Documente Academic
Documente Profesional
Documente Cultură
COBIT
OBJETIVOS DE CONTROL
3a Edicin
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control
en tecnologa de informacin con autoridad, actualizados, de carcter interna-
cional y aceptados generalmente para el uso cotidiano de gerentes de empresas
y auditores.
IT GOVERNANCE INSTITUTE 1
ARGENTINA OBJETIVOS DE CONTROL
LIECHTENSTEIN
ARUBA LITUANIA
AUSTRALIA
AUSTRIA
INFORMATION SYSTEMS AUDIT AND LUXEMBURGO
MALASIA
BAHAMAS
BAHRAIN CONTROL ASSOCIATION MALTA
MALAWI
BANGLEDESH MXICO
BARBADOS PASES BAJOS
BLGICA Una sola Fuente Internacional para los Controles NUEVA GUINEA
BERMUDA de la Tecnologa de Informacin NUEVA ZELANDA
BOLIVIA NIGERIA
BOSTSWANA Information Systems Audit and Control su programa de educacin profesional NORUEGA
BRASIL Association es una organizacin global OMN
ofrece conferencias tcnicas y adminis-
BRUENI PAKISTN
lder de profesionales que representa a trativas en cinco continentes, as como
CANAD PANAM
CHILE individuos en ms de 100 pases y compren- seminarios en todo el mundo para PER
CHINA de todos los niveles de la tecnologa de ayudar a los profesionistas de todas FILIPINAS
COLOMBIA informacin Direccin ejecutiva, geren- partes a recibir educacin contina de POLONIA
COSTA RICA PORTUGAL
cia media y practicantes. La Asociacin alta calidad.
CROATA QATAR
CURAZAO est nicamente posesionada para cubrir el su rea de publicidad tcnica propor- RUSIA
CYPRUS papel de generador central que armoniza ciona materiales de desarrollo profe- SAIPAN
REPBLICA CHECA los estndares de las prcticas de control sional y referencias con el fin de au- ARABIA SAUDITA
DINAMARCA de TI a nivel mundial. Sus alianzas estrat- ESCOCIA
mentar su distinguida seleccin de
REPBLICA DOMI- SEYCHELLES
NICANA
gicas con otros grupos dentro del mbito programas y servicios.
SINGAPUR
ECUADOR profesional financiero, contable, de audito- REP. ESLOVACA
EGIPTO ra y de TI aseguran a los dueos del proce- La Information Systems Audit and Control ESLOVENIA
ESTONIA so del negocio un nivel sin paralelo de inte- Association se cre en 1969 para cubrir las SUDFRICA
ISLAS FAEROE ESPAA
gracin y compromiso. necesidades nicas, diversas y de alta tecno-
FINLANDIA SRI LANKA
FRANCIA loga en el naciente campo de la TI. En una
ST. KITTS
ALEMANIA Programas y Servicios industria donde el progreso se mide en na- ST. LUCIA
GHANA de la Asociacin nosegundos, ISACA se ha movido gil y SUECIA
GRECIA velozmente para satisfacer las necesidades SUIZA
GUAM Los Programas y Servicios de la Asociacin
de la comunidad de negocios internaciona-
SIRIA
GUATEMALA han ganado prestigio al establecer los nive- TAIWAN
HONDURAS les y de la profesin de controles de la TI.
les ms altos de excelencia en certificacin, TANZANIA
HONG KONG TASMANIA
estndares, educacin profesional y publici-
HUNGRA Para ms Informacin TAILANDIA
ISLANDIA dad tcnica.
TRINIDAD & TO-
Para recibir informacin adicional, puede
INDIA su programa de certificacin (el Audi- BAGO
INDONESIA llamar al (+1.847.253.1545), enviar un e- TURQUA
tor de Sistemas de Informacin Certi-
IRLANDA ficado) es la nica designacin global
mail a (research@isaca.org) o visitar los UGANDA
ISRAEL siguentes sitios web: EMIRATOS ARAB
en toda la comunidad de control y
ITALIA UNIDOS
IVORY COAST auditora de la TI. REINO UNIDO
JAMAICA www.itgovernance.org ESTADOS UNI-
sus actividades estndar establecen la
JAPN www.isaca.org DOS
base de calidad mediante la cual otras URUGUAY
JORDN
KENYA actividades de control y auditora de TI VENEZUELA
COREA se miden. VIETNAM
KUWAIT GALES
LATVIA YEMEN
LEBANON ZAMBIA
ZIMBABWE
IT GOVERNANCE INSTITUTE 2
OBJETIVOS DE CONTROL
Lmite de Responsabilidad
Reconocimientos 4
La Information Systems Audit and Control Foundation, el IT Gover-
Resumen Ejecutivo 5 nance Institute y los patrocinadores de COBIT: Objetivos de Control
para la Informacin y Tecnologas Relacionadas, han diseado y
creado las publicaciones tituladas Resumen Ejecutivo, Marco Refe-
El Marco Referencial de COBIT 9 rencial, Objetivos de Control, Directrices Gerenciales, Directrices
de Auditora, y el Conjunto de Herramientas de Implementacin
Estableciendo la escena 9 (llamado colectivamente el Producto) principalmente como una
fuente de instruccin para los profesionales dedicados a las activida-
des de control. La Information Systems Audit and Control Founda-
Los Principios del Marco Referencial 14 tion, el IT Governance Institute y los patrocinadores no garantizan
que el uso de este producto asegurar un resultado exitoso. No debe-
Historia y Antecedentes del COBIT 20 r considerarse que este producto incluye todos los procedimientos o
pruebas apropiados o que excluye otros procedimientos y pruebas
que estn razonablemente dirigidos hacia la obtencin de los mis-
mos resultados. Para determinar la conveniencia de cualquier prueba
Tabla Resumen 22 o procedimiento especfico, los expertos en control debern aplicar
su propio juicio profesional a las circunstancias de control especiales
presentadas por cada entorno de sistemas en particular.
Principios de los Objetivos de Control 23
Acuerdo de Licencia de uso (disclosure)
Relaciones de Objetivos de Control Copyright 1996, 1998, 2000, de la Information Systems Audit and
Dominios, Procesos y Objetivos de Control 25 Control Foundation (ISACF). La reproduccin para fines comercia-
les no est permitida sin el previo consentimiento por escrito de la
Objetivos de Control ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el
Marco Referencial, los Objetivos de Control, las Directrices Geren-
ciales y el Conjunto de Herramientas de Implementacin para uso
Planeacin y Organizacin 32
interno no comercial, incluyendo almacenamiento en medios de
Adquisicin e Implementacin 62 recuperacin de datos y transmisin en cualquier medio, incluyendo
Entrega de Servicios y Soporte 80 electrnico, mecnico, grabado u otro medio. Todas las copias del
Monitoreo 114 Resumen Ejecutivo, el Marco Referencial, los Objetivos de Control,
las Directrices Gerenciales y el Conjunto de Herramientas de Im-
Apndice I plementacin deben incluir el siguiente reconocimiento y leyenda de
derechos de autor: Copyright 1996, 1998, 2000 Information Sys-
tems Audit and Control Foundation. Reimpreso con la autorizacin
Directrices Gerenciales del Gobierno de IT 125
de la Information Systems Audit and Control Foundation, y el IT
Governance Institute.
Apndice II
Las Guas/Directrices de Auditora no pueden ser usadas, copiadas,
reproducidas, almacenadas, modificadas en un sistema de recupera-
Descripcin del Proyecto Cobit 129
cin de datos o transmitido en ninguna forma ni por ningn medio
(electrnico, mecnico, fotocopiado, grabado u otro medio) sin la
Apndice III previa autorizacin por escrito de la ISACF. Sin embargo, las Di-
rectrices de Auditora pueden ser usadas con fines no comerciales
Material de Referencia Primaria 131 internos nicamente. Excepto por lo indicado, no se otorga ningn
otro derecho o permiso relacionado con esta obra. Todos los dere-
chos de esta obra son reservados.
Apndice IV Information Systems Audit and Control Foundation
IT Governance Institute
3701 Algonquin Road, Suite 1010
Glosario de Trminos Originales 134 Rolling Meadows, Illinois 60008 USA.
Telfono: 1+847.253.1525
Fax: 1+847.253.1443
E-mail: research@isaca.org
Web sites: www.isaca.org
www.Itgovernance.org
ISBN 1-893209-17-2 (Control Objectives, English)
ISBN 1-893209-13-X (Paquete completo de los 6 libros y CD)
IT GOVERNANCE INSTITUTE 3
OBJETIVOS DE CONTROL
RECONOCIMIENTOS
RONALD SAULL, GREAT-WEST LIFE ASSURANCE, LONDON LIFE AND INVESTORS GROUP, CANADA
Agradecimientos Especiales a los Captulos de ISACA del rea de la Capital Nacional y al de Boston por su con-
tribucin a los Objetivos de Control de Cobit
Agradecimientos Especiales a los miembros de la Mesa Directiva de la Information Systems Audit and Control
Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, encabezados por el
Presidente Internacional Paul Williams, por su contnuo y firme apoyo al Cobit
IT GOVERNANCE INSTITUTE 4
OBJETIVOS DE CONTROL
RESUMEN EJECUTIVO
Un elemento crtico para el xito y la supervivencia de siendo entendido como un aspecto clave en el gobierno
las organizaciones, es la administracin efectiva de la o direccin empresarial.
informacin y de la Tecnologa de Informacin (TI)
Dentro del Gobierno Empresarial, el Gobierno / Gober-
Relacionada. En esta sociedad global (donde la informa-
nabilidad de TI2 se est volviendo mas y mas importante
cin viaja a travs del ciberespacio sin las restriccio-
y est definido como una estructura de relaciones y pro-
nes de tiempo, distancia y velocidad) esta criticidad
cesos para dirigir y controlar a la empresa con el fin que
emerge de:
sta pueda cumplir sus metas dando valor agregado
z La creciente dependencia en informacin y en los
mientras balancea sus riesgos versus el retorno sobre TI
sistemas que proporcionan dicha informacin
y sus procesos. El Gobierno de TI es parte integral del
z La creciente vulnerabilidad y un amplio espectro de
xito de la Gerencia de la Empresa al asegurar mejoras
amenazas, tales como las ciber amenazas y la
medibles, eficientes y efectivas de los procesos relacio-
guerra de informacin1
nados de la empresa. El Gobierno de TI provee las es-
z La escala y el costo de las inversiones actuales y
tructuras que unen los procesos de TI, los recursos de TI
futuras en informacin y en tecnologa de informa-
y la informacin con las estrategias y los objetivos de la
cin; y
empresa. Adems, el Gobierno de TI integra e institu-
z El potencial que tienen las tecnologas para cambiar
cionaliza buenas (o mejores) prcticas de planeacin y
radicalmente las organizaciones y las prcticas de
organizacin, adquisicin e implementacin, entrega de
negocio, crear nuevas oportunidades y reducir cos-
servicios y soporte y monitorea el desempeo de TI pa-
tos
ra asegurar que la informacin de la empresa y las tec-
Para muchas organizaciones, la informacin y la tecno- nologas relacionadas soportan sus objetivos del nego-
loga que la soporta, representan los activos mas valio- cio. El Gobierno de TI conduce a la empresa a tomar
sos de la empresa. Es ms, en nuestro competitivo y total ventaja de su informacin logrando con esto maxi-
rpidamente cambiante ambiente actual, la Gerencia ha mizar sus beneficios, capitalizar sus oportunidades y
incrementado sus expectativas relacionadas con la en- obtener ventaja competitiva
trega de servicios de TI. Por lo tanto, la Administracin
GOBIERNO DE TI
requiere niveles de servicio que presenten incrementos
en calidad, en funcionalidad y en facilidad de uso, as Una estructura de relaciones y procesos para dirigir
como un mejoramiento continuo y una disminucin de y controlar la empresa con el objeto de alcanzar los
los tiempos de entrega; al tiempo que demanda que esto objetivos de la empresa y aadir valor mientras se
se realice a un costo ms bajo. balancean los riesgos versus el retorno sobre TI y sus
procesos.
Muchas organizaciones reconocen los beneficios po-
tenciales que la tecnologa puede proporcionar. Las
organizaciones exitosas, sin embargo, tambin com-
prenden y administran los riesgos asociados con la Las organizaciones deben cumplir con requerimientos
de calidad, fiduciarios y de seguridad, tanto para su in-
implementacin de nuevas tecnologas.
formacin, como para sus activos. La Administracin
Hay numerosos cambios en TI y en su ambiente de ope- deber adems optimizar el empleo de sus recursos dis-
racin que enfatiza la necesidad de un mejor manejo ponibles, los cuales incluyen: personal, instalaciones,
relacionado con los riesgos de TI. La dependencia en la tecnologa, sistemas de aplicacin y datos. Para cumplir
informacin electrnica y en los sistemas de TI son con esta responsabilidad, as como para alcanzar sus
esenciales para soportar los procesos crticos del nego-
cio. Adicionalmente, el ambiente regulatorio demanda
control estricto sobre la informacin. Esto a su vez con- 1 Guerra de informacin (information warfare)
duce a un incremento de los desastres en los sistemas de 2
Gobierno de TI (IT Governance) Governance es un tr-
informacin y al incremento del fraude electrnico. La mino que representa el sistema de control o administra-
Administracin de los riesgos relacionados con TI est cin que establece la alta gerencia para asegurar el logro
de los objetivos de una Organizacin.
IT GOVERNANCE INSTITUTE 5
OBJETIVOS DE CONTROL
objetivos, la Administracin debe entender el estado de El Marco de Referencia de COBIT proporciona, al pro-
sus propios sistemas de TI y decidir el nivel de seguri- pietario de procesos de negocio, herramientas que facili-
dad y control que deben proveer estos sistemas. tan el cumplimiento de esta responsabilidad. El Marco
de Referencia comienza con una premisa simple y prc-
Los Objetivos de Control para la Informacin y las Tec-
tica:
nologas Relacionadas (COBIT), ahora en esta tercera
edicin, ayuda a satisfacer las mltiples necesidades de Con el fin de proporcionar la informacin que la em-
la Administracin estableciendo un puente entre los presa necesita para alcanzar sus objetivos, los recur-
riesgos del negocio, los controles necesarios y los as- sos de TI deben ser administrados por un conjunto
pectos tcnicos. Provee buenas prcticas a travs de un de procesos de TI agrupados en forma natural.
dominio y el marco referencial de los procesos y presen-
El Marco de Referencia contina con un conjunto de 34
ta actividades en una estructura manejable y lgica. Las
Objetivos de Control de alto nivel, uno para cada uno de
Buenas prcticas de COBIT rene el consenso de ex-
los Procesos de TI, agrupados en cuatro dominios: Pla-
pertos - quienes ayudarn a optimizar la inversin de la
neacin y Organizacin, Adquisicin e Implementacin,
informacin y proporcionarn un mecanismo de medi-
Entrega de servicios y Soporte y Monitoreo. Esta es-
cin que permitir juzgar cuando las actividades van por
tructura cubre todos los aspectos de informacin y de
el camino equivocado.
tecnologa que la soporta. Administrando adecuada-
La Administracin debe asegurar que los sistemas de mente estos 34 Objetivos de Control de alto nivel, el
control interno o el marco referencial estn funcionando propietario de procesos de negocio podr asegurar que
y soportan los procesos del negocio y debe tener clari- se proporciona un sistema de control adecuado para el
dad sobre la forma como cada actividad individual de ambiente de tecnologa de informacin.
control satisface los requerimientos de informacin e
El Marco de Referencia de COBIT provee adems una
impacta los recursos de TI. El impacto sobre los recur-
gua o lista de verificacin para el Gobierno de TI. El
sos de TI son resaltados en el Marco de Referencia de
Gobierno de TI proporciona las estructuras que encade-
COBIT junto con los requerimientos del negocio que
nan los procesos de TI, los recursos de TI y la informa-
deben ser alcanzados: eficiencia, efectividad, confiden-
cin con los objetivos y las estrategias de la empresa. El
cialidad, integridad, disponibilidad, cumplimiento y
Gobierno de TI integra de una forma ptima el desem-
confiabilidad de la informacin. El control, que incluye
peo de la Planeacin y Organizacin, la Adquisicin e
polticas, estructuras, prcticas y procedimientos organi-
Implementacin, la Entrega de Servicios y Soporte y el
zacionales, es responsabilidad de la administracin.
Monitoreo. El Gobierno de TI facilita que la empresa
La administracin, mediante este gobierno corporativo, obtenga total ventaja de su informacin y as mismo
debe asegurar que todos los individuos involucrados en maximiza sus beneficios, capitalizando sus oportunida-
la administracin, uso, diseo, desarrollo, mantenimien- des y obteniendo ventaja competitiva
to u operacin de sistemas de informacin acten con la
Adicionalmente, correspondiendo a cada uno de los 34
debida diligencia.
objetivos de control de alto nivel, existe una Gua o di-
Un Objetivo de Control en TI es una definicin del re- rectriz de Auditora o de aseguramiento que permite la
sultado o propsito que se desea alcanzar implementan- revisin de los procesos de TI contra los 318 objetivos
do procedimientos de control especficos dentro de una detallados de control recomendados por COBIT para
actividad de TI. proporcionar a la Gerencia la certeza de su cumplimien-
to y/o sugerencias para su mejoramiento.
La orientacin al negocio es el tema principal de CO-
BIT. Est diseado no solo para ser utilizado por usua-
rios y auditores, sino que, lo ms importante, esta dise-
ado para ser utilizado por los propietarios de los proce-
sos de negocio como una gua clara y entendible. A me-
dida que ascendemos, las prcticas de negocio requieren
de una mayor delegacin y empoderamiento3 de los
dueos de los procesos para que estos tengan total res-
ponsabilidad de todos los aspectos relacionados con di- 3
chos procesos de negocio. En particular, esto incluye el Empoderamiento (empowerment)
proporcionar controles adecuados.
IT GOVERNANCE INSTITUTE 6
OBJETIVOS DE CONTROL
Las Guas o Directrices Gerenciales de COBIT, des- En los prximos aos las Directivas de las Organiza-
arrolladas recientemente, ayudan a la Gerencia a cum- ciones necesitarn demostrar que estn logrando in-
plir de una forma mas efectiva con las necesidades y crementar sus niveles de seguridad y control. COBIT
requerimientos del Gobierno de TI. Las Directrices es una herramienta que ayuda a los Directivos a colo-
son acciones genricas orientadas a proveer a la Ad- car un puente entre los requerimientos de control, los
ministracin la direccin para mantener bajo control la aspectos tcnicos y los riesgos del negocio y adicio-
informacin de la empresa y sus procesos relaciona- nalmente informa a los accionistas o dueos de la em-
dos, para monitorear el logro de las metas organiza- presa el nivel de control alcanzado. COBIT habilita el
cionales, para monitorear el desempeo de cada pro- desarrollo de una poltica clara y de buenas prcticas
ceso de TI y para llevar a cabo un benchmarking de de control de TI a travs de las organizaciones, a nivel
los logros organizacionales. mundial.
Especficamente COBIT provee Modelos de Madurez Por lo tanto, COBIT est diseado para ser la
para el control sobre los procesos de TI de tal forma herramienta de gobierno de TI que ayude al en-
que la Administracin puede ubicarse en el punto don- tendimiento y a la administracin de los riesgos
de la organizacin est hoy, donde est en relacin as como de los beneficios asociados con la infor-
con los mejores de su clase en su industria y con los macin y sus tecnologas relacionadas.
estndares internacionales y as mismo determinar a
donde quiere llegar; Factores Crticos de xito
(Critical Success Factors), que definen o determina
cuales son las mas importantes directrices que deben
ser consideradas por la Administracin para lograr
control sobre y dentro de los procesos de TI. Indica-
dores Claves del logro de Objetivos o de Resulta-
dos (Key Goal Indicators) los cuales definen los me-
canismos de medicin que indicarn a la Gerencia
despus del hecho si un proceso de TI ha satisfecho
los requerimientos del negocio; y los Indicadores
Clave de desempeo (Key Performance Indicators)
los cuales son indicadores primarios que definen la
medida para conocer qu tan bien se est ejecutando el
proceso de TI frente o comparado contra el objetivo
que se busca.
Las Directrices Gerenciales de COBIT son genri-
cas y son acciones orientadas al propsito de res-
ponder los siguientes tipos de preguntas gerencia-
les: Qu tan lejos debemos ir y es el costo justifica-
do para el beneficio obtenido? Cules son los indi-
cadores de buen desempeo? Cules son los facto-
res crticos de xito? Cules son los riesgos de no
lograr nuestros objetivos? Qu hacen otros? Cmo
nos podemos medir y comparar?
COBIT contiene adicionalmente un Conjunto de
Herramientas de Implementacin que proporciona
lecciones aprendidas por empresas que rpida y exito-
samente aplicaron COBIT en sus ambientes de trabajo.
Incluye dos herramientas particularmente tiles - Dia-
gnstico de Sensibilizacin Gerencial (Management
Awareness Diagnostic) y Diagnstico de Control en
TI (IT Control Diagnostic) - para proporcionar asis-
tencia en el anlisis del ambiente de control de TI en
una organizacin.
IT GOVERNANCE INSTITUTE 7
OBJETIVOS DE CONTROL
PROCESOS DE TI DEFINIDOS DENTRO DE LOS CUATRO DO-
MINIOS DE COBIT
GOBIERNO DE TI
OBJEIVOS DE
OBJETIVOS DE NEGOCIO
NEGOCIO
COBIT
Tecnologa de Informacin
PO2 Definir la Arquitectura de Informacin
PO3 Determinar la direccin tecnolgica
PO4 Definir la Organizacin y de las
Relaciones de TI
PO5 Manejar la Inversin en Tecnologa de
Informacin
PO6 Comunicar la direccin y aspiraciones de
la gerencia
PO7 Administrar Recursos Humanos
M1 Monitorear los procesos PO8 Asegurar el Cumplimiento de
M2 Evaluar lo adecuado del control Requerimientos Externos
Interno PO9 Evaluar Riesgos
M3 Obtener aseguramiento PO10 Administrar proyectos
independiente
M4 Proporcionar auditora independiente INFORMACION PO11 Administrar Calidad
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
MONITOREO PLANEACION Y
RECURSOS DE TI ORGANIZACION
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
ADQUISICION E
ENTREGA Y IMPLEMENTACION
SOPORTE
IT GOVERNANCE INSTITUTE 8
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 9
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 10
OBJETIVOS DE CONTROL
to y revisin constante de los controles, comen- Tambin TI es gobernado por buenas (o mejo-
zando el ciclo de nuevo. res) prcticas para asegurar que la informa-
cin de la empresa y sus tecnologas relacio-
nadas apoyan sus objetivos del negocio, estos
recursos son utilizados responsablemente y
Gobierno de la Empresa sus riesgos son manejados apropiadamente.
Estas prcticas conforman una base para la
Direcciona
direccin de las actividades de TI las cuales
pueden ser enmarcadas en la Planeacin y
Organizacin, Adquisicin e Implementacin,
Entrega de Servicios y Soporte y Monitoreo
Objetivos CONTROL Actividades de la
Recursos
para los propsitos duales como son el manejo
Empresa
de riesgo (para obtener seguridad, confiabili-
dad y cumplimiento) y la obtencin de benefi-
cios (incrementando la efectividad y eficien-
cia). Los reportes son enfocados sobre los re-
Reportando Usando sultados de las actividades de TI, los cuales
son medidos contra diferentes prcticas y con-
troles y el ciclo comienza otra vez.
Gobierno de TI
DIRIGIR
Objetivos Actividades de TI
TI est alineado con el Planea
negocio, habilita al Hace PO
negocio y maximiza Revisa AI
beneficios. Corrige DS
CONTROL MO
Los recursos de TI
son utilizados Manejo de Riesgo Beneficios
responsablemente.
Seguridad Incrementar Decrementar
Confiabilidad Automatizacin Costos ser
Conformidad- ser efectivo eficiente
Los riesgos
cumplimiento
relacionados a TI son
manejados
apropiadamente.
REPORTAR
Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y administrar las actividades de TI para alcanzar un ba-
lance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades
mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se
estn desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organizacin contra las
mejores practicas industriales y los modelos internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices Ge-
renciales de COBIT en las cuales se han identificado Factores Crticos de Exito especficos, Indicadores Claves por Objetivo e Indi-
cadores Clave de Desempeo y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apdice I.
IT GOVERNANCE INSTITUTE 11
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 12
OBJETIVOS DE CONTROL
DEFINICIONES GENERALES
Para propsitos de este proyecto, se proporcionan las
siguientes definiciones. La definicin de Control est
adaptada del reporte COSO [Committee of Sponsoring
Organisations of the Treadway Commission. Internal
Control-Integrated Framework, 1992 y la definicin
para Objetivo de Control de TI ha sido adaptada del
reporte SAC (Systems Auditability and Control Report,
The Institute of Internal Auditors Research Foundation,
1991 y 1994).
IT GOVERNANCE INSTITUTE 13
OBJETIVOS DE CONTROL
Existen dos clases distintas de modelos de control ac- Requerimientos Efectividad y eficiencia de las
tualmente disponibles, aqullos de la clase del Fiduciarios operaciones
modelo de control de negocios (por ejemplo COSO) (COSO)
Confiabilidad de la informacin
y los modelos ms enfocados a TI (por ejemplo, Cumplimiento de las leyes y
DTI). COBIT intenta cubrir la brecha que existe entre regulaciones
los dos. Debido a esto, COBIT se posiciona como una
herramienta ms completa para la Administracin y Confidencialidad
para operar a un nivel superior a los estndares de tec- Requerimientos Integridad
de Seguridad
nologa para la administracin de sistemas de informa- Disponibilidad
cin.. Por lo tanto, COBIT es el modelo para el go-
bierno de TI! La Calidad ha sido considerada principalmente por su
aspecto negativo (ausencia de fallas, confiabilidad,
El concepto fundamental del Marco Referencial de etc.), lo cual tambin se encuentra contenido en gran
COBIT se refiere a que el enfoque del control en TI se medida en los criterios de Integridad. Los aspectos
lleva a cabo visualizando la informacin necesaria pa- positivos, pero menos tangibles, de la calidad (estilo,
ra dar soporte a los procesos de negocio y consideran- atractivo, ver y sentir, desempeo ms all de las
do a la informacin como el resultado de la aplicacin expectativas, etc.) no fueron, por un tiempo, considera-
combinada de recursos relacionados con la Tecnologa dos desde un punto de vista de Objetivos de Control de
de Informacin que deben ser administrados por pro- TI. La premisa se refiere a que la primera prioridad
cesos de TI. deber estar dirigida al manejo apropiado de los ries-
gos al compararlos contra las oportunidades. El aspec-
to utilizable de la Calidad est cubierto por los crite-
Requerimientos rios de efectividad. Se consider que el aspecto de en-
de Negocio trega o distribucin del servicio, de la Calidad se tras-
lapa con el aspecto de disponibilidad correspondiente a
los requerimientos de seguridad y tambin en alguna
medida, con la efectividad y la eficiencia. Finalmente,
el Costo tambin es considerado, siendo cubierto por
la Eficiencia.
Procesos de TI Para los requerimientos fiduciarios, COBIT no intent
reinventar la rueda se utilizaron las definiciones de
Recursos de TI COSO para la efectividad y eficiencia de las operacio-
nes, confiabilidad de informacin y cumplimiento con
leyes y regulaciones. Sin embargo, confiabilidad de in-
formacin fue ampliada para incluir toda la informa-
Para satisfacer los objetivos del negocio, la informa- cin no slo informacin financiera.
cin necesita concordar con ciertos criterios a los que
COBIT hace referencia como requerimientos de nego- Con respecto a los aspectos de seguridad, COBIT iden-
cio para la informacin. Al establecer la lista de re- tific la confidencialidad, integridad y disponibilidad
querimientos, COBIT combina los principios conteni- como los elementos clave se encontr que estos mis-
dos en los modelos referenciales existentes y conoci- mos tres elementos son utilizados a nivel mundial para
dos: describir los requerimientos de seguridad.
Calidad
Requerimientos de Costo Comenzando el anlisis a partir de los requerimientos
Calidad Entrega o Distribucin (de servicio)
IT GOVERNANCE INSTITUTE 14
OBJETIVOS DE CONTROL
D
D aa ttoo ss
E v e n to s SS iissttee m
m aa ss dd ee A
A pp lliicc aa cc ii nn In f o r m a c i n
O b je t iv o s d e n e g o c io T
TEEC
CNNO
OLL O G II A
A E fe c t iv id a d
m e n s a je s e rv ic io
O p o r tu n id a d e s d e n e g o c io E fic ie n c ia
e n tra d a s a lid a
R e q u e r im ie n to s e x te r n o s C o n fid e n c ia lid a d
R e g u la c io n e s II N SS T
TAAL
LAAC
C II O N E
E SS I n t e g r id a d
R ie s g o s D is p o n ib ilid a d
C u m p lim ie n t o
G
GEEN
NT E C o n fia b ilid a d
IT GOVERNANCE INSTITUTE 15
OBJETIVOS DE CONTROL
Qu obtiene? Qu necesita?
PROCESOS
DE NEGOCIO
Criterios
efectividad
INFORMACION eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
?
RECURSOS DE TI
datos
sistemas de aplicacin
tecnologa
instalaciones
gente Concuerdan ?
IT GOVERNANCE INSTITUTE 16
OBJETIVOS DE CONTROL
Instalaciones
Sistemas de Aplicacin
Datos
zando por la base, encontramos las actividades y tareas
Tecnologa
necesarias para alcanzar un resultado medible. Las Dominios
Procesos de TI
mientras que las tareas son consideradas ms discretas.
Gente
Procesos
Los procesos se definen entonces en un nivel superior
como una serie de actividades o tareas conjuntas con
cortes naturales (de control). En el nivel ms alto,
Actividades
los procesos son agrupados de manera natural en do- TI
minios. Su agrupamiento natural es denominado fre- de
cuentemente como dominios de responsabilidad en una os
u rs
estructura organizacional, y est en lnea con el ciclo c
Re
administrativo o ciclo de vida aplicable a los procesos
de TI.
Con lo anterior como marco de referencia, los dominios
son identificados utilizando las palabras que la gerencia
Dominios utilizara en las actividades cotidianas de la organiza-
cin y no la jerga4 o terminologa del auditor -. Por
lo tanto, cuatro grandes dominios son identificados: pla-
neacin y organizacin, adquisicin e implementacin;
entrega y soporte y monitoreo.
4 Jerga (jargon)
IT GOVERNANCE INSTITUTE 17
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 18
OBJETIVOS DE CONTROL
COBIT
Tecnologa de Informacin
PO2 Definir la Arquitectura de Informacin
PO3 Determinar la direccin tecnolgica
PO4 Definir la Organizacin y de las
Relaciones de TI
PO5 Manejar la Inversin en Tecnologa de
Informacin
PO6 Comunicar la direccin y aspiraciones de
la gerencia
PO7 Administrar Recursos Humanos
M1 Monitorear los procesos PO8 Asegurar el Cumplimiento de
M2 Evaluar lo adecuado del control Requerimientos Externos
Interno PO9 Evaluar Riesgos
M3 Obtener aseguramiento PO10 Administrar proyectos
independiente
M4 Proporcionar auditora independiente INFORMACION PO11 Administrar Calidad
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
MONITOREO PLANEACION Y
RECURSOS DE TI ORGANIZACION
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
ADQUISICION E
ENTREGA Y IMPLEMENTACION
SOPORTE
IT GOVERNANCE INSTITUTE 19
OBJETIVOS DE CONTROL
La tercera edicin de COBIT es la mas reciente versin de rope, OECD, ISACA, etc.;
los Objetivos de Control para la informacin y sus tecnolo- Criterios de Calificacin para sistemas y procesos de
gas relacionadas, que fue liberado primero por la Informa- TI: ITSEC, ISO9000, SPICE, TickIT, Common Crite-
tion Systems Audit and Control Foundation (ISACF) en ria, etc.;
1996. La 2da edicin que refleja un incremento en el n- Estndares Profesionales para control interno y audi-
mero de documentos fuente, una revisin en el alto nivel y tora: reporte COSO, IFAC, IIA, ISACA, GAO, PCIE,
objetivos de control detallados y la adicin del Conjunto de CICA, AICPA, etc.;
herramientas de Implementacin fue publicado en 1998. Prcticas y requerimientos de la Industria de foros
La 3a edicin marca el ingreso de un nuevo editor para industriales (ESF, 14) y plataformas patrocinadas por el
COBIT: El Instituto de Gobierno5 de TI (IT Governance gobierno (IBAG, NIST, DTI); y
Institute). Nuevos requerimientos especficos de la industria de
la banca, Comercio Electrnico y manufactura de TI.
El Instituto de Gobierno de TI fue formado por la Informa- (Ver Apndice II, Descripcin del Proyecto COBIT;
tion Systems Audit and Control Association (ISACA) y su Apndice III Material de Referencia Primaria de
Fundacin asociada en 1998 para avanzar en el entendi- COBIT y Apndice IV, Glosario de Trminos )
miento y la adopcin de principios de gobierno de TI. Con
la adicin de las Directrices Gerenciales en la 3a edicin de
COBIT y su expansin y mayor cubrimiento sobre el Go-
bierno de TI, el Instituto de Gobierno de TI adquiri un rol
de liderazgo en el desarrollo de la publicacin.
IT GOVERNANCE INSTITUTE 20
OBJETIVOS DE CONTROL
EVOLUCIN DEL PRODUCTO COBIT La investigacin y las publicaciones han sido posibles gra-
cias al fundamental apoyo de PricewaterhouseCoopers y
COBIT evolucionar a travs de los aos y ser el funda- las donaciones de los captulos de ISACA y de miembros
mento de investigaciones futuras. Por lo tanto, se generar de todo el mundo. La European Security Forum (ESF)
una familia de productos COBIT y al ocurrir esto, las tareas amablemente llev a cabo la recoleccin de material dispo-
y actividades que sirven como estructura para organizar los nible para el proyecto. La Gartner Group adems particip
Objetivos de Control de TI, sern refinadas posteriormente. en el desarrollo y realiz la revisin de aseguramiento de
Tambin ser revisado el balance entre los dominios y los calidad de las Directrices Gerenciales.
procesos a la luz de los cambios en la industria.
Resumen Ejecutivo
Casos de Estudio
MARCO REFERENCIAL FAQs
objetivos de control de alto nivel Presentaciones en PowerPoint
Guas de Implementacin
Diagnstico de la conciencia de la Administracin
Diagnostico de Control de TI
Modelo de Madurez
IT GOVERNANCE INSTITUTE 21
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
TABLA RESUMEN
La siguiente tabla proporciona una indicacin, por proceso y dominio de TI, de cules criterios de
informacin son impactados por los objetivos de alto nivel, as como una indicacin de cules re-
cursos de TI son aplicables.
n
in
aci
mac
dadaaltaaclaaia foprlic
st s g g ina s
in in oloolo dedeano
cu on d ad
ses
sp a id
nf ie d
cncn asasum
bi to
s s nen
reec dad
co plim lida
di grid cial
toto iocio
ia n
co ienc d
ee h
stst ss
ic da
n ia
m ibi
li
te n
sisi rsrsoo
tete mm
in fide
ef tivi
cuu
ec
ef
r
DOMINIO PROCESO
IT GOVERNANCE INSTITUTE 22
OBJETIVOS DE CONTROL
COBIT, tal como aparece en esta ltima versin de los Mientras que el Marco de Referencia de COBIT enfo-
Objetivos de Control refleja los compromisos de ISA- ca controles a alto nivel para cada proceso, los Obje-
CA para engrandecer y mantener el cuerpo comn del tivos de Control se enfocan sobre objetivos de control
conocimiento requerido para soportar la profesin de detallados y especficos asociados a cada proceso de
auditora y control de los sistemas de informacin TI. Por cada uno de los 34 procesos de TI del marco
referencial, hay desde tres hasta 30 objetivos de con-
El Marco de Referencia de COBIT ha sido limitado a trol detallados, para un total de 318.
objetivos de control de alto nivel en forma de necesi-
dades de negocio dentro de un proceso de TI particu- Los Objetivos de Control se alinean para cubrir todo el
lar, cuyo logro es posible a travs del establecimiento Marco referencial con objetivos de control detallados
de controles, para el cual deben considerarse controles con base en 41 fuentes primarias que comprenden es-
potenciales aplicables. tndares y regulaciones internacionales de TI, de facto
y de jure. Contiene sentencias de los resultados desea-
dos o propsitos a ser alcanzados mediante la imple-
El control de mentacin de procedimientos de control especficos en
una actividad de TI, de esta manera provee polticas
claras y buenas prcticas para los controles de TI a
Proceso de TI Que satisface travs de la industria, alrededor del mundo.
IT GOVERNANCE INSTITUTE 23
OBJETIVOS DE CONTROL
AYUDAS DE NAVEGACIN
di grid dad
co lim d
bi t o
ad
a
ici ad
on ad
en i a
nf i en
m lid
li
lid
in cia
nf enc
id
cu ibi
tiv
ia
ec
p
te
La seccin de los Objetivos de Control contienen objeti-
id
sp
ef
ef
co
vos de control detallados para cada uno de los 34 proce-
S P
sos de TI. A la izquierda de cada pgina, se presenta el
objetivo de control de alto nivel. El indicador del domi- Planeacin &
nio (PO para Planeacin y Organizacin, AI para Organizacin
da nes
in olo s
al g a
e
la presentacin de los objetivos de control de alto nivel.
t e i on
io
lic e
s
to
nt
ac
ac
Se proporciona una ayuda de navegacin para cada una
ge
cn
st
ap
de las tres dimensiones del Marco de Referencia de CO-
BIT - procesos, recursos de TI y criterios de informacin -
Planeacin &
Los dominios son identificados por este cono en la ES- Organizacin
Entrega &
Soporte
Monitoreo
co im d
bi t o
ad
a
co icie d
nf i en
m lid
li
ef ida
lid
a
in cia
cu nibi
tiv
ia
pl
ec
te
o
sp
ef
nf
io
e
s
to
nt
ac
ac
cn
lic
st
ap
IT GOVERNANCE INSTITUTE 24
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 25
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 26
OBJETIVOS DE CONTROL
1.4 Requerimientos de Servicios de Terceros 3.3 Seguridad del Software del Sistema
1.5 Estudio de Factibilidad Tecnolgica 3.4 Instalacin del Software del Sistema
1.6 Estudio de Factibilidad Econmica 3.5 Mantenimiento del Software del Sistema
1.7 Arquitectura de Informacin 3.6 Controles para Cambios del Software del
1.8 Reporte de Anlisis de Riesgos Sistema
1.9 Controles de Seguridad costo-efectivo 3.7 Uso y Monitoreo de Utilidades/Utilitarios
1.10 Diseo de Pistas de Auditora del Sistema
1.11 Ergonoma
4.0 Procedimientos de Desarrollo y Mantenimien-
1.12 Seleccin de Software del Sistema
to de TI
1.13 Control de Abastecimiento
4.1 Requerimientos Operacionales y Niveles
1.14 Adquisicin de Productos de Software
de Servicio
1.15 Mantenimiento de Software de Terceras
4.2 Manual de Procedimientos para Usuario
Partes
4.3 Manual de Operacin
1.16 Contratos para la Programacin de Aplica-
4.4 Material de Entrenamiento
ciones
1.17 Aceptacin de Instalaciones 5.0 Instalacin y Acreditacin de Sistemas
1.18 Aceptacin de Tecnologa 5.1 Entrenamiento
5.2 Medicin del Desempeo del Software de
2.0 Adquisicin y Mantenimiento de Software de
Aplicacin
Aplicacin
5.3 Plan de Implementacin
2.1 Mtodos de Diseo
5.4 Conversin del Sistema
2.2 Cambios Significativos a Sistemas Actua-
5.5 Conversin de datos
les
5.6 Planes y estrategias de pruebas
2.3 Aprobacin del Diseo
5.7 Pruebas a cambios
2.4 Definicin y Documentacin de Requeri-
5.8 Criterios y Desempeo de Pruebas en Pa-
mientos de Archivos
ralelo/Piloto
2.5 Especificaciones de Programas
5.9 Prueba de Aceptacin Final
2.6 Diseo para la Recopilacin de Datos
5.10 Pruebas y Acreditacin de la Seguridad
Fuente
5.11 Prueba Operacional
2.7 Definicin y Documentacin de Requeri-
5.12 Promocin a Produccin
mientos de Entrada de Datos
5.13 Evaluacin de la Satisfaccin de los
2.8 Definicin de Interfases
Requerimientos del Usuario
2.9 Interfases Usuario-Mquina
5.14 Revisin Gerencial Post - Implementacin
2.10 Definicin y Documentacin de Requeri-
mientos de Procesamiento 6.0 Administracin de Cambios
2.11 Definicin y Documentacin de Requeri- 6.1 Inicio y Control de Solicitudes de Cambio
mientos de Salida de Datos 6.2 Anlisis de Impacto
2.12 Controlabilidad 6.3 Control de Cambios
2.13 Disponibilidad como Factor Clave de Di- 6.4 Cambios de Emergencia
seo 6.5 Documentacin y Procedimientos
2.14 Consideracin de Integridad de TI en pro- 6.6 Mantenimiento Autorizado
gramas de software de aplicaciones 6.7 Poltica de Liberacin de Software
2.15 Pruebas al Software de Aplicacin 6.8 Distribucin de Software
2.16 Materiales de Consulta y Soporte para
Usuario ENTREGA DE SERVICIOS Y SOPORTE
2.17 Reevaluacin del Diseo del Sistema
3.0 Adquisicin y Mantenimiento de la Arquitec- 1.0 Definicin de Niveles de Servicio
tura de Tecnologa 1.1 Marco de Referencia para acuerdos de Ni-
3.1 Evaluacin de Nuevo Hardware y vel de Servicio
Software 1.2 Aspectos sobre los Acuerdos de Nivel de
3.2 Mantenimiento Preventivo para Hardware Servicio
1.3 Procedimientos de Desempeo
IT GOVERNANCE INSTITUTE 27
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 28
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 29
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 30
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 31
OBJETIVOS DE CONTROL
(PO)
PLANEACION Y ORGANIZACION
IT GOVERNANCE INSTITUTE 32
OBJETIVOS DE CONTROL
PO1
di gr i dad
Planeacin &
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id nc ia
m lid
li
ef ida
Organizacin
lid
s p da
in c ia
cu nibi
ti v
en
ia
ec
p
te
o
ef
nf
Adquisicin &
P S Implementacin
y toma en consideracin:
al ga
e
te c i o n
to
ac
a
st
IT GOVERNANCE INSTITUTE 33
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 34
OBJETIVOS DE CONTROL
OBJETIVO DE CONTROL
IT GOVERNANCE INSTITUTE 35
OBJETIVOS DE CONTROL
PLANEACION Y ORGANIZACION
PO2
di gr i dad
Planeacin &
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id c ia
m lid
Organizacin
li
ef vida
lid
s p da
in c ia
c u nibi
n
en
ti
ia
ec
p
te
o
ef
nf
Adquisicin &
P S S S Implementacin
Entrega &
Control sobre el proceso de TI de:
Soporte
y toma en consideracin:
io
ap ente
s
to
ac
a
cn
l ic
g
st
IT GOVERNANCE INSTITUTE 36
OBJETIVOS DE CONTROL
2 DEFINICIN DE LA ARQUITECTURA DE Se deben establecer los criterios para soportar los dife-
INFORMACIN rentes niveles de seguridad en toda la empresa para
resolver las necesidades del creciente comercio elec-
2.1 Modelo de la Arquitectura de Informacin trnico, la computacin mvil y los entornos de tele-
conmutacin.
OBJETIVO DE CONTROL
La informacin deber conservar consistencia
con las necesidades y deber ser identificada,
capturada y comunicada de tal forma y dentro de
perodos de tiempo que permitan a los responsa-
bles llevar a cabo sus tareas eficiente y oportuna-
mente. Asimismo, la funcin de sistemas de in-
formacin deber crear y actualizar regularmente
un modelo de arquitectura de informacin, abar-
cando el modelo de datos corporativo y los siste-
mas de informacin asociados. El modelo de
arquitectura de informacin deber conservar
consistencia con el plan a largo plazo de tecnolo-
ga de informacin.
2.2 Diccionario de Datos y Reglas de Sintaxis de
Datos de la Corporacin
OBJETIVO DE CONTROL
La funcin de servicios de informacin deber
asegurar la creacin y la continua actualizacin
de un diccionario de datos corporativo que incor-
pore las reglas de sintaxis de datos de la organi-
zacin.
2.3 Esquema de Clasificacin de Datos
OBJETIVO DE CONTROL
Deber establecerse un marco de referencia de
clasificacin general relativo a la ubicacin de
datos en clases de informacin (por ejemplo, ca-
tegoras de seguridad), as como la asignacin de
propiedad. Las reglas de acceso para las clases
debern definirse apropiadamente.
2.4 Niveles de Seguridad
OBJETIVO DE CONTROL
La Gerencia deber definir, implementar y man-
tener niveles de seguridad para cada una de las
clasificaciones de datos identificadas con un ni-
vel superior al de "no requiere proteccin". Es-
tos niveles de seguridad debern representar el
conjunto de medidas de seguridad y de control
apropiado (mnimo) para cada una de las clasifi-
caciones y debern ser reevaluados peridica-
mente y modificados en consecuencia.
IT GOVERNANCE INSTITUTE 37
OBJETIVOS DE CONTROL
PO3
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Adquisicin &
c u nibi
ti v
en
ia
Implementacin
ec
p
te
o
ef
nf
P S Entrega &
Soporte
y toma en consideracin:
in olo s
ac a
e
te c i o n
(roadmaps)
io
ap ente
s
to
cn
al
lic
g
st
IT GOVERNANCE INSTITUTE 38
OBJETIVOS DE CONTROL
3 DETERMINACIN DE LA DIRECCIN
TECNOLGICA
3.1 Planeacin de la Infraestructura Tecnolgica
OBJETIVO DE CONTROL
La funcin de servicios de informacin deber
crear y actualizar regularmente un plan de in-
fraestructura tecnolgica que concuerde con los
planes a largo y corto plazo de tecnologa de in-
formacin. Dicho plan deber abarcar aspectos
tales como arquitectura de sistemas, direccin
tecnolgica y estrategias de migracin.
3.2 Monitoreo de Tendencias y Regulaciones
Futuras
OBJETIVO DE CONTROL
La funcin de servicios de informacin deber
asegurar el monitoreo contnuo de tendencias
futuras y condiciones regulatorias, de tal manera
que estos factores puedan ser tomados en consi-
deracin durante el desarrollo y mantenimiento
del plan de infraestructura tecnolgica.
3.3 Contingencias en la Infraestructura
Tecnolgica
OBJETIVO DE CONTROL
El plan de infraestructura tecnolgica deber ser
evaluado sistemticamente en cuanto a aspectos
de contingencia (por ejemplo, redundancia, resis-
tencia7, capacidad de adecuacin y evolucin de
la infraestructura).
3.4 Planes de Adquisicin de Hardware y
Software
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de infor-
macin deber asegurar que los planes de adqui-
sicin de hardware y software sean establecidos
y que reflejen las necesidades identificadas en el
plan de infraestructura tecnolgica.
IT GOVERNANCE INSTITUTE 39
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
OBJETIVOS DE CONTROL
PO4
Planeacin &
Organizacin
di gr id d
d
da
b i to
ad
m ilida
d
on d
nf en
en ia
in c iali
da
lid
a
c
Adquisicin &
co imi
en
iv i
i b
ia
Implementacin
ct
pl
ic i
te
id
e
sp
ef
ef
nf
cu
co
P S Entrega &
Soporte
y toma en consideracin:
ac a
Segregacin de funciones
n
g
te i o n
io
e
s
in olo
to
nt
ac
ge
cn
al
lic
st
ap
IT GOVERNANCE INSTITUTE 40
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 41
OBJETIVOS DE CONTROL
vos de informacin (sistemas y datos) cuenten larmente para asegurar que la funcin de servi-
con un propietario asignado que tome decisiones cios de informacin cuente con un nmero sufi-
sobre la clasificacin y los derechos de acceso. ciente de personal competente de tecnologa de
Los propietarios del sistema normalmente dele- informacin. Los requerimientos de asignacin
garn la custodia diaria al grupo de distribucin/ de personal debern ser evaluados por lo menos
operacin de sistemas y las responsabilidades de anualmente o al presentarse cambios mayores en
seguridad a un administrador de la seguridad. el negocio, en el ambiente operacional o de tec-
Los Propietarios, sin embargo, permanecern nologa de informacin. Deber actuarse oportu-
como responsables del mantenimiento de medi- namente tomando como base los resultados de
das de seguridad apropiadas. las evaluaciones para asegurar una asignacin de
personal adecuada en el presente y en el futuro.
4.9 Supervisin
4.12 Descripcin de Puestos de trabajo para el Per-
OBJETIVO DE CONTROL
sonal de la Funcin de TI
La alta gerencia deber implementar prcticas de
OBJETIVO DE CONTROL
supervisin adecuadas en la organizacin de ser-
vicios de informacin para asegurar que las fun- La Gerencia deber asegurar que las descripcio-
ciones y responsabilidades sean llevadas a cabo nes de los puestos para el personal de TI sean
apropiadamente, para evaluar si todo el personal establecidos y actualizados regularmente. Estas
cuenta con suficiente autoridad y recursos para descripciones de puestos debern delinear clara-
llevar a cabo sus tareas y responsabilidades, y mente tanto la responsabilidad como la autoridad,
para revisar de manera general los indicadores incluir las definiciones de las habilidades y la
clave de desempeo. experiencia necesarias para el puesto, y ser ade-
cuadas para su utilizacin en evaluaciones de
4.10 Segregacin de Funciones
desempeo.
OBJETIVO DE CONTROL
4.13 Personal Clave de TI
La alta gerencia deber implementar una divisin
OBJETIVO DE CONTROL
de roles y responsabilidades que excluya la posi-
bilidad de que un solo individuo responda por un La Gerencia de TI deber definir e identificar al
proceso crtico. La Gerencia deber asegurar personal clave de tecnologa de informacin.
tambin que el personal lleve a cabo nicamente
4.14 Polticas y Procedimientos para Personal por
aquellas tareas estipuladas para sus respectivos
Contrato
puestos. En particular, deber mantenerse una
segregacin de funciones entre las siguientes OBJETIVO DE CONTROL
funciones:
La Gerencia deber definir e implementar polti-
z uso de sistemas de informacin; cas y procedimientos relevantes para controlar
z entrada de datos; las actividades de consultores y dems personal
z operacin de cmputo; externo contratado por la funcin de TI para ase-
z administracin de redes; gurar la proteccin de los activos de informacin
z administracin de sistemas; de la organizacin.
z desarrollo y mantenimiento de sistemas
z administracin de cambios 4.15 Relaciones
z administracin de seguridad; y OBJETIVO DE CONTROL
z auditora a la seguridad
La Gerencia de TI deber llevar a cabo las accio-
nes necesarias para establecer y mantener una
4.11 Asignacin de Personal de TI coordinacin, comunicacin y un enlace ptimos
entre la funcin de TI y dems interesados dentro
OBJETIVO DE CONTROL
y fuera de la funcin de servicios de informacin
Las evaluaciones de los requerimientos de asig- (usuarios, proveedores, oficiales de seguridad,
nacin de personal debern llevarse a cabo regu- administradores de riesgos).
IT GOVERNANCE INSTITUTE 42
OBJETIVOS DE CONTROL
PO5
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Adquisicin &
c u nibi
ti v
en
ia
Implementacin
ec
p
te
o
ef
nf
P P S Entrega &
Soporte
y toma en consideracin:
alternativas de financiamiento
Claros responsables del presupuesto
Control sobre los gastos actuales
justificacin de costos y concientizacin
sobre el costo total de la propiedad
justificacin del beneficio y contabiliza-
cin de todos los beneficios obtenidos
Ciclo de vida del software de aplicacin y 3 3 3 3
de la tecnologa
Alineacin con las estrategias del negocio
da nes
in olo s
ac a
e
te c i o n
de la empresa
io
ap ente
s
to
Anlisis de impacto
a
cn
al
lic
g
st
IT GOVERNANCE INSTITUTE 43
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 44
OBJETIVOS DE CONTROL
PO6
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Adquisicin &
c u nibi
ti v
en
ia
Implementacin
ec
p
te
o
ef
nf
P S Entrega &
Soporte
y toma en consideracin:
in olo s
ac a
e
te c i o n
s
to
cn
al
lic
g
st
IT GOVERNANCE INSTITUTE 45
OBJETIVOS DE CONTROL
Con el fin de proveer guas para el desempeo Las polticas debern ser ajustadas regularmente
apropiado, evitar tentaciones de acciones no ti- para adecuarse a las condiciones cambiantes.
cas y crear disciplina donde se requiera, la Ge- Las polticas debern ser reevaluadas, por lo me-
rencia deber crear un marco de referencia y un nos anualmente o al momento de presentarse
programa de concientizacin que fomente un cambios significativos en el ambiente operacio-
ambiente de control positivo a travs de toda la nal o del negocio, para evaluar que sean conve-
organizacin. Estas actividades debern encau- nientes y apropiadas y debern ser modificadas
zarse hacia la integridad, los valores ticos, com- en caso necesario. La Gerencia deber propor-
petencia del empleado, filosofa de la Gerencia, cionar un marco de referencia y un proceso para
estilo de operacin y registro. Se debe dar espe- las revisiones peridicas y la aprobacin de es-
cial atencin a los aspectos relacionados con tec- tndares, polticas, directrices y procedimientos.
nologa de informacin incluyendo la seguridad 6.6 Cumplimiento de Polticas, Procedimientos y
y el plan de continuidad del negocio. Estndares
6.2 Responsabilidad de la Gerencia sobre las Pol- OBJETIVO DE CONTROL
ticas
La Gerencia deber asegurar que se establezcan
OBJETIVO DE CONTROL procedimientos apropiados para determinar si el
La Gerencia deber asumir la responsabilidad personal comprende los procedimientos y polti-
completa de la formulacin, el desarrollo, la do- cas implementados, y que ste cumple con di-
cumentacin, la promulgacin y el control de chas polticas y procedimientos. El cumplimien-
polticas que cubran metas y directrices genera- to de las reglas de tica, seguridad y estndares
les. Debern llevarse a cabo revisiones regulares de control interno deber ser establecido por la
de las polticas para asegurar su conveniencia. La Alta Gerencia y promoverse a travs del ejem-
complejidad de las polticas y los procedimientos plo.
escritos debern estar siempre en proporcin con 6.7 Compromiso con la Calidad
el tamao de la organizacin y el estilo gerencial.
OBJETIVO DE CONTROL
6.3 Comunicacin de las Polticas de la Organiza-
cin La Gerencia de la funcin de servicios de infor-
macin deber definir, documentar y mantener
OBJETIVO DE CONTROL una filosofa de calidad, as como polticas y ob-
La Gerencia deber asegurar que las polticas jetivos que sean consistentes con la filosofa y
organizacionales sean claramente comunicadas, las polticas de la corporacin a este respecto.
comprendidas y aceptadas por todos los niveles La filosofa de calidad, las polticas y los objeti-
de la organizacin. El proceso de comunicacin vos debern ser comprendidos, implementados y
debe estar soportado por un plan efectivo que mantenidos a todos los niveles de la funcin de
utilice diversos mecanismos de comunicacin. servicios de informacin.
6.4 Recursos para la implementacin de Polticas 6.8 Poltica sobre el Marco de Referencia para la
Seguridad y el Control Interno
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber destinar recursos para la
implementacin de sus polticas y para asegurar La Gerencia deber asumir la responsabilidad
su cumplimiento, de tal manera que ellas se total del desarrollo y mantenimiento de una pol-
construyan dentro y formen parte integral de las tica sobre el marco de referencia, que establezca
IT GOVERNANCE INSTITUTE 46
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 47
OBJETIVOS DE CONTROL
PO7
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Adquisicin &
i
c u nib
ti v
en
ia
Implementacin
ec
p
te
o
ef
nf
P P Entrega &
Soporte
y toma en consideracin:
reclutamiento y promocin
Entrenamiento y requerimientos de calificacio-
nes
desarrollo de conciencia
entrenamiento cruzado y rotacin de puestos
Procedimientos para contratacin, veto y des-
pidos
evaluacin objetiva y medible del desempeo 3
responsabilidades sobre los cambios tcnicos y
da nes
in olo s
de mercado
a c a
e
te cion
g
io
a p e n te
nos
cn
al
g
lic
st
IT GOVERNANCE INSTITUTE 48
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 49
OBJETIVOS DE CONTROL
PO8
Planeacin &
Organizacin
di gri dad
co lim ad
b i to
ad
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Adquisicin &
c u nibi
ti v
en
ia
Implementacin
ec
p
te
o
ef
nf
P P S Entrega &
Soporte
y toma en consideracin:
io
ap ente
s
to
ac
a
cn
l ic
g
st
IT GOVERNANCE INSTITUTE 50
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 51
OBJETIVOS DE CONTROL
PO9
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Adquisicin &
c u nibi
ti v
en
ia
Implementacin
ec
p
te
o
ef
nf
P S P P P S S Entrega &
Soporte
Control sobre el proceso de TI de:
y toma en consideracin:
in olo s
ac a
e
te c i o n
s
to
cn
al
lic
g
st
gos
metodologa de anlisis de riesgos
Plan de accin contra los riesgos
Volver a realiza anlisis oportunos 8
Registro de las operaciones: Accountability
IT GOVERNANCE INSTITUTE 52
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 53
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 54
OBJETIVOS DE CONTROL
PO10
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Adquisicin &
c u nibi
ti v
en
ia
Implementacin
ec
p
te
o
ef
nf
P P Entrega &
Soporte
y toma en consideracin:
te c i o n
g
io
ap ente
st
IT GOVERNANCE INSTITUTE 55
OBJETIVOS DE CONTROL
La Gerencia deber establecer un marco de refe- 10.6 Aprobacin de las Fases del Proyecto
rencia general para la administracin de proyec- OBJETIVO DE CONTROL
tos que defina el alcance y los lmites del mismo,
as como la metodologa de administracin de El marco de referencia de administracin de pro-
proyectos a ser adoptada y aplicada para cada yectos de la organizacin deber disponer que
proyecto emprendido. La metodologa deber los Gerentes designados en representacin de las
cubrir, como mnimo, la asignacin de responsa- funciones del usuario y de los servicios de TI
bilidades, la determinacin de tareas, la elabora- aprueben el trabajo realizado en cada fase del
cin de presupuestos de tiempo y recursos, los ciclo antes de iniciar los trabajos de la siguiente
avances, los puntos de revisin y las aprobacio- fase.
nes. 10.7 Plan Maestro del Proyecto
10.2 Participacin del Departamento Usuario en la OBJETIVO DE CONTROL
Iniciacin de Proyectos
La Gerencia deber asegurar que, para cada
OBJETIVO DE CONTROL proyecto aprobado, se cree un plan maestro
El marco de referencia de la administracin de adecuado para mantener el control del proyecto
proyectos de la organizacin deber fomentar la a travs de todo su desarrollo e incluya un m-
participacin del departamento usuario afectado todo de monitoreo del tiempo y los costos incu-
en la definicin y autorizacin de cualquier pro- rridos durante su vida. El contenido del plan del
yecto de desarrollo, implementacin o modifica- proyecto debe contener objetivos, recursos y
cin. responsabilidades requeridos y debe proveer
informacin que permita a la Gerencia medir el
10.3 Miembros y Responsabilidades del Equipo del progreso del proyecto.
Proyecto
10.8 Plan de Aseguramiento de la Calidad del Sis-
OBJETIVO DE CONTROL tema
El marco de referencia de administracin de pro- OBJETIVO DE CONTROL
yectos de la organizacin deber especificar las
bases para asignar a los miembros del personal al La Gerencia deber asegurar que la implementa-
proyecto y definir las responsabilidades y autori- cin de un sistema nuevo o la modificacin de
dades de los miembros del equipo del proyecto. otro incluya la preparacin de un plan de calidad
que sea integrado posteriormente al plan maestro
10.4 Definicin del Proyecto del proyecto y que sea formalmente revisado y
OBJETIVO DE CONTROL acordado por todas las partes interesadas.
IT GOVERNANCE INSTITUTE 56
OBJETIVOS DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber implementar un programa de
administracin formal de riesgos de proyectos
para eliminar o minimizar los riesgos asociados
con proyectos individuales (por ejemplo, identi-
ficacin y control de reas o eventos que tengan
la posibilidad de causar cambios no deseados).
10.11 Plan de Prueba
OBJETIVO DE CONTROL
El marco de referencia de administracin de pro-
yectos de la organizacin deber requerir la crea-
cin de un plan de pruebas para cada proyecto de
desarrollo, implementacin y modificacin.
10.12 Plan de Entrenamiento
OBJETIVO DE CONTROL
El marco de referencia de administracin de pro-
yectos de la organizacin deber requerir la crea-
cin de un plan de entrenamiento para cada pro-
yecto de desarrollo, implementacin y modifica-
cin.
10.13 Plan de Revisin Post - Implementacin
OBJETIVO DE CONTROL
El marco de referencia de administracin de pro-
yectos de la organizacin deber disponer que,
como parte integral de las actividades del equipo
del proyecto, se desarrolle un plan de revisin
post - implementacin para cada sistema de in-
formacin nuevo o modificado, con la finalidad
de determinar si el proyecto ha generado los be-
neficios planeados.
IT GOVERNANCE INSTITUTE 57
OBJETIVOS DE CONTROL
PO11
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Adquisicin &
c u nibi
ti v
en
ia
Implementacin
ec
p
te
o
ef
nf
P P P S Entrega &
Soporte
y toma en consideracin:
g
io
ap ente
miento de calidad
lic
g
st
IT GOVERNANCE INSTITUTE 58
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 59
OBJETIVOS DE CONTROL
9
Agregados (aggregated)
IT GOVERNANCE INSTITUTE 60
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 61
OBJETIVOS DE CONTROL
(AI)
ADQUISICION E IMPLEMENTACIN
IT GOVERNANCE INSTITUTE 62
OBJETIVOS DE CONTROL
AI1
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
Adquisicin &
lid
s p da
in c ia
c u nibi
ti v
Implementacin
en
ia
ec
p
te
o
ef
nf
P S Entrega &
Soporte
y toma en consideracin:
in olo s
ac a
e
te c i o n
nativas, etc)
io
ap ente
s
to
cn
al
lic
g
st
aceptacin y sostenimiento
Cumplimiento con la arquitectura de informacin
Costo - efectividad de la seguridad y los controles
Responsabilidades de los proveedores
IT GOVERNANCE INSTITUTE 63
OBJETIVOS DE CONTROL
OBJETIVO DE CONTROL
10
Del anaquel (off-the-shelf): se dice de productos de soft-
La metodologa del ciclo de vida de desarrollo de ware terminados que pueden adquirirse directamente de un
sistemas de la organizacin debe estipular la eva- proveedor o distribuidor.
luacin de requerimientos y las especificaciones 11
Solicitud de propuesta (request for proposal, RFP): invi-
para una RFP (Solicitud de Propuesta)11 cuando tacin que se extiende a proveedores para que presenten
se negocie con un proveedor de servicios exter- una propuesta.Trminos de referencia
IT GOVERNANCE INSTITUTE 64
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 65
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 66
OBJETIVOS DE CONTROL
AI2
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
Adquisicin &
lid
s p da
in c ia
c u nibi
ti v
Implementacin
en
ia
ec
p
te
o
ef
nf
P P S S S Entrega &
Soporte
y toma en consideracin:
in olo s
ac a
e
te c i o n
Personalizacin de paquetes
io
ap ente
s
to
a
cn
al
lic
g
st
IT GOVERNANCE INSTITUTE 67
OBJETIVOS DE CONTROL
13
Recopilacin (collection): recabar o reunir informacin.
IT GOVERNANCE INSTITUTE 68
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 69
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 70
OBJETIVOS DE CONTROL
AI3
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
Adquisicin &
lid
s p da
in c ia
c u nibi
ti v
Implementacin
en
ia
ec
p
te
o
ef
nf
P P S Entrega &
Soporte
y toma en consideracin:
in olo s
ac a
e
te c i o n
nos y externos
io
ap ente
s
to
cn
al
lic
g
st
dor
Administracin de cambios
Costo total de propiedad
Seguridad del software del sistema
IT GOVERNANCE INSTITUTE 71
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 72
OBJETIVOS DE CONTROL
AI4
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
Adquisicin &
lid
s p da
in c ia
c u nibi
ti v
Implementacin
en
ia
ec
p
te
o
ef
nf
P P S S S Entrega &
Soporte
y toma en consideracin:
in olo s
ac a
e
te c i o n
g
io
ap ente
s
to
a
cn
al
lic
g
st
IT GOVERNANCE INSTITUTE 73
OBJETIVOS DE CONTROL
4 DESARROLLO Y MANTENIMIENTO DE
PROCEDIMIENTOS
4.1 Requerimientos Operacionales y Niveles de
Servicios
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe asegurar la de-
finicin oportuna de requerimientos operaciona-
les y niveles de servicio.
4.2 Manual de Procedimientos para Usuario
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe asegurar que se
preparen y actualicen manuales adecuados de
procedimientos para los usuarios como parte de
cada proyecto de desarrollo o modificacin de
sistemas de informacin.
4.3 Manual de Operaciones
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe asegurar que se
prepare y se mantenga actualizado un manual de
operaciones adecuado como parte de cada pro-
yecto de desarrollo o modificacin de sistemas
de informacin.
4.4 Material de Entrenamiento
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe asegurar que se
desarrollen materiales de entrenamiento adecua-
dos como parte de cualquier proyecto de desarro-
llo, implementacin o modificacin de sistemas
de informacin. Estos materiales debern enfo-
carse al uso del sistema en la prctica diaria.
IT GOVERNANCE INSTITUTE 74
OBJETIVOS DE CONTROL
AI5
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
Adquisicin &
lid
s p da
in c ia
c u nibi
ti v
Implementacin
en
ia
ec
p
te
o
ef
nf
P S S Entrega &
Soporte
y toma en consideracin:
Entrenamiento del usuario y personal de
operaciones de TI
Conversin de datos
Una prueba ambiental reflejando al am-
biente real
Acreditacin
revisiones post implementacin y retroali-
mentacin 3 3 3 3 3
Participacin del usuario final en las prue-
bas
da nes
in olo s
ac a
e
te c i o n
s
to
dad
a
cn
al
lic
g
st
IT GOVERNANCE INSTITUTE 75
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 76
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 77
OBJETIVOS DE CONTROL
AI6
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
Adquisicin &
lid
s p da
in c ia
c u nibi
ti v
Implementacin
en
ia
ec
p
te
o
ef
nf
P P P P S Entrega &
Soporte
y toma en consideracin:
identificacin de cambios
procedimientos de categorizacin, prioriza-
cin y emergencia
Anlisis de impacto
autorizacin de cambios
Administracin de la liberacin del cambio 3 3 3 3 3
distribucin de software
Uso de herramientas automatizadas
da nes
in olo s
ac a
e
te c i o n
Administracin de la configuracin
io
ap ente
s
to
cn
al
lic
g
st
IT GOVERNANCE INSTITUTE 78
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 79
OBJETIVOS DE CONTROL
(DS)
ENTREGA DE SERVICIOS Y SOPORTE
IT GOVERNANCE INSTITUTE 80
OBJETIVOS DE CONTROL
DS1
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P S S S S S Entrega &
Soporte
y toma en consideracin:
Monitoreo y reporte
io
ap ente
s
to
a
cn
al
lic
g
st
IT GOVERNANCE INSTITUTE 81
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 82
OBJETIVOS DE CONTROL
DS2
Planeacin &
Organizacin
di gr i dad
c o lim d
b i to
ad
a
c o ic ie d
n f ien
id nc ia
m lid
li
ef ida
lid
s p da
in c ia
c u nibi
ti v
en
ia
Adquisicin &
ec
p
te
o
Implementacin
ef
nf
P P S S S S S
Entrega &
Control sobre el proceso de TI de: Soporte
y toma en consideracin:
terna
te c i o n
g
io
ap ente
s
to
veles de servicio
st
IT GOVERNANCE INSTITUTE 83
OBJETIVOS DE CONTROL
La Gerencia de la organizacin del cliente deber Con respecto a las relaciones con los proveedo-
establecer relaciones con un dueo que sea res- res de servicios como terceras partes, la Gerencia
ponsable de asegurar la calidad de las relaciones deber asegurar que los acuerdos de seguridad
con terceros. (por ejemplo, los acuerdos de confidencialidad)
sean identificados, declarados explcitamente y
2.3 Contratos con Terceros acordados, que stos concuerden con los estnda-
res de negocios universales y estn en lnea con
OBJETIVO DE CONTROL
los requerimientos legales y regulatorios, inclu-
La gerencia debe definir procedimientos espec- yendo obligaciones.
ficos para asegurar que un contrato formal sea
definido y acordado para cada relacin de servi- 2.8 Monitoreo
cio con un proveedor antes que el trabajo co- OBJETIVO DE CONTROL
mience.
La Gerencia deber establecer un proceso conti-
2.4 Calificacin de Terceros nuo de monitoreo sobre la prestacin de servicio
de terceros, con el fin de asegurar el cumplimien-
OBJETIVO DE CONTROL
to de los acuerdos del contrato.
La gerencia debe asegurar en forma previa a su
seleccin, que los terceros potenciales cuentan
con las calificaciones adecuadas a travs de una
evaluacin de su capacidad para proporcionar los
servicios requeridos (due diligence).
2.5 Contratos de Outsourcing
OBJETIVO DE CONTROL
Debern definirse procedimientos organizaciona-
les especficos para asegurar que el contrato en-
tre la organizacin y el proveedor de la adminis- 18 Concepto de inters sobre la continuidad (going con-
tracin de instalaciones est basado en niveles de cern concept)
procesamiento requeridos, seguridad, monitoreo 19 Contrato en depsito (scrow contract) contratos que se
y requerimientos de contingencia, as como en celebran para garantizar la continuidad del servicio aun
otras estipulaciones segn sea apropiado. cuando el proveedor no pueda proporcionarlo.
IT GOVERNANCE INSTITUTE 84
OBJETIVOS DE CONTROL
DS3
Planeacin &
Organizacin
di gri dad
co lim ad
b i to
ad
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P S Entrega &
Soporte
y toma en consideracin:
io
ap ente
s
to
ac
a
cn
l ic
g
st
IT GOVERNANCE INSTITUTE 85
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 86
OBJETIVOS DE CONTROL
DS4
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P S P Entrega &
Soporte
y toma en consideracin:
in olo s
ac a
e
te c i o n
s
to
cn
al
lic
g
st
IT GOVERNANCE INSTITUTE 87
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 88
OBJETIVOS DE CONTROL
4.8 Distribucin del Plan de Continuidad de TI 4.12 Almacenamiento de respaldo en el sitio alterno
(Off-site)
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Debido a la naturaleza sensitiva de la informa-
cin del plan de continuidad, dicha informacin El almacenamiento externo de copias de respal-
deber ser distribuida solo a personal autorizado do, documentacin y otros recursos tecnolgicos
y mantenerse bajo adecuadas medidas de seguri- de informacin, catalogados como crticos, debe
dad para evitar su divulgacin. Consecuentemen- ser establecido para soportar el plan de recupera-
te, algunas secciones del plan debern ser distri- cin y continuidad del negocio. Los propietarios
buidas solo a las personas cuyas actividades de los procesos del negocio y el personal de la
hagan necesario conocer dicha informacin. funcin de TI deben involucrarse en determinar
que recursos de respaldo deben ser almacenados
4.9 Procedimientos de respaldo de procesamiento
en el sitio alterno23. La instalacin de almacena-
alternativo para Departamentos usuarios
miento externo debe contar con medidas ambien-
OBJETIVO DE CONTROL tales para los medios y otros recursos almacena-
dos; y debe tener un nivel de seguridad suficien-
La metodologa de continuidad deber asegurar te, que permita proteger los recursos de respaldo
que los departamentos usuarios establezcan pro- contra accesos no autorizados, robo o dao. La
cedimientos alternativos de procesamiento, que Gerencia de TI debe asegurar que los acuerdos/
puedan ser utilizados hasta que la funcin de ser- contratos del sitio alterno son peridicamente
vicios de informacin sea capaz de restaurar analizados, al menos una vez al ao, para garan-
completamente sus servicios despus de un even- tizar que ofrezca seguridad y proteccin ambien-
to o un desastre. tal.
4.10 Recursos Crticos de Tecnologa de Informa- 4.13 Procedimiento de afinamiento24 del Plan de
cin Continuidad
OBJETIVO DE CONTROL OBJETIVO DE CONTROL
El plan de continuidad deber identificar los pro- Dada una exitosa reanudacin de la funcin de TI
gramas de aplicacin, servicios de terceros, siste- despus de un desastre, la gerencia de servicios
mas operativos, personal, insumos, archivos de de informacin deber establecer procedimientos
datos que resultan crticos as como los tiempos para evaluar lo adecuado del plan y actualizarlo
necesarios para la recuperacin despus de que de acuerdo con los resultados de dicha evalua-
se presenta un desastre. Los datos y las operacio- cin.
nes crticas deben ser identificadas, documenta-
das, priorizadas y aprobadas por los dueos de
los procesos del negocio en cooperacin con la
Gerencia de TI.
4.11 Sitio22 y Hardware de Respaldo
OBJETIVO DE CONTROL
La Gerencia deber asegurar que la metodologa
de continuidad incorpora la identificacin de al-
ternativas relativas al sitio y al hardware de res-
paldo, as como una seleccin alternativa final.
En caso de aplicar, deber establecerse un con-
trato formal para este tipo de servicios.
IT GOVERNANCE INSTITUTE 89
OBJETIVOS DE CONTROL
DS5
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P S S S Entrega &
Soporte
Control sobre el proceso de TI de:
y toma en consideracin:
in olo s
ac a
e
te c i o n
s
to
Firewalls
a
cn
al
lic
g
st
IT GOVERNANCE INSTITUTE 90
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 91
OBJETIVOS DE CONTROL
dos, tanto interna como externamente y se debe registro26 de recursos de cmputo (seguridad y
actuar de una manera oportuna. otros logs) deber otorgarse tomando como base
el principio de menor privilegio o necesidad de
5.8 Clasificacin de Datos
saber.
OBJETIVO DE CONTROL
5.11 Manejo de Incidentes
La Gerencia deber implementar procedimientos
OBJETIVO DE CONTROL
para asegurar que todos los datos son clasificados
en trminos de sensitividad, mediante una deci- La Gerencia deber implementar la capacidad de
sin explcita y formal del dueo de los datos de manejar incidentes de seguridad computacional,
acuerdo con el esquema de clasificacin de datos. dar atencin a dichos incidentes mediante el esta-
An los datos que no requeren proteccin de- blecimiento de una plataforma centralizada con
bern contar con una decisin formal que les suficiente experiencia y equipada con instalacio-
asigne dicha clasificacin. Los dueos deben de- nes de comunicacin rpidas y seguras. Debern
terminar la ubicacin o disposicin de sus datos y establecerse las responsabilidades y los procedi-
determinar quienes pueden compartir los datos mientos de manejo de incidentes para asegurar
aun si y cuando los programas y archivos sean una respuesta apropiada, efectiva y oportuna a
mantenidos, archivados o borrados. Debe quedar los incidentes de seguridad.
evidencia de la aprobacin del dueo y de la dis-
5.12 Reacreditacin
posicin del dato. Se deben definir polticas para
soportar la reclasificacin de la informacin, ba- OBJETIVO DE CONTROL
sados sobre cambios en la sensitividad. El esque-
ma de clasificacin debe incluir criterios para La Gerencia deber asegurar que se lleve a cabo
administrar el intercambio de informacin entre peridicamente una reacreditacin de seguridad
organizaciones, teniendo en cuenta tanto la segu- (por ejemplo, a travs de equipos de personal
ridad y el cumplimiento como la legislacin rele- tcnico tigre27) con el fin de mantener actuali-
vante. zado el nivel de seguridad aprobado formalmente
y la aceptacin del riesgo residual.
5.9 Administracin de Derechos de Acceso e Iden-
tificacin Centralizada 5.13 Confianza en Contrapartes
Deben existir controles para asegurar que la iden- Las polticas organizacionales debern asegurar
tificacin y los derechos de acceso de los usua- que se implementen prcticas de control para
rios, as como la identidad del sistema y la pro- verificar la autenticidad de las contrapartes que
piedad de los datos, son establecidos y adminis- proporcionan instrucciones o transacciones elec-
trados de forma nica y centralizada, para obte- trnicas. Esto puede lograrse mediante el inter-
ner consistencia y eficiencia de un control de ac- cambio confiable de passwords, tokens o llaves
ceso global. criptogrficas.
OBJETIVO DE CONTROL
26 Registro (accountability)
La administracin de la funcin de servicios de 27 Equipo tigre (Tiger team): es un grupo de per-
informacin deber asegurar que las violaciones sonal tcnico al cual se le asignan trabajos de veri-
y la actividad de seguridad sean registradas, re- ficacin de seguridad en una instalacin. Estos
portadas, revisadas y escaladas apropiadamente trabajos consisten tipicamente en actuar en forma
en forma regular para identificar y resolver inci- incgnita y tratar de violar las medidas de seguri-
dentes que involucren actividades no autoriza- dad establecidas para probar la efectividad de las
das. El acceso lgico a la informacin sobre el mismas e identificar las reas vulnerables que re-
quieren atencin.
IT GOVERNANCE INSTITUTE 92
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 93
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 94
OBJETIVOS DE CONTROL
DS6
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P Entrega &
Soporte
y toma en consideracin:
in olo s
ac a
e
te c i o n
g
io
ap ente
s
to
a
cn
al
lic
g
st
IT GOVERNANCE INSTITUTE 95
OBJETIVOS DE CONTROL
6 IDENTIFICACIN Y ASIGNACIN DE
COSTOS
6.1 Elementos Sujetos a Cargo o Cobro por su
Uso
OBJETIVO DE CONTROL
La Gerencia de TI, en coordinacin con la alta
Gerencia, deber asegurar que los elementos su-
jetos a cargo sean identificables, medibles y pre-
decibles para los usuarios. Los usuarios debern
ser capaces de controlar el uso de los servicios de
informacin y de los niveles de facturacin aso-
ciados.
6.2 Procedimientos de Costeo
OBJETIVO DE CONTROL
La Gerencia de TI deber definir e implementar
procedimientos de costeo para proporcionar in-
formacin gerencial acerca del costo de prestar
servicios de informacin, asegurando al mismo
tiempo la economa. Las variaciones entre los
costos pronosticados y los reales debern ser
analizadas adecuadamente y reportados, con el
fin de facilitar el monitoreo de los mismos. Ade-
ms, la alta gerencia deber evaluar peridica-
mente los resultados de los procedimientos de
contabilidad de costos de la funcin de servicios
de informacin, a la luz de los otros sistemas de
medicin financiera de la organizacin.
6.3 Procedimientos de Reversin de Cargos y Fac-
turacin a Usuarios
OBJETIVO DE CONTROL
La Gerencia de TI deber definir y utilizar proce-
dimientos de reversin de cargos y facturacin.
Esta deber mantener procedimientos de rever-
sin de cargos y facturacin que fomenten el uso
apropiado de los recursos de cmputo y aseguren
el trato justo de los departamentos usuarios y de
sus necesidades. El monto cargado deber refle-
jar los costos asociados con los servicios presta-
dos.
IT GOVERNANCE INSTITUTE 96
OBJETIVOS DE CONTROL
DS7
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P S Entrega &
Soporte
y toma en consideracin:
Plan de entrenamiento
Inventario de habilidades
Campaas de concientizacin
Tcnicas de concientizacin
Uso de nuevas tecnologas y mtodos de
entrenamiento
Productividad del personal
Desarrollo de una base de conocimientos 3
da nes
in olo s
ac a
e
te c i o n
g
io
ap ente
s
to
a
cn
al
lic
g
st
IT GOVERNANCE INSTITUTE 97
OBJETIVOS DE CONTROL
7 EDUCACIN Y ENTRENAMIENTO DE
USUARIOS
7.1 Identificacin de Necesidades de Entrena-
miento
OBJETIVO DE CONTROL
En lnea con el plan a largo plazo, la Gerencia
deber establecer y mantener procedimientos
para identificar y documentar las necesidades de
entrenamiento de todo el personal que haga uso
de los servicios de informacin. Deber estable-
cerse un plan de entrenamiento para cada grupo
de empleados.
7.2 Organizacin del Entrenamiento
OBJETIVO DE CONTROL
Tomando como base las necesidades identifica-
das, la Gerencia deber definir los grupos objeti-
vo, identificando y asignando entrenadores y or-
ganizando oportunamente las sesiones de entre-
namiento. Asimismo, debern investigarse las
alternativas de entrenamiento (Localidad interna
o externa, entrenadores internos o externos, etc.).
7.3 Entrenamiento sobre Principios y Conciencia
de Seguridad
OBJETIVO DE CONTROL
Todo el personal deber estar capacitado y entre-
nado en los principios de seguridad de sistemas,
incluyendo actualizaciones peridicas con espe-
cial atencin en concientizacin sobre seguridad
y manejo de incidentes. La alta gerencia deber
proporcionar un programa de educacin y entre-
namiento que incluya: conducta tica de la fun-
cin de TI, prcticas de seguridad para proteger
de una manera segura contra daos que afecten
la disponibilidad, la confidencialidad la integri-
dad y el desempeo de las tareas.
IT GOVERNANCE INSTITUTE 98
OBJETIVOS DE CONTROL
DS8
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P Entrega &
Soporte
y toma en consideracin:
g
io
ap ente
s
to
a
cn
al
lic
g
st
IT GOVERNANCE INSTITUTE 99
OBJETIVOS DE CONTROL
DS9
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P S S Entrega &
Soporte
y toma en consideracin:
registro de activos
administracin de cambios en la configu-
racin
chequeo de software no autorizado
controles de almacenamiento de software
Integracin e interrelacin de hardware y 3 3 3
software
Uso de herramientas automatizadas
da nes
in olo s
ac a
e
te c i o n
g
io
ap ente
s
to
a
cn
al
lic
g
st
DS10
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P S Entrega &
Soporte
y toma en consideracin:
in olo s
ac a
e
te c i o n
s
to
cambios
a
cn
al
lic
g
st
DS11
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P Entrega &
Soporte
y toma en consideracin:
diseo de formatos
controles sobre documentos fuente
controles de entrada, procesamiento y salida
identificacin, movimiento y administracin de
la librera de medios
Recuperacin y almacenamiento de datos
autenticacin e integridad
propiedad de datos 3
polticas de administracin de datos
modelos de datos y estndares de representa-
da nes
in olo s
ac a
e
te c i o n
cin de datos
io
ap ente
s
to
cn
al
lic
g
st
mas
requisitos legales y regulatorios
dos en una infraestructura de control interactiva 11.16 Provisiones de Seguridad para Reportes de
con operadores humanos para asegurar que las Salida
decisiones vitales son aprobadas.
OBJETIVO DE CONTROL
11.11 Manejo de Errores en el Procesamiento de
La organizacin deber establecer procedimien-
Datos
tos para garantizar que la seguridad de los re-
OBJETIVO DE CONTROL portes generados por los procesos sea manteni-
da para todos aquellos reportes que estn por
La organizacin deber establecer procedimien-
distribuirse, as como para todos aqullos que
tos para el manejo de errores en el procesamien-
ya hayan sido distribuidos a los usuarios.
to de datos que permitan la identificacin de
transacciones errneas sin que stas sean proce- 11.17 Proteccin de Informacin Sensible durante
sadas y sin interrumpir el procesamiento de transmisin y transporte
otras transacciones vlidas.
OBJETIVO DE CONTROL
11.12 Manejo y Retencin de Datos de Salida
La Gerencia deber asegurar que durante la
OBJETIVO DE CONTROL transmisin y transporte de informacin sensi-
ble, se proporcione una adecuada proteccin
La organizacin deber establecer procedimien-
contra acceso o modificacin no autorizada, as
tos para el manejo y la retencin de datos pro-
como contra envos a direcciones errneas.
ducidos por sus programas de aplicacin de TI.
En caso de que instrumentos negociables (ej. 11.18 Proteccin de Informacin Sensitiva Desecha-
Ttulos valores) sean los receptores de la salida, da
se deber prestar especial cuidado en prevenir
OBJETIVO DE CONTROL
usos inadecuados.
La Gerencia deber definir e implementar pro-
11.13 Distribucin de Datos Salidos de los Procesos
cedimientos para impedir el acceso a la infor-
OBJETIVO DE CONTROL macin sensitiva, al software de las computado-
ras, a los discos y otros equipos o medios cuan-
La organizacin deber establecer y comunicar
do los mismos son desechados o transferidos a
procedimientos escritos para la distribucin de
otro uso. Tales procedimientos debern garanti-
datos de salida de tecnologa de informacin.
zar que ninguna informacin marcada como
11.14 Balanceo y Conciliacin de Datos de Salida borrada o desechada, pueda ser accedida
por personas internas o externas a la organiza-
OBJETIVO DE CONTROL cin.
La organizacin deber establecer procedimien-
11.19 Administracin de Almacenamiento
tos para asegurar que los datos de salida sean
balanceados rutinariamente con los totales de OBJETIVO DE CONTROL
control relevantes. Debern existir pistas de
Debern desarrollarse procedimientos para el
auditora para facilitar el seguimiento del proce-
almacenamiento de datos que consideren reque-
samiento de transacciones y la conciliacin de
rimientos de recuperacin, de economa y as
datos con problema.
mismo tengan en cuenta las polticas de seguri-
11.15 Revisin de Datos de Salida y Manejo de dad de la organizacin.
Errores
11.20 Perodos de Retencin y Trminos de Alma-
OBJETIVO DE CONTROL cenamiento
La Gerencia de la organizacin deber establecer OBJETIVO DE CONTROL
procedimientos para asegurar que la precisin de los
Debern definirse los perodos de retencin y
reportes de los datos de salida sea revisada por el
proveedor y por los usuarios responsables. Asimis-
mo, debern establecerse procedimientos para con-
trolar los errores contenidos en los datos de salida.
OBJETIVO DE CONTROL
La Gerencia deber asegurar que la integridad y
lo adecuado de los datos mantenidos en archi-
vos y otros medios (ej. tarjetas electrnicas) se
verifique peridicamente. Atencin especfica
deber darse a dispositivos de tokens29, archivos
de referencia y archivos que contengan informa-
cin privada.
28
Concluye su proceso (commits): se dice de una
transaccin que actualiza los datos que procesa al
concluir su procesamiento.
29
Tokens: Dispositivos especiales que permiten el
clculo de claves en forma aleatoria. Utiliza semi-
llas que cambian cada minuto.
DS12
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P Entrega &
Soporte
y toma en consideracin:
acceso a instalaciones
identificacin del sitio (instalacin)
seguridad fsica
Polticas de inspeccin y escalamiento
Plan de continuidad de negocios y admi-
nistracin de crisis 3
salud y seguridad del personal
Polticas de mantenimiento preventivo
da nes
in olo s
ac a
e
te c i o n
s
to
Monitoreo automatizado
a
cn
al
lic
g
st
30
Instalaciones (Facilities)
31
Discrecin (low profile)
DS13
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P S S Entrega &
Soporte
Control sobre el proceso de TI de:
y toma en consideracin:
Mantenimiento preventivo
ac a
e
te c i o n
g
io
ap ente
Operaciones automatizadas
lic
g
st
32
Desviaciones (departures)
(M)
MONITOREO
M1
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
Entrega &
P P S S S S S Soporte
y toma en consideracin:
g
io
ap ente
s
to
a
cn
al
lic
g
st
M2
Planeacin &
Organizacin
di gri dad
co lim ad
b i to
ad
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
Entrega &
P P S S S S S Soporte
y toma en consideracin:
io
ap ente
s
to
ac
a
cn
l ic
g
st
33
Comparacin con mejores prcticas (benchmarks)
M3
Planeacin &
di gr i dad
Organizacin
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
c u nibi
ti v
en
ia
ec
p
te
o
Adquisicin &
ef
nf
Implementacin
P P S S S S S
Entrega &
Soporte
Control sobre el proceso de TI de:
y toma en consideracin:
s
to
ac
a
cn
l ic
g
st
M4
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
Entrega &
P P S S S P S Soporte
y toma en consideracin:
independencia de auditora
involucramiento proactivo de la auditora
ejecucin de auditoras por parte de perso-
nal calificado
aclaracin de resultados y recomendacio-
nes
actividades de seguimiento
Evaluacin del impacto de las recomenda- 3 3 3 3 3
ciones de la auditoria (costos, beneficios, y
riesgos)
da nes
in olo s
ac a
e
te c i o n
g
io
ap ente
s
to
a
cn
al
lic
g
st
APENDICES
APENDICE I
DIRECTRICES GERENCIALES DE GOBIERNO /
GOBERNABILIDAD DE TI
Las siguientes Directrices Gerenciales y el Modelo de Madurez identifican los Factores Crticos de xito
(Critical Success Factors CSFs), los Indicadires Claves de objetivos/resultados (Key Goal Indicators
KGIs), Indicadores Claves de Desempeo (Key Performance IndicatorsKPIs) para la Gobernabilidad de TI.
Primero, la Gobernabilidad de TI se define articulando las necesidades del negocio. A continuacin, los crite-
rios de informacin relacionados con la Gobernabilidad de TI son identificados. Las necesidades del negocio
son medidas por los Indicadores Claves de Resultados - KGIs - y organizados por sentencias de control apoya-
do por todos los recursos de TI. El resultado de las sentencias de control organizadas son medidas por los Indi-
cadores Clave de desempeo - KPIs los cuales consideran los Factores crticos de xito - CSFs.
El modelo de madurez se utiliza para evaluar el nivel de la organizacin para cumplir con lo establecido por la
Gobernabilidad de TIdesde el mas bajo nivel donde no existe, pasando por un estado inicial /adhoc, ascen-
diendo a otro repetible pero intuitivo, luego a otro con procesos definidos, a otro administrado y medido y lle-
gando al nivel optimista que es el mas alto nivel. Para llegar al nivel de madurez optimista para la Gobernabili-
dad de TI, una organizacin debe estar al menos en el nivel optimizado del dominio de Monitoreo y al menos
estar en el nivel de medir y administrar los dems dominios.
(Ver las Directrices Gerenciales de Cobit para una completa discusin del uso de esas herramientas)
COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - Integrated Fra-
mework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994.
OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of In-
formation, Paris, 1992.
DTI Code of Practice for Information Security Management: Department of Trade and Industry and British
Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995.
ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance Stan-
dards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of softwa-
re, Switzerland, 1991.
An Introduction to Computer Security: The NIST Handbook: National Institute of Standards and Technology,
U.S. Department of Commerce. Washington, DC, 1995.
ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines develo-
ped by the Central Computer and Telecommunications Agency (CCTA), London, 1989.
IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials
Group on Information Security, advising the European Commission) Brussels, Belgium, 1994.
NSW Premiers Office Statements of Best Practices and Planning Information Management and Techniques:
Statements of Best Practice #1 through #6. premier's Department New South Wales, Government of New South
Wales, Australia, 1990 through 1994.
Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data Proces-
sing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998.
EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph Se-
ries #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994.
PCIE (president's Council on Integrity and Efficiency) Model Framework: A Model Framework for Manage-
ment Over Automated Information Systems. Prepared jointly by the president's Council on Management Improve-
ment and the president's Council on Integrity and Efficiency, Washington, DC, 1987.
Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by
the Chuo Audit Corporation, Tokyo, August 1994.
CONTROL OBJECTIVES Controls in an Information Systems Environment: Control Guidelines and Au-
dit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Fourth
Edition, Rolling Meadows, IL, 1992.
CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified Informa-
tion Systems Auditor Job Analysis Study", Rolling Meadows, IL, 1994.
CICA Computer Control Guidelines: Canadian Institute of Chartered Accountants, Toronto, 1986.
IFAC International Guidelines for Managing Security of Information and Communications: International
Federation of Accountants, New York, NY, 1997.
Standards for Internal Control in the U.S. Federal Government: U.S. General Accounting Office, Washington,
DC, 1983.
Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NBS Special
Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington,
DC, 1988.
Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants, Den-
mark, 1994.
SPICE: Software Process Improvement and Capability Determination. A standard on software process improve-
ment, British Standards Institution, London, 1995.
DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute Inter-
national. Guideline for Business Continuity Planners, St. Louis, MO, 1997.
IIA, SAC Systems Audibility and Control: Institute of Internal Auditors Research Foundation, Systems Audibili-
ty and Control Report, Alamonte Springs, FL, 1991, 1994.
IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research Foun-
dation, Alamonte Springs, FL, 1997.
E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996.
C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, NY, 1997.
ISO IEC JTC1/SC27 Information Technology - Security: International Organisation for Standardisation (ISO)
Technical Committee on Information Technology Security, Switzerland, 1998.
ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical Com-
mittee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992.
ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services: Interna-
tional Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services, Draft,
Switzerland, 1997.
CCEB 96/011, Common Criteria for Information Technology Security Evaluation: Common Criteria Imple-
mentation Board, Alignment and comparison of existing European, US and Canadian IT Security Criteria, Draft,
Washington, DC, 1997.
Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987.
TickIT: Guide to Software Quality Management System Construction and Certification. British Department of
Trade and Industry (DTI), London, 1994
ESF Baseline Control - Communications: European Security Forum, London. Communications Network Securi-
ty, September 1991; Baseline Controls for Local Area Networks, September, 1994.
ESF Baseline Control - Microcomputers: European Security Forum, London. Baseline Controls Microcomputers
Attached to Network, June 1990.
Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information Sys-
tems Audit and Control Foundation), Rolling Meadows, IL, 1992.
Guide for Developing Security Plans for Information Technology: NIST Special Publication 800-18, National
Institute for Standards and Technology, US Department of Commerce, Washington, DC 1998
Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office, Washing-
ton, DC, 1999.
BS7799-Information Security Management: British Standards Institute, London, 1999.
CICA Information Technology Control Guidelines, 3er Edition: Canadian Institute of Chartered Accountants,
Toronto, 1998
ISO/IEC TR 1335-n Guidelines for the Management of IT Security, (GMITS) Parts 1-5: International Organi-
sation for Standardisation, Switzerland, 1998.
AICPA/CICA SystrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute of
Certified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999.
AICPA Instituto Americano de Contadores Pblicos Certificado. (American Institute of Certified Public
Accountants)
CCEB Criterios comunes para seguridad en tecnologa de informacin. (Common Criteria for
Information Technology Security)
DTI Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of
the United Kingdom)
ESF Foro Europeo de Seguridad (European Security Forum), cooperacin de 70+ multinacionales
europeas principalmente con el propsito de investigar problemas de seguridad y control
comunes de TI.
GAO Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office)
IBAG Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group), representantes de la
industria que asesoran al Comit Infosec. Este Comit est compuesto por funcionarios de los
gobiernos de la Comunidad Europea y asesora a la Comisin Europea sobre cuestiones de seguri-
dad de TI.
INFOSEC Comit Consultivo para la Comisin Europea en Materia de Seguridad TI. (Advisory Committee
for IT Security Matters to the European Commission)
ISACA Asociacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit
and Control Foundation)
ISACF Fundacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit
and Control Foundation)
NBS Departamento Nacional de Estndares de los Estados Unidos (National Bureau of Standards of
the U.S.)
NIST (antes NBS) Instituto Nacional de Estndares y Tecnologa. (National Institute of Standards
and Technology), con base en Washington D.C.
NSW Nueva Gales del Sur, Australia. (New South Wales, Australia)
Objetivo de Una sentencia o declaracin del resultado deseado o propsito a ser alcanzado mediante la imple-
Control mentacin de procedimientos de control en una actividad particular de TI
OECD Organizacin para la Cooperacin y el Desarrollo Econmico. (Organisation for Economic Coo-
peration and Development)
PCIE Consejo Presidencial de Integridad y Eficiencia. (Presidents Council on Integrity and Efficien-
cy)
SPICE Mejoramiento del Proceso de Software y Determinacin de la Capacidad (Software Process Im-
provement and Capability Determination) - un estndar pare el mejoramiento del proceso de
software
TCSEC Criterios de Evaluacin de Sistemas Computarizados Confiables. (Trusted Computer System
Evaluation Criteria), conocido tambin como "The Orange Book". Criterios de evaluacin de
seguridad para sistemas computarizados definidos originalmente por el Departamento de Defen-
sa de los Estados Unidos. Ver tambin ITSEC, el equivalente europeo.