para la Recopilacin de Datos
Fuente
mientos de Entrada de Datos
2.8 Definicin de Interfases
2.9 Interfases Usuario-Mquina
mientos de Procesamiento
mientos de Salida de Datos
2.12 Controlabilidad
2.13 Disponibilidad como Factor Clave de
Diseo
2.14 Consideracin de Integridad de TI en
programas de software de aplicaciones
2.15 Pruebas al Software de Aplicacin
2.16 Materiales de Consulta y Soporte para
Usuario
2.17 Reevaluacin del Diseo del Sistema
3.0 Adquisicin y Mantenimiento de la Arquitec-
tura de Tecnologa
3.1 Evaluacin de Nuevo Hardware y
Software
3.2 Mantenimiento Preventivo para Hardware
3.3 Seguridad del Software del Sistema
3.4 Instalacin del Software del Sistema
3.5 Mantenimiento del Software del Sistema
3.6 Controles para Cambios del Software del Sis-
tema
3.7 Uso y Monitoreo de Utilidades/Utilitarios del
Sistema
4.0 Procedimientos de Desarrollo y Mantenimiento de
TI
4.1 Requerimientos Operacionales y Niveles de
Servicio
4.2 Manual de Procedimientos para Usuario
4.3 Manual de Operacin
4.4 Material de Entrenamiento
5.0 Instalacin y Acreditacin de Sistemas
5.1 Entrenamiento
5.2 Medicin del Desempeo del Software de
Aplicacin
5.3 Plan de Implementacin
5.4 Conversin del Sistema
5.5 Conversin de datos
5.6 Planes y estrategias de pruebas
5.7 Pruebas a cambios
5.8 Criterios y Desempeo de Pruebas en Paralelo/
Piloto
5.9 Prueba de Aceptacin Final
5.10 Pruebas y Acreditacin de la Seguridad
5.11 Prueba Operacional
5.12 Promocin a Produccin
5.13 Evaluacin de la Satisfaccin de los
Requerimientos del Usuario
5.14 Revisin Gerencial Post - Implementacin
6.0 Administracin de Cambios
6.1 Inicio y Control de Solicitudes de Cambio
6.2 Anlisis de Impacto
6.3 Control de Cambios
6.4 Cambios de Emergencia
6.5 Documentacin y Procedimientos
6.6 Mantenimiento Autorizado
6.7 Poltica de Liberacin de Software
6.8 Distribucin de Software

C COBI OBIT T
Entrega de Servicios y Soporte
1.0 Definicin de Niveles de Servicio
1.1 Marco de Referencia para acuerdos de
Nivel de Servicio
1.2 Aspectos sobre los Acuerdos de Nivel de
Servicio
1.3 Procedimientos de Desempeo
1.4 Monitoreo y Reporte
1.5 Revisin de Contratos y Acuerdos de
Nivel de Servicio
1.6 Elementos sujetos a Cargo
1.7 Programa de Mejoramiento del Servicio
2.0 Administracin de Servicios prestados por
Terceros
2.1 Interfases con Proveedores
2.2 Relaciones con los Dueos
2.3 Contratos con Terceros
2.4 Calificaciones de terceros
2.5 Contratos con Outsourcing
2.6 Continuidad del Servicios
2.7 Relaciones de Seguridad
2.8 Monitoreo
3.0 Administracin de Desempeo y Capacidad
3.1 Requerimientos de Disponibilidad y
Desempeo
3.2 Plan de Disponibilidad
3.3 Monitoreo y Reporte
3.4 Herramientas de Modelado
3.5 Administracin de Desempeo Proactivo
3.6 Pronstico de Carga de Trabajo
3.7 Administracin de Capacidad de Recur-
sos
3.8 Disponibilidad de Recursos
3.9 Calendarizacin / Programacin de re-
cursos
4.0 Aseguramiento de Servicio Continuo
4.1 Marco de Referencia de Continuidad de
4.2 Estrategia y Filosofa del Plan de Conti-
nuidad de Tecnologa de Informacin
4.3 Contenido del Plan de Continuidad de
4.4 Minimizacin de requerimientos de Con-
tinuidad de Tecnologa de Informacin
4.5 Mantenimiento del Plan de Continuidad
de Tecnologa de Informacin
4.6 Pruebas del Plan de Continuidad de Tec-
nologa de Informacin
4.7 Entrenamiento sobre el Plan de Continuidad de
4.8 Distribucin del Plan de Continuidad de Tec-
nologa de Informacin
4.9 Procedimientos de Respaldo de Procesamiento
para Departamentos Usuarios
4.10 Recursos crticos de Tecnologa de Informa-
cin
4.11 Centro de Cmputo y Hardware de respaldo
4.12 Almacenamiento de copias de respaldo fuera
del sitio
4.13 Procedimientos de Refinamiento del Plan de
Continuidad de TI
8

5.0 Garantizar la Seguridad de Sistemas
5.1 Administrar Medidas de Seguridad
5.2 Identificacin, Autenticacin y Acceso
5.3 Seguridad de Acceso a Datos en Lnea
5.4 Administracin de Cuentas de Usuario
5.5 Revisin Gerencial de Cuentas de Usuario
5.6 Control de Usuarios sobre Cuentas de Usuario
5.7 Vigilancia de Seguridad
5.8 Clasificacin de Datos
5.9 Administracin Centralizada de Identificacin
y Derechos de Acceso
5.10 Reportes de Violacin y de Actividades de
Seguridad
5.11 Manejo de Incidentes
5.12 Re-acreditacin
5.13 Confianza en las Contrapartes
5.14 Autorizacin de Transacciones
5.15 No Rechazo
5.16 Sendero Seguro
5.17 Proteccin de las funciones de seguridad
5.18 Administracin de las Llaves Criptogrficas
5.19 Prevencin, Deteccin y Correccin de Soft-
ware Malicioso
5.20 Arquitecturas de Firewall y conexin a redes
pblicas
5.21 Proteccin de Valores Electrnicos
6.0 Identificacin y Asignacin de Costos
6.1 Elementos Sujetos a Cargo
6.2 Procedimientos de Costeo
6.3 Procedimientos de Cargo y Facturacin a
Usuarios
8
Refinamiento del Plan de Continuidad de TI
(wrap up): procedimiento seguido para evaluar y ac-
tualizar el Plan
7.0 Educacin y Entrenamiento de Usuarios
7.1 Identificacin de Necesidades de Entre-
namiento
7.2 Organizacin de Entrenamiento
7.3 Entrenamiento sobre Principios y Con-
ciencia de Seguridad
8.0 Apoyo y Asistencia a los Clientes de Tecnolo-
ga de Informacin
8.1 Help Desk
8.2 Registro de consultas del Cliente
8.3 Escalamiento de consultas del Cliente
8.4 Monitoreo de Atencin a Clientes
8.5 Anlisis y Reporte de Tendencias
9.0 Administracin de la Configuracin
9.1 Registro de la Configuracin
9.2 Base de la Configuracin
9.3 Registro de status
9.4 Control de la Configuracin
9.5 Software no Autorizado
9.6 Almacenamiento de Software
9.7 Procedimientos para la Administracin de
la Configuracin
9.8 Contabilidad y registro del Software
10.0 Administracin de Problemas e Incidentes
10.1 Sistema de Administracin de Problemas
10.2 Escalamiento de Problemas
10.3 Seguimiento de Problemas y Pistas de
Auditora
10.4 Autorizaciones para acceso temporal y de
emergencia.
10.5 Prioridades en Procesos de Emergencia
11.0 Administracin de Datos
11.1 Procedimientos de Preparacin de Datos
11.2 Procedimientos de Autorizacin de Do-
cumentos Fuente
11.3 Recopilacin de Datos de Documentos
Fuente
11.4 Manejo de Errores de Documentos Fuen-
te
11.5 Retencin de Documentos Fuente
11.6 Procedimientos para la Autorizacin de
Entrada de Datos
11.7 Chequeos de Exactitud, Suficiencia y
Autorizacin
11.8 Manejo de Errores en la Entrada de Da-
tos
11.9 Integridad de Procesamiento de Datos
11.10 Validacin y Edicin de Procesamiento
de Datos
11.11 Manejo de Errores en el Procesamiento de Da-
tos
11.12 Manejo y Retencin de Datos de Salida
11.13 Distribucin de Datos de Salida
11.14 Balanceo y Conciliacin de Datos de Salida
11.15 Revisin de Salida de Datos y Manejo de Erro-
res
11.16 Provisiones de Seguridad para Reportes de
Salida
11.17 Proteccin de Informacin Sensitiva durante
transmisin y transporte
11.18 Proteccin de Informacin Sensitiva a ser Des-
echada
11.19 Administracin de Almacenamiento
11.20 Perodos de Retencin y Trminos de Almace-
namiento
11.21 Sistema de Administracin de la Librera de
Medios
11.22 Responsabilidades de la Administracin de la
Librera de Medios
11.23 Respaldo y Restauracin
11.24 Funciones de Respaldo
11.25 Almacenamiento de Respaldo
11.26 Archivo
11.27 Proteccin de Mensajes Sensitivos
11.28 Autenticacin e Integridad
11.29 Integridad de Transacciones Electrnicas
11.30 Integridad Continua de Datos Almacenados
12.0 Administracin de Instalaciones
12.1 Seguridad Fsica
12.2 Discrecin (bajo perfil) de las Instalaciones de
12.3 Escolta de Visitantes
12.4 Salud y Seguridad del Personal
12.5 Proteccin contra Factores Ambientales
12.6 Suministro Ininterrumpido de Energa
13.0 Administracin de Operaciones
13.1 Manual de Instrucciones y procedimientos de
Operaciones de procesamiento
13.2 Documentacin del Proceso de Inicio y de Otras
Operaciones
13.3 Calendarizacin/programacin de Trabajos
13.4 Ejecucin de los Trabajos estndar programados
13.5 Continuidad de Procesamiento
13.6 Bitcoras de Operacin
13.7 Proteccin de Formas Especiales y dispositivos
de salida
13.8 Operaciones Remotas
C COBI OBIT T
Monitoreo
1.0 Monitoreo del Proceso
1.1 Recoleccin de Datos de Monitoreo
1.2 Anlisis del Desempeo
1.3 Evaluacin de la Satisfaccin de Clientes
1.4 Reportes Gerenciales
2.0 Evaluar lo adecuado del Control Interno
2.1 Monitoreo de Control Interno
2.2 Operacin oportuna del Control Interno
2.3 Reporte sobre el Nivel de Control Interno
2.4 Seguridad en las operaciones y asegura-
miento del Control Interno
3.0 Obtencin de Aseguramiento Independiente
3.1 Certificacin / Acreditacin Independiente
de Control Interno y Seguridad de los ser-
vicios de TI
3.2 Certificacin / Acreditacin Independiente
de Control Interno y Seguridad de provee-
dores externos de servicios
3.3 Evaluacin Independiente de la Efectivi-
dad de los Servicios de TI
3.4 Evaluacin Independiente de la Efectivi-
dad de proveedores externos de servicios
3.5 Aseguramiento Independiente del Cumplimiento
de leyes y requerimientos regulatorios y compro-
misos contractuales
3.6 Aseguramiento Independiente del Cumplimiento
de leyes y requerimientos regulatorios y compro-
misos contractuales con proveedores externos de
servicios
3.7 Competencia de la Funcin de Aseguramiento
Independiente
3.8 Participacin Proactiva de Auditora
4.0 Proveer Auditora Independiente
4.1 Estatutos de Auditora
4.2 Independencia
4.3 Etica y Estndares Profesionales
4.4 Competencia
4.5 Planeacin
4.6 Desempeo del Trabajo de Auditora
4.7 Reporte
4.8 Actividades de Seguimiento
DIRECTRICES DE AUDITORA
PLANEACIN & ORGANIZACIN
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO1
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

c
o
n
f
i
a
b
i
l
i
d
a
d

Control sobre el proceso de TI de:

Definicin de un plan Estratgico de TI

que satisface los requerimientos del negocio de:

Lograr un balance ptimo entre las oportunidades de TI y los requeri-
mientos del negocio para TI, as como para asegurar sus logros futuros.

se hace posible a travs de:

un proceso de planeacin estratgica emprendido en interva-
los regulares dando lugar a planes a largo plazo. Los planes a
largo plazo debern ser traducidos peridicamente en planes
operacionales estableciendo metas claras y concretas a corto
plazo:

y toma en consideracin:

Estrategia del negocio de la empresa
definicin de cmo TI soporta los objetivos de
negocio
inventario de soluciones tecnolgicas e infraes-
tructura actual
Monitoreo del mercado de tecnologa
Estudios de factibilidad oportunos y chequeos
con la realidad
Anlisis de los sistemas existentes
Posicin de la empresa sobre riesgos, en el proce-
so de compra (time-on-market), calidad
Necesidades de la Administracin senior en el
proceso de compra, soportado en revisin crtica
PO 1 DEFINIR UN PLAN ESTRATGICO DE TI
TANTO LOS OBJETIVOS DE CONTROL DETALLADOS COMO LOS DE ALTO NIVEL SON AUDITADOS ME-
DIANTE:
1 TI como parte del Plan a largo y corto plazo
2 Plan a largo plazo de TI
3 Plan a largo plazo de TI - Enfoque y Estructura
4 Cambios al Plan a largo plazo de TI
5 Planeacin a corto plazo para la Funcin de Servicios de Informacin
6 Comunicacin de los planes de TI
7 Monitoreo y evaluacin de los planes de TI
8 Evaluacin de los sistemas existentes
Obtener un entendimiento a travs de:
Entrevistas:
Director General (Chief Executive Officer)
Director de Operaciones (Chief Operations Officer)
Director de Finanzas (Chief Financial Officer)
Director de TI (Chief Information Officer)
Miembros del comit de planeacin/direccin
9
de la funcin de servicios de informacin.
Gerencia de TI
10
y personal de apoyo de recursos humanos
Obteniendo:
Polticas y procedimientos inherentes al proceso de planeacin.
Roles y responsabilidades del equipo de Direccin
Objetivos de la Organizacin a largo y corto plazo
Objetivos de TI a largo y corto plazo
Reportes y minutas de seguimiento de las reuniones del comit de Planeacin/Direccin
Evaluar los controles:
Considerando s:
Las polticas y procedimientos de negocios de la funcin de servicios de informacin siguen un enfoque de planeacin
estructurado. Se ha establecido una metodologa para formular y modificar los planes y que cubre, como mnimo:
misin y las metas de la organizacin
iniciativas de tecnologa de informacin para soportar la misin y las metas de la organizacin
oportunidades para las iniciativas de tecnologa de informacin
estudios de factibilidad de las iniciativas de tecnologa de informacin
evaluacin de los riesgos de las iniciativas de tecnologa de informacin
inversin ptima de las inversiones en tecnologa de informacin actuales y futuras
9
Comit de Planeacin/Direccin (planning/steering
committee
10
Gerencia de TI (IT Senior management)
43
reingeniera de las iniciativas de tecnologa de informacin para reflejar los cambios en la misin y las metas
de la organizacin.
evaluacin de las estrategias alternativas para las aplicaciones de datos, tecnologa y organizacin
Los cambios organizacionales, la evolucin tecnolgica, los requerimientos regulatorios, la reingeniera de los procesos de
negocios, el in-sourcing y el outsourcing, las reas de apoyo, etc. estn siendo consideradas y dirigidas adecuadamente
en el proceso de planeacin.
Existen planes de tecnologa de informacin a corto y largo plazo, estn actualizados, estn dirigidos adecuadamente a toda
la empresa, su misin y funciones clave de negocios.
Los proyectos de TI estn soportados por la documentacin apropiada segn lo definido en la metodologa de planeacin de
tecnologa de informacin.
Existen puntos de revisin para asegurar que los objetivos de tecnologa de informacin y los planes a corto y largo plazo
continan satisfaciendo los objetivos y los planes a corto y largo plazo de la organizacin.
Los propietarios de procesos y la Gerencia llevan a cabo revisiones y aprobaciones formales a los planes de TI.
El plan de tecnologa de informacin evala los sistemas de informacin existentes en trminos del grado de automatiza-
cin, funcionalidad, estabilidad, complejidad, costos, fortalezas y debilidades del negocio.
La ausencia de planeacin a largo plazo para los sistemas de informacin y la estructura que lo soporta resulta en sistemas
que no soportan los objetivos de la empresa ni los procesos del negocio, o no proveen integridad, seguridad y control
apropiados.
8 Probando que:
Las minutas de las reuniones del comit de Planeacin/direccin de la funcin de servicios de informacin reflejan el
proceso de planeacin.
Los entregables de la metodologa de planeacin existen segn lo indicado.
Se incluyen iniciativas de tecnologa de informacin relevantes en los planes a corto y largo plazos de la funcin de
servicios de informacin (por ejemplo, cambios de hardware, planeacin de capacidad, arquitectura de informa-
cin, desarrollo u obtencin de nuevos sistemas, planeacin de recuperacin en caso de desastre, instalacin de
plataformas para nuevos procesamientos, etc.).
Las iniciativas de tecnologa de informacin soportan la investigacin, el entrenamiento, la asignacin de personal, las
instalaciones, el hardware y el software.
Se han identificado las implicaciones tcnicas para las iniciativas de tecnologa de informacin
Se ha tomado en consideracin la optimizacin de las inversiones de tecnologa de informacin actuales y futuras
Los planes a corto y largo plazo de tecnologa de informacin son consistentes con los planes a corto y largo plazo de
la organizacin, as como con los requerimientos de sta.
Se han modificado los planes para reflejar condiciones cambiantes.
Los planes a largo plazo de tecnologa de informacin son traducidos peridicamente en planes a corto plazo.
Existen tareas para implementar los planes.
Evaluar la suficiencia:
44
O OBJETIVOS BJETIVOS DE DE C CONTROL ONTROL PARA PARA LA LA I INFORMACIN NFORMACIN Y Y T TECNOLOGAS ECNOLOGAS A AFINES FINES
Comprobar
11
el riesgo de los objetivos de control no cumplidos:
8 Llevando a cabo:
Mediciones ("Benchmarking") de planes estratgicos de tecnologa de informacin contra organizaciones similares o
apropiados estndares internacionales reconocidos como buenas prcticas de la industria.
Una revisin detallada de los planes de TI para asegurar que las iniciativas de tecnologa de informacin reflejen la
misin y las metas de la organizacin.
Una revisin detallada de los planes de TI para determinar si, como parte de las soluciones de tecnologa de informa-
cin contenidas en los planes, se han identificado reas dbiles dentro de la organizacin que requieren ser mejo-
radas.

8 Identificando:
Fallas en la tecnologa de informacin para satisfacer la misin y las metas de la organizacin.
Fallas en la tecnologa de informacin para concordar con los planes a corto y largo plazo.
Fallas en los proyectos de TI para satisfacer los planes a corto plazo.
Fallas en la tecnologa de informacin para satisfacer lineamientos de costos y tiempos.
Oportunidades de negocios no aprovechadas.
Oportunidades no aprovechadas por TI.

11
Comprobando / soportando / sustentando (Substantiating)
IT GOVERNANCE INSTITUTE
45
C COBI OBIT T
PO2
S S S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Definicin de la Arquitectura de Informacin

que satisface los requerimientos de negocio de:

organizar de la mejor manera los sistemas de informacin


la creacin y mantenimiento de un modelo de infor-
macin de negocios y asegurando que se definan siste-
mas apropiados para optimizar la utilizacin de esta
informacin


Repositorio automatizado de datos y dic-
cionario
reglas de sintaxis de datos
propiedad de la informacin y clasificacin
con base en criticidad /seguridad
un modelo de informacin que represente
el negocio
Estndares de arquitectura de informacin
de la empresa

PO 2 DEFINICIN DE LA ARQUITECTURA DE INFORMACIN
1 Modelo de la Arquitectura de Informacin
2 Diccionario de Datos y Reglas de Sintaxis de Datos de la Corporacin
3 Esquema de Clasificacin de Datos
4 Niveles de Seguridad
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS ME-
DIANTE:
Entrevistas:
Director de TI
Miembros del comit de Planeacin/Direccin de la funcin de servicios de informacin.
Gerencia de la funcin de servicios de informacin.
Oficial de Seguridad
Obteniendo:
Polticas y procedimientos sobre la arquitectura de informacin.
Modelo de la arquitectura de informacin.
Documentos que soporten el modelo de la arquitectura de informacin, incluyendo el modelo de datos corpo-
rativo.
Diccionario de datos corporativo
Poltica de propiedad de datos
Roles y responsabilidades de la Gerencia de Direccin
Objetivos y planes a corto y largo plazo de tecnologa de informacin
Reporte de estatus y minutas de las reuniones del comit de planeacin/direccin
Considerando s:
Las polticas y procedimientos de la funcin de los servicios de informacin se enfocan al desarrollo y mantenimiento
del diccionario de datos.
El proceso utilizado para actualizar el modelo de la arquitectura de informacin toma como base los planes a corto y
largo plazo, considera los costos y riesgos asociados y asegura que las aprobaciones formales de la Gerencia sean
obtenidas antes de hacer modificaciones al modelo.
Se utiliza algn proceso para mantener actualizados el diccionario de datos y las reglas de sintaxis de datos.
Se utiliza algn medio para distribuir el diccionario de datos para asegurar que ste sea accesible para las reas de de-
sarrollo y que los cambios se reflejen inmediatamente.
47
C COBI OBIT T
Las polticas y procedimientos de la funcin de servicios de informacin consideran la clasificacin de los datos, inclu-
yendo categoras de seguridad y propiedad de datos, y si las reglas de acceso para las clases de datos son claras y
apropiadamente definidas.
Los estndares definen la clasificacin "default" para los activos de datos que no contienen un identificador de clasifi-
cacin.
Las polticas y procedimientos de la funcin de servicios de informacin incluyen lo siguiente:
la existencia de un proceso de autorizacin que requiera que el propietario de los datos (tal como lo define la
poltica de propiedad de datos) autorice todos los accesos a estos datos, as como los atributos de seguridad
de los mismos.
los niveles de seguridad estn definidos para cada clasificacin de datos.
los niveles de acceso estn definidos y sean apropiados para la clasificacin de datos.
el acceso a datos sensitivos requiera de niveles de acceso explcitos y que los datos sean nicamente propor-
cionados sobre la base de necesidad de conocer
12
.
Comprobar el riesgo de los objetivos de control no cumplidos:
8 Probando que:
Estn identificados los cambios realizados al modelo de arquitectura de informacin para confirmar que dichos cam-
bios reflejan la informacin de los planes a largo y corto plazo, as como los costos y los riesgos asociados.
La evaluacin del impacto de cualquier modificacin realizada al diccionario de datos y cualquier cambio realizado al
diccionario de datos para asegurar que stos han sido comunicados efectivamente.
Varios sistemas de aplicacin operacional y proyectos de desarrollo para confirmar que el diccionario de datos es utili-
zado para la definicin de datos.
La documentacin del diccionario de datos sea adecuada para confirmar que sta define los atributos de datos y los
niveles de seguridad para cada elemento de datos.
Lo apropiado de la clasificacin de datos, de los niveles de seguridad, de los niveles de acceso y "defaults".
Cada clasificacin de datos defina claramente:
quin puede tener acceso
quin es responsable de determinar el nivel de acceso apropiado
la aprobacin especfica requerida para el acceso
los requerimientos especiales para el acceso (por ejemplo, acuerdo de confidencialidad o no revelacin)
8 Llevando a cabo:
Mediciones ("Benchmarking") del modelo de arquitectura de informacin contra organizaciones similares o apro-
piados estndares internacionales reconocidos en la industria como buenas prcticas.
Una revisin detallada del diccionario de datos para asegurar que es completo en lo referente a elementos clave.
Una revisin detallada de los niveles de seguridad definidos para datos sensitivos, con el fin de verificar que se
haya obtenido la autorizacin apropiada para el acceso y que el acceso permitido sea consistente con los niveles
de seguridad definidos en las polticas y procedimientos de la funcin de servicios de informacin.

12
Necesidad de conocer (need-to-know)
48
8 Identificando:
Inconsistencias en el modelo de arquitectura de informacin y en el modelo de datos corporativo, en el diccionario
de datos corporativo, en los sistemas de informacin asociados y en los planes a largo y corto plazo de tecnologa
de informacin.
Elementos obsoletos en el diccionario de datos corporativo y en las reglas de sintaxis de datos, donde se haya per-
dido tiempo debido a cambios realizados inadecuadamente al diccionario de datos.
Elementos de datos en los que la propiedad no haya sido claramente y/o apropiadamente determinada
Clases de datos que hayan sido definidos de forma inapropiada.
Niveles de seguridad de datos inconsistentes con la regla de "necesidad de conocer.
49
C COBI OBIT T
PO3
S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


determinacin de la direccin tecnolgica


aprovechar la tecnologa disponible y las que van apareciendo en el mer-
cado para impulsar y posibilitar la estrategia del negocio.


la creacin y mantenimiento de un plan de infraestructura tec-
nolgica que establece y administra expectativas claras y realis-
tas de lo que puede brindar la tecnologa en trminos de produc-
tos, servicios y mecanismos de entrega


capacidad de la infraestructura actual
monitoreo de desarrollos tecnolgicos por la va de
fuentes confiables
realizacin de prueba de conceptos
riesgos, restricciones y oportunidades
planes de adquisicin
estrategia de migracin y mapas alternativos
(roadmaps)
relaciones con los vendedores
reevaluacin independiente de la tecnologa
Cambios de precio /desempeo de hardware y de
software
PO 3 DETERMINACIN DE LA DIRECCIN TECNOLGICA
1 Planeacin de la Infraestructura Tecnolgica
2 Monitoreo de Tendencias y Regulaciones Futuras
3 Contingencias en la Infraestructura Tecnolgica
4 Planes de Adquisicin de Hardware y Software
5 Estndares de Tecnologa
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS ME-
DIANTE:
8 Entrevistas:
Director General
Director de Operaciones
Director de Finanzas
Director de TI
Miembros del comit de planeacin/direccin de la funcin de servicios de informacin
Gerencia de la funcin de servicios de informacin

8 Obteniendo:
Polticas y procedimientos relacionados con la planeacin y el monitoreo de la infraestructura tecnolgica.
Roles y responsabilidades de la Gerencia de Direccin.
Objetivos y planes a largo y corto plazo de la organizacin.
Objetivos y planes a largo y corto plazo de tecnologa de informacin.
Plan de adquisicin de hardware y software de tecnologa de informacin.
Plan de infraestructura tecnolgica.
Estndares de tecnologa.
Reportes de estatus y minutas de las reuniones del comit planeador.
8 Considerando s:
Existe un proceso para la creacin y la actualizacin regular del plan de infraestructura tecnolgica para confirmar
que los cambios propuestos estn siendo examinados primero para evaluar los costos y riesgos inherentes, y
que la aprobacin de la Gerencia se obtenga antes de realizar cualquier cambio al plan.
El plan de infraestructura tecnolgica est siendo comparado contra los planes a largo y corto plazo de tecnologa
de informacin.
Existe un proceso para la evaluacin de la situacin tecnolgica actual de la organizacin para asegurar que abar-
51
C COBI OBIT T
ca aspectos tales como arquitectura de sistemas, direccin tecnolgica y estrategias de migracin.
Las polticas y procedimientos de la funcin de los servicios de informacin aseguran que se tenga en cuenta la
necesidad de evaluar y monitorear las tendencias y condiciones regulatorias de las tecnologas presentes y fu-
turas, y si stas son tomadas en consideracin durante el desarrollo y mantenimiento del plan de infraestructu-
ra tecnolgica.
Se planean el impacto logstico y ambiental de las adquisiciones tecnolgicas.
Las polticas y procedimientos de la funcin de servicios de informacin aseguran que se considere la necesidad
de evaluar sistemticamente el plan tecnolgico para aspectos de contingencia (por ejemplo, redundancia, re-
sistencia
13
, adecuacin y capacidad evolutiva de la infraestructura).
La administracin de la funcin de los servicios de informacin evala tecnologas de vanguardia e incorpora tec-
nologas apropiadas a la infraestructura de servicios de informacin actual.
Los planes de adquisicin de hardware y software suelen satisfacer las necesidades identificadas en el plan de
infraestructura tecnolgica y si stos son aprobados apropiadamente.
Se encuentran establecidos los estndares de tecnologa para los componentes tecnolgicos descritos en el plan de
infraestructura tecnolgica.
8 Probando que:
La administracin de la funcin de servicios de informacin comprende y utiliza el plan de infraestructura tecnolgi-
ca.
Se hayan realizado cambios al plan de infraestructura tecnolgica para identificar los costos y riesgos asociados, y
que dichos cambios reflejen las modificaciones a los planes a largo y corto plazo de tecnologa de informacin.
La administracin de la funcin de servicios de informacin comprende el proceso de monitoreo y evaluacin de
nuevas tecnologas, y que incorpora tecnologas apropiadas a la infraestructura de servicios de informacin ac-
tual.
La administracin de la funcin de servicios de informacin comprende el proceso de evaluar sistemticamente el
plan de tecnologa en cuanto a aspectos de contingencia (por ejemplo, redundancia, resistencia, adecuacin y
capacidad de evolucin de la infraestructura).
La existencia de un ambiente fsico de la funcin de servicios de informacin adecuado para alojar el hardware/
software actualmente instalado, as como nuevo hardware/software a ser aadido segn el plan actual de adqui-
siciones aprobado.
El plan de adquisicin de hardware y software cumple con los planes a largo y corto plazo de tecnologa de informa-
cin, reflejando las necesidades identificadas en el plan de infraestructura tecnolgica.
El plan de infraestructura tecnolgica tiene en cuenta la utilizacin de tecnologa actual y futura.
Se cumpla con los estndares de tecnologa y que stos sean agregados e incorporados como parte del proceso de
desarrollo.
El acceso permitido sea consistente con los niveles de seguridad definidos en las polticas y procedimientos de la
funcin de servicios de informacin, y que se haya obtenido la autorizacin apropiada para el acceso.
13
Resistencia (resilience= ndice de resistencia a fallas)
8 Llevando a cabo:
Mediciones ("Benchmarking") de la planeacin de infraestructura tecnolgica contra organizaciones
similares o apropiados estndares internacionales de la industria reconocidos como buenas prcti-
cas
Una revisin detallada del diccionario de datos para verificar que es completo en lo referente a elemen-
tos clave.
Una revisin detallada de los niveles de seguridad definidos para datos sensitivos.

8 Identificando:
Inconsistencias en el modelo de arquitectura de informacin y en el modelo de datos corporativo, en el
diccionario de datos corporativo, en los sistemas de informacin asociados y en los planes a largo
y corto plazo de tecnologa de informacin.
Elementos de diccionario de datos y reglas de sintaxis de datos obsoletos.
Aspectos de contingencia no considerados en el plan de infraestructura tecnolgica.
Planes de adquisicin de hardware y software de tecnologa de informacin que no reflejen las necesi-
dades del plan de infraestructura tecnolgica.
Estndares de tecnologa que no sean consistentes con el plan de infraestructura tecnolgica o con los
planes de adquisicin de hardware y software de tecnologa de informacin.
Un plan de infraestructura tecnolgica o planes de adquisicin de hardware y software de tecnologa
de informacin que no sean consistentes con los estndares de tecnologa.
Elementos clave omitidos en el diccionario de datos.
Datos sensitivos no clasificados como tales o que no cuentan con un nivel de seguridad.
52
D DIRECTRICES IRECTRICES DE DE ADUTORIA ADUTORIA
53
C COBI OBIT T
PO4
S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


definicin de la organizacin y de las relaciones de TI


prestacin de los servicios correctos de TI


una organizacin conveniente en nmero y habilidades, con
tareas y responsabilidades definidas y comunicadas, acordes
con el negocio y que facilita la estrategia y provee una direc-
cin efectiva y un control adecuado.


responsabilidades del nivel directivo sobre TI
direccin de la gerencia y supervisin de TI
Alineacin de TI con el negocio
participacin de TI en los procesos clave de
decisin
flexibilidad organizacional
roles y responsabilidades claras
equilibrio entre supervisin y delegacin de
autoridad (empoderamiento)
descripciones de puestos de trabajo
Niveles de asignacin de personal y personal
clave
Ubicacin organizacional de las funciones de
seguridad, calidad y control interno
Segregacin de funciones

54
D DIRECTRICES IRECTRICES DE DE AUDITORIA AUDITORIA
PO 4 DEFINICIN DE LA ORGANIZACIN Y DE LAS RELACIONES DE TI
1 Comit de planeacin o direccin de la funcin de servicios de informacin
2 Ubicacin de los servicios de informacin en la organizacin
3 Revisin de Logros Organizacionales
4 Roles y Responsabilidades
5 Responsabilidad del aseguramiento de calidad
6 Responsabilidad de la Seguridad Lgica y Fsica
7 Propiedad y Custodia
8 Propiedad sobre Datos y Sistemas
9 Supervisin
10 Segregacin de Funciones
11 Asignacin de Personal para Tecnologa de Informacin
12 Descripcin de Puestos de trabajo para el Personal de TI
13 Personal Clave de Tecnologa de Informacin
14 Polticas y Procedimientos para el personal por contrato
15 Relaciones
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS MEDIANTE:
8 Entrevistas:
Director General
Director de TI
Oficial de Aseguramiento de Calidad
Miembros del comit de Planeacin/direccin de TI, recursos humanos y de la Gerencia.

8 Obteniendo:
Roles y responsabilidades de la Gerencia de Planeacin/direccin.
Objetivos organizacionales y planes a largo y corto plazo.
Objetivos y planes a largo y corto plazo de tecnologa de informacin.
Organigrama organizacional que muestre la relacin entre TI y otras funciones.
Polticas y procedimientos relacionadas con la organizacin y las relaciones de TI.
Polticas y procedimientos relacionados con el aseguramiento de la calidad.
Polticas y procedimientos utilizados para determinar los requerimientos de asignacin de personal de TI
Organigrama organizacional de TI.
Roles y responsabilidades de TI.
55
C COBI OBIT T
Descripcin de los puestos clave de TI.
Reportes de estatus y minutas de las reuniones del comit de planeacin/direccin.
8 Considerando s:
Las polticas y las comunicaciones de la Gerencia aseguran la independencia y la autoridad de la funcin de los servi-
cios de informacin.
Se han definido e identificado la calidad de miembro, los roles y las responsabilidades del comit de planeacin/
direccin de TI.
Los estatutos del comit de planeacin/direccin de TI alinean las metas del comit con los objetivos y los planes a
largo y corto plazo de la organizacin y con los objetivos y planes a largo y corto plazo de TI.
Se han establecido procesos para incrementar la conciencia
14
, la comprensin y la habilidad para identificar y resolver
problemas de administracin de la informacin.
Las polticas consideran la necesidad de evaluar y modificar la estructura organizacional para satisfacer objetivos y
circunstancias cambiantes.
Existen procesos e indicadores de desempeo para determinar la efectividad y aceptacin de TI.
La Gerencia se asegura que los roles y responsabilidades se cumplen.
Existen polticas que determinen los roles y responsabilidades para todo el personal dentro de la organizacin con res-
pecto a sistemas de informacin, control interno y seguridad.
Existen campaas regulares para incrementar la conciencia y disciplina en cuanto al control interno y la seguridad.
Existen polticas y funciones de aseguramiento de la calidad.
La funcin de aseguramiento de la calidad cuenta con la independencia suficiente con respecto al personal de desarro-
llo de sistemas y con una asignacin de personal y experiencia adecuados para llevar a cabo sus responsabilidades.
Existen procedimientos establecidos dentro del aseguramiento de la calidad para programar
15
recursos y asegurar el
cumplimiento de las pruebas y aprobacin del aseguramiento de la calidad antes de que se implementen nuevos
sistemas o cambios a los sistemas.
La Gerencia ha asignado formalmente la responsabilidad a lo largo de toda la organizacin para la formulacin de pol-
ticas y procedimientos de control interno y seguridad (tanto lgicos como fsicos) a un oficial de seguridad.
El oficial de seguridad de la informacin comprende adecuadamente sus funciones y responsabilidades y si stas han
mostrado consistencia con respecto a la poltica de seguridad de la informacin de la organizacin.
Las polticas de seguridad de la organizacin definen claramente las responsabilidades sobre la seguridad de la infor-
macin que cada propietario de los activos (por ejemplo, usuarios, administracin y administradores de seguridad)
debe llevar a cabo.
Existen polticas y procedimientos que cubran propiedad de datos y sistemas para todas las fuentes de datos y sistemas
ms importantes.
Existen procedimientos para revisar y mantener cambios en la propiedad de los datos y los sistemas regularmente.
Existen polticas y procedimientos que describan las prcticas de supervisin para asegurar que las funciones y respon-
sabilidades sean ejercidas apropiadamente y que todo el personal cuente con suficiente autoridad y recursos para
14
Conciencia/ Concientizacin (awareness)
15
Programar / Agendar (schedule)
llevar a cabo sus funciones y responsabilidades.
Existe una segregacin de funciones entre los siguientes pares de unidades:
desarrollo y mantenimiento de sistemas
desarrollo y operaciones de sistemas
desarrollo/mantenimiento de sistemas y seguridad de la informacin.
operaciones y control de datos
operaciones y usuarios
operaciones y seguridad de la informacin
La asignacin de personal y la competencia de TI es mantenida para asegurar que posean habilidades para proporcio-
nar soluciones tecnolgicas efectivas.
Existen polticas y procedimientos para la evaluacin y re-evaluacin de las descripciones de puestos de trabajo de TI.
Existen funciones y responsabilidades apropiadas para procesos clave, incluyendo actividades del ciclo de vida de
desarrollo de sistemas (requerimientos, diseo, desarrollo, pruebas), seguridad de la informacin, adquisicin y
planeacin de capacidad.
Se utilizan indicadores clave de desempeo y/o factores crticos de xito al medir los resultados de TI en el logro de
objetivos organizacionales.
Existen polticas y procedimientos en TI para controlar las actividades de consultores y dems personal por contrato,
asegurando as la proteccin de los activos de la organizacin.
Existen procedimientos aplicables a los contratos de TI y son adecuados y consistentes con las polticas de adquisicin
de la organizacin.
Existen procesos para coordinar, comunicar y documentar los intereses dentro y fuera de la estructura organizacional
de TI.
56
8 Probando que:
El comit de Planeacin/direccin de TI supervisa la funcin de servicios de informacin y sus actividades y determina
acciones para resolver puntos pendientes.
La jerarqua de reporte es apropiada para TI.
La efectividad de la ubicacin de TI dentro de la organizacin para facilitar una relacin de socios con la alta Gerencia.
La gerencia de TI comprende cules son los procesos utilizados para monitorear, medir y reportar el desempeo de TI.
La utilizacin de indicadores clave para evaluar el desempeo.
Los procesos para analizar los resultados reales contra los niveles esperados, con el fin de determinar las acciones co-
rrectivas a realizar cuando los resultados reales no alcanzan los niveles esperados.
Las acciones realizadas por la administracin en cuanto a cualquier variacin significativa con respecto a los niveles de
desempeo esperados.
La administracin de usuarios/propietarios evala la capacidad de respuesta y la habilidad de TI para proporcionar so-
luciones de tecnologa de informacin que satisfagan las necesidades de usuarios/propietarios.
La Gerencia de TI conoce sus funciones y responsabilidades.
Aseguramiento de la calidad se involucra en la prueba y aprobacin de los planes de proyectos de TI.
57
C COBI OBIT T
El personal de seguridad revisa los sistemas operativos y los sistemas de aplicacin esenciales.
Lo adecuado de los reportes o documentacin de la funcin de seguridad para evaluar la seguridad de la informacin
(tanto lgica como fsica), que existe o est en desarrollo.
Existe suficiente conciencia y una aplicacin consistente de las polticas y procedimientos de seguridad de la informa-
cin.
El personal asiste a los entrenamientos de seguridad de informacin y control interno.
La propiedad de los datos y sistemas se encuentra definida para todos los activos de informacin.
Los propietarios de datos y sistemas aprueban los cambios realizados a dichos datos y sistemas.
Todos los datos y sistemas cuentan con un propietario o custodio quien es responsable del nivel de control sobre los
datos y sistemas.
El acceso a todos los activos de datos y sistemas es aprobado por el/los propietario(s) de los activos.
La lnea directa de autoridad y supervisin asociada con el puesto de trabajo est en conformidad con las responsabili-
dades del funcionario.
Las descripciones de los puestos de trabajo tiene claramente delimitada tanto la autoridad como la responsabilidad.
Las descripciones de los puestos de trabajo describen claramente las aptitudes de negocios, relaciones y las competen-
cias tcnicas requeridas.
Las descripciones de los puestos de trabajo han sido comunicadas con precisin y han sido comprendidas por el perso-
nal.
Las descripciones de los puestos de trabajo para TI contienen indicadores clave de desempeo y estos han sido comuni-
cados al personal.
Las funciones y responsabilidades del personal de TI corresponden tanto a las descripciones de puestos de trabajo pu-
blicadas como al organigrama de la organizacin.
Existan descripciones de puestos de trabajo para las posiciones clave y que stas incluyan los mandatos de la organiza-
cin relativos a sistemas de informacin, control interno y seguridad.
La precisin de las descripciones de puestos de trabajo comparadas contra las responsabilidades actuales de los encar-
gados de dichas posiciones.
La naturaleza y el alcance de la suficiencia de la segregacin de funciones deseada y de las limitaciones de funciones
dentro de TI.
El mantenimiento de la competencia del personal de tecnologa de informacin.
Descripciones de puestos de trabajo apropiadas, para la adecuacin y la claridad de las responsabilidades, autoridad y
criterios de desempeo.
Las responsabilidades de administracin por contrato hayan sido asignadas al personal apropiado.
Los trminos de los contratos sean consistentes con los estndares normales para contratos de la organizacin y que los
trminos y condiciones contractuales estndar hayan sido revisados y evaluados por un consultor legal, que haya
sido contratado para tal fin.
Los contratos contienen clusulas apropiadas con respecto al cumplimiento de: polticas de seguridad corporativa y
control interno y estndares de tecnologa de informacin.
Existen procesos y/o estructuras que garantizan una coordinacin efectiva y eficiente para lograr relaciones exitosas.
58
8 Llevando a cabo:
Mediciones ("Benchmarking") de la organizacin y sus relaciones contra organizaciones similares o
apropiados estndares internacionales de la industria reconocidos como buenas prcticas
Una revisin detallada para determinar el impacto sobre la organizacin causada por un comit de planeacin de
TI no efectivo.
Una revisin detallada para medir el progreso de TI al tratar con problemas de sistemas de informacin e imple-
mentar soluciones tecnolgicas.
Una revisin detallada para evaluar la estructura organizacional, las aptitudes del personal, las funciones y respon-
sabilidades asignadas, la propiedad de datos y sistemas, supervisin, segregacin de funciones, etc.
Una revisin detallada de la funcin de aseguramiento de la calidad para determinar su efectividad en la satisfac-
cin de los requerimientos de la organizacin.
Una revisin detallada de la funcin de seguridad de la informacin para determinar su efectividad para propor-
cionar seguridad general en la organizacin (tanto lgica como fsica) y entrenamiento de conocimiento y
conciencia de seguridad.
Una revisin detallada de una muestra de contratos para confirmar que stos hayan sido ejecutados apropiadamen-
te por ambas partes y que cumplan con los trminos contractuales estndar de la organizacin.

8 Identificando:
Debilidades en TI y sus actividades ocasionadas por una supervisin no efectiva por parte del comit de planea-
cin de dicha funcin.
Lagunas, traslapes, etc. en la estructura organizacional que traen como resultado ineficacia o ineficiencia en TI.
Estructuras organizacionales inapropiadas, funciones faltantes, personal insuficiente, deficiencias en competencia,
funciones y responsabilidades no apropiadas, confusin en la propiedad de datos y sistemas, problemas de
supervisin, falta de segregacin de funciones, etc.
Sistemas en proceso de desarrollo, modificados o implementados que cumplen con los requerimientos de asegura-
miento de la calidad.
Sistemas en proceso de desarrollo, modificados o implementados que cumplen con los requerimientos de seguri-
dad (lgica, fsica, o ambos).
Contratos que no cumplen con los requerimientos contractuales de la organizacin.
Coordinacin y comunicacin no efectivas entre TI y otros interesados dentro y fuera de la funcin de TI.
59
C COBI OBIT T
PO5
S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Manejo o administracin de la inversin de TI


asegurar el financiamiento y el control de desembolsos de recursos
financieros


Inversin peridica y presupuestos operacionales estableci-
dos y aprobados por el negocio


alternativas de financiamiento
Claros responsables del presupuesto
Control sobre los gastos actuales
justificacin de costos y concientizacin sobre
el costo total de la propiedad
justificacin del beneficio y contabilizacin de
todos los beneficios obtenidos
Ciclo de vida del software de aplicacin y de la
tecnologa
Alineacin con las estrategias del negocio de la
empresa
Anlisis de impacto
Administracin de los activos

60
PO 5 ADMINISTRACION DE LA INVERSIN EN TECNOLOGA DE INFORMACIN
1 Presupuesto Operativo Anual para la Funcin de Servicios de Informacin
2 Monitoreo de beneficios y Costos
3 Justificacin de beneficios y Costos
8 Entrevistas:
Director de TI
Miembros del comit de planeacin de la funcin de servicios de informacin

8 Obteniendo:
Polticas, mtodos y procedimientos organizacionales relacionados con la elaboracin del presupuesto y las activi-
dades de costeo.
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con la elaboracin del presu-
puesto y las actividades de costeo.
Presupuesto operativo actual y del ao inmediato anterior para la funcin de servicios de informacin.
Objetivos y planes organizacionales a corto y largo plazo.
Objetivos y planes de TI a corto y largo plazo.
Funciones y responsabilidades de planeacin de la Gerencia.
Reportes de variaciones y otros comunicados relacionados con el control y monitoreo de variaciones.
Reportes de estatus y minutas de las reuniones del comit de planeacin.
8 Considerando s:
El proceso de elaboracin del presupuesto de la funcin de servicios de informacin es consistente con el proceso de la
organizacin.
Existen polticas y procedimientos para asegurar la preparacin y la aprobacin adecuada de un presupuesto operativo
anual para la funcin de servicios de informacin, que sea consistente con el presupuesto y los planes a corto y
largo plazo de la organizacin y los planes a corto y largo plazo de tecnologa de informacin.
El proceso de elaboracin del presupuesto est vinculado con la administracin de las unidades ms importantes de la
funcin de servicios de informacin que contribuyen a su preparacin.
Existen polticas y procedimientos para monitorear regularmente los costos reales y compararlos con los costos proyec-
tados y si los costos reales tienen como base el sistema de contabilidad de costos de la organizacin.
Existen polticas y procedimientos para garantizar que la entrega y liberacin de servicios por parte de la funcin de
servicios de informacin se justifican en cuanto a costos y estn en lnea con los costos de la industria.
61
C COBI OBIT T
8 Probando que:
El soporte en el presupuesto de la funcin de servicios de informacin es el adecuado para justificar el plan opera-
tivo anual de dicha funcin.
Las categoras de gastos de la funcin de servicios de informacin son suficientes, apropiadas y han sido clasifica-
das adecuadamente.
El sistema para registrar, procesar y reportar rutinariamente los costos asociados con las actividades de la funcin
de servicios de informacin es adecuado.
El proceso de monitoreo de costos compara adecuadamente los costos reales contra los presupuestados.
Los anlisis costo/beneficio llevados a cabo por la administracin de los grupos de usuarios afectados, la funcin
de servicios de informacin y la Gerencia de la organizacin son revisados adecuadamente.
Las herramientas utilizadas para monitorear los costos son usadas efectiva y apropiadamente.
8 Llevando a cabo:
Mediciones ("Benchmarking") de presupuestos y costos contra organizaciones similares o apropiados estndares
internacionales de la industria reconocidos como buenas prcticas
Una revisin detallada del presupuesto actual y del ao inmediato anterior contra los resultados reales, variaciones
y acciones correctivas aplicadas.
8 Identificando:
Presupuestos de la funcin de sistemas de informacin que no estn en lnea con el presupuesto y los planes a cor-
to y largo plazo de la organizacin y con los planes a corto y largo plazo de tecnologa de informacin.
Los costos reales de la funcin de servicios de informacin que no hayan sido ejecutados
62
C COBI OBIT T
PO6
S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Comunicacin de los objetivos y las aspiraciones de la gerencia


asegurar que el usuario sea conciente y comprenda dichas aspiraciones


polticas establecidas y transmitidas a la comunidad de usua-
rios; adems, se necesitan estndares para traducir las opcio-
nes estratgicas en reglas de usuario prcticas y utilizables


Misin claramente articulada
Directivas tecnolgicas vinculadas con aspira-
ciones de negocios
Cdigo de tica / conducta
Compromiso con la calidad
Polticas de seguridad y control interno
Practicas de seguridad y control interno
Ejemplos de liderazgo
Programa continuo de comunicaciones
Proveer guas y verificar su cumplimiento

63
PO 6 COMUNICACIN DE LOS OBJETIVOS Y DE LAS ASPIRACIONES DE LA GERENCIA
8 Entrevistas:
Director General
Director de TI

8 Obteniendo:
Polticas y procedimientos relacionados con el marco referencial de control positivo y el programa de concientiza-
cin de la administracin, con el marco referencial de seguridad y control interno y con el programa de calidad
de la funcin de servicios de informacin.
Las funciones y responsabilidades de planeacin de la Gerencia.
Objetivos y planes de la organizacin a corto y largo plazo.
Objetivos y planes a corto y largo plazo de tecnologa de informacin.
Reportes de estatus y minutas de las reuniones del comit de planeacin.
Un programa de comunicacin.
1 Ambiente Positivo de Control de la Informacin
2 Responsabilidad de la Gerencia en cuanto a Polticas
3 Comunicacin de las Polticas de la Organizacin
4 Recursos para la Implementacin de Polticas
5 Mantenimiento de Polticas
6 Cumplimiento de Polticas, Procedimientos y Estndares
7 Compromiso con la Calidad
8 Poltica sobre el Marco Referencial para la Seguridad y el Control Interno
9 Derechos de la Propiedad Intelectual
10 Polticas para Situaciones Especficas
11 Comunicacin de la conciencia en Seguridad en TI
64
C COBI OBIT T
8 Considerando si:
Las polticas y procedimientos de la organizacin crean un marco referencial y un programa de concientizacin, prestando atencin
especfica a la tecnologa de informacin, propiciando un ambiente de control positivo y considerando aspectos como:
Integridad
valores ticos
cdigo de conducta
seguridad y control interno
competencia del personal
filosofa y estilo operativo de la administracin
responsabilidad, atencin y direccin proporcionadas por el consejo directivo o su equivalente
La alta gerencia promueve un ambiente de control positivo a travs del ejemplo.
La administracin ha aceptado la responsabilidad total sobre la formulacin, el desarrollo, la documentacin, la promulgacin, el
control y la revisin regular de las polticas que rigen las metas y directivas generales.
Existe un programa de conocimiento y conciencia formal para proporcionar comunicacin y entrenamiento relacionados con el
ambiente positivo de control de la administracin.
Existen polticas y procedimientos organizacionales para asegurar que los recursos adecuados y apropiados son asignados para im-
plementar las polticas de la organizacin de manera oportuna.
Existen procedimientos apropiados para asegurar que el personal comprende las polticas y procedimientos implementados, y que se
cumple con dichas polticas y procedimientos.
Las polticas y procedimientos de la funcin de servicios de informacin definen, documentan y mantienen una filosofa de polticas
y objetivos formales que rigen la calidad de los sistemas y servicios producidos, y que stos son consistentes con la filosofa,
polticas y objetivos de la organizacin.
La administracin de la funcin de servicios de informacin asegura que la filosofa de calidad, las polticas y objetivos sea com-
prendida, implementada y mantenida a todos los niveles de la funcin de servicios de informacin.
Existen procedimientos que consideren la necesidad de revisar y aprobar peridicamente estndares, directivas, polticas y procedi-
mientos clave relacionados con tecnologa de informacin.
La Gerencia ha aceptado la responsabilidad total sobre el desarrollo de un marco referencial para el enfoque general de seguridad y
control interno.
El documento del marco referencial de seguridad y control interno especifica la poltica de control interno y seguridad, el propsito
y los objetivos, la estructura administrativa, el alcance dentro de la organizacin, la asignacin de responsabilidades y la
definicin de sanciones y acciones disciplinarias asociadas con la falta de cumplimiento de las polticas de seguridad y con-
trol interno.
Las polticas de seguridad y control interno identifican el proceso de control interno de la organizacin e incluye componentes de
control tales como:
ambiente de control
Anlisis de riesgos
actividades de control
informacin y comunicacin
monitoreo
Existen polticas sobre asuntos especficos para documentar las decisiones administrativas sobre actividades particulares, aplicacio-
nes, sistemas o tecnologas.
8 Probando que:
Los esfuerzos de la administracin para fomentar un control positivo cubren los aspectos clave tales como: integridad, valores ticos,
cdigo de conducta, seguridad y control interno, competencia del personal, filosofa y estilo operativo de la administracin, y
responsabilidad, atencin y direccin proporcionados.
65
Los empleados han recibido el cdigo de conducta y lo comprenden.
Se da el proceso de comunicacin de las polticas de la administracin relacionadas con el ambiente de control interno de la organi-
zacin.
Existe el compromiso de la administracin en cuanto a los recursos para formular, desarrollar, documentar, promulgar y controlar
polticas que cubren el ambiente de control interno.
La propiedad y habilidad para adaptarse a condiciones cambiantes de las revisiones regulares de estndares, directivas, polticas y
procedimientos por parte de la administracin.
Los esfuerzos de monitoreo de la administracin aseguran la asignacin adecuada y apropiada de recursos para implementar las
polticas de la organizacin de manera oportuna.
Los esfuerzos de reforzamiento de la administracin con respecto a los estndares, directivas, polticas y procedimientos relaciona-
dos con su ambiente de control interno estn asegurando su cumplimiento a travs de toda la organizacin.
La filosofa de calidad, polticas y objetivos determinan el cumplimiento y la consistencia con la filosofa de la funcin de tecnologa
de informacin as como sus polticas y procedimientos corporativos.
La administracin de la funcin de servicios de informacin y el personal de desarrollo y operaciones determinan la filosofa de
calidad y su poltica relacionada, y que los procedimientos y objetivos son comprendidos y cumplidos por todos los niveles
dentro de la funcin de servicios de informacin.
Los procesos de medicin de la calidad aseguran que los objetivos de la organizacin sean alcanzados.
Miembros seleccionados de la administracin estn involucrados y comprenden el contenido de las actividades de seguridad y con-
trol interno (por ejemplo, reportes de excepcin, reconciliaciones, comparaciones, etc.) bajo su responsabilidad.
Las funciones individuales, las responsabilidades y lneas de autoridad se comunican claramente y se comprenden en todos los nive-
les de la organizacin.
Los departamentos seleccionados evalan procedimientos para monitorear en forma rutinaria actividades de seguridad y control
interno (por ejemplo, reportes de excepcin, reconciliaciones, comparaciones, etc.) y que se da el proceso para proporcionar
retroalimentacin a la administracin.
La documentacin del sistema seleccionado confirma que las decisiones administrativas del sistema especfico han sido documenta-
das y aprobadas de acuerdo con las polticas y procedimientos organizacionales.
La documentacin del sistema seleccionado confirma que las decisiones administrativas con respecto a actividades, sistemas de
aplicacin o tecnologas particulares han sido aprobadas por la Gerencia.
8 Llevando a cabo:
Benchmarking del marco referencial de control de la informacin y del programa de conocimiento y conciencia de la adminis-
tracin contra organizaciones similares o apropiados estndares internacionales de la industria reconocidos como
buenas prcticas
Una revisin detallada de una muestra de proyectos aprobados de seguridad y control interno para determinar que los proyec-
tos fueron priorizados y aprobados y tomaron como base un anlisis de riesgos y costo/beneficio.

8 Identificando:
Un marco referencial de control dbil que ponga en duda el compromiso de la administracin en cuanto al fomento de un am-
biente de control interno positivo a travs de la organizacin.
Fallas en la administracin para comunicar efectivamente sus polticas relacionadas con el ambiente de control interno de la
organizacin.
Falta de recursos asignados para formular, desarrollar, documentar, promulgar y controlar polticas que cubran el ambiente de
control interno.
Estndares, directivas, polticas y procedimientos no actuales.
Incumplimiento de la administracin para asegurar la adherencia a los estndares, directivas, polticas y procedimientos a tra-
vs de la organizacin.
66

Deficiencias en la funcin de servicios de informacin en su compromiso con la calidad o en su habilidad para definir, docu-
mentar, mantener y comunicar efectivamente una filosofa de calidad, polticas y objetivos.
Debilidades en el marco referencial de seguridad y control interno de la organizacin y/o en la funcin de servicios de informa-
cin.
Ausencia de polticas para asuntos especficos requeridas para dirigir actividades, aplicaciones y tecnologas particulares.
67
C COBI OBIT T
PO7
P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


administracin de recursos humanos


Adquirir y mantener una fuerza de trabajo motivada y competente y
maximizar las contribuciones del personal a los procesos de TI

prcticas de administracin de personal, sensatas, justas y
transparentes para reclutar, alinear, pensionar, compensar,
entrenar, promover y despedir

reclutamiento y promocin
Entrenamiento y requerimientos de calificaciones
desarrollo de conciencia
entrenamiento cruzado y rotacin de puestos
Procedimientos para contratacin, veto y despidos
evaluacin objetiva y medible del desempeo
responsabilidades sobre los cambios tcnicos y de
mercado
Balance apropiado de recursos internos y externos
Plan de sucesin para posiciones clave

68
PO 7 ADMINISTRACIN DE RECURSOS HUMANOS
8 Entrevistas:
Funcionario de Recursos Humanos de la Organizacin y personal seleccionado
Personal seleccionado de seguridad
Administrador de la funcin de servicios de informacin
Funcionario de Recursos Humanos de la funcin de servicios de informacin
Directivos seleccionados de la funcin de servicios de informacin
Personal seleccionado de la funcin de servicios de informacin
Personal seleccionado asociado con posiciones sensibles en la funcin de servicios de informacin

8 Obteniendo:
Polticas y procedimientos relacionadas con la administracin de recursos humanos
Descripciones de puestos, formas de evaluacin del desempeo y formas de desarrollo y entrenamiento
Expedientes del personal y archivos de puestos de trabajo para posiciones seleccionadas
1. Reclutamiento y Promocin de Personal
2. Calificacin del Personal
3. Roles y responsabilidades
4. Entrenamiento de Personal
5. Entrenamiento Cruzado o Personal de Respaldo
6. Procedimientos de Acreditacin de Personal
7. Evaluacin de Desempeo de los Empleados
8. Cambio de Puesto y Terminacin de Contrato
8 Considerando s:
Se utilizan criterios para reclutar y seleccionar personal para cubrir posiciones vacantes.
Las especificaciones de las habilidades y conocimientos requeridos para las posiciones staff toman en conside-
racin requerimientos relevantes de profesionales cuando sea apropiado.
La administracin y los empleados aceptan el proceso de competencia por puesto.
Los programas de entrenamiento son consistentes con los requerimientos mnimos documentados de la organi-
zacin relacionados con la educacin, el conocimiento y la conciencia generales que cubren los asuntos
69
C COBI OBIT T
de seguridad de la informacin.
La administracin est comprometida con el entrenamiento y el desarrollo profesional de sus empleados.
Las brechas de habilidades tcnicas y administrativas estn identificadas y se estn llevando a cabo las acciones
apropiadas para manejar estas brechas.
Regularmente se dan los procesos de entrenamiento cruzado y respaldo de personal para las funciones de posi-
ciones crticas.
Se da reforzamiento a la poltica de no interrumpir los das de descanso.
Si el proceso de retiro del personal de seguridad de la organizacin es adecuado.
Los empleados son evaluados tomando como base un conjunto estndar de perfiles de competencia para la posi-
cin y si se llevan a cabo evaluaciones en forma peridica.
Los procesos de terminacin de contrato y cambio de puesto aseguran la proteccin de los recursos de la orga-
nizacin.
Las polticas y procedimientos de recursos humanos concuerdan con leyes y regulaciones aplicables.
8 Probando que:

Las acciones de reclutamiento y/o promocin, as como los criterios de seleccin reflejan objetividad y relevancia
con respecto a los requerimientos de la posicin.
El personal cuenta con los conocimientos adecuados de las operaciones para cumplir con sus funciones o sus reas de
responsabilidad.
Existen descripciones de puestos, y que stas sean revisadas y se mantienen actualizadas.
Los expedientes del personal contienen un reconocimiento del personal en cuanto a la comprensin del programa
general de educacin, conciencia y conocimiento de la organizacin.
Se realice el proceso de entrenamiento y educacin continua para el personal apropiado asignado a funciones crticas.
El personal de TI ha recibido el entrenamiento apropiado en procedimientos y tcnicas de seguridad.
La administracin y el personal de la funcin de servicios de informacin tienen conocimiento, conciencia y com-
prenden las polticas y procedimientos organizacionales.
Los procedimientos de investigacin de despidos relacionados con temas de seguridad son consistentes con leyes
aplicables que rigen la privacidad.
El personal asignado a las funciones crticas de servicios de informacin poseen el conocimiento de los objetivos del
negocio, incluyendo la filosofa de los controles internos y los conceptos de control y seguridad de sistemas de
informacin.
Comprobar el riesgo de los objetivos de control no alcanzados:
8 Llevando a cabo:
Benchmarking de las actividades de administracin de recursos humanos contra organizaciones similares o estn-
dares internacionales de la industria considerados como buenas prcticas .
Una revisin detallada de las actividades de la administracin de recursos humanos de la funcin de servicios de
informacin.
8 Identificando:
Causas de objeciones/quejas por parte de candidatos a puestos potenciales/actuales.
70
Discrepancias en las actividades de reclutamiento, transferencia, promocin y terminacin de contrato, relaciona-
das con:
polticas y procedimientos no seguidos
acciones no aprobadas por parte de la administracin apropiada.
acciones no basadas en especificaciones de puestos y calificacin del personal.

Personal:
Que no ha sido calificado apropiadamente
cuyas oportunidades de entrenamiento y desarrollo no estn ligadas a las brechas de competencia.
cuyas evaluaciones de desempeo no existen o no dan soporte a la posicin ocupada y/o funciones llevadas a
cabo.
cuya investigacin de seguridad asociada con la contratacin no fue llevada a cabo.
cuyas investigaciones peridicas de seguridad no han sido llevadas a cabo.
Insuficiencias en los programas de entrenamiento y en las actividades
de desarrollo personal.
Insuficiencias en el entrenamiento cruzado y respaldo de personal clave.
Reconocimientos de polticas de seguridad que no hayan sido firmadas.
Presupuestos y tiempos inadecuados asignados al entrenamiento y desarrollo del personal.
Reportes de tiempo del personal que lleva a cabo funciones crticas que no indiquen que se han tomado das de descan-
so y vacaciones.
71
C COBI OBIT T
PO8
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

c
o
n
f
i
a
b
i
l
i
d
a
d


aseguramiento del cumplimiento de requerimientos externos


cumplir con obligaciones legales, regulatorias y contractuales


la identificacin y anlisis de los requerimientos externos en
cuanto a su impacto en TI, y realizando las medidas apropia-
das para cumplir con ellos


leyes, regulaciones y contratos
monitoreo de desarrollos legales y regulatorios
Monitoreo regular sobre cumplimiento
seguridad y ergonoma
privacidad
propiedad intelectual
72
PO 8 ASEGURAMIENTO DEL CUMPLIMIENTO DE REQUERIMIENTOS EXTERNOS
8 Entrevistas:
Consejero legal
Funcionario de Recursos Humanos de la Organizacin

8 Obteniendo:
Requerimientos relevantes gubernamentales y/o externos (por ejemplo, leyes, legislaciones, guas, regulaciones y estn-
dares) con respecto a revisiones de las relaciones externas y de requerimientos externos, aspectos del cumpli-
miento de seguridad y salud (incluyendo ergonoma), aspectos de privacidad, requerimientos de seguridad de
sistemas de informacin y transmisin de datos criptogrficos (encriptados) - tanto a nivel nacional como inter-
nacional.
Estndares/declaraciones/pronunciamientos contables nacionales o internacionales relacionadas con el uso de comer-
cio electrnico
Reglamentos sobre impuestos relacionados con el uso de comercio electrnico
Estndares, polticas y procedimientos sobre:
revisiones de requerimientos externos
seguridad y salud (incluyendo ergonoma)
Privacidad
seguridad
clasificacin de sensibilidad de datos ingresados, procesados, almacenados, producidos y transmitidos
comercio electrnico
seguros
Copias de todos los contratos con socios de intercambio electrnico y con el proveedor de intercambio electrnico de
datos (EDI), si aplica
Copias de todos los contratos de seguros relacionados con la funcin de servicios de informacin
Asesora de Consejero legal sobre los requerimientos "uberrimae fidei" (hacer todo de buena fe) para los contratos de
seguros (Uberrimae fidei requiere que ambas partes divulguen completamente a la otra todo lo relacionado con
la materialidad del riesgo. En caso de no mostrarse buena fe en este sentido, la parte agraviada podr anular el
contrato y no podr ser puesto en vigor nuevamente por la parte culpable).
1 Revisin de Requerimientos Externos
2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos
3 Cumplimiento de los Estndares de Seguridad y Ergonoma
4 Privacidad, propiedad intelectual y Flujo de Datos
5 Comercio Electrnico
6 Cumplimiento con los Contratos de Seguros
73
C COBI OBIT T
Reportes de auditora de auditores externos, proveedores de servicios como terceras partes y agencias gubernamentales.
8 Considerando s:
Existen polticas y procedimientos para:
asegurar las acciones correctivas apropiadas relacionadas con la revisin oportuna de los requerimientos ex-
ternos y si existen procedimientos para asegurar un cumplimiento continuo.
coordinar la revisin de los requerimientos externos, con el fin de asegurar que se aplican oportunamente las
acciones correctivas que garantizan el cumplimiento de los requerimientos externos.
dirigir proteccin apropiada, as como objetivos de seguridad y salud.
asegurar que se proporcionan entrenamiento y educacin en seguridad y salud apropiadamente a todos los
empleados.
monitorear el cumplimiento de las leyes y regulaciones aplicables de seguridad y salud.
proporcionar la direccin/enfoque adecuados sobre privacidad de tal manera que todos los requerimientos
legales caigan dentro de este alcance.
informar a los aseguradores acerca de todos los cambios materiales realizados al ambiente de la funcin de
servicios de informacin.
asegurar el cumplimiento con los requerimientos de los contratos de seguros
asegurar que se lleven a cabo las actualizaciones necesarias cuando se inicia un contrato de seguros nuevo/
modificado.

Los procedimientos de seguridad van de acuerdo con todos los requerimientos legales y si stos estn siendo tomados
en cuenta adecuadamente, incluyendo:
proteccin con "passwords" o contraseas y software para limitar el acceso
procedimientos de autorizacin
medidas de seguridad de terminales
medidas de encripcin de datos
controles de Firewalls
proteccin contra virus
seguimiento oportuno de reportes de violaciones
8 Probando que:
Las revisiones de los requerimientos externos:
son actuales, completos y suficientes en cuanto a aspectos legales, gubernamentales y regulatorios
traen como resultado una pronta accin correctiva
Las revisiones de seguridad y salud son llevadas a cabo dentro de la funcin de servicios de informacin para asegu-
rar el cumplimiento de los requerimientos externos
Las reas problemticas que no cumplan con los estndares de seguridad y salud sean rectificadas
El cumplimiento de la funcin de servicios de informacin en cuanto las polticas y procedimientos de privacidad y
seguridad.
74
Los datos transmitidos a travs de las fronteras internacionales no violan las leyes de exportacin
Los contratos existentes con los proveedores de comercio electrnico consideren adecuadamente los requerimientos
especificados en las polticas y procedimientos organizacionales
Los contratos de seguros existentes consideren adecuadamente los requerimientos especificados en las polticas y pro-
cedimientos organizacionales
En donde se hayan impuesto lmites regulatorios a los tipos de encripcin que pueden ser utilizados (por ejemplo, la
longitud de la llave), la encripcin aplicada cumpla con las regulaciones
En donde las regulaciones o procedimientos internos requieran la proteccin y/o encripcin especial de ciertos elemen-
tos de datos (por ejemplo, PINnmero de identificacin personalbancarios, Nmeros de expedientes de
Impuestos, claves de acceso, Inteligencia Militar), dicha proteccin/encripcin sea proporcionada a estos datos.
Los procesos EDI actuales desarrollados por la organizacin aseguran el cumplimiento con las polticas y procedi-
mientos organizacionales y el cumplimiento con los contratos individuales del socio de comercio electrnico (y
del proveedor EDI, en caso de aplicar)
8 Llevando a cabo:
Benchmarking del cumplimiento de requerimientos externos, actividades EDI y requerimientos de los contratos de se-
guros contra organizaciones similares o estndares internacionales de la industria considerados como buenas prc-
ticas.
Una revisin detallada de los archivos de requerimientos externos para asegurar que se han llevado a cabo acciones
correctivas, o bien, que estn siendo implementadas
Una revisin detallada de los reportes de seguridad para evaluar si la informacin sensible/privada (definida como tal
por procedimientos internos o por regulaciones externas) est siendo protegida apropiadamente en cuanto a segu-
ridad y privacidad

8 Identificando:
Requerimientos externos que no hayan sido cumplidos por la organizacin
Acciones significativas no resueltas/no corregidas en respuesta a las revisiones de requerimientos externos
Riesgos de seguridad y salud (incluyendo ergonoma) en el ambiente de trabajo que no hayan sido considerados
Debilidades en la privacidad y la seguridad relacionadas con flujos de datos y/o flujo de datos internacional
Interrupciones en el comercio electrnico
Debilidades en los contratos con socios comerciales relacionadas con procesos de comunicacin, mensajes transaccio-
nales, seguridad y/o almacenamiento de datos
Debilidades en las relaciones de confianza con socios comerciales
Debilidades/equivocaciones en la cobertura del seguro
Incumplimientos de los trminos del contrato
75
C COBI OBIT T
PO9
S S P P P S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


evaluacin/anlisis de riesgos


Soportar las decisiones de la administracin a travs del el logro de los
objetivos de TI y responder a las amenazas reduciendo su complejidad
incrementando su objetividad e identificando factores de decisin im-
portantes


la participacin de la propia organizacin en la identifica-
cin de riesgos de TI y en el anlisis de impacto, involucran-
do funciones multidisciplinarias y tomando medidas econ-
micas para mitigar los riesgos


Propiedad y registro de la administracin del
riesgo
diferentes tipos de riesgos de TI (por ejemplo:
tecnolgicos, de seguridad, de continuidad, re-
gulatorios, etc.)
Definir y comunicar el perfil de tolerancia del
riesgo
Anlisis del origen de las causas y sesiones de
tormentas de ideas sobre riesgos
Medicin cuantitativa y/o cualitativa del riesgo
metodologa de evaluacin de riesgos
plan de accin de riesgos
Reevaluaciones oportunas
76
PO 9 EVALUACIN / ANALISIS DE RIESGOS
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
8 Entrevistas:
Presidencia de la funcin de servicios de informacin
Personal seleccionado de la funcin de servicios de informacin
Personal seleccionado de administracin de riesgos
Usuarios claves de los servicios de TI

8 Obteniendo:
Polticas y procedimientos relacionados con la evaluacin de riesgos
Documentos de evaluacin de riesgos del negocio
Documentos de evaluacin de riesgos operativos
Documentos de evaluacin de riesgos de la funcin de servicios de informacin
Detalles de la base sobre la cual se miden los riesgos y la exposicin a los riesgos
Expedientes de personal para personal seleccionado de evaluacin de riesgos
Polticas de seguros que cubren el riesgo residual
Resultados de las opiniones de expertos
Revisiones de grupos especializados
Consulta de las bases de datos de administracin de riesgos
1 Evaluacin del Riesgo del Negocio
2 Enfoque de Evaluacin de Riesgos
3 Identificacin de Riesgos
4 Medicin de Riesgos
5 Plan de Accin contra Riesgos
6 Aceptacin de Riesgos
7 Seleccin de seguridades o salvaguardas
8 Compromiso con el anlisis o evaluacin de riesgos
8 Considerando s:
Existe un marco referencial para la evaluacin sistemtica de riesgos, incorporando los riesgos de informacin
77
C COBI OBIT T
relevantes para el logro de los objetivos de la organizacin y formando una base para determinar la forma en
la que los riesgos deben ser manejados a un nivel aceptable.
El enfoque de evaluacin de riesgos asegura la evaluacin actualizada regular de riesgos tanto a nivel global como
a nivel especfico de sistemas.
Existen procedimientos de evaluacin de riesgos para determinar que los riesgos identificados incluyen factores
tanto externos como internos y toman en consideracin los resultados de las auditoras, inspecciones, e inci-
dentes identificados.
Los objetivos de toda la organizacin estn incluidos en el proceso de identificacin de riesgos.
Los procedimientos para el monitoreo de cambios en la actividad de procesamiento de sistemas determinan que
los riesgos y exposicin de los sistemas son ajustados oportunamente.
Existen procedimientos para el monitoreo y el mejoramiento continuos de la evaluacin de riesgos y procesos
para la creacin de controles que mitiguen los riesgos.
La documentacin de evaluacin de riesgos incluye:
una descripcin de la metodologa de evaluacin de riesgos
la identificacin de exposiciones significativas y los riesgos correspondientes
los riesgos y exposiciones correspondientes considerados
Se incluyen tcnicas de probabilidad, frecuencia y anlisis de amenazas en la identificacin de riesgos.
El personal asignado a evaluacin de riesgos est adecuadamente calificado
Existe un enfoque cuantitativo y/o cualitativo (o combinado) formal para la identificacin y medicin de riesgos,
amenazas y exposiciones.
Se utilizan clculos y otros mtodos en la medicin de riesgos, amenazas y exposiciones
El plan de accin contra riesgos es utilizado en la implementacin de medidas apropiadas para mitigar los riesgos,
amenazas y exposiciones.
La aceptacin del riesgo residual toma en cuenta:
la poltica organizacional
la identificacin y medicin de riesgos
la incertidumbre inherente al enfoque de evaluacin de riesgos mismo
el costo y la efectividad de implementar salvaguardas y controles
La cobertura de los seguros compensan el riesgo residual
Existen propuestas cualitativas y/o cuantitativas formales para seleccionar las medidas de control que maximicen
el retorno de la inversin
Existe un balance entre las medidas de deteccin, prevencin, correccin y recuperacin utilizadas
Existen procedimientos formales para comunicar el propsito de la medicin de los controles
8 Probando que:
Se cumple con el marco referencial de evaluacin de riesgos en cuanto a que las evaluaciones de riesgos con actualiza-
das regularmente para reducir el riesgo a un nivel aceptable.
La documentacin de evaluacin de riesgos cumple con el marco referencial de evaluacin de riesgos y su documenta-
cin es preparada y mantenida apropiadamente.
La administracin y el personal de la funcin de servicios de informacin tienen conocimiento y conciencia y estn
involucrados en el proceso de evaluacin de riesgos
78
La administracin comprende los factores relacionados con los riesgos y la probabilidad de amenazas
El personal relevante comprende y acepta formalmente el riesgo residual
Los reportes emitidos a la Presidencia para su revisin y acuerdo con los riesgos identificados y utilizacin en el moni-
toreo de actividades de reduccin de riesgos sean oportunos
El enfoque utilizado para analizar los riesgos traiga como resultado una medicin cuantitativa o cualitativa (o combina-
da) de la exposicin al riesgo
Los riesgos, amenazas y exposiciones identificados por la administracin y atributos relacionados con los riesgos sean
utilizados para detectar cada ocurrencia de una amenaza especfica.
El plan de accin contra riesgos es actual e incluye controles econmicos y medidas de seguridad para mitigar la expo-
sicin al riesgo
Se han priorizado los riesgos desde el mas alto hasta el mas bajo y existe una respuesta apropiada para cada riesgo:
control planeado preventivo de mitigacin.
control secundario detectivo
control terciario correctivo
Los escenarios de riesgo versus los controles estn documentados, actualizados y comunicados al personal apropiado
Existe suficiente cobertura de seguros con respecto al riesgo residual aceptado y que ste es considerado contra varios
escenarios de amenaza, incluyendo:
incendio, inundaciones, terremotos, tornados, terrorismo y otros desastres naturales no predecibles
violaciones a las responsabilidades fiduciarias del empleado
interrupcin del negocio, prdidas de ingresos, perdida de clientes, etc.
otros riesgos no cubiertos generalmente por la tecnologa de informacin y planes de riesgo/continuidad del
negocio
8 Llevando a cabo:
Benchmarking del marco referencial de evaluaciones de riesgos contra organizaciones similares o estndares interna-
cionales de la industria considerados como buenas prcticas.
Una revisin detallada del enfoque de evaluacin de riesgos utilizado para identificar, medir y mitigar los riesgos a un
nivel aceptable de riesgo residual

8 Identificando:
Riesgos no identificados
Riesgos que no hayan sido medidos
Riesgos no considerados/administrados a un nivel aceptable
Evaluaciones de riesgos inoportunas y/o evaluaciones de riesgos con informacin desactualizada
Medidas incorrectas cuantitativas y/o cualitativas de riesgos, amenazas y exposiciones
Planes de accin contra riesgos que no aseguren controles econmicos y medidas de seguridad
Falta de aceptacin formal del riesgo residual
Cobertura de seguros inadecuada
79
C COBI OBIT T
PO10
P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


administracin de proyectos


establecer prioridades y entregar servicios oportunamente y de acuerdo al
presupuesto de inversin


identificacin y priorizacin de los proyectos en lnea con el plan
operacional por parte de la misma organizacin. Adems, la or-
ganizacin deber adoptar y aplicar slidas tcnicas de adminis-
tracin de proyectos para cada proyecto emprendido


El patrocinio de los proyectos por parte de la geren-
cia del negocio
Administracin de programas
Capacidades para administras programas
el involucramiento de los usuarios
Distribucin de tareas, definicin de puntos de con-
trol y aprobacin de fases
asignacin de responsabilidades
Seguimiento riguroso de puntos de control y entre-
gables
Costo y presupuesto de mano de obra, balanceando
recursos internos y externos
Mtodos y planes de aseguramiento de calidad
Anlisis de riesgo de programas y proyectos
Transicin de desarrollo a operacin
80
PO 10 ADMINISTRACIN DE PROYECTOS
8 Entrevistas:
Administrador/Gerente de Calidad de la Organizacin
Administrador/Coordinador de Calidad de Proyectos
Propietarios/patrocinadores del Proyecto
Lder del equipo del Proyecto
Coordinador de Aseguramiento de Calidad
Administracin de la funcin de servicios de informacin

8 Obteniendo:
Polticas y procedimientos relacionados con el marco referencial de administracin de proyectos
Polticas y procedimientos relacionados con la metodologa de administracin de proyectos
Polticas y procedimientos relacionados con los planes de aseguramiento de la calidad
Polticas y procedimientos relacionados con los mtodos de aseguramiento de la calidad
Plan Maestro del Proyecto de Software (Software Project Master Plan (SPMP))
Plan de Aseguramiento de la Calidad del Software (Software Quality Assurance Plan (SQAP))
Reportes de estatus del proyecto
Reportes de estatus y minutas de las reuniones del comit de planeacin
Reportes de Calidad del Proyecto
1 Marco Referencial para la Administracin de Proyectos
2 Participacin del Departamento Usuario en la Iniciacin de Proyectos
3 Miembros y Responsabilidades del Equipo del Proyecto
4 Definicin del Proyecto
5 Aprobacin del Proyecto
6 Aprobacin de las Fases del Proyecto
7 Plan Maestro del Proyecto
8 Plan de Aseguramiento de la Calidad del Sistema
9 Planeacin de Mtodos de Aseguramiento
10 Manejo Formal de Riesgos de Proyectos
11 Plan de Prueba
12 Plan de Entrenamiento
13 Plan de Revisin Post-Implementacin
8 Considerando s:
El marco referencial de administracin de proyectos:
define el alcance y los lmites para la administracin de proyectos
asegura que las demandas del proyecto sean revisadas en cuanto a su consistencia con el plan operativo
aprobado y si los proyectos son priorizados de acuerdo con este plan
define la metodologa de administracin de proyectos a ser adoptada y aplicada en cada proyecto emprendi-
do, incluyendo:
planeacin del proyecto
asignacin de personal
asignacin de responsabilidades y autoridad
distribucin de tareas
presupuestos de tiempo y recursos
puntos de revisin
puntos de verificacin
aprobaciones
suficiencia y actualizacin
asegura la participacin de la administracin del departamento usuario afectado (propietario/patrocinador) en
la definicin y autorizacin de un proyecto de desarrollo, implementacin o modificacin
especifica la base sobre la cual los miembros del personal son asignados a los proyectos
define las responsabilidades y la autoridad de los miembros del equipo del proyecto
asegura la creacin de estatutos claros por escrito que definan la naturaleza y alcance del proyecto antes de
comenzar a trabajar sobre el mismo
proporciona un documento inicial de definicin del proyecto que incluya definiciones claras sobre la natura-
leza y alcance del proyecto
incluye las siguientes razones para llevar a cabo el proyecto, entre ellas:
una definicin del problema a ser resuelto o del proceso a ser mejorado
una definicin de la necesidad del proyecto expresada en trminos de incrementar la habilidad de la or-
ganizacin para alcanzar sus metas
un anlisis de las deficiencias en los sistemas relevantes existentes
las oportunidades que se abriran al incrementar la eficiencia y hacer ms econmica la operacin
el control interno y la necesidad de seguridad que seria satisfecha por los proyectos
considera la manera en la que los estudios de factibilidad de los proyectos propuestos deben ser preparados,
revisados y aprobados por la Gerencia, incluyendo:
el ambiente del proyecto - hardware, software, telecomunicaciones
el alcance del proyecto - lo que este incluir y excluir en la primera implementacin y en las subse-
cuentes
las limitaciones del proyecto - lo que debe retenerse durante este proyecto, an cuando las oportunida-
des de mejora a corto plazo parezcan obvias
los beneficios y costos a ser cumplidos por el patrocinador o propietario/patrocinador del proyecto
delinea la manera en la que cada fase del proceso de desarrollo (por ejemplo, preparacin de estudios de fac-
tibilidad, definicin de requerimientos, diseo del sistema, etc.) debe ser aprobada antes de proceder a la si-
81
C COBI OBIT T
82
guiente fase del proyecto (por ejemplo, programacin, pruebas del sistema, pruebas de transacciones, pruebas en
paralelo, etc.)
requiere el desarrollo de un SPMP para cada proyecto y especifica la manera en la que el control deber ser mante-
nido a travs de la vida del proyecto, as como perodos (puntos de revisin) y presupuestos del mismo
cumple con el estndar organizacional para SPMPs o, en caso de no existir ste, con algn otro estndar apropiado
requiere el desarrollo de un SQAP para cada proyecto, asegura que ste se encuentre integrado con el SPMP y que
sea revisado y acordado formalmente por todas las partes involucradas
delinea la manera en la que el programa de manejo formal de riesgos del proyecto elimina o minimiza los riesgos
relacionados con el mismo
asegura el desarrollo de un plan de pruebas para cada proyecto de desarrollo, implementacin y modificacin
asegura el desarrollo de un plan adecuado para el entrenamiento de personal propietario/patrocinador y de las fun-
ciones de servicios de informacin para cada proyecto de desarrollo, implementacin y modificacin
Se monitorea y reportan a la Gerencia los puntos de revisin de lo presupuestado contra lo ejecutado en el proyecto as co-
mo los costos a travs de las fases mayores del proyecto ( por ejemplo compra de software, compra de hardware, pro-
gramacin por contrato, actualizaciones de redes, etc.)
Los puntos de revisin y costos que excedan los montos y tiempos presupuestados requieren la aprobacin de la administra-
cin apropiada de la organizacin
SQAP cumple con el estndar organizacional para SQAPs, o en caso de no existir ste, con los criterios seleccionados ante-
riormente
Las tareas de aseguramiento SQAP soportan la acreditacin de sistemas nuevos o modificados y aseguran que los linea-
mientos de seguridad y control interno cumplen con los requerimientos
Todos los propietarios/patrocinadores del proyecto han aportado sobre el SPMP y el SQAP y estn de acuerdo sobre los
elementos entregables finales.
El proceso de post-implementacin es una parte integral del marco referencial de la administracin del proyecto para asegu-
rar que los sistemas de informacin nuevos o modificados han aportado los beneficios planeados
8 Probando que:
La metodologa de administracin de proyectos y todos los requerimientos fueron seguidos consistentemente
La metodologa de administracin de proyectos fue comunicada a todo el personal apropiado involucrado en el proyec-
to
La definicin escrita de la naturaleza y alcance del proyecto concuerda con un patrn estndar
La naturaleza y alcance del involucramiento del propietario/patrocinador en la definicin y autorizacin del proyecto,
as como la conformidad con el involucramiento esperado del propietario/patrocinador segn lo estipulado por el
marco referencial de administracin de proyectos
La asignacin de los miembros del personal al proyecto y la definicin de responsabilidades y autoridad de los miembros del
equipo del proyecto sean respetadas
Existe evidencia de una definicin por escrito clara de la naturaleza y alcance del proyecto antes de comenzar a trabajar sobre
el mismo
Se ha aprobado y preparado un estudio de factibilidad
Se obtienen las aprobaciones por parte de la administracin de la funcin de sistemas de informacin y de los propietarios /
patrocinadores para cada fase del proyecto de desarrollo
Cada fase del proyecto es completada y se obtienen las aprobaciones apropiadas segn los requerimientos del SPMP
Se han desarrollado y aprobado el SPMP y el SQAP de acuerdo con el marco referencial de la administracin de proyectos
83
C COBI OBIT T
El SPMP y el SQAP son suficientemente especficos y detallados
Las actividades/reportes identificados como obligatorios han sido realmente ejecutados/producidos (por ejemplo, se han lle-
vado a cabo reuniones del Comit Ejecutivo de Planeacin, reuniones para el proyecto o similares, se han registrado
minutas de las reuniones y stas han sido distribuidas a las partes relevantes y se preparan y distribuyen reportes a las
partes relevantes)
Se ha desarrollado y aprobado un plan de pruebas de acuerdo con el marco referencial de administracin de proyectos y ste
es suficientemente especfico y detallado
Las actividades/reportes identificados como obligatorios en el plan de pruebas han sido realmente ejecutados/producidos
Existen criterios de acreditacin utilizados para el proyecto y stos:
se derivan de metas e indicadores de desempeo
se derivan de requerimientos cuantitativos acordados
aseguran que los requerimientos de control interno y seguridad son satisfechos
estn relacionados con el "Qu" esencial versus el "cmo" arbitrario
definen un proceso formal de aprobacin/falla
son capaces de una demostracin objetiva dentro de un perodo de tiempo limitado
no redefinen simplemente los requerimientos de los documentos de diseo
El programa de administracin de riesgos del proyecto ha sido utilizado para identificar y eliminar o por lo menos minimizar
los riesgos relacionados con el proyecto
Se ha cumplido con el plan de pruebas, que los propietarios/patrocinadores, as como las funciones de programacin y asegu-
ramiento de la calidad, han creado revisiones escritas de las pruebas, y que se ha cumplido con un proceso de aproba-
cin segn lo esperado
Se ha preparado un plan para el entrenamiento del personal de las funciones de servicios de informacin y para los propieta-
rios/patrocinadores afectados, se ha dado el tiempo suficiente para completar las actividades de entrenamiento requeri-
das, y que ha sido utilizado para el proyecto
Se ha cumplido y seguido un plan de revisin post-implementacin para el proyecto
8 Llevando a cabo:
Benchmarking del marco referencial de administracin de proyectos contra organizaciones similares o estndares inter-
nacionales de la industria considerados como buenas prcticas.
Una revisin detallada de:
el plan maestro del proyecto para determinar el alcance de la participacin del propietario/patrocinador y la ade-
cuacin del proceso general para definir, autorizar y ejecutar el proyecto, incluyendo:
definicin de las funciones del sistema
factibilidad, dadas la limitaciones del proyecto
determinacin de los costos y beneficios del sistema
Lo adecuado de los controles del sistema
impacto e integracin en otros sistemas propietarios/patrocinadores
compromiso de recursos (de personal y dinero) por parte del propietario/patrocinador
definicin de responsabilidades y autoridad de los participantes en el proyecto
criterios de aceptacin deseables y alcanzables
puntos de revisin y verificacin en la autorizacin de las diferentes fases del proyecto
84
elaboracin de grficas de Gantt, bitcoras de problemas, resmenes de reuniones, etc. en la administracin del
proyecto
reportes de calidad para determinar si existen problemas sistemticos en el proceso de planeacin de aseguramien-
to de la calidad de sistemas en la organizacin
el programa de manejo formal de riesgos del proyecto para determinar si se han identificado y eliminado, o por lo
menos minimizado los riesgos.
la ejecucin del plan de pruebas para determinar que ste prob completamente todo el proyecto de desarrollo,
implementacin o modificacin del sistema
la ejecucin del plan de entrenamiento para determinar que ste ha preparado adecuadamente a propietarios/
patrocinadores y al personal de la funcin de servicios de informacin en el uso del sistema
la revisin post-implementacin para determinar si los beneficios otorgados corresponden a los planeados

8 Identificando:
Proyectos que:
sean administrados inadecuadamente
hayan excedido fechas claves
hayan excedido costos
sean obsoletos
no hayan sido autorizados
no sean tcnicamente factibles
no sean justificados econmicamente
no otorguen los beneficios planeados
no contengan puntos de verificacin
no sean aprobados en puntos de verificacin claves
no hayan sido acreditados para implementacin
no satisfagan los requerimientos de control interno y seguridad
no eliminen o mitiguen los riesgos
no hayan sido probados completamente
Necesidad de entrenamiento el cual no fue llevado a cabo o es inadecuado para el sistema en proceso de imple-
mentacin
no hayan contado con una revisin post-implementacin
85
C COBI OBIT T
PO11
S P P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Administracin de calidad


satisfacer los requerimientos del cliente de TI


la planeacin, implementacin y mantenimiento de estndares y
sistemas de administracin provistos para las distintas fases de
desarrollo, con entregables claros y responsabilidades explcitas


Establecimiento de una cultura de calidad
Planes de calidad
responsabilidades de aseguramiento de la calidad
Prcticas de control de calidad
metodologa del ciclo de vida de desarrollo de siste-
mas
Pruebas y documentacin de programas y sistemas
revisiones y reporte de aseguramiento de calidad
Entrenamiento e involucramiento del usuario final y
del personal de aseguramiento de calidad
Desarrollo de una base de conocimientos de asegura-
miento de calidad
Benchmarking contra normas de la industria
86
PO 11 ADMINISTRACIN DE CALIDAD
8 Entrevistas:
Director General
Miembros del comit de planeacin de TI
Director de TI
Administrador de la Calidad de la Organizacin
Administrador de la Calidad de TI
Administracin de TI
Propietarios/patrocinadores del sistema

8 Obteniendo:
Polticas y procedimientos relacionados con el aseguramiento de la calidad, el ciclo de vida del desarrollo de siste-
mas y la documentacin de sistemas
Funciones y responsabilidades de la Gerencia
1 Plan General de Calidad
2 Enfoque de Aseguramiento de Calidad
3 Planeacin del Aseguramiento de Calidad
4 Revisin del Aseguramiento de Calidad sobre el Cumplimiento de Estndares y Procedimientos de TI
5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas
6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual
7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas
8 Coordinacin y Comunicacin
9 Marco Referencial de Adquisicin y Mantenimiento para la Infraestructura de Tecnologa
10 Relaciones con Terceras Partes como Implementadores
11 Estndares para la Documentacin de Programas
12 Estndares para Pruebas de Programas
13 Estndares para Pruebas de Sistemas
14 Pruebas Piloto/Paralelo
15 Documentacin de las Pruebas del Sistema
16 Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares de Desarrollo
17 Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de TI
18 Mtricas de Calidad
19 Reportes de Revisin de Aseguramiento de Calidad
87
C COBI OBIT T
Plan estratgico de la organizacin, poltica de calidad, manual de calidad y plan de calidad.
Plan estratgico de TI, poltica de calidad, manual de calidad, plan de calidad y plan de administracin de la configura-
cin.
Organigramas de todas las funciones de aseguramiento de la calidad
Minutas de las reuniones individuales de planeacin de la calidad
Minutas de las reuniones convocadas para la revisin de la metodologa del ciclo de vida del desarrollo de sistemas
Copias de las revisiones a la metodologa del ciclo de vida del desarrollo de sistemas
Reportes de estatus y minutas de las reuniones del comit de planeacin
8 Considerando s:
El plan de calidad:
toma como base los planes a corto y largo plazo de la organizacin
fomenta la filosofa de mejora continua y responde a las preguntas bsicas qu, quin y cmo
es completo y actualizado
El plan de calidad de TI:
toma como base el plan general de calidad de la organizacin y los planes a corto y largo plazo de tecnologa de
informacin
fomenta la filosofa de mejora continua y responde a las preguntas bsicas qu, quin y cmo
es completo y actualizado
Si el enfoque estndar de calidad existe, y si ste:
es aplicable a las actividades de aseguramiento de la calidad tanto generales como a las especficas del proyecto
es escalable y, de esta manera, aplicable a todos los proyectos
es comprendido por todo el personal involucrado en un proyecto y en actividades de aseguramiento de la calidad
fue aplicable a travs de todas las fases de un proyecto
El enfoque estndar de aseguramiento de la calidad prescribe los tipos de actividades de aseguramiento de la calidad (y espe-
cifica revisiones, auditoras, inspecciones, etc.) a ser llevados a cabo para alcanzar los objetivos del plan general de cali-
dad
La planeacin de aseguramiento de la calidad prescribe el alcance y la sincronizacin de las actividades de aseguramiento de
la calidad
Las revisiones de aseguramiento de la calidad evalan el cumplimiento general de los estndares, polticas y procedimientos
de TI
La Gerencia ha definido e implementado estndares, polticas y procedimientos de servicios de informacin, incluyendo una
metodologa formal de ciclo de vida del desarrollo de sistemas-adquirida, desarrollada internamente o una combinacin
de ambas
La metodologa del ciclo de vida del desarrollo de sistemas:
rige el proceso de desarrollar, adquirir, implementar y mantener sistemas de informacin computarizados y tecno-
logas relacionadas
soporta y fomenta los esfuerzos de desarrollo/modificacin que cumplen con los planes a corto y largo plazo de TI
y de la organizacin
requiere un proceso de desarrollo o modificacin estructurado que contenga puntos de revisin en momentos clave
de decisin, as como la autorizacin para proceder con el proyecto en cada punto de revisin
esta completo y actualizado
88
es capaz de ser adaptada/escalada para acoplarse a todos los tipos de desarrollo que ocurren dentro de la organiza-
cin
es aplicable a la creacin y mantenimiento tanto de software adquirido como desarrollado internamente
cuenta con provisiones documentadas para cambios tecnolgicos
ha construido un marco referencial general en cuanto a la adquisicin y mantenimiento de la infraestructura tecno-
lgica
cuenta con pasos a seguir (tales como adquisicin, programacin, documentacin y pruebas, establecimiento de
parmetros, y aplicacin de correcciones) que deben ser regidos por, y estar en lnea con el marco referencial de
adquisicin y mantenimiento de la infraestructura tecnolgica
fomenta la provisin de criterios para la aceptacin de terceras partes como implementadores, manejo de cambios,
manejo de problemas, funciones participantes, instalaciones, herramientas y estndares y procedimientos de soft-
ware
requiere el mantenimiento de documentacin detallada de programacin y de sistemas (por ejemplo, diagramas de
flujo, diagramas de flujo de datos, narrativas escritas de programacin, etc.), y que dichos requerimientos hayan
sido comunicados a todo el personal involucrado
requiere que la documentacin se mantenga actualizada al ocurrir cambios
requiere la aplicacin de pruebas rigurosas y robustas de programas/sistemas
define las circunstancias bajo las cuales deben conducirse pruebas piloto o en paralelo de sistemas nuevos o modi-
ficados
requiere, como parte de cada proyecto de desarrollo, implementacin o modificacin de sistemas, que las pruebas
sean verificadas, documentadas y retenidas/almacenadas en forma independiente
Requiere autorizacin para involucrarse en el proyecto
Requiere anlisis costo beneficio para el desarrollo de nuevos sistemas y modificacin de los sistemas existentes

El enfoque de aseguramiento de la calidad de la organizacin:
requiere que se lleve a cabo una revisin post-implementacin para asegurar que todos los sistemas nuevos o mo-
dificados sean desarrollados y puestos en produccin de acuerdo con la metodologa del ciclo de vida del desarro-
llo de sistemas, el cual debe ser respetado por el equipo del proyecto
requiere una revisin de la medida en la que los sistemas nuevos o modificados han alcanzado los objetivos esta-
blecidos para ellos por la administracin
trae como resultado reportes, los cuales propician el llevar a cabo el desarrollo de sistemas y las recomendaciones
de efectividad para la administracin (tanto para los usuarios como para TI) como corresponda
cuenta con recomendaciones a las que se les da seguimiento peridicamente y que son reportadas a los funciona-
rios apropiados de la Gerencia
La administracin de TI revisa y actualiza apropiadamente la metodologa del ciclo de vida del desarrollo de sistemas con
regularidad para asegurar su suficiencia para nuevos desarrollos/modificaciones y nuevas tecnologas
Existe una variacin de niveles de control para los distintos tipos de proyectos de desarrollo y mantenimiento (por ejemplo, si
los proyectos grandes reciben mayor control que los pequeos)
El logro de una coordinacin y comunicacin estrecha a travs de todo el ciclo de vida de desarrollo de sistemas se da entre
los clientes de TI y los implementadores del sistema

89
C COBI OBIT T
8 Probando que:
Los procedimientos para el desarrollo del Plan de Calidad de TI incluyen las siguientes entradas:
Planes a corto y largo plazo de la organizacin
Planes a corto y largo plazo de TI
Poltica de Calidad de la organizacin
Poltica de Calidad de TI
Plan de Calidad de la organizacin
Plan de administracin de la configuracin de TI
El Plan de Calidad de TI toma como base los planes a corto y largo plazo de TI, los cuales definen:
los esfuerzos y/o adquisiciones de desarrollo de sistemas de aplicacin
interfases con otros sistemas (internos y externos)
la plataforma/infraestructura de TI requerida para soportar los sistemas e interfases
los recursos (tanto financieros como humanos) para desarrollar/soportar el ambiente de TI escogido como objetivo
el entrenamiento requerido para desarrollar y soportar el ambiente de TI escogido como objetivo
El Plan de Calidad de TI considera lo siguiente:
en trminos medibles no ambiguos, el nivel planeado del servicio a ser otorgado a los clientes (internos o externos)
en trminos medibles no ambiguos, las suspensiones temporales mximas para cada sistema y plataforma
las estadsticas de desempeo requeridas para monitorear los objetivos planeados de desempeo/suspensiones
temporales, incluyendo la manera en la que deben ser reportados y a quin deben ser distribuidos
los procesos de monitoreo/revisin necesarios para asegurar el desarrollo/modificacin/transicin en el ambiente/
infraestructura de la funcin de servicios de informacin identificados en los planes a corto y largo plazo de TI:
estn correctamente planeados, monitoreados, probados, documentados y cuentan con el entrenamiento y los re-
cursos necesarios
los intervalos en los que el Plan de Calidad debe ser actualizado
El personal de aseguramiento de la Calidad cumple consistentemente con el enfoque y el plan de aseguramiento de la calidad
y otros procedimientos operativos establecidos
La metodologa del ciclo de vida de desarrollo de sistemas asegura apropiadamente:
controles suficientes durante el proceso de desarrollo para sistemas y tecnologas nuevas
comunicacin con todos los empleados apropiados involucrados en el desarrollo y mantenimiento de sistemas
se utilizan procedimientos para los cambios tecnolgicos
se utilizan procedimientos para asegurar la aceptacin y aprobacin de los usuarios
la adecuacin de los acuerdos de terceras partes como implementadores
Los usuarios comprenden los controles y requerimientos de la metodologa del ciclo de vida del desarrollo de sistemas
Los mecanismos de control de cambios dentro de la metodologa del ciclo de vida del desarrollo de sistemas permiten el lle-
var a cabo cambios a la metodologa y sta es un documento "viviente"
El registro de las revisiones y modificaciones a la metodologa del ciclo de vida del desarrollo de sistemas de la organizacin
Existe un compromiso apropiado por parte de las diferentes funciones/personas dentro de la organizacin (por ejemplo,
administracin de la funcin de servicios de informacin, oficial de seguridad, personal del rea legal, personal de
aseguramiento de la calidad, personal de auditora, usuarios, etc.)
Existen mtricas para medir los resultados de las actividades, permitiendo una evaluacin sobre si se han logrado las
metas de calidad
90
refleja los nuevos sistemas y tecnologas actuales que estn siendo consideradas y esperados en el futuro
Los resultados completos de las pruebas de programas y sistemas (incluyendo resultados de pruebas en paralelo/piloto) son
revisados y conservados para pruebas futuras
Existe un proceso para resolver problemas encontrados durante las pruebas
Se ha llevado a cabo una revisin post-implementacin por parte del personal de aseguramiento de la calidad
Los representantes del departamento usuario involucrados en los proyectos de desarrollo de sistemas estn satisfechos con el
uso actual de la metodologa
El personal de aseguramiento de la calidad comprende claramente su funcin dentro de la organizacin
Se requiere el llevar a cabo una revisin de aseguramiento de la calidad subsecuente al trmino de todas las pruebas del siste-
ma y de la revisin y aprobacin de los resultados de las pruebas por parte del personal de la administracin de TI apro-
piada, de aseguramiento de la calidad y de los usuarios
La revisin de aseguramiento de la calidad trae como resultado acciones correctivas por parte de la administracin
Se llevan a cabo revisiones post-implementacin, y los resultados son comunicados a la Presidencia y que se requieren planes
de accin para las reas de implementacin con necesidad de mejoras.
Los resultados de las mediciones de las metas de calidad, existen y se trabaja con ellos
8 Llevando a cabo:
Benchmarking de la metodologa del ciclo de vida de desarrollo de sistemas contra organizaciones similares o estnda-
res internacionales de la industria considerados como buenas prcticas.
Una revisin detallada de las medidas de desempeo incluidas en el Plan de Calidad y asegurar s stas:
son alcanzables
satisfacen los requerimientos/expectativas de la corporacin
satisfacen los requerimientos/expectativas de los usuarios
son medibles
Una revisin detallada de una muestra de proyectos para asegurar que:
se ha cumplido con la metodologa del ciclo de vida del desarrollo de sistemas
toda adaptacin/escalamiento de la metodologa del ciclo de vida del desarrollo de sistemas es apropiada y ha
sido aprobada
se han obtenido aprobaciones en todos los puntos de revisin y por parte de todo el personal clave de control
(por ejemplo, oficial de seguridad de TI, personal de aseguramiento de la calidad, representantes de los usua-
rios, etc.)
se han dado una coordinacin y comunicacin estrechas entre los usuarios de TI y los implementadores de
sistemas (internos o terceras partes)
se ha seguido el marco referencial para la adquisicin y el mantenimiento para la infraestructura tcnica, jun-
to con cualquier paso relevante involucrado
el desarrollo/las modificaciones fueron terminados satisfactoria y oportunamente
se terminaron los reportes apropiados de aseguramiento de la calidad y se llevaron a cabo las acciones correc-
tivas necesarias de manera oportuna
91
C COBI OBIT T
Una revisin detallada de la manera en la que la documentacin de la programacin y los sistemas es preparada, revi-
sada, aprobada y mantenida
Una revisin detallada de la manera en la que las pruebas de programas y sistemas (incluyendo pruebas piloto/en para-
lelo) y la documentacin son preparadas, aprobadas y mantenidas
Una revisin detallada del proceso de verificacin de post-implementacin de aseguramiento de la calidad para asegu-
rar que los reportes consideran el cumplimiento de las provisiones del proceso del ciclo de vida del desarrollo de
sistemas, as como los aspectos de efectividad y calidad de los sistemas nuevos/modificados
8 Identificando:
Planes de calidad que no se relacionen con los planes a corto y largo plazo
Instancias en la que no se utilice la metodologa del ciclo de vida del desarrollo de sistemas y aquellas situaciones de
sobre utilizacin de la metodologa (por ejemplo demasiada estructura en proyectos pequeos, y no suficiente en
proyectos mayores)
Las instancias en las que la metodologa del ciclo de vida del desarrollo de sistemas haya sido utilizada inapropiada-
mente (por ejemplo, aplicar la metodologa del ciclo de vida del desarrollo de sistemas para desarrollos internos en
la implementacin de un paquete de software adquirido del anaquel
16
, sin modificarla de manera correspondiente)
Instancias en las que la coordinacin y la comunicacin entre el personal involucrado en el proceso del ciclo de vida
del desarrollo de sistemas (incluyendo terceras partes como implementadores) sean pobres o inexistentes
Instancias en las que los distintos pasos a seguir en la adquisicin y mantenimiento de la infraestructura de tecnologa
(por ejemplo, adquisicin, programacin, documentacin y pruebas; establecimiento de parmetros; mantenimien-
to y aplicacin de correcciones) no hayan sido seguidas adecuadamente
Situaciones en las que no exista documentacin de los programas y/o sistemas, no sea inadecuada o no est actualizada
Instancias en las que las pruebas de programas y/o sistemas (incluyendo pruebas piloto/en paralelo) no hayan sido lle-
vadas a cabo, hayan sido realizadas inadecuadamente y/o no hayan sido documentadas o hayan sido documentadas
inadecuadamente
Situaciones en las que las verificaciones de revisiones/post implementacin de aseguramiento de la calidad no hayan
sido llevadas a cabo o hayan sido realizadas inadecuadamente
Situaciones en las que las verificaciones de revisiones/post implementacin de aseguramiento de la calidad hayan sido
ignoradas por la administracin y en las que se hayan implementado sistemas que no deberan haber sido imple-
mentados
16
Del anaquel (off-the-shelf): se dice de
productos de software terminados que
pueden adquirirse directamente de un
proveedor o distribuidor.
92
ADQUISICIN & IMPLEMENTACIN
93
C COBI OBIT T
ADQUISICION E IMPLEMENTACION
AI1
Adquisicin &
Implementacin
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

c
o
n
f
i
a
b
i
l
i
d
a
d


Identificacin de soluciones automatizadas


asegurar un enfoque de efectividad y eficiencia para satisfacer los re-
querimientos del usuario


Una identificacin objetiva y clara as como un anlisis de
oportunidades alternativas comparadas contra los requeri-
mientos de los usuarios


Conocimiento de soluciones disponibles en el
mercado
Metodologas de adquisicin e implementacin
Participacin del usuario en la compra
Alineamiento con las estrategias de la empresa
y de TI
definicin de requerimientos de informacin
estudios de factibilidad ( de costo-beneficio,
alternativas, etc.)
Requerimientos de funcionalidad, operatividad,
aceptabilidad y mantenimiento
Cumplimiento con la arquitectura de informa-
cin
Costo-efectividad de la seguridad y el control
Responsabilidad de proveedores

94
AI1 IDENTIFICACIN DE SOLUCIONES AUTOMATIZADAS
8 Entrevistas:
Director de TI
Propietarios/patrocinadores del proyecto
Administracin de contratos

8 Obteniendo:
Polticas y procedimientos relacionados con el ciclo de vida de desarrollo de sistemas y con la adquisicin de software
Documentacin seleccionada del proyecto, incluyendo definicin de requerimientos, anlisis de alternativas, estudios
de factibilidad tecnolgica, estudios de factibilidad econmica, anlisis de modelos de datos de la empresa /
arquitectura de informacin, anlisis de riesgos, estudios de costo-efectividad sobre control/seguridad interna, an-
lisis de pistas de auditora, estudios ergonmicos, y planes de aceptacin y resultados de pruebas de instalaciones
y tecnologa especfica
Contratos seleccionados relacionados con la compra, desarrollo o mantenimiento de software
1 Definicin de Requerimientos de Informacin
2 Formulacin de Cursos de accin Alternativos
3 Formulacin de la Estrategia de Adquisicin
4 Requerimientos de Servicios de Terceros
5 Estudio de Factibilidad Tecnolgica
6 Estudio de Factibilidad Econmica
7 Arquitectura de Informacin
8 Reporte de Anlisis de Riesgos
9 Controles costo-efectivos de Seguridad
10 Diseo de Pistas de Auditora
11 Ergonoma
12 Seleccin del Software del Sistema
13 Control de Abastecimiento
14 Adquisicin de Productos de Software
15 Mantenimiento de Software de Terceras Partes
16 Contratos de Programacin de Aplicaciones
17 Aceptacin de Instalaciones
18 Aceptacin de Tecnologa
95
C COBI OBIT T
8 Considerando s:
Existen polticas y procedimientos que requieren que:
los requerimientos de usuarios satisfechos por el sistema existente o a ser satisfechos por el nuevo sistema propues-
to o modificado sean claramente definidos antes de la aprobacin de cualquier proyecto de desarrollo, implementa-
cin o modificacin
La documentacin de los requerimientos de los usuarios sean revisados y aprobados por escrito por el propietario/
patrocinador enterado antes de la aprobacin de cualquier proyecto de desarrollo, implementacin o modificacin
que est en proceso de aprobacin
los requerimientos operativos y funcionales de la solucin sean satisfechos incluyendo desempeo, seguridad, con-
fiabilidad, compatibilidad y legislacin
las soluciones alternativas a los requerimientos de los usuarios sean estudiadas y analizadas antes de seleccionar
una u otra solucin de software
se lleve a cabo la identificacin de paquetes de software comercial que satisfagan los requerimientos del usuario
para un proyecto especfico de desarrollo o modificacin antes de tomar la decisin final
las alternativas para la adquisicin de los productos de software estn claramente definidos en trminos de produc-
tos que se pueden adquirir en el mercado, internamente desarrollados, a travs de contratos o mejorar el software
existente o una combinacin de todos los anteriores
el propietario/patrocinador enterado prepare, analice y apruebe un estudio de factibilidad tcnica para cada alterna-
tiva con el fin de satisfacer los requerimientos establecidos por el usuario para el desarrollo de un proyecto de siste-
mas nuevo o modificado
en cada proyecto de desarrollo, modificacin o implementacin de sistemas, se lleve a cabo un anlisis de los cos-
tos y los beneficios asociados con cada alternativa considerada para satisfacer los requerimientos del usuario
el propietario/patrocinador enterado prepare, analice y apruebe un estudio de factibilidad econmica antes de tomar
la decisin respecto a desarrollar o modificar un proyecto de sistemas nuevo o modificado propuesto
se preste atencin al modelo de datos de la empresa mientras se identifica y analiza la factibilidad de las soluciones
en cada proyecto de desarrollo, implementacin o modificacin de sistemas propuesto, se prepare y documente un
anlisis de las amenazas a la seguridad, de las debilidades y los impactos potenciales y las salvaguardas factibles de
seguridad y control interno para reducir o eliminar el riesgo identificado
los costos y los beneficios de seguridad sean examinados cuidadosamente para garantizar que los costos de los
controles no exceden los beneficios
se obtenga una aprobacin formal del estudio costo/beneficio por parte de la administracin
se requieran controles y pistas de auditora apropiados para ser aplicados en todos los sistemas modificados o nue-
vos propuestos durante la fase de diseo del proyecto
las pistas de auditoria y los controles dan la posibilidad de proteger a los usuarios contra el descubrimiento o mal
uso de su identidad por parte de otros usuarios (Ej., ofreciendo anonimato, pseudnimos, ausencia de vnculos o
que no se puedan ver las claves) sin riesgo para la seguridad del sistema
cada proyecto de desarrollo, implementacin o modificacin de sistemas propuesto preste atencin a los problemas
ergonmicos asociados con la introduccin de sistemas automatizados
la administracin de la funcin de servicios de informacin identifique todos los programas de software de siste-
mas potenciales que satisfarn sus requerimientos operativos
los productos sean revisados y probados antes de ser adquiridos y utilizados
la compra de productos de software siga las polticas de adquisicin de la organizacin definiendo el marco refe-
rencial para la creacin de la solicitud de propuesta
17
, la seleccin del proveedor de software y la negociacin del
contrato.
17
Solicitud de propuesta (request for proposal,
RFP): invitacin que se extiende a proveedores
para que presenten una propuesta.
96
para el software con licencia adquirido de terceras partes, los proveedores cuenten con procedimientos apropiados
para validar, proteger y mantener los derechos de integridad de los productos de software
la adquisicin de servicios de programacin por contrato se justifique a travs de una requisicin de servicios por
escrito por parte de un miembro designado de la funcin de servicios de informacin
se acuerde en el contrato con el proveedor un plan de aceptacin de las instalaciones y que dicho plan defina los
procedimientos y criterios de aceptacin
los productos finales de los servicios de programacin por contrato terminados sean revisados y probados de acuer-
do con los estndares establecidos por el grupo de aseguramiento de la calidad de la funcin de servicios de infor-
macin y otras partes interesadas antes de pagar por el trabajo realizado y aprobar el producto final
se acuerde en el contrato con los proveedores un plan de aceptacin para tecnologa especfica, y que dicho plan
defina los procedimientos y criterios de aceptacin
la adquisicin de servicios de programacin por contrato sea justificada a travs de un requerimiento escrito de
servicios por parte de un miembro designado de la funcin de servicios de informacin
Se lleve a cabo un anlisis de riesgos en lnea con el marco referencial general de evaluacin de riesgos
Existen los mecanismos para asignar o mantener los atributos de seguridad para la exportacin e importacin de datos, y para
interpretarlos correctamente.
La administracin haya desarrollado e implementado un enfoque de adquisicin central, que describa un conjunto comn de
procedimientos y estndares a ser seguidos en la adquisicin de hardware, software y servicios de tecnologa de infor-
macin
Los contratos estipulen que el software, la documentacin y otros elementos entregables sean sujetos a pruebas y revisiones
antes de ser aceptados
Las pruebas incluidas en las especificaciones del contrato consisten en pruebas de sistema, pruebas de integracin, pruebas de
hardware y componentes, pruebas de procedimientos, pruebas de carga y estrs, pruebas de afinamiento y desempeo,
pruebas de regresin, pruebas de aceptacin del usuario, y finalmente, pruebas piloto del sistema total para evitar cual-
quier falla inesperada del sistema
Las pruebas de aceptacin de instalaciones son llevadas a cabo para garantizar que stas y el ambiente, satisfacen los requeri-
mientos especificados en el contrato
Las pruebas de aceptacin de tecnologa especfica deberan incluir pruebas de inspeccin, pruebas de funcionalidad y regis-
tro de las cargas de trabajo
8 Probando que:
Los requerimientos de los usuarios satisfechos por el sistema existente y a ser satisfechos por el sistema nuevo propuesto o
modificado hayan sido claramente definidos, revisados y aprobados por escrito por parte del usuario antes del desarro-
llo, implementacin o modificacin del proyecto
Los requerimientos de las soluciones funcionales y operativas sean satisfechos incluyendo desempeo, seguridad, confiabili-
dad, compatibilidad y legislacin
Todas las debilidades y deficiencias de procesamiento en el sistema existente hayan sido identificadas y sean tomadas en
cuenta y resueltas completamente por el sistema nuevo propuesto o por el modificado
Los cursos de accin alternativos que satisfarn los requerimientos de los usuarios, establecidos para un sistema nuevo o
modificado propuesto, hayan sido analizados apropiadamente
Los paquetes de software comercial que satisfagan las necesidades de un proyecto particular de desarrollo o modificacin de
sistemas hayan sido identificados y considerados apropiadamente
Todos los costos y beneficios identificables asociados con cada alternativa hayan sido soportados apropiadamente e incluidos
como parte del estudio de factibilidad econmica requerido
97
C COBI OBIT T
Se haya prestado atencin al modelo de datos de la arquitectura de informacin/empresa como solucin al identificar y anali-
zar su factibilidad
El reporte de anlisis de riesgos en cuanto a amenazas a la seguridad, vulnerabilidades e impactos potenciales y las salva-
guardas factibles de seguridad y control interno para reducir o eliminar los riesgos identificados sea preciso, completo y
suficiente
Los problemas de seguridad y control interno hayan sido tomados en cuenta apropiadamente en la documentacin del diseo
del sistema
La aprobacin de la administracin en cuanto a que los controles existentes y planeados son suficientes y aportan beneficios
apropiados comparados con los costos de prdidas
Existen mecanismos disponibles para las pistas de auditora o que stos pueden ser desarrollados para la solucin identificada
y seleccionada
Se ha tomado en cuenta un diseo amigable al usuario para mejorar las habilidades finales de ste durante el diseo del siste-
ma y el desarrollo de diseo de pantallas, formatos de reporte, facilidades de ayuda en lnea, etc.
Se han considerado aspectos ergonmicos durante el diseo y el desarrollo del sistema
Se han incluido aspectos de desempeo de usuarios (por ejemplo, tiempo de respuesta del sistema, capacidades de carga/
descarga, y reportes de propsito especfico) en las especificaciones de requerimientos del sistema antes de su diseo y
desarrollo
La identificacin de todos los programas potenciales de software del sistema que satisfacen los requerimientos operativos
La funcin de servicios de informacin cumpla con un conjunto comn de procedimientos y estndares en la adquisicin de
hardware, software y servicios relacionados con tecnologa de informacin
Los productos adquiridos sean revisados y probados antes de ser usados y pagados completamente
El acuerdo de compra de software permite al usuario tener una copia del cdigo fuente del programa, si aplica
Las actualizaciones de los productos de software, las renovaciones de tecnologa y las correcciones son especificadas en los
documentos de adquisicin
El mantenimiento de terceras partes incluye los requerimientos de validacin proteccin y mantenimiento de la integridad del
producto de software
El personal de programacin por contrato trabaja sujetndose al mismo nivel de pruebas, revisin y aprobaciones que se exi-
ge a los programadores propios de la organizacin
La funcin de aseguramiento de la calidad de la organizacin es responsable de la revisin y aprobacin del trabajo llevado a
cabo por los programadores por contrato
Se tiene en cuenta la propiedad y suficiencia del plan de aceptacin de instalaciones, incluyendo los procedimientos y crite-
rios de aceptacin
La propiedad y suficiencia del plan especfico de aceptacin de tecnologa, incluyendo inspecciones, pruebas de funcionali-
dad y pruebas de carga de trabajo
8 Llevando a cabo:
Benchmarking de la identificacin de requerimientos de los usuarios para conseguir soluciones automatizadas contra
organizaciones similares o estndares internacionales de la industria considerados como buenas prcticas.
la identificacin de soluciones automatizadas para satisfacer los requerimientos del usuario (incluyendo la defini-
cin de requerimientos del usuario, formulacin de cursos de accin alternativos; identificacin de paquetes de
98
software comercial y elaboracin de estudios de factibilidad de desempeo tecnolgico, de factibilidad econmica,
de arquitectura de informacin y de anlisis de riesgos)
la seguridad, los controles internos (incluyendo la consideracin de diseos amigables al usuario, ergonoma, etc.)
y las pistas de auditora disponibles o "desarrollables" para la solucin identificada y seleccionada
la seleccin e implementacin del software del sistema
las polticas y procedimientos existentes de adquisicin de software para la adecuacin y el cumplimiento del con-
trol interno de la organizacin
la manera en la que se administra el mantenimiento realizado por terceras partes
la manera en la que la programacin de aplicacin por contrato ha sido monitoreada y administrada
El proceso de aceptacin de las instalaciones para asegurar que stas y las pruebas ambientales satisfagan los re-
querimientos especificados en el contrato
el proceso de aceptacin de tecnologa especfica para asegurar que las inspecciones, pruebas de funcionalidad y
pruebas de carga de trabajo satisfacen los requerimientos especificados en el contrato
8 Identificando:
Las deficiencias en la metodologa del ciclo de vida del desarrollo de sistemas de la organizacin
Soluciones que no satisfacen los requerimientos del usuario
Tentativas de desarrollo de sistemas que:
no hayan considerado cursos alternativos de accin, trayendo como resultado una solucin ms costosa
no hayan considerado los paquetes de software comercial que podran haber sido implementados en menos tiem-
po y a un menor costo
no hayan considerado la factibilidad tecnolgica de las alternativas o hayan considerado inapropiadamente la fac-
tibilidad tecnolgica de la solucin elegida, trayendo como resultado que no se podra implementar la solucin
como fue diseada originalmente
hayan hecho suposiciones equivocadas en el estudio de factibilidad econmica, trayendo como resultado la elec-
cin del curso de accin incorrecto
no hayan considerado el modelo de datos de la arquitectura de informacin/empresa, trayendo como resultado la
eleccin del curso de accin incorrecto
no hayan conducido anlisis de riesgos slidos, y consecuentemente, no hayan identificado adecuadamente los
riesgos (incluyendo amenazas, vulnerabilidades e impactos potenciales) o los controles internos y de seguridad
para reducir o eliminar los riesgos identificados
Soluciones que:
estuvieran ya sea sobre controladas o no controladas suficientemente debido a que el costo-efectividad de los con-
troles y la seguridad fueron examinados inapropiadamente
no hayan contado con pistas de auditora adecuadas
no hayan considerado los aspectos ergonmicos y de diseo amigable para el usuario, trayendo como resultado
errores en la entrada de datos que podran haber sido evitados
no hayan seguido el enfoque de adquisiciones establecido por la organizacin, trayendo como resultado costos
adicionales creados por la organizacin
La falta de software de sistemas necesario
La inefectividad del software de sistemas debido al establecimiento incorrecto de parmetros
Mantenimiento de software de terceras partes que no haya satisfecho los trminos del contrato, trayendo como resultado que
99
se afecte negativamente a la organizacin en el logro de su misin y/o metas
Programas de aplicacin por contrato que no hayan satisfecho los trminos del contrato, trayendo como consecuencia costos
adicionales a la organizacin, atraso en la implementacin de los sistemas, etc.
Situaciones en las que las instalaciones hayan sido aceptadas sin probar completamente el ambiente, trayendo como conse-
cuencia no satisfacer los requerimientos de los usuarios y/o no cumplir con los trminos del contrato
Las instancias en las que se haya aceptado una tecnologa especfica, pero que no se hayan llevado a cabo adecuadamente
inspecciones, pruebas de funcionalidad y pruebas de carga de trabajo, trayendo como resultado el que la tecnologa no
satisfaga los requerimientos del usuario y/o no cumpla con los trminos del contrato
Cualquier falla del sistema
100
C COBI OBIT T
AI2
S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Adquisicin &
Implementacin
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


adquisicin y mantenimiento de software de aplicacin


proporcionar funciones automatizadas que soporten efectivamente al
negocio


la definicin de declaraciones especficas sobre requerimien-
tos funcionales y operacionales y una implementacin por
fases con entregables claros


Pruebas funcionales y de aceptacin
Controles de aplicacin y requerimientos de
seguridad
Requerimientos de documentacin
Ciclo de vida del software de aplicacin
Arquitectura de informacin de la empresa
Metodologa del ciclo de vida de desarrollo del
sistema
Interfaz usuario mquina
personalizacin de paquetes

101
AI 2 ADQUISICIN Y MANTENIMIENTO DE SOFTWARE DE APLICACIN
8 Entrevistas:
Director de TI
Presidencia de TI
Propietarios / patrocinadores de proyectos

8 Obteniendo:
Polticas y procedimientos relacionados con la metodologa del ciclo de vida del desarrollo de sistemas
Documentacin seleccionada del proyecto, incluyendo aprobaciones de diseos, definicin de requeri-
mientos de archivo, especificaciones de programas, diseo de recopilacin de datos fuente, definicin
de requerimientos de entrada, interfase usuario - mquina, definicin de requerimientos de procesa-
miento, definicin de requerimientos de salida, requerimientos de control interno/seguridad, requeri-
mientos de disponibilidad, provisiones para la integridad de tecnologa de informacin, plan de prue-
bas y resultados del software de aplicacin, materiales de soporte y referencia para usuarios y reeva-
luacin del diseo del sistema
1 Mtodos de Diseo
2 Cambios Significativos a Sistemas Actuales
3 Aprobacin del Diseo
4 Definicin y Documentacin de Requerimientos de Archivos
5 Especificaciones de Programas
6 Diseo para la Recopilacin de Datos Fuente
7 Definicin y Documentacin de Requerimientos de Entrada de Datos
8 Definicin de Interfases
9 Interfase Usuario - Mquina
10 Definicin y Documentacin de Requerimientos de Procesamiento
11 Definicin y Documentacin de Requerimientos de Salida de Datos
12 Controles
13 Disponibilidad como Factor Clave de Diseo
14 Definiciones de TI sobre Integridad para el Software de Programas de Aplicacin
15 Pruebas de Software de Aplicacin
16 Materiales de Consulta y Soporte para Usuario
17 Reevaluacin del Diseo del Sistema
102
C COBI OBIT T
8 Considerando s:
Las polticas y procedimientos aseguran:
la metodologa del ciclo de vida de desarrollo de sistemas de la organizacin aplica tanto para el desarrollo de nuevos
sistemas como para modificaciones mayores a sistemas existentes y participacin del usuario
el vnculo con el usuario al crear las especificaciones de diseo y al verificar stas contra los requerimientos del usua-
rio
en el caso de cambios mayores a los sistemas existentes, se observe un proceso de ciclo de vida de desarrollo de siste-
mas similar al utilizado en los casos de desarrollo de nuevos sistemas
las especificaciones de diseo sean aprobadas por la administracin, los departamentos usuarios afectados y la Geren-
cia de la organizacin, cuando esto sea apropiado para todos los nuevos proyectos de desarrollo y para los proyectos
de modificacin de sistemas
se aplica un proceso apropiado para definir y documentar el formato de archivos para cada proyecto nuevo de desa-
rrollo o modificacin de sistemas, incluyendo requerimientos para que se respeten las reglas de diccionario de datos
se preparan especificaciones detalladas de programas para cada proyecto de desarrollo o modificacin de informa-
cin, y que estas especificaciones concuerdan con las especificaciones del diseo del sistema
se especifican los mecanismos adecuados para la recoleccin y captura de datos para cada proyecto nuevo o modifi-
cado de desarrollo de sistemas
se especifican los mecanismos adecuados para la recopilacin y entrada de datos para cada nuevo proyecto de desa-
rrollo o modificacin de sistemas
existen mecanismos adecuados para la definicin y documentacin de los requerimientos de entrada para cada pro-
yecto nuevo de desarrollo o modificacin de sistemas
existe el desarrollo de una interfase entre el usuario y la mquina fcil de utilizar y auto-documentable (por medio de
funciones de ayuda en lnea)
existen mecanismos adecuados para la definicin y documentacin de las interfaces internas y externas para cada
proyecto de desarrollo o modificacin de sistemas
existen mecanismos adecuados para la definicin y documentacin de los requerimientos de procesamiento para cada
nuevo proyecto de desarrollo o modificacin de sistemas
existen mecanismos adecuados para la definicin y documentacin de los requerimientos de salida para cada nuevo
proyecto de desarrollo o modificacin de sistemas
se especifican mecanismos adecuados para asegurar los requerimientos de seguridad y control internos para cada
proyecto nuevo de desarrollo o modificacin de sistemas
los requerimientos de seguridad y control interno incluyen controles de aplicacin que garantizan la exactitud, com-
pletitud, oportunidad y autorizacin de entradas y salidas
se considera la disponibilidad en el proceso de diseo de sistemas nuevos o modificados en la etapa ms temprana
posible, y que esta consideracin debe analizar, en caso necesario, un incremento a travs de mejoras de manteni-
miento y confiabilidad
los programas de aplicacin contienen definiciones que verifican rutinariamente las tareas llevadas a cabo por el soft-
ware para ayudar a asegurar la integridad en la recuperacin de la informacin a travs de roll-back u otros procesos
similares
el software de aplicacin es probado de acuerdo con el plan de pruebas del proyecto y los estndares establecidos
antes de ser aprobado por el usuario
se preparan manuales adecuados de soporte y referencia para usuarios (preferiblemente en formato electrnico) como
103
parte del proceso de desarrollo o modificacin de cada sistema
el diseo del sistema es reevaluado siempre que ocurren discrepancias tecnolgicas y/o lgicas significativas durante
el desarrollo o el mantenimiento del sistema
La metodologa del ciclo de vida de desarrollo de sistemas asegura que los materiales de soporte y referencia para usuarios
son actualizados de manera precisa y oportuna
La metodologa de ciclo de vida de desarrollo de sistemas requiere el llevar a cabo una evaluacin de sensibilidad durante la
iniciacin del desarrollo o modificacin de nuevos sistemas
La metodologa de ciclo de vida de desarrollo de sistemas requiere la evaluacin de los aspectos bsicos de seguridad y con-
trol interno de un sistema nuevo a ser desarrollado o modificado, junto con el diseo conceptual del sistema, con el fin de
integrar los conceptos de seguridad en el diseo lo ms pronto posible
La metodologa del ciclo de vida de desarrollo de sistemas requiere que los aspectos de seguridad lgica y de las aplicaciones
sean considerados e incluidos en el diseo de nuevos sistemas o modificaciones de sistemas existentes
La evaluacin de los aspectos de control internos y de seguridad est basada en un buen marco referencial
Los sistemas de Inteligencia Artificial estn funcionando en una interaccin o en el marco referencial de control con los ope-
radores humanos para asegurar que las decisiones importantes sean aprobadas.
La revelacin de informacin sensitiva que se utiliza durante las pruebas de la aplicacin se reduce ya sea con limitaciones
severas de acceso o la despersonalizacin de los datos histricos.
8 Probando que:
La participacin del usuario en el proceso de ciclo de vida de desarrollo de sistemas es significativa
La metodologa del ciclo de vida de desarrollo de sistemas asegura que existe un proceso que considera apropiadamen-
te todos los aspectos de diseo de sistemas (por ejemplo, entrada, procesamiento, salida, controles internos, segu-
ridad, recuperacin en caso de desastre, tiempo de respuesta, reportes, control de cambios, etc.)
Los usuarios clave de los sistemas estn involucrados en el proceso del diseo del sistema
Que la revisin del diseo y el proceso de aprobacin aseguran que todos los problemas han sido resueltos antes de
comenzar a trabajar sobre la siguiente fase del proyecto
Los cambios mayores a los sistemas existentes aseguran que stos han sido desarrollados utilizando una metodologa
de ciclo de vida de desarrollo de sistemas similar a la utilizada para el desarrollo de nuevos sistemas
Existen los procedimientos de aprobacin del diseo para asegurar que la programacin del sistema no se inicie hasta
que se hayan obtenido las aprobaciones correspondientes
Los requerimientos de archivo y la documentacin del sistema, as como el diccionario de datos, son consistentes con
los estndares
Se aprueban las especificaciones finales de archivos
Las especificaciones de programacin concuerdan con las especificaciones del diseo del sistema
Las especificaciones del diseo de recoleccin de datos y de entrada de datos concuerdan
Existen las especificaciones del diseo de la interfase usuario - mquina
Las especificaciones usuario - mquina son fciles de usar y utilizan funciones de auto documentacin (utilizando faci-
lidades de ayuda en lnea).
Se documenten las interfaces internas y externas
Los requerimientos de procesamiento forman parte de las especificaciones del diseo
Los requerimientos de salida forman parte de las especificaciones del diseo
104
C COBI OBIT T
Los requerimientos de seguridad y control interno forman parte de las especificaciones del diseo
Las especificaciones de diseo de los requerimientos de controles de aplicacin garantizan la precisin, suficiencia,
oportunidad y autorizacin de las entradas y las salidas
Los requerimientos de seguridad y control interno han sido incluidos en el diseo conceptual del sistema (ya sea nuevo
o modificado) lo ms tempranamente posible
El oficial de seguridad est involucrado activamente en el proceso de diseo, desarrollo e implementacin del proyecto
del nuevo sistema o de modificacin del sistema
El diseo del sistema determina si se han cuantificado las mejoras de disponibilidad/confiabilidad en trminos de tiem-
po y de procedimientos ms eficientes en comparacin con mtodos anteriores, en caso de aplicar
Las provisiones de programas de aplicacin verifican rutinariamente las tareas llevadas a cabo por el software para
asegurar la integridad de los datos
Existe un plan de pruebas del proyecto y un proceso de aprobacin del usuario
Los materiales de soporte y referencia para usuarios, as como las facilidades de ayuda en lnea estn disponibles
La funcin de "Help Desk" apoya efectivamente a los usuarios para solucionar problemas de procesamiento cada vez
ms complejos
El proceso para escalar los aspectos que atiende el Help Desk incluye el seguimiento, monitoreo y reporte de tales
problemas a la administracin de la funcin de servicios de informacin apropiada
Se requiere la existencia de mecanismos para actualizar la documentacin de los usuarios
Existe la comunicacin sobre los cambios a la documentacin de los usuarios
Se da el proceso de reevaluacin siempre que ocurren discrepancias tecnolgicas y/o lgicas significativas
8 Llevando a cabo:
Benchmarking de los costos de adquirir y desarrollar software de aplicacin contra organizaciones similares o estnda-
res internacionales de la industria considerados como buenas prcticas.

documentacin del diseo del sistema para evaluar la adecuacin de las especificaciones del diseo y el cumpli-
miento del diseo en cuanto a dichas especificaciones
proyectos de desarrollo o modificacin de nuevos sistemas, determinando si los documentos de especificacin del
diseo han sido revisados y aprobados por la administracin de la funcin de servicios de informacin y las funcio-
nes de los usuarios afectados, as como por la Presidencia de la organizacin cuando esto sea apropiado
documentacin del software para asegurar que los requerimientos de archivo (por lo menos para los archivos men-
cionados a continuacin) son comprendidos claramente por el equipo de implementacin del proyecto y estn sien-
do estructurados por sistema y requerimientos del usuario, as como por las reglas de diccionario de datos de la or-
ganizacin:
Maestro
Transacciones
Comando
Programa
Control
Tablas
Reportes
Impresin
Bitcora
105
Transmisin
proyectos de desarrollo o modificacin de nuevos sistemas para asegurar que los archivos, programas, instrumen-
tos de recopilacin de datos fuente, entradas, interfaces usuario - mquina, pasos de procesamiento y salidas iden-
tificados en diagramas de flujo/diagramas de flujo de datos, corresponden a las especificaciones varias del diseo
del sistema
proyectos de desarrollo o modificacin de nuevos sistemas para determinar que siempre que se identifiquen dis-
crepancias tcnicas y/o lgicas, ocurra un proceso efectivo de reevaluacin del diseo del sistema
proyectos de desarrollo o modificacin de nuevos sistemas para determinar la existencia de cualquier discrepan-
cia de diseo tcnico o cualquier cambio funcional necesario
proyectos de desarrollo o modificacin de nuevos sistemas y diseos conceptuales de sistemas para evaluar la
adecuacin de las provisiones de seguridad y control interno que aseguren la precisin, la suficiencia, la oportuni-
dad y la autorizacin de las entradas y salidas, as como la integracin de los conceptos de seguridad en el diseo
lo ms tempranamente posible
proyectos de desarrollo o modificacin de nuevos sistemas para evaluar el diseo a la luz de una mayor confiabi-
lidad y disponibilidad para el usuario final, as como de la facilidad de dar mantenimiento por el personal de man-
tenimiento de la funcin de servicios de informacin
proyectos para evaluar lo adecuado de la verificacin de integridad de los datos de los programas de aplicacin
proyectos de desarrollo o modificacin de nuevos sistemas para asegurar que los materiales de referencia para los
usuarios son actuales y consistentes con la documentacin del sistema y que stos satisfacen completamente las
necesidades del usuario
Una revisin detallada de la efectividad de:
el proceso de especificacin de programas para asegurar que stos estn escritos de acuerdo a las especificaciones
del diseo del usuario
el proceso de especificacin de entradas para asegurar que los programas estn escritos de acuerdo a las especifi-
caciones del diseo del usuario
el proceso de especificacin de interfase usuario - mquina para asegurar que los programas estn escritos de
acuerdo a las especificaciones del diseo del usuario
el proceso de especificacin de procesamiento para asegurar que los programas estn escritos de acuerdo a las
especificaciones del diseo del usuario
el proceso de especificacin de salidas para asegurar que los programas estn escritos de acuerdo a las especifica-
ciones del diseo del usuario
Una revisin detallada de los estndares de prueba de la organizacin y la implementacin de los planes de pruebas rela-
cionados para proyectos seleccionados de desarrollo y modificacin de nuevos sistemas
Una revisin detallada de la satisfaccin del usuario con el sistema, sus reportes, la documentacin y material de referencia
para el usuario, las facilidades de ayuda, etc.
8 Identificando:
Deficiencias en la metodologa de ciclo de vida de desarrollo de sistemas utilizada para los proyectos de desarrollo o modi-
ficacin de nuevos sistemas
Especificaciones de diseo que no reflejen los requerimientos del usuario
Requerimientos de archivo que no sean consistentes con las reglas de diccionario de datos de la organizacin
Proyectos de desarrollo o modificacin de nuevos sistemas que contengan archivos, programas, seleccin de datos fuente,
entradas, interfaces usuario - mquina, procesamiento, requerimientos de salida y/o Controles inadecuadamente defi-
nidos
Proyectos de desarrollo o modificacin de nuevos sistemas en los que la disponibilidad no haya sido considerada en el pro-
ceso de diseo
Deficiencias en la integridad de los datos en software de programas de aplicacin en proyectos de desarrollo o modificacin
de nuevos sistemas
Deficiencias en los estndares de pruebas de la organizacin, trayendo como consecuencia la implementacin de sistemas
que procesan incorrectamente los datos, y emiten incorrectamente reportes
Deficiencias en los planes de prueba en proyectos nuevos de desarrollo o modificacin de sistemas
Deficiencias en los materiales de soporte y referencia para usuarios en proyectos nuevos de desarrollo o modificacin de
sistemas
106
C COBI OBIT T
AI3
Adquisicin &
Implementacin
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

c
o
n
f
i
a
b
i
l
i
d
a
d


adquisicin y mantenimiento de infraestructura tecnolgica


proporcionar las plataformas apropiadas para soportar aplicaciones de
negocios


La adquisicin juiciosa de hardware y software, estandariza-
cin del software, anlisis del desempeo del hardware y
software y administracin consistente del sistema


Cumplimiento con las direcciones y estndares
de la infraestructura tecnolgica
evaluacin de tecnologa
Instalacin, mantenimiento y control sobre
cambios
Planes de actualizacin, conversin y actualiza-
cin
Uso de infraestructuras y/o recursos internos y
externos
Responsabilidades y relaciones de los provee-
dores
Administracin de cambios
Costo total de propiedad
Seguridad del software del sistema
AI 3 ADQUISICIN Y MANTENIMIENTO DE LA INFRAESTRUCTURA TECNOLGICA
Obtener un entendimiento travs de:
8 Entrevistas:
Comit de Planeacin de TI
Gerente de TI
Gerencia media de TI

8 Obteniendo:
Polticas y procedimientos relacionados con la adquisicin, implementacin y mantenimiento de hardware y software
Roles y responsabilidades de la Gerencia media de apoyo
Objetivos y planes a corto y largo plazo de TI
Reportes de estatus y minutas de reuniones
Documentacin sobre vendedores de hardware y software
Contratos de arrendamiento o acuerdos de arrendamiento con opcin de compra de hardware y software

1. Evaluacin de Nuevo Hardware y Software
2. Mantenimiento Preventivo para Hardware
3. Seguridad del Software del Sistema
4. Instalacin del Software del Sistema
5. Mantenimiento del Software del Sistema
6 Controles de Cambios para el Software del Sistema
7 Uso y Monitoreo de los Utilitarios del Sistema
8 Considerando s:
Existen polticas y procedimientos que aseguran que:
se prepara un plan de evaluacin formal para evaluar el nuevo hardware y software en cuanto a cualquier
impacto sobre el desempeo global del sistema
la posibilidad de acceso al software del sistema y con ella, la posibilidad de interrumpir los sistemas de in-
formacin operativa est limitada
la preparacin, instalacin y mantenimiento del software del sistema no amenaza la seguridad de los datos y
programas almacenados en el sistema
se seleccionan parmetros del software del sistema para asegurar la integridad de los datos y programas al-
macenados en el sistema
el software del sistema es instalado y mantenido de acuerdo con el marco referencial de adquisicin y man-

108
C COBI OBIT T
tenimiento de la infraestructura de tecnologa
los proveedores de software del sistema proveen declaraciones de aseguramiento de la integridad como parte
de su software y todas las modificaciones al mismo
la prueba global (por ejemplo, utilizando una metodologa de ciclo de vida de desarrollo de sistemas) de
software del sistema ocurre antes de que ste sea introducido al ambiente de produccin
los passwords o contraseas de instalacin proporcionados por el proveedor de software son modificados al
momento de la instalacin y que los cambios al software del sistema son controlados en lnea con los proce-
dimientos de administracin de cambios de la organizacin
Existen polticas y procedimientos para el mantenimiento preventivo de hardware (tanto el operado por la funcin de
servicios de informacin como por las funciones de los usuarios afectados) para reducir la frecuencia y el impacto
de las fallas de desempeo
Se cumple con los pasos y la frecuencia de mantenimiento preventivo prescritos por el proveedor para cada dispositivo
de hardware operado por la funcin de servicios de informacin y los usuarios afectados se adhieren a ellos.
Existen polticas y tcnicas para monitorear el uso de los utilitarios del sistema
Las responsabilidades por el uso de utilitarios de software sensitivo estn claramente definidas y entendidas por los
programadores y el uso de esos utilitarios es monitoreado y rastreado.
8 Probando que:
Existen las declaraciones de aseguramiento de la integridad del software del sistema entregados por los proveedores
para todo el software del sistema (incluyendo todas las modificaciones) y considera las exposiciones resultantes
en el software del sistema
La evaluacin del desempeo trae como resultado la comparacin con los requerimientos del sistema
Existe un proceso formal aprobado de evaluacin del desempeo
El calendario de mantenimiento preventivo asegura que el mantenimiento de hardware programado no tendr ningn
impacto negativo sobre aplicaciones crticas o sensitivas
El mantenimiento programado asegura que no ha sido planeado para perodos pico de carga de trabajo y que la fun-
cin de servicios de informacin y las operaciones de los grupos de usuarios afectados son suficientemente
flexibles para adaptar el mantenimiento preventivo rutinario planeado
Los programas operativos de servicios de informacin aseguran que existen las preparaciones adecuadas para mane-
jar anticipadamente los tiempos muertos de hardware ocasionados por mantenimiento no programado
Los parmetros del software del sistema aseguran que el personal apropiado de TI seleccion los correctos con el fin
de asegurar la integridad de los datos y los programas almacenados en el sistema
El acceso se restringe nicamente a un nmero limitado de operadores dentro de la funcin de servicios de informa-
cin
El software del sistema es instalado y mantenido de acuerdo con el marco referencial de adquisicin y mantenimiento
para la infraestructura de tecnologa
Se llevan a cabo pruebas completas (utilizando una metodologa de ciclo de vida de desarrollo de sistemas) para todo
el software del sistema antes de autorizar su introduccin al ambiente de produccin
Todos los passwords o contraseas de instalacin del software del sistema proporcionados por los proveedores fue-
ron cambiados al momento de la instalacin
Todos los cambios al software del sistema fueron controlados de acuerdo con los procedimientos de administracin
de cambios de la organizacin
La administracin del sistema (por ejemplo, adicin de nuevos usuarios al sistema y a las redes; creacin y respaldo de
bases de datos, asignacin de espacio para almacenamiento de datos, prioridades del sistema, etc.) se restringen
nicamente a un nmero limitado de operadores dentro de la funcin de servicios de informacin
8 Llevando a cabo:
Benchmarking de la adquisicin, implementacin y mantenimiento de hardware y software contra organizaciones simi-
lares o estndares internacionales de la industria considerados como buenas prcticas.

Una revisin de tallada de:
la documentacin de sistemas operacionales o proyectos de desarrollo o modificacin de sistemas para deter-
minar si los requerimientos formales de desempeo de hardware y software (incluyendo referencias para
volumen de transaccin, tiempos de procesamiento y respuesta, tamaos de archivos y bases de datos, vol-
menes de redes y compatibilidad de protocolos de comunicaciones) existen para todos los sistemas
prcticas de mantenimiento de hardware para determinar si el mantenimiento est siendo llevado a cabo de
acuerdo con los lineamientos del proveedor y programados de tal manera que no afecte el desempeo global
del sistema
documentacin seleccionada de sistemas operacionales y sistemas en desarrollo o modificacin para evaluar
las habilidades potenciales para burlar las restricciones de seguridad de acceso lgicas existentes proporcio-
nadas por el software del sistema
instalacin, mantenimiento del sistema y controles de cambio para asegurar el cumplimiento con el marco
referencial de adquisicin y mantenimiento para la infraestructura de tecnologa y la integridad del sistema
que es mantenida

8 Identificando:
Evaluaciones de desempeo que hayan afectado el desempeo global del sistema
Problemas de mantenimiento preventivo que hayan afectado el desempeo global del sistema Debilidades en la prepa-
racin, instalacin y mantenimiento de software del sistema (incluyendo la seleccin de parmetros inapropiados
de software del sistema) que hayan amenazado la seguridad de los datos y los programas almacenados en el siste-
ma
Debilidades en las pruebas de software del sistema que pudieran amenazar la seguridad de los datos y los programas
almacenados en el sistema
Debilidades en el proceso de control de cambios del software del sistema que pudieran amenazar la seguridad de los
datos y los programas almacenados en el sistema
AI4
S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Adquisicin &
Implementacin
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


desarrollo y mantenimiento de procedimientos


asegurar el uso apropiado de las aplicaciones y de las soluciones tec-
nolgicas establecidas


un enfoque estructurado del desarrollo de manuales de pro-
cedimientos de operaciones para usuarios, requerimientos de
servicio y material de entrenamiento


Rediseo de los procesos del negocio
Tratamiento de procedimientos como cualquier
otra tecnologa entregable
Desarrollo oportuno
procedimientos y controles de usuarios
procedimientos y controles operacionales
materiales de entrenamiento
Administracin de cambios
AI 4 DESARROLLO Y MANTENIMIENTO DE PROCEDIMIENTOS
8 Entrevistas:
Desarrollo de aplicaciones de TI
Mantenimiento de TI
Control de cambios de TI
Operaciones de TI
Recursos humanos/entrenamiento de TI
Administracin de aseguramiento de la calidad de TI
Usuarios seleccionados de recursos de sistemas de informacin

8 Obteniendo:
Polticas y procedimientos organizacionales relacionados con:
Planeacin estratgica y objetivos del negocio, planeacin de sistemas de informacin y desarrollo de aplicaciones
Polticas y procedimientos de las funciones de servicios de informacin relacionadas con el desarrollo del sistema, in-
cluyendo: organigrama, metodologa del ciclo de vida de desarrollo de sistemas, planeacin de capacidad, manua-
les de usuarios y operaciones, materiales de entrenamiento, pruebas y migracin al ambiente de produccin y do-
cumentos de planeacin de reanudacin/ contingencia del negocio
1 Requerimientos Operacionales y Niveles de Servicios
2 Manual de Procedimientos para el Usuario
3 Manual de Operaciones
4 Materiales de Entrenamiento
8 Considerando s:
Los requerimientos operativos fueron determinados con estadsticas histricas de desempeo, disponibles, e informa-
cin proporcionada por el usuario con respecto a incrementos/decrementos esperados
El nivel de servicio y las expectativas de desempeo estn suficientemente detallados para permitir el seguimiento, la
emisin de reportes y las oportunidades de mejora
Los requerimientos operativos y los niveles de servicio estn determinados utilizando tanto desempeo histrico y
ajustes de usuario como mediciones o "benchmarks" de la industria
Los niveles de servicio y requerimientos de procesamiento son un paso integral en la planeacin de nuevos sistemas
Los manuales de procedimientos de usuarios, el manual de operaciones y los materiales de entrenamiento estn des-
arrollados como parte de cada proyecto de desarrollo, implementacin o modificacin de sistemas de informacin,
y se mantienen actualizados
8 Probando que:
Existen requerimientos operacionales y que stos reflejan tanto las expectativas de operacin como las de los usuarios
El desempeo operacional est siendo medido, comunicado y corregido en donde existen deficiencias
El personal de operaciones y los usuarios estn conscientes y tienen conocimiento de los requerimientos de desempe-
o
El personal de operaciones cuenta con manuales de operaciones para todos los sistemas y procesamientos bajo su
responsabilidad
Todo el movimiento de programas del ambiente de desarrollo a produccin requiere la actualizacin o creacin de un
manual de operaciones
Existen manuales de entrenamiento de usuarios para todas las aplicaciones, y reflejan actualmente la funcionalidad de
la aplicacin
Existen manuales de entrenamiento para todos los sistemas existentes y nuevos y son satisfactorios para los usuarios,
reflejando el uso del sistema en la prctica diaria
Los manuales de usuario incluyen, pero no se limitan a:
Resumen de los sistemas y del ambiente
explicacin de todas la entradas, programas, salidas e integracin de todos los sistemas con otros sistemas
explicacin de todas las pantallas de entrada y despliegue de datos
explicacin de todos y cada uno de los mensaje de error y la respuesta apropiada
procedimientos y/o recursos de escalamiento de problemas
El manual de operacin incluyen, pero no se limita a:
nombre del sistema, nombre de los programas, secuencia de ejecucin
definicin de los nombres de todos los archivos de entrada, proceso y de salida y del formato del medio
Programacin de las corridas diarias, semanales, mensuales, trimestrales, de fin de ao, etc.
comandos y parmetros de consola que requieran entradas por parte del operador
mensajes de error presentados en la consola y respuestas ante ellos
procedimientos de respaldo, reinicio y recuperacin en varios puntos o al presentarse una terminacin anor-
mal
formatos o procedimientos de salidas especiales; distribucin de reportes/salidas
procedimiento de solucin en caso de emergencia, si aplica
Se llevan a cabo el mantenimiento continuo de la documentacin de aplicacin, manuales de operacin y de usuario y
el entrenamiento respectivo, si aplica
8 Llevando a cabo:
Para una seleccin de proyectos de desarrollo de sistemas, revisiones y aprobaciones de documentacin en cuanto a:
la consideracin de futuros requerimientos y niveles de servicio de usuarios
Tareas y entregables para la creacin, distribucin y mantenimiento de manuales de usuario
Tareas y entregables para la creacin, distribucin y mantenimiento del manual de operacin
Tareas y entregables para entrenar al usuario para que comprenda y utilice nuevos sistemas o nuevas modi-
ficaciones
Entrevistas a los usuarios para confirmar la suficiencia de los esfuerzos de desarrollo de sistemas, incluyendo los ma-
nuales desarrollados y el entrenamiento proporcionado
El anlisis tanto de manuales de usuario como de operaciones en cuanto a actualidad y mantenimiento continuo

8 Identificando:
deficiencias en los manuales de usuarios, operaciones y entrenamiento
la no existencia de acuerdos de niveles de servicio entre:
el proveedor y la funcin de servicios de informacin
La funcin de servicios de informacin y los usuarios
debilidades organizacionales para desarrollar y correr las aplicaciones requeridas
AI5
S S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Adquisicin &
Implementacin
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


instalacin y acreditacin de sistemas


verificar y confirmar que la solucin sea adecuada para el propsito
deseado


la realizacin de una migracin de instalacin, conversin y
plan de aceptacin adecuadamente formalizados


Capacitacin de los usuarios y del personal de
operaciones de TI
conversin de datos
Un ambientes de pruebas que refleje el ambien-
te real
acreditacin
revisiones y retroalimentacin y post imple-
mentacin
Usuario final involucrado en las pruebas
Planes continuo de mejoramiento de calidad
Requerimientos de continuidad del negocio
Mediciones de rendimiento y capacidad
Criterios de aceptacin previamente acordados

AI 5 INSTALACIN Y ACREDITACIN DE SISTEMAS
8 Entrevistas:
Director de TI
Administracin de TI
Entrenamiento, desarrollo de aplicaciones, seguridad, aseguramiento de la calidad y administracin de operaciones de
TI
Usuario administrador seleccionado para sistemas recientemente desarrollados/en desarrollo
Contratos con proveedores para recursos de desarrollo de sistemas

8 Obteniendo:
Polticas y procedimientos organizacionales relacionados con la planeacin del ciclo de vida de desarrollo de sistemas
y Polticas y procedimientos de TI relacionadas con: polticas y comits de seguridad, planeacin del ciclo de vida
de desarrollo de sistemas, procedimientos para pruebas al desarrollo de sistemas para programas, unidades, planes
de prueba del sistema, entrenamiento de usuarios, migracin de sistemas de prueba a produccin, aseguramiento
de la calidad y entrenamiento
Plan y programacin de recursos para el ciclo de vida de desarrollo de sistemas, estndares de programacin del ciclo
de vida de desarrollo de sistemas, incluyendo procesos de requisicin de cambios
Muestras de reportes de estatus de las actividades realizadas durante el desarrollo de sistemas
Reportes post-implementacin de las actividades realizadas durante los desarrollos anteriores
1. Entrenamiento
2. Adecuacin del Desempeo del Software de Aplicacin
3. Plan de Implementacin
4. Conversin del sistema
5. Conversin de datos
6. Planes y estrategias de pruebas
7. Pruebas a los Cambios
8. Desempeo y criterios de pruebas en paralelo/piloto
9. Prueba de Aceptacin Final
10. Pruebas y Acreditacin de la Seguridad
11. Prueba Operacional
12. Promocin a Produccin
13. Evaluacin del cumplimiento de los Requerimientos del Usuario
14. Revisin Gerencial Post - Implementacin
8 Considerando s:
Existen polticas y procedimientos relacionados con el proceso de ciclo de vida de desarrollo de sistemas
Existe una metodologa formal de ciclo de vida de desarrollo de sistemas para la instalacin y acreditacin de siste-
mas, incluyendo, pero no limitndose a, un enfoque en fases sobre: entrenamiento, adecuacin del desempeo,
plan de conversin, pruebas de programas, grupos de programas (unidades) y del sistema total, un plan de prue-
bas prototipo o paralelo, pruebas de aceptacin, pruebas y acreditacin de seguridad, pruebas operativas, contro-
les de cambio, revisin y modificacin de implementacin y post-implementacin
Se lleva a cabo el entrenamiento de usuarios como parte de cada tentativa de desarrollo
Los controles de los programas/sistema son consistentes con los estndares de seguridad de la organizacin y con las
polticas, procedimientos y estndares de la funcin de servicios de informacin
Existen varias libreras de desarrollo, prueba y produccin para los sistemas en proceso
Existen criterios predeterminados para probar el acierto, las fallas y la terminacin de tentativas futuras
El proceso de aseguramiento de la calidad incluye la migracin independiente de desarrollo a las libreras de produc-
cin y la suficiencia de la aceptacin requerida de los usuarios y grupos de operacin
Los planes de prueba para simulacin de volmenes, intervalos de proceso y disponibilidad y acreditacin de salidas
forman parte del proceso
El programa de entrenamiento asociado con una muestra de varias tentativas de desarrollo de sistemas contiene: dife-
rencias con respecto al sistema anterior, cambios que afecten las entradas, procesamiento, programacin de acti-
vidades, distribucin, interfaces con otros sistemas, errores y correccin de errores
Las herramientas automatizadas optimizan los sistemas desarrollados, una vez en produccin, y si estas herramientas
son utilizadas para oportunidades de eficiencia
La solucin de problemas ocurre en relacin con un desempeo por debajo de lo ptimo
8 Probando que:
Se ha incluido en todas las tentativas de desarrollo de nuevos sistemas un plan formal para el entrenamiento de
usuarios
El personal est consciente, comprende y tiene conocimiento de la necesidad de controles formales de desarrollo de
sistemas y entrenamiento de usuarios para cada instalacin e implementacin de desarrollo
La conciencia, comprensin y conocimiento de usuarios seleccionados con respecto a sus responsabilidades en el
diseo, aprobacin, pruebas, entrenamiento, conversin y proceso de implementacin es conocida y conside-
rada
Se da seguimiento a los costos reales del sistema comparados con los costos estimados, y al desempeo real contra
el esperado de los sistemas nuevos o modificados
Existe un plan de pruebas que cubre todas las reas de recursos de sistemas de informacin: software de aplicacin,
instalaciones, tecnologa y usuarios
Los usuarios comprenden todas las fases y responsabilidades en el desarrollo de sistemas, incluyendo:
especificaciones de diseo, incluyendo iteraciones durante el ciclo de desarrollo
anlisis costo/beneficio y estudio de factibilidad
aprobacin en cada paso del proceso de desarrollo del sistema
compromiso y evaluacin del plan de pruebas y los resultados de las pruebas al ocurrir stas
aprobacin y aceptacin del sistema a travs del ciclo de desarrollo
aprobacin final y aceptacin del sistema
evaluacin de la suficiencia del entrenamiento recibido para sistemas recientemente entregados y libera-
dos
El personal de desarrollo y la administracin aseguran la estabilidad de los requerimientos de los usuarios una vez
acordados stos
La satisfaccin del usuario es medida contra los elementos entregables y liberables de los proveedores, en compara-
cin con los productos internos
8 Llevando a cabo:
Mediciones ("Benchmarking") de la instalacin y acreditacin de sistemas contra organizaciones similares o apropiados
estndares internacionales reconocidos como buenas prcticas de la industria

el cumplimiento del grupo de desarrollo con las fechas lmite y tareas en relacin con la satisfaccin del
usuario la funcionalidad del sistema una vez completado
el material de entrenamiento asociado con sistemas anteriores
la revisin independiente y migracin de los sistemas del ambiente de prueba al estatus y las libreras de
produccin por parte de la funcin de aseguramiento de la calidad
las herramientas y monitoreo de redes y recursos utilizados para recopilar estadsticas para mantenimiento y
optimizacin, asegurando el soporte a las aplicaciones desarrolladas para lograr un desempeo mximo a un
costo mnimo
registros de una tentativa de desarrollo para determinar la disponibilidad de:
Entrenamiento de usuarios
Seguridad
Desempeo de software
Documentacin y resultados de pruebas
Plan de conversin
Migracin a produccin
Control de cambios durante el desarrollo
Satisfaccin de las necesidades del usuario
Pruebas piloto o en paralelo
Revisin post-implementacin
conclusiones de auditora interna o externa con respecto al proceso de diseo de sistemas
resultados de las pruebas para confirmar si stos satisfacen los criterios predefinidos y si todas las funciones
del sistema fueron incluidas en los planes de prueba
discusiones de la administracin sobre los resultados de las pruebas, as como cualquier prueba terminada o
proyecto de desarrollo
participacin del usuario en el proceso de desarrollo
pistas de auditora dirigidas a recrear una actividad o el anlisis de errores segn sea necesario
participacin del proveedor en la tentativa de desarrollo incluyendo:
lo razonable de los costos
el cumplimiento con las fechas lmite
la funcionalidad entregada y liberada
8 Identificando:
Para una seleccin de proyectos recientes de ciclo de vida de desarrollo de sistemas:
compromiso del usuario y aprobacin formal en cada fase del proceso de desarrollo de sistemas
plan de pruebas para programas, unidades, sistemas (incluyendo prototipo o en paralelo), conversin, imple-
mentacin, y revisin post-implementacin
consistencia apropiada con los estndares de seguridad y control interno
tareas y programacin de actividades apropiadas para la conversin de datos
la realizacin de pruebas independientemente de aqullas de desarrollo, modificacin o mantenimiento del
sistema
aceptacin formal por parte de los usuarios con respecto a la funcionalidad, seguridad, integridad y riesgo
residual del sistema
Los manuales de operacin para la programacin de actividades, corridas, recuperacin/reinicio, respaldo interno/
respaldo en sitio alterno y solucin de errores consideran:
la separacin fsica y lgica de las libreras de produccin con respecto a las de desarrollo o a las de pruebas
los procedimientos de solucin entre las expectativas de los usuarios y la funcionalidad del sistema entrega-
do y liberado, cuando stos se encuentren en conflicto
Para los proveedores:
la formalidad de las relaciones con los proveedores y la existencia de contratos
la consideracin de servicios especficos y costos
que el desempeo del proveedor es controlado tambin por la metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin
el cumplimiento del proveedor en cuanto a desempeo, fechas lmite y especificaciones de costos de los
contratos
AI6
S P P P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Adquisicin &
Implementacin
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


administracin de cambios


minimizar la probabilidad de interrupciones, alteraciones no autoriza-
das y errores


un sistema de administracin que permita el anlisis, imple-
mentacin y seguimiento de todos los cambios requeridos y
llevados a cabo a la infraestructura de TI actual


identificacin de cambios
procedimientos de categorizacin, priorizacin
y emergencia
evaluacin del impacto
autorizacin de cambios
Administracin de liberacin
distribucin de software
Uso de herramientas automatizadas
Administracin de la configuracin
Rediseo de los procesos del negocio

AI 6 ADMINISTRACIN DE CAMBIOS
8 Entrevistas:
Director de TI
Administracin de la funcin de servicios de informacin
Administracin de desarrollo de sistemas, aseguramiento de la calidad del control de cambios, operaciones y seguridad
Administracin de usuarios seleccionada involucrada en el diseo y utilizacin de aplicaciones de sistemas de informa-
cin

8 Obteniendo:
Polticas y procedimientos organizacionales relacionadas con: planeacin de sistemas de informacin, control de cam-
bios, seguridad y ciclo de vida de desarrollo de sistemas
Polticas y procedimientos de la funcin de servicios de sistemas de informacin relacionadas con: metodologa formal
del ciclo de vida de desarrollo de sistemas, estndares de seguridad, aseguramiento independiente de la calidad,
implementacin, distribucin, mantenimiento, cambios de emergencia, liberacin de software y control de versio-
nes del sistema.
Plan de desarrollo de aplicaciones
Formato y bitcora de requisiciones de control de cambios
Contratos con proveedores relacionados con servicios de desarrollo de aplicacin
1 Inicio y Control de Requerimientos de Cambio
2 Evaluacin del Impacto
3 Control de Cambios
4 Cambios de emergencia
5 Documentacin y Procedimientos
6 Mantenimiento Autorizado
7 Poltica de Liberacin de Software
8 Distribucin de Software
8 Considerando s:
Existe y se utiliza una metodologa para priorizar los requerimientos de los usuarios para cambios al sistema
Se consideran procedimientos de cambios de emergencia en los manuales de operaciones
El control de cambios es un procedimiento formal tanto para los usuarios como para los grupos de desarrollo
La bitcora de control de cambios asegura que todos los cambios mostrados fueron resueltos
El usuario est satisfecho con el resultado de los cambios solicitados - oportunidad y costos
Para una seleccin de cambios en la bitcora de control de cambios:
el cambio trajo como resultado modificaciones en los programas y operaciones
los cambios hayan sido llevados a cabo como fueron documentados
la documentacin actual refleja el ambiente modificado
El proceso de cambios es monitoreado en cuanto a mejoras en el conocimiento, efectividad en el tiempo de respuesta y
satisfaccin del usuario con respecto al proceso
El mantenimiento al sistema de Intercambio de red privada (Private Branch Exchange - PBX) se incluye en los proce-
dimientos de control de cambios
8 Probando que:
Para una muestra de cambios, la administracin ha aprobado los siguientes puntos:
solicitud de cambios
especificacin del cambio
acceso al programa fuente
finalizacin del cambio por parte del programador
solicitud para mover el programa fuente al ambiente de prueba
finalizacin de pruebas de aceptacin
solicitud de compilacin y paso a produccin
determinacin y aceptacin del impacto general y especfico
desarrollo de un proceso de distribucin
La revisin de la documentacin de control de cambios en cuanto a la inclusin de:
fecha del cambio solicitado
persona(s) que lo solicitan
solicitud aprobada de cambios
aprobacin del cambio realizado - funcin de servicios de informacin
aprobacin del cambio realizado usuarios
fecha de actualizacin de documentacin
fecha de paso a produccin
aprobacin del cambio por parte de aseguramiento de la calidad
aceptacin por parte de operaciones
Los tipos de anlisis de cambios realizados al sistema para la identificacin de tendencias
La evaluacin de la adecuacin de las libreras de la funcin de servicios de informacin y la determinacin de la
existencia de niveles de cdigo base para prevenir la regresin de errores
Existen procedimientos para verificar el cdigo sin modificar y modificado para establecer los cambios realizados
La bitcora de control de cambios asegura que todos los cambios fueron resueltos a satisfaccin de los usuarios y que
no se llevaron a cabo cambios que no hayan sido registrados en la bitcora
Los usuarios tienen conciencia y conocimiento de la necesidad de procedimientos formales de control de cambios
El proceso de reforzamiento del personal asegura el cumplimiento de los procedimientos de control de cambios
8 Llevando a cabo:
Mediciones ("Benchmarking") de la administracin de control de cambios contra organizaciones similares o apropia-
dos estndares internacionales reconocidos como buenas prcticas de la industria
Para sistemas seleccionados de la funcin de servicios de informacin:
una verificacin en cuanto a si la documentacin determina el requerimiento o si el cambio del sistema ha
sido aprobado y priorizado por parte de la administracin de las reas usuarias afectadas y el proveedor de
servicios
la confirmacin de la existencia y adecuacin de evaluacin del impacto en formas de control de cambios
la obtencin del conocimiento del cambio a travs de un acuse de recibo de solicitud de cambios de la fun-
cin de servicios de informacin
la asignacin del cambio a los recursos apropiados de desarrollo
la adecuacin de los sistemas y los planes de prueba de los usuarios y sus resultados
la migracin formal de prueba a produccin va grupo de aseguramiento de la calidad
la actualizacin de los manuales de usuario y de operacin para reflejar el cambio
la distribucin de la nueva versin a los usuarios apropiados
8 Identificando:
Para una seleccin de cambios de informacin que:
slo se llevaron a cabo cambios aprobados
todos los cambios han sido considerados
las libreras actuales (fuente y objeto) reflejan los cambios ms recientes
las variaciones en el procedimiento de control de cambios son registradas y consideradas entre:
aplicaciones adquiridas e internas
software de aplicacin y de sistemas
tratamiento del control de cambios por parte del proveedor
ENTREGA & SOPORTE
(DISTRIBUCIN DE SERVICIOS Y SOPORTE)
ENTREGA DE SERVICIOS Y SOPORTE
DS1
S S S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Definicin y administracin de niveles de servicio


establecer una comprensin comn del nivel de servicio reque-
rido


el establecimiento de acuerdos de niveles de servicio
que formalicen los criterios de desempeo contra los
cuales se medir la cantidad y la calidad del servicio


convenios formales
definicin de responsabilidades
tiempos de respuestas y volmenes
cargos
garantas de integridad
convenios de confidencialidad
Criterios de satisfaccin del cliente
Anlisis costo/beneficio de los niveles de
servicio requeridos
Monitoreo y reporte

DS 1 DEFINICIN Y ADMINISTRACION DE NIVELES DE SERVICIO
8 Entrevistas:
Director de Informacin
Administrador del nivel de servicio/contrato de servicios de informacin
Administrador de operaciones de la funcin de servicios de informacin
Administracin de usuarios

8 Obteniendo:
Polticas y procedimientos generales para la organizacin asociadas a las relaciones proveedor/usuario
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con:
Acuerdos de nivel de servicio
Contenido de emisin de reportes operativos, tiempos y distribucin
Mtodos de seguimiento de desempeo
Actividades de accin correctiva
Documentacin de la funcin de servicios de informacin relacionada con:
Reportes de desempeo de nivel de servicio
Algoritmos de cargo y metodologa para calcular cargos
Programas de mejora del servicio
Acciones a seguir ante la ocurrencia de un bajo desempeo
Acuerdos de niveles de servicio con usuarios internos y externos y proveedores de servicio
1 Marco de Referencia para los acuerdos de Nivel de Servicio
2 Aspectos sobre los Acuerdos de Nivel de Servicio
3 Procedimientos de desempeo
4 Monitoreo y Reporte
5 Revisin de Convenios y Contratos de Nivel de Servicio
6 Elementos sujetos a Cargo
7 Programa de Mejoramiento del Servicio
8 Considerando s:
Se identifica por poltica un proceso de acuerdo de nivel de servicio
La participacin en el proceso por parte del usuario se requiere para la creacin y modificacin de acuerdos
Estn definidas las responsabilidades de usuarios y proveedores
La administracin monitorea y emite reportes sobre el logro de los criterios de desempeo de servicio especificados y
sobre todos los problemas encontrados
Existe un proceso de revisin regular llevado a cabo por la administracin
Se identifica un proceso con acciones a tomar en caso de un bajo desempeo
Los acuerdos de nivel de servicio incluyen, pero no se limitan a contar con:
definicin de servicio
costo del servicio
nivel de servicio mnimo cuantificable
nivel de soporte por parte de la funcin de servicios de informacin
disponibilidad, confiabilidad y capacidad de crecimiento
plan de continuidad
requerimientos de seguridad
procedimientos de cambio para cualquier parte del acuerdo
acuerdo por escrito y formalmente aprobado entre el proveedor y el usuario del servicio
revisin/renovacin/no renovacin del perodo efectivo y del nuevo perodo
contenido y frecuencia del reporte de desempeo y pago de servicios
cargos son realistas comparados contra la historia, la industria y las buenas prcticas
clculo de cargos
compromiso de mejoras al servicio
8 Probando que:
Para una muestra de acuerdos de nivel de servicio pasados y en proceso, el contenido incluye:
definicin del servicio
costo del servicio
nivel de servicio mnimo cuantificable
nivel de soporte por parte de la funcin de servicios de informacin
disponibilidad, confiabilidad y capacidad de crecimiento
procedimiento de cambios para cualquier parte del acuerdo
plan de continuidad en caso de desastre/contingencia
acuerdo por escrito y formalmente aprobado entre el proveedor y el usuario del servicio
revisin/renovacin/no renovacin del perodo efectivo y nuevo perodo
contenido y la frecuencia del reporte de desempeo y el pago de servicios
cargos son realistas comparados con la historia, la industria y las buenas prcticas
clculos de cargos
compromiso de mejoras al servicio
aprobacin formal por parte de usuarios y proveedores
Los usuarios apropiados estn conscientes, tienen conocimiento y comprenden los procesos y procedimientos del
acuerdo de nivel de servicio
El nivel de satisfaccin del usuario en cuanto al proceso y acuerdos reales del nivel de servicio actuales es suficiente
El servicio proporciona registros para asegurar razones para un bajo desempeo y para asegurar que existe un progra-
ma para la mejora del desempeo
La precisin de los cargos reales concuerda con el contenido del acuerdo
Se da seguimiento al desempeo histrico comparndolo contra el compromiso de mejora al servicio determinado an-
teriormente
Los reportes sobre el logro del desempeo de servicio especificado son utilizados apropiadamente por la administra-
cin para asegurar un desempeo satisfactorio
Los reportes sobre todos los problemas encontrados son utilizados apropiadamente por la administracin para asegurar
que se toman las acciones correctivas correspondientes
8 Llevando a cabo:
Mediciones ("Benchmarking") de los acuerdos del nivel de servicio contra organizaciones similares o estndares inter-
nacionales apropiados reconocidos como las mejores prcticas de la industria
Una revisin:
del acuerdo de nivel de servicio para determinar que se definen y alcanzan las provisiones cualitativas y
cuantitativas que confirman las obligaciones
del acuerdo de nivel de servicio seleccionado para confirmar que los procedimientos de solucin de proble-
mas, especficamente el desempeo bajo sean incluidos y llevados a cabo

8 Identificando:
La conveniencia de las provisiones que describen, coordinan y comunican la relacin entre el proveedor y el usuario de
los servicios de informacin
Clculos incorrectos para categoras seleccionadas de informacin
Revisiones continuas y acciones correctivas llevadas a cabo por la administracin de reportes del nivel de servicio
La conveniencia de las mejoras a los servicios propuestos en comparacin con el anlisis costo/beneficio
La conveniencia de la capacidad de los proveedores para alcanzar en el futuro los objetivos comprometidos de mejoras
DS2
S S S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


administracin de servicios prestados por terceros


asegurar que los roles y responsabilidades de las terceras partes estn
claramente definidas, que cumplan y continen satisfaciendo los re-
querimientos


medidas de control dirigidas a la revisin y monitoreo de
acuerdos y procedimientos existentes, en cuanto a su efecti-
vidad y suficiencia, con respecto a las polticas de la organi-
zacin


acuerdos de servicio con terceras partes
Administracin de contratos
acuerdos de confidencialidad
requerimientos legales y regulatorios
monitoreo y reporte de la entrega de servicios
Evaluacin de riesgos de la empresa y de TI
Recompensas y sanciones por el desempeo
Contabilidad organizacional interna y externa
Anlisis de costos y de variaciones de los nive-
les de servicio

DS 2 ADMINISTRACIN DE SERVICIOS PRESTADOS POR TERCEROS
8 Entrevistas:
Administrador de contrato/nivel de servicio de servicios de informacin
Administracin de las operaciones de la funcin de servicios de informacin
Oficial de seguridad

8 Obteniendo:
Polticas y procedimientos generales para la organizacin asociadas con los servicios adquiridos y en particular, con
las relaciones con proveedores como terceras partes
Polticas y procedimientos de la funcin de servicios de informacin asociadas con: relaciones con terceras partes, pro-
cedimientos de seleccin de proveedores, contenido de los contratos de dichas relaciones, seguridad lgica y fsi-
ca, mantenimiento de la calidad por parte de los proveedores, planeacin de contingencias y outsourcing
Una lista de todas las relaciones actuales con terceras partes y de los contratos asociados con cada una
El reporte del nivel de servicio relacionado con las relaciones y servicios proporcionados por terceras partes
Las minutas de las reuniones en las que se discuten la revisin de los contratos, la evaluacin del desempeo y la admi-
nistracin de las relaciones
Los acuerdos de confidencialidad para todas las relaciones con terceras partes
Las listas de seguridad de acceso con los perfiles y recursos disponibles para los vendedores
1 Interfases con Proveedores
2 Relaciones de propietarios
3 Contratos con Terceros
4 Calificaciones de Terceros
5 Contratos con Fuentes Externas
6 Continuidad de Servicios
7 Relaciones de Seguridad
8 Monitoreo
8 Considerando s:
Existen polticas y procedimientos de TI asociadas con las relaciones con terceras partes, y si stas son consistentes
con las polticas generales de la organizacin
Existen polticas que consideran especficamente la necesidad de contratos, de una definicin del contenido de los mis-
mos, del propietario o administrador de las relaciones responsable de asegurar la creacin, mantenimiento, moni-
toreo y renegociacin de los contratos
Considerando si, contina
Las interfaces estn definidas para agentes independientes involucrados en la conduccin del proyecto y dems partes
como los subcontratados.
Los contratos representan un registro completo de las relaciones con los proveedores como terceras partes
Los contratos estn establecidos especficamente para la continuidad de los servicios, y que dichos contratos incluyen
una planeacin de contingencias por parte del proveedor para asegurar la continuidad del servicio a los usuarios de
stos
El contenido de los contratos incluye por lo menos lo siguiente:
aprobacin formal administrativa y legal
entidad legal que proporciona los servicios
servicios proporcionados
acuerdos cualitativos y cuantitativos de nivel de servicio
costo de los servicios y frecuencia de su pago
proceso de solucin de problemas
sanciones por bajo desempeo
proceso de disolucin
proceso de modificacin
reporte de servicio - contenido, frecuencia y distribucin
funciones entre las partes del contrato durante la vida del mismo
aseguramiento de continuidad que indica que el servicio ser proporcionado por el proveedor
usuarios de los servicios y procesos y frecuencia de las comunicaciones del proveedor
duracin del contrato
nivel de acceso proporcionado al proveedor
garantas de confidencialidad
derecho a acceso y derecho a auditar
Los acuerdos escritos han sido negociados apropiadamente
Los terceros en potencia se han calificado adecuadamente mediante la evaluacin de sus habilidades para proveer el
servicio requerido (especial cuidado)
8 Probando que:
Se cuenta con la lista de contratos y los contratos actuales son precisos
Ningn servicio es proporcionado por algn proveedor no incluido en la lista de contratos mencionada
Los proveedores mencionados en los contratos efectivamente estn llevando a cabo los servicios definidos
La administracin/los propietarios de los proveedores comprenden su responsabilidad dentro del contrato
Las polticas y procedimientos de la funcin de servicios de informacin asociadas con las relaciones con terceras partes
existen y son consistentes con las polticas generales de la organizacin
Existen polticas que consideran especficamente la necesidad de establecer contratos, la definicin del contenido de los
mismos, del propietario o administrador de la relacin responsable de asegurar que los contratos sean creados, man-
tenidos, monitoreados y renegociados segn se requiera
Los contratos representan un registro completo de las relaciones con los proveedores como terceras partes
Los contratos estn establecidos para asegurar especficamente la continuidad de los servicios, y que dichos contratos
incluyen una planeacin de contingencias por parte del proveedor para asegurar el servicio continuo a los usuarios
El contenido de los contratos incluyen por lo menos lo siguiente:
aprobacin formal administrativa y legal
entidad legal para proporcionar los servicios
servicios proporcionados
acuerdos cuantitativos y cualitativos del nivel de servicio
costo y frecuencia de los servicios y su pago
proceso de solucin de problemas
sanciones por bajo desempeo
proceso de disolucin
proceso de modificacin
reporte de servicios - contenido, frecuencia y distribucin
funciones entre las partes del contrato durante la vida del mismo
aseguramiento de la continuidad de los servicios prestados por el proveedor
usuarios de los servicios y frecuencia del proceso de comunicaciones del proveedor
duracin del contrato
nivel de acceso proporcionado al proveedor
garantas de confidencialidad
derecho de acceso y derechos a llevar a cabo auditoras
Los usuarios tienen conciencia, conocimiento y comprenden la necesidad de contar con polticas de contratos y con los
contratos mismos para proporcionar servicios
Existe una independencia adecuada entre el proveedor y la organizacin
Se dan independientemente la bsqueda y la seleccin de proveedores
La lista de seguridad de acceso incluye nicamente un nmero mnimo de proveedores requeridos, y que dicho acceso es
el mnimo necesario
El acceso de hardware y software a los recursos de la organizacin es administrado y controlado para minimizar su utili-
zacin por parte de los proveedores
El nivel real de servicios proporcionados se compara en gran medida con las obligaciones contractuales
Las instalaciones, personal, operaciones y controles sobre el outsourcing aseguran un nivel de desempeo requerido com-
parable con el esperado
El monitoreo continuo de liberacin y entrega de servicios por parte de terceros es llevado a cabo por la administracin
Se llevan a cabo auditoras independientes a las operaciones llevadas a cabo por el contratista
Existen los reportes de evaluacin para terceros con el fin de evaluar sus capacidades para entregar el servicio requerido
Se conserva la historia de las actividades pasadas y presentes relacionadas con litigios/problemas legales con los provee-
dores
Las interfases de los agentes independientes involucrados en la conduccin del proyecto estn documentadas en el con-
trato.
Los contratos con proveedores PBX (Private Branch Exchange) estn cubiertos
8 Llevando a cabo:
Mediciones ("Benchmarking") de los servicios de terceras partes contra organizaciones similares o estndares internacio-
nales apropiados reconocidos como las mejores prcticas de la industria
Una revisin detallada de cada uno de los contratos de terceras partes para determinar provisiones cualitativas y cuantita-
tivas que confirmen la definicin de las obligaciones
8 Identificando:
Provisiones que describen, coordinan y comunican la relacin entre el proveedor y el usuario de los servicios de informa-
cin
Facturas de terceras parte que reflejan cargos precisos por servicios por contrato seleccionados
El vnculo de la organizacin con los proveedores como terceras partes que asegura la comunicacin de problemas de
contrato entre las partes y los usuarios de los servicios
La aprobacin de todos los contratos por parte de la administracin y el consejo legal
La puesta en prctica de evaluaciones de riesgos para confirmar la necesidad de las relaciones o la necesidad de modifi-
car la relacin
La revisin continua y las acciones correctivas tomadas por la administracin sobre los reportes de contratos
Lo razonable de la aplicacin de los cargos en comparacin con el desempeo interno, externo y de la industria
La existencia de planes de contingencia para todos los servicios contratados, especficamente para los servicios de recu-
peracin en caso de desastre de la funcin de servicios de informacin
Para las funciones de fuentes externas, se cuenta con procedimientos para detectar defectos aparentes u oportunidades
para mejorar el desempeo o reducir costos
La implementacin de recomendaciones contenidas en auditoras independientes llevadas a cabo por la parte contratante
DS3
S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


administracin de desempeo y capacidad


asegurar que la capacidad adecuada est disponible y que se
est haciendo el mejor y ptimo uso de ella para alcanzar el
desempeo deseado


Recoleccin de datos, anlisis y reporte sobre el des-
empeo de los recursos, tamaos de las aplicaciones y
demanda de recursos


requerimientos de disponibilidad y desem-
peo
monitoreo y reporte automatizado
herramientas de modelado
administracin de la capacidad
disponibilidad de recursos
Cambios en los precios/desempeo del
hardware y software
DS 3 ADMINISTRACIN DE DESEMPEO Y CAPACIDAD
8 Entrevistas:
Administracin de operaciones de la funcin de servicios de informacin
Administracin de la capacidad de la funcin de servicios de informacin
Administracin de redes de la funcin de servicios de informacin

8 Obteniendo:
Polticas y procedimientos globales para la organizacin relacionados con la disponibilidad, monitoreo y reporte del
desempeo, pronstico de la carga de trabajo, administracin de la capacidad y programacin de actividades
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: el enlace de la capacidad con el
plan del negocio de los servicios de disponibilidad de la organizacin, la planeacin de la disponibilidad, monito-
reo continuo y la administracin del desempeo
Representaciones del producto por parte del proveedor con respecto a las normas de capacidad y desempeo
Una lista de todos los productos actuales del proveedor en lo referente a hardware, software, comunicaciones y perif-
ricos
Reportes de monitoreo de redes de comunicacin
Minutas de las reuniones en las que se discuten la planeacin de la capacidad, las expectativas de desempeo y la
"afinacin" del desempeo
Documentos de disponibilidad, capacidad, carga de trabajo y planeacin de recursos
Presupuesto de TI anual incluyendo las suposiciones relacionadas con la capacidad y el desempeo
Reportes relacionados con el desempeo operativo dentro de la funcin de servicios de informacin, incluyendo el
reporte y la historia de la solucin de problemas
1 Requerimientos de Disponibilidad y Desempeo
2 Plan de Disponibilidad
3 Monitoreo y Reporte
4 Herramientas de Modelado
5 Administracin Proactiva del desempeo
6 Pronstico de Carga de Trabajo
7 Manejo de Capacidad de Recursos
8 Disponibilidad de Recursos
9 Programacin de actividades para el uso de los Recursos
8 Considerando s:
Los perodos de tiempo y el nivel de servicio estn definidos para todos los servicios proporcionados por la funcin de
servicios de informacin
Los perodos de tiempo y los niveles de servicio reflejan los requerimientos del usuario
Los perodos de tiempo y los niveles de servicio son consistentes con las expectativas de desempeo del potencial del
equipo
Existe un plan de disponibilidad, est actualizado y refleja los requerimientos del usuario
Se lleva a cabo y se reporta un monitoreo continuo del desempeo de todo el equipo y de la capacidad, y si la falta de
un desempeo adecuado es considerada por la administracin y si se consideran formalmente las oportunidades de
mejoras al desempeo
Se monitorea el desempeo ptimo de configuracin utilizando herramientas de modelado para maximizar el desempe-
o y al mismo tiempo, minimizar la capacidad a los niveles requeridos
Los usuarios y los grupos de desempeo operativo revisan proactivamente la capacidad, el desempeo, y si se llevan a
cabo modificaciones a la programacin de actividades relacionadas con la carga de trabajo
El pronstico de la carga de trabajo incluye informacin proporcionada por los usuarios debido a demandas cambiantes
y por los proveedores debido a nueva tecnologa o a mejoras a los productos actuales
8 Probando que:
Las estadsticas sobre reportes de desempeo, capacidad y disponibilidad son precisas, incluyendo una comparacin
entre las explicaciones de las variaciones de desempeo histricas y las pronosticadas
El proceso de cambios para modificar los documentos de planeacin de disponibilidad, capacidad y carga de trabajo
refleja los cambios en la tecnologa o los requerimientos del usuario
Los reportes de anlisis de flujo de trabajo consideran las oportunidades de eficiencia de procesos adicionales
El reporte de informacin del desempeo para los usuarios relacionado con el uso y la disponibilidad, existe, incluyen-
do capacidad programacin de actividades de carga de trabajo y tendencias
Existen procedimientos de escalamiento, stos son seguidos y son apropiados para la solucin de problemas
La fase de post - implementacin de la metodologa de desarrollo de sistemas incluye criterios para determinar el creci-
miento futuro y los cambios a las expectativas de desempeo
Los niveles de soporte proporcionados por la funcin de servicios de informacin son suficientes para apoyar las metas
de la organizacin
8 Llevando a cabo:
Mediciones ("Benchmarking") de la administracin del desempeo y la capacidad contra organizaciones similares o
estndares internacionales apropiados reconocidos como las mejores practicas de la industria
Pruebas de las necesidades continuas del negocio, para asegurar que los trminos y requerimientos de disponibilidad
de TI reflejan adecuadamente estas necesidades
Una revisin del proceso de planeacin de capacidad y recursos para asegurar la modificacin oportuna de los planes,
tomando como base las necesidades cambiantes del negocio
Una verificacin para asegurar que las expectativas de desempeo estn siendo alcanzadas en lo referente a capacidad,
respuesta y disponibilidad
Una comparacin de los requerimientos de desempeo desde una perspectiva de anlisis costo/beneficio, para asegurar
que no existen excedentes de capacidad o recursos
Una verificacin peridica del reporte de desempeo producido y revisado por la administracin
Identificando:
Reportes de desempeo en cuanto a oportunidades de mejora o solucin de debilidades
Las expectativas de desempeo de los usuarios estn siendo satisfechas, y que las modificaciones basadas en cambios
de requerimientos estn siendo reflejadas en el plan
Bitcoras o reportes de problemas que confirmen que los problemas ocurridos durante el procesamiento fueron consi-
derados oportunamente y que se llevaron a cabo las acciones correctivas apropiadas
Problemas especficos encontrados y el aseguramiento de la efectividad del proceso de solucin de problemas
DS4
P S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


asegurar el servicio contnuo


Asegurar de los servicios de TI estn disponibles de acuerdo con los
requerimientos y asegurar un impacto mnimo en el negocio en el
evento que ocurra una interrupcin mayor


teniendo un plan de continuidad probado y funcional, que
est alineado con el plan de continuidad del negocio y rela-
cionado con los requerimientos de negocio


clasificacin con base en la criticidad
procedimientos alternativos
respaldo y recuperacin
pruebas y entrenamiento sistemticos y regula-
res
Procesos de escalamiento y monitoreo
Responsabilidades organizacionales tanto inter-
nas como externas
Planes de reactivacin
Actividades de administracin de riesgos
Anlisis de punto nico de falla
Administracin de problemas
DS 4 ASEGURAR EL SERVICIO CONTINUO
8 Entrevistas:
Administracin de operaciones de la funcin de servicios de informacin
Administracin de continuidad de la funcin de servicios de informacin
Administracin de recursos humanos o entrenamiento
Organizaciones de usuarios con necesidades de reanudacin/continuidad en sus procesos
Administrador del sitio de recuperacin del proveedor
Administrador del almacenamiento fuera del centro de cmputo
Administrador de riesgos/seguros

8 Obteniendo:
Polticas y procedimientos generales para la organizacin relacionados con el proceso de planeacin de recuperacin/
continuidad
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: el marco referencial de conti-
nuidad, el plan, la filosofa, la estrategia, la priorizacin de aplicaciones, el plan de pruebas, los respaldos y rota-
ciones regulares y el entrenamiento de recuperacin de desastres/continuidad
El plan de continuidad de TI
Los usuarios de los servicios de los planes de continuidad
Los resultados de las pruebas mas recientes de los planes de los usuarios relacionados con la continuidad y recupera-
cin del negocio
La metodologa para determinar la priorizacin de aplicaciones en el evento de requerirse su recuperacin
Los contratos de los proveedores que dan soporte a los servicios de continuidad
Polticas de seguros por interrupcin del negocio
1 Marco de Referencia para Continuidad (recuperacin en caso de desastres) de TI
2 Estrategia y Filosofa del Plan de Continuidad de TI
3 Contenido del Plan de Continuidad de TI
4 Reduccin de los Requerimientos de la Continuidad de TI
5 Mantenimiento del Plan de Continuidad de TI
6 Prueba del Plan de Continuidad de TI
7 Capacitacin para el Plan de Continuidad de TI
8 Distribucin del Plan de Continuidad de TI
9 Procedimientos de Respaldo del Procesamiento Alterno en el Departamento Usuario
10 Recursos crticos de TI
11 Respaldo del Sitio y del Hardware
12 Almacenamiento de respaldos en el sitio alterno
13 Procedimientos de Involucramiento
8 Considerando s:
Las polticas organizacionales requieren de un marco referencial de continuidad y de un plan como parte de los reque-
rimientos normales de operacin tanto para la funcin de servicios de informacin como para todas las organiza-
ciones dependientes de los recursos de sistemas de informacin
Las polticas y procedimientos de la funcin de servicios de informacin requieren de:
una filosofa y un marco referencial consistentes en relacin con el desarrollo de un plan de continuidad
una priorizacin de las aplicaciones con respecto a los tiempos de recuperacin y regreso a la operacin normal
una evaluacin de riesgos y la consideracin de seguros por prdidas del negocio en situaciones de continuidad
para la funcin de servicios de informacin, as como para los usuarios de los recursos
una determinacin de funciones y responsabilidades especficas con respecto a la planeacin de continuidad con
pruebas, mantenimiento y requerimientos de actualizacin especficos
un acuerdo de contrato formal con los proveedores que prestan servicios en el evento de requerirse la recupera-
cin, incluyendo instalaciones o relaciones de respaldo, anticipndose a una necesidad real
la inclusin de los siguientes puntos como contenido mnimo en cada plan de continuidad:
Procedimientos de emergencia para garantizar la seguridad de todos los miembros del personal afectados
Funciones y responsabilidades de la funcin de servicios de informacin, de los proveedores que prestan ser-
vicios de recuperacin, de los usuarios de los servicios y del personal administrativo de soporte
Un marco referencial de recuperacin consistente con un plan de continuidad a largo plazo
Una lista de los recursos de sistemas que requieren alternativas (hardware, perifricos, software)
Una lista de las aplicaciones priorizadas de mayor a menor, de los tiempos de recuperacin requeridos y de
las normas de desempeo esperadas
Funciones administrativas para comunicar y proporcionar servicios de soporte tales como beneficios, nmina,
comunicacin externa, seguimiento de costos, etc. en el evento de requerirse la recuperacin
Escenarios de desastre varios, desde las prdidas mnimas hasta la prdida total de la capacidad y respuesta a
cada una en suficiente detalle para llevar a cabo una ejecucin paso a paso.
La identificacin de equipo especfico y necesidades de suministros tales como impresoras de alta velocidad,
firmas, formatos, equipo de comunicacin, telfonos, etc., as como de una fuente y otras fuentes alternativas
definidas
El entrenamiento, concientizacin y el conocimiento de las funciones individuales y de equipo en el plan con-
tinuidad
La programacin de pruebas, los resultados de la ltima prueba y las acciones correctivas llevadas a cabo
tomando como base la(s) prueba(s) anterior(es)
El detalle de los proveedores de servicios contratados, de los servicios y de la expectativas de respuesta
La informacin logstica de la localizacin de recursos claves, incluyendo el centro de cmputo de respaldo
para la recuperacin de sistemas operativos, aplicaciones, archivos de datos, manuales de operacin y docu-
mentacin de programas/sistema/usuarios
Los nombres, direcciones, nmeros de telfono/ "localizadores" (pagers) actuales del personal clave
La inclusin de los planes de reconstruccin para la recuperacin en la ubicacin original de todos los siste-
mas y recursos
Las alternativas de reanudacin del negocio para todos los usuarios estableciendo sitios de trabajo alternativo,
una vez que los recursos de sistemas de informacin estn disponibles (por ejemplo, el sistema ha sido recu-
perado en el sitio alterno pero el edificio de los usuarios sufri un incendio y no est disponible)
Los requerimientos de la agencia reguladora con respecto a la planeacin de continuidad estn siendo satisfechos
Los planes de contingencia para usuarios son desarrollados tomando como base la no disponibilidad de los recursos
fsicos para llevar a cabo procesamientos crticos - manuales y computarizados
Los sistemas de telefona, Correo de Voz, fax y sistemas de imgenes son parte del plan de continuidad
Los sistemas de imgenes, los sistemas de fax, los documentos en papel as como los microfilm y los medios de alma-
cenamiento masivo son parte del plan de continuidad.
8 Probando que:
Existen planes de continuidad, que ste es actual y que es comprendido por todas las partes afectadas
Se ha proporcionado a todas las partes involucradas un plan regular de entrenamiento de continuidad
Se han seguido todas las polticas y procedimientos relacionadas con el desarrollo del plan
El contenido del plan tiene como base el contenido descrito anteriormente, y que:
los objetivos del plan de contingencia han sido alcanzados
se ha seleccionado a las personas apropiadas para llevar a cabo funciones de liderazgo
el plan ha recibido las revisiones y aprobaciones apropiadas por parte de la administracin
el plan ha sido probado recientemente y que ste trabaj de acuerdo con lo esperado, o que cualquier defi-
ciencia encontrada trajo como resultado la aplicacin de correcciones al plan
existe un vnculo entre el plan de continuidad y el plan de negocios de la organizacin
los procedimientos manuales alternativos son documentados y probados como parte de la prueba global
Se han dado el entrenamiento y la concientizacin de los usuarios y del personal de la funcin de servicios de informa-
cin en cuanto a funciones, tareas y responsabilidades especficas dentro del plan
Las relaciones y tiempos del proveedor contratado son consistentes con las expectativas y necesidades del usuario
El contenido del sitio de respaldo est actualizado y es suficiente con respecto a los procedimientos normales de rota-
cin en el sitio alterno (off-site)
8 Llevando a cabo:
Mediciones ("Benchmarking") de la planeacin de la continuidad contra organizaciones similares o estndares interna-
cionales apropiados considerados como buenas prcticas en la industria
los objetivos del plan para asegurar una estrategia apropiada y una interfase con la estrategia de continuidad
general del negocio
Un entendimiento apropiado de las responsabilidades individuales con respecto a proporcionar liderazgo co-
mo coordinadores del plan
el plan es revisado y aprobado por los niveles apropiados de la presidencia
los miembros seleccionados de la funcin de servicios de informacin y del departamento usuario para verifi-
car que las necesidades del negocio estn incluidas en el plan de continuidad
los procedimientos de usuario para el procesamiento de datos manual alternativo para asegurar que stos es-
tn documentados por los departamentos usuarios con el fin de ser utilizados cuando ocurra un desastre, y
hasta que haya posibilidad de restaurar las operaciones despus del desastre
los suministros de aplicacin especficos, para asegurar que existe inventario suficiente en un sitio de almace-
namiento alterno (por ejemplo, cintas magnticas, reserva/inventario de cheques, reserva/inventario de certi-
ficados, etc.)
8 Identificando:
Los contratos de los proveedores para verificar los tiempos para obtener suministros y la suficiencia de detalles del
servicio, oportunidad, niveles de servicio y costos
Las provisiones para adquirir componentes de redes o de telecomunicaciones especializadas
Varios escenarios como parte del plan para suspensiones temporales o permanentes
La priorizacin de aplicaciones ocurridas en forma consistente con las expectativas de los usuarios
Que existen contratos por escrito para instalaciones de centro de cmputo externas proporcionales a las necesidades
Velocidad, respuesta, disponibilidad y soporte de procesamiento del centro de cmputo alternativo, suficientes para los
requerimientos de los usuarios
Plan(es) de continuidad del (de los) proveedor(es) para asegurar la continuidad de sus servicios en caso de desastre
La lejana de los servicios alternativos del proveedor con respecto al sitio original, con el fin de eliminar la posibilidad
de desastres mutuos
Pruebas peridicas del plan, habiendo ocurrido ajustes al plan basndose en pruebas
Al personal usuario y de la funcin de servicios de informacin, asegurndose que haya recibido regularmente entrena-
miento sobre el plan de continuidad
La existencia de equipos, funciones y responsabilidades de reconstruccin similares, as como pruebas para migrar el
procesamiento desde el lugar de procesamiento alternativo al sitio original
DS5
S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


garantizar la seguridad de sistemas


salvaguardar la informacin contra uso no autorizados, divulga-
cin, modificacin, dao o prdida


controles de acceso lgico que aseguren que el acceso a
sistemas, datos y programas est restringido a usuarios
autorizados


Requerimiento de confidencialidad y privacidad
Autorizacin, autenticacin y control de acceso
identificacin de usuarios y perfiles de autorizacin
Necesidad de tener y necesidad de conocer
administracin de llaves criptogrficas
manejo, reporte y seguimiento de incidentes
Prevencin y deteccin de virus
Firewalls
Administracin centralizada de la seguridad
Entrenamiento de usuarios
Herramientas para el monitoreo del cumplimiento
Pruebas y reportes de intrusin

DS 5 GARANTIZAR LA SEGURIDAD DE SISTEMAS
8 Entrevistas:
Oficial de seguridad Senior de la organizacin
Administracin de la seguridad y presidencia de TI
Administrador de la base de datos de TI
Administrador de la seguridad de TI
Administracin de desarrollo de aplicaciones de TI

8 Obteniendo:
Polticas y procedimientos globales para la organizacin referentes a la seguridad y el acceso de los sistemas de infor-
macin
Polticas y procedimientos de TI relacionadas con: seguridad y acceso a los sistemas de informacin
Polticas y procedimientos relevantes, as como requerimientos de seguridad legales y regulatorios de los sistemas de
informacin (por ejemplo, leyes, regulaciones, lineamientos/guas, estndares de la industria) incluyendo:
procedimientos de administracin de cuentas de usuario
1 Manejo de las Medidas de Seguridad
2 Identificacin, Autenticacin y Acceso
3 Seguridad de Acceso a Datos en Lnea
4 Administracin de Cuentas de Usuario
5 Revisin Gerencial de Cuentas de Usuario
6 Control de Usuario de las Cuentas de Usuario
7 Vigilancia de Seguridad
8 Clasificacin de Datos
9 Administracin Centralizada de Identificacin y Derechos de Acceso
10 Reportes de Actividades de Violacin y Seguridad
11 Manejo de Incidentes
12 Re-acreditacin
13 Contrapartes confiables
14 Autorizacin de Transaccin
15 No Rechazo
16 Ruta Confiable
17 Proteccin de las Funciones de Seguridad
18 Administracin de Llaves Criptogrficas
19 Prevencin, Deteccin y Correccin del Software Daino
20 Arquitectura de Firewalls y Conexiones con las Redes Pblicas
21 Proteccin del Valor Electrnico
poltica de seguridad del usuario o de proteccin de la informacin
estndares relacionados con el comercio electrnico
esquema de clasificacin de datos
inventario de software de control de acceso
plano de los edificios/cuartos que contienen recursos de sistemas de informacin
inventario o esquema de los puntos de acceso fsico a los recursos de sistemas de informacin (por ejem-
plo, mdems, lneas telefnicas y terminales remotas)
procedimientos de control de cambios de software de seguridad
procedimientos de seguimiento, solucin y escalamiento de problemas
reportes de violaciones a la seguridad y procedimientos de revisin administrativa
inventario de dispositivos de encriptacin de datos y de estndares de encriptacin
lista de los proveedores y clientes con acceso a los recursos del sistema
lista de los proveedores de servicios utilizados en la transmisin de datos
prcticas de administracin de redes relacionadas con pruebas continuas de seguridad
copias de los contratos de los proveedores de servicios de transmisin de datos
copias de documentos firmados por lo usuarios relacionados con seguridad y concientizacin
contenido del material de entrenamiento de seguridad para nuevos empleados
reportes de auditora de auditores externos, proveedores de servicios como terceras partes y dependen-
cias gubernamentales relacionadas con la seguridad de los sistemas de informacin
8 Considerando s:
Se cuenta con un plan de seguridad estratgico que proporcione una direccin y control centralizados sobre la seguridad de
los sistemas de informacin, as como requerimientos de seguridad de usuario, como soporte
Se cuenta con una organizacin de seguridad centralizada responsable de asegurar el acceso apropiado a los recursos del sis-
tema
Se cuenta con un esquema de clasificacin de datos en operacin que indique que todos los recursos del sistema cuentan con
un propietario responsable de su seguridad y contenido
Se cuenta con perfiles de seguridad de usuario que representen los menos accesos requeridos y que muestren revisiones
regulares a los perfiles por parte de la administracin con fines de reacreditacin
El entrenamiento de los empleados incluye un conocimiento y conciencia sobre seguridad, las responsabilidades de los pro-
pietarios y los requerimientos de proteccin contra virus
Se cuenta con reportes de fallas a la seguridad y procedimientos formales de solucin de problemas. Estos reportes debern
incluir:
intentos no autorizados de acceso al sistema (sign on)
intentos no autorizados de acceso a los recursos del sistema
intentos no autorizados para consultar o modificar las definiciones y reglas de seguridad
privilegios de acceso a recursos por ID de usuario
modificaciones autorizadas a las definiciones y reglas de seguridad
accesos autorizados a los recursos (seleccionados por usuario o recurso)
cambio de estatus de la seguridad del sistema
accesos a las tablas de parmetros de seguridad del sistema operativo
Existen mdulos criptogrficos y procedimientos de mantenimiento de llaves, si stos son administrados centralizadamente y
si son utilizados para todas las actividades de acceso externo y de transmisin
Existen estndares de administracin de llaves criptogrfica tanto para la actividad centralizada como para la de los usuarios
Los controles de cambios al software de seguridad son formales y consistentes con los estndares normales de desarrollo y
mantenimiento de sistemas
Los mecanismos de autenticidad en uso proveen las siguientes facilidades:
uso individual de datos de autenticacin (Ej., passwords nunca son reutilizados)
autentificacin mltiple (Ej., se utilizan dos o ms mecanismos de autenticacin diferentes)
autenticacin basada en polticas (Ej., capacidad para especificar procedimientos de autenticacin separados para
eventos especficos)
Autenticacin por demanda (Ej., habilidad para re-autenticar al usuario otras veces despus de la autentificacin
inicial)
El nmero de sesiones concurrentes correspondientes al mismo usuario estn limitadas
Al ingresar al sistema, aparece un mensaje de advertencia preventivo en relacin al uso adecuado del hardware, software o
conexin.
Se despliega una pantalla de advertencia antes de completar la entrada para informar al lector que los accesos no autorizados
podran causar responsabilidades legales
Al lograrse la sesin exitosamente, se despliega el historial de los intentos exitosos y fallidos de acceso a la cuenta del usuario
La poltica de password incluye:
Forzar el cambio inicial de password la primera vez de uso
longitud adecuada mnima del password
la frecuencia obligada mnima de cambio de password
verificacin del password en la lista de valores no permitidos (Ej., verificacin de diccionario)
proteccin adecuada para los passwords de emergencia
El procedimiento formal para resolucin de problemas incluye:
ID de usuario suspendido despus de 5 intentos de entrada fallidos
Fecha del ltimo acceso y el nmero de intentos fallidos se despliega al usuario autorizado una vez ingresado
El tiempo de autenticacin se limita a 5 minutos, despus del cual se concluye la sesin
Se le informa al usuario la suspensin, pero no la razn de la misma
Los procedimientos de marcacin telefnica incluyen autenticacin basada en token o dial-back, cambios frecuentes del
nmero telefnico, firewalls de hardware y software para restringir el acceso a los activos y cambios frecuentes de las
claves de acceso y desactivacin de las claves de acceso de los empleados temporales
Los mtodos de control por ubicacin fsica se utilizan para aplicar restricciones adicionales a las ubicaciones especficas
El acceso al servicio de correo de voz y el sistema PBX est controlado con los mismos controles fsicos y lgicos de los
sistemas computacionales
El refuerzo a las polticas relacionadas con cargos sensitivos, incluyen:
se les pide a los empleados en puestos sensitivos que permanezcan alejados de la organizacin durante un periodo
adecuado de tiempo cada ao calendario (perodo de vacaciones; durante ste tiempo su user ID es suspendido; y la
persona que reemplaza a el empleado es instruido en el sentido que debe notificar a la administracin si nota cual-
quier anormalidad relacionada con la seguridad)
la rotacin de personal involucrado en actividades sensitivas, sin previa notificacin, se realiza de tiempo en tiempo
El hardware y software de seguridad, as como los mdulos criptogrficos, estn protegidos contra la intromisin o divulga-
cin, el acceso se limita a la base de la necesidad de conocer
El acceso a los datos de seguridad as como la administracin de la seguridad, datos de transacciones sensitivas, passwords y
llaves criptogrficas se limita a la base de la necesidad de conocer
Se utilizan rutas confiables para transmitir informacin sensitiva no encriptada
Para evitar la negacin del servicio por ataques con faxes basura, se toman medidas de seguridad como:
evitar la publicacin de nmeros de fax fuera de la organizacin en la base de necesidad de conocer
las lneas de fax utilizadas para solicitudes del negocio no se utilizan con otros fines
Las medidas de control detectivo y preventivo han sido establecidas por la administracin para prevenir y detectar virus de
computador
Para reforzar la integridad de los valores electrnicos, se toman las medidas:
facilidades de lector de tarjeta protegido contra la destruccin, publicacin o modificacin de la informacin de la
tarjeta
la informacin de la tarjeta (PIN y dems informacin) se protege contra la divulgacin de intruso
se evita la falsificacin de las tarjetas
Para reforzar la proteccin de las facilidad de seguridad, se toman medidas:
el proceso de identificacin y autenticacin requiere ser repetido despus de un cierto periodo de inactividad
un botn de bloqueo del sistema, un botn para forzar la salida o una secuencia de salida se puede activar cuando la
terminal se deja desatendida
8 Probando que:
TI cumple con los estndares de seguridad relacionados con:
autenticacin y acceso
administracin de perfiles de usuario y clasificacin de la seguridad de datos
reportes y revisin gerencial de las violaciones e incidentes de seguridad
estndares de administracin de llaves criptogrficas
Deteccin, resolucin y comunicacin sobre virus
clasificacin y propiedad de datos
Existen procedimientos para la requisicin, establecimiento y mantenimiento del acceso de usuarios al sistema
Existen procedimientos para el acceso externo de recursos del sistema, por ejemplo, "logon, ID, password o contrasea
y dial back
Se lleva un inventario de los dispositivos de acceso al sistema para verificar su suficiencia
Los parmetros de seguridad del sistema operativo tienen como base estndares locales/del proveedor
Las prcticas de administracin de seguridad de la red son comunicadas, comprendidas e impuestas
Los contratos de los proveedores de acceso externo incluyen consideraciones sobre responsabilidades y procedimientos de
seguridad
Existen procedimientos de logon vigentes para sistemas, usuarios y para el acceso de proveedores externos
Se emiten reportes de seguridad en cuanto a la oportunidad, precisin y respuesta gerencial a incidentes
Existen llaves secretas para la transmisin
Los procedimientos para la proteccin contra software malicioso incluyen:
todo el software adquirido por la organizacin se revisa contra los virus antes de su instalacin y uso
existe una poltica por escrito sobre descargue de archivos, aceptacin y uso de software, freeware y shareware y
esta poltica est vigente
el software para aplicaciones altamente sensibles est protegido por MAC (Messsage Authentication Code- Cdi-
go de Autentificacin de Mensajes) o firma digital, y se utilizan mecanismos, fallas de verificacin para evitar el
uso del software
los usuarios tienen instrucciones para la deteccin y reportes de virus, como el desempeo lento o crecimiento
misterioso de archivos
existe una poltica y un procedimiento vigente para la verificacin de disquetes obtenidos por fuera del programa
de compra normal de la organizacin
Los firewalls poseen por lo menos las siguientes propiedades:
todo el trfico de adentro hacia fuera y viceversa debe pasar por estos firewalls (esto no debe limitarse a los contro-
les lgicos, debe reforzarse fsicamente)
slo se permitir el paso al trfico autorizado, como se define en la poltica de seguridad local
los firewalls por s mismo es inmune a la penetracin
el trfico de intercambio en el firewall se lleva a cabo en la capa de aplicacin nicamente
la arquitectura del firewall combina las medidas de control tanto a nivel de la red como de la aplicacin
la arquitectura del firewall refuerza la discontinuidad de un protocolo en la capa de transporte
la arquitectura del firewall debe estar configurada de acuerdo a la filosofa de arte mnimo
la arquitectura del firewall debe desplegar slida autentificacin para la administracin y sus componentes
la arquitecura del firewall oculta la estructura de la red interna
la arquitectura del firewall provee una auditora de todas las comunicaciones hacia o a travs del sistema del fire-
wall y activar alarmas cuando se detecte alguna actividad sospechosa
el host de la organizacin, que provee el soporte para las solicitudes de entrada al servicio de las redes pblicas,
permanece fuera del firewall
la arquitectura del firewall se defiende de los ataques directos (Ej., a travs del monitoreo activo de la tecnologa de
reconocimiento de patrones y trfico)
todo cdigo ejecutable se explora en busca de cdigos maliciosos (Ej., virus, applets dainos) antes de introducirse
8 Llevando a cabo:
Mediciones (Benchmarking) de la seguridad de los sistemas de informacin contra organizaciones similares o estndares
internacionales apropiados reconocidos con mejores prcticas de la industria
Una revisin detallada de la seguridad de los sistemas de informacin, incluyendo evaluaciones de penetracin de la seguri-
dad fsica y lgica de los recursos computacionales y de comunicaciones, etc.
Entrevistas a los nuevos empleados para asegurar el conocimiento y la conciencia en cuanto a seguridad y en cuanto a las
responsabilidades individuales, por ejemplo, confirmar la existencia de declaraciones de seguridad firmadas y el entre-
namiento para nuevos empleados en cuanto a seguridad
Entrevistas a usuarios para asegurar que el acceso est determinado tomando como base la necesidad (menor necesidad) y
que la precisin de dicho acceso es revisada regularmente por la gerencia
8 Identificando:
Accesos inapropiados por parte de los usuarios a los recursos del sistema
Inconsistencias con el esquema o inventario de redes en relacin con puntos de acceso faltantes, accesorios faltantes, etc.
Deficiencias en los contratos en cuanto a la propiedad y responsabilidades relacionadas con la integridad y seguridad de los
datos en cualquier punto de la transmisin entre el envo y la recepcin
Empleados no verificados como usuarios legtimos o empleados ya retirados que cuenten an con acceso
Requisiciones informales o no aprobadas de acceso a los recursos del sistema
Software de monitoreo de redes que no indique a la administracin de redes las fallas a la seguridad
Defectos en los procedimientos de control de cambios del software de redes
La no utilizacin de llaves secretas en los procedimientos de emisin/recepcin de terceras partes
Deficiencias en los protocolos para generacin de llaves, almacenamiento de distribucin, entrada, uso, archivo y proteccin
La falta de software actualizado para la deteccin de virus o de procedimientos formales para prevenir, detectar, corregir y
comunicar contaminaciones
DS6
P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


identificacin y asignacin de costos


asegurar un conocimiento correcto de los costos atribuibles a los servi-
cios de TI


un sistema de contabilidad de costos que asegure que stos
sean registrados, calculados y asignados a los niveles de
detalle requeridos y a los apropiados servicios ofrecidos


recursos identificables y medibles
procedimientos y polticas de cargo
Procesos de tarifas de cargos y reembolso de
cargos
Enlace con los acuerdos de nivel de servicio
Reportes automatizados
Verificacin del reconocimiento de beneficios
Benchmarking externo
DS 6 IDENTIFICACIN Y ASIGNACIN DE COSTOS
8 Entrevistas:
Gerencia administrativa o de asignacin de costos de TI
Administracin de usuarios seleccionada que es sujeta de costos y por lo tanto de recepcin de facturas

8 Obteniendo:
Polticas y procedimientos generales para la organizacin relacionadas con la planeacin y la preparacin del presu-
puesto
Polticas y procedimientos de la funcin de servicios de informacin relacionados con metodologas de agregacin de
costos y facturacin, as como reportes de desempeo/costos
Los siguientes elementos de TI:
Presupuesto actual y del ao anterior
Reportes de seguimiento de la utilizacin de los recursos de los sistemas de informacin
Datos fuente utilizados en la preparacin de los reportes de seguimiento
Metodologa o algoritmo de asignacin de costos
Reportes histricos de facturacin
Los siguientes elementos de la administracin de usuarios:
Presupuesto actual y del ao anterior para los costos de TI
Plan de desarrollo y mantenimiento de sistemas de informacin del ao en curso
Gastos presupuestados para los recursos de sistemas de informacin, incluyendo aquellos facturados o absor-
bidos
1 Elementos Sujetos a Cargo
2 Procedimientos de Costeo
3 Procedimientos de Cargo y Facturacin a Usuarios
8 Considerando s:
La funcin de servicios de informacin cuenta con un grupo responsable de reportar y emitir facturas a los usuarios
Existen procedimientos que:
creen un plan anual de desarrollo y mantenimiento con la identificacin de prioridades por parte del usuario en
cuanto a desarrollo, mantenimiento y gastos operacionales
permitan a los usuarios una determinacin de muy alto nivel en cuanto a en qu se gastan los recursos de la fun-
cin de servicios de informacin
generen un presupuesto anual para la funcin de servicios de informacin, incluyendo:
Cumplimiento con los requerimientos organizacionales en cuanto a la preparacin de presupuestos
Consistencia en cuanto a cules costos deben ser asignados por los departamentos usuarios
Comunicacin de costos histricos, suposicin de nuevos costos para la comprensin del usuario en cuanto
a cules costos son incluidos y facturados
Autorizacin del usuario de todos los costos presupuestados a ser asignados por la funcin de servicios de
informacin
Frecuencia de la emisin de reportes y cargo real de costos a los usuarios
seguimiento de los costos asignados de todos los recursos de los sistemas de informacin, pero sin limitarse a:
Hardware operacional
Equipo perifrico
Utilizacin de telecomunicaciones
Desarrollo y soporte de aplicaciones
Gastos operacionales administrativos
Costos de servicios de proveedores externos
Help Desk
Instalaciones y mantenimiento
Costos directos e indirectos
Gastos fijos y variables
Costos discrecionales y prdidas
emisin regular de reportes para los usuarios en cuanto al desempeo para las distintas categoras de costos
reporten a los usuarios en cuanto a mediciones (benchmarks) externas relacionadas con la efectividad de costos,
con el fin de permitir una comparacin contra las expectativas de la industria u otras fuentes alternativas de servi-
cios para los usuarios
permitan la modificacin oportuna de la asignacin de costos para reflejar los cambios en las necesidades del ne-
gocio
aprueben y acepten formalmente los cargos como son recibidos
identifiquen las oportunidades de mejora de la funcin de servicios de informacin para reducir las facturaciones o
para obtener un mejor valor por los cargos
Los reportes aseguran que los elementos sujetos a cargo son identificables, medibles y predecibles
Los reportes capturan y resaltan los cambios en los componentes de costos o en el algoritmo de asignacin
8 Probando que:
Existe una metodologa de asignacin de costos, que los usuarios estn de acuerdo en cuanto a su equidad, y que gene-
ra tanto costos como reportes y reclculos para la confirmacin de los costos
Existe un programa de mejora para reducir costos o aumentar el desempeo de los recursos de los sistemas de informa-
cin existentes
Los procesos de asignacin y reporte fomentan un uso ms apropiado, efectivo y consistente de los recursos computa-
cionales, que stos aseguran el tratamiento justo de los departamentos usuarios y sus necesidades, y que los cargos
reflejan los costos asociados con la prestacin de servicios
8 Llevando a cabo:
Mediciones (Benchmarking) de la metodologa para la contabilidad de costos y facturacin contra organizaciones
similares o estndares internacionales apropiados reconocidos como mejores prcticas de la industria.
156
Un reclculo de la facturacin a partir de datos sujetos a anlisis, a travs de un algoritmo de asignacin de facturacin
y dentro del flujo de reportes a usuarios
La precisin de los datos en el reporte de desempeo, como:
utilizacin de CPU
utilizacin de perifricos
utilizacin de DASD (dispositivos de acceso directo, discos)
lneas de cdigo escritas
lneas/pginas impresas
modificaciones a programas llevadas a cabo
nmero de PCs, telfonos, archivos de datos
consultas al Help Desk
nmero, duracin de las transmisiones
La compilacin de los datos fuente de recursos en el reporte de desempeo es correcta
Se cuenta con el algoritmo real para compilar y asignar costos a facturacin
La precisin de la facturacin a usuarios especficos sea probada frecuentemente
Las facturaciones a usuarios sean aprobadas
Se lleven a cabo revisiones de consistencia de la facturacin entre los diferentes usuarios
El progreso en el plan de desarrollo de usuarios tenga como base los costos expendidos
Se lleve a cabo una revisin de la distribucin de reportes en cuanto a utilizacin e informacin de costos
La satisfaccin del usuario en cuanto a :
lo razonable de la facturacin comparada con las expectativas presupuestadas
el plan de desarrollo anual contra los costos facturados
lo razonable de la facturacin comparada con las fuentes alternativas, por ejemplo benchmarks
la comunicacin de tendencias que incrementara/decrementara la facturacin
solucin de las variaciones comparadas contra la facturacin esperada
8 Identificando:
Oportunidades para una mayor efectividad y propiedad de la metodologa de facturacin
incluyendo ms componentes de costos
modificando los ndices o unidades de medida de asignacin de costos
modificando el algoritmo mismo de costos
mecanizando o integrando la funcin de contabilidad con equipo y reportes generados por aplicaciones
Inconsistencias dentro del algoritmo de asignacin
Inconsistencias de asignacin entre diferentes usuarios
Oportunidades para la mejora de recursos de sistemas
Oportunidades para el usuario con el fin de aplicar de una mejor manera los recursos de servicios de informacin para
alcanzar los requerimientos de negocios del usuario
Mejoras en la eficiencia de los procesos de recopilacin, acumulacin, asignacin, reporte y comunicacin, los cuales
se traducirn en un mejor desempeo o menor costo para los usuarios de los servicios proporcionados
Que las tendencias de costos reflejadas por las variaciones y el anlisis hayan sido traducidas a cargos modificados en
los perodos siguientes y hayan sido reflejadas en la estructura de costos
Que existen oportunidades para hacer de la funcin de servicios de informacin un centro de obtencin de utilidades
que centraliza los costos proporcionando servicios a otros usuarios internos o externos
Si la funcin de servicios de informacin es un centro de obtencin de utilidades, que la contribucin de dichos benefi-
cios contra el plan y el presupuesto sea alcanzada y que destaquen las oportunidades para aumentar los beneficios.
157
C COBI OBIT T
DS7
S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


educacin y entrenamiento de usuarios


asegurar que los usuarios estn haciendo un uso efectivo de la tecnolo-
ga y estn conscientes de los riesgos y responsabilidades involucrados


un plan completo de entrenamiento y desarrollo


Programa de entrenamiento
Inventario de habilidades
campaas de concientizacin
tcnicas de concientizacin
Usos de nuevas tecnologas y mtodos de entre-
namiento
Productividad personal
Desarrollo de base de conocimientos

158
DS 7 EDUCACIN Y ENTRENAMIENTO DE USUARIOS
8 Entrevistas:
Administrador de entrenamiento o recursos humanos de la organizacin
Administrador de entrenamiento o de recursos humanos de TI
Administradores y empleados seleccionados de TI
Administradores y empleados seleccionados de los departamentos usuarios

8 Obteniendo:
Polticas y procedimientos generales para la organizacin con respecto al entrenamiento sobre controles y conciencia
de seguridad, beneficios para los empleados enfocados al desarrollo, programas de entrenamiento para los usua-
rios de servicios, instalaciones educacionales y requerimientos de educacin continua profesional
Programas, polticas y procedimientos de entrenamiento y de educacin de TI relacionados con concientizacin en
controles y seguridad, controles y seguridad tcnica
Programas de entrenamiento disponibles (tanto internos como externos) para concientizacin en controles y seguridad
introductorios y continuos as como entrenamiento dentro de la organizacin
1 Identificacin de necesidades de entrenamiento
2 Organizacin de Entrenamiento
3 Entrenamiento sobre principios y conciencia de Seguridad
8 Considerando s:
Existen polticas y procedimientos relacionados con una concientizacin continua de seguridad y controles
Se cuenta con un programa de educacin/entrenamiento enfocado a los principios de seguridad y control de los siste-
mas de informacin
Los nuevos empleados tienen conocimiento y conciencia de la responsabilidad de seguridad y control con respecto a la
utilizacin y la custodia de los recursos de TI
Se cuenta con polticas y procedimientos vigentes relacionados con entrenamiento y si stos estn actualizados con
respecto a la configuracin tcnica de los recursos de TI
Existe disponibilidad de oportunidades y frecuencia de entrenamiento interno, considerando tambin la asistencia de
los empleados
Existe disponibilidad de oportunidades y frecuencia de entrenamiento tcnico externo, considerando tambin la asisten-
cia de los empleados
Si una funcin de entrenamiento es analizada con base en las necesidades de entrenamiento del personal con respecto a
seguridad y controles, trasladando estas necesidades en oportunidades de entrenamiento interno o externo
Se requiere a todos los empleados asistir a entrenamientos de conciencia de control y seguridad continuamente, los cua-
les incluiran, sin limitarse a:
159
C COBI OBIT T
principios generales de seguridad de sistemas
conducta tica de TI
prcticas de seguridad para la proteccin contra daos ocasionados por fallas que afecten la disponibilidad,
confidencialidad, integridad y desempeo de las funciones en una forma segura
existen las responsabilidades asociadas con la custodia y utilizacin de los recursos de TI
la seguridad de la informacin y los sistemas de informacin cuando se utilizan en un sitio alterno/externo
La entrenamiento sobre concientizacin en seguridad incluye una poltica para evitar la exposicin de la informacin
sensitiva a travs de conversaciones (Ej., avisando el estatus de la informacin a todas las personas que toman
parte en la conversacin)
8 Probando que:
Los nuevos empleados tienen conciencia y conocimiento de la seguridad, controles y responsabilidades fiduciarias de
poseer y utilizar recursos de TI
Las responsabilidades de los empleados con respecto a la confidencialidad, integridad, disponibilidad, confiabilidad y
seguridad de todos los recursos de TI es comunicada continuamente
Un grupo de la funcin de TI es formalmente responsable del entrenamiento para el personal de TI, sobre concientiza-
cin en seguridad y control y mantenimiento de programas de educacin continua para certificaciones profesiona-
les
Se considera continuamente la evaluacin de las necesidades de entrenamiento para empleados
El desarrollo o la participacin en los programas de entrenamiento relacionados con seguridad y controles es parte de
los requerimientos de entrenamiento
Existen programas de entrenamiento vigentes para concientizar a los nuevos y antiguos empleados en seguridad
Los acuerdos de confidencialidad y conflicto de intereses son firmados por todos los empleados
No faltan estatutos de confidencialidad y conflicto de intereses para empleados
No faltan evaluaciones de necesidades de entrenamiento para empleados
8 Llevando a cabo:
Una revisin de los manuales de entrenamiento en cuanto a su adecuacin y suficiencia con respecto a controles de
seguridad, confidencialidad, confiabilidad, disponibilidad e integridad
Entrevistas al personal de TI para determinar la identificacin de necesidades de entrenamiento y la extensin o satis-
faccin de tales necesidades

8 Identificando:
Inconsistencias en los programas ofrecidos como respuesta a las necesidades de entrenamiento
Deficiencias en la concientizacin de los usuarios en cuanto a problemas de seguridad y control relacionados con la
utilizacin de los recursos de TI
160
DIRECTRICES DE AUDIT DIRECTRICES DE AUDITORIA ORIA
161
C COBI OBIT T
DS8
P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Apoyo y asistencia a los clientes


asegurar que cualquier problema experimentado por los usuarios sea
atendido apropiadamente


Una facilidad de Help Desk
18
que proporcione soporte y
asesora de primera lnea


consultas de usuarios y respuesta a problemas
monitoreo de consultas y despacho
anlisis y reporte de tendencias
Desarrollo de una base de conocimientos
Anlisis de las causas de originan los problemas
Seguimiento y escalamiento de problemas

18
Help Desk: Mesa de control y ayuda /area que da
soporte inicial a los usuarios y que escala los
problemas
162
DS 8 APOYO Y ASISTENCIA PARA LOS CLIENTES
8 Entrevistas:
Administrador de soporte del Help Desk de TI
Usuarios seleccionados de los servicios de informacin

8 Obteniendo:
Polticas y procedimientos generales para la organizacin relacionados con el soporte a usuarios de TI
Organigrama, estatutos, misin, polticas y procedimientos de TI relacionados con las actividades de Help Desk
Reportes relacionados con la consultas de los usuarios, su solucin y estadsticas de desempeo del Help Desk
Cualquier estndar de desempeo para las actividades del Help Desk
Acuerdos de nivel de servicios entre TI y diferentes usuarios
Archivos personales que muestren las credenciales y experiencia profesional del personal del Help Desk
1 Help Desk
2 Registro de consultas del cliente
3 Escalamiento de consultas del cliente
4 Monitoreo de atencin a clientes
5 Anlisis y reporte de tendencias
8 Considerando s:
La naturaleza de la funcin del Help Desk (por ejemplo, la forma en las solicitudes de ayuda son procesadas y la asis-
tencia es proporcionada) es efectiva
Existen instalaciones vigentes, divisiones o departamentos que lleven a cabo la funcin de Help Desk, as como perso-
nal o posiciones responsables del Help Desk
El nivel de documentacin para las actividades del Help Desk es adecuado y est actualizado
Existe un proceso real para registrar solicitudes de servicios y si se hace uso de dicha bitcora
El proceso para la escalamiento de preguntas y la intervencin de la administracin para su solucin son suficientes
El perodo de tiempo para atender las solicitudes recibidas es adecuado
Existen los procedimientos para el seguimiento de tendencias y reportes de las actividades del Help Desk
Se identifican y ejecutan formalmente iniciativas de mejora de desempeo
Se alcanzan y se cumple con los acuerdos de nivel de servicio y los estndares de desempeo
El nivel de satisfaccin del usuario peridicamente se revisa y se reporta
163
C COBI OBIT T
8 Probando que:
Las polticas y procedimientos son actuales y precisos en relacin con las actividades del Help Desk
Los compromisos de nivel de servicio son conservados y que las variaciones son explicadas
Las solicitudes de servicio son atendidas de una forma oportuna
El anlisis y reporte de tendencias asegura que los reportes:
son emitidos y que se toman las medidas necesarias para mejorar el servicio
incluyen problemas especficos, anlisis de tendencias y tiempos de respuesta
son enviados a las personas responsables con la autoridad para resolver los problemas
Se obtienen para una muestra de solicitudes de ayuda, confirmacin de la precisin, oportunidad y suficiencia de la
respuesta
Las encuestas sobre el nivel de satisfaccin del usuario existen y se trabaja con ellas
8 Llevando a cabo:
Entrevistas con usuarios seleccionados para determinar su satisfaccin en cuanto a:
actividades del Help Desk
reporte de actividades
cumplimiento de los compromisos de nivel de servicio
Una revisin de la competencia y capacidad del personal del Help Desk con respecto a la realizacin de sus tareas
Una revisin de solicitudes seleccionadas que han sido escaladas para verificar lo adecuado de sus respuestas
Una revisin de los reportes de tendencias y posibles oportunidades de mejoras de desempeo

8 Identificando:
Interacciones inadecuadas de las actividades del Help Desk con respecto a otras funciones dentro de la funcin de TI,
as como a las organizaciones usuarias
Procedimientos y actividades insuficientes relacionadas con problemas en el reporte de recepcin, registro, seguimien-
to, escalamiento y solucin de preguntas
Deficiencias en el proceso de escalamiento con respecto a la falta de involucramiento por parte de la administracin o a
acciones correctivas efectivas
Oportunidad inadecuada en el reporte de problemas o insatisfaccin del usuario en cuanto al proceso de reporte de pro-
blemas.
164
165
C COBI OBIT T
DS9
S S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Administracin de la configuracin


dar cuenta de todos los componentes de TI, prevenir alteraciones no
autorizadas, verificar la existencia fsica y proporcionar una base para
la sana administracin de cambios


controles que identifiquen y registren todos los activos de
TI as como su localizacin fsica y un programa regular de
verificacin que confirme su existencia


registro de activos
administracin de cambios en la configuracin
chequeo de software no autorizado
controles de almacenamiento de software
Interrelaciones e integracin entre software y
hardware
Uso de herramientas automatizadas

166
DS 9 ADMINISTRACIN DE LA CONFIGURACIN
1 Registro de la Configuracin
2 Estndar de la Configuracin
3 Estado de la contabilizacin o registro
4 Control de la Configuracin
5 Software no Autorizado
6 Almacenamiento de Software
7 Procedimientos para la administracin de la configuracin
8 Contabilizacin o registro del software
8 Entrevistas:
Administracin de operaciones de TI
Administracin de soporte de sistemas de TI
Administracin de instalaciones
Personal de soporte de proveedores de software
Personal de administracin de activos relacionados con computacin
Administrador de aseguramiento de la calidad

8 Obteniendo:
Un inventario de la configuracin: hardware, software de sistema operativo, software de aplicaciones, instalaciones y
archivos de datos dentro y fuera de las instalaciones
Polticas y procedimientos organizacionales relacionados con la adquisicin, inventario y disposicin de software y
equipo computacional comprado, rentado o arrendado con opcin de compra
Polticas organizacionales relacionadas con la utilizacin de software o equipo no autorizado
Polticas y procedimientos de la funcin de servicios de informacin relacionados especficamente con la adquisicin,
disposicin y mantenimiento de los recursos de la configuracin
Polticas y procedimientos de TI relacionados con las funciones de aseguramiento de la calidad y de control de cam-
bios en cuanto a la transferencia independiente y el registro de la migracin del desarrollo de software nuevo y
modificado hacia los archivos y estatus de produccin
Informacin de la lnea base/estndar de la configuracin
Registros contables de activos fijos y arrendamientos relacionados con los recursos de sistemas
Reportes relacionados con adiciones, eliminaciones y cambios a la configuracin de los sistemas
Listas del contenido de las distintas libreras prueba, desarrollo y produccin
Inventario del contenido del almacenamiento externo equipo, archivos, manuales y formas incluyendo material en
manos de los proveedores
167
C COBI OBIT T
8 Considerando s:
El proceso para crear y controlar las lneas base de la configuracin (el punto de corte en el diseo y desarrollo de un
elemento de la configuracin ms all del cual no ocurren ms avances sin llevar a cabo un estricto control de la
configuracin) es apropiado
Existen funciones para mantener la base de la configuracin
Existe un proceso para controlar la contabilizacin y registro de los recursos adquiridos y arrendados incluyendo en-
tradas, salidas e integracin con otros procesos
Los procedimientos de control de la configuracin incluyen:
integridad en la lnea base de la configuracin
controles de autorizacin de acceso programados en el sistema de administracin de cambios
la recuperacin de los elementos de la configuracin y las requisiciones de cambios en cualquier momento
la terminacin de la configuracin y de los reportes que evalan lo adecuado de los procedimientos de regis-
tro de la configuracin
evaluaciones peridicas de la funcin de registro de la configuracin
el personal responsable de la revisin del control de la configuracin satisfaga los requisitos de conocimien-
tos, destrezas y habilidades
la existencia de procedimientos para revisar el acceso a las bases del software
los resultados de las revisiones sean proporcionados a la administracin para llevar a cabo acciones correcti-
vas
Se lleva a cabo regularmente una revisin peridica de la configuracin con registros contabilizados y registrados
La lnea base de la configuracin cuenta con historia suficiente para dar seguimiento a los cambios
Existen procedimientos de control de cambios de software para:
establecer y mantener una librera de programas de aplicacin con licencia
asegurar que la librera de programas de aplicacin con licencia sea controlada adecuadamente
asegurar la confiabilidad e integridad del inventario de software
asegurar la confiabilidad e integridad del inventario de software autorizado utilizado y revisar la existencia de
software no autorizado
asignar responsabilidades sobre el control de software no autorizado a un miembro especfico del personal
registrar el uso de software no autorizado y reportar a la administracin para llevar a cabo acciones correcti-
vas
determinar si la administracin llev a cabo acciones correctivas sobre las violaciones
Los procesos de migracin de aplicaciones de desarrollo al ambiente de pruebas y finalmente al estatus de produccin
interactan con el reporte de la configuracin
El proceso de almacenamiento de software incluye:
definir un rea segura de almacenamiento de archivos (librera) para todo el software vlido en fases apropia-
das del ciclo de vida de desarrollo de sistemas
requerir separacin de las libreras de almacenamiento de software entre ellas y con respecto a las reas de
almacenamiento de archivos de desarrollo, pruebas y produccin
requerir la existencia dentro de las libreras fuente que permitan la colocacin temporal de mdulos fuente a
ser transferidos al perodo de ciclo de produccin
requerir que cada miembro de todas las libreras cuente con un propietario designado
definir controles de acceso lgicos y fsicos
Establecer el registro y contabilizacin del software
168
establecer un seguimiento de auditora
detectar, documentar y reportar a la administracin todas las instancias en las que no se cumpla con este pro-
cedimiento
determinar si la administracin llev a cabo acciones correctivas
Existe una coordinacin entre el desarrollo de aplicaciones, el aseguramiento de la calidad y las operaciones con res-
pecto a los cambios sobre la lnea base de la configuracin, al llevarse a cabo su actualizacin.
El software es rotulado e inventariado peridicamente
El software de administracin de libreras es utilizado para:
Producir pistas de auditora de los cambios a los programas
Mantener el nmero de la versin de los programas
Registrar y reportar los cambios a los programas
Mantener informacin sobre la creacin/actualizacin de los mdulos en produccin
Mantener copia de versiones anteriores
Actualizar el control de versiones
8 Probando que:
Todos los elementos de la configuracin se encuentran bajo un control de una lnea base
Las polticas y procedimientos relacionados con el reporte de la configuracin son actuales y precisos
Se cumple con los estndares de desempeo con respecto al mantenimiento y reporte de la configuracin
Se lleva a cabo una comparacin entre la lnea base de la configuracin y el inventario fsico del equipo as como con
los registros de contabilizacin de activos
Existe independencia de la migracin de pruebas a produccin y registros de los cambios
Para una seleccin de salidas de lnea base:
se lleve una lnea base precisa, apropiada y actualizada de los elementos de la configuracin
los registros de la configuracin reflejen el estatus actual de todos los elementos de la configuracin, inclu-
yendo la historia de cambios
la administracin revise y evale peridicamente la consistencia de la configuracin, y que se lleven a cabo
acciones correctivas
las libreras de archivos hayan sido definidas conveniente y adecuadamente y en fases apropiadas del ciclo de
vida de desarrollo de sistemas
para todas las computadoras personales que contengan software no autorizado se reporten violaciones y la
administracin lleve a cabo acciones correctivas
los registros de la configuracin con respecto a producto, versin y modificaciones de los recursos proporcio-
nados por los proveedores sean precisos
los registros histricos de cambios a la configuracin sean precisos
existan mecanismos para asegurar que no exista software no autorizado en las computadoras, incluyendo:
Polticas y normas/estatutos
Entrenamiento y conciencia de responsabilidades potenciales (legales y de producto)
169
C COBI OBIT T
Formas firmadas de cumplimiento por parte de todo el personal que utilice computadoras
Control centralizado del software computacional
Revisin continua del software computacional
Reportes de los resultados de la revisin
Acciones correctivas por parte de la administracin basadas en los resultados de las revisiones
el almacenamiento de programas de aplicacin y cdigo fuente sea definido durante el ciclo de desarrollo y
que el impacto de los registros de la configuracin sea determinado
la suficiencia e integridad de los registros de proveedores y del sitio alterno relacionados con la configura-
cin, as como la precisin en los registros de la configuracin sean anticipados y considerados
se definan procedimientos de lnea base de la configuracin para:
Registrar el evento que cre la lnea base, el establecimiento de la lnea base y los elementos de la confi-
guracin que deben ser controlados en la lnea base
Modificar la lnea base, incluyendo la autoridad requerida para aprobar los cambios a las lneas bases de
la configuracin aprobadas previamente
Registrar los cambios a la lnea base y los elementos de la configuracin que deben ser controlados en la
lnea base
Asegurar que todos los elementos de la configuracin son registrados dentro de los productos de la lnea
base
existe el reporte de la contabilizacin para:
El tipo de informacin a ser recopilada, almacenada, procesada y reportada (Esto deber incluir el esta-
tus de la lnea base, los hallazgos en las revisiones de la lnea base, solicitudes y estatus de cambios;
revisin y aprobacin/desaprobacin del control de la configuracin (s aplica); modificaciones realiza-
das; reportes de problemas y estatus y la historia de la revisin de la configuracin)
La manera en la que los problemas de solicitudes de cambio son resueltos con un estado de cuenta in-
completo
Los tipos de reportes de estados de cuenta a ser generados y su frecuencia
La manera en la que el acceso a estos datos de estatus ser controlado
8 Llevando a cabo:
Una revisin detallada de la frecuencia y la oportunidad de las revisiones administrativas de los registros de la configu-
racin, los cambios a los registros y la reconciliacin de lo registros de inventario, contabilizacin y registro de los
proveedores
Un anlisis del software de varias libreras en cuanto a posible duplicacin, identificacin de cdigo objeto faltante y
en cuanto a la eliminacin de archivos de datos o programas innecesarios -- y su reflejo en los registros de la con-
figuracin
170
C COBI OBIT T

8 Identificando:
Las debilidades en la concientizacin y en el conocimiento de la administracin y el personal en cuanto a las polticas
organizacionales con respecto a:
Los registros de la configuracin y los cambios realizados a estos registros
La colocacin de controles de configuracin en el ciclo de vida de desarrollo de sistemas
La integracin de los registros de configuracin, contabilizacin y registro de los proveedores
La no utilizacin de software no autorizado en computadoras personales
Posibles mejoras inadecuadas en la efectividad y la eficiencia de la funcin de creacin y mantenimiento de la lnea
base de la configuracin
Deficiencias en los cambios de proveedores al ser reflejados en los registros de la configuracin, en los registros de
seguridad, o cambios a los registros por parte de los proveedores reflejados apropiadamente
171
C COBI OBIT T
DS10
S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


administracin de problemas e incidentes


asegurar que los problemas e incidentes sean resueltos y que sus cau-
sas sean investigadas para prevenir cualquier recurrencia


un sistema de administracin de problemas que registre y d
seguimiento a todos los incidentes


suficientes pistas de auditora de problemas y
soluciones
resolucin oportuna de problemas reportados
procedimientos de escalamiento
reportes de incidentes
Acceso a la informacin de la configuracin
Responsabilidades de los proveedores
Coordinacin con administracin de cam-
bios
172
DS 10 ADMINISTRACIN DE PROBLEMAS E INCIDENTES
1 Sistema de administracin de Problemas
2 Escalamiento de Problemas
3 Seguimiento de Problemas y Pistas de Auditora
4 Autorizaciones de acceso temporales y de emergencia
5 Prioridades para procesamiento de emergencia
8 Entrevistas:
Personal de soporte de operaciones de TI
Personal de soporte del Help Desk de TI
Personal de soporte de sistemas de TI
Personal de soporte de aplicaciones de TI
Usuarios seleccionados de los recursos de TI

8 Obteniendo:
Un resumen de las instalaciones y posiciones de administracin de problemas que realizan la funcin de administracin
de problemas
Polticas y procedimientos de la funcin de TI relacionados con la administracin de problemas, incluyendo procesos
de reconocimiento, registro, solucin, escalamiento, seguimiento y reporte
Una lista de los problemas reportados durante un perodo representativo, incluyendo la fecha de ocurrencia, la fecha de
escalamiento (s aplica), la fecha de solucin y los tiempos de solucin
Una lista de las aplicaciones crticas que son escaladas inmediatamente a la atencin de la presidencia para darles prio-
ridad de solucin, o que son reportables como problemas crticos
Un conocimiento de cualquier aplicacin de manejo de problemas, y en particular un mtodo para asegurar que todos
los problemas son capturados, resueltos y reportados segn lo requerido
8 Considerando s:
Existe un proceso de manejo de problemas que asegure que todos los eventos operacionales que no son parte de las
operaciones estndar son registrados, analizados y resueltos de manera oportuna, y que se generan reportes de
incidentes para problemas significativos
Existen procedimientos de manejo de problemas para:
definir e implementar un sistema de administracin de problemas
registrar, analizar y resolver de manera oportuna todos los eventos no-estndar
173
C COBI OBIT T
establecer reportes de incidentes para los eventos crticos y la emisin de reportes para usuarios
identificar tipos de problemas y metodologa de priorizacin que permitan una variedad de soluciones toman-
do el riesgo como base
definir controles lgicos y fsicos de la informacin de manejo de problemas
distribuir salidas sobre la base de necesidad de conocer
seguir las tendencias de los problemas para maximizar recursos y reducir la rotacin
recolectar entradas de datos precisas, actuales, consistentes y utilizables para la emisin de reportes
notificar al nivel apropiado de administracin sobre los escalamientos y concientizacin
determinar si la administracin evala peridicamente el proceso de manejo de problemas en cuanto a una
mayor efectividad y eficiencia
asegurar la suficiencia de los seguimientos de auditora para los problemas de sistemas
asegurar la integracin entre los cambios, la disponibilidad, los sistemas y el personal de administracin de
la configuracin
Las prioridades de procesamiento de emergencia existen, estn documentadas y requieren la aprobacin de pro-
gramas apropiados y de la gerencia de TI
Hay procedimientos de autorizacin de accesos de emergencia y temporales que requieren:
Documentacin de acceso a formularios estndar y mantenidos en archivos
Aprobacin por parte de los gerentes apropiados
Asegurar la comunicacin con la funcin de seguridad
Terminacin automtica de acceso despus de un perodo de tiempo predeterminado
8 Probando que:
Una muestra seleccionada de salidas de procesos cumple con los procedimientos establecidos relacionados con:
problemas no-crticos
problemas crticos/ de alta prioridad que requieren escalamiento
el reporte de los requerimientos, el contenido, la exactitud, distribucin y acciones tomadas
Satisfaccin del usuario con el proceso del manejo de problemas y sus resultados
Va entrevistas, el conocimiento y la conciencia del proceso de manejo de problemas
8 Llevando a cabo:
Para una seleccin de problemas reportados, pruebas que aseguren que los procedimientos de manejo de problemas
fueron seguidos para todas las actividades no-estndar, incluyendo:
registro de todos los eventos no-estndar por proceso
seguimiento y solucin de todos y cada una de los eventos
nivel apropiado de respuesta tomando como base la prioridad del evento
escalamiento de problemas para eventos crticos
reporte apropiado dentro de la funcin de TI y grupos usuarios
revisiones regulares de efectividad y eficiencia de procesos en cuanto a mejoras
expectativas y xito de programa de mejoras del desempeo
8 Identificando:
Ocurrencias de problemas no controlados formalmente por el proceso de manejo de problemas
Ocurrencias de problemas reconocidos pero no resueltos por proceso de manejo de problemas
Variaciones entre los eventos de procesos reales y formales con respecto a la solucin de problemas
Deficiencias de los usuarios en el proceso de manejo de problemas, en la comunicacin de problemas y su
solucin en cuanto a posibles oportunidades de mejora
175
176
C COBI OBIT T
DS11
P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Administracin de datos


asegurar que los datos permanezcan completos, precisos y vlidos du-
rante su entrada, actualizacin y almacenamiento


una combinacin efectiva de controles generales y de aplica-
cin sobre las operaciones de TI


diseo de formatos
controles de documentos fuente
controles de entrada, procesamiento y salida
identificacin, movimiento y administracin de
la librera de medios
Recuperacin y respaldo de datos
autenticacin e integridad
Propiedad de datos
Polticas de administracin de datos
Modelo de datos y estndares de represen-
tacin de datos
Integracin y consistencia a travs de pla-
taformas
Requerimientos legales y regulatorios

177
DS 11 ADMINISTRACIN DE DATOS
1 Procedimientos de Preparacin de Datos
2 Procedimientos de Autorizacin de Documentos Fuente
3 Recopilacin de Datos de Documentos Fuente
4 Manejo de Errores de Documentos Fuente
5 Retencin de Documentos Fuente
6 Procedimientos de Autorizacin de Entrada de Datos
7 Revisiones de Precisin, Suficiencia y Autorizacin
8 Manejo de Errores en la Entrada de Datos
9 Integridad de Procesamiento de Datos
10 Validacin y Edicin de Procesamiento de Datos
11 Manejo de Errores en el Procesamiento de Datos
12 Manejo y Retencin de Salida de Datos
13 Distribucin de Salida de Datos
14 Balanceo y Conciliacin de Datos de Salida
15 Revisin de Salida de Datos y Manejo de Errores
16 Provisiones de Seguridad para Reportes de Salida
17 Proteccin de Informacin Sensitiva durante su transmisin y transporte
18 Proteccin de Informacin Sensitiva Desechada
19 Administracin de Almacenamiento
20 Perodos de Retencin y Trminos de Almacenamiento
21 Sistema de Administracin de la Librera de Medios
22 Responsabilidades de la Administracin de la Librera de Medios
23 Respaldo y Restauracin
24 Funciones de Respaldo
25 Almacenamiento de Respaldo
26 Archivo
27 Proteccin de mensajes sensitivos
28 Autenticacin e Integridad
29 Integridad de Transacciones Electrnicas
30 Integridad continua de Datos Almacenados
8 Entrevistas:
Administracin de bases de datos de TI
Administracin de entrenamiento/recursos humanos de TI
Administracin de soporte de sistemas de TI
Administracin de la seguridad del sitio de respaldo
Administraciones de diferentes usuarios para aplicaciones de misin crtica
178
C COBI OBIT T

8 Obteniendo:
Polticas y procedimientos organizacionales relacionados con la naturaleza y administracin de datos, incluyendo:
flujo de datos dentro de la funcin de TI y hacia/desde los usuarios de los datos
puntos en la organizacin en los que los datos son originados, concentrados en grupos o tandas (batched),
editados, capturados, procesados, extrados, revisados, corregidos y remitidos, y distribuidos a los usuarios
proceso de autorizacin de documentos fuente
procesos de recoleccin, seguimiento y transmisin de datos
procedimientos para asegurar la suficiencia, precisin, registro y transmisin de documentos fuente comple-
tos para su captura
procedimientos utilizados para identificar y corregir errores durante la creacin de datos
procedimientos para asegurar la integridad, confidencialidad y no rechazo de los mensajes sensitivos transmi-
tidos por Internet o cualquier otra red pblica
mtodos utilizados por la organizacin para retener documentos fuente (archivo, imgenes, etc.), para definir
qu documentos deben ser retenidos, los requerimientos de retencin legales y regulatorios, etc.
sistemas de interfase que proporcionen y utilicen datos para las funciones de TI
contratos de proveedores para llevar a cabo tareas de administracin de datos
reportes administrativos utilizados para monitorear actividades e inventarios
Una lista de todas las aplicaciones mayores, as como de la documentacin de usuario relacionada con:
mdulos que lleven a cabo revisiones de precisin, suficiencia y autorizacin de captura en el ingreso de da-
tos
funciones que lleven a cabo entradas de datos para cada aplicacin
funciones que lleven a cabo rutinas de correccin de errores de entrada de datos
mtodos utilizados para prevenir (por medios manuales y programados), detectar y corregir errores
control de la integridad de los procesos de datos enviados a proceso
edicin y autenticacin de la validacin del procesamiento de datos tan cerca del punto de origen como sea
posible
manejo y retencin de salidas creadas por aplicaciones
salidas, distribucin de salidas y sistemas de interfase que utilizan salidas
procedimientos de balanceo de salidas para control de totales y conciliacin de variaciones
revisin de la precisin de los reportes de salida y de la informacin
seguridad en el procesamiento distribuido de los reportes
seguridad de los datos transmitidos y entre aplicaciones
disposicin de documentacin sensible de entrada, proceso y salida
procedimientos de control de proveedores como terceras partes con respecto a preparacin, entrada, procesa-
miento y salida
Polticas y procedimientos relacionados con cualquier repositorio central de bases de datos de la organizacin, inclu-
yendo:
organizacin de la base de datos y diccionario de datos
procedimientos de mantenimiento y seguridad de bases de datos
determinacin y mantenimiento de la propiedad de las bases de datos
procedimientos de control de cambios sobre el diseo y contenido de la base de datos
reportes administrativos y pistas de auditora que definen actividades de bases de datos
179
Polticas y procedimientos relacionados con la librera de medios y con el almacenamiento de datos externo, incluyen-
do:
administracin de la librera de medios y del sistema de administracin de la librera
requerir la identificacin externa de todos los medios
requerir el inventario actual de todos los contenidos y procesos para actividades de control
procesos de administracin/depuracin para proteger los recursos de datos
procedimientos de reconciliacin entre registros actuales y registros de datos almacenados
reciclaje de datos y rotacin de medios de datos
Inventario de datos de prueba y pruebas de recuperacin llevadas a cabo
Medios y funciones del personal en el sitio alterno en el plan de continuidad
8 Considerando s:
Para la preparacin de datos:
los procedimientos de preparacin de datos aseguran suficiencia, precisin y validez
existen procedimientos de autorizacin para todos los documentos fuente
existe una separacin de funciones entre el origen, la aprobacin y la conversin de documentos fuente a da-
tos
los datos autorizados permanecen completos, precisos y vlidos a travs de la creacin de documentos fuente
los datos son transmitidos de una manera oportuna
se lleva a cabo una revisin peridica de los documentos fuente en cuanto a su suficiencia y aprobaciones
apropiadas
se lleva a cabo un manejo apropiado de documentos fuente errneos
existe un control adecuado de informacin sensitiva en documentos fuente para su proteccin contra eventos
que los puedan comprometer
los procedimientos aseguran suficiencia y precisin de documentos fuente, registro/contabilizacin apropiada
para documentos fuente y conversin oportuna
la retencin de documentos fuente es lo suficientemente larga para permitir la reconstruccin en caso de pr-
dida, la disponibilidad para revisiones y auditora, las consultas legales o requerimientos regulatorios

Para la entrada de datos:
los documentos fuente siguen un proceso de aprobacin apropiada antes de su captura
existe una separacin de funciones apropiada entre las actividades de envo, aprobacin, autorizacin y entra-
da de datos
existen cdigos nicos de terminal o estacin e identificaciones seguras de operadores
existen procesos de uso, mantenimiento y control de cdigos de estacin e IDs de operador
Existen pistas de auditora para identificar la fuente de entrada
existen rutinas de verificacin para la edicin de los datos capturados tan cerca del punto de origen como sea
posible
existen procesos apropiados de manejo de datos de entrada errneos
180
C COBI OBIT T
se asignan claramente las responsabilidades para hacer cumplir una autorizacin apropiada sobre los datos

Para el procesamiento de datos:
Los programas contienen rutinas de prevencin, deteccin y correccin de errores:
los programas deben probar las entradas en cuanto a errores (por ejemplo, validacin y edicin)
los programas deben validar todas las transacciones contra una lista maestra
los programas deben rechazar la anulacin de condiciones de error
Los procesos de manejo de errores incluyen:
la correccin de errores y reenvo de la transaccin debe ser aprobada
la definicin de responsabilidades individuales para el manejo de archivos en suspenso
la generacin de reportes de errores no resueltos emitidos a partir de los archivos en suspenso
la disponibilidad del esquema de priorizacin de archivos suspendidos tomando como base la edad y el tipo
Existen bitcoras de los programas ejecutados y las transacciones procesadas/rechazadas para pistas de auditora
Existe un grupo de control para monitorear las actividades de entrada e investigar los eventos no-estndar, as como
balancear las cuentas de registros y totales de control para todos los datos procesados
Todos los campos son editados apropiadamente, an si uno de los campos contiene algn error
Las tablas utilizadas en la validacin son revisadas frecuentemente
Existen procedimientos por escrito para la correccin y reenvo de datos con errores incluyendo una solucin que no
afecte su reprocesamiento
Las transacciones reenviadas son procesadas exactamente como fueron procesadas originalmente
La responsabilidad de la correccin de errores reside dentro de la funcin de envo original
Los sistemas de Inteligencia Artificial estn colocados en un marco referencial de control interactivo con operadores
humanos para aseguran que las decisiones importantes se aprueben

Para las salidas, interfaces y distribucin:
El acceso a las salidas est restringido fsica y lgicamente a personal autorizado
Se lleva a cabo una revisin continua de necesidades de salidas
Las salidas son balanceadas rutinariamente con respecto a totales de control
Existen pistas de auditora para facilitar el seguimiento del procesamiento de transacciones y la reconciliacin de datos
alterados
La precisin de los reportes de salidas es revisada y los errores contenidos en las salidas son controlados por personal
capacitado
Existe una definicin clara sobre aspectos de seguridad durante las salidas, interfaces y distribucin
Las fallas en seguridad durante cualquier fase son comunicadas a la administracin, se llevan a cabo acciones correcti-
vas sobre ellas y son reflejadas apropiadamente en nuevos procedimientos
El proceso y la responsabilidad de desechar/reciclar las salidas est claramente definida
La destruccin de materiales utilizados pero no requeridos despus de procesados es presenciada por testigos
Todos los medios de entrada y salida son almacenados en un sitio de almacenamiento alterno en caso de requerirse en
un futuro
La informacin marcada como eliminada cambia de tal forma que no se pueda recuperar

Para la librera de medios:
El contenido de la librera de medios es inventariada sistemticamente
181
Las discrepancias descubiertas por el inventario son solucionadas oportunamente
Se toman medidas para mantener la integridad de los medios magnticos almacenados en la librera
Existen procesos de mantenimiento y limpieza para proteger el contenido de la librera de medios
Las responsabilidades de la administracin de la librera de medios han sido asignadas a miembros especficos del
personal de TI
Existen estrategias de respaldo y restauracin de medios
Los respaldos de medios se llevan a cabo de acuerdo con la estrategia de respaldos y si la utilidad de los respaldos es
verificada regularmente
Los respaldos de medios son almacenados con seguridad y si las localidades de almacenamiento son revisadas peridi-
camente en cuanto a la seguridad de sus acceso fsico y a la seguridad de los archivos de datos y otros elementos
Los periodos de retencin y almacenamiento estn definidos por documentos, datos, programas, reportes y mensajes
(entrantes y salientes) as como los datos (llaves, certificados) utilizados para su encriptacin y autentificacin
Adicional al almacenamiento de documentos fuentes en papel, las conversaciones telefnicas son registrados y alma-
cenadassi no entra en conflicto con las leyes locales de privacidadpara transacciones y otras actividades que
son parte de las actividades tradicionales del negocio que se llevan a cabo mediante el uso del telfono
Los procedimientos adecuados estn activos en relacin al archivo de informacin (datos y programas) en lnea con
los requerimientos legales y del negocio y reforzando la capacidad de respuesta y reproduccin

Para la autenticacin e integridad de informacin:
La integridad de los archivos de datos se verifica peridicamente
Las solicitudes externas a la organizacin recibidas por va telefnica o correo de voz se verifican confirmando por
telfono o algn otro medio de autenticacin
Un mtodo preestablecido se utiliza independiente a la verificacin de la autentificacin de la fuente y el contenido de
las solicitudes de transaccin recibida va fax o sistemas de imgenes
La firma electrnica o la certificacin se utilizan para verificar la integridad y autenticidad de los documentos electr-
nicos entrantes
8 Probando que:
La preparacin de datos:
Para una muestra seleccionada de documentos fuente, existe consistencia evidente con respecto a los procedimientos
establecidos relacionados con la autorizacin, aprobacin, precisin, suficiencia y recepcin de entrada de datos y
si la entrada de datos es oportuna
El personal responsable de la informacin fuente, de su ingreso y conversin tiene conciencia y comprende los requeri-
mientos de control en la preparacin de datos

La entrada de datos:
El envo a proceso de datos de prueba (tanto transacciones correctas como errneas) para asegurar que se llevan a cabo
revisiones de precisin, suficiencia y autorizacin
Para transacciones seleccionadas se comparan los archivos maestros antes y despus de la captura
Existe una apropiada revisin de retencin, solucin y de la integridad en el manejo de errores
Los procedimientos y acciones de manejo de errores cumplen con las polticas y controles establecidos
182
El procesamiento de datos:
Se utilizan efectivamente los totales de control corrida-a-corrida y los controles de actualizacin de archivos maestros
Se envan datos de prueba (tanto transacciones correctas como errneas) para asegurar que se llevan a cabo la valida-
cin, autenticacin y edicin de procesamiento de datos tan cerca del punto de origen como sea posible
El proceso de manejo de errores es llevado a cabo de acuerdo con los procedimientos y controles establecidos
Se llevan a cabo la retencin, solucin y revisin apropiada de la integridad en el manejo de errores y que stas funcio-
nan adecuadamente
Los procedimientos y acciones del manejo de errores cumplen con los procedimientos y controles establecidos

La Salida, Interfase y Distribucin de Datos:
La salida es balanceada rutinariamente contra totales de control relevantes
Las pistas de auditora son proporcionadas para facilitar el seguimiento del procesamiento de transacciones en la recon-
ciliacin de datos confusos o errneos
Los reportes de salida son revisados en cuanto a su precisin por parte del proveedor y los usuarios relevantes
Existen la retencin, solucin y revisin apropiada de la integridad en el manejo de errores y que stas funcionan ade-
cuadamente
Los procedimientos y acciones de manejo de errores cumplen con las polticas y controles establecidos
Los reportes de salidas son asegurados al esperar ser distribuidos, as como aqullos ya distribuidos a los usuarios de
acuerdo con los procedimientos y controles establecidos
Existe la proteccin adecuada para la informacin sensible durante la transmisin y transporte contra los accesos no
autorizados y las modificaciones
Existe una proteccin adecuada de informacin sensitiva durante la transmisin y transporte en cuanto a accesos y mo-
dificaciones no autorizadas
Los procedimientos y acciones para el desecho/reciclaje de informacin sensitiva cumplen con los procedimientos y
controles establecidos

La Librera de Medios:
El contenido de la librera de medios es inventariado sistemticamente, que todas las discrepancias encontradas son
solucionadas oportunamente y se toman medidas para mantener la integridad de los medios almacenados en la
librera
Los procedimientos de mantenimiento/limpieza diseados para proteger el contenido de la librera de medios existen y
funcionan adecuadamente
Las responsabilidades de la administracin de la librera de medios son asignadas apropiadamente
La librera de medios es independiente de las funciones de preparacin, entrada, procesamiento y salida
La estrategia de respaldos y restauracin de medios es apropiada
Los respaldos de medios se llevan a cabo apropiadamente de acuerdo con la estrategia de respaldo definida
Los sitios de almacenamiento de medios son seguros fsicamente y que su inventario est actualizado
El almacenamiento de datos considera los requerimientos de recuperacin y la economa o efectividad de costos
Los perodos de retencin y los trminos de almacenamiento son apropiados para documentos, datos, programas y re-
portes

183
8 Llevando a cabo:
Mediciones (Benchmarking) de la administracin de datos contra organizaciones similares o estndares internacionales
apropiados reconocidos como mejores prcticas de la industria
Para una seleccin de transacciones, confirmar lo apropiado del procesamiento durante:
la preparacin de datos
el procesamiento de entradas
el procesamiento de datos
la salida, distribucin o integracin
el manejo de errores en todas las fases del procesamiento
la integridad de los datos a travs del manejo de errores en todas las fases del procesamiento
retencin y destruccin
Pruebas especficas para lo siguiente:
suficiencia, precisin y validez durante cada fase del procesamiento
aprobaciones y autorizaciones adecuadas
existencia de controles preventivos, detectivos y correctivosdentro del procesamiento o a travs del control de
funciones manuales de grupo/procedimentales
retencin de documentos fuente para la revisin posterior de la consistencia con respecto a los requerimientos de
retencin
recuperacin de una seleccin de documentos fuente y transacciones para confirmar la existencia y la precisin
anlisis de la disponibilidad de pistas de auditora: existencia, identificacin de fuente/operador y asegurar que
cualquier sistema de interfase cuenta con niveles iguales de control sobre las transacciones
edicin de las facilidades de programas de entrada y procesamiento, incluyendo, pero sin limitarse a:
Blancos en campos requeridos
Validacin de cdigos de transacciones
Montos negativos
Cualquier otra condicin apropiada
suficiencia de las pruebas de validacin internas al procesamiento
archivos suspenso con transacciones defectuosas, incluyendo los siguientes controles:
Identificacin inmediata del operador que comete el error y aviso del error
Todas las transacciones de error son transferidas a estos archivos suspenso
El registro es mantenido hasta que la transaccin es resuelta y eliminada
Las transacciones muestran cdigo de error, fecha y hora de captura, operador y mquina
Los archivos de suspenso crean reportes de seguimiento para la revisin administrativa, el anlisis de
Para la integridad y autenticacin de la informacin
El riesgo de direccionar mensajes (por carta, fax o e-mail) equivocadamente se reduce con los procedimientos adecuados
Existen protecciones adecuadas para asegurar la integridad, confidencialidad y no rechazo de los mensajes sensitivos trans-
mitidos sobre internet o cualquier otra red pblica
Los controles normalmente se aplican a un proceso de transaccin especfico, como faxes o contestadores telefnicos auto-
mticos, tambin aplica a sistemas computacionales que soportan la transaccin o proceso (Ej., software de fax en las com-
putadoras personales)
184
tendencias y entrenamiento correctivo
separacin de la funciones de origen, entrada, procesamiento, verificacin y distribucin
Para una seleccin de transacciones de salida:
revisar una muestra de listas de transacciones procesadas en cuanto a su suficiencia y precisin
revisar una muestra de reportes de salida en cuanto a precisin y suficiencia
revisar los calendarios de retencin de salidas en cuanto a su adecuacin y cumplimiento de los procedimien-
tos
confirmar que la distribucin real de una muestra de salidas fue llevada a cabo con precisin
confirmar el procesamiento integrado confirmando la salida de una bitcora de procesamiento de transaccio-
nes de un sistema con la entrada de la bitcora de otro sistema
revisar los procedimientos de balanceo para todas las entradas, salidas de procesamiento y otras transacciones
usadas por el sistemas
confirmar que nicamente personal autorizado tiene acceso a reportes sensitivas
confirmar la destruccin o reubicacin de almacenamientos en sitios externos para todos los medios de datos
por polticas y procedimientos de retencin
confirmar los perodos reales de retencin contra los procedimientos de retencin
atestiguar la entrega o transmisin real de salidas sensitivas y el cumplimiento con los procedimientos de pro-
cesamiento, distribucin y seguridad
confirmar la creacin e integridad de los respaldos en asociacin con el procesamiento normal, as como para
los requerimientos del plan de continuidad
Para la librera de medios:
revisar el acceso de los usuarios a los servicios/utilidades/utilitarios sensitivos; determinar que el acceso es
apropiado
seleccionar una muestra de medios a ser destruida y observar el proceso completo; verificar el cumplimiento
de los procedimientos aprobados
determinar lo adecuado de los controles para los datos en almacenamientos en el sitio externo y mientras los
datos estn en trnsito
obtener resultados del inventario de la librera de medios ms reciente; confirmar su precisin
confirmar que los procesadores que mantienen los registros son suficientes para accesar los medios necesa-
rios
revisar los controles para restringir el intento de saltar (bypass) las reglas de etiquetado internas y externas
probar el cumplimiento de los controles internos y externos va revisin de medios seleccionados
revisar los procedimientos de creacin de respaldos para asegurar la existencia de datos suficientes en caso de
desastre
confirmar las inspecciones de la librera de medios por requerimientos programados de actividades

8 Identificando:
Si cuando los archivos de produccin son accesados directamente por los operadores se crean y mantienen
imgenes de los archivos antes y despus del acceso
formas de entrada y salida sensitivas (por ejemplo, inventario/stock de cheques, certificados de reservas) no
protegidas
185
bitcoras no llevadas y mantenidas para totales batch y de control para todas las fases del procesamiento
reportes de salidas no tiles a los usuarios: datos no relevantes y tiles, reportes no necesarios, distribu-
cin no apropiada, formato y frecuencia no adecuados, acceso en lnea no controlado a los reportes
datos transmitidos sin controles adicionales, incluyendo:
Accesos de envo/recepcin de transmisiones limitados
Autorizacin e identificacin apropiadas del emisor y del receptor
Medios seguros de transmisin
Encriptacin de datos transmitidos y algoritmos de decodificacin apropiados
Pruebas de integridad de la transmisin en cuanto a su suficiencia
Procedimientos de retransmisin
contratos de proveedores con controles faltantes como servicios de destruccin
deficiencias en el sitio externo con respecto a amenazas ambientales tales como fuego, agua, fallas elctri-
cas y accesos no autorizados
186
DS12
P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Administracin de instalaciones


proporcionar un ambiente fsico conveniente que proteja al equipo y al
personal de TI contra peligros naturales o fallas humanas


la instalacin de controles fsicos y ambientales adecuados
que sean revisados regularmente para su funcionamiento
apropiado


acceso a instalaciones
identificacin del sitio
seguridad fsica
Polticas de inspeccin y escalamiento
Planeacin de continuidad del negocio y admi-
nistracin de crisis
salud y seguridad del personal
Polticas de mantenimiento preventivo
proteccin contra amenazas ambientales
Monitoreo automatizado

8 Considerando s:
La localizacin de las instalaciones no es obvia externamente, se encuentra en el rea u organizacin menos accesible,
y si el acceso es limitado al menor nmero de personas
Los procedimientos de acceso lgico y fsico son suficientes, incluyendo perfiles de seguridad de acceso para emplea-
dos, proveedores, equipo y personal de mantenimiento de las instalaciones
Los procedimientos y prcticas de administracin de llave ("Key" ) y lectora de tarjetas ("card reader") son adecuados,
incluyendo la actualizacin y revisin continuas tomando como base una menor necesidad de acceso
187
DS 12 ADMINISTRACIN DE INSTALACIONES
1 Seguridad Fsica
2 Bajo Perfil de las Instalaciones de Tecnologa de Informacin
3 Escolta de Visitantes
4 Salud y Seguridad del Personal
5 Proteccin contra Factores Ambientales
6 Suministro Ininterrumpido de Energa
8 Entrevistas:
Administrador de las Instalaciones
Administrador de Riesgos
Administrador de la seguridad de TI

8 Obteniendo:
Polticas y procedimientos organizacionales relacionados con la administracin, planos del sitio, seguridad, inventario
de activos fijos e inventario de las instalaciones, as como adquisicin/leasing
Polticas y procedimientos de TI relacionados con el plano de las instalaciones, la seguridad fsica y lgica, acceso,
mantenimiento, registro de visitantes, salud, seguridad y requerimientos ambientales, mecanismos de entrada y
salida, reporte de seguridad, contratos de seguridad y mantenimiento, inventario de equipo, procedimientos de
vigilancia, y requerimientos regulatorios
Una lista de los individuos que tienen acceso a las instalaciones y al plano del piso de la instalacin
Una lista de los acuerdos de desempeo, capacidad y nivel de servicio con respecto a las expectativas de desempeo de
los recursos TI (equipo e instalaciones), incluyendo estndares industriales
Copia del documento de planeacin de continuidad
188
Las polticas de acceso y autorizacin de entrada/salida, escolta, registro, pases temporales requeridos, cmaras de vigi-
lancia son apropiadas para todas las reas y especialmente para las reas ms sensibles
Se llevan a cabo revisiones peridicas de los perfiles de acceso, incluyendo revisiones administrativas
Existen y se llevan a cabo los procesos de revocacin, respuesta y escalamiento en caso de violaciones a la seguridad
Existe el proceso de signage con respecto a la no identificacin de reas sensibles, y si es consistente con los requeri-
mientos de seguro, cdigo de construccin local y regulatorios
Las medidas de control de seguridad y acceso incluyen a los dispositivos de informacin porttiles utilizados fuera del
sitio
Se lleva a cabo una revisin de los registros de visitantes, asignacin de pases, escolta, persona responsable del visitan-
te, bitcora para asegurar tanto los registros de entradas como de salidas y el conocimiento de la recepcionista con
respecto a los procedimientos de seguridad
Se lleva a cabo una revisin de los procedimientos de aviso contra incendio, cambios de clima, problemas elctricos y
procedimientos de alarma, as como las respuestas esperadas en los distintos escenarios para los diferentes niveles
de emergencias ambientales
Se lleva a cabo una revisin de los procedimientos de control de aire acondicionado, ventilacin, humedad y las res-
puestas esperadas en los distintos escenarios de prdida o extremos no anticipados
Existe una revisin del proceso de alarma al ocurrir una violacin a la seguridad, que incluya:
definicin de la prioridad de la alarma (por ejemplo, apertura de la puerta por parte de una persona armada
que ha entrado en las instalaciones)
escenarios de respuesta para cada alarma de prioridad
responsabilidades del personal interno versus personal de seguridad local o proveedores
interaccin con las autoridades locales
revisin del simulacro de alarma ms reciente
La organizacin es responsable del acceso fsico dentro de la funcin de servicios de informacin, incluyendo:
desarrollo, mantenimiento y revisiones continuas de polticas y procedimientos de seguridad
establecimiento de relaciones con proveedores relacionados con la seguridad
contacto con la administracin de las instalaciones en cuanto a problemas de tecnologa relacionados con
seguridad
coordinacin del entrenamiento y conciencia sobre seguridad para la organizacin
coordinacin de actividades que afecten en control de acceso lgico va aplicaciones centralizadas y software
de sistema operativo
proporcionar entrenamiento y crear conciencia de seguridad no slo dentro de la funcin de servicios de in-
formacin, sino para los servicios de usuarios
Se llevan a cabo prcticas de distribuidores automticos y servicios de conserjera para investigacin del personal en
las instalaciones de la organizacin
Se llevan a cabo la actualizacin y negociacin del contenido de los contratos de servicio
Los procedimientos de pruebas de penetracin y los resultados
coordinan los escenarios de prueba de penetracin fsica
coordinan la prueba de penetracin fsica con proveedores y autoridades locales
Se cumple con las regulaciones de salud, seguridad y ambiente
La seguridad fsica es tomada en cuenta en el plan de recuperacin/contingencia en caso de desastre y abarca una segu-
ridad fsica similar en las instalaciones aprovisionadas
Existen elementos de infraestructura especficos alternativos necesarios para implementar seguridad:
fuente de poder ininterrumpida (UPS)
alternativas o re enrutamiento de lneas de telecomunicacin
recursos alternativos de agua, gas, aire acondicionado y humedad
189
8 Probando que:
El personal tiene conciencia y comprende la necesidad de seguridad y controles
Los armarios cableados estn fsicamente protegidos con el acceso posible autorizado y el cableado se encuentra bajo
tierra o conductos protegidos tanto como sea posible
El proceso de signage identifica rutas de emergencia y qu hacer en caso de una emergencia o violacin a la seguri-
dad
Los directorios de telfono en otra partes de la instalacin no identifican localidades sensibles
La bitcora de visitantes sigue apropiadamente los procedimientos de seguridad
Existen los procedimientos de identificacin requeridos para cualquier acceso dentro o fuera va observacin
Las puertas, ventanas, elevadores, ventilas y ductos o cualquier otro modo de acceso estn identificados
El site computacional est separado, cerrado y asegurado y es accesado nicamente por personal de operaciones y gen-
te de mantenimiento tomando como base un acceso necesario
El personal de las instalaciones rota turnos y toma vacaciones y descansos apropiados
Existen los procedimientos de mantenimiento y registro para un desempeo de trabajo oportuno
Las variaciones de las polticas y procedimientos en las operaciones de los turnos segundo y tercero son reportadas
Los planes fsicos son actualizados a medida que cambian la configuracin, el ambiente y las instalaciones
Los registros y el equipo de monitoreo ambiental y de seguridad --debajo, en, sobre, y alrededor son mantenidos
No se almacenan tiles peligrosos
Existe el seguimiento de auditora de control de acceso sobre software de seguridad o reportes clave de administracin
Se ha dado seguimiento a toda emergencia ocurrida en el pasado o a su documentacin
El personal con acceso son empleados reales
Se llevan a cabo verificaciones de suficiencia de administracin clave de acceso
Se otorga una educacin en seguridad fsica y conciencia de seguridad
Existe una cobertura y experiencia de seguros para los gastos asociados con algn evento de seguridad, prdida del
negocio y gastos para recuperar la instalacin
El proceso para la implementacin de acceso a cambios de llaves y controles de procesos lgicos es continuo y conoci-
do
El ambiente cumple con los requerimientos regulatorios establecidos
Las bitcoras de mantenimiento de alarmas no pueden ser modificadas inapropiadamente
La frecuencia de cambios a los cdigos de acceso y revisiones de perfil involucramiento de usuario e instalaciones
es documentada
8 Llevando a cabo:
Mediciones (Benchmarking) de administracin de instalaciones contra organizaciones similares o estndares interna-
cionales/buenas prcticas reconocidas en la industria apropiadas
Comparaciones de la disposicin o plano fsico contra bosquejos del edificio y dispositivos de seguridad
Determinaciones sobre:
la no aparicin de la instalacin en s como una localidad de servicios de sistemas, ni siquiera sugerida indi-
rectamente va direcciones, sealamientos de estacionamiento, etc.
la limitacin del nmero de puertas por cdigos locales de construccin/seguro
la suficiente proteccin de las instalaciones a travs de barreras fsicas para evitar el acceso inapropiado de
vehculos y personas
patrones de trnsito para asegurar que el flujo no dirige a las personas hacia las reas de seguridad
la suficiencia del monitoreo con videos y la revisin de cintas
190
la existencia de espacio apropiado para el equipo computacional en cuanto a acceso, temperatura y manteni-
miento
la suficiencia y disponibilidad de las cubiertas para el equipo contra agua o elementos externos en caso de
emergencia
la revisin de las bitcoras de mantenimiento de alarmas y el reporte del ltimo reporte de simulacro
Pruebas sobre temperatura, humedad, electricidad sobre y debajo de los pisos falsos; si han ocurrido anomalas, cu-
les fueron las actividades de investigacin/solucin resultantes
Revisiones de todos los seguros y bisagras (bisagras dentro de la habitacin)
Una visita de las instalaciones sin portar gafete para determinar si se llevan a cabo detenciones e interrogatorios sobre
el hecho de no portar gafete
Revisiones de la cobertura del guardia/recepcionista cuando un visitante es escoltado a travs de las instalaciones
Pruebas de seguridad de penetracin de las instalaciones

8 Identificando:
Suficiencia de signage, extinguidores de incendios, sistemas de aspersin, UPS, drenaje, cableado y mantenimiento
regular
Para las ventanas: asegurar que ningn recursos es visible desde el exterior, que no existan aparadores en el centro de
datos
Determinacin de pruebas de seguridad de penetracin
Pruebas de visitantes, incluyendo registro, gafete, escolta, inspeccin, salida
Discrepancias en la bitcora de visitantes y en los gafetes de visitantes
Evaluacin de los perfiles e historia de acceso tomando como base el reporte clave de la administracin incluyendo el
reemplazo de gafetes/tarjetas maestras y artculos perdidos inactivos
Revisin de estadsticas de desastres locales
Desarrollo de escenarios de penetracin en caso de desastre
Contratos de proveedores para asegurar que se llevan a cabo una investigacin de personal y el cumplimiento con los
requerimientos de salud y seguridad
Pruebas de UPS y verificar que los resultados cumplan con los requerimientos operacionales y de capacidad para soste-
ner las actividades crticas de procesamiento de datos
Pruebas de acceso de informacin (bitcoras, cintas, registros) para asegurar que stos son revisados por los usuarios y
la administracin en cuando a su propiedad
Pruebas de procedimientos de monitoreo de entrada a la instalacin cerca del rea
191
192
DS13
S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


administracin de operaciones


asegurar que las funciones importantes de soporte de TI estn siendo
llevadas a cabo regularmente y de una manera ordenada


una programacin de actividades de soporte que sea registra-
da y completada en cuanto al logro de todas las actividades


manual de procedimiento de operaciones
documentacin de procedimientos de arranque
administracin de servicios de red
programacin de actividades de personal y car-
gas de trabajo
proceso de cambio de turno
registro de eventos de sistemas
Coordinacin con cambios, disponibilidad
y administracin de la continuidad del ne-
gocio
Mantenimiento preventivo
Acuerdos de nivel de servicio
Operaciones automatizadas
Registro, seguimiento y escalamiento de
incidentes
193
DS 13 MANEJO DE OPERACIONES
1 Manual de Instrucciones y Procedimientos para las Operaciones de procesamiento
2 Documentacin del Proceso de Inicio y de Otras Operaciones
3 Programacin de Trabajos
4 Salidas de la programacin de Trabajos Estndar
5 Continuidad de Procesamiento
6 Bitcoras de Operaciones
7 Proteccin de formas especiales y dispositivos de salida
8 Operaciones Remotas
8 Entrevistas:
Administracin de la planeacin de la continuidad de TI
Presidencia de TI
Proveedores seleccionados que proporcionan servicios o productos de software o hardware por contrato

8 Obteniendo:
Polticas y procedimientos organizacionales relacionados con la administracin de operaciones y el rol de sistemas de
informacin en el cumplimiento de los objetivos del negocio
Polticas y procedimientos de la funcin de servicios de informacin relacionados con el rol operacional, las expectati-
vas de desempeo, la programacin de trabajos, los acuerdos de nivel de servicio, las instrucciones para el opera-
dor, la rotacin de personal, la planeacin de la continuidad y las operaciones de instalaciones remotas
Instrucciones operacionales para la funcin general de inicio, trmino, programacin de la carga de trabajo, estndares,
acuerdos de nivel de servicio, procedimientos para correcciones de emergencia, respuestas de procesamiento anor-
mal, bitcoras de consola, seguridad fsica y lgica, separacin de libreras de desarrollo y produccin y procedi-
mientos para escalamiento de problemas
Una muestra seleccionada de instrucciones operacionales para aplicaciones clave incluyendo, programacin de activi-
dades, entradas, tiempo de procesamiento, mensajes de error, instrucciones de fin anormal, reinicio, procedimien-
tos de escalamiento de problemas, trabajos antes y despus y archivos en el sitio externo
8 Considerando s:
Existe evidencia sobre:
la suficiencia de todos los procesamientos llevados a cabo, arranque en fro (cold starts), reinicios y recupera-
ciones
la suficiencia del IPL (initial programme load-cargue inicial de programa) y del procedimiento de finaliza-
cin de procesos (shut down)
estadsticas de cumplimiento de la programacin de trabajos para confirmar el trmino completo y exitoso de
todos los requerimientos
la separacin fsica y lgica de las libreras fuente y objeto, de pruebas/desarrollo/produccin y los procedi-
mientos de control de cambios para trasladar programas de una librera a otra
estadsticas de desempeo para actividades operacionales, incluyendo, aunque sin limitarse a:
Capacidad, utilizacin y desempeo de hardware y perifricos
Utilizacin y desempeo de memoria
Utilizacin y desempeo de telecomunicaciones
prueba de que el desempeo alcanza las normas de desempeo de producto, los estndares de desempeo
definidos internamente y los compromisos de acuerdo de nivel de servicio de usuarios
el mantenimiento, retencin y revisin peridicos de las bitcoras de operacin se llevan a cabo peridica-
mente
la oportunidad en mantenimiento realizado a todos los equipos
la rotacin de turnos, el disfrute de vacaciones y el mantenimiento de competencia de los operadores
194
8 Probando que:
Los miembros del personal de operaciones estn concientes y comprenden:
los procedimientos de operacin que estn bajo su responsabilidad
las expectativas de desempeo dentro de las instalaciones normas de proveedores, estndares organizacio-
nales y acuerdos de nivel de servicio con los usuarios
Arreglo urgente/emergencia de programas, as como los procedimientos de reinicio/recuperacin
los requerimientos y la revisin administrativa de las bitcoras de operaciones
los procedimientos de escalamiento de problemas
la comunicacin de cambios de turno y las responsabilidades entre turnos
procedimientos de cambio o rotacin para trasladar programas de desarrollo a produccin
interaccin con las instalaciones de procesamiento remotas y centrales
las responsabilidades de comunicar a la administracin sobre las oportunidades de mejoras a la productividad
8 Llevando a cabo:
Una revisin de las estadsticas de desempeo operacional (equipo y personal) para asegurar lo adecuado de su utiliza-
195
cin; compararlas contra organizaciones similares, normas de proveedores y estndares internacionales reconoci-
dos como buenas practicas de la industria
Una revisin de una muestra limitada de manuales de operacin de TI para determinar si cumplen con los requerimien-
tos de las polticas y los procedimientos
Un examen de la documentacin de los procesos de inicio (start-up) y trmino (shut down) y confirmar que los proce-
dimientos son probados y actualizados regularmente
Un examen de la programacin de actividades de procesamiento para asegurar lo adecuado y la suficiencia del desem-
peo comparado contra el plan o programacin de actividades
8 Identificando:
Usuarios seleccionados y asegurando la suficiencia del desempeo operacional relacionado con actividades continuas y
acuerdos de nivel de servicio
Una muestra de terrminaciones anormales (ABENDS abnormal end) para trabajos y determinando la solucin a los
problemas ocurridos
Las experiencias de entrenamiento, rotacin de turnos y vacaciones de los operadores
Una muestra de bitcoras de consola para revisar la precisin, las tendencias en el desempeo y la revisin administra-
tiva de la solucin de problemas evaluar el escalamiento de problemas si aplica
A usuarios para determinar la satisfaccin con el compromiso del acuerdo de nivel de servicio
Procedimientos de mantenimiento preventivo completados en todo el equipo por sugerencia del proveedor
196
MONITOREO
198
MONITOREO
M1
S S S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Monitoreo
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


monitoreo de los procesos


asegurar el logro de los objetivos establecidos para los procesos de TI


la definicin de indicadores de desempeo relevantes, reporte
oportuno y sistemtico del desempeo y accin oportuna de
las desviaciones


Tarjetas de puntuacin con directrices de desem-
peo y medidas de resultado
evaluacin de la satisfaccin de clientes
reportes gerenciales
Desempeo histrico de la base de conocimiento
Benchmarking externo

199
M 1 MONITOREO DE LOS PROCESOS
1 Recolectar Datos de Monitoreo
2 Evaluar el Desempeo
3 Evaluar la Satisfaccin del Cliente
4 Reporte Administrativo
8 Entrevistas:
Director Ejecutivo
Director de auditora interna
Director de servicios de informacin y administracin de control de calidad
Gerente de auditora externa
Usuarios seleccionados de recursos de TI
Miembros del comit de auditora, si aplica

8 Obteniendo:
Polticas y procedimientos organizacionales relacionadas con la planeacin, administracin, monitoreo y reporte del
desempeo
Polticas y procedimientos de TI relacionadas con el monitoreo y el reporte del desempeo, estableciendo iniciativas de
mejoramiento del desempeo y frecuencia de las revisiones
Reportes de las actividades de TI incluyendo, pero no limitados a: reportes internos, reportes de auditoras internas,
reportes de auditoras externas, reportes de usuarios, encuestas de satisfaccin de los usuarios, planes de desarrollo
de sistemas y reportes de avance, minutas del comit de auditora y cualquier otro tipo de evaluacin del uso de
los recursos de TI de la organizacin.
Documentos de planeacin de la funcin de servicios de informacin con objetivos para cada grupo de recursos y el
desempeo real en comparacin con dichos planes.
8 Considerando s:
Los datos identificados para monitorear los recursos de TI son apropiados
Se usan indicadores clave del desempeo y/o factores crticos de xito para medir el desempeo de TI en comparacin
con los niveles deseables.
Los reportes internos de la utilizacin de los recursos de TI (gente, instalaciones, aplicaciones, tecnologa y datos) son
adecuados.
200
Existe una revisin administrativa de los reportes de desempeo de los recursos de TI
Existen controles de monitoreo para proporcionar una retroalimentacin confiable y til de manera oportuna
La respuesta de la organizacin a las recomendaciones de mejoramiento de control de calidad, auditora interna y audi-
tora externa es apropiada
Existen iniciativas y resultados de mejoramiento del desempeo deseado
Se est dando el desempeo organizacional en comparacin con las metas establecidas dentro de la organizacin
Existe anlisis sobre satisfaccin del usuario
La confiabilidad y utilidad de los reportes de desempeo para no usuarios tales como auditor externo, comit de audi-
tora y alta administracin de la organizacin, es suficiente
La oportunidad de los reportes permite una respuesta rpida ante las excepciones o incumplimientos identificados del
desempeo
Los reportes son suficientes en comparacin con las polticas y procedimientos establecidos para el desempeo de las
actividades (por ejemplo, reportes de desempeo)
8 Probando que:
Existen reportes de monitoreo del desempeo de los datos
Existe revisin administrativa de los reportes de monitoreo del desempeo e iniciativas de acciones correctivas
Los empleados estn conscientes y comprenden las polticas y procedimientos relativos al monitoreo del desempeo
La calidad y el contenido de los reportes internos se relacionan con:
La recoleccin de datos de monitoreo del desempeo
El anlisis de los datos de monitoreo del desempeo
El anlisis de los datos del desempeo de los recursos
Las acciones administrativas sobre problemas del desempeo
El anlisis de encuestas de satisfaccin de los usuarios
La alta administracin est satisfecha con los reportes sobre el monitoreo del desempeo
8 Llevando a cabo:
Benchmarking del monitoreo del desempeo contra organizaciones similares o estndares internacionales apropiados
considerados como las mejores prcticas de la industria
Revisin de la relevancia de los datos dentro de los procesos que se estn monitoreando
Revisin del desempeo real contra lo planeado en todas las reas de TI
Satisfaccin real del usuario contra lo considerado previamente de todas las reas de TI
Anlisis del nivel de cumplimiento de las recomendaciones de la administracin
Anlisis del nivel de implementacin de las recomendaciones de la administracin

8 Identificando:
La competencia, autoridad e independencia del personal de monitoreo dentro de la organizacin de sistemas de infor-
macin
201
202
MONITOREO
M2
S P S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Monitoreo
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Evaluar lo adecuado del control interno


asegurar el logro de los objetivos de control interno establecidos para
los procesos de TI


el compromiso de la Gerencia de monitorear los controles
internos, evaluar su efectividad y emitir reportes sobre ellos
en forma regular


Responsabilidades para el control interno
monitoreo permanente de control interno
Benchmarks
reportes de errores y excepciones
auto evaluaciones
reportes gerenciales
Cumplimiento con requerimientos legales y
regulatorios

203
M 2 EVALUAR LO ADECUADO DEL CONTROL INTERNO
1 Monitoreo del Control Interno
2 Operacin Oportuna de los Controles Internos
3 Reportes del Nivel de Control Interno
4 Aseguramiento de la Seguridad Operacional y del Control Interno
8 Entrevistas:
Director Ejecutivo
Director de TI y administracin de control de calidad

8 Obteniendo:
Polticas y procedimientos organizacionales relacionadas con la planeacin, administracin, monitoreo y reporte de los
controles internos
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con el monitoreo y el reporte de los
controles internos y la frecuencia de las revisiones
Reportes de las actividades de TI incluyendo, pero no limitados a: reportes internos, reportes de auditoras internas,
reportes de auditoras externas, reportes de usuarios, encuestas de satisfaccin de los usuarios, planes de desarrollo
de sistemas y reportes de avance, minutas del comit de auditora y cualquier otro tipo de evaluacin de los con-
troles internos de TI
Polticas y procedimientos especficos de TI relativos al aseguramiento de la seguridad operacional y del control inter-
no
8 Considerando s:
Los datos identificados para monitorear los controles internos de TI son apropiados
Los reportes internos de los datos de control interno de TI son adecuados
Existe una revisin administrativa de los controles internos de TI
Existen controles de monitoreo para proporcionar retroalimentacin confiable y til de manera oportuna
La respuesta de la organizacin a las recomendaciones de mejoramiento del control de calidad, auditora interna y au-
204
ditora externa es apropiada
Existen iniciativas y resultados de mejoramiento del control interno deseable
Se est dando el desempeo organizacional en comparacin con las metas establecidas de control interno de la organi-
zacin
La informacin concerniente a errores, inconsistencias y excepciones de control interno se mantiene de manera siste-
mtica y se reporta a la administracin
La confiabilidad y utilidad de los reportes de control interno para no usuarios, tales como auditor externo, comit de
auditora y alta administracin de la organizacin, es suficiente
La oportunidad de los reportes permite una respuesta rpida ante las excepciones o incumplimientos identificados del
control interno
Los reportes de control interno son suficientes en comparacin con las polticas y procedimientos establecidos para el
desempeo de las actividades (por ejemplo, reportes de control interno)
8 Probando que:
Existen reportes de monitoreo del control interno
Se lleve a cabo una revisin administrativa de los reportes de control interno e iniciativas de acciones correctivas
Los empleados estn conscientes y comprenden las polticas y procedimientos relativos al monitoreo del control interno
La calidad y el contenido de los reportes internos se relacionan con:
La recoleccin de datos de monitoreo del control interno
El desempeo del cumplimiento del control interno
Las acciones administrativas sobre problemas del control interno
El aseguramiento de la seguridad operacional y del control interno
La alta administracin est satisfecha con los reportes sobre el monitoreo de la seguridad y el control interno
8 Llevando a cabo:
Benchmarking de la evaluacin del control interno respecto a organizaciones similares o estndares internacionales
apropiados reconocidos como mejores prcticas de la industria
Revisin de la relevancia de los datos dentro de los procesos que se estn monitoreando y en el reporte de los controles
internos
Marco de referencia para la revisin de los controles internos de toda la organizacin y en particular de TI para asegu-
rar la suficiencia de la cobertura y de los diversos niveles de detalle para los responsables del proceso
Revisin del control interno real contra lo planeado en todas las reas de TI
Anlisis del grado de cumplimiento de las metas de control interno e iniciativas de mejoramiento
Revisin de la satisfaccin del comit de auditora con los reportes sobre los controles internos
Anlisis del nivel de implantacin de las recomendaciones de la administracin

8 Identificando:
Las reas adicionales para el probable reporte de control interno, en consistencia con la auditora de TI, la administra-
cin, los auditores externos y aspectos regulatorios
La responsabilidad, autoridad e independencia del personal de revisin de control interno dentro de la organizacin de
sistemas de informacin
205
206
MONITOREO
M3
Monitoreo
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

S P S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

c
o
n
f
i
a
b
i
l
i
d
a
d


obtencin de aseguramiento independiente


incrementar los niveles de confianza entre la organizacin, clientes y
proveedores externos


revisiones de aseguramiento independientes llevadas al cabo
en intervalos regulares


certificaciones y acreditaciones independientes
evaluaciones independientes de efectividad
aseguramiento independiente sobre cumpli-
miento de requerimientos legales y regulatorios
aseguramiento independiente de cumplimiento
de compromisos contractuales
revisiones y Benchmarking a proveedores de
servicios externos
Revisiones del aseguramiento de desempeo
realizadas por personal calificado
involucramiento proactivo de auditora
207
M 3 OBTECIN DE ASEGURAMIENTO INDEPENDIENTE
1 Acreditacin/Certificacin Independiente de la Seguridad y el Control Interno de los Servicios de TI
2 Acreditacin/Certificacin Independiente de la Seguridad y el Control Interno de los Proveedores Externos de Ser-
vicios
3 Evaluacin Independiente de la Efectividad de los Servicios de TI
4 Evaluacin Independiente de la Efectividad de los Proveedores Externos de Servicios
5 Aseguramiento Independiente del Cumplimiento de Requerimientos Legales y regulatorios y Compromisos Con-
tractuales
6 Aseguramiento Independiente del Cumplimiento de Requerimientos Legales y Regulatorios y Compromisos Con-
tractuales por parte de Proveedores Externos de Servicios
7 Responsabilidad de la Funcin de Aseguramiento Independiente
8 Involucramiento Proactivo de Auditora
8 Entrevistas:
Director Ejecutivo
Director de TI
Gerente de aseguramiento independiente

8 Obteniendo:
Organigrama a nivel de toda la organizacin y manual de polticas y procedimientos
Polticas y procedimientos relativas al proceso de aseguramiento independiente
Contratos/Acuerdos de servicio con el proveedor del servicio de TI
Requerimientos legales y regulatorios pertinentes y compromisos contractuales
Contratos/estatutos, presupuestos, reportes previos e historial de desempeo de aseguramiento independiente
Historial de experiencia y educacin continua del personal de aseguramiento independiente
Reportes de auditoras previas
8 Considerando s:
Los contratos/estatutos de aseguramiento independiente estn debidamente establecidos/ejecutados para asegurar la co-
bertura de revisin adecuada (por ejemplo, certificacin/acreditacin, evaluacin de eficacia y evaluaciones de
208
cumplimiento)
La acreditacin/certificacin independiente se obtiene antes de implantar servicios nuevos e importantes de TI
La re-certificacin/re-acreditacin independiente de los servicios de tecnologa de informacin se obtiene en un ciclo
rutinario despus de la implantacin
La certificacin/acreditacin independiente se obtiene antes de utilizar a los proveedores de servicios de tecnologa de
informacin
La re-certificacin/re-acreditacin se obtiene en un ciclo rutinario
La evaluacin independiente de la eficacia de los servicios de tecnologa de informacin se obtiene en un ciclo rutina-
rio
La evaluacin independiente de la eficacia de los servicios de TI se obtiene en un ciclo rutinario
La evaluacin independiente de la eficacia de los proveedores de servicios de TI se obtiene en un ciclo rutinario
Las revisiones independientes del cumplimiento de TI con los requerimientos legales y regulatorios y los compromisos
contractuales se obtiene en un ciclo rutinario
Las revisiones independientes del cumplimiento de proveedores externos de los servicios de TI con los requerimientos
legales y regulatorios y los compromisos contractuales se obtienen en un ciclo rutinario
El personal de aseguramiento independiente es competente y realiza su tarea de acuerdo a los estndares profesionales
apropiados
El programa de educacin profesional continua ayuda para proporcionar la capacitacin tcnica al personal de asegura-
miento independiente
La administracin busca el involucramiento de auditora antes de decidir sobre soluciones del servicio de TI
8 Probando que:
La alta gerencia aprueba el desempeo de la entidad de aseguramiento independiente
La certificacin/acreditacin independiente antes de la implantacin de nuevos servicios crticos de TI es global, com-
pleta y oportuna
La re-certificacin/re-acreditacin independiente de los servicios de TI se realiza en un ciclo rutinario despus de la
implantacin, y que es global, completa y oportuna
La certificacin/acreditacin independiente antes de utilizar proveedores de servicios de TI es global, completa y opor-
tuna
La re-certificacin/re-acreditacin independiente se realiza en un ciclo rutinario y es global, completa y oportuna
La evaluacin independiente de la efectividad de los servicios de TI se realiza en un ciclo rutinario y es global, com-
pleta y oportuna
La evaluacin independiente de la efectividad de los proveedores de servicios de TI se realiza en un ciclo rutinario y es
global, completa y oportuna
Las revisiones independientes del cumplimiento de TI con los requerimientos legales y regulativos y los compromisos
contractuales se realizan en ciclos rutinarios y son globales, completas y oportunas
Las revisiones independientes del cumplimiento de proveedores externos de servicios con los requerimientos legales y
regulativos y los compromisos contractuales se realizan en ciclos rutinarios y son globales, completas y oportunas
Los reportes de la funcin de aseguramiento independiente son relevantes en cuanto a hallazgos, conclusiones y reco-
mendaciones
La funcin de aseguramiento independiente posee las habilidades y el conocimiento necesarios para realizar un trabajo
209
competente
Existe involucramiento proactivo, antes de decidir sobre soluciones del servicio de TI
8 Llevando a cabo:
Benchmarking de las actividades de revisin de la entidad de aseguramiento independiente respecto a organizaciones
similares o estndares internacionales apropiados reconocidos como mejores prcticas de la industria
Una revisin detallada que:
verifique los contratos/estatutos de aseguramiento independiente respecto a las actividades de revisin reali-
zadas
determine la suficiencia y oportunidad de las certificaciones/acreditaciones
determine la suficiencia y oportunidad de las re-certificaciones/re-acreditaciones
determine la suficiencia y oportunidad de las evaluaciones de eficacia
determine la suficiencia y oportunidad de las revisiones de cumplimiento de requerimientos legales y regula-
torios y de compromisos contractuales
verifique la capacidad del personal de la funcin de aseguramiento independiente
verifique el involucramiento proactivo de auditora

8 Identificando:
El valor agregado de las actividades de revisin de aseguramiento independiente
El desempeo real contra lo planeado con relacin a los planes y presupuestos de aseguramiento independiente
El grado y la oportunidad del involucramiento proactivo de auditora
210
MONITOREO
M4
S P S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Monitoreo
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


proveer auditora independiente


incrementar los niveles de confianza y beneficiarse de recomendacio-
nes basadas en mejores prcticas


auditoras independientes desarrolladas en intervalos regula-
res


independencia de la auditora
involucramiento proactivo de la auditora
ejecucin de auditoras por parte de personal
calificado
aclaracin de hallazgos y recomendaciones
actividades de seguimiento
Evaluacin del impacto de las recomendaciones
de la auditora (costo, beneficios y riesgos)

211
M 4 PREVEER AUDITORA INDEPENDIENTE
1 Estatutos de Auditora
2 Independencia
3 tica y Estndares Profesionales
4 Competencia
5 Planeacin
6 Realizacin del Trabajo de Auditora
7 Reporte
8 Actividades de Seguimiento
8 Entrevistas:
Director Ejecutivo
Director de control de calidad de TI

8 Obteniendo:
Organigrama a nivel de toda la organizacin y manual de polticas y procedimientos
Cdigo de conducta a nivel organizacin
Polticas y procedimientos relativos al proceso de auditora independiente
Estatutos/normas de auditora, misin, polticas, procedimientos y estndares, reportes previos y planes de auditora
Opiniones de auditora externa, revisiones y planes de auditora
Historial de experiencia y educacin continua del personal de auditora independiente
Evaluacin del riesgo de auditora, presupuesto e historial de desempeo
Minutas de las reuniones del comit de auditora, si aplica
8 Considerando s:
El comit de auditora est debidamente establecido y se rene con regularidad, si aplica
La organizacin de auditora interna est debidamente establecida
Las auditoras externas contribuyen al cumplimiento del plan de auditora
La adherencia de la auditora a los cdigos de conducta profesional es suficiente
La independencia del auditor est confirmada mediante declaraciones firmadas de conflicto de intereses
El plan de auditora se basa en la metodologa de evaluacin de riesgos y en las necesidades generales del plan
212
Las auditoras se planean y supervisan de manera adecuada
El programa de educacin profesional continua ayuda en la capacitacin tcnica de los auditores
El personal de auditora es competente y realiza sus tareas de acuerdo con los estndares profesionales de auditora
Existe un proceso adecuado de reporte de los hallazgos de la auditora hacia la administracin
El seguimiento de todos los problemas de control se est realizando de manera oportuna
La cobertura de la auditora incluye todo el rango de auditora de sistemas de informacin (por ejemplo, controles ge-
nerales y de aplicaciones, ciclo de desarrollo del sistema, rentabilidad, economa, eficiencia, eficacia, enfoque
proactivo de auditora, etc.)
8 Probando que:
La alta administracin aprueba el desempeo de la funcin continua de auditora independiente
Las actitudes de la alta administracin son consistentes con la normas/estatutos de auditora
Benchmarks de auditora interna respecto a los estndares profesionales
La designacin de auditores asegura la independencia y las habilidades necesaria
Hay mejora continua en la experiencia profesional del personal de auditora
El contenido del reporte de auditora es relevante respecto a las recomendaciones
Existen reportes de seguimiento que resumen la oportunidad de la implantacin
8 Llevando a cabo:
Benchmarking de la funcin de auditora respecto a organizaciones similares o estndares internacionales apropiados
reconocidos como mejores prcticas de la industria
Una revisin detallada que:
verifique que el plan de auditora representa una revisin cclica y continua
la auditora est contribuyendo al xito del negocio y a los planes de TI
la evidencia de la funcin de auditora apoya las conclusiones y recomendaciones
los hallazgos de la auditora estn siendo comunicados y se est tomando ventaja de los mismos o se estn
reduciendo riesgos
las recomendaciones de la auditora estn siendo implantadas de manera consciente respecto al beneficio que
representan

8 Identificando:
El costo/beneficio de las recomendaciones de la auditora
El desempeo real contra lo planeado con relacin al plan y presupuesto de auditora
El grado de integracin entre la auditora externa y la interna
213
A APENDICE PENDICE 1 1 D DIRECTRICES IRECTRICES DE DE A AUDITORIA UDITORIA
DIRECTRICES DE GERENCIALES DEL GOBIERNO DE TI

Las siguientes Directrices Gerenciales y el Modelo de Madurez identifican Factores Crticos de xito (CSFs -
Critical Success factors), Indicadores claves de Resultados/Objetivos (KGIs - Key Goal Indicators), Indicado-
res Claves de Desempeo (KPIs - Key Performance Indicators) y el Modelo de Madurez para el Gobierno de
TI. Primero, el Gobierno de TI es definido articulando las necesidades del negocio. A continuacin, los crite-
rios de informacin relacionados con el Gobierno de TI son identificados. El negocio necesita ser medido por
las KGIs y estructurado por una declaracin de control, que es considerada como una ventaja para todos los re-
cursos de TI. El resultado de estructurar la declaracin de control es medido por los KGIs, considerando los
KSFs. El modelo de madurez es utilizado para evaluar el nivel de cumplimiento del gobierno de TI de una or-
ganizacin - desde un nivel No existente (el mas bajo nivel) a un nivel Inicial/Ad Hoc, a un nivel
Repetible pero Intuitivo, a un nivel donde los Procesos estn Definidos, a un nivel Administrado y Medi-
do llegando a un nivel Optimizado (el mas alto nivel). Para lograr el modelo de madurez optimizado para el
gobierno de TI una organizacin debe estar por lo menos en el nivel Optimizado por el Dominio de Monitoreo
y al menos en el nivel administrado y medido por los dems dominios.

(Ver las Directrices gerenciales de Cobit para una mas completa discusin sobre el uso de estas herramientas.)

214
DIRECTRICES DE GERENCIALES DEL GOBIERNO DE TI

DIRECTRIZ GERENCIAL DEL GOBIERNO DE TI

Gobierno o Gobernabilidad sobre la tecnologa de informacin y sus procesos con el objetivo de negocio de
proveer valor agregado mientras balancea los riesgos versus el retorno

Asegura la entrega/distribucin de informacin al negocio, satisfaciendo los Criterios de informacin requeridos
y siendo medido por Indicadores Clave de Resultados/Objetivos.
.
Es obtenido mediante la creacin y mantenimiento de un sistema de procesos y por controles de
excelencia apropiados para el negocio que direccionan y monitorean el valor que proporciona TI para
el negocio

Considerando Factores crticos de xito que dan ventaja competitiva a todos los Recursos de
TI y que es medido por Indicadores Clave de desempeo

FACTORES CRITICOS DE XITO

Las actividades del Gobierno de TI estn integradas dentro del proceso de Gobierno de la empresa y dentro
de comportamientos o conductas de liderazgo
El Gobierno de TI se enfoca sobre los objetivos o metas de la empresa, sus iniciativas estratgicas, el uso de
la tecnologa para incrementar el negocio y, sobre la disponibilidad de suficientes recursos y capacidades
para soportar las demandas del negocio.
Las actividades del Gobierno de TI estn definidas con un claro propsito, e cual esta documentado e
implementado y que est basado en las necesidades de la empresa sin considerar registros/contabilizaciones
ambiguas.
Las prcticas gerenciales estn implementadas para incrementar el uso eficiente y ptimo de los recursos y
para incrementar la eficacia de los procesos de TI
Las practicas organizacionales se establecen para ensamblar algo que parece descuidado, como por ejemplo
un control cultural/ambiental; el anlisis de riesgos como una practica estndar; el grado de adherencia con
los estndares establecidos; el monitoreo y seguimiento a las deficiencias de control y a los riesgos.
Las practicas de control se establecen para evitar rompimientos entre los controles internos y los posibles
riesgos.
Hay integracin e interoperabilidad de los ms complejos procesos de TI como son los problemas, cambios
y administracin de la configuracin.
Se establece un comit de auditoria para apuntar y enfocar al auditor independiente sobre TI cuando esta
ejecutando su plan de auditoria y revisa los resultados de la auditora y revisiones a terceras partes.
215
CRITERIOS DE INFORMACION

Eficacia
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
confiabilidad
RECURSOS DE TI

Gente
Aplicaciones
Tecnologa
Instalaciones
Datos

Incremento del desempeo y la administracin de costos
Mejora el retorno sobre las inversiones mayores de TI
Mejora el tiempo del mercado
Incrementa la calidad, la innovacin y la administracin de riesgos
Apropiadamente integrado y estandarizado con los procesos del negocio
Cubre clientes nuevos y clientes satisfechos
Disponibilidad de apropiado ancho de banda, poder de computo y mecanismos de entrega de TI
Satisface los requerimientos y expectativas de los clientes del proceso considerando el presupuesto y el
tiempo
Cumplimiento de leyes, regulaciones, estndares de la industria y compromisos contractuales
Transparencia sobre el riesgo aceptado y adherencia al perfil de riesgo organizacional acordado.
Comparaciones de Benchmarking enfocadas a la madurez del gobierno de TI
Creacin de nuevos canales de distribucin de servicios
INDICADORES CLAVES DE RESULTADO/OBJETIVOS
INDICADORES CLAVES DE DESEMPEO

Incrementa el costo/eficiencia de los procesos de TI (Costo Vs Entregables) incrementa el nmero de
planes de accin de TI para las iniciativas de mejoramiento de los procesos
Incrementa la utilizacin de la infraestructura de TI
Incrementa la satisfaccin de los accionistas (encuestas y nmero de quejas)
Incrementa la productividad del personal de apoyo (nmero de entregables) y la moral (encuestas)
Incrementa la disponibilidad del conocimiento y la informacin para administrar la empresa
Incrementa la comunicacin entre el gobierno de TI y el gobierno del empresa
Incrementa el desempeo de acuerdo con mediciones realizadas por balanced scorecards de TI

216
A APENDICE PENDICE I I D DIRECTRICES IRECTRICES DE DE A AUDITORIA UDITORIA
MODELO DE MADUREZ DEL GOBIER-
NO DE TI

El gobierno sobre la tecnologa de informacin y
sus procesos con el objetivo del negocio de pro-
veer valor agregado mientras se balancea el ries-
go versus el retorno

0 No existente. Hay una completa falta de
cualquier proceso de TI reconocible. La
organizacin no ha reconocido que hay
problemas que deberan ser considerados y
por consiguiente no hay comunicacin
acerca de estos problemas

1 Inicial/Ad Hoc. Hay evidencia de que la orga-
nizacin ha reconocido que existen problemas
del gobierno de TI que necesitan ser reenfoca-
dos. Hay, sin embargo, procesos no estandari-
zados; pero en su lugar hay enfoques aplica-
dos sobre bases individuales o caso por caso.
El enfoque de la administracin es catico y
solo hay espordicamente comunicacin in-
consistente sobre los problemas y los enfoques
que los deben consideran stos problemas.
Puede haber algn conocimiento para obtener
el valor de TI en el desempeo orientado al
resultado de los procesos relacionados de la
empresa. No hay procesos de evaluacin es-
tndar. El monitoreo sobre TI est implemen-
tado nicamente de una forma reactiva sobre
incidentes que han causado alguna prdida o
vergenza a la organizacin.

2 Repetible pero intuitiva. Hay una concien-
cia global sobre los problemas de gobierno de
TI. Las actividades del gobierno de TI y los
indicadores de desempeo estn bajo desarro-
llo incluyendo los procesos de planeacin de
TI, distribucin/entrega y monitoreo. Como
parte de este esfuerzo las actividades del go-
bierno de TI son formalmente establecidas
dentro de un proceso de administracin de
cambios de la organizacin, con un involucra-
miento descuidado de la gerencia senior. Los
procesos de TI seleccionados son identificados
con base en el involucramiento y/o el control
sobre los procesos fundamentales de la empre-
sa y son efectivamente planeados y monitorea-
dos como inversiones y se derivan del contex-
to del marco referencial de la arquitectura de
TI definida.

La gerencia ha identificado mtodos y tcni-
cas bsica de evaluacin y medicin del go-
bierno de TI, sin embargo, el proceso no ha
sido adoptado a travs de toda la organiza-
cin. No hay entrenamiento y comunicacin
formal sobre los estndares de gobierno y las
responsabilidades se dejan en manos de los
individuos. Los individuos manejan los pro-
cesos de gobierno por medio de varios proce-
sos y proyectos de TI. Las herramientas esta-
blecidas para limitar el gobierno, son escogi-
das e implementadas a travs de mtricas de
gobierno agrupadas, pero pueden no ser utili-
zadas a toda su capacidad debido a la falta de
experiencia en su funcionalidad.

3 Procesos Definidos. La necesidad de actuar
con respecto al gobierno de TI es entendida y
aceptada. Se desarrolla una lnea base de indi-
cadores para el gobierno de TI donde se crea
un enlace entre las actividades de desempeo
que han sido definidas, documentadas e inte-
gradas dentro de un plan operacional y estrat-
gico y dentro de los proceso de monitoreo.

Los procedimientos han sido estandarizados,
documentados e implementados. La gerencia
ha comunicado los procedimientos estandari-
zados y se ha establecido un entrenamiento
informal. Los indicadores de desempeo sobre
todo las actividades sobre el gobierno de TI
han sido registradas y se les hace seguimiento
motivando el mejoramiento a todo lo ancho de
la empresa. Aunque medibles los procedi-
mientos no son sofisticados pero son la forma-
lizacin de las prcticas existentes. Las herra-
mientas son estandarizadas utilizando tcnicas
disponibles actualmente. Ideas sobre el balan-
ced scorecards del negocio de TI son adopta-
das por la organizacin. Esto, sin embargo, no
le ayuda al individuo a obtener entrenamiento,
seguir estndares y aplicarlos. El anlisis sobre
217
A APENDICE PENDICE I I D DIRECTRICES IRECTRICES DE DE A AUDITORIA UDITORIA
las causas originales se lleva a cabo solo oca-
sionalmente. La mayora de los procesos son
monitoreados contra algunas (lnea base) m-
tricas, pero cualquier desviacin que se presen-
te sobre las acciones llevadas a cabo por inicia-
tivas individuales podran no ser probablemen-
te detectadas por la gerencia . Sin embargo, la
contabilidad/registro de todos los procesos
claves de desempeo son claros y la adminis-
tracin es recompensada con base en medicio-
nes claves de desempeo.

4 Manejado/administrado y medible. Hay un
completo entendimiento sobre los problemas
del gobierno de TI a todos los niveles y hay
soporte de entrenamiento formal. Hay un claro
entendimiento de quien es el cliente y sus res-
ponsabilidades estn definidas y monitoreadas
a travs de acuerdos de niveles de servicio. Las
responsabilidades son claras y se establece la
propiedad sobre los procesos. Los procesos de
TI estn alineados son los procesos del nego-
cio y con la estrategia de TI. El mejoramiento
en los procesos de TI se basa inicialmente so-
bre un entendimiento cuantitativo y esto es
posible para monitorear y medir el cumpli-
miento con procedimientos y mtricas sobre
los procesos. Todos los integrantes de los pro-
cesos son concientes de los riesgos, la impor-
tancia de TI y las oportunidades que TI puede
ofrecer. La gerencia a definido el nivel de tole-
rancia sobre la cual el proceso debe funcionar.
Se toman acciones en muchos pero no en todos
los casos donde parece que los procesos no
trabajan eficientemente. Los procesos son me-
jorados ocasionalmente y las mejores prcticas
internas son reforzadas. El anlisis sobre las
causas de los problemas est siendo estandari-
zado. El mejoramiento contnuo est siendo
implementado. Hay un limitado y primaria-
mente tctico uso de la tecnologa sobre bases
de tcnicas de madurez y las herramientas es-
tndar son reforzadas. Hay un involucramiento
de todos los expertos que se requieren para el
dominio de los procesos internos. El gobierno
de TI est involucrado dentro de los procesos
en todo lo ancho de la empresa. Las activida-
des del gobierno de TI estn siendo integradas
con los procesos del gobierno de la empresa.

5 Optimizado. Hay una base en la bsqueda del
entendimiento de los problemas y soluciones
del gobierno de TI. El entrenamiento y la co-
municacin estn soportados por conceptos y
tcnicas de mando/direccin. Los procesos han
sido refinados a un nivel de mejores prcticas
externas basados sobre el resultado del mejo-
ramiento contnuo y del modelamiento de ma-
durez con otras organizaciones. La implemen-
tacin de esas polticas han permitido a la
organizacin, a la gente y a los procesos adap-
tarse rpidamente y obtener un soporte com-
pleto a los requerimientos de gobierno de TI.
Todos los problemas y desviaciones son anali-
zadas buscando sus causas desde el origen y se
identifican e inician inmediatamente acciones
eficientes. TI es utilizado de una completa
integrada y optimizada manera para automati-
zar el flujo de trabajo y proporcionar herra-
mientas para mejorar la calidad y la eficacia.
Los riegos y el retorno de los procesos de TI
estn definidos, balanceados y comunicados a
travs de toda la empresa. Expertos externos
son considerados y los Benchmarks son utili-
zados como guas. El monitoreo, auto evalua-
cin y la comunicacin acerca de las expecta-
tivas del gobierno son difundidas en la organi-
zacin y hay un uso ptimo de la tecnologa
para soportar las mediciones, el anlisis, la
comunicacin y el entrenamiento. El gobierno
de la empresa y el gobierno de TI son encade-
nados estratgicamente utilizando recursos
financieros, humanos y tecnolgicos para in-
crementar la ventaja competitiva de la empre-
sa.
218
A APENDICE PENDICE II II D DIRECTRICES IRECTRICES DE DE A AUDITORIA UDITORIA
El proyecto Cobit contina siendo supervisado por
un Comit Directivo del proyecto conformado por
representantes internacionales de la industria, la
academia, el gobierno y profesionales en seguridad
y el control. El Comit Directivo del proyecto ha
sido un instrumento en el desarrollo del Marco Re-
ferencial del Cobit y en la aplicacin de los resulta-
dos obtenidos. Los grupos internacionales de traba-
jo fueron establecidos con el propsito de asegurar
la calidad y la revisin experta de los investigado-
res interinos del proyecto y el desarrollo de entre-
gables. La gua general del proyecto es proporcio-
nada por el IT Governance Institute.

INVESTIGACION Y ENFOQUE DEL
DESARROLLO INICIAL

Iniciando con el Marco Referencial del Cobit defi-
nido en la primera edicin, la aplicacin de guas y
estndares internacionales y la bsqueda de las
mejores prcticas han permitido el desarrollo de los
objetivos de control. Las directrices de auditoria
fueron desarrolladas posteriormente para evaluar si
esos objetivos de control se implementan adecua-
damente.

La investigacin para la primera y segunda edicin
incluy la recoleccin y anlisis de fuentes interna-
cionales identificadas y fue sostenida por equipos
en Europa (Free University Of Amsterdam), Los
Estados Unidos (California Polytechnic University)
y Australia (University Of New South Wales). Los
investigadores estuvieron encargados de la compi-
lacin, revisin, evaluacin y de la incorporacin
apropiada de los estndares tcnicos internaciona-
les, del cdigo de conducta, estndares de Calidad,
estndares profesionales en Auditora y prcticas y
requerimientos de la industria, como se puede ver
en el Marco Referencial y en los objetivos de con-
trol individuales. Despus de la recoleccin y an-
lisis, los investigadores tuvieron el reto de exami-
nar cada dominio y cada proceso con profundidad
y sugerir nuevos o modificados objetivos de con-
trol aplicables a procesos de TI particulares. La
consolidacin de los resultados fue llevada a cabo
por el Comit Directivo del Cobit y el director de
Investigaciones de ISACF.

INVESTIGACION Y ENFOQUE PA-
RA LA 3
a
EDICION

El proyecto de la tercera edicin del Cobit consis-
ti en el desarrollo de las Directrices Gerenciales
y la actualizacin de la segunda divisin del Cobit
basado en nuevas y revisadas referencias interna-
cionales.

A continuacin el Marco Referencial de Cobit fue
revisado y mejorado con el fin de soportar el incre-
mento de los controles gerenciales, introducir el
gerenciamiento del desempeo y promover el de-
sarrollo del gobierno de TI. Con el fin de propor-
cionarle a la gerencia una aplicacin del Marco
Referencial para que ella pueda analizar y tomar
decisiones en la implementacin de los controles y
mejoramiento de la informacin y las tecnologas
relacionadas as como medir el desempeo, las Di-
rectrices Gerenciales incluyen Modelos de Madu-
rez, Factores Crticos de xito, Indicadores Claves
de Resultado y Indicadores Claves de desempeo
relacionados con los Objetivos de Control.

Las Directrices Gerenciales fueron desarrolladas
por un panel internacional de 40 expertos de la in-
dustria, la academia, el gobierno y la profesin de
seguridad y control en TI. Estos expertos participa-
ron en un taller residencial guiado por facilitadores
profesionales y utilizando guas de desarrollo defi-
nidas por el Comit Directivo del Cobit. El taller
estuvo fuertemente soportado por la Gartner Gruop
y PricewaterhouseCoopers, quienes no solo pro-
porcionaron un constante liderazgo sino que tam-
DESCRIPCION DEL PROYECTO COBIT
219
A APENDICE PENDICE II II D DIRECTRICES IRECTRICES DE DE A AUDITORIA UDITORIA
bin enviaron varios de sus experto en control, Ge-
renciamiento del desempeo y Seguridad de Infor-
macin. como resultado del taller se produjo un
documento inicial (Draft) de los Modelos de Ma-
durez, Factores Crticos de xito, Indicadores Cla-
ves de Resultados y Indicadores Claves de Desem-
peo para cada uno de los 34 objetivos de control
de alto nivel. El aseguramiento de calidad de los
entregables iniciales fue llevado a cabo por el Co-
mit Directivo del Cobit y los resultados fueron
puestos a disposicin de quien quisiera hacer co-
mentarios sobre el tema en la Web Site de ISACA.
El documento de Directrices Gerenciales fue final-
mente preparado para ofrecer un nuevo paquete de
herramientas orientadas a la gerencia, obteniendo
la integracin y consistencia con el Marco Referen-
cial del Cobit.

La actualizacin de los Objetivos de Control, basa-
dos sobre nuevas y revisadas referencias interna-
cionales fue realizado por miembros de los captu-
los de ISACA bajo la direccin de miembros del
Comit Directivo del Cobit.

El resultado del desarrollo de las Directrices Ge-
renciales se utilizaron para revisar el Marco Refe-
rencial, especialmente las consideraciones, metas y
sentencias habilitadoras de los objetivos de control
de alto nivel.

DESCRIPCION DEL PROYECTO COBIT
220
A APENDICE PENDICE III III D DIRECTRICES IRECTRICES DE DE A AUDITORIA UDITORIA
MATERIAL DE REFERENCIA PRIMARIA DE COBIT
COSO: Comit de las organizaciones patrocinadoras de la Comisin Treadway. Control Interno Marco de Referencia
Integrado. 2 vols. Instituto Americano de Contadores Certificados, Nueva Jersy, 1994.
OECD Guidelines: Organizacin para la Cooperacin Econmica y el Desarrollo. Directrices para la Seguridad de la
Informacin, Pars, 1992.
DTI Code of Practice for Information Security Management: Departamento de Comercio e Industria y el Instituto Brit-
nico de Estndares. Un Cdigo de prcticas para el Manejo de la Seguridad de la Informacin, Londres, 1993, 1995.
IS0-9000-3: Organizacin Internacional de Estandarizacin. Estndares de la Administracin de Calidad y Aseguramiento
de Calidad Parte 3: Directrices para la aplicacin del IS0-9001 para el desarrollo, abastecimiento y mantenimiento del
software, Suiza 1991.
An Introduction to Computer Security: The NIST Handbook: Publicacin especial 800-12 del NIST. Instituto Nacional
de Estndares y Tecnologa, Departamento de Comercio de E.U.A, Washington DC, 1995.
ITIL IT Management Practices: Biblioteca de la Infraestructura de la Tecnologa de la Informacin. Prcticas y Directri-
ces desarrollados por la Agencia Central de Computacin y Telecomunicaciones (CCTA), Londres, 1989.
IBAG Framework: Marco de Referencia Preliminar del Grupo de Consultora de Negocios para SOGIS (Grupo de Direc-
tores Ejecutivas de la Seguridad de Informacin, Recomendando a la Comisin Europea) Bruselas, Blgica, 1994.
NSW Premiers Office Statement of Best Practices and Planning Information Management and Techniques: Decla-
racin de la Mejores Prcticas #1 a la #6. Departamento del Primer Ministro de New South Wales, Gobierno de New
South Wales, Australia, de 1990 a 1994.
Memorandum Dutch Central Bank: Memorandum sobre la Confiabilidad y Continuidad del Procesamiento electrnico
de Datos en la Banca. Banco de Nederlandsche, Reimpreso de Boletn Trimestral #3, Pases Bajos, 1998.
EDPAF Monograph #7, EDI: An Audit Aproach: Jamison, Rodger. EDI. Un Enfoque de Auditora, Serie Monogrfica
#7, Fundacin de Auditora y Control de los Sistemas de Informacin; INC, Rolling Meadows, IL, Abril 1994.
PCIE (Presidents Council on Integrity and Efficiency) Model Framework: Un Marco de Referencia Modelo para la
Administracin sobre los Sistemas de Informacin Autorizados. Elaborado conjuntamente por el Consejo Presidencial para
el Mejoramiento de la Administracin y el Consejo Presidencial sobre Integridad y Eficiencia, Washington, DC, 1987.
Japan Information Systems Auditing Standards: Estndares de Auditora para los Sistemas de Informacin de Japn.
Proporcionado por la cooperacin de Auditora Chuo, Tokio, Agosto 1994.
CONTROL OBJECTIVES Controls in an Information Systems Environment: Control Guidelines and Audit Proce-
dures: Fundacin de Auditores EDP (ahora la Fundacin de Control y Auditora de los Sistemas de Informacin), cuarta
Edicin, Rolling Meadows, IL, 1992.
CISA Job Analysis: Consejo de Certificacin de la Asociacin de Control y Auditora de Sistema de Informacin.
Estudio de Anlisis del Puesto de Trabajo del Auditor de Sistemas de Informacin Certificado, Rolling Meadows, IL
1994.
IFAC International Information Technology GuidelinesManaging Security of Information: Federacin Internacio-
nal de Contadores, Nueva York, NY, 1998.
IFAC International Guidelines on Information Technology Managementmanaging Information Technology Plan-
ning for Business Impact: Federacin Internacional de Contadores, Nueva York, NY, 1999.
Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: Publicacin Especial
NIST, 500-153: Instituto Nacional de Estndares y Tecnologa, Departamento de Comercio de E.U.A., Washington, DC,
1998.
221
Government Auditing Standards: Oficina General de Contabilidad de EUA, Washington, DC, 1999.
Denmark Generally Accepted Management Practices: El Instituto de Contadores Autorizados por el Estado, Dinamar-
ca, 1994.
SPICE: Mejoras al Proceso del Software y Determinacin de la capacidad. Un estndar sobre el mejoramiento del proce-
so del software, institucin de Estndares Britnico, Londres, 1995.
DRI International, Professional Practices for Business Continuity Planners: Instituto Internacional para la Recupera-
cin en casos de Desastre, Gua para los planeadores de la Continuidad del Negocio, San Luis, MO, 1997.
IIA, SAC Systems Auditability and Control: Instituto de la Fundacin de Investigacin de Auditores Internos, Reporte
de Control y Auditabilidad de los Sistemas, Altamonte Springs, FL, 1991, 1994.
IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Instituto de la Fundacin de Investigacin de Audi-
tores Internos, Altamonte Springs, FL, 1997.
E &Y Technical Reference Series: Ernst & Young, Gua de Auditora, SAP R/3, Cleveland, OH 1996.
C&L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Su Uso Control y Auditora, Nueva York, NY, 1997
IS0 IEC JTC1/SC27 Information Technology Security: Organizacin Internacional de Estandarizacin, ComitTc-
nico para la Seguridad de la Tecnologa de Informacin, Suiza, 1998.
IS0 IEC JTC1/SC7 Software Engineering: Organizacin Internacional de Estandarizacin, ComitTcnico para la eva-
luacin de los procesos del Software. Un Modelo de Evaluacin e Indicadores Gua, Suiza, 1992.
IS0 TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services: Organizacin
Internacional de Estandarizacin (ISO) Comit Tcnico para la Banca y Servicios Financieros, Borrador, Suiza, 1997.
Common Criteria and Methodology for Information Technology Security Evaluation: CSE (Canada), SCSSI
(Francia) BSI (Alemania), NLNCSA (Holanda), CESG (Reino Unido) NIST (Estados Unidos) y NSA (Estados Unidos),
1999.
Recommended Practice for EDI: EDIFACT (EDI para la Administracin de Comercio e Industria), Pars, 1987.
TICKIT: Gua para la Construccin y Certificacin de software por Sistemas de Manejo de la Calidad, Departamento de
Comercio e Industria Britnico (DTI), Londres, 1994.
ESF Baseline Control Communications: Foro de Seguridad Europeo, Londres, Seguridad de Redes de Comunicacio-
nes, Septiembre 1991, Controles Base para Redes de rea Local, Septiembre 1994.
ESF Baseline Control Microcomputers: Foro de Seguridad Europeo, Londres, Controles de Base para Microcomputa-
doras Conectadas a la Red, Junio 1990.
Computerized Information Systems (CIS) Audit Manual: Fundacin de Auditores EDP (ahora la Fundacin de Con-
trol y Auditora de Sistema de Informacin), Rolling Meadows, IL, 1992.
Standards for Internal Control in the Federal Government (GAO/AIMD-00-21.3.1): Oficina de Contabilidad General
de los Estado Unidos, Washington DC 1999.
Guide for Developing Security Plans for Information Technology: NIST Publicacin Especial 800-18, Instituo Nacio-
nal para Estndares y Tecnologa, Departamento de Comercio de los Estado Unidos, Washington DC, 1998.
Financial Information Systems Control Audit Manual (FISCAM): Oficina de Contabilidad General de los Estado
Unidos, Washington de los Estado Unidos, 1999.
BS7799 Information Security Management: Instituto de Estndares Britnico, Londres, 1999.
CICA Information Technology Control Guidelines, 3
rd
Edition: Insituto Canadiense de Contadores Estatutarios, To-
ronto, 1998
222
ISO/IEC TR 1335-n Guideliness For the Management of IT Security (GMITS), partes 1-5: Organizacin Internacio-
nal de Estandarizacin, Suiza, 1998.
AICPA/CICA SysTrust
TM
Principles and Criteria for Systems Reliability, Versin 1.0: Instituto Americano de Con-
tadores Pblicos Certificados, New York, e Instituto Canadiense de Contadores Estatutarios, Toronto, 1999.

223
A APENDICE PENDICE IV IV D DIRECTRICES IRECTRICES DE DE A AUDITORIA UDITORIA
GLOSARIO DE TRMINOS
AICPA Instituto Americano de Contadores Pblicos Certificado. (American Institute of Certified Public
Accountants)
CCEB Criterios comunes para seguridad en tecnologa de informacin. (Common Criteria for
Information Technology Security)
CICA Instituto Canadiense de Contadores Estatutarios. (Canadian Institute of Chartered Accountants)
CISA Auditor Certificado de Sistemas de Informacin. (Certified Information Systems Auditor)
Control Polticas, procedimientos, prcticas y estructuras organizacionales, diseados para proporcionar
una seguridad razonable de que los objetivos del negocio sern alcanzados y que eventos no
deseados sern prevenidos o detectados y corregidos.
COSO Comit de Organizaciones Patrocinadoras de la Comisin de Intercambio.
"Tradeway" (Committee of Sponsoring Organisations of the Tradeway Commission).
DRI Instituto Internacional de Recuperacin de Desastres. (Disaster Recovery Institute International)
DTI Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of
the United Kingdom)
EDIFACT Intercambio Electrnico de Datos para la Administracin, el Comercio y la Industria (Electronic
Data Interchange for Administration, Commerce and Trade)
EDPAF Fundacin de Auditores de Procesamiento Electrnico de Datos (Electronic Data Processing
Auditors Foundation), ahora ISACF.
ESF Foro Europeo de Seguridad (European Security Forum), cooperacin de 70+ multinacionales
europeas principalmente con el propsito de investigar problemas de seguridad y control
comunes de TI.
GAO Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office)
I4 Instituto Internacional de Integridad de Informacin. (International Information Integrity
Institute), asociacin similar a ESF, con metas similares, pero con base principalmente en los
Estados Unidos y dirigida por el Instituto de Investigaciones de Stanford (Stanford Research
Institute)
IBAG Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group), representantes de la
industria que asesoran al Comit Infosec. Este Comit est compuesto por funcionarios de los
gobiernos de la Comunidad Europea y asesora a la Comisin Europea sobre cuestiones de
seguridad de TI.
IFAC Federacin Internacional de Contadores. (International Federation of Accountants)
IIA Instituto de Auditores Internos. (Institute of Internal Auditors)
INFOSEC Comit Consultivo para la Comisin Europea en Materia de Seguridad TI. (Advisory Committee
for IT Security Matters to the European Commission)
ISACA Asociacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit
and Control Foundation)
ISACF Fundacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit
and Control Foundation)
ISO Organizacin de Estndares Internacionales. (International Standards Organisation) (con
oficinas en Gnova, Suiza)
ISO9000 Estndares de manejo y aseguramiento de la calidad definidos por ISO.
ITIL Biblioteca de Infraestructura de Tecnologa de Informacin. (Information Technology
Infrastructure Library)
ITSEC Criterios de Evaluacin de Seguridad de Tecnologa de Informacin (Information Technology
Security Evaluation Criteria). Combinacin de los criterios de Francia, Alemania, Holanda y
Reino Unido, soportadas consecuentemente por la Comisin Europea (ver tambin TCSEC, el
equivalente en los Estados Unidos).
NBS Departamento Nacional de Estndares de los Estados Unidos (National Bureau of Standards of
224
the U.S.)
NIST (antes NBS) Instituto Nacional de Estndares y Tecnologa. (National Institute of Standards
and Technology), con base en Washington D.C.
NSW Nueva Gales del Sur, Australia. (New South Wales, Australia)
Objetivo de Declaracin del resultado deseado o propsito a ser alcanzado al implementar
Control de TI procedimientos de control en una actividad particular de TI.
OECD Organizacin para la Cooperacin y el Desarrollo Econmico. (Organisation for Economic
Cooperation and Development)
OSF Fundacin de Software Abierto (Open Software Foundation)
PCIE Consejo Presidencial de Integridad y Eficiencia. (Presidents Council on Integrity and
Efficiency)
SPICE Mejoramiento del proceso de software y determinacin de la capacidad. Un estndar para el mejora-
miento del proceso del software (Software Process Improvement and Capability Determination)
TCSEC Criterios de Evaluacin de Sistemas Computarizados Confiables. (Trusted Computer System
Evaluation Criteria), conocido tambin como "The Orange Book". Criterios de evaluacin de
seguridad para sistemas computarizados definidos originalmente por el Departamento de
Defensa de los Estados Unidos. Ver tambin ITSEC, el equivalente europeo.
TickIT Gua para la Construccin y Certificacin de Sistemas de Administracin de Calidad. (Guide to
Software Quality Management System Construction and Certification)

225
A APENDICE PENDICE V V D DIRECTRICES IRECTRICES DE DE A AUDITORIA UDITORIA
PROCESO DE AUDITORA
(PREPARADO POR EL CAPTULO NACIONAL DE REA CAPITAL DE ISACA)
Los diagramas de flujo que se muestran a continuacin tratan
de cada uno de los pasos para la satisfaccin de un solo objeti-
vo de control. Define el objetivo del paso y especifica lo que
el auditor debe haber alcanzado antes de continuar con el si-
guiente paso. Finalmente, un diagrama de flujo es la represen-
tacin grfica del proceso de recoleccin de informacin y
toma de decisiones que deben ocurrir en cada uno de los pa-
sos.
Dado que muchos de los objetivos son particulares, no sugeri-
mos estos diagramas como una regla estricta. Resultan tiles
como gua porque representan un marco de referencia concep-
tual preciso para cada una de las fases del trabajo de auditora.
Se presenta un glosario consolidado de trminos despus de
cada diagrama. Los trminos definidos se representan en cur-
siva a lo largo del texto.

PASO DE AUDITORA DE IDENTIFICACIN/DOCUMENTACIN
Objetivo del Paso El objetivo del paso de auditora de iden-
tificacin/documentacin es que el auditor se familiarice con
la tarea cubierta por el objetivo de control y la manera en que
la administracin de SI cree que estn siendo controlados.
Esto incluye la identificacin de las personas, los procesos y la
ubicacin donde se realiza esta tarea, y los procedimientos
establecidos que los controlan.
Resultados Deseados del Paso Al finalizar el paso de audito-
ra de identificacin/documentacin, el auditor deber haber
identificado, documentado y verificado:
Quin realiza la tarea cubierta por el objetivo de
control
Dnde se realiza la tarea
Cundo se realiza la tarea
Sobre qu datos de entrada se realiza la tarea
Qu datos de salida/resultados se esperan de la
tarea, y
Cules son los procedimientos establecidos para
realizar la tarea.

Inicio
Identidad,
Procesos,
Locaciones,
Individuos, y
Procedimientos
Entrevista
a clientes
Procedimientos
Percibidos del
cliente
Procedimientos
Definidos

Para
Evaluar
Procedimientos
Escritos
Fusin
Figura 1. Diagrama de Flujo del Paso de Auditora
PASO DE AUDITORA DE EVALUACIN
Objetivo del Paso El objetivo del paso de auditora de eva-
luacin es evaluar los procedimientos establecidos y determi-
nar si los procedimientos brindan una estructura de control
eficaz. Los procedimientos deben evaluarse contra los crite-
rios identificados, las prcticas estndar de la industria y el
criterio del auditor. Una estructura de control eficaz es efi-
ciente en costos y proporciona aseguramiento razonable de
que la tarea est siendo realizada y de que se estn cumplien-
do el objetivo de control.
Resultados Deseados del Paso Al finalizar el paso de audito-
ra de evaluacin, el auditor debe haber:
Evaluado las leyes, regulaciones y criterios organi-
zacionales en cuanto a su aplicacin sobre los pro-
cedimientos
Evaluado los procedimientos establecidos para
determinar si son eficientes en costos y proporcio-
nan aseguramiento razonable de que se est reali-
zando la tarea y de que se est cumpliendo el obje-
tivo de control
Evaluado los controles compensatorios utilizados
para apoyar procedimientos dbiles
Concluido si los procedimientos establecidos y los
controles compensatorios proporcionan conjunta-
mente una estructura de control eficaz
Identificado si son apropiadas las pruebas de cum-
plimiento.

PASO DE AUDITORA DE PRUEBAS DE CUMPLIMIENTO
Objetivo del Paso El objetivo del paso de auditora de prue-
bas de cumplimiento es analizar la adherencia de una organi-
zacin a los controles prescritos. Deber compararse los pro-
cedimientos reales y los controles compensatorios en relacin
con los procedimientos establecidos, y deber realizarse entre-
vistas y revisin de documentos para determinar si los contro-
les estn debida y consistentemente aplicados. Las pruebas de
cumplimiento solamente se realizan sobre la base de los pro-
cedimientos que han sido determinados como eficaces.
Identificacin/Documentacin
226
A APNDICE PNDICE V V D DIRECTRICES IRECTRICES DE DE A AUDITORIA UDITORIA
PROCESO DE AUDITORA
Resultados Esperados del Paso Al finalizar el paso de
auditora de pruebas de cumplimiento, el auditor debe
haber documentado la adherencia de la organizacin a los
procedimientos identificados anteriormente y debe haber
concluido si los procedimientos establecidos y los contro-
les compensatorios estn debida y consistentemente aplica-
dos. Basndose en el nivel de cumplimiento, el auditor
debe determinar el nivel de pruebas sustantivas necesarias
para brindar aseguramiento de que el proceso de control es
adecuado.

PASO DE AUDITORA DE PRUEBAS SUSTANTIVAS
Objetivo del Paso El objetivo del paso de auditora de
pruebas sustantivas es realizar las pruebas de datos
necesarias para brindar aseguramiento o no-aseguramiento
total a la administracin sobre la consecucin de un objeti-
vo de negocios dado.
Resultados Deseados del Paso Al finalizar el paso de
auditora de pruebas sustantivas, el auditor deber haber
realizado pruebas suficientes sobre los resultados de la
tarea para concluir si se est alcanzando un objetivo de
control dado. Debern realizarse pruebas sustantivas si:
No existen medidas de control
Las medidas de control han sido calificadas como no
satisfactorias, o
Las pruebas de cumplimiento indican que las medidas de
control no han sido debida y consistentemente aplicadas.

Prueba de
Cumplimiento
Prueba
Significativa
y Sustantiva
Leyes,
Requericiones,
y Criterios de
la Org.
Controles de
Comp.
Efectivo?
Identificar y
Evaluar los
Controles de
Compensacin
Procedimiento
Efectivo?
Evaluar los
Procedimientos
Definidos
Procedimientos
Definidos
Ident/Doc
Figura 2. Diagrama de Flujo del Paso de Auditora de Evaluacin
NO
NO
SI
SI
Proced.
Definido
Revisar Muestra de
resultados de Tareas
para Determinar el
cumplimiento de los
Proced. Definidos
Evaluacin Cumple
Adecuar los
Procedimientos de
Control aplicados de
manera apropiada y
consistente
Pruebas
Sustantivas
Limitadas
Muestreo de
Resultados de
las Tareas
Identificar
Procedimientos
Reales
Proced. Reales
Adecuados
Adecuar los
Procedimientos de
control imprecisos y
aplicados de manera
inconsistente
Pruebas
Significativas
Sustantivas
NO
NO
SI
Figura 3. Diagrama de Flujo del Paso de Auditora de Prueba del Cumplimiento
227
Desarrollar el inverso
de los Resultados de las
tareas y determine las
tcnicas de muestreo
Se requieren
pruebas
Significativas?
Realice el muestreo
Significativo aleatorio
o estadstico
Determinar si el
objetivo de Control
se ha logrado para
el Muestreo
Se cumpli el
objetivo de
Control?
Aseguramiento
No Aseguramiento
Realice el
Muestreo Limitado
Aleatorio o de
Juicio
Figura 4. Diagrama de Flujo del Paso de Auditora de Pruebas
SI SI
NO
NO
PROCESO DE AUDITORA
Pruebas Sustantivas
228
GLOSARIO:

Procedimientos Reales Son los procedimientos que estn siendo realizados por la organizacin para satisfacer el objeti-
vo de auditora. Los procedimientos reales se identifican durante la fase de auditora de pruebas de cumplimiento.

Controles Compensatorios Son los pasos o procedimientos adicionales de control que no se relacionan directamente
con el objetivo de control que se est probando, pero cuya presencia sirve para fortalecer los controles que s se relacionan
directamente con el objetivo de control. Los controles compensatorios se identifican durante la fase de pruebas de cumpli-
miento del trabajo de auditora. Los controles compensatorios se procuran de manera activa solamente cuando la eficacia
de los controles establecidos es cuestionable.

Objetivo de Control El resultado deseado de cualquier procedimiento establecido para una organizacin. Desde el
punto de vista de Sistemas de Informacin, el objetivo de control se utiliza para catalogar y definir el alcance del trabajo
de auditora que se est realizando.

Aseguramiento Razonable Un estndar para la evaluacin de la suficiencia de los procedimientos establecidos para
cumplir con un objetivo de control en particular. El aseguramiento razonable involucra la aplicacin del criterio, conoci-
miento y experiencia para desarrollar una opinin informada. El aseguramiento razonable requiere que un sistema de con-
troles sea eficaz, pero no demasiado dispendioso. El estndar de aseguramiento razonable tambin requiere que un siste-
ma de controles sea eficiente en costos.

Procedimientos Establecidos Controles que la organizacin cree establecidos y que se siguen para brindar asegura-
miento de que se est cumpliendo el objetivo de control. Los procedimientos establecidos son lo que la administracin
cree que est sucediendo. Incluyen tanto procedimientos escritos, como procedimientos informales identificados por la
administracin. Los procedimientos establecidos se identifican en la fase de identificacin/documentacin del trabajo de
auditora y se comparan en relacin con los procedimientos reales durante la fase de cumplimiento.

Tarea El resultado deseado de una serie de procedimientos cubiertos por un objetivo de control. La tarea es lo que el
objetivo de control est diseado a asegurar.

Entradas y Resultados de la Tarea Productos, reportes o informacin requerida para, asociada con o resultado de la
realizacin de una tarea.
229
DIRECTRIZ GENRICA PARA REALIZAR AUDITORAS
OBTENCIN DE UNA COMPRENSIN
Los pasos de auditora a realizar para documentar las actividades subyacentes de los objetivos de control, as como tam-
bin para identificar las medidas de control/procedimientos establecidos existentes.
Entrevistar al personal y directivos para obtener una comprensin de:
Los requerimientos del negocio y los riesgos asociados
La estructura organizacional
Las funciones y responsabilidades
Las polticas y procedimientos
Las leyes y regulaciones
Las medidas de control existentes
El reporte administrativo (estatus, desempeo, puntos de accin)
Documentar los recursos de los procesos de TI relacionados que estn particularmente afectados por los procesos bajo revi-
sin, confirmar el entendimiento del proceso bajo revisin, los Indicadores Clave de Desempeo (KPI) del proceso, las im-
plicaciones del control, por ejemplo mediante una revisin paso a paso del proceso

EVALUACIN DE LOS CONTROLES
Los pasos de auditora a realizar para la evaluacin de la eficacia de las medidas de control existentes o el grado en que
se logra un objetivo de control. Bsicamente, trata de decidir qu, si y cmo probarlo.
Evaluar la suficiencia de las medidas de control para el proceso bajo revisin, por medio de considerar los criterios identifi-
cados y las prcticas estndar de la industria, los Factores Crticos de xito (CSF) de las medidas de control, y la aplicacin
del criterio profesional del auditor.
Existen procesos documentados
Existen resultados apropiados
La responsabilidad y el registro son claras y eficaces
Existen controles compensatorios, donde es necesario
Concluir el grado en el que se cumple el objetivo de control.

EVALUACIN DEL CUMPLIMIENTO
Los pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como debiera,
de manera consistente y continua, y concluir sobre la suficiencia del ambiente de control.
Obtener evidencia directa o indirecta para puntos/perodos seleccionados para asegurar que los procedimientos cumplieron
en el periodo bajo revisin, utilizando evidencia directa o indirecta.
Realizar una revisin limitada de la suficiencia de los resultados del proceso.
Determinar el nivel de pruebas sustantivas y el trabajo adicional necesarios para asegurar que el proceso de TI es adecuado.

JUSTIFICACIN / COMPROBACION DEL RIESGO
Los pasos de auditora a realizar para justificar el riesgo de no cumplir con el objetivo de control mediante el uso de tcni-
cas analticas y/o consultando a fuentes alternativas. El objetivo es fundamentar la opinin e impresionar a la adminis-
tracin para que tome accin. Los auditores deben ser creativos para encontrar y presentar esta informacin frecuente-
mente confidencial y sensitiva.
Documentar las debilidades del control, y las amenazas y vulnerabilidades resultantes.
Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-raz.
Brindar informacin comparativa; por ejemplo, mediante benchmarks.

Cobit 3 Spanish Audit Guidelines

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Cobit 3 Spanish Audit Guidelines

Încărcat de

Drepturi de autor:

Formate disponibile

La Misin de COBIT:

Investigar, desarrollar, publicar y promover un conjunto de objetivos de con-

que trata de la im-

S-ar putea să vă placă și