Documente Academic
Documente Profesional
Documente Cultură
herramienta de gobierno de
tecnologas de Informacin (TI)
que permite evaluar la calidad de
la estructura de tecnologa de
informacin actual de una
organizacin, a travs de un
diagnstico que permite definir
metas desde el punto de vista de
seguridad y control para cada
proceso de la organizacin.
Material de Apoyo
Cuso Virtual
MODELO COBIT
ISACA
La Information Systems Audit and Control Association, Asociacin de Auditoria y Control de
Sistemas de informacin, fue fundada en 1969 en Estados Unidos por un grupo de personas,
quienes trabajaban en actividades afines relacionadas con auditora y control en los sistemas
computarizados que estaban cobrando una gran importancia para las operaciones de sus
organizaciones; estas personas compartan la idea de crear unas pautas, metodologas y una
misma fuente de informacin que apoyara y guiara su rea o campo de accin. Por tal motivo se
sentaron a discutir sobre la necesidad de esta fuente centralizada de informacin con el fin de
trabajar en estndares internacionales de auditora y control de sistemas de informacin, que
garantizaran la confianza y el valor de los sistemas.
En un principio, el grupo se formaliz bajo el nombre de EDP Auditors Association, y luego se
form la fundacin de educacin para llevar a cabo proyectos de investigacin de gran escala y
expandir los conocimientos y trabajo de campo en tecnologa de informacin. Para ese entonces la
organizacin funcionaba en la ciudad de los ngeles respondiendo a los intereses de quienes
tenan la necesidad de tener una fuente centralizada de informacin y gua profesional.
En 1971 se realiza la primera conferencia (CACS) Computer Audit, Control and Security, dos aos
ms tarde se realiza la primera conferencia internacional en Mxico, estableciendo el primer
captulo formado por fuera de los Estados Unidos. En 1981 es la realizacin del primer examen
para la certificacin (CISA) Certified Information Systems Auditor, la creacin de este examen de
certificacin buscaba desarrollar y mantener una herramienta que pudiera ser utilizada en la
evaluacin de las competencias de los individuos en la realizacin de auditoras de sistemas, de la
misma manera que proveer una herramienta que ayudara a los auditores de sistemas de
informacin a mantener sus habilidades, la vigilancia de la efectividad de los programas de
mantenimiento y proveer de criterios adecuados en la gestin de seleccin de personal y
desarrolladores.
En el ao de 1994 con la celebracin de los 25 aos de actividad de la organizacin se procede al
cambio de nombre de (EDP) Auditor Association a (ISACA) Information Systems Audit and
Association. La primera conferencia latinoamericana (CACS) se realiza en el ao de 1996, seguido
a esto en 1998 se establece el instituto de gobierno de tecnologa de informacin (ITGI) que es una
parte integral del gobierno corporativo y reside en el liderazgo, estructuras organizacionales y los
procesos que aseguran que las tecnologas de informacin sostengan y extiendan los objetivos y
las estrategias de la entidad. En 2003 se realiza el primer examen para la certificacin (CISM)
Certified Information Security Management, enfocada a la gerencia que define los principales
estndares de competencias y desarrollo de profesionales que un jefe de seguridad de informacin
debe tener, competencias necesarias para la direccin, diseo, revisin y acompaamiento de un
programa de seguridad de informacin.
La organizacin ISACA refleja a travs de los aos su crecimiento en la cantidad de asociados, de
50.000 en el ao 2005 a ms de 75.000 en el ao 2007 y cerca de 86.000 en la actualidad, los
miembros de ISACA estn presentes en ms de 160 pases alrededor del mundo, convirtindose
as, en una organizacin global que establece las pautas para los profesionales de gobernacin,
control, seguridad y auditoria de informacin. La actividad de los socios de ISACA organizados en
175 captulos ubicados en 70 pases, se desenvuelve en una variada gama de actividades e
industrias como; bancaria y financiera, contable, sector pblico, produccin y distribucin de
energa, telecomunicaciones, manufactura y otros.
www.auditool.org
2
ISACA tambin es muestra a nivel global de la creacin del captulo Argentino que inici sus
actividades a principios del ao 1991, y continua ofreciendo a sus integrantes capacitacin
profesional para el progreso y la eficacia del conocimiento y destrezas relacionadas con la auditoria
y la seguridad. De igual manera, publica la revista ISACA Journal, enfocada en aspectos tcnicos
de control de la informacin, y complementa con la organizacin de conferencias internacionales y
seminarios locales especificando en tpicos tcnicos y gerenciales adecuados a las profesiones de
seguridad, control y gobierno de las tecnologas de informacin y sistemas de informacin. Entre
otros aspectos importantes que lidera la organizacin ISACA estn la conferencia latinoamericana
de auditoria, control y seguridad (CACS) que se viene realizando cada ao desde 1996.
La asociacin otorga certificaciones a los profesionales, garantizando los conocimientos necesarios
en las reas definidas, estas son:
CISA (Certified Information Systems Auditor, Auditor certificado de Sistemas de
informacin): Esta certificacin se otorga a quienes dan cuenta del conocimiento terico y
prctico necesarios para desempearse como Auditor de sistemas, siguiendo los
estndares y lineamientos pertinentes.
CISM (Certified Information Security Manager, Gerente Certificado de Seguridad de
Informacin): Esta certificacin garantiza administradores de seguridad de tecnologa de
informacin con los conocimientos necesarios para reducir el riesgo y proteger a la
organizacin.
CGEIT (Certificado en Gobierno de TI de la Empresa, Certified in the Governance of
Enterprise IT) promueve el avance de profesionales que desean ser reconocidos por su
experiencia y conocimiento relacionados con el Gobierno de las TI y ha sido obtenida por
ms de 4 mil profesionales.
CRISC (Certificado en Riesgos y Controles de los Sistemas de Informacin, Certified in
Risk and Information Systems Control) es para profesionales de TI que identifican y
gestionan los riesgos mediante el desarrollo, implementacin y mantenimiento de controles
de SI.
MODELO COBIT
La Organizacin ISACA a travs de su Fundacin, publica en Diciembre de 1995 el modelo COBIT
Control Objectives for Information and Related Technology, Objetivos de Control para la
informacin y Tecnologa relacionada, como respuesta a la tendencia de todas las organizaciones
de manejar sus sistemas de informacin respondiendo a los requerimientos de calidad, seguridad,
control e informacin; y producto de aos de investigacin por parte de un equipo de expertos
internacionales. El modelo COBIT es una herramienta de gobierno de tecnologas de Informacin
(TI) que permite evaluar la calidad de la estructura de tecnologa de informacin actual de una
organizacin, a travs de un diagnstico que permite definir metas desde el punto de vista de
seguridad y control para cada proceso de la organizacin.
A partir de este diagnstico, se elabora un plan de accin para lograr las mejoras necesarias, y
posteriormente identificar los lineamientos y as sustentar un proceso de monitoreo y mejora
continua sobre las soluciones implementadas. El modelo COBIT es un marco integral de principios,
practicas, herramientas analticas y modelos, globalmente aceptados, que puede ayudar a las
empresas a dirigir efectivamente problemas de negocios relacionados al gobierno y direccin de
informacin y tecnologa; de la misma manera define estndares y una conducta profesional para
la gestin y control de los sistemas de informacin con una orientacin hacia el negocio, ayudando
as a las organizaciones a crear un valor ptimo a partir de las tecnologas de informacin, a travs
de la optimizacin del riesgo y los recursos informticos.
www.auditool.org
3
El modelo COBIT 5, representa una gran variedad de beneficios para las empresas, teniendo en
cuenta que un gobierno de TI efectivo, ayuda a garantizar que la TI soporte las metas del negocio,
optimice la inversin, y administre de forma adecuada los riesgos y oportunidades asociadas a la
TI; algunos son:
VALOR
ALINEACIN
ESTRATGICA
ADMINSTRACIN
DE RECURSOS
GOBIERNO
TI
MEDICIN DEL
DESEMPEO
ADMINISTRACIN
DEL RIESGO
El gobierno de TI integra las buenas prcticas para garantizar que la TI sustenta los objetivos de la
empresa, permitiendo que se aproveche al mximo la informacin, para maximizar los beneficios y
oportunidades, y as ganar ventajas competitivas.
Las empresas y organizaciones deben asegurar la calidad y seguridad de su informacin, por lo
tanto los directivos deben optimizar el uso de los recursos de TI y entender su arquitectura
empresarial, para definir el tipo de gobierno a desarrollar y controles a aplicar, para alcanzar todos
los objetivos del negocio. El modelo COBIT presenta un marco de trabajo que se desarrolla con
base en buenas prcticas, y se describe a partir de los siguientes elementos:
Estructura de cubo: Representa la capacidad del modelo para trabajar desde tres puntos
de vista: procesos, recursos de TI, caractersticas de la informacin de acuerdo a las
necesidades de la organizacin. Esta estructura brinda un enfoque global que apoya la
planificacin estratgica, y permite vincular las expectativas de la direccin con las de la
gerencia de TI. La relacin expresa que, los recursos de TI son manejados por los
procesos de TI, los cuales responden a los requerimientos del negocio.
www.auditool.org
RECURSOS TI
4 Dominios
37 Procesos
INFORMACIN
Dominios: Agrupa los objetivos de control del Modelo COBIT en las distintas reas de
actividad de la organizacin. Estos son:
www.auditool.org
Los principios y habilitadores del modelo COBIT 5 son genricos y tiles para las organizaciones
de cualquier tamao, bien sean comerciales, sin fines de lucro o en el sector pblico. Adems,
COBIT 5 integra los anteriores marcos de referencia desarrollados por ISACA: Val IT, Risk IT,
BMIS, ITAF, haciendo ms fcil para los usuarios el entendimiento y uso de este material.
COBIT
4.1
Val IT
COBIT
2.0
Risk IT
COBIT 5
RISK
IT
VAL IT
El marco de trabajo de COBIT 5 se basa en cinco principios claves que permiten que la empresa
construya un gobierno y administracin efectivos, enfocados hacia los 7 habilitadores, que
optimizan la inversin en TI y generan beneficios para las partes interesadas.
www.auditool.org
PRINCIPIOS
DESCRIPCIN
Negociar y decidir entre los diversos intereses de las diferentes partes
interesadas, incluyndolas para la toma de decisiones, con el fin de crear
valor, representado en beneficios a travs de la optimizacin de recursos y
riesgos.
Las necesidades de las partes interesadas deben originar la estrategia para la
organizacin.
Necesidades
Estrategia de la organizacin
Satisfacer las
necesidades de las
partes interesadas.
Necesidades
Metas de la organizacin
Metas de TI
Estrategia
Metas del negocio
Metas de TI
Arquitectura empresarial
Cubrir la
organizacin de
forma integral.
Aplicar un solo
marco integrado.
Habilitar un enfoque
holstico.
Separar el gobierno
de la administracin.
www.auditool.org
7
y opciones para determinar los objetivos corporativos; y la administracin es
responsabilidad de la gerencia, y es el rea que debe planificar, construir,
ejecutar y monitorear las actividades y procesos, de acuerdo a las directivas
fijadas por el gobierno.
Gobierno
Evaluar
Dirigir
Monitorear
Administracin
Planificar
DIMENSION
(BSC)
Financiera
Cliente
Interna
Aprendizaje y
crecimiento
DIMENSION
(BSC)
Financiera
Cliente
Construir
Operar
Monitorear
*METAS EN CASCADA
METAS DEL NEGOCIO
1. Valorizacin de las inversiones en el negocio de las partes interesadas.
2. Portafolio de productos y servicios competitivos.
3. Administracin de riesgos de negocio (proteccin de los activos).
4. Cumplimiento de leyes y regulaciones externas.
5. Transparencia financiera.
6. Cultura del servicio orientada al cliente.
7. Continuidad y disponibilidad de los servicios del negocio.
8. Respuestas agiles frente a los cambios en el ambiente de negocios.
9. Informacin como base para la toma estratgica de decisiones.
10. Optimizacin de los costos de la prestacin de servicios.
11. Optimizacin del funcionamiento de los procesos del negocio.
12. Optimizacin de los costos de los procesos del negocio.
13. Administracin de los programas de cambio del negocio.
14. Productividad de las operaciones y del personal.
15. Cumplimiento de las polticas internas.
16. Personal capacitado y motivado.
17. Cultura de innovacin del producto y negocio.
METAS DEL NEGOCIO
1. Alineamiento de la TI con la estrategia del negocio.
2. Cumplimiento de TI y soporte para el cumplimiento del negocio con las leyes y
regulaciones externas.
3. Cumplimiento de la alta direccin con la toma de decisiones de TI.
4. Administracin de riesgos de TI del negocio.
5. Realizacin de beneficios desde la inversin en TI y portafolio de servicios.
6. Transparencia de costos, beneficios y riesgos de TI.
7. Prestacin de servicios de TI en lnea con los requerimientos del negocio.
8. Uso adecuado de aplicaciones, informacin y soluciones de tecnologa.
www.auditool.org
Interna
Aprendizaje y
crecimiento
9. Agilidad de TI.
10. Seguridad de la informacin, procesamiento de infraestructura y aplicaciones.
11. Optimizacin de activos, recursos y capacidad de TI.
12. Habilitacin y soporte de procesos de negocio integrando aplicaciones y
tecnologa en los procesos de negocio.
13. Entrega de programas brindando beneficios en tiempo, presupuesto, y
cumplimiento de requerimientos y estndares de calidad.
14. Disponibilidad de informacin til y confiable para la toma de decisiones.
15.
16. Cumplimiento de TI con polticas internas.
17. Personal de TI competente u motivado.
18. Conocimiento, experiencia e iniciativa para la innovacin en el negocio.
*HABILITADORES
1. Principios,
Polticas y
Marcos
2. Procesos
3. Estructuras
organizacionale
s
4. Cultura, tica y
Comportamient
o
5. Informacin
6. Servicios,
Infraestructura
y aplicaciones
7. Personas,
habilidades y
competencias
DESCRIPCIN
Medio por el cual se representa el comportamiento deseado en una gua
prctica para la gestin del da a da en la empresa. Los principios
expresan de forma clara los valores fundamentales de la empresa; las
polticas proporcionan una directriz para llevar a la prctica los principios y
su influencia en la toma de decisiones; y los marcos proporcionan a la
direccin una estructura, directrices y herramientas que permitan una
adecuada administracin y gobierno.
Describen un conjunto organizado de prcticas y actividades necesarias
para alcanzar los objetivos y producir los resultados, dirigidos a la
consecucin de las metas generales relacionadas a TI. Envuelve:
Actividades
Entradas y salidas
Nivel de capacidad del proceso
Modelo de referencia de procesos
Entidades encargadas de la toma de decisiones en la empresa.
Matrices RACI
Caractersticas del personal y de la empresa, subestimado como factor de
xito de las actividades de gobierno y administracin. Comprende el
conjunto de conductas individuales y colectivas dentro de la empresa.
Es necesaria para el funcionamiento de la empresa y su buen gobierno y
direccin; en el nivel operativo es el producto clave para la empresa.
Infraestructura, tecnologa y aplicaciones que proporcionan a la empresa
informacin, procesos y servicios de tecnologa.
Aspectos necesarios para el cumplimiento exitoso de todas las
actividades de la empresa, y para tomar las decisiones adecuadas y las
acciones correctivas necesarias.
www.auditool.org
9
DIMENSIONES
Todos los habilitadores tienen 4 dimensiones que permiten una estructura comn y simple para
cada habilitador, una entidad que administre las interacciones, y facilite el xito de los resultados;
estas son:
Stakeholders: Partes que tiene un rol activo o inters en el habilitador, cuyas necesidades o
intereses son reflejados en las metas y objetivos de la empresa.
Goals: Resultados esperados para cada habilitador, representando un valor al aplicar u operar el
habilitador. Las metas pueden ser divididas en:
Calidad intrnseca: Los habilitadores trabajen con exactitud y apropiadamente, y proporcionen
resultados exactos, objetivos y calificados.
Calidad contextual: Medida en que los habilitadores y sus resultados son aptos para los
propsitos, de acuerdo al contexto en el que operan.
Acceso y seguridad: Medida en que los habilitadores son accesibles y asegurados.
Ciclo de vida: Cada habilitador tiene un ciclo de vida, desde su concepcin a travs de una
operativa o til vida, hasta su eliminacin. Esto incluye la informacin, estructuras, procesos,
polticas, entre otros. Las fases del ciclo de vida son:
Planeacin
Diseo
Construccin, adquisicin, creacin, implementacin.
Uso, operacin
Evaluacin, monitoreo
Actualizacin, eliminacin
Buenas prcticas: Las buenas prcticas soportan el logro de las metas de los habilitadores,
proporcionan ejemplos o sugerencias de cmo es la mejor implementacin de los habilitadores y
que es requerido para esto.
El modelo COBIT se enfoca a alinear las metas del negocio de la empresa con las metas de TI,
brindando mtricas y modelos de madurez para medir sus logros; una vez identificados los
procesos y controles crticos de TI, el modelo de madurez permite identificar y demostrar a la
direccin las debilidades en la capacidad, con el fin de crear un plan de accin, y llevar los
procesos al nivel de capacidad deseado. COBIT 5, como lo mencionbamos anteriormente
incorpora los marcos Val IT y Risk IT, y presenta y consolida un solo marco, e incluye un Modelo
de Referencia de Procesos, el cual describe 37 procesos para evaluar los sistemas de informacin,
los cuales representan los procesos normales que se llevan a cabo en una empresa, con relacin a
TI; e envuelven 271 objetivos de control, divididos, en primera medida en dos grandes dominios,
Gobierno y Administracin, donde el dominio de administracin contiene 5 procesos de gobierno, y
el dominio de administracin se subdivide en cuatro dominios, Alinear, planear y organizar;
construir, adquirir e implementar; entregar, servir y dar soporte; monitorear, evaluar y valorar. Este
modelo de referencia es un modelo completo e integral, que le brinda las herramientas necesarias
a cada empresa para definir su propio proceso teniendo en cuenta su contexto, cuando as lo
desean.
www.auditool.org
10
Metas de TI y procesos de TI
Recursos de Tecnologia de Infomacion: Datos,
sistemas, Tecnologia, nstalaciones y personal
Informacion
PROCESOS
Objetivos de control
detallados
Entradas y salidas, matriz
RACI
Metas y mtricas
Modelos de madurez
www.auditool.org
11
Procesos
1. Asegurar que
se fija el
Marco de
Gobierno y su
mantenimient
o.
2. Asegurar la
entrega de
valor.
3. Asegurar la
optimizacin
de los
riesgos.
4. Asegurar la
optimizacin
de los
recursos.
Actividades
Definir un marco de
gobierno de TI.
La administracin de los
programas de inversin en
TI debe asegurar el mayor
valor para apoyar la
estrategia y los objetivos
empresariales.
Optimizacin
del
valor
de
las
inversiones en TI,
estableciendo
un
marco de buen
gobierno, monitoreo
y control, direccin
estratgica para las
inversiones,
y
definir
las
caractersticas de la
cartera
de
inversiones.
Riesgo corporativo
y marco de
referencia de
control interno de
TI.
Desarrollar
marco
especfico de gestin de
riesgos de TI.
Tolerancia de riesgo de TI.
Alinear la poltica de
riesgos de TI.
Promover
cultura
del
riesgo.
Promover
una
comunicacin efectiva de
los riesgos de TI.
Optimizar el
entorno de TI, con
una infraestructura
fcil de usar y
actualizar.
Disminuir errores
manuales.
Responder a
actualizaciones y cambios
constantes.
www.auditool.org
12
5. Asegurar la
transparencia
a las partes
interesadas.
Procesos
6. Administrar
el Marco de
Administraci
n de TI.
7. Administrar
la estrategia.
Alineacin de TI
con el negocio.
Evaluacin
del
desempeo
y
capacidad actual.
Plan estratgico de
TI
Planes tcticos de
TI
Planeacin de la
direccin
tecnolgica.
Planeacin de la
infraestructura
tecnolgica.
Actividades
Establecer
estructura
organizacional
de
TI,
incluyendo comits y ligas
a
los
interesados
y
proveedores.
Disear marco de trabajo
para el proceso de TI.
Identificar dueos de
sistemas.
Identificar
datos.
dueos
de
Establecer e implementar
roles y responsabilidades
de TI, incluida la
supervisin segregacin
de funciones.
www.auditool.org
13
8. Administrar la
arquitectura
corporativa.
9.
Administrar
la
innovacin.
10. Administrar
el
portafolio.
Creacin y actualizacin
continua de un modelo de
informacin del negocio, y
definicin de los sistemas
apropiados para optimizar
el uso de la informacin.
Este proceso mejora la
calidad de la toma de
decisiones,
asegurando
informacin confiable y
segura, a travs de la
responsabilidad sobre la
integridad y seguridad de
los datos, efectividad y
control de la informacin
compartida por medio de
las
aplicaciones
y
entidades.
Modelo de
arquitectura de
informacin
empresarial.
Diccionario de
datos corporativo y
reglas de sintaxis
para los datos.
Esquema de
clasificacin de
datos.
Consejo de
arquitectura de TI
de
mantener
datos
Establecer y mantener
esquema de clasificacin
de datos.
Brindar a los dueos
procedimientos
y
herramientas
para
clasificar los sistemas de
informacin.
Usar
el
modelo
de
informacin, el diccionario
de datos y el esquema de
clasificacin para planear
los sistemas optimizados
de negocio.
Monitorear la evolucin
tecnolgica.
Monitorear las
tendencias y
regulaciones del
futuro.
Administracin del
portafolio de TI.
Analizar portafolios de
programas y portafolios de
servicios y proyectos.
www.auditool.org
14
11. Administrar
el
presupuest
o
y los
costos.
Determinar un marco de
trabajo para administrar los
programas de inversin en
TI que incluya costos,
beneficios,
prioridades
dentro del presupuesto,
proceso presupuestal, y
administracin.
Marco de trabajo
para
la
administracin
financiera.
Prioridades dentro
del presupuesto de
TI.
Proceso
presupuestal.
Administracin de
costos de TI.
Administracin de
beneficios.
Definicin
de
servicios.
Contabilizacin de
TI.
Modelacin
de
costos y cargos.
Mantenimiento del
modelo de costos.
12. Administrar
el recurso
humano.
Adquirir,
mantener
y
motivar un ambiente de
trabajo para la creacin y
entrega de servicios de TI
para el negocio, a travs
de buenas prcticas en la
contratacin, capacitacin,
evaluacin del desempeo,
promocin y terminacin.
Este proceso es vital,
debido
a
que
la
competencia y motivacin
del personal influyen en el
ambiente de gobierno y
control interno en la
empresa.
Reclutamiento
retencin
personal.
y
del
Competencias del
personal.
Asignacin
de
roles.
Entrenamiento del
personal de TI.
Dependencia sobre
los individuos.
Procedimientos de
investigacin
de
personal.
Evaluacin
del
desempeo
del
personal.
Cambios
y
terminacin
de
trabajo.
Identificacin
de
necesidades
de
entrenamiento
y
educacin.
Imparticin
de
entrenamiento
y
educacin.
Evaluacin
del
entrenamiento
Dar
mantenimiento
al
portafolio de programas de
inversin.
Dar
mantenimiento
portafolio de proyectos.
al
Dar
mantenimiento
al
portafolio de servicios.
Establecer y mantener
proceso presupuestal de
TI.
Identificar, comunicar y
monitorear la inversin,
costo y valor de TI para la
empresa.
www.auditool.org
15
recibido.
Marco de trabajo de
procesos de TI
Comit estratgico
de TI
13. Administrar
las
relaciones.
Organizacin
de
TI
teniendo en cuenta los
requerimientos
de
personal,
funciones,
rendicin
de
cuentas,
autoridades,
roles
y
responsabilidades.
Adems, debe envolver la
transparencia y control de
los altos ejecutivos. Se
debe
establecer
una
estructura
ptima
de
enlace, comunicacin y
coordinacin
entre
la
funcin de TI y otros
interesados.
14. Administrar
los
contratos
de
servicios.
Definicin documentada y
acuerdo de servicios de TI
y niveles de servicio, para
una comunicacin efectiva
entre la gerencia de TI y
los clientes del negocio;
garantizando la alineacin
entre los servicios de TI y
los
requerimientos
del
Comit directivo de
TI
Ubicacin
organizacional de la
funcin de TI
Estructura
organizacional.
Establecimiento de
roles
y
responsabilidades.
Responsabilidades
de aseguramiento
de calidad de TI,
Quality Assurance.
Responsabilidad
sobre el riesgo,
seguridad
y
el
cumplimiento.
Propiedad de datos
y de sistemas.
Supervisin
Segregacin
de
funciones
Personal
de
tecnologa
de
informacin.
Personal clave de
tecnologa
de
informacin.
Polticas
y
procedimientos
para el personal
contratado.
Relaciones
entre
partes interesadas
con la funcin de
tecnologa
de
informacin.
Marco de trabajo de
la administracin de
los
niveles
de
servicio.
Definicin
de
servicios.
Acuerdos
de
niveles
de
servicios.
Definicin de u marco de
trabajo de procesos de TI.
Establecimiento de un
cuerpo y una estructura
organizacional apropiada.
Definicin de roles y
responsabilidades.
Construir un catlogo de
servicios de TI.
Definir los convenios de
niveles de servicio para los
servicios crticos de TI.
www.auditool.org
16
negocio.
Acuerdos
niveles
operacin.
de
de
Monitoreo y reporte
del cumplimiento de
los
niveles
de
servicio.
Revisin de los
acuerdos de niveles
de servicio y de los
contratos.
Administracin de
contratos
con
proveedores.
15. Administrar
los
proveedore
s.
16. Administrar
la calidad.
Administracin efectiva de
los servicios provistos por
terceros, por medio de la
definicin
de
roles,
responsabilidades
y
expectativas, en relacin a
los acuerdos con terceros.
Adems, es importante la
revisin y monitoreo de la
efectividad y cumplimiento
de
los
acuerdos
establecidos, minimizando
as
los
riesgos
relacionados.
Se debe desarrollar un
sistema de administracin
de calidad, que incluya
procesos y estndares de
desarrollo y adquisicin; a
travs de requerimientos,
procedimientos y polticas
claras
de
calidad,
manifestados
con
indicadores cuantificables y
alcanzables. Adems, es
necesario un constante
monitoreo, correccin de
desviaciones,
y
comunicacin oportuna de
resultados;
generando
valor al negocio, mejora
Seleccin
proveedores.
de
Identificacin
de
todas las relaciones
con terceros.
Gestin
de
relaciones
con
proveedores.
Administracin de
riesgos
del
proveedor.
Monitoreo
desempeo
proveedor.
del
del
Sistemas
administracin
calidad.
Estndares
prcticas
calidad.
Estndares
desarrollo y
adquisicin.
Enfoque
en
cliente de TI.
de
de
Definir un sistema de
administracin de calidad.
y
de
Establecer y mantener un
sistema de administracin
de calidad.
Crear
y
comunicar
estndares de calidad a
toda la organizacin.
Crear y administrar el plan
de calidad para la mejora
continua.
Medir, monitorear y revisar
el cumplimiento de las
metas de calidad.
de
de
el
Mejora continua.
Medicin,
monitoreo
y
revisin
de
la
calidad.
www.auditool.org
17
continua y transparencia.
Marco de trabajo de
administracin de
riesgos.
Establecimiento del
contexto del riesgo.
17. Administrar
los riesgos.
18. Administrar
la
seguridad.
Procesos
Marco de trabajo de
administracin de riesgos,
que determine un nivel
comn y acordado de
riesgos de TI, estrategias
de mitigacin y riesgos
residuales. El marco de
trabajo,
tambin
debe
permitir identificar, analizar
y evaluar cualquier impacto
potencial que se presente.
Es importante establecer
un
proceso
de
administracin
de
la
seguridad, que garantice la
integridad
de
la
informacin y la proteccin
de los activos de TI. Este
proceso
incluye
establecimiento de roles y
responsabilidades
de
seguridad,
polticas,
estndares
y
procedimientos de TI. De la
misma manera, se deben
realizar acciones monitoreo
y pruebas de seguridad,
acciones correctivas sobre
las debilidades o incidentes
detectados.
Identificacin de
eventos.
Evaluacin de
riesgos de TI.
Respuesta a los
riesgos.
Mantenimiento y
monitoreo de un
plan de accin de
riesgos.
Administracin de
la seguridad de TI.
Determinar la alineacin
de la administracin de
riesgos.
Entender los objetivos de
negocio
estratgicos
relevantes.
Entender los objetivos de
los procesos de negocio
relevantes.
Identificar los objetivos
internos de TI y establecer
el contexto del riesgo.
Identificar
eventos
asociados con objetivos.
Asesorar el riesgo con los
eventos.
Evaluar
y
seleccionar
respuestas a riesgos.
Priorizar
y
planear
actividades de control.
Aprobar y asegurar fondos
para planes de accin de
riesgos.
Mantener y monitorear un
plan de accin de riesgos.
Definir y mantener un plan
de seguridad de TI.
Definir, establecer y operar
un proceso de
administracin de
identidad.
Monitorear incidentes de
seguridad.
Plan de seguridad
de TI.
Realizar evaluaciones de
vulnerabilidad
peridicamente.
Actividades
Definir un marco de
administracin
de
programas, portafolio para
www.auditool.org
18
19. Administrar
programas
y
proyectos.
programas y proyectos de
TI, que permita garantizar
la asignacin correcta de
prioridades y coordinacin
de proyectos, Este marco
debe incluir un plan
maestro, asignacin de
recursos, definicin de
entregables, aprobacin de
usuarios,
entrega
por
fases, aseguramiento de la
calidad, plan de pruebas,
revisin de pruebas, postimplantacin, que garantice
la administracin de los
riesgos del proyecto y la
entrega del valor para el
negocio.
programas.
Marco de trabajo
para
la
administracin de
proyectos.
Enfoque
administracin
proyectos.
de
de
Compromiso de los
interesados.
Declaracin
alcance
proyecto.
del
del
Administrar
la definicin
de
requerimien
tos.
Los
requisitos
y
necesidades de la empresa
se deben satisfacer con un
enfoque
efectivo
y
eficiente. Para esto, es
necesario identificar las
necesidades,
considerar
fuentes
alternativas,
revisin de la factibilidad
tecnolgica y econmica,
anlisis de riesgos y de
costo-beneficios,
para
Definicin
y
mantenimiento de
los requerimientos
tcnicos
y
funcionales
del
negocio.
Reporte de anlisis
de riesgos.
Estudio
factibilidad
formulacin
de
y
de
inversiones en TI.
Establecer y mantener un
marco de trabajo para la
administracin
de
proyectos de TI.
Establecer y mantener un
sistema de monitoreo,
medicin y administracin
de sistemas.
Elaborar
estatutos,
calendarios, planes de
calidad,
presupuestos,
planes de comunicacin y
de
administracin
de
riesgos.
Asegurar la participacin y
compromiso
de
los
interesados en el proyecto.
Asegurar el control efectivo
de los proyectos y de los
cambios a proyectos.
Definir
e
implementar
mtodos de aseguramiento
y revisin de proyectos.
www.auditool.org
19
tomar una decisin final, ya
sea desarrollar o comprar.
cursos de accin
alternativos.
Requerimientos,
decisin
de
factibilidad
y
aprobacin.
Diseo
nivel.
de
alto
Diseo detallado.
21. Administrar
la
identificaci
ny
construcci
n de
soluciones.
Control
y
posibilidad
de
auditar
las
aplicaciones.
Seguridad
y
disponibilidad
de
las aplicaciones.
Configuracin
e
implantacin
de
software aplicativo
adquirido.
Actualizaciones
importantes
en
sistemas
existentes.
Desarrollo
del
software aplicativo.
Aseguramiento de
la
calidad
del
software.
Administracin de
los requerimientos
Conducir un estudio de
factibilidad, evaluacin de
impacto con respecto a la
implantacin
de
los
requerimientos del negocio
propuestos.
Evaluar
los
beneficios
operativos de TI para las
soluciones propuestas.
Evaluar los beneficios de
negocio de las soluciones
propuestas.
Elaborar un proceso de
aprobacin
de
requerimientos.
Aprobar
y
autorizar
soluciones propuestas.
Traducir los requerimientos
del
negocio
en
especificaciones de diseo
de alto nivel.
Preparar diseo detallado
y
los
requerimientos
tcnicos
del
software
aplicativo.
Especificar los controles
de aplicacin dentro del
diseo.
Personalizar
e
implementar
la
funcionalidad
automatizada adquirida.
Desarrollar
las
metodologas y procesos
formales para administrar
el proceso de desarrollo de
la aplicacin.
Crear
un
plan
de
aseguramiento
de
la
calidad de software para el
proyecto.
Dar
seguimiento
y
administrar
los
requerimientos
de
la
aplicacin.
Desarrollar un plan para el
mantenimiento
de
aplicaciones de software.
www.auditool.org
20
de aplicaciones.
Mantenimiento de
software aplicativo.
Plan de adquisicin
de infraestructura
tecnolgica.
Proteccin
y
disponibilidad
de
recurso
de
infraestructura.
Mantenimiento de
la infraestructura.
Ambiente
de
prueba
de
factibilidad.
Control
de
adquisicin.
Adquisicin
de
recursos de TI
22. Administrar
la
disponibilid
ad
y
capacidad.
23. Administrar
la
habilitacin
del cambio.
Revisin y verificacin
peridica del desempeo y
la
capacidad
de
los
recursos de TI, para
determinar las necesidades
futuras, de acuerdo a
aspectos como carga de
trabajo, almacenamiento, y
contingencias.
Este
proceso permite asegurar
que los recursos de
informacin
estn
disponibles de manera
continua, y optimiza el
desempeo
de
la
infraestructura,
los
recursos y las capacidades
de TI, en respuesta a las
necesidades del negocio.
Definicin y ejecucin de
procedimientos de
adquisicin, seleccin de
proveedores, y ajuste de
arreglos contractuales.
Planeacin del
desempeo y la
capacidad.
Capacidad
y
desempeo actual.
Capacidad
y
desempeo futuros.
Disponibilidad
recursos de TI
de
Monitoreo y
reporte.
Control
adquisicin.
de
Administracin de
contratos
con
proveedores.
Establecer un proceso de
planeacin para la revisin
del desempeo y la
capacidad de los recursos
de TI.
Revisar el desempeo y la
capacidad actual de los
recursos de TI.
Realizar pronsticos de
desempeo y capacidad
de los recursos de TI.
Realizar anlisis de brecha
para
identificar
incompatibilidad de los
recursos de TI.
Realizar un plan de
contingencia respecto a
una falta potencial de
disponibilidad de recursos
de TI.
Monitorear
y
reportar
continuamente
la
disponibilidad, desempeo
y
capacidad
de
los
recursos de TI.
Desarrollar
polticas
y
procedimientos
de
adquisicin de TI de
acuerdo con las polticas
de adquisicin a nivel
corporativo.
Establecer y mantener una
lista
de
proveedores
acreditados.
www.auditool.org
21
24. Administrar
cambios
25. Administrar
la
aceptacin
de cambios
y
transicione
s.
Administrar
todos
los
cambios de una manera
organizada, incluyendo los
cambios de estndares y el
mantenimiento
de
emergencia relacionados a
los procesos del negocio,
aplicaciones
e
infraestructura.
Este
proceso incluye cambiar
estndares
y
procedimientos, evaluacin
de impacto, priorizacin y
autorizacin, cambios de
emergencia, seguimiento,
reporte,
cierre
y
documentacin.
Los
cambios
deben
ser
registrados, evaluados y
autorizados, antes de su
implantacin, y revisados
despus de la misma. De
esta manera, se garantiza
la reduccin de riesgos que
puedan
impactar
negativamente
la
estabilidad o integridad del
sistema de produccin.
Desarrollo de las pruebas
adecuadas, definicin de la
transicin e instrucciones
de migracin, planeacin
de liberacin y transicin al
ambiente de produccin, y
revisin
de
postimplantacin. Este proceso
garantiza que los sistemas
estn en lnea de acuerdo
a las caractersticas y
resultados esperados.
Seleccin
proveedores.
de
Adquisicin
recursos de TI.
de
Estndares y
procedimientos
para cambios.
Evaluacin de
impacto,
priorizacin y
autorizacin.
Cambios de
emergencia.
Seguimiento y
reporte del estatus
del cambio.
Cierre y
documentacin del
cambio.
Entrenamiento
Plan de prueba.
Plan de
implantacin.
Ambiente de
prueba.
Conversin de
sistemas y datos.
www.auditool.org
22
26. Administrar
el
conocimient
o.
27. Administrar
los activos.
28. Administrar
la
configuraci
n.
Generacin
y
documentacin
de
manuales para usuarios y
para TI, capacitacin y
entrenamiento
para
garantizar el correcto uso y
operacin
de
las
aplicaciones
y
la
infraestructura.
Administracin adecuada
de los activos en TI
durante su ciclo de vida,
eliminando
as
costos
innecesarios.
Recoleccin
de
informacin
de
la
configuracin
inicial,
establecimiento de normas,
verificacin y auditoria de
la informacin de la
configuracin
y
actualizacin
del
repositorio
de
configuracin, de acuerdo
a las necesidades. Este
proceso facilita una mayor
disponibilidad, minimiza los
problemas de produccin y
resuelve los problemas a
tiempo. As mismo, este
proceso
incluye
la
optimizacin
de
la
infraestructura, recursos y
capacidades de TI, y el
Pruebas de
cambios.
Prueba
de
aceptacin final.
Promocin
a
produccin.
Revisin posterior a
implantacin.
Recomendar la liberacin
a produccin con base en
los criterios de acreditacin
convenidos.
Plan para
soluciones de
operacin.
Transferencia de
conocimiento a la
gerencia del
negocio.
Transferencia de
conocimiento a
usuarios finales.
Transferencia de
conocimiento al
personal de
operaciones y
soporte.
Desarrollar manuales de
procedimiento del usuario
final.
Desarrollar documentacin
de soporte tcnica para
operaciones y personal de
soporte.
Desarrollar
y
dar
entrenamiento.
Evaluar los resultados del
entrenamiento y ampliar la
documentacin,
cuando
sea necesario.
Monitoreo
y
disposicin de los
activos de TI.
Repositorio y lnea
base de
configuracin.
Identificacin y
mantenimiento de
elementos de
configuracin.
Revisin de
integridad de la
configuracin.
Desarrollar procedimientos
de
planeacin
de
administracin
de
la
configuracin.
Recopilar
informacin
sobre la configuracin
inicial y establecer lneas
de base.
Verificar y auditar la
informacin de la
configuracin.
Actualizar el repositorio de
configuracin.
www.auditool.org
23
registro de los activos de
TI.
Procesos
29.
Administrar
las
operaciones
30. Administrar
las
solicitudes
de servicios
Mesa de servicios.
Registro
de
Actividades
Definir el nivel requerido
de proteccin fsica.
Seleccionar y comisionar
el sitio.
Implementar medidas de
ambiente fsico.
Administrar el ambiente
fsico.
Definir
e
implementar
procesos
para
mantenimiento
y
autorizacin de acceso
fsico.
Crear
o
modificar
procedimientos
de
operacin.
Programacin de cargas
de trabajo y de programas
en lote.
Monitorear
la
infraestructura y procesar y
resolver problemas.
Administrar y asegurar la
salida
fsica
de
informacin.
Aplicar cambios o arreglos
al programa y a la
infraestructura.
Implementar y establecer
un
proceso
para
salvaguardar
los
dispositivos
de
autenticacin
contra
interferencia, prdida o
robo.
Programar y llevar a cabo
mantenimiento preventivo.
Crear procedimientos de
clasificacin
y
de
escalamiento.
Detectar
y
registrar
www.auditool.org
24
y
los
incidentes.
31. Administrar
problemas.
32. Administrar
la
continuidad
.
tendencia,
anlisis
de
causa-raz y solucin. Este
proceso, permite responder
de manera oportuna a las
consultas y problemas de
los usuarios de TI.
Identificacin
y
clasificacin de problemas,
anlisis de causas desde la
raz, y resolucin de
problemas. Este proceso
tambin
incluye,
la
identificacin
de
recomendaciones para la
mejora, mantenimiento de
registro de problemas, y
revisin de las acciones
correctivas. Adems, este
proceso
garantiza
la
satisfaccin de los usuarios
finales.
Garantizar la continuidad
del servicio, a travs del
desarrollo, mantenimiento
y prueba de planes de
continuidad
de
TI,
almacenar respaldos fuera
de las instalaciones, y
entrenar
de
forma
peridica sobre los planes
de
continuidad.
Este
proceso
minimiza
la
probabilidad y el impacto
de interrupciones mayores
en los servicios de TI,
sobre las funciones y
procesos importantes de la
empresa.
consultas
clientes.
Escalamiento
incidentes.
Cierre
incidentes.
Anlisis
tendencias.
de
Administracin
clasificacin
problemas.
Rastreo
resolucin
problemas.
Cierre
problemas.
y
de
de
de
de
y
de
de
Integracin de las
administraciones de
cambios,
configuracin
y
problemas.
Marco de trabajo de
continuidad de TI.
Planes
de
continuidad de TI.
Recursos
de TI.
crticos
Mantenimiento del
plan de continuidad
de TI
Entrenamiento del
plan de continuidad
de TI
Distribucin
del
plan de continuidad
de TI
Recuperacin
y
reanudacin de los
incidentes, solicitudes de
servicio y de informacin.
Clasificar,
investigar
y
diagnosticar consultas.
Resolver,
recuperar
y
cerrar incidentes.
Informar a usuarios.
Hacer reportes para la
gerencia.
Identificar
problemas.
clasificar
www.auditool.org
25
servicios de TI.
Almacenamiento de
respaldos fuera de
las instalaciones.
Revisin
postreanudacin.
Eliminacin.
Respaldo
restauracin.
33.
Administrar
los
servicios de
seguridad
Proceso de administracin
de la seguridad, necesario
para mantener la integridad
de
la
informacin
y
proteger los activos de TI.
Esto se realiza a travs del
establecimiento
y
mantenimiento de roles y
responsabilidades
de
seguridad,
polticas,
estndares
y
procedimientos
de
TI,
monitoreo de seguridad y
pruebas
peridicas,
y
acciones correctivas. Este
proceso
minimiza
el
impacto en la empresa
causado
por
vulnerabilidades
o
incidentes de seguridad.
Administracin
identidad.
de
Administracin
cuentas
usuario.
de
del
Pruebas, vigilancia
y monitoreo de la
seguridad.
Definicin
incidente
seguridad.
Proteccin
tecnologa
seguridad.
de
de
de
Administracin
llaves
criptogrficas.
la
de
de
Prevencin,
deteccin
y
correccin
de
software malicioso.
Seguridad de la
red.
Intercambio
de
datos sensitivos.
Acuerdos
de
almacenamiento y
conservacin.
Sistema
de
administracin de
libreras de medios.
Medidas
de
seguridad fsica.
Acceso fsico.
planes de continuidad de
TI.
Planear la recuperacin y
reanudacin
de
los
servicios de TI.
Planear e implementar el
almacenamiento
y
la
proteccin de respaldos.
Establecer
los
procedimientos para llevar
a cabo revisiones postreanudacin.
Definir y mantener un plan
de seguridad de TI.
Definir, establecer y operar
un
proceso
de
administracin
de
identidad.
Monitorear incidentes de
seguridad,
reales
y
potenciales.
Revisar
y
validar
peridicamente
los
privilegios y derechos de
acceso de los usuarios.
Establecer y mantener
procedimientos
para
mantener y salvaguardar
las llaves criptogrficas.
Implementar y mantener
controles tcnicos y de
procedimientos
para
proteger
el
flujo
de
informacin a travs de la
red.
Realizar evaluaciones de
vulnerabilidad de manera
regular.
www.auditool.org
26
Requerimientos de
seguridad para la
administracin de
datos.
Proteccin contra
factores
ambientales.
34. Administrar
los
controles
en
los
procesos
de negocio.
Procesos
35.
36.
Monitorear,
evaluar
y
valorar
el
desempeo
y
cumplimient
o
Monitorear,
evaluar
y
valorar
el
sistema de
control
interno
Definicin
de
procesos
para
satisfacer
requerimientos del
negocio de TI.
Monitoreo
del
marco de trabajo de
control interno.
Revisiones
de
auditoria.
Excepciones
de
control.
Auto evaluacin del
control.
Aseguramiento del
control interno.
Control interno para
terceros.
Actividades
Establecer el enfoque de
monitoreo.
Identificar y recolectar
objetivos medibles que
apoyan a los objetivos del
negocio.
Crear cuadro de mandos.
Evaluar el desempeo.
Reportar el desempeo.
Identificar y monitorear las
medidas de mejora del
desempeo.
Monitorear y controlar las
actividades
de
control
interno de TI.
Monitorear el proceso de
auto-evaluacin.
Crear cuadro de mandos.
Monitorear el proceso para
obtener
aseguramiento
sobre
los
controles
operados por terceros.
Monitorear el proceso para
identificar y evaluar las
excepciones de control.
Monitorear el proceso para
identificar y evaluar y
www.auditool.org
27
Acciones
correctivas
Identificar
los
requerimientos de
las
leyes,
regulaciones
y
cumplimientos
contractuales.
Optimizar
la
respuesta
a
requerimientos
externos.
Evaluacin
del
cumplimiento con
requerimientos
externos.
37.
Monitorear,
evaluar
y
valorar
el
cumplimient
o
con
requisitos
externos.
Identificacin
de
requerimientos
de
cumplimiento, optimizando
y evaluando la respuesta,
asegurando
que
los
requerimientos se han
cumplido, e integrando los
reportes de cumplimiento
de TI, con el resto de la
empresa.
Aseguramiento
positivo
del
cumplimiento.
Reportes
integrados.
Revisin
de
requerimientos
externos.
Prcticas
y
procedimientos
para cumplimiento
de
los
requerimientos
externos.
Cumplimiento
de
estndares
ergonmicos y de
seguridad.
Privacidad y flujo
de datos.
Comercio
electrnico
Cumplimiento
contrato
de
seguros.
www.auditool.org
28
Modelo de capacidad de procesos ISO/IEC 15504
Las empresas deben estar evaluando constantemente su administracin de TI, a travs del desarrollo de
un plan de negocio para mejorar y alcanzar el nivel apropiado de administracin, y control sobre la
infraestructura de informacin, y considerando el equilibrio del costo beneficio. El modelo COBIT 5,
sugiere un modelo de capacidad de procesos para la administracin y control de los procesos de TI,
mediante un mtodo de evaluacin de la organizacin, que permita identificar los problemas o fallas, y
fijar las mejoras. Adems, este modelo permite que la empresa conozca su desempeo real, estatus
actual de la industria, objetivo de mejora de la empresa, y crecimiento requerido. El modelo de capacidad
de procesos en COBIT 5 es soportado por el Modelo de Procesos ISO/IEC 15504, y contiene los
siguientes niveles de capacidad que un proceso puede alcanzar:
www.auditool.org
29
Cada nivel es alcanzado una vez se cumpla con el anterior, estableciendo as una escala de
mejoramiento continuo. Este estndar internacional en Tecnologas de Informacin Evaluacin de
procesos (Software Process Improvement Capability Determination, Determinacin de la Capacidad de
Mejora del Proceso de Software), se public por primera vez en 1998; y se define como un marco para la
evaluacin, mejora de la capacidad y madurez de los procesos; y establece los requisitos mnimos de las
distintas fases (desarrollo, mantenimiento y operacin) que se presentan en el ciclo de vida de software.
Su estructura se divide en siete momentos, y dos fases, la primer fase considerada como normativa,
consiste en definir los requerimientos mnimos para la realizacin de mejoras de procesos de desarrollo y
as mismo sirve para evaluar el nivel de madurez de la entidad con relacin al desarrollo de software, una
segunda parte denominada como no normativa la cual presentan las guas de interpretacin de los
requerimientos mnimos de la norma. Los siete momentos o partes de la norma ISO/IEC 15504 son:
1.
2.
3.
4.
5.
6.
7.
ISO/IEC 15504 permite realizar las evaluaciones usando niveles de madurez, definidos como conjuntos
de procesos que ayudan a una organizacin a mejorar en el desarrollo de software, evolucionando por
los niveles. Entonces, se definen los seis niveles de capacidad, mencionados anteriormente, a los cuales
se puede demandar dependiendo la calidad y la utilizacin de los procesos de desarrollo, mantenimiento
y operacin de software dentro de organizacin.
Cada proceso se describe de acuerdo a sus propsitos y resultados, incluyendo los pasos necesarios
para alcanzar los propsitos y metas actuales del proceso. El modelo de capacidad de procesos basado
en la norma ISO/IEC 15504 envuelve los siguientes objetivos:
Matriz RACI
Para cada proceso se establece una Matriz RACI, la cual presenta la asignacin de responsabilidades y
roles con respecto a las actividades que envuelven cada proceso. De esta manera segn las siglas se
establece:
www.auditool.org
30
R
A
C
I
Responsible
Accountable
Consulted
Informed
Responsable
Quien aprueba
A quien se consulta
A quien se informa
Actividades
Junta directiva
Director Ejecutivo (CEO)
Director Financiero (CFO)
Director operativo (COO)
Ejecutivos del negocio
Dueos del proceso del Negocio
Comit Ejecutivo de la Estrategia
Comit directivo
Oficina Administrativa de proyectos
Oficina Administrativa del Valor
Director de Riesgos
Director de Seguridad de la Informacin
Director de arquitectura
Comit de Riesgo Empresarial
Jefe de Recursos humanos
Cumplimiento
Auditoria
Director de Informacin
Jefe Arquitecto
Jefe de desarrollo
Jefe de Operaciones de TI
Jefe de Administracin de TI
Administrador del servicio
Administrador de la Seguridad de la
informacin
Administrador de la continuidad del negocio
Director de privacidad
Matriz RACI
Implementacin
Un valor ptimo puede ser alcanzado si se adapta efectivamente el modelo COBIT a la organizacin,
teniendo en cuenta su ambiente. La Gua de implementacin del Modelo COBIT se desarrolla en un
mejoramiento continuo del ciclo de vida, teniendo en cuenta los siguientes aspectos:
Contexto de la empresa: Cada empresa debe disear su propio plan de implementacin de
acuerdo a factores especficos internos y externos:
tica y cultura
Leyes, regulaciones y polticas pertinentes
Misin, visin y valores
Polticas de gobierno y practicas
Plan de negocios e intenciones estratgicas
Modelo operativo y nivel de madurez
Estilo de administracin
Apetito de Riesgo
Capacidades y recursos disponibles
Practicas industriales
www.auditool.org
31
Revisar
efectividad
Iniciacin
del
programa
Definir
problemas y
Beneficios
oportunidades
Ejucutar el
plan
Definir plan
de accin
Programa
del plan
Introduccin, Caso de negocio: Necesidad de actuar para lograr el valor de negocio, teniendo en
cuentas aspectos como:
Beneficios
Cambios necesarios
Inversin necesaria
Costos de TI
Beneficios esperados
Riesgo inherente
Roles y responsabilidades
Mtricas de evaluacin y monitoreo
www.auditool.org
32
Risk IT
Marco de trabajo basado en un conjunto de principios rectores, guas y procesos de negocio para la
identificacin, gobernabilidad y administracin eficaz de riesgo de tecnologa de informacin en una
entidad. Risk IT establece buenas prcticas y posibilita una mirada integral para la deteccin de riesgos
relacionados con el uso, propiedad, operacin, participacin, influencia y adopcin de las tecnologas de
informacin; facilita la integracin de la administracin del riesgo de TI con las actividades de gestin de
riesgo de la entidad (ERM), permitiendo as que la entidad tome mejores decisiones con relacin a
aspectos sobre riesgo, evitando perdidas y obteniendo beneficios.
El uso de TI puede generar importantes beneficios para una organizacin, pero a la vez implica un sin
nmero de riesgos. De esta manera es importante que la toma de decisiones est sustentada en los
alcances del riesgo y manteniendo siempre la relacin riesgo/beneficio, debido a que de esta manera se
seguirn las medidas necesarias para responder a este, y se alcanzaran las metas del negocio. Una
adecuada gestin de riesgos de TI, a los que puede estar expuesta cualquier organizacin, es esencial
para una correcta administracin y gobierno.
Los riesgos de TI pueden clasificarse de la siguiente manera:
CATEGORIA
Beneficios / riesgos
de TI
Programa de TI y
riesgo de ejecucin
de proyectos
Operaciones de TI y
el riesgo de la
prestacin de
servicios
DESCRIPCIN
Riesgos asociados a la ausencia de oportunidades para
utilizar la tecnologa, con el fin de mejorar la eficiencia o
efectividad de los procesos de negocio o como un
facilitador para nuevas iniciativas organizacionales.
Riesgos relacionados a la contribucin de TI para
soluciones de negocios nuevos o mejorados y gestin
de las inversiones de cartera.
Riesgos asociados a todos los aspectos del desempeo
de TI y servicios del sistema, que pueden ocasionar la
destruccin o la reduccin de valor para la organizacin.
RIESGOS
Riesgos
estratgicos
Riesgos
ambientales
Riesgos
de
mercado
Riesgos
de
crdito
Riesgos
operacionales
Riesgos
de
cumplimiento
El marco de trabajo Risk IT se desarrolla con base en los principios de gestin de riesgos
organizacionales (ERM), COSO ERM, y dems normas y principios relacionados; por esta razn se
fundamenta en los siguientes principios:
Alrededor de estos objetivos se genera un modelo de procesos, que incluye las actividades clave de cada
proceso, responsabilidades, flujos de informacin y gestin del rendimiento. Risk IT est enfocado a 3
dominios, cada uno con tres procesos:
Gobernabilidad del riesgo: Consiste en garantizar que las prcticas de administracin de riesgo
de tecnologas de informacin estn integradas a la entidad, es decir involucrar el riesgo en la
toma de decisiones de negocio, posibilitando as un retorno o resultado eficiente de las
actividades de gestin de riesgos, adems de tener una visin comn del mismo.
Los procesos relacionados son:
www.auditool.org
33
Existen algunos factores claves para la gobernabilidad del riesgo entre las que se encuentran:
Apetito del riesgo y tolerancia al riesgo: El apetito del riesgo es la cantidad de riesgo que
una organizacin est dispuesta a aceptar en el cumplimiento de su misin. La tolerancia
al riesgo es la variacin aceptable en relacin a la consecucin de un objetivo.
Responsabilidades y rendicin de cuentas sobre la gestin de riesgos de TI:
Determinacin de las responsabilidades de las actividades en cada proceso.
Sensibilizacin y comunicacin: Concienciacin de los riesgos, como parte integral de la
organizacin.
Cultura del riesgo: Asumir mayores riesgos en la bsqueda de la rentabilidad, lo cual
ofrece un entorno que permite discutir los componentes del riesgo, entendiendo los
niveles de riesgo aceptables.
Evaluacin del riesgo: Garantizar que los riesgos y oportunidades de tecnologa de informacin
sean identificadas, analizadas y presentadas en trminos de negocio para mantener el perfil del
riesgo.
Los procesos relacionados son:
Recoger datos.
Analizar los riesgos.
Mantener perfil de riesgo.
www.auditool.org
34
Entender las capacidades de las tecnologas de informacin.
Mantener el registro de riesgos de tecnologas de informacin y el mapa de riesgos de
tecnologas de informacin.
Disear y comunicar los indicadores de riesgo de tecnologas de informacin.
Conectar los tipos de amenazas y las categoras de impacto para el negocio.
Establecer y mantener un modelo para la obtencin de datos internos y externos; factores
de riesgo, eventos, problemas, amenazas, vulnerabilidades y prdidas.
Recoleccin de informacin en ambiente operativo.
Recoleccin de informacin en eventos de riesgo.
Identificacin de factores de riesgo.
Componentes:
Riesgo articulado.
Manejar riesgos.
Reaccionar a acontecimientos.
Determinar controles.
Implementar controles.
Monitorear el alineamiento operacional con la tolerancia al riesgo.
Reportar los resultados del anlisis de riesgos de tecnologas de informacin, riesgos y
oportunidades.
Reportar el progreso del plan de accin del riesgo de tecnologas de informacin.
Comunicar los resultados de anlisis de riesgo de tecnologas de informacin.
Reportar las actividades de administracin de riesgos y el estado del cumplimiento de
tecnologas de informacin.
Mantener los planes de respuesta a incidentes.
Conducir revisiones post-mortem de los incidentes relacionados con tecnologas de
informacin.
Componentes:
www.auditool.org
35
o
o
o
o
Evitar riesgos
Reduccin de riesgos/mitigacin
Riesgo compartido/transferencia
Aceptacin del riesgo
Risk IT complementa a COBIT, debido a que proporciona un marco general para el buen desempeo en
los servicios de informacin de alta calidad en las distintas entidades u organizaciones, de manera que
facilita obtener una visin exacta de los riesgos relacionados a tecnologas de informacin; ofrece guas
sobre cmo administrar los riesgos de tecnologas de informacin desde el principio hasta el fin, se
integra con las estructuras de riesgo y de cumplimiento dentro de la entidad, promueve la propiedad de
los riesgos en la entidad u organizacin, facilita obtener el perfil de riesgo para entenderlo mejor, permite
tomar decisiones bien informadas sobre la extensin, el apetito y la tolerancia al riesgo y permite
entender cmo responder al riesgo.
Adems de esto, Risk IT provee de una gran variedad de beneficios a la entidad porque establece una
organizacin ms segura y consiente de sus riesgos, facilita la consecucin de los objetivos, genera
mayor estabilidad ante cambios del entorno, fortalece la cultura del autocontrol, aprovecha oportunidades
del negocio, optimiza la asignacin de recursos y promueve una mejora continua del sistema de control
interno.
Val IT
Marco de gobierno que contiene un conjunto de principios rectores y una serie de procesos y prcticas de
gestin claves para el apoyo a la gerencia ejecutiva y juntas a nivel empresarial. El marco Val IT
proporciona a las organizaciones la estructura adecuada para medir, monitorear y optimizar la realizacin
del valor del negocio desde la inversin en TI, con un costo adecuado y un aceptable nivel de riesgo.
Adems, Val IT es apoyado por publicaciones y herramientas operativas y proporciona orientacin a:
Val IT aborda supuestos, costos, riesgos y resultados relacionados con una cartera equilibrada de
inversiones empresariales en TI. Tambin proporciona la capacidad de evaluacin comparativa y permite
a las empresas intercambiar experiencias sobre las mejores prcticas para la gestin del valor.
La inversin en TI puede traer grandes beneficios, siempre y cuando las organizaciones la entiendan no
como un fin, sino como un medio para lograr los resultados esperados del negocio, no solo es la
implementacin de las nuevas tecnologas, si no la obtencin de valor a travs del cambio en la
organizacin con la TI. Es importante establecer un gobierno integral y con capacidad de TI, que pueda
asegurar el valor a travs de la inversin en TI. El valor del negocio es definido como los beneficios
totales netos del ciclo de vida, costos relacionados, ajustado por los riesgos y por el valor del dinero en el
tiempo, es decir el resultado final esperado de una inversin en TI, los cuales pueden ser financieros o
no.
Los principios es que se fundamenta VAL IT son:
www.auditool.org
36
Los principios son aplicados en cada uno de los procesos de VAL IT, los cuales estn divididos en tres
dominios:
Valor del gobierno: Optimizacin del valor de las inversiones en TI. Para esto se debe establecer
un marco de buen gobierno, monitoreo y control, direccin estratgica para las inversiones, y
definir las caractersticas de la cartera de inversiones.
Procesos:
Administracin del portafolio: Asegurar que la cartera global de inversiones en TI este alineada
con los objetivos estratgicos de la organizacin y contribuyen al valor ptimo de los mismos.
Este dominio incluye el establecimiento y gestin de perfiles de recursos, definicin de umbrales
para la inversin, evaluacin, priorizacin y seleccin, aplazamiento o rechazo de nuevas
inversiones, gestin de la cartera global, y monitoreo e informes sobre el rendimiento de la
cartera.
Procesos:
www.auditool.org
37
En el proceso de gestin de inversiones existen tres componentes importantes para la creacin de valor
de negocio, el caso de negocio, la administracin del programa, y la realizacin de los beneficios. El caso
de negocio se define bsicamente por las expectativas de los hechos futuros, es decir son un conjunto de
opiniones y suposiciones sobre cmo se puede crear valor, que se sustentan bajo indicadores cualitativos
y cuantitativos que certifican el caso de negocio y as mismo crean ideas interesantes para inversiones
futuras; adems es esencial para la seleccin correcta de los programas y la administracin de las
inversiones, durante su ejecucin. Val IT provee de guas y documentos que pueden mejorar la calidad
de los casos de negocios, profundizan en la definicin de indicadores claves tanto financieros como no
financieros, de igual manera que en la evaluacin y valoracin general del riesgo de prdidas. Esta
herramienta operativa es importante que se actualice constantemente para que refleje la realidad actual
de la entidad y de soporte al proceso de gestin de cartera. El caso de negocio consiste en los
principales recursos de entrada y tres flujos de actividades que conducen a la entrega de capacidades
tcnicas, operativas y de negocio. Estos flujos de actividades deben ser documentados para soportar las
decisiones de inversin y los procesos de administracin del portafolio, y sustentan que primero que todo,
los recursos son necesarios para desarrollar tecnologa y servicio de TI, que da soporte a una capacidad
operacional, que a su vez genera una capacidad de negocio, creando valor para todos los socios.
El ciclo de vida de un sistema o proceso implica cuatro etapas durante las cuales se pueden detectar los
flujos dinmicos, estas etapas se caracterizan bsicamente por su elaboracin, implementacin,
operacin y retiro. Tambin es importante que durante todo el ciclo de vida econmico de una inversin
se tenga bajo un riguroso monitoreo y control inmediato de la entrega de las capacidades necesarias y
los resultados esperados, una vez aprobada la inversin. Los flujos de actividad se conforman por varios
componentes que prestan ayudan necesaria para la evaluacin del caso de negocio completo y a su vez
estn creando los fundamentos para construir un modelo analtico, que tiene como beneficios demostrar
visiblemente la necesidad y valor de la infraestructura habilitadora.
El desarrollo del caso de negocio se lleva a cabo en ocho pasos:
Elaboracin de una hoja de datos: Comprende todos los datos requeridos para realizar el anlisis
de la alineacin estratgica, adems de los beneficios financieros y no financieros, y los riesgos
del programa. En la realizacin de la hoja de datos se vinculas tres momentos importantes,
actividades de recogida, validacin y entrada de datos. Durante este proceso cada hoja debe
llevar las diferentes etapas en las cuales se registra la respectiva informacin, estas son la
elaboracin, implementacin, operacin y retiro, estas etapas a su vez se dividen en dos, caso
mejor y caso peor que se registraran segn corresponda de acuerdo al anlisis.
www.auditool.org
38
optimizacin de las inversiones relacionadas con la tecnologa de
informacin. El segundo ejemplo de alienacin busca asegurar la alineacin de las inversiones
vinculadas con tecnologa de informacin con la arquitectura de empresa deseada.
Anlisis de beneficios financieros: Consecucin de proyectos que valen ms para el promotor del
negocio de lo que cuestan, de modo que la manera como un promotor de negocio debe evaluar
una propuesta de inversin por tecnologa de informacin se asemeja a una decisin inversora de
carcter individual. Luego de que se establecen los gastos y beneficios financieros precisados en
la hoja de datos del caso de negocio se comprenden en un estado de tesorera para deducir el
valor financiero. Por otra parte los resultados finales en los estados financieros se comprenden
en ratios para definir de la inversin su valor desde una mirada especficamente financiera.
Anlisis del riesgo: Proceso de anlisis y evaluacin de los riesgos determinados con relacin a
los procesos y objetivos del programa, es importante hacer un anlisis cualitativo y luego un
anlisis cuantitativo, si es requerido; esto permite reconocer los niveles de riesgo aceptables para
el programa, as como determinar el momento en que se sobrepasan los niveles de riesgo
pactados. Es necesario nombrar a una persona con un alto grado de responsabilidad, autoridad y
recursos para gestionar el riesgo, de la misma manera que se bebe documentar cualquier riesgo
establecido con un impacto importante. Las maneras de cmo se deben resolver la eliminacin,
mitigacin, traslado, compartir o el aceptar los riesgos, as como los planes de aprovechamiento
de oportunidades, deben estar basados en tecnologas conocidas o datos que provienen de
hechos pasados. Es necesario para el momento en que se propone solucin para un riesgo
identificado, comprobar que no existe ningn efecto indeseable, ni riesgo actual introducido
desde su implementacin.
Evaluacin y optimizacin del riesgo: El promotor del negocio a nivel del programa individual
debe definir si el caso de negocio es bastante slido para su valoracin a nivel de cartera, para
luego confrontar el valor relativo del programa con los programas activos y candidatos. Es
importante llegar a un valor normalizado, o a un conjunto de puntuaciones normalizadas de
alineacin global, de beneficios financieros, no financieros y de riesgo para los casos de negocio
individuales para la facilitar el proceso.
Revisin del caso de negocio durante la ejecucin del programa: Revisin constante del caso de
negocio, verificando la actualizacin continua durante todo el ciclo de vida econmico de una
inversin y utilizada para dar fundamento a la implementacin y ejecucin de un programa que
adems incluye la realizacin de beneficios. Para complementar este proceso de actualizacin es
importante realizarlo cuando cambian los costos o beneficios proyectados del programa. Cuando
cambian los riesgos, o como preparacin para los revisiones de etapa. Por medio de un proceso
www.auditool.org
39
reiterativo de identificacin o reconocimiento, evaluacin y manejo de
riesgo deben ser monitoreados y controlados durante todo el ciclo de vida econmico del
programa especficamente en relacin a los riesgos. Es necesario gestionar el programa, debido
a que siempre hay riesgos, adems de solicitar al personal que anticipe e identifique los riesgos
para despus comunicarlos a la organizacin del programa. Tambin es importante que se
gestione el programa de manera activa, como parte integral de la entidad, posibilitando as un
mayor ritmo de cancelaciones. De esta manera se concluyen los ocho pasos para el desarrollo
del caso de negocio.
La administracin del programa gobierna todos los procesos que soportan la ejecucin de los programas.
Todos los cambios y capacidades necesarias para habilitarlos, deben ser entendidos, definidos,
monitoreados y administrados como un programa integral de cambios en el negocio, donde la tecnologa
es parte pero no la totalidad. Es importante mantener un enfoque en los resultados del negocio
esperados, el alcance de las iniciativas necesarias para el logro de los resultados, la relacin entre las
iniciativas y como estas contribuyen a los resultados, y cualquier suposicin planteada.
La realizacin de los beneficios comprende todas las actividades necesarias para una administracin
activa de la realizacin de los beneficios del programa. Val IT distingue dos tipos de beneficios, beneficios
del negocio que contribuyen directamente a la creacin de valor; y los beneficios intermedios que
benefician a las partes interesadas.
BMIS, Business Model for Information Security
COBIT 5 toma como base el modelo relacional que utiliza BMIS, Business Model for Information Security,
Modelo de Negocios para la Seguridad de la Informacin, el cual comprende los aspectos importantes en
relacin a la Gestin de la seguridad de la informacin en una empresa. En los procesos, Administrar la
Seguridad, administrar los servicios de seguridad, y los tres de la dimensin de Monitorear, evaluar y
valorar; han sido incorporados varios de los componentes de BMIS, para respaldar la gestin en la
empresa para alcanzar los objetivos del negocio y crear valor.
El objetivo de BMIS es proveer de seguridad a los activos de informacin de la empresa para el logro de
los objetivos del negocio a un nivel aceptable de riesgo. La seguridad es considerada un proceso de
mejoramiento de calidad en una organizacin, con el objetivo de un mejoramiento continuo del trabajo de
la organizacin; adems se ha convertido en una parte esencial del negocio, incluso el xito de la
empresa est relacionado con su habilidad para administrar apropiadamente los riesgos. Este modelo se
visualiza como una pirmide, manteniendo un balance entre sus 4 componentes, y establece seis
interconexiones dinmicas.
Los componentes son:
Organizacin: Estructura de la
empresa y como esta afecta al
personal, procesos y tecnologas,
dando lugar a riesgos adicionales,
oportunidades y reas de mejora.
Organizacin formal
Organizacin informal
Organizacin
Personas
Tecnologia
Procesos
www.auditool.org
40
Interconexiones:
Gobierno
Cultura
Arquitectura
Habilitacin y soporte
Factores humanos
Emergentes
GLOSARIO
Apetito: Monto general de riesgo que una empresa u otra entidad est dispuesta a aceptar en la
bsqueda de su misin o visin.
Herramientas CASE: Herramientas asistidas por computador. Son aplicaciones informticas con
fines de mejorar la productividad en el desarrollo de software, mejora en trminos de tiempo y dinero.
Estas herramientas ayudan en todo el ciclo de existencia del software en tareas como clculos de costos,
documentacin o detencin de errores, etc.
Protocolos y Sistemas Distribuidos: El uso de sistemas distribuidos conllevan altos riegos para
ser violados, debido a que a travs de los sistemas de redes pueden acceder a l informacin de las bases
de datos y romper con todos los dispositivos de seguridad y confidencialidad. Por tal motivo se presentan
cinco objetivos de control para revisar la distribucin de datos.
Sistema de Gestin de Base de Datos (SGBD): Es una herramienta que agrupa una serie de
programas que facilitan la definicin, construccin y manipulacin de una base de datos. El SGBD
permite especificar los tipos de datos, estructuras, restricciones, actualizaciones y consulta de las
distintas bases de datos, adems de conocer los diferentes procesos para almacenar los datos sobre
algn medio de almacenamiento. Los sistemas de Gestin de Base de Datos Permiten tener una
abstraccin de la informacin en distintos niveles, independencia, consistencia, seguridad y manejo de
transacciones.
Sistema Operativo (OS): Es el software bsico de un computador que provee un interfaz entre el
resto de programas del computador, los dispositivos hardware y el usuario, involucra procesos como
control de memoria, gestin de reas de almacenamiento intermedio, manejo de errores, control de
confidencialidad, mecanismos de interbloqueo, etc.
www.auditool.org
41
COBIT
COSO
ERM
ISACA
ITGCs
Information
Technology
General
Controls
Information Technology Governance
Institute
ITGI
DBMS/SGBD
ICT/TICs
www.auditool.org