A - COBIT-Objetivos de Control - 3 Edicion PDF

OBJETIVOS DE CONTROL
COBIT
3a Edicin
Emitido por el Comit Directivo de COBIT y

El IT Governance Institute MR
Traduccin al espaol por Gustavo A. Sols Montes, CISA
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control
en tecnologa de informacin con autoridad, actualizados, de carcter interna-
cional y aceptados generalmente para el uso cotidiano de gerentes de empresas
y auditores.
IT GOVERNANCE INSTITUTE 1
ARGENTINA OBJETIVOS DE CONTROL
LIECHTENSTEIN
ARUBA LITUANIA
AUSTRALIA
AUSTRIA
INFORMATION SYSTEMS AUDIT AND LUXEMBURGO
MALASIA
BAHAMAS
BAHRAIN CONTROL ASSOCIATION MALTA
MALAWI
BANGLEDESH MXICO
BARBADOS PASES BAJOS
BLGICA Una sola Fuente Internacional para los Controles NUEVA GUINEA
BERMUDA de la Tecnologa de Informacin NUEVA ZELANDA
BOLIVIA NIGERIA
BOSTSWANA Information Systems Audit and Control su programa de educacin profesional NORUEGA
BRASIL Association es una organizacin global OMN
ofrece conferencias tcnicas y adminis-
BRUENI PAKISTN
lder de profesionales que representa a trativas en cinco continentes, as como
CANAD PANAM
CHILE individuos en ms de 100 pases y compren- seminarios en todo el mundo para PER
CHINA de todos los niveles de la tecnologa de ayudar a los profesionistas de todas FILIPINAS
COLOMBIA informacin Direccin ejecutiva, geren- partes a recibir educacin contina de POLONIA
COSTA RICA PORTUGAL
cia media y practicantes. La Asociacin alta calidad.
CROATA QATAR
CURAZAO est nicamente posesionada para cubrir el su rea de publicidad tcnica propor- RUSIA
CYPRUS papel de generador central que armoniza ciona materiales de desarrollo profe- SAIPAN
REPBLICA CHECA los estndares de las prcticas de control sional y referencias con el fin de au- ARABIA SAUDITA
DINAMARCA de TI a nivel mundial. Sus alianzas estrat- ESCOCIA
mentar su distinguida seleccin de
REPBLICA DOMI- SEYCHELLES
NICANA
gicas con otros grupos dentro del mbito programas y servicios.
SINGAPUR
ECUADOR profesional financiero, contable, de audito- REP. ESLOVACA
EGIPTO ra y de TI aseguran a los dueos del proce- La Information Systems Audit and Control ESLOVENIA
ESTONIA so del negocio un nivel sin paralelo de inte- Association se cre en 1969 para cubrir las SUDFRICA
ISLAS FAEROE ESPAA
gracin y compromiso. necesidades nicas, diversas y de alta tecno-
FINLANDIA SRI LANKA
FRANCIA loga en el naciente campo de la TI. En una
ST. KITTS
ALEMANIA Programas y Servicios industria donde el progreso se mide en na- ST. LUCIA
GHANA de la Asociacin nosegundos, ISACA se ha movido gil y SUECIA
GRECIA velozmente para satisfacer las necesidades SUIZA
GUAM Los Programas y Servicios de la Asociacin
de la comunidad de negocios internaciona-
SIRIA
GUATEMALA han ganado prestigio al establecer los nive- TAIWAN
HONDURAS les y de la profesin de controles de la TI.
les ms altos de excelencia en certificacin, TANZANIA
HONG KONG TASMANIA
estndares, educacin profesional y publici-
HUNGRA Para ms Informacin TAILANDIA
ISLANDIA dad tcnica.
TRINIDAD & TO-
Para recibir informacin adicional, puede
INDIA su programa de certificacin (el Audi- BAGO
INDONESIA llamar al (+1.847.253.1545), enviar un e- TURQUA
tor de Sistemas de Informacin Certi-
IRLANDA ficado) es la nica designacin global
mail a (research@isaca.org) o visitar los UGANDA
ISRAEL siguentes sitios web: EMIRATOS ARAB
en toda la comunidad de control y
ITALIA UNIDOS
IVORY COAST auditora de la TI. REINO UNIDO
JAMAICA www.itgovernance.org ESTADOS UNI-
sus actividades estndar establecen la
JAPN www.isaca.org DOS
base de calidad mediante la cual otras URUGUAY
JORDN
KENYA actividades de control y auditora de TI VENEZUELA
COREA se miden. VIETNAM
KUWAIT GALES
LATVIA YEMEN
LEBANON ZAMBIA
ZIMBABWE
Lmite de Responsabilidad
Reconocimientos 4
La Information Systems Audit and Control Foundation, el IT Gover-
Resumen Ejecutivo 5 nance Institute y los patrocinadores de COBIT: Objetivos de Control
para la Informacin y Tecnologas Relacionadas, han diseado y
creado las publicaciones tituladas Resumen Ejecutivo, Marco Refe-
El Marco Referencial de COBIT 9 rencial, Objetivos de Control, Directrices Gerenciales, Directrices
de Auditora, y el Conjunto de Herramientas de Implementacin
Estableciendo la escena 9 (llamado colectivamente el Producto) principalmente como una
fuente de instruccin para los profesionales dedicados a las activida-
des de control. La Information Systems Audit and Control Founda-
Los Principios del Marco Referencial 14 tion, el IT Governance Institute y los patrocinadores no garantizan
que el uso de este producto asegurar un resultado exitoso. No debe-
Historia y Antecedentes del COBIT 20 r considerarse que este producto incluye todos los procedimientos o
pruebas apropiados o que excluye otros procedimientos y pruebas
que estn razonablemente dirigidos hacia la obtencin de los mis-
mos resultados. Para determinar la conveniencia de cualquier prueba
Tabla Resumen 22 o procedimiento especfico, los expertos en control debern aplicar
su propio juicio profesional a las circunstancias de control especiales
presentadas por cada entorno de sistemas en particular.
Principios de los Objetivos de Control 23
Acuerdo de Licencia de uso (disclosure)
Relaciones de Objetivos de Control Copyright 1996, 1998, 2000, de la Information Systems Audit and
Dominios, Procesos y Objetivos de Control 25 Control Foundation (ISACF). La reproduccin para fines comercia-
les no est permitida sin el previo consentimiento por escrito de la
Objetivos de Control ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el
Marco Referencial, los Objetivos de Control, las Directrices Geren-
ciales y el Conjunto de Herramientas de Implementacin para uso
Planeacin y Organizacin 32
interno no comercial, incluyendo almacenamiento en medios de
Adquisicin e Implementacin 62 recuperacin de datos y transmisin en cualquier medio, incluyendo
Entrega de Servicios y Soporte 80 electrnico, mecnico, grabado u otro medio. Todas las copias del
Monitoreo 114 Resumen Ejecutivo, el Marco Referencial, los Objetivos de Control,
las Directrices Gerenciales y el Conjunto de Herramientas de Im-
Apndice I plementacin deben incluir el siguiente reconocimiento y leyenda de
derechos de autor: Copyright 1996, 1998, 2000 Information Sys-
tems Audit and Control Foundation. Reimpreso con la autorizacin
Directrices Gerenciales del Gobierno de IT 125
de la Information Systems Audit and Control Foundation, y el IT
Governance Institute.
Apndice II
Las Guas/Directrices de Auditora no pueden ser usadas, copiadas,
reproducidas, almacenadas, modificadas en un sistema de recupera-
Descripcin del Proyecto Cobit 129
cin de datos o transmitido en ninguna forma ni por ningn medio
(electrnico, mecnico, fotocopiado, grabado u otro medio) sin la
Apndice III previa autorizacin por escrito de la ISACF. Sin embargo, las Di-
rectrices de Auditora pueden ser usadas con fines no comerciales
Material de Referencia Primaria 131 internos nicamente. Excepto por lo indicado, no se otorga ningn
otro derecho o permiso relacionado con esta obra. Todos los dere-
chos de esta obra son reservados.
Apndice IV Information Systems Audit and Control Foundation
IT Governance Institute
3701 Algonquin Road, Suite 1010
Glosario de Trminos Originales 134 Rolling Meadows, Illinois 60008 USA.
Telfono: 1+847.253.1525
Fax: 1+847.253.1443
E-mail: research@isaca.org
Web sites: www.isaca.org
www.Itgovernance.org
ISBN 1-893209-17-2 (Control Objectives, English)
ISBN 1-893209-13-X (Paquete completo de los 6 libros y CD)
Impreso en los Estados Unidos de Amrica
RECONOCIMIENTOS
COMIT DIRECTIVO DE COBIT
ERIK GULDENTOPS, S.W.I.F.T. SC, BLGICA
JOHN LAINHART, PRICEWATERHOUSECOOPERS, USA
EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BLGICA
JOHN BEVERIDGE, STATE AUDITORS OFFICE, MASSACHUSETTS, USA
MICHAEL DONAHUE, PRICEWATERHOUSECOOPERS, USA
GARY HARDY, ARTHUR ANDERSEN, REINO UNIDO
RONALD SAULL, GREAT-WEST LIFE ASSURANCE, LONDON LIFE AND INVESTORS GROUP, CANADA
MARK STANLEY, SUN AMERICA INC., USA
Agradecimientos Especiales a los Captulos de ISACA del rea de la Capital Nacional y al de Boston por su con-
tribucin a los Objetivos de Control de Cobit
Agradecimientos Especiales a los miembros de la Mesa Directiva de la Information Systems Audit and Control
Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, encabezados por el
Presidente Internacional Paul Williams, por su contnuo y firme apoyo al Cobit
RESUMEN EJECUTIVO
Un elemento crtico para el xito y la supervivencia de siendo entendido como un aspecto clave en el gobierno
las organizaciones, es la administracin efectiva de la o direccin empresarial.
informacin y de la Tecnologa de Informacin (TI)
Dentro del Gobierno Empresarial, el Gobierno / Gober-
Relacionada. En esta sociedad global (donde la informa-
nabilidad de TI2 se est volviendo mas y mas importante
cin viaja a travs del ciberespacio sin las restriccio-
y est definido como una estructura de relaciones y pro-
nes de tiempo, distancia y velocidad) esta criticidad
cesos para dirigir y controlar a la empresa con el fin que
emerge de:
sta pueda cumplir sus metas dando valor agregado
z La creciente dependencia en informacin y en los
mientras balancea sus riesgos versus el retorno sobre TI
sistemas que proporcionan dicha informacin
y sus procesos. El Gobierno de TI es parte integral del
z La creciente vulnerabilidad y un amplio espectro de
xito de la Gerencia de la Empresa al asegurar mejoras
amenazas, tales como las ciber amenazas y la
medibles, eficientes y efectivas de los procesos relacio-
guerra de informacin1
nados de la empresa. El Gobierno de TI provee las es-
z La escala y el costo de las inversiones actuales y
tructuras que unen los procesos de TI, los recursos de TI
futuras en informacin y en tecnologa de informa-
y la informacin con las estrategias y los objetivos de la
cin; y
empresa. Adems, el Gobierno de TI integra e institu-
z El potencial que tienen las tecnologas para cambiar
cionaliza buenas (o mejores) prcticas de planeacin y
radicalmente las organizaciones y las prcticas de
organizacin, adquisicin e implementacin, entrega de
negocio, crear nuevas oportunidades y reducir cos-
servicios y soporte y monitorea el desempeo de TI pa-
tos
ra asegurar que la informacin de la empresa y las tec-
Para muchas organizaciones, la informacin y la tecno- nologas relacionadas soportan sus objetivos del nego-
loga que la soporta, representan los activos mas valio- cio. El Gobierno de TI conduce a la empresa a tomar
sos de la empresa. Es ms, en nuestro competitivo y total ventaja de su informacin logrando con esto maxi-
rpidamente cambiante ambiente actual, la Gerencia ha mizar sus beneficios, capitalizar sus oportunidades y
incrementado sus expectativas relacionadas con la en- obtener ventaja competitiva
trega de servicios de TI. Por lo tanto, la Administracin
GOBIERNO DE TI
requiere niveles de servicio que presenten incrementos
en calidad, en funcionalidad y en facilidad de uso, as Una estructura de relaciones y procesos para dirigir
como un mejoramiento continuo y una disminucin de y controlar la empresa con el objeto de alcanzar los
los tiempos de entrega; al tiempo que demanda que esto objetivos de la empresa y aadir valor mientras se
se realice a un costo ms bajo. balancean los riesgos versus el retorno sobre TI y sus
procesos.
Muchas organizaciones reconocen los beneficios po-
tenciales que la tecnologa puede proporcionar. Las
organizaciones exitosas, sin embargo, tambin com-
prenden y administran los riesgos asociados con la Las organizaciones deben cumplir con requerimientos
de calidad, fiduciarios y de seguridad, tanto para su in-
implementacin de nuevas tecnologas.
formacin, como para sus activos. La Administracin
Hay numerosos cambios en TI y en su ambiente de ope- deber adems optimizar el empleo de sus recursos dis-
racin que enfatiza la necesidad de un mejor manejo ponibles, los cuales incluyen: personal, instalaciones,
relacionado con los riesgos de TI. La dependencia en la tecnologa, sistemas de aplicacin y datos. Para cumplir
informacin electrnica y en los sistemas de TI son con esta responsabilidad, as como para alcanzar sus
esenciales para soportar los procesos crticos del nego-
cio. Adicionalmente, el ambiente regulatorio demanda
control estricto sobre la informacin. Esto a su vez con- 1 Guerra de informacin (information warfare)
duce a un incremento de los desastres en los sistemas de 2
Gobierno de TI (IT Governance) Governance es un tr-
informacin y al incremento del fraude electrnico. La mino que representa el sistema de control o administra-
Administracin de los riesgos relacionados con TI est cin que establece la alta gerencia para asegurar el logro
de los objetivos de una Organizacin.
objetivos, la Administracin debe entender el estado de El Marco de Referencia de COBIT proporciona, al pro-
sus propios sistemas de TI y decidir el nivel de seguri- pietario de procesos de negocio, herramientas que facili-
dad y control que deben proveer estos sistemas. tan el cumplimiento de esta responsabilidad. El Marco
de Referencia comienza con una premisa simple y prc-
Los Objetivos de Control para la Informacin y las Tec-
tica:
nologas Relacionadas (COBIT), ahora en esta tercera
edicin, ayuda a satisfacer las mltiples necesidades de Con el fin de proporcionar la informacin que la em-
la Administracin estableciendo un puente entre los presa necesita para alcanzar sus objetivos, los recur-
riesgos del negocio, los controles necesarios y los as- sos de TI deben ser administrados por un conjunto
pectos tcnicos. Provee buenas prcticas a travs de un de procesos de TI agrupados en forma natural.
dominio y el marco referencial de los procesos y presen-
El Marco de Referencia contina con un conjunto de 34
ta actividades en una estructura manejable y lgica. Las
Objetivos de Control de alto nivel, uno para cada uno de
Buenas prcticas de COBIT rene el consenso de ex-
los Procesos de TI, agrupados en cuatro dominios: Pla-
pertos - quienes ayudarn a optimizar la inversin de la
neacin y Organizacin, Adquisicin e Implementacin,
informacin y proporcionarn un mecanismo de medi-
Entrega de servicios y Soporte y Monitoreo. Esta es-
cin que permitir juzgar cuando las actividades van por
tructura cubre todos los aspectos de informacin y de
el camino equivocado.
tecnologa que la soporta. Administrando adecuada-
La Administracin debe asegurar que los sistemas de mente estos 34 Objetivos de Control de alto nivel, el
control interno o el marco referencial estn funcionando propietario de procesos de negocio podr asegurar que
y soportan los procesos del negocio y debe tener clari- se proporciona un sistema de control adecuado para el
dad sobre la forma como cada actividad individual de ambiente de tecnologa de informacin.
control satisface los requerimientos de informacin e
El Marco de Referencia de COBIT provee adems una
impacta los recursos de TI. El impacto sobre los recur-
gua o lista de verificacin para el Gobierno de TI. El
sos de TI son resaltados en el Marco de Referencia de
Gobierno de TI proporciona las estructuras que encade-
COBIT junto con los requerimientos del negocio que
nan los procesos de TI, los recursos de TI y la informa-
deben ser alcanzados: eficiencia, efectividad, confiden-
cin con los objetivos y las estrategias de la empresa. El
cialidad, integridad, disponibilidad, cumplimiento y
Gobierno de TI integra de una forma ptima el desem-
confiabilidad de la informacin. El control, que incluye
peo de la Planeacin y Organizacin, la Adquisicin e
polticas, estructuras, prcticas y procedimientos organi-
Implementacin, la Entrega de Servicios y Soporte y el
zacionales, es responsabilidad de la administracin.
Monitoreo. El Gobierno de TI facilita que la empresa
La administracin, mediante este gobierno corporativo, obtenga total ventaja de su informacin y as mismo
debe asegurar que todos los individuos involucrados en maximiza sus beneficios, capitalizando sus oportunida-
la administracin, uso, diseo, desarrollo, mantenimien- des y obteniendo ventaja competitiva
to u operacin de sistemas de informacin acten con la
Adicionalmente, correspondiendo a cada uno de los 34
debida diligencia.
objetivos de control de alto nivel, existe una Gua o di-
Un Objetivo de Control en TI es una definicin del re- rectriz de Auditora o de aseguramiento que permite la
sultado o propsito que se desea alcanzar implementan- revisin de los procesos de TI contra los 318 objetivos
do procedimientos de control especficos dentro de una detallados de control recomendados por COBIT para
actividad de TI. proporcionar a la Gerencia la certeza de su cumplimien-
to y/o sugerencias para su mejoramiento.
La orientacin al negocio es el tema principal de CO-
BIT. Est diseado no solo para ser utilizado por usua-
rios y auditores, sino que, lo ms importante, esta dise-
ado para ser utilizado por los propietarios de los proce-
sos de negocio como una gua clara y entendible. A me-
dida que ascendemos, las prcticas de negocio requieren
de una mayor delegacin y empoderamiento3 de los
dueos de los procesos para que estos tengan total res-
ponsabilidad de todos los aspectos relacionados con di- 3
chos procesos de negocio. En particular, esto incluye el Empoderamiento (empowerment)
proporcionar controles adecuados.
Las Guas o Directrices Gerenciales de COBIT, des- En los prximos aos las Directivas de las Organiza-
arrolladas recientemente, ayudan a la Gerencia a cum- ciones necesitarn demostrar que estn logrando in-
plir de una forma mas efectiva con las necesidades y crementar sus niveles de seguridad y control. COBIT
requerimientos del Gobierno de TI. Las Directrices es una herramienta que ayuda a los Directivos a colo-
son acciones genricas orientadas a proveer a la Ad- car un puente entre los requerimientos de control, los
ministracin la direccin para mantener bajo control la aspectos tcnicos y los riesgos del negocio y adicio-
informacin de la empresa y sus procesos relaciona- nalmente informa a los accionistas o dueos de la em-
dos, para monitorear el logro de las metas organiza- presa el nivel de control alcanzado. COBIT habilita el
cionales, para monitorear el desempeo de cada pro- desarrollo de una poltica clara y de buenas prcticas
ceso de TI y para llevar a cabo un benchmarking de de control de TI a travs de las organizaciones, a nivel
los logros organizacionales. mundial.
Especficamente COBIT provee Modelos de Madurez Por lo tanto, COBIT est diseado para ser la
para el control sobre los procesos de TI de tal forma herramienta de gobierno de TI que ayude al en-
que la Administracin puede ubicarse en el punto don- tendimiento y a la administracin de los riesgos
de la organizacin est hoy, donde est en relacin as como de los beneficios asociados con la infor-
con los mejores de su clase en su industria y con los macin y sus tecnologas relacionadas.
estndares internacionales y as mismo determinar a
donde quiere llegar; Factores Crticos de xito
(Critical Success Factors), que definen o determina
cuales son las mas importantes directrices que deben
ser consideradas por la Administracin para lograr
control sobre y dentro de los procesos de TI. Indica-
dores Claves del logro de Objetivos o de Resulta-
dos (Key Goal Indicators) los cuales definen los me-
canismos de medicin que indicarn a la Gerencia
despus del hecho si un proceso de TI ha satisfecho
los requerimientos del negocio; y los Indicadores
Clave de desempeo (Key Performance Indicators)
los cuales son indicadores primarios que definen la
medida para conocer qu tan bien se est ejecutando el
proceso de TI frente o comparado contra el objetivo
que se busca.
Las Directrices Gerenciales de COBIT son genri-
cas y son acciones orientadas al propsito de res-
ponder los siguientes tipos de preguntas gerencia-
les: Qu tan lejos debemos ir y es el costo justifica-
do para el beneficio obtenido? Cules son los indi-
cadores de buen desempeo? Cules son los facto-
res crticos de xito? Cules son los riesgos de no
lograr nuestros objetivos? Qu hacen otros? Cmo
nos podemos medir y comparar?
COBIT contiene adicionalmente un Conjunto de
Herramientas de Implementacin que proporciona
lecciones aprendidas por empresas que rpida y exito-
samente aplicaron COBIT en sus ambientes de trabajo.
Incluye dos herramientas particularmente tiles - Dia-
gnstico de Sensibilizacin Gerencial (Management
Awareness Diagnostic) y Diagnstico de Control en
TI (IT Control Diagnostic) - para proporcionar asis-
tencia en el anlisis del ambiente de control de TI en
una organizacin.
PROCESOS DE TI DEFINIDOS DENTRO DE LOS CUATRO DO-
MINIOS DE COBIT
GOBIERNO DE TI
OBJEIVOS DE
OBJETIVOS DE NEGOCIO
NEGOCIO
PO1 Definir un Plan Estratgico de
COBIT
Tecnologa de Informacin
PO2 Definir la Arquitectura de Informacin
PO3 Determinar la direccin tecnolgica
PO4 Definir la Organizacin y de las
Relaciones de TI
PO5 Manejar la Inversin en Tecnologa de
Informacin
PO6 Comunicar la direccin y aspiraciones de
la gerencia
PO7 Administrar Recursos Humanos
M1 Monitorear los procesos PO8 Asegurar el Cumplimiento de
M2 Evaluar lo adecuado del control Requerimientos Externos
Interno PO9 Evaluar Riesgos
M3 Obtener aseguramiento PO10 Administrar proyectos
independiente
M4 Proporcionar auditora independiente INFORMACION PO11 Administrar Calidad
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
MONITOREO PLANEACION Y
RECURSOS DE TI ORGANIZACION
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
ADQUISICION E
ENTREGA Y IMPLEMENTACION
SOPORTE
AI1 Identificar Soluciones

DS1 Definir Niveles de Servicio AI2 Adquirir y Mantener Software de
DS2 Administrar Servicios prestados por Terceros Aplicacin
DS3 Administrar Desempeo y Capacidad AI3 Adquirir y Mantener Arquitectura de
DS4 Asegurar Servicio Continuo Tecnologa
DS5 Garantizar la Seguridad de Sistemas AI4 Desarrollar y Mantener Procedimientos
DS6 Identificar y Asignar Costos relacionados con TI
DS7 Educar y Entrenar a los Usuarios AI5 Instalar y Acreditar Sistemas
DS8 Apoyar y Asistir a los Clientes de TI AI6 Administrar Cambios
DS9 Administrar la Configuracin
DS10 Administrar Problemas e Incidentes
DS11 Administrar Datos
DS12 Administrar Instalaciones
DS13 Administrar Operaciones
EL MARCO REFERENCIAL DE COBIT

LA NECESIDAD DE CONTROL EN TEC-
NOLOGIA DE INFORMACION masiado complicada. Incluso, la administracin consul-
ta cada vez ms a los auditores para que la asesoren en
En los ltimos aos , ha sido cada vez ms evidente la forma proactiva en lo referente a asuntos de seguridad y
necesidad de un Marco Referencial para la seguridad y control de TI.
el control de tecnologa de informacin (TI). Las orga-
nizaciones exitosas requieren una apreciacin y un en-
tendimiento bsico de los riesgos y limitaciones de TI a EL AMBIENTE DE NEGOCIOS:
todos los niveles dentro de la empresa con el fin de ob- COMPETENCIA, CAMBIO Y COSTOS
tener un efectiva direccin y controles adecuados. La competencia global es ya un hecho. Las organiza-
LA ADMINISTRACION (MANAGEMENT) debe ciones se reestructuran con el fin de perfeccionar sus
decidir cual es la inversin razonable en seguridad y en operaciones y al mismo tiempo aprovechar los avances
control en TI y cmo lograr un balance entre riesgos e en TI para mejorar su posicin competitiva. La reinge-
inversiones en control en un ambiente de TI frecuente- niera en los negocios, las reestructuraciones o right-
mente impredecible. Mientras la seguridad y los contro- sizing, el outsourcing, el empoderamiento, las organiza-
les en los sistemas de informacin ayudan a administrar ciones horizontales y el procesamiento distribuido son
los riesgos, no los eliminan. Adicionalmente, el exacto cambios que impactan la manera en la que operan tanto
nivel de riesgo nunca puede ser conocido ya que siem- los negocios como las entidades gubernamentales. Es-
pre existe un grado de incertidumbre. tos cambios han tenido y continuarn teniendo, profun-
das implicaciones para la administracin y las estructu-
Finalmente, la Administracin debe decidir el nivel de ras de control operacional dentro de las organizaciones
riesgo que est dispuesta a aceptar. Juzgar cual puede en todo el mundo.
ser el nivel tolerable, particularmente cuando se tiene en
cuenta contra el costo, puede ser una decisin difcil La especial atencin prestada a la obtencin de ventajas
para la Administracin. Por esta razn, la Administra- competitivas y a la eficiencia en costos implica una de-
cin necesita un marco de referencia de las prcticas pendencia creciente en la tecnologa como el compo-
generalmente aceptadas de control y seguridad de TI nente ms importante en la estrategia de la mayora de
para compararlos contra el ambiente de TI existente y las organizaciones. La automatizacin de las funciones
planeado. organizacionales, por su naturaleza, dicta la incorpora-
cin de mecanismos de control ms poderosos en las
Existe una creciente necesidad entre los USUARIOS computadoras y en las redes, tanto para las basadas en
de los servicios de TI, de estar protegidos a travs de la hardware como las basadas en software. Adems, las
acreditacin y la auditora de servicios de TI proporcio- caractersticas estructurales fundamentales de estos con-
nados internamente o por terceras partes, que aseguren troles estn evolucionando al mismo paso que las tecno-
la existencia de controles y seguridades adecuadas. Ac- logas de computacin y las redes.
tualmente, sin embargo, es confusa la implementacin
de buenos controles de TI en sistemas de negocios por Dentro del marco referencial de cambios acelerados, si
parte de entidades comerciales, entidades sin fines de los administradores, los especialistas en sistemas de in-
lucro o entidades gubernamentales. Esta confusin pro- formacin y los auditores desean en realidad ser capaces
viene de los diferentes mtodos de evaluacin, tales code cumplir con sus tareas en forma efectiva , debern
mo ITSEC, TCSEC, evaluaciones ISO9000, nuevas aumentar y mejorar sus habilidades tan rpidamente
evaluaciones de control interno COSO, etc. Como re- como lo demandan la tecnologa y el ambiente. Debe-
sultado, los usuarios necesitan que se establezca una mos comprender la tecnologa de controles involucrada
base general como un primer paso. y su naturaleza cambiante si deseamos emitir y ejercer
juicios razonables y prudentes al evaluar las prcticas de
Frecuentemente, los AUDITORES han tomado el lide- control que se encuentran en los negocios tpicos o en
razgo en estos esfuerzos internacionales de estandariza- las organizaciones gubernamentales.
cin, debido a que ellos enfrentan continuamente la ne-
cesidad de sustentar y apoyar su opinin acerca de los
controles internos frente a la Gerencia. Sin contar con
un marco referencial, sta se convierte en una tarea de-
APARICION DEL GOBIERNO DE LA EM-

PRESA Y DEL GOBIERNO DE TI Gobierno
de la
Para lograr el xito en esta economa de infor- Empresa
macin, el Gobierno de la empresa y el Gobier-
no de TI no pueden ser consideradas separada-
mente y en distintas disciplinas. El gobierno
efectivo de la empresa enfoca el conocimiento y Direcciona y Prepara
la experiencia en forma individual y grupal,
donde puede ser mas productivo, monitoreado y
medido el desempeo as como provisto el ase-
guramiento para aspectos crticos. TI, por mu-
cho tiempo considerada aislada dentro del logro Gobierno de Tecnologia de
de los objetivos de la empresa debe ahora ser Informacion
considerada como una parte integral de la es-
trategia.
Las actividades de la empresa requieren infor-
El Gobierno de TI provee la estructura que une macin de las actividades de TI con el fin de
los procesos de TI, los recursos de TI y las es- satisfacer los objetivos del negocio. Organiza-
trategias y objetivos de la empresa. El Gobierno ciones exitosas aseguran la interdependencia
de TI integra e institucionaliza de una manera entre su plan estratgico y sus actividades de
ptima la planeacin y organizacin, la adquisi- TI. TI debe estar alineado y debe permitir a la
cin e implementacin, la entrega de servicios y empresa tomar ventaja total de su informacin
soporte y el monitoreo del desempeo de TI. El para maximizar sus beneficios, capitalizar
Gobierno de TI es integral para el xito del Go- oportunidades y ganar ventaja competitiva.
bierno de la Empresa asegurando una eficiente
y efectiva medicin para mejorar los procesos
de la empresa. El Gobierno de TI le permite a Actividades de
la empresa tomar ventaja total de su informa- la empresa
cin, al maximizar sus beneficios, capitalizar
sus oportunidades y ganar ventaja competitiva.
Observando en el contexto a la empresa y los
procesos del Gobierno de TI con mayor detalle, Requiere informacion de
el gobierno de la empresa, el sistema por el cual
las entidades son dirigidas y controladas direc-
ciona y analiza el Gobierno de TI. Al mismo
tiempo, TI debera proveer insumos crticos y
Actividades de Tecnologia
constituirse en un componente importante de de Informacion
los planes estratgicos. De hecho TI puede in-
fluenciar las oportunidades estratgicas de la
empresa. Las empresas son gobernadas por buenas (o
mejores) prcticas generalmente aceptadas pa-
ra asegurar que la empresa cumpla sus metas
asegurando que lo anterior est garantizado
por ciertos controles. Desde estos objetivos flu-
ye la direccin de la organizacin, la cual dicta
ciertas actividades a la empresa usando sus
propios recursos. Los resultados de las activida-
des de la empresa son medidos y reportados
proporcionando insumos para el mantenimien-
to y revisin constante de los controles, comen- Tambin TI es gobernado por buenas (o mejo-
zando el ciclo de nuevo. res) prcticas para asegurar que la informa-
cin de la empresa y sus tecnologas relacio-
nadas apoyan sus objetivos del negocio, estos
recursos son utilizados responsablemente y
Gobierno de la Empresa sus riesgos son manejados apropiadamente.
Estas prcticas conforman una base para la
Direcciona
direccin de las actividades de TI las cuales
pueden ser enmarcadas en la Planeacin y
Organizacin, Adquisicin e Implementacin,
Entrega de Servicios y Soporte y Monitoreo
Objetivos CONTROL Actividades de la
Recursos
para los propsitos duales como son el manejo
Empresa
de riesgo (para obtener seguridad, confiabili-
dad y cumplimiento) y la obtencin de benefi-
cios (incrementando la efectividad y eficien-
cia). Los reportes son enfocados sobre los re-
Reportando Usando sultados de las actividades de TI, los cuales
son medidos contra diferentes prcticas y con-
troles y el ciclo comienza otra vez.
Gobierno de TI
DIRIGIR
Objetivos Actividades de TI
TI est alineado con el Planea
negocio, habilita al Hace PO
negocio y maximiza Revisa AI
beneficios. Corrige DS
CONTROL MO
Los recursos de TI
son utilizados Manejo de Riesgo Beneficios
responsablemente.
Seguridad Incrementar Decrementar
Confiabilidad Automatizacin Costos ser
Conformidad- ser efectivo eficiente
Los riesgos
cumplimiento
relacionados a TI son
manejados
apropiadamente.
REPORTAR
Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y administrar las actividades de TI para alcanzar un ba-
lance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades
mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se
estn desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organizacin contra las
mejores practicas industriales y los modelos internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices Ge-
renciales de COBIT en las cuales se han identificado Factores Crticos de Exito especficos, Indicadores Claves por Objetivo e Indi-
cadores Clave de Desempeo y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apdice I.
RESPUESTA A LAS NECESIDADES de Control originales de la Information Systems Audit

and Control Foundation como una herramienta usada
En vista de estos continuos cambios, el desarrollo de
por el Auditor y la Administracin. Adicionalmente, el
este Marco Referencial de objetivos de control para TI, desarrollo de las Directrices Gerenciales de TI ha lleva-
conjuntamente con una investigacin continua aplicada do al COBIT al siguiente nivel proporcionando a la Ad-
a controles de TI basada en este marco referencial, ministracin Indicadores Clave de Logros (KGIs Key
constituyen el fundamento para el progreso efectivo en Goal Indicators), Indicadores Claves de Desempeo
el campo de los controles de sistemas de informacin. (KPIs Key Performance Indicators), Factores Crticos
Por otro lado, hemos sido testigos del desarrollo y pu- de xito (CSFsCritical Success Factors) y un Modelo
blicacin de modelos de control generales de negocios de Madurez con el cual puede analizar el ambiente de
como COSO [Committee of Sponsoring Organisations TI y considerar opciones para la implementacin y me-
of the Treadway Commisssion Internal Control- joramiento de los controles sobre la informacin de la
Integrated Framework, 1992] en los EUA, Cadbury en organizacin y sus tecnologas relacionadas.
el Reino Unido, CoCo en Canad y King en Sudfrica. Por lo tanto, el objetivo principal del proyecto COBIT es
Por otro lado, existe un nmero importante de modelos el desarrollo de polticas claras y buenas prcticas para
de control ms enfocados al nivel de tecnologa de in- la seguridad y el control de Tecnologa de Informacin,
formacin. Algunos buenos ejemplos de esta ltima con el fin de obtener la aprobacin y el apoyo de las
categora son el Security Code of Conduct del DTI entidades comerciales, gubernamentales y profesionales
(Departamento de Industria y Comercio, Reino Unido) en todo el mundo. La meta del proyecto es desarrollar
y el Security Handbook de NIST (National Institute of estos objetivos de control principalmente a partir de la
Standards and Technology, EUA). Sin embargo, estos perspectiva de los objetivos y necesidades de la empre-
modelos de control con orientacin especfica no pro- sa. (Esto concuerda con la perspectiva COSO, que
porcionan un modelo de control completo y utilizable constituye el primer y mejor marco referencial para la
sobre tecnologa de informacin como soporte para los administracin en cuanto a controles internos.) Poste-
procesos del negocio. El propsito de COBIT es cubrir riormente, los objetivos de control fueron desarrollados
este vaco proporcionando una base que est estrecha- a partir de la perspectiva de los objetivos de auditora
mente ligada a los objetivos de negocio, al mismo tiem- (certificacin de informacin financiera, certificacin de
po que se enfoca a la tecnologa de informacin. medidas de control interno, eficiencia y efectividad,
(El documento que ms se acerca al COBIT es una pu- etc.)
blicacin reciente de AICPA/CICA Systrust TM Princi-
pios y Criterios para la Confiabilidad de los Sistemas.
AUDIENCIA: ADMINISTRACION, USUA-
SysTrust es una autoridad que realiza publicaciones pa-
ra el Comit Ejecutivo de Servicios de Aseguramiento RIOS Y AUDITORES
de los Estados Unidos y para el Comit de Desarrollo de COBIT est diseado para ser utilizado por tres audien-
Servicios de Calidad de Canad, basado en parte en los cias distintas:
Objetivos de Control de COBIT. SysTrust est diseado
para incrementar el confort de la Administracin, los ADMINISTRACION/ GERENCIA (Management):
clientes y los socios de negocios con los sistemas que Para ayudarlos a lograr un balance entre los riesgos y las
soportan un negocio o una actividad en particular. Los inversiones en control en un ambiente de tecnologa de
servicios de SysTrust incluyen al contador pblico pro- informacin frecuentemente impredecible.
porcionndole un servicio de aseguramiento en el cual
l o ella evala y prueba si el sistema es confiable cuan- USUARIOS:
do lo mide contra cuatro principios esenciales: Disponi- Para obtener una garanta en cuanto a la seguridad y
bilidad, seguridad, integridad y mantenimiento. controles de los servicios de tecnologa de informacin
Un enfoque hacia los requerimientos del negocio en proporcionados internamente o por terceras partes.
cuanto a controles para tecnologa de informacin y la AUDITORES:
aplicacin de modelos de control emergentes y estnda-
res internacionales relacionados incluyen los Objetivos Para soportar su opinin y/o proporcionar consejos a la
Administracin sobre los controles internos.
ORIENTACIN A OBJETIVOS DE NEGOCIO

Control Las polticas, procedimientos, prcti-
El CobiT est alineado con los Objetivos del Negocio. Control se
se
define
define como
como cas y estructuras organizacionales
Los Objetivos de Control muestran una relacin clara y
diseadas para garantizar razonable-
distintiva con los objetivos del negocio con el fin de
mente que los objetivos del negocio
apoyar su uso en forma significativa fuera de las fronte-
sern alcanzados y que eventos no
ras de la comunidad de auditora. Los Objetivos de
deseables sern prevenidos o detec-
Control estn definidos con una orientacin a los proce-
tados y corregidos
sos, siguiendo el principio de reingeniera de negocios.
En dominios y procesos identificados, se identifica tam-
Una sentencia del resultado o prop-
bin un objetivo de control de alto nivel para documen- Objetivo
Objetivode
de sito que se desea alcanzar imple-
tar el enlace con los objetivos del negocio. Adicional- control
control en
enTI
TI mentando procedimientos de control
mente, se establecen consideraciones y guas para defi- se
sedefine
define en una actividad de TI particular.
nir e implementar el Objetivo de Control de TI. como
como
La clasificacin de los dominios a los que se aplican los
objetivos de control de alto nivel (dominios y procesos);
una indicacin de los requerimientos de negocio para la Una estructura de relaciones y pro-
informacin en ese dominio, as como los recursos de Gobierno de TI cesos para dirigir y controlar la em-
TI que reciben un impacto primario por parte del objeti- se define como presa con el fin de lograr sus objeti-
vo del control, forman conjuntamente el Marco de Refe- vos al aadir valor mientras se
rencia de COBIT. El Marco de Referencia toma como equilibran los riesgos contra el re-
base las actividades de investigacin que han identifica- torno sobre TI y sus procesos.
do 34 objetivos de alto nivel y 318 objetivos de control
detallados. El Marco de Referencia fue presentado a la
industria de TI y a los profesionales dedicados a la audi-
tora para abrir la posibilidad a revisiones, cambios y
comentarios. Las ideas obtenidas fueron incorporadas
en forma apropiada.
DEFINICIONES GENERALES
Para propsitos de este proyecto, se proporcionan las
siguientes definiciones. La definicin de Control est
adaptada del reporte COSO [Committee of Sponsoring
Organisations of the Treadway Commission. Internal
Control-Integrated Framework, 1992 y la definicin
para Objetivo de Control de TI ha sido adaptada del
reporte SAC (Systems Auditability and Control Report,
The Institute of Internal Auditors Research Foundation,
1991 y 1994).
LOS PRINCIPIOS DEL MARCO DE REFERENCIA
Existen dos clases distintas de modelos de control ac- Requerimientos Efectividad y eficiencia de las
tualmente disponibles, aqullos de la clase del Fiduciarios operaciones
modelo de control de negocios (por ejemplo COSO) (COSO)
Confiabilidad de la informacin
y los modelos ms enfocados a TI (por ejemplo, Cumplimiento de las leyes y
DTI). COBIT intenta cubrir la brecha que existe entre regulaciones
los dos. Debido a esto, COBIT se posiciona como una
herramienta ms completa para la Administracin y Confidencialidad
para operar a un nivel superior a los estndares de tec- Requerimientos Integridad
de Seguridad
nologa para la administracin de sistemas de informa- Disponibilidad
cin.. Por lo tanto, COBIT es el modelo para el go-
bierno de TI! La Calidad ha sido considerada principalmente por su
aspecto negativo (ausencia de fallas, confiabilidad,
El concepto fundamental del Marco Referencial de etc.), lo cual tambin se encuentra contenido en gran
COBIT se refiere a que el enfoque del control en TI se medida en los criterios de Integridad. Los aspectos
lleva a cabo visualizando la informacin necesaria pa- positivos, pero menos tangibles, de la calidad (estilo,
ra dar soporte a los procesos de negocio y consideran- atractivo, ver y sentir, desempeo ms all de las
do a la informacin como el resultado de la aplicacin expectativas, etc.) no fueron, por un tiempo, considera-
combinada de recursos relacionados con la Tecnologa dos desde un punto de vista de Objetivos de Control de
de Informacin que deben ser administrados por pro- TI. La premisa se refiere a que la primera prioridad
cesos de TI. deber estar dirigida al manejo apropiado de los ries-
gos al compararlos contra las oportunidades. El aspec-
to utilizable de la Calidad est cubierto por los crite-
Requerimientos rios de efectividad. Se consider que el aspecto de en-
de Negocio trega o distribucin del servicio, de la Calidad se tras-
lapa con el aspecto de disponibilidad correspondiente a
los requerimientos de seguridad y tambin en alguna
medida, con la efectividad y la eficiencia. Finalmente,
el Costo tambin es considerado, siendo cubierto por
la Eficiencia.
Procesos de TI Para los requerimientos fiduciarios, COBIT no intent
reinventar la rueda se utilizaron las definiciones de
Recursos de TI COSO para la efectividad y eficiencia de las operacio-
nes, confiabilidad de informacin y cumplimiento con
leyes y regulaciones. Sin embargo, confiabilidad de in-
formacin fue ampliada para incluir toda la informa-
Para satisfacer los objetivos del negocio, la informacin no slo informacin financiera.
cin necesita concordar con ciertos criterios a los que
COBIT hace referencia como requerimientos de nego- Con respecto a los aspectos de seguridad, COBIT iden-
cio para la informacin. Al establecer la lista de re- tific la confidencialidad, integridad y disponibilidad
querimientos, COBIT combina los principios conteni- como los elementos clave se encontr que estos mis-
dos en los modelos referenciales existentes y conoci- mos tres elementos son utilizados a nivel mundial para
dos: describir los requerimientos de seguridad.
Calidad
Requerimientos de Costo Comenzando el anlisis a partir de los requerimientos
Calidad Entrega o Distribucin (de servicio)
de Calidad, Fiduciarios y de Seguridad ms amplios, se Se refiere a la provisin de infor-

extrajeron siete categoras distintas, ciertamente super- Confiabilidad macin apropiada para la adminis-
puestas. A continuacin se muestran las definiciones de la tracin con el fin de operar la enti-
utilizadas por COBIT: Informacin dad y para ejercer sus responsabili-
dades de reportes financieros y de
Efectividad
Se refiere a que la informacin rele- cumplimiento.
vante sea pertinente para el proceso
del negocio, as como a que su en- Los recursos de TI identificados en COBIT pueden ex-
trega sea oportuna, correcta, consis- plicarse/definirse como se muestra a continuacin:
tente y de manera utilizable.
Son objetos en su ms amplio senti-
Datos
Eficiencia Se refiere a la provisin de informa- do, (por ejemplo, externos e inter-
cin a travs de la utilizacin pti- nos), estructurados y no estructura-
ma (ms productiva y econmica) dos, grficos, sonido, etc.
de recursos.
Se entiende como sistemas de apli-
Confidencialidad
Se refiere a la proteccin de infor- Sistemas de cacin la suma de procedimientos
macin sensible contra divulgacin Aplicaciones manuales y programados.
no autorizada.
La tecnologa cubre hardware, siste-
Tecnologa
Integridad
Se refiere a la precisin y suficien- mas operativos, sistemas de admi-
cia de la informacin, as como a su nistracin de bases de datos, redes,
validez de acuerdo con los valores y multimedia, etc.
expectativas del negocio.
Recursos para alojar y dar soporte a
Instalaciones
Se refiere a la disponibilidad de la los sistemas de informacin.
Disponibilidad informacin cuando sta es requeri-
da por el proceso de negocio ahora Habilidades del personal, conoci-
y en el futuro. Tambin se refiere a Personal miento, sensibilizacin y productivi-
la salvaguarda de los recursos nece- dad para planear, organizar, adquirir,
sarios y capacidades asociadas. entregar, soportar y monitorear ser-
vicios y sistemas de informacin.
Se refiere al cumplimiento de aque-
Cumplimiento llas leyes, regulaciones y acuerdos Otra forma de ver la relacin de los recursos de TI con
contractuales a los que el proceso respecto a la entrega de servicios se describe a continua-
de negocios est sujeto, por ejem- cin:
plo, criterios de negocio impuestos
externamente.
D
D aa ttoo ss
E v e n to s SS iissttee m
m aa ss dd ee A
A pp lliicc aa cc ii nn In f o r m a c i n
O b je t iv o s d e n e g o c io T
TEEC
CNNO
OLL O G II A
A E fe c t iv id a d
m e n s a je s e rv ic io
O p o r tu n id a d e s d e n e g o c io E fic ie n c ia
e n tra d a s a lid a
R e q u e r im ie n to s e x te r n o s C o n fid e n c ia lid a d
R e g u la c io n e s II N SS T
TAAL
LAAC
C II O N E
E SS I n t e g r id a d
R ie s g o s D is p o n ib ilid a d
C u m p lim ie n t o
G
GEEN
NT E C o n fia b ilid a d
El dinero o capital no se tuvo en cuenta como un recurso sin.

para la clasificacin de objetivos de control para TI debi-
do a que puede considerarse como la inversin en cual- Con el fin de asegurar que los requerimientos de nego-
quiera de los recursos mencionados anteriormente. Es cio para la informacin son satisfechos, deben definirse,
importante hacer notar tambin que el Marco Referen- implementarse y monitorearse medidas de con-
cial no menciona, en forma especfica para todos los trol adecuadas para estos recursos.
casos, la documentacin de todos los aspectos
materiales importantes relacionados con un proceso Cmo pueden entonces las empresas estar satisfechas
de TI particular. Como parte de las buenas prcticas, la respecto a que la informacin obtenida presente las ca-
documentacin es considerada esencial para un buen ractersticas que necesitan? Es aqu donde se requiere de
control y, por lo tanto, la falta de documentacin podra un sano marco referencial de Objetivos de Control para
ser la causa de revisiones y anlisis futuros de controles TI. El diagrama mostrado a continuacin ilustra este
de compensacin en cualquier rea especfica en revi- concepto.
Qu obtiene? Qu necesita?
PROCESOS
DE NEGOCIO
Criterios
efectividad
INFORMACION eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
?
RECURSOS DE TI
datos
sistemas de aplicacin
tecnologa
instalaciones
gente Concuerdan ?
El Marco de Referencia de COBIT consta de Objetivos Criterios de informacin

de Control de TI de alto nivel y de una estructura gene-
ral para su clasificacin y presentacin. La teora subya-
cente para la clasificacin seleccionada se refiere a que
ad i os a d
existen, en esencia, tres niveles de actividades de TI al lid ci ar rid
Ca d u gu
considerar la administracin de sus recursos. Comen- Fi Se
Instalaciones
Sistemas de Aplicacin
Datos
zando por la base, encontramos las actividades y tareas
Tecnologa
necesarias para alcanzar un resultado medible. Las Dominios
actividades cuentan con un concepto de ciclo de vida,
Procesos de TI
mientras que las tareas son consideradas ms discretas.
Gente
Procesos
Los procesos se definen entonces en un nivel superior
como una serie de actividades o tareas conjuntas con
cortes naturales (de control). En el nivel ms alto,
Actividades
los procesos son agrupados de manera natural en do- TI
minios. Su agrupamiento natural es denominado fre- de
cuentemente como dominios de responsabilidad en una os
u rs
estructura organizacional, y est en lnea con el ciclo c
Re
administrativo o ciclo de vida aplicable a los procesos
de TI.
Con lo anterior como marco de referencia, los dominios
son identificados utilizando las palabras que la gerencia
Dominios utilizara en las actividades cotidianas de la organiza-
cin y no la jerga4 o terminologa del auditor -. Por
lo tanto, cuatro grandes dominios son identificados: pla-
neacin y organizacin, adquisicin e implementacin;
entrega y soporte y monitoreo.
Procesos Las definiciones para los dominios mencionados son

las siguientes:
Este dominio cubre las estrategias y

Planeacin y las tcticas y se refiere a la identifi-
organizacin cacin de la forma en que la tecno-
Actividades
loga de informacin puede contri-
buir de la mejor manera al logro de
los objetivos del negocio. Adems,
la consecucin de la visin estrat-
gica necesita ser planeada, comuni-
cada y administrada desde diferen-
tes perspectivas. Finalmente, debe-
Por lo tanto, el Marco de Referencia conceptual puede r establecerse una organizacin y
ser enfocado desde tres puntos estratgicos: (1) Crite- una infraestructura tecnolgica
rios de informacin, (2) recursos de TI y (3) procesos apropiadas.
de TI. Estos tres puntos estratgicos son descritos en el
Cubo COBIT que se muestra a continuacin: Para llevar a cabo la estrategia de
Adquisicin e TI, las soluciones de TI deben ser
implementacin identificadas, desarrolladas o adqui-
ridas, as como implementadas e
4 Jerga (jargon)
integradas dentro del proceso del Confidencialidad.

negocio. Adems, este dominio cu-
bre los cambios y el mantenimiento Es claro que todas las medidas de control no necesa-
realizados a sistemas existentes, riamente satisfarn los diferentes requerimientos del
para asegurar que el ciclo de vida es negocio para la informacin en el mismo grado.
contnuo para esos sistemas
Primario es el grado en el cual se definen
En este dominio se hace referencia objetivos de control que impactan
Entrega
Entrega yy a la entrega o distribucin de los directamente los criterios de infor-
soporte
soporte
servicios requeridos, que abarca macin considerados
desde las operaciones tradiciona- z Secundario es el grado en el cual se definen
les hasta el entrenamiento, pasando objetivos de control que solo
por la seguridad en los sistemas y la satisfacen una extensin pequea o
continuidad de las operaciones as satisfacen indirectamente al
como aspectos sobre entrenamien- criterio de informacin considera-
to. Con el fin de proveer servicios, do.
debern establecerse los procesos z En blanco podra ser aplicable. Sin embargo
de soporte necesarios. Este dominio los requerimientos son satisfechos
incluye el procesamiento de los da- de una forma mas apropiada por
tos el cual es ejecutado por los sis- otro criterio en este proceso y/o en
temas de aplicacin, frecuentemen- otro proceso.
te clasificados como controles de
aplicacin. En forma similar, todas las medidas de control no
necesariamente impactarn a los diferentes recursos
Todos los procesos necesitan ser eva- de TI en el mismo grado. Por consiguiente, el Marco
Monitoreo luados regularmente a travs del tiem- de Referencia de COBIT indica especficamente la
po para verificar su calidad y suficien- aplicabilidad de los recursos de TI que son especfi-
cia en cuanto a los requerimientos de camente administrados por el proceso bajo conside-
control. Este dominio tambin ad- racin (no solamente los que toman parte en el pro-
vierte a la Administracin sobre la ceso) . Esta clasificacin se realiza con el Marco de
necesidad de asegurar procesos de Referencia de COBIT, basado sobre un riguroso pro-
control independientes, los cuales ceso de recoleccin de ideas proporcionadas por
son provistos por auditoras inter- investigadores, expertos y revisores, usando estrictas
nas y externas u obtenidas de fuen- definiciones previamente indicadas.
tes alternativas.
En resumen, con el fin de proveer la informacin que
Es importante tener en cuenta que estos procesos de TI la organizacin necesita para lograr sus objetivos, el
pueden ser aplicados en diferentes niveles de la orga- Gobierno de TI debe ser entrenado por la organiza-
nizacin. Por ejemplo, algunos de los procesos sern cin para asegurar que los recursos de TI sern admi-
aplicados al nivel de la empresa, otros al nivel de la nistrados por una coleccin de procesos de TI agru-
funcin de TI, otros al nivel del propietario de los pro- pados naturalmente. El siguiente diagrama ilustra
cesos del negocio, etc. este concepto.
Debe notarse adems, que el criterio de efectividad en

los procesos que planean o distribuyen soluciones para
los requerimientos del negocio cubrir algunas veces
los criterios de disponibilidad, integridad y confiden-
cialidad en la prctica, stos se han convertido en
requerimientos del negocio. Por ejemplo, el proceso de
identificar soluciones tiene que ser efectivo en pro-
veer requerimientos de disponibilidad, integridad y
PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS

OBJETIVOS DEL NEGOCIO
OBJEIVOS DEDENEGOCIO
GOBIERNO TI
PO1 Definir un Plan Estratgico de
COBIT
PO2 Definir la Arquitectura de Informacin
PO3 Determinar la direccin tecnolgica
PO4 Definir la Organizacin y de las
Relaciones de TI
PO5 Manejar la Inversin en Tecnologa de
Informacin
PO6 Comunicar la direccin y aspiraciones de
la gerencia
PO7 Administrar Recursos Humanos
M1 Monitorear los procesos PO8 Asegurar el Cumplimiento de
M2 Evaluar lo adecuado del control Requerimientos Externos
Interno PO9 Evaluar Riesgos
M3 Obtener aseguramiento PO10 Administrar proyectos
independiente
M4 Proporcionar auditora independiente INFORMACION PO11 Administrar Calidad
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
MONITOREO PLANEACION Y
RECURSOS DE TI ORGANIZACION
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
ADQUISICION E
ENTREGA Y IMPLEMENTACION
SOPORTE
AI1 Identificar Soluciones

DS1 Definir Niveles de Servicio AI2 Adquirir y Mantener Software de
DS2 Administrar Servicios prestados por Terceros Aplicacin
DS3 Administrar Desempeo y Capacidad AI3 Adquirir y Mantener Arquitectura de
DS4 Asegurar Servicio Continuo Tecnologa
DS5 Garantizar la Seguridad de Sistemas AI4 Desarrollar y Mantener Procedimientos
DS6 Identificar y Asignar Costos relacionados con TI
DS7 Educar y Entrenar a los Usuarios AI5 Instalar y Acreditar Sistemas
DS8 Apoyar y Asistir a los Clientes de TI AI6 Administrar Cambios
DS9 Administrar la Configuracin
DS10 Administrar Problemas e Incidentes
DS11 Administrar Datos
DS12 Administrar Instalaciones
DS13 Administrar Operaciones
HISTORIA Y ANTECEDENTES DE COBIT
La tercera edicin de COBIT es la mas reciente versin de rope, OECD, ISACA, etc.;
los Objetivos de Control para la informacin y sus tecnolo- Criterios de Calificacin para sistemas y procesos de
gas relacionadas, que fue liberado primero por la Informa- TI: ITSEC, ISO9000, SPICE, TickIT, Common Crite-
tion Systems Audit and Control Foundation (ISACF) en ria, etc.;
1996. La 2da edicin que refleja un incremento en el n- Estndares Profesionales para control interno y audi-
mero de documentos fuente, una revisin en el alto nivel y tora: reporte COSO, IFAC, IIA, ISACA, GAO, PCIE,
objetivos de control detallados y la adicin del Conjunto de CICA, AICPA, etc.;
herramientas de Implementacin fue publicado en 1998. Prcticas y requerimientos de la Industria de foros
La 3a edicin marca el ingreso de un nuevo editor para industriales (ESF, 14) y plataformas patrocinadas por el
COBIT: El Instituto de Gobierno5 de TI (IT Governance gobierno (IBAG, NIST, DTI); y
Institute). Nuevos requerimientos especficos de la industria de
la banca, Comercio Electrnico y manufactura de TI.
El Instituto de Gobierno de TI fue formado por la Informa- (Ver Apndice II, Descripcin del Proyecto COBIT;
tion Systems Audit and Control Association (ISACA) y su Apndice III Material de Referencia Primaria de
Fundacin asociada en 1998 para avanzar en el entendi- COBIT y Apndice IV, Glosario de Trminos )
miento y la adopcin de principios de gobierno de TI. Con
la adicin de las Directrices Gerenciales en la 3a edicin de
COBIT y su expansin y mayor cubrimiento sobre el Go-
bierno de TI, el Instituto de Gobierno de TI adquiri un rol
de liderazgo en el desarrollo de la publicacin.
COBIT se bas originalmente en los Objetivos de Control

de la ISACF y ha sido mejorado con las actuales y emer-
gentes estndares internacionales a nivel tcnico, profesio-
nal, regulatorio y especficos de la industria. Los Objetivos
de Control resultantes han sido desarrollados para su apli-
cacin en sistemas de informacin de toda la empresa.
El trmino generalmente aplicables y aceptados es
utilizado explcitamente en el mismo sentido que los Prin-
cipios de Contabilidad Generalmente Aceptados (PCGA o
GAAP por sus siglas en ingls).
Este estndar es relativamente pequeo en tamao, con el

fin de ser prctico y responder, en la medida de lo posible,
a las necesidades del negocio, manteniendo al mismo tiem-
po una independencia con respecto a las plataformas tcni-
cas de TI adoptadas en una organizacin.
Sin excluir ningn otro estndar aceptado en el campo del

control de sistemas de informacin que pudiera emitirse
durante la investigacin, las fuentes han sido identificadas
inicialmente como:
___________
Estndares Tcnicos de ISO, EDIFACT, etc.
5
Gobierno (governance): sistema que establece la alta ge-
Cdigos de Conducta emitidos por el Council of Eu- rencia para asegurar el logro de los objetivos de una Orga-
nizacin.
HISTORIA Y ANTECEDENTES DE COBIT
EVOLUCIN DEL PRODUCTO COBIT La investigacin y las publicaciones han sido posibles gra-
cias al fundamental apoyo de PricewaterhouseCoopers y
COBIT evolucionar a travs de los aos y ser el funda- las donaciones de los captulos de ISACA y de miembros
mento de investigaciones futuras. Por lo tanto, se generar de todo el mundo. La European Security Forum (ESF)
una familia de productos COBIT y al ocurrir esto, las tareas amablemente llev a cabo la recoleccin de material dispo-
y actividades que sirven como estructura para organizar los nible para el proyecto. La Gartner Group adems particip
Objetivos de Control de TI, sern refinadas posteriormente. en el desarrollo y realiz la revisin de aseguramiento de
Tambin ser revisado el balance entre los dominios y los calidad de las Directrices Gerenciales.
procesos a la luz de los cambios en la industria.
PRODUCTOS DE LA FAMILIA COBIT
Familia de Productos COBIT

RESUMEN EJECUTIVO
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACIN
Resumen Ejecutivo
Casos de Estudio
MARCO REFERENCIAL FAQs
objetivos de control de alto nivel Presentaciones en PowerPoint
Guas de Implementacin
Diagnstico de la conciencia de la Administracin
Diagnostico de Control de TI
DIRECTRICES GERENCIALES OBJETIVOS DE CONTROL DETALLA- DIRECTRICES DE AUDITORIA

DOS
Factores Crticos de xito Indicadores Clave de Desempeo

Indicadores Clave por Objetivos
Modelo de Madurez
TABLA RESUMEN
La siguiente tabla proporciona una indicacin, por proceso y dominio de TI, de cules criterios de
informacin son impactados por los objetivos de alto nivel, as como una indicacin de cules re-
cursos de TI son aplicables.
Criterios de Informacin Recursos de TI
n
in
aci
mac
dadaaltaaclaaia foprlic
st s g g ina s
in in oloolo dedeano
cu on d ad
ses
sp a id
nf ie d
cncn asasum
bi to
s s nen
reec dad
co plim lida
di grid cial
toto iocio
ia n
co ienc d
ee h
stst ss
ic da
n ia
m ibi
li
te n
sisi rsrsoo
tete mm
in fide
ef tivi
cuu
ec
ef
r
DOMINIO PROCESO
Planeacin y PO1 Definir un plan estratgico de sistemas P S ; ; ; ; ;

Organizacin PO2 Definir la arquitectura de informacin P S S S ; ;
PO3 Determinar la direccin tecnolgica P S ; ;
PO4 Definir la organizacin y sus relaciones P S ;
PO5 Administrar las inversiones (en TI) P P S ; ; ; ;
PO6 Comunicar la direccin
Comunicar los objetivos y yaspiraciones
objetivos de la gerencia
de la gerencia P S ;
PO7 Administrar los recursos humanos P P ;
PO8 Asegurar
Asegurar el apego a de
el cumplimiento disposiciones externas
requerimientos externos P P S ; ; ;
PO9 Evaluar riesgos S S P P P S S ; ; ; ; ;
P010 Administrar proyectos P P ; ; ; ;
PO11 Administrar calidad P P P S ; ;
Adquisicin e AI1 Identificar soluciones de automatizacin P S ; ; ;

Implementacin AI2 Adquirir y mantener software de aplicacin P P S S S ;
AI3 Adquirir y mantener la arquitectura tecnolgica P P S ;
AI4 Desarrollar y mantener procedimientos P P S S S ; ; ; ;
AI5 Instalar y acreditar sistemas de informacin P S S ; ; ; ; ;
AI6 Administrar cambios P P P P S ; ; ; ; ;
Entrega de servicios y DS1 Definir niveles de servicio P P S S S S S ; ; ; ; ;

Soporte DS2 Administrar servicios de terceros P P S S S S S ; ; ; ; ;
DS3 Administrar desempeo y capacidad P P S ; ; ;
DS4 Asegurar continuidad de servicio P S P ; ; ; ; ;
DS5 Garantizar la seguridad de sistemas P P S S S ; ; ; ; ;
DS6 Identificar y asignar costos P P ; ; ; ; ;
DS7 Educar y capacitar a usuarios P S ;
DS8 Apoyar y orientar a clientes P ; ;
DS9 Administrar la configuracin P S S ; ; ;
DS10 Administrar problemas e incidentes P P S ; ; ; ; ;
DS11 Administrar la informacin P P ;
DS12 Administrar las instalaciones P P ;
DS13 Administrar la operacin P P S S ; ; ; ; ;
Monitoreo M1 Monitorear el proceso P S S S S S S ; ; ; ; ;

M2 Evaluar lo adecuado del control interno P P S S S S S ; ; ; ; ;
M3 Obtener aseguramiento independiente P P S S S S S ; ; ; ; ;
M4 Proporcionar auditora independiente P P S S S S S ; ; ; ; ;
(P) Primario () Aplicable a

(S) Secundario
PRINCIPIOS DE LOS OBJETIVOS DE CONTROL
COBIT, tal como aparece en esta ltima versin de los Mientras que el Marco de Referencia de COBIT enfo-
Objetivos de Control refleja los compromisos de ISA- ca controles a alto nivel para cada proceso, los Obje-
CA para engrandecer y mantener el cuerpo comn del tivos de Control se enfocan sobre objetivos de control
conocimiento requerido para soportar la profesin de detallados y especficos asociados a cada proceso de
auditora y control de los sistemas de informacin TI. Por cada uno de los 34 procesos de TI del marco
referencial, hay desde tres hasta 30 objetivos de con-
El Marco de Referencia de COBIT ha sido limitado a trol detallados, para un total de 318.
objetivos de control de alto nivel en forma de necesi-
dades de negocio dentro de un proceso de TI particu- Los Objetivos de Control se alinean para cubrir todo el
lar, cuyo logro es posible a travs del establecimiento Marco referencial con objetivos de control detallados
de controles, para el cual deben considerarse controles con base en 41 fuentes primarias que comprenden es-
potenciales aplicables. tndares y regulaciones internacionales de TI, de facto
y de jure. Contiene sentencias de los resultados desea-
dos o propsitos a ser alcanzados mediante la imple-
El control de mentacin de procedimientos de control especficos en
una actividad de TI, de esta manera provee polticas
claras y buenas prcticas para los controles de TI a
Proceso de TI Que satisface travs de la industria, alrededor del mundo.
Requerimiento de Los Objetivos de Control estn dirigidos a la Adminis-

Es habilitado por
Negocio tracin y al staff de TI, a las funciones de control y
auditora y lo mas importante, a los propietarios de
Declaracin de los procesos del negocio. Los Objetivos de Control
Considerando
Control proporcionan un trabajo, que es un documento de es-
critorio para esos individuos. Se identifican definicio-
Prcticas de nes precisas y claras para un mnimo conjunto de con-
Control troles con el fin de asegurar la efectividad, eficiencia y
economa de la utilizacin de los recursos. Objetivos
de control detallados son identificados para cada pro-
ceso, como los controles mnimos necesarios . Esos
Los Objetivos de Control de TI han sido organizados controles sern analizados por los profesionales de
por proceso/actividad y tambin se han proporciona- control para verificar su suficiencia.
dos ayudas de navegacin no solamente para facilitar
la entrada a partir de cualquier punto de vista estratgi- Los Objetivos de Control permiten el traslado de los
co como se explic anteriormente, sino tambin para conceptos presentados en el Marco de Referencia
facilitar enfoques combinados o globales, tales como hacia controles especficos aplicables a cada proceso
instalacin/implementacin de un proceso, responsabi- de TI.
lidades gerenciales globales para un proceso y utiliza-
cin de recursos de TI por un proceso.
Tambin deber tomarse en cuenta que los Objetivos

de Control de COBIT han sido definidos de una manera
genrica, por ejemplo, sin depender de la plataforma
tcnica, aceptando el hecho de que algunos ambientes
de tecnologa especiales pueden requerir una cobertura
separada para objetivos de control.
AYUDAS DE NAVEGACIN
di grid dad
co lim d
bi t o
ad
a
ici ad
on ad
en i a
nf i en
m lid
li
lid
in cia
nf enc
id
cu ibi
tiv
ia
ec
p
te
La seccin de los Objetivos de Control contienen objeti-
id
sp
ef
ef
co
vos de control detallados para cada uno de los 34 proce-
S P
sos de TI. A la izquierda de cada pgina, se presenta el
objetivo de control de alto nivel. El indicador del domi- Planeacin &
nio (PO para Planeacin y Organizacin, AI para Organizacin
Adquisicin e Implementacin, DS para Entrega de

Criterios de
Servicios y Soporte y M para Monitoreo se presentan a Informacin
Adquisicin &
la izquierda y arriba de cada pgina. El criterio de infor- Implementacin
macin aplicable y el recurso de TI utilizado son mostra-
dos en matrices pequeas como se describe a continua- Dominios TI Entrega &
cin. Iniciando en la derecha de la pgina estn las des- De TI Recursos Soporte
cripciones de los objetivos de control detallados para ca-

da proceso de TI. Monitoreo
Para facilitar el empleo eficiente de los objetivos de con-

Tres puntos de posicin
trol como soporte a los diferentes puntos de vista, se pro- 3 3
porcionan algunas ayudas de navegacin como parte de
da nes
in olo s
al g a
e
la presentacin de los objetivos de control de alto nivel.
t e i on
io
lic e
s
to
nt
ac
ac
Se proporciona una ayuda de navegacin para cada una
ge
cn
st
ap
de las tres dimensiones del Marco de Referencia de CO-
BIT - procesos, recursos de TI y criterios de informacin -
Planeacin &
Los dominios son identificados por este cono en la ES- Organizacin
QUINA SUPERIOR DERECHA de cada pgina, en la

seccin de Objetivos de Control, agrandando y haciendo Adquisicin &
ms visible el dominio bajo revisin. Implementacin
Entrega &
Soporte
Monitoreo
La clave para el criterio de informacin se presentar en

la ESQUINA SUPERIOR IZQUIERDA, en la seccin de
di grid dad
co im d
bi t o
ad
a
co icie d
Objetivos de Control mediante la siguiente mini ma-

d
id ncia
nf i en
m lid
li
ef ida
lid
a
in cia
cu nibi
tiv
triz, la cual identificar cul criterio y en qu grado

en
ia
pl
ec
te
o
sp
ef
nf
(primario o secundario) es aplicable a cada Objetivo de

Control de TI de alto nivel. S P
Una segunda mini matriz en la ESQUINA INFERIOR DE-

RECHA de la seccin de Objetivos de Control identifica los 3 3
recursos de TI que son administrados en forma especfica por
da nes
in olo s
al g a
e
el proceso bajo consideracin - no solo aquellos que simple-

te ion
io
e
s
to
nt
ac
ac
mente toman parte en el proceso -. Por ejemplo, el proceso

ge
cn
lic
st
ap
administracin de datos se concentra particularmente en la

integridad y confiabilidad de los recursos de datos.
RELACIONES DE OBJETIVOS DE CONTROL

DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
PLANEACIN Y ORGANIZACIN 4.5 Responsabilidad del aseguramiento de ca-

lidad
1.0 Definicin de un Plan Estratgico de Tecnolo- 4.6 Responsabilidad por la seguridad lgica y
ga de Informacin fsica
1.1 Tecnologa de Informacin como parte del 4.7 Propiedad y Custodia
Plan de la Organizacin a corto y largo 4.8 Propiedad de Datos y Sistemas
plazo 4.9 Supervisin
1.2 Plan a largo plazo de Tecnologa de Infor- 4.10 Segregacin de Funciones
macin 4.11 Asignacin de Personal para Tecnologa
1.3 Plan a largo plazo de Tecnologa de Infor- de Informacin
macin - Enfoque y Estructura 4.12 Descripcin de Puestos para el Personal de
1.4 Cambios al Plan a largo plazo de Tecnolo- la Funcin de TI
ga de Informacin 4.13 Personal clave de TI
1.5 Planeacin a corto plazo para la funcin 4.14 Procedimientos y polticas para el personal
de Servicios de Informacin contratado
1.6 Comunicacin de los planes de TI 4.15 Relaciones
1.7 Evaluacin y Monitoreo de los planes de 5.0 Manejo de la Inversin en Tecnologa de In-
TI.
formacin
1.8 Valoracin de los sistemas existentes. 5.1 Presupuesto Operativo Anual para la Fun-
2.0 Definicin de la Arquitectura de Informacin cin de Servicio de informacin
2.1 Modelo de la Arquitectura de Informacin 5.2 Monitoreo de Costo - Beneficio
2.2 Diccionario de Datos y Reglas de sintaxis 5.3 Justificacin de Costo - Beneficio
de datos corporativos 6.0 Comunicacin de los Objetivos y Aspiraciones
2.3 Esquema de Clasificacin de Datos de la Gerencia
2.4 Niveles de Seguridad. 6.1 Ambiente positivo de control de la infor-
3.0 Determinacin de la Direccin Tecnolgica macin
3.1 Planeacin de la Infraestructura Tecnol- 6.2 Responsabilidad de la Gerencia en cuanto
gica a Polticas
3.2 Monitoreo de Tendencias y Regulaciones 6.3 Comunicacin de las Polticas de la Orga-
Futuras nizacin
3.3 Contingencias en la Infraestructura Tecno- 6.4 Recursos para la implementacin de Pol-
lgica ticas
3.4 Planes de Adquisicin de Hardware y 6.5 Mantenimiento de Polticas
Software 6.6 Cumplimiento de Polticas, Procedimien-
3.5 Estndares de Tecnologa tos y Estndares
6.7 Compromiso con la Calidad
4.0 Definicin de la Organizacin y de las Rela- 6.8 Poltica sobre el Marco Referencial para la
ciones de TI Seguridad y el Control Interno
4.1 Planeacin de TI o Comit de planeacin/ 6.9 Derechos de propiedad intelectual
direccin de la funcin de servicios de in- 6.10 Polticas Especficas
formacin 6.11 Comunicacin de Conciencia de Seguri-
4.2 Ubicacin de los servicios de informacin dad en TI
en la organizacin
4.3 Revisin de Logros Organizacionales
4.4 Funciones y Responsabilidades
7.0 Administracin de Recursos Humanos 10.12 Plan de Entrenamiento

7.1 Reclutamiento y Promocin de Personal 10.13 Plan de Revisin Post Implementacin
7.2 Calificacin del Personal
11.0 Administracin de Calidad
7.3 Roles y Responsabilidades
11.1 Plan General de Calidad
7.4 Entrenamiento del personal
11.2 Enfoque de Aseguramiento de Calidad
7.5 Entrenamiento Cruzado o Respaldo de
11.3 Planeacin del Aseguramiento de Cali-
Personal
dad
7.6 Procedimientos para la Acreditacin del
11.4 Revisin de Aseguramiento de Calidad
Personal
sobre el Cumplimiento de Estndares
7.7 Evaluacin de Desempeo de los Emplea-
y Procedimientos de la Funcin de Ser-
dos
vicios de Informacin
7.8 Cambios de Puesto y Terminacin de con-
11.5 Metodologa del Ciclo de Vida de Desa-
trato de trabajo
rrollo de Sistemas
8.0 Aseguramiento del Cumplimiento con Reque- 11.6 Metodologa del Ciclo de Vida de Desa-
rimientos Externos rrollo de Sistemas para Cambios Mayo-
8.1 Revisin de Requerimientos Externos res a la Tecnologa Actual
8.2 Prcticas y Procedimientos para el Cum- 11.7 Actualizacin de la Metodologa del Ci-
plimiento de Requerimientos Externos clo de Vida de Desarrollo de Sistemas
8.3 Cumplimiento de los Estndares de Segu- 11.8 Coordinacin y Comunicacin
ridad y Ergonoma 11.9 Marco Referencial para la Adquisicin y
8.4 Privacidad, Propiedad Intelectual y Flujo Mantenimiento de la Infraestructura de
de Datos Tecnologa
8.5 Comercio Electrnico 11.10 Relaciones con Terceras Partes en su rol
8.6 Cumplimiento con Contratos de Seguros de Implementadores
11.11 Estndares para la Documentacin de
9.0 Anlisis de Riesgos
Programas
9.1 Anlisis de Riesgos del Negocio
11.12 Estndares para Pruebas de Programas
9.2 Enfoque de Anlisis de Riesgos
11.13 Estndares para Pruebas de Sistemas
9.3 Identificacin de Riesgos
11.14 Pruebas Piloto/En Paralelo
9.4 Medicin de Riesgos
11.15 Documentacin de las Pruebas del Siste-
9.5 Plan de Accin para mitigar los Riesgos
ma
9.6 Aceptacin de Riesgos
11.16 Evaluacin del Aseguramiento de la Cali
9.7 Seleccin de Proteccin.
dad sobre el Cumplimiento de Estnda-
9.8 Compromiso de Anlisis de Riesgos
res de Desarrollo
10.0 Administracin de Proyectos 11.17 Revisin del Aseguramiento de Calidad
10.1 Marco Referencial para la Administracin sobre el Logro de los Objetivos de la
de Proyectos Funcin de Servicios de Informacin
10.2 Participacin del Departamento Usuario 11.18 Mtricas de Calidad
en la Iniciacin de Proyectos 11.19 Reportes de Revisiones de Aseguramien-
10.3 Miembros y Responsabilidades del Equipo to de la Calidad
del Proyecto
10.4 Definicin del Proyecto
10.5 Aprobacin del Proyecto ADQUISICIN E IMPLEMENTACIN
10.6 Plan maestro del proyecto 1.0 Identificacin de Soluciones
10.7 Plan Maestro del Proyecto
10.8 Plan de Aseguramiento de Calidad de Sis- 1.1 Definicin de Requerimientos de Infor-
temas macin
10.9 Planeacin de Mtodos de Aseguramiento 1.2 Formulacin de Acciones Alternativas
10.10 Administracin Formal de Riesgos de Pro- 1.3 Formulacin de Estrategias de Adquisi-
yectos cin.
10.11 Plan de Prueba
1.4 Requerimientos de Servicios de Terceros 3.3 Seguridad del Software del Sistema
1.5 Estudio de Factibilidad Tecnolgica 3.4 Instalacin del Software del Sistema
1.6 Estudio de Factibilidad Econmica 3.5 Mantenimiento del Software del Sistema
1.7 Arquitectura de Informacin 3.6 Controles para Cambios del Software del
1.8 Reporte de Anlisis de Riesgos Sistema
1.9 Controles de Seguridad costo-efectivo 3.7 Uso y Monitoreo de Utilidades/Utilitarios
1.10 Diseo de Pistas de Auditora del Sistema
1.11 Ergonoma
4.0 Procedimientos de Desarrollo y Mantenimien-
1.12 Seleccin de Software del Sistema
to de TI
1.13 Control de Abastecimiento
4.1 Requerimientos Operacionales y Niveles
1.14 Adquisicin de Productos de Software
de Servicio
1.15 Mantenimiento de Software de Terceras
4.2 Manual de Procedimientos para Usuario
Partes
4.3 Manual de Operacin
1.16 Contratos para la Programacin de Aplica-
4.4 Material de Entrenamiento
ciones
1.17 Aceptacin de Instalaciones 5.0 Instalacin y Acreditacin de Sistemas
1.18 Aceptacin de Tecnologa 5.1 Entrenamiento
5.2 Medicin del Desempeo del Software de
2.0 Adquisicin y Mantenimiento de Software de
Aplicacin
Aplicacin
5.3 Plan de Implementacin
2.1 Mtodos de Diseo
5.4 Conversin del Sistema
2.2 Cambios Significativos a Sistemas Actua-
5.5 Conversin de datos
les
5.6 Planes y estrategias de pruebas
2.3 Aprobacin del Diseo
5.7 Pruebas a cambios
2.4 Definicin y Documentacin de Requeri-
5.8 Criterios y Desempeo de Pruebas en Pa-
mientos de Archivos
ralelo/Piloto
2.5 Especificaciones de Programas
5.9 Prueba de Aceptacin Final
2.6 Diseo para la Recopilacin de Datos
5.10 Pruebas y Acreditacin de la Seguridad
Fuente
5.11 Prueba Operacional
5.12 Promocin a Produccin
mientos de Entrada de Datos
5.13 Evaluacin de la Satisfaccin de los
2.8 Definicin de Interfases
Requerimientos del Usuario
2.9 Interfases Usuario-Mquina
5.14 Revisin Gerencial Post - Implementacin
mientos de Procesamiento 6.0 Administracin de Cambios
2.11 Definicin y Documentacin de Requeri- 6.1 Inicio y Control de Solicitudes de Cambio
mientos de Salida de Datos 6.2 Anlisis de Impacto
2.12 Controlabilidad 6.3 Control de Cambios
2.13 Disponibilidad como Factor Clave de Di- 6.4 Cambios de Emergencia
seo 6.5 Documentacin y Procedimientos
2.14 Consideracin de Integridad de TI en pro- 6.6 Mantenimiento Autorizado
gramas de software de aplicaciones 6.7 Poltica de Liberacin de Software
2.15 Pruebas al Software de Aplicacin 6.8 Distribucin de Software
2.16 Materiales de Consulta y Soporte para
Usuario ENTREGA DE SERVICIOS Y SOPORTE
2.17 Reevaluacin del Diseo del Sistema
3.0 Adquisicin y Mantenimiento de la Arquitec- 1.0 Definicin de Niveles de Servicio
tura de Tecnologa 1.1 Marco de Referencia para acuerdos de Ni-
3.1 Evaluacin de Nuevo Hardware y vel de Servicio
Software 1.2 Aspectos sobre los Acuerdos de Nivel de
3.2 Mantenimiento Preventivo para Hardware Servicio
1.3 Procedimientos de Desempeo
1.4 Monitoreo y Reporte do

1.5 Revisin de Contratos y Acuerdos de Ni- 4.12 Almacenamiento de copias de respaldo
vel de Servicio fuera del sitio
1.6 Elementos sujetos a Cargo 4.13 Procedimientos de Refinamiento del Plan
1.7 Programa de Mejoramiento del Servicio de Continuidad de TI6
2.0 Administracin de Servicios prestados por 5.0 Garantizar la Seguridad de Sistemas
Terceros 5.1 Administrar Medidas de Seguridad
2.1 Interfases con Proveedores 5.2 Identificacin, Autenticacin y Acceso
2.2 Relaciones con los Dueos 5.3 Seguridad de Acceso a Datos en Lnea
2.3 Contratos con Terceros 5.4 Administracin de Cuentas de Usuario
2.4 Calificaciones de terceros 5.5 Revisin Gerencial de Cuentas de Usuario
2.5 Contratos con Outsourcing 5.6 Control de Usuarios sobre Cuentas de
2.6 Continuidad del Servicios Usuario
2.7 Relaciones de Seguridad 5.7 Vigilancia de Seguridad
2.8 Monitoreo 5.8 Clasificacin de Datos
5.9 Administracin Centralizada de Identifica-
3.0 Administracin de Desempeo y Capacidad
cin y Derechos de Acceso
3.1 Requerimientos de Disponibilidad y
5.10 Reportes de Violacin y de Actividades de
Desempeo
Seguridad
3.2 Plan de Disponibilidad
5.11 Manejo de Incidentes
3.3 Monitoreo y Reporte
5.12 Re-acreditacin
3.4 Herramientas de Modelado
5.13 Confianza en las Contrapartes
3.5 Administracin de Desempeo Proactivo
5.14 Autorizacin de Transacciones
3.6 Pronstico de Carga de Trabajo
5.15 No Rechazo
3.7 Administracin de Capacidad de Recur-
5.16 Sendero Seguro
sos
5.17 Proteccin de las funciones de seguridad
3.8 Disponibilidad de Recursos
5.18 Administracin de las Llaves Criptogrfi-
3.9 Calendarizacin / Programacin de recur-
cas
sos
5.19 Prevencin, Deteccin y Correccin de
4.0 Aseguramiento de Servicio Continuo Software Malicioso
4.1 Marco de Referencia de Continuidad de 5.20 Arquitecturas de Firewalls y conexin a
Tecnologa de Informacin redes pblicas
4.2 Estrategia y Filosofa del Plan de Conti- 5.21 Proteccin de Valores Electrnicos
nuidad de Tecnologa de Informacin
6.0 Identificacin y Asignacin de Costos
4.3 Contenido del Plan de Continuidad de
6.1 Elementos Sujetos a Cargo
6.2 Procedimientos de Costeo
4.4 Minimizacin de requerimientos de Conti-
6.3 Procedimientos de Cargo y Facturacin a
nuidad de Tecnologa de Informacin
Usuarios
4.5 Mantenimiento del Plan de Continuidad
de Tecnologa de Informacin 7.0 Educacin y Entrenamiento de Usuarios
4.6 Pruebas del Plan de Continuidad de Tec- 7.1 Identificacin de Necesidades de Entrena-
nologa de Informacin miento
4.7 Entrenamiento sobre el Plan de Continui- 7.2 Organizacin de Entrenamiento
dad de Tecnologa de Informacin 7.3 Entrenamiento sobre Principios y Con-
4.8 Distribucin del Plan de Continuidad de ciencia de Seguridad
4.9 Procedimientos de Respaldo de Procesa-
miento para Departamentos Usuarios
4.10 Recursos crticos de Tecnologa de Infor- 6 Refinamiento del Plan de Continuidad de TI
macin (wrap up): procedimiento seguido para evaluar y
4.11 Centro de Cmputo y Hardware de respal- actualizar el Plan
8.0 Apoyo y Asistencia a los Clientes de Tecnolo- de Salida

ga de Informacin 11.17 Proteccin de Informacin Sensitiva du-
8.1 Help Desk rante transmisin y transporte
8.2 Registro de consultas del Cliente 11.18 Proteccin de Informacin Sensitiva a ser
8.3 Escalamiento de consultas del Cliente Desechada
8.4 Monitoreo de Atencin a Clientes 11.19 Administracin de Almacenamiento
8.5 Anlisis y Reporte de Tendencias 11.20 Perodos de Retencin y Trminos de Al-
macenamiento
9.0 Administracin de la Configuracin
11.21 Sistema de Administracin de la Librera
9.1 Registro de la Configuracin
de Medios
9.2 Base de la Configuracin
11.22 Responsabilidades de la Administracin
9.3 Registro de status
de la Librera de Medios
9.4 Control de la Configuracin
11.23 Respaldo y Restauracin
9.5 Software no Autorizado
11.24 Funciones de Respaldo
9.6 Almacenamiento de Software
11.25 Almacenamiento de Respaldo
9.7 Procedimientos para la Administracin de
11.26 Archivo
la Configuracin
11.27 Proteccin de Mensajes Sensitivos
9.8 Contabilidad y registro del Software
11.28 Autenticacin e Integridad
10.0 Administracin de Problemas e Incidentes 11.29 Integridad de Transacciones Electrnicas
10.1 Sistema de Administracin de Problemas 11.30 Integridad Continua de Datos Almacena-
10.2 Escalamiento de Problemas dos
10.3 Seguimiento de Problemas y Pistas de Au-
12.0 Administracin de Instalaciones
ditora
12.1 Seguridad Fsica
10.4 Autorizaciones para acceso temporal y de
12.2 Discrecin (bajo perfil) de las Instalacio-
emergencia.
nes de Tecnologa de Informacin
10.5 Prioridades en Procesos de Emergencia
12.3 Escolta de Visitantes
11.0 Administracin de Datos 12.4 Salud y Seguridad del Personal
11.1 Procedimientos de Preparacin de Datos 12.5 Proteccin contra Factores Ambientales
11.2 Procedimientos de Autorizacin de Docu- 12.6 Suministro Ininterrumpido de Energa
mentos Fuente
13.0 Administracin de Operaciones
11.3 Recopilacin de Datos de Documentos
13.1 Manual de Instrucciones y procedimientos
Fuente
de Operaciones de procesamiento
11.4 Manejo de Errores de Documentos Fuente
13.2 Documentacin del Proceso de Inicio y de
11.5 Retencin de Documentos Fuente
Otras Operaciones
11.6 Procedimientos para la Autorizacin de
13.3 Calendarizacin/programacin de Trabajos
Entrada de Datos
13.4 Ejecucin de los Trabajos estndar progra-
11.7 Chequeos de Exactitud, Suficiencia y Au-
mados
torizacin
13.5 Continuidad de Procesamiento
11.8 Manejo de Errores en la Entrada de Datos
13.6 Bitcoras de Operacin
11.9 Integridad de Procesamiento de Datos
13.7 Proteccin de Formas Especiales y disposi-
11.10 Validacin y Edicin de Procesamiento de
tivos de salida
Datos
13.8 Operaciones Remotas
11.11 Manejo de Errores en el Procesamiento de
Datos
11.12 Manejo y Retencin de Datos de Salida MONITOREO
11.13 Distribucin de Datos de Salida
11.14 Balanceo y Conciliacin de Datos de Sali- 1.0 Monitoreo del Proceso
da 1.1 Recoleccin de Datos de Monitoreo
11.15 Revisin de Salida de Datos y Manejo de 1.2 Anlisis del Desempeo
Errores 1.3 Evaluacin de la Satisfaccin de Clientes
11.16 Provisiones de Seguridad para Reportes 1.4 Reportes Gerenciales
2.0 Evaluar lo adecuado del Control Interno

2.1 Monitoreo de Control Interno
2.2 Operacin oportuna del Control Interno
2.3 Reporte sobre el Nivel de Control Interno
2.4 Seguridad en las operaciones y asegura-
miento del Control Interno
3.0 Obtencin de Aseguramiento Independiente
3.1 Certificacin / Acreditacin Independiente
de Control Interno y Seguridad de los servi-
cios de TI
3.2 Certificacin / Acreditacin Independiente
de Control Interno y Seguridad de provee-
dores externos de servicios
3.3 Evaluacin Independiente de la Efectividad
de los Servicios de TI
3.4 Evaluacin Independiente de la Efectividad
de proveedores externos de servicios
3.5 Aseguramiento Independiente del Cumpli-
miento de leyes y requerimientos regulato-
rios y compromisos contractuales
3.6 Aseguramiento Independiente del Cumpli-
miento de leyes y requerimientos regulato-
rios y compromisos contractuales con pro-
veedores externos de servicios
3.7 Competencia de la Funcin de Asegura-
miento Independiente
3.8 Participacin Proactiva de Auditora
4.0 Proveer Auditora Independiente
4.1 Estatutos de Auditora
4.2 Independencia
4.3 Etica y Estndares Profesionales
4.4 Competencia
4.5 Planeacin
4.6 Desempeo del Trabajo de Auditora
4.7 Reporte
4.8 Actividades de Seguimiento
(PO)
PLANEACION Y ORGANIZACION
OBJETIVOS DE CONTROL DE ALTO NIVEL

PO1
di gr i dad
Planeacin &
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id nc ia
m lid
li
ef ida
Organizacin
lid
s p da
in c ia
cu nibi
ti v
en
ia
ec
p
te
o
ef
nf
Adquisicin &
P S Implementacin
Control sobre el proceso de TI de: Entrega &

Soporte
Definicin de un plan Estratgico de TI
que satisface los requerimientos del negocio de: Monitoreo
Lograr un balance ptimo entre las oportunidades de tecnologa de

informacin y los requerimientos del negocio para TI, as como
para asegurar sus logros futuros.
se hace posible a travs de:
un proceso de planeacin estratgica emprendido en in-

tervalos regulares dando lugar a planes a largo plazo. Los
planes a largo plazo debern ser traducidos peridica-
mente en planes operacionales estableciendo metas claras
y concretas a corto plazo:
y toma en consideracin:
Estrategia del negocio de la empresa

definicin de cmo TI soporta los objetivos de
negocio
inventario de soluciones tecnolgicas e in-
fraestructura actual
Monitoreo del mercado de tecnologa
Estudios de factibilidad oportunos y chequeos 3 3 3 3 3
con la realidad
da nes
Anlisis de los sistemas existentes

in olo s

al ga
e
te c i o n
Posicin de la empresa sobre riesgos, en el

io
ap ente

to
ac
a
proceso de compra (time-on-market), calidad

cn
l ic
g
st
Necesidades de la Administracin senior en el

proceso de compra, soportado en revisin cr-
tica
1. DEFINICIN DE UN PLAN ESTRATGICO DE rios, requerimientos de terceras partes o del mercado, el

TI horizonte de planeacin, reingeniera de procesos del
negocio, la asignacin de personal, in u outsourcing,
1.1 Tecnologa de Informacin como parte del Plan de la datos, sistemas de aplicacin y arquitecturas de la tecno-
Organizacin a corto y largo plazo. loga. Los planes de TI, de largo y corto alcance debe-
rn incorporar indicadores y objetivos de desempeo.
OBJETIVO DE CONTROL
El plan mismo deber hacer referencia a otros planes
La alta gerencia ser la responsable de desarrollar e im- tales como el plan de calidad de la organizacin y el plan
plementar planes a largo y corto plazo que satisfagan la de manejo de riesgos de informacin.
misin y las metas de la organizacin. A este respecto,
la alta gerencia deber asegurar que los problemas de 1.4 Cambios al Plan a largo plazo de TI
TI, as como las oportunidades, sean evaluados adecua- OBJETIVO DE CONTROL
damente y reflejados en los planes a largo y corto plazo
de la organizacin. Se deben desarrollar planes de TI a La Gerencia de TI y los dueos del proceso del negocio
largo y corto plazo para ayudar a asegurar que el uso de debern asegurar que se establezca un proceso con el fin
la TI est acorde con la misin y las estrategias de nego- de adaptar los cambios al plan a largo plazo de la orga-
cio de la organizacin. nizacin y los cambios en las condiciones de la TI. La
gerencia Senior deber establecer una poltica que re-
1.2 Plan a largo plazo de TI quiera que se desarrollen y se mantengan planes de lar-
go y corto plazo de TI.
OBJETIVO DE CONTROL
La Gerencia de TI y los dueos del proceso de negocio 1.5 Planeacin a corto plazo para la Funcin de TI
sern responsables de desarrollar regularmente planes OBJETIVO DE CONTROL
de TI a largo plazo , que apoyen el logro de la misin y
las metas generales de la organizacin. El mtodo de La Gerencia de TI y los dueos del proceso del negocio
planeacin deber incluir mecanismos para solicitar debern asegurar que el plan a largo plazo de TI se tra-
informacin a los interesados internos y externos mas duzca regularmente en planes a corto plazo de TI. Es-
importantes, que se ven afectados por los planes estrat- tos planes a corto plazo debern asegurar que se asignen
gicos de TI. De la misma manera, la Gerencia deber los recursos apropiados de la funcin de servicios de TI
implementar un proceso de planeacin a largo plazo, con una base consistente con el plan a largo plazo de TI.
adoptar un enfoque estructurado y determinar la estruc- Los planes a corto plazo debern ser reevaluados y mo-
tura para el plan. dificados peridicamente segn se considere necesario
respondiendo a las condiciones de cambios en el nego-
1.3 Plan a largo plazo de TI - Enfoque y Estructura cio y en TI. La realizacin oportuna de estudios de facti-
bilidad deber asegurar que la ejecucin de los planes a
OBJETIVO DE CONTROL
corto plazo sea iniciada adecuadamente.
La Gerencia de TI y los dueos del proceso de negocio
debern establecer y aplicar un enfoque estructurado al
proceso de planeacin a largo plazo. Esto deber traer
como resultado un plan de alta calidad que cubra las
preguntas bsicas de qu, quin, cmo, cundo y por
qu el proceso de planeacin de TI debe tomar en cuen-
ta los resultados del anlisis del riesgo, incluyendo los
riesgos del negocio, entorno, tecnologa y recursos
humanos. Los aspectos que necesitan ser tomados en
cuenta y ser cubiertos adecuadamente durante el proceso
de planeacin incluyen el modelo de organizacin y sus
cambios, la distribucin geogrfica, la evolucin tecno-
lgica, los costos, los requerimientos legales y regulato-
1.6 Comunicacin de los Planes de TI
OBJETIVO DE CONTROL
La gerencia debe asegurar que los planes de largo y

de corto plazo de tecnologa de la informacin sean
comunicados a los dueos del proceso del negocio y
a otras partes relevantes en toda la organizacin.
1.7 Monitoreo y Evaluacin de los Planes de Tecnolo-

ga de la Informacin
OBJETIVO DE CONTROL
La gerencia debe establecer procesos para captar y
reportar la retroalimentacin de los dueos y usuarios
del proceso del negocio respecto a la calidad y utilidad
de los planes de largo y de corto plazo. La retroali-
mentacin obtenida debe ser evaluada y considerada
en la planeacin futura de la tecnologa de la informa-
cin.
1.8 Evaluacin de los Sistemas Existentes
OBJETIVO DE CONTROL
Previo al desarrollo o modificacin del Plan Estratgi-
co o plan a largo plazo de TI, la Gerencia de TI debe
evaluar los sistemas existentes en trminos de: nivel
de automatizacin de negocio, funcionalidad, estabili-
dad, complejidad, costo y fortalezas y debilidades, con
el propsito de determinar el nivel de soporte que
ofrecen los sistemas existentes a los requerimientos
del negocio.
PO2
di gr i dad
Planeacin &
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id c ia
m lid
Organizacin
li
ef vida
lid
s p da
in c ia
c u nibi
n
en
ti
ia
ec
p
te
o
ef
nf
Adquisicin &
P S S S Implementacin
Entrega &
Control sobre el proceso de TI de:
Soporte
Definicin de la Arquitectura de Informacin
que satisface los requerimientos de negocio de: Monitoreo
organizar de la mejor manera los sistemas de informacin
la creacin y mantenimiento de un modelo de infor-

macin de negocios y asegurando que se definan siste-
mas apropiados para optimizar la utilizacin de esta
informacin
Repositorio automatizado de datos y dic-

cionario
reglas de sintaxis de datos
propiedad de la informacin y clasificacin
con base en criticidad /seguridad
un modelo de informacin que represente
el negocio
Normas de arquitectura de informacin de
la empresa
3 3
da nes
in olo s
al ga
e
te c i o n
io
ap ente
s
to
ac
a
cn
l ic
g
st
2 DEFINICIN DE LA ARQUITECTURA DE Se deben establecer los criterios para soportar los dife-
INFORMACIN rentes niveles de seguridad en toda la empresa para
resolver las necesidades del creciente comercio elec-
2.1 Modelo de la Arquitectura de Informacin trnico, la computacin mvil y los entornos de tele-
conmutacin.
OBJETIVO DE CONTROL
La informacin deber conservar consistencia
con las necesidades y deber ser identificada,
capturada y comunicada de tal forma y dentro de
perodos de tiempo que permitan a los responsa-
bles llevar a cabo sus tareas eficiente y oportuna-
mente. Asimismo, la funcin de sistemas de in-
formacin deber crear y actualizar regularmente
un modelo de arquitectura de informacin, abar-
cando el modelo de datos corporativo y los siste-
mas de informacin asociados. El modelo de
arquitectura de informacin deber conservar
consistencia con el plan a largo plazo de tecnolo-
ga de informacin.
2.2 Diccionario de Datos y Reglas de Sintaxis de
Datos de la Corporacin
OBJETIVO DE CONTROL
La funcin de servicios de informacin deber
asegurar la creacin y la continua actualizacin
de un diccionario de datos corporativo que incor-
pore las reglas de sintaxis de datos de la organi-
zacin.
2.3 Esquema de Clasificacin de Datos
OBJETIVO DE CONTROL
Deber establecerse un marco de referencia de
clasificacin general relativo a la ubicacin de
datos en clases de informacin (por ejemplo, ca-
tegoras de seguridad), as como la asignacin de
propiedad. Las reglas de acceso para las clases
debern definirse apropiadamente.
2.4 Niveles de Seguridad
OBJETIVO DE CONTROL
La Gerencia deber definir, implementar y man-
tener niveles de seguridad para cada una de las
clasificaciones de datos identificadas con un ni-
vel superior al de "no requiere proteccin". Es-
tos niveles de seguridad debern representar el
conjunto de medidas de seguridad y de control
apropiado (mnimo) para cada una de las clasifi-
caciones y debern ser reevaluados peridica-
mente y modificados en consecuencia.

PO3
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Adquisicin &
c u nibi
ti v
en
ia
Implementacin
ec
p
te
o
ef
nf
P S Entrega &
Soporte

Monitoreo
determinacin de la direccin tecnolgica
que satisface los requerimientos de negocio de:
aprovechar la tecnologa disponible y las que van apareciendo en

el mercado para impulsar y posibilitar la estrategia del negocio.
la creacin y mantenimiento de un plan de infraestructu-

ra tecnolgica que establece y administra expectativas
claras y realistas de lo que puede brindar la tecnologa en
trminos de productos, servicios y mecanismos de entre-
ga
capacidad de la infraestructura actual

monitoreo de desarrollos tecnolgicos por la
va de fuentes confiables
realizacin de prueba de conceptos
riesgos, restricciones y oportunidades 3 3
planes de adquisicin
estrategia de migracin y mapas alternativos
da nes

in olo s
ac a
e
te c i o n
(roadmaps)
io
ap ente
s
to
relaciones con los vendedores

a

cn
al
lic
g
st
reevaluacin independiente de la tecnologa

Cambios de precio /desempeo de hardware y
de software
3 DETERMINACIN DE LA DIRECCIN
TECNOLGICA
3.1 Planeacin de la Infraestructura Tecnolgica
OBJETIVO DE CONTROL
crear y actualizar regularmente un plan de in-
fraestructura tecnolgica que concuerde con los
planes a largo y corto plazo de tecnologa de in-
formacin. Dicho plan deber abarcar aspectos
tales como arquitectura de sistemas, direccin
tecnolgica y estrategias de migracin.
3.2 Monitoreo de Tendencias y Regulaciones
Futuras
OBJETIVO DE CONTROL
asegurar el monitoreo contnuo de tendencias
futuras y condiciones regulatorias, de tal manera
que estos factores puedan ser tomados en consi-
deracin durante el desarrollo y mantenimiento
del plan de infraestructura tecnolgica.
3.3 Contingencias en la Infraestructura
Tecnolgica
OBJETIVO DE CONTROL
El plan de infraestructura tecnolgica deber ser
evaluado sistemticamente en cuanto a aspectos
de contingencia (por ejemplo, redundancia, resis-
tencia7, capacidad de adecuacin y evolucin de
la infraestructura).
3.4 Planes de Adquisicin de Hardware y
Software
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de infor-
macin deber asegurar que los planes de adqui-
sicin de hardware y software sean establecidos
y que reflejen las necesidades identificadas en el
plan de infraestructura tecnolgica.
3.5 Estndares de Tecnologa

OBJETIVO DE CONTROL
Tomando como base el plan de infraestructura
tecnolgica, la Gerencia deber definir normas
de tecnologa con la finalidad de fomentar la es- 7
Resistencia (resilience): ndice de resistencia a fallas
tandarizacin.
PO4
Planeacin &
Organizacin
di gr id d
d
da
b i to
ad
m ilida
d
on d
nf en
en ia
in c iali
da
lid
a
c
Adquisicin &
co imi
en
iv i
i b
ia
Implementacin
ct
pl
ic i
te
id
e
sp
ef
ef
nf
cu
co
P S Entrega &
Soporte

Monitoreo
definicin de la organizacin y de las relaciones de TI
prestacin de los servicios correctos de TI
una organizacin conveniente en nmero y habilidades, con ta-

reas y responsabilidades definidas y comunicadas, acordes con
el negocio y que facilita la estrategia y provee una direccin
efectiva y un control adecuado.
responsabilidades del nivel directivo sobre TI

direccin de la gerencia y supervisin de TI
Alineacin de TI con el negocio
participacin de TI en los procesos clave de decisin
flexibilidad organizacional
roles y responsabilidades claras
equilibrio entre supervisin y delegacin de autori-
dad (empoderamiento)
descripciones de puestos de trabajo
Niveles de asignacin de personal y personal clave 3
Ubicacin organizacional de las funciones de seguri-
dad, calidad y control interno
da es
es
ac a
Segregacin de funciones
n
g
te i o n
io
e
s
in olo
to
nt
ac
ge
cn
al
lic
st
ap
4 DEFINICIN DE LA ORGANIZACIN Y conscientes de que tienen un grado de responsa-

DE LAS RELACIONES DE TI bilidad con respecto a la seguridad y al control
interno. Consecuentemente, debern organizarse
4.1 Comit de planeacin o direccin de TI y emprenderse campaas regulares para aumen-
tar la conciencia y la disciplina.
OBJETIVO DE CONTROL
La alta gerencia de la organizacin deber desig- 4.5 Responsabilidad del Aseguramiento de Cali-
nar un comit de planeacin o direccin para vi- dad
gilar la funcin de TI y sus actividades. Entre los OBJETIVO DE CONTROL
miembros del comit debern encontrarse repre-
sentantes de la alta gerencia, de la gerencia usua- La Gerencia deber asignar la responsabilidad de
ria y de la funcin de TI. El comit deber rela ejecucin de la funcin de aseguramiento de
unirse regularmente y reportar a la alta gerencia. calidad a miembros del personal de la funcin de
servicios de informacin y asegurar que existan
4.2 Ubicacin de la Funcin de TI en la organiza- sistemas de aseguramiento de calidad apropia-
cin dos, controles y experiencia en comunicaciones
dentro del grupo de aseguramiento de calidad de
OBJETIVO DE CONTROL
la funcin de servicios de informacin. La ubica-
Al ubicar la funcin de TI en la estructura orga- cin de la funcin dentro del rea de servicios de
nizacional general, la alta gerencia deber asegu- informacin, las responsabilidades y el tamao
rar la existencia de autoridad, actitud crtica e del grupo de aseguramiento de calidad debern
independencia por parte del departamento usua- satisfacer los requerimientos de la empresa.
rio con un grado tal que sea posible garantizar
4.6 Responsabilidad de la Seguridad Lgica y F-
soluciones de tecnologa de informacin efecti-
vas y progreso suficiente al implementarlas, as sica
como establecer una relacin de socios con la OBJETIVO DE CONTROL
alta Gerencia para ayudar a incrementar la con-
cientizacin, el entendimiento y las habilidades La Gerencia deber asignar formalmente la res-
para identificar y resolver problemas de tecnolo- ponsabilidad de la seguridad lgica y fsica de
ga de informacin. los activos de informacin de la organizacin a
un Gerente de seguridad de la informacin, quien
4.3 Revisin de Logros Organizacionales reportar a la alta gerencia. Como mnimo, la
responsabilidad de la Gerencia de seguridad de-
OBJETIVO DE CONTROL
ber establecerse a todos los niveles de la organi-
Deber establecerse un marco de referencia con zacin para manejar los problemas generales de
el propsito de revisar que la estructura organiza- seguridad en la organizacin. En caso necesario,
cional cumpla continuamente con los objetivos y debern asignarse responsabilidades gerenciales
se adapte a las circunstancias cambiantes. de seguridad adicionales a niveles especficos
con el fin de resolver los problemas de seguridad
4.4 Funciones y Responsabilidades
relacionados con ellos.
OBJETIVO DE CONTROL
4.7 Propiedad y Custodia
La Gerencia deber asegurar que todo el personal
OBJETIVO DE CONTROL
en la organizacin conozca sus funciones y res-
ponsabilidades en relacin con los sistemas de La Gerencia deber crear una estructura para de-
informacin. Todo el personal deber contar con signar formalmente a los propietarios y custodios
la autoridad suficiente para llevar a cabo las fun- de los datos. Sus funciones y responsabilidades
ciones y responsabilidades que le hayan sido debern estar claramente definidas.
asignadas. Las funciones debern ser designadas
tomando en consideracin la segregacin apro- 4.8 Propiedad de Datos y Sistemas
piada de tareas. Ninguna persona en forma indi- OBJETIVO DE CONTROL
vidual deber controlar todos los aspectos clave
de una transaccin o evento. Todos debern estar La Gerencia deber asegurar que todos los acti-
vos de informacin (sistemas y datos) cuenten larmente para asegurar que la funcin de servi-
con un propietario asignado que tome decisiones cios de informacin cuente con un nmero sufi-
sobre la clasificacin y los derechos de acceso. ciente de personal competente de tecnologa de
Los propietarios del sistema normalmente dele- informacin. Los requerimientos de asignacin
garn la custodia diaria al grupo de distribucin/ de personal debern ser evaluados por lo menos
operacin de sistemas y las responsabilidades de anualmente o al presentarse cambios mayores en
seguridad a un administrador de la seguridad. el negocio, en el ambiente operacional o de tec-
Los Propietarios, sin embargo, permanecern nologa de informacin. Deber actuarse oportu-
como responsables del mantenimiento de medi- namente tomando como base los resultados de
das de seguridad apropiadas. las evaluaciones para asegurar una asignacin de
personal adecuada en el presente y en el futuro.
4.9 Supervisin
4.12 Descripcin de Puestos de trabajo para el Per-
OBJETIVO DE CONTROL
sonal de la Funcin de TI
La alta gerencia deber implementar prcticas de
OBJETIVO DE CONTROL
supervisin adecuadas en la organizacin de ser-
vicios de informacin para asegurar que las fun- La Gerencia deber asegurar que las descripcio-
ciones y responsabilidades sean llevadas a cabo nes de los puestos para el personal de TI sean
apropiadamente, para evaluar si todo el personal establecidos y actualizados regularmente. Estas
cuenta con suficiente autoridad y recursos para descripciones de puestos debern delinear clara-
llevar a cabo sus tareas y responsabilidades, y mente tanto la responsabilidad como la autoridad,
para revisar de manera general los indicadores incluir las definiciones de las habilidades y la
clave de desempeo. experiencia necesarias para el puesto, y ser ade-
cuadas para su utilizacin en evaluaciones de
4.10 Segregacin de Funciones
desempeo.
OBJETIVO DE CONTROL
4.13 Personal Clave de TI
La alta gerencia deber implementar una divisin
OBJETIVO DE CONTROL
de roles y responsabilidades que excluya la posi-
bilidad de que un solo individuo responda por un La Gerencia de TI deber definir e identificar al
proceso crtico. La Gerencia deber asegurar personal clave de tecnologa de informacin.
tambin que el personal lleve a cabo nicamente
4.14 Polticas y Procedimientos para Personal por
aquellas tareas estipuladas para sus respectivos
Contrato
puestos. En particular, deber mantenerse una
segregacin de funciones entre las siguientes OBJETIVO DE CONTROL
funciones:
La Gerencia deber definir e implementar polti-
z uso de sistemas de informacin; cas y procedimientos relevantes para controlar
z entrada de datos; las actividades de consultores y dems personal
z operacin de cmputo; externo contratado por la funcin de TI para ase-
z administracin de redes; gurar la proteccin de los activos de informacin
z administracin de sistemas; de la organizacin.
z desarrollo y mantenimiento de sistemas
z administracin de cambios 4.15 Relaciones
z administracin de seguridad; y OBJETIVO DE CONTROL
z auditora a la seguridad
La Gerencia de TI deber llevar a cabo las accio-
nes necesarias para establecer y mantener una
4.11 Asignacin de Personal de TI coordinacin, comunicacin y un enlace ptimos
entre la funcin de TI y dems interesados dentro
OBJETIVO DE CONTROL
y fuera de la funcin de servicios de informacin
Las evaluaciones de los requerimientos de asig- (usuarios, proveedores, oficiales de seguridad,
nacin de personal debern llevarse a cabo regu- administradores de riesgos).

PO5
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Adquisicin &
c u nibi
ti v
en
ia
Implementacin
ec
p
te
o
ef
nf
P P S Entrega &
Soporte

Monitoreo
Manejo o administracin de la inversin de TI
asegurar el financiamiento y el control de desembolsos de re-

cursos financieros
Inversin peridica y presupuestos operacionales esta-

blecidos y aprobados por el negocio
alternativas de financiamiento
Claros responsables del presupuesto
Control sobre los gastos actuales
justificacin de costos y concientizacin
sobre el costo total de la propiedad
justificacin del beneficio y contabiliza-
cin de todos los beneficios obtenidos
Ciclo de vida del software de aplicacin y 3 3 3 3
de la tecnologa
Alineacin con las estrategias del negocio
da nes

in olo s
ac a
e
te c i o n
de la empresa
io
ap ente
s
to
Anlisis de impacto
a

cn
al
lic
g
st
Administracin de los activos
5 MANEJO / ADMINISTRACIN DE LA IN-

VERSIN EN TECNOLOGA DE INFORMA-
CIN
5.1 Presupuesto Operativo Anual para la Funcin de
Servicios de Informacin
OBJETIVO DE CONTROL
La alta gerencia deber implementar un proceso de
asignacin de presupuestos para asegurar que un pre-
supuesto operativo anual para TI sea establecido y
aprobado en lnea con los planes a largo y corto plazo
de la organizacin, as como con los planes a largo y
corto plazo de tecnologa de informacin. Debern
investigarse alternativas de financiamiento.
5.2 Monitoreo de Costo - Beneficios
OBJETIVO DE CONTROL
La Gerencia deber establecer un proceso de monito-
reo de costos que compare los costos reales contra
los presupuestados. Aun ms, los posibles benefi-
cios derivados de la actividad de tecnologa de infor-
macin debern ser identificados y reportados. En
cuanto al monitoreo de costos, la fuente de las cifras
reales deber tomar como base el sistema de contabi-
lidad de la organizacin, mismo que deber registrar,
procesar y reportar rutinariamente los costos asocia-
dos con las actividades de la funcin de servicios de
informacin. En lo referente al monitoreo de los be-
neficios, se debern definir indicadores de medicin
de desempeo de alto nivel y ser reportados y revisa-
dos regularmente para asegurar que son adecuados.
5.3 Justificacin de Costo - Beneficio
OBJETIVO DE CONTROL
Deber establecerse un control gerencial que garanti-
ce que los servicios que presta la funcin de TI pre-
senten un costo justificado y se encuentren en lnea
con la industria. Los beneficios derivados de las acti-
vidades de tecnologa de informacin debern ser
analizados en forma similar.

PO6
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Adquisicin &
c u nibi
ti v
en
ia
Implementacin
ec
p
te
o
ef
nf
P S Entrega &
Soporte

Monitoreo
comunicacin de los objetivos y aspiraciones de la gerencia
asegurar que el usuario sea conciente y comprenda dichas aspi-

raciones
polticas establecidas y transmitidas a la comunidad de

usuarios; adems, se necesitan estndares para traducir
las opciones estratgicas en reglas de usuario prcticas
y utilizables
Misin claramente articulada

Directivas tecnolgicas vinculadas con as-
piraciones de negocios
Cdigo de tica / conducta
Compromiso con la calidad
Polticas de seguridad y control interno 3
Practicas de seguridad y control interno
Ejemplos de liderazgo
da nes

in olo s
ac a
e
te c i o n
Programacin continua de comunicaciones

io
ap ente
s
to
Proveer guas y verificar su cumplimiento

a

cn
al
lic
g
st
6 COMUNICACIN DE LOS OBJETIVOS Y operaciones. La Gerencia deber tambin moni-

ASPIRACIONES DE LA GERENCIA torear la duracin de la implementacin de sus
polticas.
6.1 Ambiente Positivo de Control de la Informa-
cin 6.5 Mantenimiento de Polticas
OBJETIVO DE CONTROL OBJETIVO DE CONTROL
Con el fin de proveer guas para el desempeo Las polticas debern ser ajustadas regularmente
apropiado, evitar tentaciones de acciones no ti- para adecuarse a las condiciones cambiantes.
cas y crear disciplina donde se requiera, la Ge- Las polticas debern ser reevaluadas, por lo me-
rencia deber crear un marco de referencia y un nos anualmente o al momento de presentarse
programa de concientizacin que fomente un cambios significativos en el ambiente operacio-
ambiente de control positivo a travs de toda la nal o del negocio, para evaluar que sean conve-
organizacin. Estas actividades debern encau- nientes y apropiadas y debern ser modificadas
zarse hacia la integridad, los valores ticos, comen caso necesario. La Gerencia deber propor-
petencia del empleado, filosofa de la Gerencia, cionar un marco de referencia y un proceso para
estilo de operacin y registro. Se debe dar espe- las revisiones peridicas y la aprobacin de es-
cial atencin a los aspectos relacionados con tec- tndares, polticas, directrices y procedimientos.
nologa de informacin incluyendo la seguridad 6.6 Cumplimiento de Polticas, Procedimientos y
y el plan de continuidad del negocio. Estndares
6.2 Responsabilidad de la Gerencia sobre las Pol- OBJETIVO DE CONTROL
ticas
La Gerencia deber asegurar que se establezcan
OBJETIVO DE CONTROL procedimientos apropiados para determinar si el
La Gerencia deber asumir la responsabilidad personal comprende los procedimientos y polti-
completa de la formulacin, el desarrollo, la do- cas implementados, y que ste cumple con di-
cumentacin, la promulgacin y el control de chas polticas y procedimientos. El cumplimien-
polticas que cubran metas y directrices genera- to de las reglas de tica, seguridad y estndares
les. Debern llevarse a cabo revisiones regulares de control interno deber ser establecido por la
de las polticas para asegurar su conveniencia. La Alta Gerencia y promoverse a travs del ejem-
complejidad de las polticas y los procedimientos plo.
escritos debern estar siempre en proporcin con 6.7 Compromiso con la Calidad
el tamao de la organizacin y el estilo gerencial.
OBJETIVO DE CONTROL
6.3 Comunicacin de las Polticas de la Organiza-
cin La Gerencia de la funcin de servicios de infor-
macin deber definir, documentar y mantener
OBJETIVO DE CONTROL una filosofa de calidad, as como polticas y ob-
La Gerencia deber asegurar que las polticas jetivos que sean consistentes con la filosofa y
organizacionales sean claramente comunicadas, las polticas de la corporacin a este respecto.
comprendidas y aceptadas por todos los niveles La filosofa de calidad, las polticas y los objeti-
de la organizacin. El proceso de comunicacin vos debern ser comprendidos, implementados y
debe estar soportado por un plan efectivo que mantenidos a todos los niveles de la funcin de
utilice diversos mecanismos de comunicacin. servicios de informacin.
6.4 Recursos para la implementacin de Polticas 6.8 Poltica sobre el Marco de Referencia para la
Seguridad y el Control Interno
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber destinar recursos para la
implementacin de sus polticas y para asegurar La Gerencia deber asumir la responsabilidad
su cumplimiento, de tal manera que ellas se total del desarrollo y mantenimiento de una pol-
construyan dentro y formen parte integral de las tica sobre el marco de referencia, que establezca
el enfoque general de la organizacin en cuanto a Debe transmitir el mensaje en cuanto a que la

seguridad y control interno para establecer y me- seguridad de TI es para el beneficio de toda la
jorar la proteccin de los recursos de tecnologa organizacin, todos los empleados, y as mismo
de informacin. La poltica deber cumplir con todos son responsables de ella. El programa de
los objetivos generales del negocio y estar dirigi- concientizacin en seguridad de TI debe estar
da a minimizar riesgos a travs de medidas pre- apoyado y representar el punto de vista de la ge-
ventivas, identificacin oportuna de irregularida- rencia.
des, limitacin de prdidas y recuperacin opor-
tuna. Estas medidas debern basarse en anlisis
costo-beneficio y deber priorizarse. Adems, la
alta gerencia deber asegurar que esta poltica de
seguridad de alto nivel y de control interno espe-
cifique el propsito y los objetivos, la estructura
gerencial, el alcance dentro de la organizacin, la
definicin y asignacin de responsabilidades para
su implementacin a todos los niveles y la defi-
nicin de multas y de acciones disciplinarias aso-
ciadas con la falta de cumplimiento con las polti-
cas de seguridad y control interno. Se debern
establecer criterios para la reevaluacin peridica
del marco de referencia con el objeto de soportar
responsablemente los cambios organizacionales y
los requerimientos tcnicos y ambientales.
6.9 Derechos de propiedad intelectual
OBJETIVO DE CONTROL
La gerencia deber proveer e implementar una
poltica por escrito sobre derechos de propiedad
intelectual, que cubra el desarrollo de software,
tanto interno como contratado a externos.
6.10 Polticas para Situaciones Especficas
OBJETIVO DE CONTROL
Debern ponerse en prctica medidas que asegu-
ren el establecimiento de polticas para situacio-
nes especficas con el fin de documentar las deci-
siones gerenciales con respecto al tratamiento de
actividades, aplicaciones, sistemas o tecnologas
particulares.
6.11 Comunicacin para educar y concientizar
(crear conciencia) sobre Seguridad de TI
OBJETIVO DE CONTROL
Un programa de concientizacin sobre seguridad
de TI debe comunicar las polticas de TI a cada
usuario de TI y asegurar el completo entendi-
miento de la importancia de la seguridad de TI.

PO7
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Adquisicin &
i
c u nib
ti v
en
ia
Implementacin
ec
p
te
o
ef
nf
P P Entrega &
Soporte

Monitoreo
administracin de recursos humanos
Adquirir y mantener una fuerza de trabajo motivada y compe-

tente y maximizar las contribuciones del personal a los proce-
sos de TI
prcticas de administracin de personal, sensatas,

justas y transparentes para reclutar, alinear, pensionar,
compensar, entrenar, promover y despedir
reclutamiento y promocin
Entrenamiento y requerimientos de calificacio-
nes
desarrollo de conciencia
entrenamiento cruzado y rotacin de puestos
Procedimientos para contratacin, veto y des-
pidos
evaluacin objetiva y medible del desempeo 3
responsabilidades sobre los cambios tcnicos y
da nes
in olo s
de mercado
a c a
e
te cion
g
io
a p e n te
Balance apropiado de recursos internos y exter-

to
a
nos
cn
al
g
lic
st
Plan de sucesin para posiciones clave
7 ADMINISTRACIN DE RECURSOS HUMA- conciencia de seguridad al nivel requerido, para la

NOS ejecucin efectiva de sus tareas. Los programas de
educacin y entrenamiento dirigidos a incrementar
7.1 Reclutamiento y Promocin de Personal los niveles de habilidad tcnica y administrativa del
personal debern ser revisados regularmente.
OBJETIVO DE CONTROL
La Gerencia deber implementar y evaluar regular- 7.5 Entrenamiento Cruzado o Respaldo de personal
mente los procesos necesarios para asegurar que las OBJETIVO DE CONTROL
prcticas de reclutamiento y promocin de personal
tengan como base criterios objetivos y consideren La Gerencia deber proporcionar un suficiente entre-
factores como la educacin, la experiencia y la res- namiento cruzado o contar con personal de respaldo
ponsabilidad. Estos procesos debern estar en lnea para personal clave identificado, con la finalidad de
con las polticas y procedimientos generales de la solucionar posibles ausencias. La Gerencia debe es-
organizacin a este respecto, como son la contrata- tablecer planes de sucesin para todas las funciones
cin, la orientacin, el entrenamiento, evaluacin, y posiciones claves El personal encargado de pues-
asesora, promocin, compensacin y disciplina. La tos sensitivos deber tomar vacaciones sin interrup-
administracin debe asegurar que el conocimiento y ciones y con una duracin suficiente como para pro-
las habilidades necesarias sean continuamente eva- bar la habilidad de la organizacin para manejar ca-
luadas y que la organizacin est en la capacidad de sos de ausencia y detectar actividades fraudulentas.
obtener una fuerza de trabajo que tenga las habilida- 7.6 Procedimientos de Acreditacin de Personal
des para satisfacer los objetivos y metas de la organi-
zacin OBJETIVO DE CONTROL
7.2 Personal Calificado La Gerencia de TI deber asegurar que su personal

se sujete a una revisin o acreditacin de seguridad
OBJETIVO DE CONTROL antes de ser contratado, transferido o promovido,
La Gerencia de la funcin de servicios de informa- dependiendo de lo delicado o sensible del puesto.
cin deber verificar regularmente que el personal Un empleado que no haya pasado por este procedi-
que lleva a cabo tareas especficas est calificado miento de revisin o acreditacin al ser contratado
tomando como base una educacin, entrenamiento y/ por primera vez, no deber ser colocado en un puesto
o experiencia apropiados, segn se requiera. La Ge- delicado hasta que ste haya obtenido la acreditacin
rencia deber alentar al personal para que participe de seguridad.
como miembro, en organizaciones profesionales. 7.7 Evaluacin de Desempeo de los Empleados
7.3 Roles y Responsabilidades OBJETIVO DE CONTROL
OBJETIVO DE CONTROL La Gerencia deber implementar un proceso de eva-
La Gerencia debe definir claramente los roles y res- luacin de desempeo de los empleados, reforzadas
ponsabilidades del personal, incluyendo los requisi- con un efectivo sistema de recompensas que sea di-
tos para adherirse a las polticas y procedimientos seado para ayudar a los empleados a entender la
establecidos por la gerencia, el cdigo de tica y las conexin entre su desempeo y el xito de la organi-
prcticas profesionales. Los trminos y condiciones zacin. La evaluacin debe ser realizada segn los
de los cargos debe estrechar la responsabilidad de los estndares establecidos y las responsabilidades espe-
empleados por la seguridad de la informacin y el cficas del puesto. Los empleados debern recibir
control interno. asesora sobre su desempeo o su conducta cuando
lo requiera.
7.4 Entrenamiento de Personal
7.8 Cambio y Terminacin de Trabajo
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los empleados reci-
ban orientacin al ser contratados, as como entrena- La Gerencia debe asegurar que se tomen acciones
miento y capacitacin constantes con la finalidad de apropiadas y a tiempo en cuanto a cambios y termi-
conservar los conocimientos, habilidades, destrezas y nacin de trabajo para que los controles internos y de
seguridad no se vean perjudicados por estos eventos.

PO8
Planeacin &
Organizacin
di gri dad
co lim ad
b i to
ad
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Adquisicin &
c u nibi
ti v
en
ia
Implementacin
ec
p
te
o
ef
nf
P P S Entrega &
Soporte

Monitoreo
aseguramiento del cumplimiento de requerimientos externos
cumplir con obligaciones legales, regulatorias y contractuales
la identificacin y anlisis de los requerimientos exter-

nos en cuanto a su impacto en TI, y realizando las me-
didas apropiadas para cumplir con ellos
leyes, regulaciones y contratos

monitoreo de desarrollos legales y regula-
torios
Monitoreo regular sobre cumplimiento
seguridad y ergonoma
privacidad
propiedad intelectual
3 3 3
da nes
in olo s
al ga
e
te c i o n
io
ap ente
s
to
ac
a
cn
l ic
g
st
8 ASEGURAMIENTO DE CUMPLIMIENTO 8.5 Comercio Electrnico

DE REQUERIMIENTOS EXTERNOS OBJETIVO DE CONTROL
8.1 Revisin de Requerimientos Externos La Gerencia deber asegurar que se establezcan
OBJETIVO DE CONTROL contratos formales para que existan acuerdos en-
tre socios comerciales sobre procesos de comuni-
La organizacin deber establecer y mantener cacin, as como sobre estndares de mensajes
procedimientos para la revisin de requerimien- transaccionales, seguridad y almacenamiento de
tos externos y para la coordinacin de estas acti- datos. Cuando se realicen operaciones de inter-
vidades. La investigacin continua deber deter- cambio en Internet, la gerencia deber imponer
minar los requerimientos externos aplicables en adecuados controles para asegurar el cumpli-
la organizacin. Debern revisarse los requerimiento de leyes locales y de clientes sobre bases
mientos legales, gubernamentales o cualquier internacionales.
otro requerimiento externo relacionado con las
prcticas y controles de tecnologa de informa- 8.6 Cumplimiento con los Contratos de Seguros
cin. La Gerencia deber tambin evaluar el im- OBJETIVO DE CONTROL
pacto de cualquier relacin externa en las necesi-
dades generales de informacin de la organiza- La Gerencia deber asegurar que los requeri-
cin, incluyendo la determinacin del grado al mientos de contratos de seguros sean apropiada-
cual las estrategias de la funcin de servicios de mente identificados y cumplidos continuamente.
informacin deben soportar o cumplir con los
requerimientos de terceros.
8.2 Prcticas y Procedimientos para el Cumpli-
miento de Requerimientos Externos
OBJETIVO DE CONTROL
Las prcticas organizacionales debern asegurar
que se lleven a cabo oportunamente las acciones
correctivas apropiadas para garantizar el cumpli-
miento de los requerimientos externos. Adems,
debern establecerse y mantenerse procedimien-
tos adecuados que aseguren el cumplimiento con-
tinuo. A este respecto la Gerencia deber solici-
tar apoyo legal en caso necesario.
8.3 Cumplimiento de Seguridad y Ergonoma
OBJETIVO DE CONTROL
La Gerencia deber asegurar el cumplimiento de
los estndares ergonmicos y de seguridad en el
ambiente de trabajo de los usuarios y el personal
de TI.
8.4 Privacidad, propiedad intelectual y Flujo de
Datos
OBJETIVO DE CONTROL
La Gerencia deber asegurar el cumplimiento de
las regulaciones sobre privacidad, propiedad in-
telectual, flujo de datos a entes externos y regula-
ciones criptografa aplicables a las prcticas de
tecnologa de informacin de la organizacin.

PO9
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Adquisicin &
c u nibi
ti v
en
ia
Implementacin
ec
p
te
o
ef
nf
P S P P P S S Entrega &
Soporte
anlisis de riesgos Monitoreo
Soportar las decisiones de la gerencia a travs del logro de los obje-

tivos de TI y responder a las amenazas reduciendo su complejidad e
incrementando objetivamente e identificando factores importantes
de decisin.
la participacin de la propia organizacin en la identificacin

de riesgos de TI y en el anlisis de impacto, involucrando
funciones multidisciplinarias y tomando medidas costo-
efectivas para mitigar los riesgos
Administracin de riesgos de la propiedad y del

registro de las operaciones8
diferentes tipos de riesgos de TI (por ejemplo: tec-
nolgicos, de seguridad, de continuidad, regulato-
rios, etc.) 3 3 3 3 3
Definir y comunicar un perfil tolerable de riesgos
Anlisis de las causas y sesiones de tormenta de
da nes

in olo s
ac a
e
te c i o n
ideas sobre riesgos

io
ap ente
s
to
Medicin cuantitativa y/o cualitativa de los ries-

a

cn
al
lic
g
st
gos
metodologa de anlisis de riesgos
Plan de accin contra los riesgos
Volver a realiza anlisis oportunos 8
Registro de las operaciones: Accountability
9 ANALISIS DE RIESGOS sumos de las tormentas de ideas de la Gerencia,

de planeacin estratgica, auditoras anteriores y
9.1 Evaluacin de Riesgos del Negocio otros anlisis. El anlisis de riesgos debe consi-
OBJETIVO DE CONTROL derar el negocio, regulaciones, aspectos legales,
tecnologa, comercio entre socios y riesgos del
La Gerencia deber establecer un marco de refe- recurso humano.
rencia de evaluacin sistemtica de riesgos. Este
marco de referencia deber incorporar una eva- 9.4 Medicin de Riesgos
luacin regular de los riesgos de informacin OBJETIVO DE CONTROL
relevantes para el logro de los objetivos del ne-
gocio, formando una base para determinar la ma- El enfoque de la evaluacin de riesgos deber
nera en la que los riesgos deben ser manejados a asegurar que la informacin del anlisis de la
un nivel aceptable. El proceso deber proporcio- identificacin de riesgos genere como resultado
nar evaluaciones de riesgos tanto a un nivel glo- una medida cuantitativa y/o cualitativa del riesgo
bal como a niveles especficos del sistema, para al cual est expuesta el rea examinada. Asimis-
nuevos proyectos y para casos recurrentes y con mo, deber evaluarse la capacidad de aceptacin
participacin multidisciplinaria. La Administra- de riesgos de la organizacin.
cin deber asegurar que se realicen reevaluacio- 9.5 Plan de Accin contra Riesgos
nes y que la informacin sobre evaluacin de
riesgos sea actualizada como resultado de audito- OBJETIVO DE CONTROL
ras, inspecciones e incidentes identificados. El enfoque de evaluacin de riesgos deber pro-
9.2 Enfoque de Evaluacin de Riesgos porcionar la definicin de un plan de accin
contra riesgos para asegurar que el costo
OBJETIVO DE CONTROL efectividad de los controles y las medidas de se-
La Gerencia deber establecer un enfoque gene- guridad mitiguen los riesgos en forma continua.
ral para la evaluacin de riesgos que defina el El plan de accin contra los riesgos debe identifi-
alcance y los lmites, la metodologa a ser adop- car la estrategia de riesgos en trminos de evitar,
tada para las evaluaciones de riesgos, las respon- mitigar o aceptar el riesgo.
sabilidades y las habilidades requeridas. La Ge- 9.6 Aceptacin de Riesgos
rencia debe adelantar la identificacin de solu-
ciones para la mitigacin de riesgos e involucrar- OBJETIVO DE CONTROL
se en la identificacin de vulnerabilidades. Espe- El enfoque de la evaluacin de riesgos deber
cialistas de seguridad deben realizar identifica- asegurar la aceptacin formal del riesgo residual,
cin de amenazas y especialistas de TI deben dependiendo de la identificacin y la medicin
dirigir la seleccin de controles. La calidad de las del riesgo, de la poltica organizacional, de la
evaluaciones de riesgos deber estar asegurada incertidumbre incorporada al enfoque de evalua-
por un mtodo estructurado y por asesores exper- cin de riesgos y el costo-efectividad de la im-
tos en riesgos. plementacin de protecciones y controles. El
9.3 Identificacin de Riesgos riesgo residual deber compensarse con una co-
bertura de seguro adecuada, compromisos de ne-
OBJETIVO DE CONTROL gociacin contractual y autoaseguramiento.
La evaluacin de riesgos deber enfocarse al
examen de los elementos esenciales de riesgo y
las relaciones causa/efecto entre ellos. Los ele-
mentos esenciales de riesgo incluyen activos tan-
gibles e intangibles, valor de los activos, amena-
zas, vulnerabilidades, protecciones, consecuen-
cias y probabilidad de amenaza. El proceso de
identificacin de riesgos debe incluir una clasifi-
cacin cualitativa y, donde sea apropiado, clasifi-
cacin cuantitativa de riesgos y debe obtener in-
9.7 Seleccin de Garantas o Protecciones

OBJETIVO DE CONTROL
Mientras se logra un sistema de controles y ga-
rantas razonable, apropiado y proporcional, con-
troles con el mas alto retorno de inversin (ROI -
return of investment) y aquellos que provean
ganancia rpida deben recibir la primera priori-
dad. El sistema de control necesita adems ba-
lancear las medidas de prevencin, deteccin,
correccin y recuperacin. Adicionalmente, la
Gerencia necesita comunicar el propsito de las
medidas de control, manejar el conflicto y moni-
torear continuamente la efectividad de las medi-
das de control.
9.8 Compromiso con el Anlisis de Riesgos
OBJETIVO DE CONTROL
La Gerencia deber motivar el anlisis de riesgos
como una herramienta importante para proveer
informacin para el diseo e implementacin de
controles internos, en la definicin del plan estra-
tgico de tecnologa de informacin y en los me-
canismos de evaluacin y monitoreo.

PO10
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Adquisicin &
c u nibi
ti v
en
ia
Implementacin
ec
p
te
o
ef
nf
P P Entrega &
Soporte
administracin de proyectos Monitoreo
establecer prioridades y entregar servicios oportunamente y de

acuerdo al presupuesto de inversin
La organizacin identificando y priorizando proyectos en l-

nea con el plan operacional y la adopcin y aplicacin de tc-
nicas de administracin de proyectos para cada proyecto em-
prendido
El patrocinio que la gerencia de negocios debe dar a

los proyectos
Administracin de programas
Capacidad para el manejo de proyectos
Involucramiento del usuario
Divisin de tareas, definicin de puntos de control y
aprobacin de fases 3 3 3 3
Distribucin de responsabilidades
da nes
in olo s
Rastreo riguroso de puntos de control y entregables

ac a
e

te c i o n
g
io
ap ente
Costos y presupuestos de mano de obra, balance de

to
a
cn
al
recursos internos y externos

lic
g
st
Planes y mtodos de aseguramiento de calidad

Programa y anlisis de riesgos del proyecto
Transicin de desarrollo a operacin
10 ADMINISTRACIN DE PROYECTOS alta gerencia de la organizacin revise los repor-

tes de los estudios de factibilidad relevantes para
10.1 Marco de Referencia para la Administracin cada proyecto propuesto, como una base para
de Proyectos fundamentar la decisin de proceder con el pro-
OBJETIVO DE CONTROL yecto.
La Gerencia deber establecer un marco de refe- 10.6 Aprobacin de las Fases del Proyecto
rencia general para la administracin de proyec- OBJETIVO DE CONTROL
tos que defina el alcance y los lmites del mismo,
as como la metodologa de administracin de El marco de referencia de administracin de pro-
proyectos a ser adoptada y aplicada para cada yectos de la organizacin deber disponer que
proyecto emprendido. La metodologa deber los Gerentes designados en representacin de las
cubrir, como mnimo, la asignacin de responsa- funciones del usuario y de los servicios de TI
bilidades, la determinacin de tareas, la elabora- aprueben el trabajo realizado en cada fase del
cin de presupuestos de tiempo y recursos, los ciclo antes de iniciar los trabajos de la siguiente
avances, los puntos de revisin y las aprobacio- fase.
nes. 10.7 Plan Maestro del Proyecto
10.2 Participacin del Departamento Usuario en la OBJETIVO DE CONTROL
Iniciacin de Proyectos
La Gerencia deber asegurar que, para cada
OBJETIVO DE CONTROL proyecto aprobado, se cree un plan maestro
El marco de referencia de la administracin de adecuado para mantener el control del proyecto
proyectos de la organizacin deber fomentar la a travs de todo su desarrollo e incluya un m-
participacin del departamento usuario afectado todo de monitoreo del tiempo y los costos incu-
en la definicin y autorizacin de cualquier pro- rridos durante su vida. El contenido del plan del
yecto de desarrollo, implementacin o modifica- proyecto debe contener objetivos, recursos y
cin. responsabilidades requeridos y debe proveer
informacin que permita a la Gerencia medir el
10.3 Miembros y Responsabilidades del Equipo del progreso del proyecto.
Proyecto
10.8 Plan de Aseguramiento de la Calidad del Sis-
OBJETIVO DE CONTROL tema
El marco de referencia de administracin de pro- OBJETIVO DE CONTROL
yectos de la organizacin deber especificar las
bases para asignar a los miembros del personal al La Gerencia deber asegurar que la implementa-
proyecto y definir las responsabilidades y autori- cin de un sistema nuevo o la modificacin de
dades de los miembros del equipo del proyecto. otro incluya la preparacin de un plan de calidad
que sea integrado posteriormente al plan maestro
10.4 Definicin del Proyecto del proyecto y que sea formalmente revisado y
OBJETIVO DE CONTROL acordado por todas las partes interesadas.
El marco de referencia de administracin de pro- 10.9 Planeacin de Mtodos de Aseguramiento

yectos de la organizacin deber generar la crea- OBJETIVO DE CONTROL
cin de un estatuto claro y por escrito que defina
la naturaleza y el alcance de cada proyecto de Las tareas de aseguramiento debern ser defini-
implementacin antes de que los trabajos del das durante la fase de planeacin del marco de
mismo empiecen. referencia de administracin de proyectos. Las
tareas de aseguramiento debern apoyar la acre-
10.5 Aprobacin del Proyecto
OBJETIVO DE CONTROL
El marco de referencia de administracin de pro-
yectos de la organizacin deber asegurar que la
ditacin de sistemas nuevos o modificados y ga-

rantizar que los controles internos y los disposi-
tivos de seguridad cumplan con los requerimien-
tos necesarios.
10.10 Administracin Formal de Riesgos de Pro-
yectos
OBJETIVO DE CONTROL
La Gerencia deber implementar un programa de
administracin formal de riesgos de proyectos
para eliminar o minimizar los riesgos asociados
con proyectos individuales (por ejemplo, identi-
ficacin y control de reas o eventos que tengan
la posibilidad de causar cambios no deseados).
10.11 Plan de Prueba
OBJETIVO DE CONTROL
yectos de la organizacin deber requerir la crea-
cin de un plan de pruebas para cada proyecto de
desarrollo, implementacin y modificacin.
10.12 Plan de Entrenamiento
OBJETIVO DE CONTROL
yectos de la organizacin deber requerir la crea-
cin de un plan de entrenamiento para cada pro-
yecto de desarrollo, implementacin y modifica-
cin.
10.13 Plan de Revisin Post - Implementacin
OBJETIVO DE CONTROL
yectos de la organizacin deber disponer que,
como parte integral de las actividades del equipo
del proyecto, se desarrolle un plan de revisin
post - implementacin para cada sistema de in-
formacin nuevo o modificado, con la finalidad
de determinar si el proyecto ha generado los be-
neficios planeados.

PO11
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Adquisicin &
c u nibi
ti v
en
ia
Implementacin
ec
p
te
o
ef
nf
P P P S Entrega &
Soporte
Administracin de la calidad Monitoreo
satisfacer los requerimientos del cliente de TI
la planeacin, implementacin y mantenimiento de estndares

de administracin de calidad y sistemas provistos para las dis-
tintas fases de desarrollo, claros entregables y responsabilida-
des explcitas
Establecimiento de una cultura de calidad

Planes de calidad
responsabilidades de aseguramiento de la calidad
Practicas de control de calidad
metodologa del ciclo de vida de desarrollo de siste-
mas
pruebas y documentacin de sistemas y programas
revisiones y reporte de aseguramiento de calidad 3 3 3 3
Entrenamiento e involucramiento del usuario final y
da nes
in olo s
del personal de aseguramiento de calidad

ac a
e
te c i o n
g
io
ap ente
Desarrollo de una base de conocimiento de asegura-

to
a
cn
al
miento de calidad
lic
g
st
Benchmarking contra las normas de la industria
11 ADMINISTRACIN DE LA CALIDAD proceso de desarrollo, adquisicin, implementa-

cin y mantenimiento de sistemas de informa-
11.1 Plan General de Calidad cin computarizados y tecnologas relacionadas.
OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de
sistemas elegida deber ser la apropiada para los
La alta gerencia deber desarrollar y mantener sistemas a ser desarrollados, adquiridos, imple-
regularmente un plan general de calidad basado mentados y mantenidos.
en los planes organizacionales y de tecnologa de
informacin a largo plazo. El plan deber pro- 11.6 Metodologa del Ciclo de Vida de Desarrollo
mover la filosofa de mejora continua y contestar de Sistemas para Cambios Mayores a la Tec-
a las preguntas bsicas de qu, quin y cmo. nologa Actual
11.2 Enfoque de Aseguramiento de Calidad OBJETIVO DE CONTROL
OBJETIVO DE CONTROL En el caso de requerirse cambios mayores a la

tecnologa actual, como en el caso de adquisicin
La Gerencia deber establecer un enfoque estn- de nueva tecnologa, la Gerencia deber asegurar
dar con respecto al aseguramiento de calidad, el cumplimiento de la metodologa del ciclo de
que cubra tanto las actividades de aseguramiento vida de desarrollo de sistemas, .
de calidad generales como las especficas de un
proyecto. El enfoque deber determinar el (los) 11.7 Actualizacin de la Metodologa del Ciclo de
tipo(s) de actividades de aseguramiento de cali- Vida de Desarrollo de Sistemas
dad (tales como revisiones, auditoras, inspeccio- OBJETIVO DE CONTROL
nes, etc.) que deben realizarse para alcanzar los
objetivos del plan general de calidad. Asimismo La alta gerencia deber implementar una revisin
deber requerir una revisin especfica de asegu- peridica de su metodologa del ciclo de vida de
ramiento de calidad. desarrollo de sistemas para asegurar que incluya
tcnicas y procedimientos actuales generalmente
11.3 Planeacin del Aseguramiento de Calidad aceptados.
OBJETIVO DE CONTROL 11.8 Coordinacin y Comunicacin
La Gerencia deber implementar un proceso de OBJETIVO DE CONTROL
planeacin de aseguramiento de calidad para de-
terminar el alcance y la duracin de las activida- La Gerencia deber establecer un proceso para
des de aseguramiento de calidad. asegurar la coordinacin y comunicacin estre-
cha entre los clientes de la funcin TI y los im-
11.4 Revisin del Aseguramiento de la Calidad so- plementadores de sistemas. Este proceso deber
bre el Cumplimiento de Estndares y Procedi- ocasionar que los mtodos estructurados que uti-
mientos de TI lice la metodologa del ciclo de vida de desarro-
OBJETIVO DE CONTROL llo de sistemas aseguren la provisin de solucio-
nes de tecnologa de informacin de calidad que
La Gerencia deber asegurar que las responsabili- satisfagan las demandas de negocio. La Geren-
dades asignadas al personal de aseguramiento de cia deber promover una organizacin que se
calidad incluyan una revisin del cumplimiento caracterice por la estrecha cooperacin y comu-
general de los estndares y procedimientos de TI. nicacin a lo largo del ciclo de vida de desarrollo
11.5 Metodologa del Ciclo de Vida de Desarrollo de sistemas.
de Sistemas 11.9 Marco de Referencia de Adquisicin y Man-
OBJETIVO DE CONTROL tenimiento para la Infraestructura de
Tecnologa
La alta gerencia de la organizacin deber definir
e implementar estndares de sistemas de infor- OBJETIVO DE CONTROL
macin y adoptar una metodologa del ciclo de Deber establecerse un marco de referencia ge-
vida de desarrollo de sistemas que gobierne el neral referente a la adquisicin y mantenimiento
de la infraestructura de tecnologa. Los diferen- 11.13 Estndares para Pruebas de Sistemas

tes pasos que deben ser seguidos con respecto a
OBJETIVO DE CONTROL
la infraestructura de tecnologa (tales como ad-
quisicin; programacin, documentacin y La metodologa del ciclo de vida de desarrollo
pruebas; establecimiento de parmetros; mante- de sistemas de la organizacin debe proporcio-
nimiento y aplicacin de correcciones) debern nar estndares que cubran los requerimientos de
estar regidos por y mantenerse en lnea con el pruebas, verificacin, documentacin y reten-
marco de referencia para la adquisicin y man- cin para la prueba total del sistema, como parte
tenimiento de la infraestructura de tecnologa. de cada proyecto de desarrollo o modificacin
de sistemas de informacin.
11.10 Relaciones con Terceras Partes como Imple-
mentadores 11.14 Pruebas Piloto/En Paralelo
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber crear un proceso para ase-
gurar las buenas relaciones de trabajo con los La metodologa del ciclo de vida de desarrollo
implementadores externos que pertenezcan a de sistemas de la organizacin debe definir las
terceras partes. Dicho proceso deber disponer condiciones bajo las cuales debern conducirse
que el usuario y el implementador estn de las pruebas piloto o en paralelo de sistemas nue-
acuerdo sobre los criterios de aceptacin, el ma- vos y/o actuales.
nejo de cambios, los problemas durante el desa- 11.15 Documentacin de las Pruebas del Sistema
rrollo, las funciones de los usuarios, las instala-
ciones, las herramientas, el software, los estn- OBJETIVO DE CONTROL
dares y los procedimientos. La metodologa del ciclo de vida de desarrollo
11.11 Estndares para la Documentacin de Pro- de sistemas de la organizacin debe disponer,
gramas como parte de cualquier proyecto de desarrollo,
OBJETIVO DE CONTROL implementacin o modificacin de sistemas de
informacin, que se conserve la documentacin
La metodologa del ciclo de vida de desarrollo de los resultados de las pruebas del sistema.
de sistemas deber incorporar estndares para la
documentacin de programas que hayan sido 11.16 Evaluacin del Aseguramiento de la Calidad
comunicados y ratificados al personal interesa- sobre el Cumplimiento de Estndares de De-
do. La metodologa deber asegurar que la do- sarrollo
cumentacin creada durante el desarrollo del OBJETIVO DE CONTROL
sistema de informacin o durante la modifica-
cin de los proyectos coincida con estos estn- El enfoque de aseguramiento de calidad de la
dares. organizacin deber requerir que una revisin
post - implementacin de un sistema de infor-
11.12 Estndares para Pruebas de Programas macin operacional evale si el equipo encarga-
OBJETIVO DE CONTROL do del proyecto, cumpli con las estipulaciones
de la metodologa del ciclo de vida de desarro-
La metodologa del ciclo de vida de desarrollo llo de sistemas.
de sistemas de la organizacin debe proporcio-
nar estndares que cubran los requerimientos de
pruebas, verificacin, documentacin y reten-
cin para probar las unidades de software y los
programas agregados9, creados como parte de
cada proyecto de desarrollo o modificacin de
sistemas de informacin.
9
Agregados (aggregated)
11.17 Revisin del Aseguramiento de Calidad sobre

el Logro de los Objetivos de TI
OBJETIVO DE CONTROL
El enfoque de aseguramiento de calidad deber
incluir una revisin de hasta qu punto los sis-
temas particulares y las actividades de desarro-
llo de aplicaciones han alcanzado los objetivos
de la funcin de servicios de informacin.
11.18 Mtricas de calidad
OBJETIVO DE CONTROL
La gerencia deber definir y utilizar mtricas
para medir los resultados de actividades, eva-
luando si las metas de calidad han sido alcanza-
das.
11.19 Reportes de Revisiones de Aseguramiento de
Calidad
OBJETIVO DE CONTROL
Los reportes de revisiones de aseguramiento de
calidad debern ser preparados y enviados a la
Gerencia de los departamentos usuarios y de la
funcin de servicios de informacin (TI).
(AI)
ADQUISICION E IMPLEMENTACIN

ADQUISICION E IMPLEMENTACION
AI1
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
Adquisicin &
lid
s p da
in c ia
c u nibi
ti v
Implementacin
en
ia
ec
p
te
o
ef
nf
P S Entrega &
Soporte

Monitoreo
Identificacin de soluciones automatizadas
asegurar un efectivo y eficiente enfoque para satisfacer los reque-

rimientos del usuario
Una objetiva y clara identificacin y anlisis de oportunidades

alternativas comparadas contra los requerimientos de los
usuarios
Conocimientos de soluciones disponibles en el mer-

cado
Metodologas de Adquisicin e implementacin
Involucramiento del usuario en el proceso de com-
pra
Alineamiento con las estrategias de la empresa y de
TI 3 3 3
definicin de requerimientos de informacin
estudios de factibilidad ( de costo-beneficio, alter-
da nes

in olo s
ac a
e
te c i o n
nativas, etc)
io
ap ente
s
to
Requerimientos de funcionalidad, operatividad,

a

cn
al
lic
g
st
aceptacin y sostenimiento
Cumplimiento con la arquitectura de informacin
Costo - efectividad de la seguridad y los controles
Responsabilidades de los proveedores
1 IDENTIFICACIN DE SOLUCIONES AU- no.

TOMATIZADAS 1.5 Estudio de Factibilidad Tecnolgica
1.1 Definicin de Requerimientos de Informacin OBJETIVO DE CONTROL
OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de
La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe estipular un
sistemas de la organizacin debe asegurar que examen de factibilidad tecnolgica de cada alter-
los requerimientos del negocio ya satisfechos por nativa con la finalidad de satisfacer los requeri-
el sistema actual y a ser satisfechos por el siste- mientos de negocio establecidos para el desarro-
ma nuevo propuesto o modificado (software, da- llo de un proyecto propuesto de cualquier siste-
tos e infraestructura), estn claramente definidos ma nuevo o modificado.
antes de aprobar cualquier proyecto de desarro- 1.6 Estudio de Factibilidad Econmica
llo, implementacin o modificacin. La metodo-
loga del ciclo de vida de desarrollo de sistemas OBJETIVO DE CONTROL
deber exigir que los requerimientos de las solu- La metodologa del ciclo de vida de desarrollo de
ciones funcionales y operacionales sean especifi- sistemas de la organizacin debe generar, en ca-
cados, incluyendo desempeo, proteccin, con- da proyecto de desarrollo, implementacin y mo-
fiabilidad, compatibilidad, seguridad y legisla- dificacin de sistemas de informacin propuesto,
cin. el anlisis de los costos y beneficios asociados
1.2 Formulacin de Acciones Alternativas con cada alternativa considerada para satisfacer
los requerimientos del negocio establecidos.
OBJETIVO DE CONTROL
1.7 Arquitectura de Informacin
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe proveer el an- OBJETIVO DE CONTROL
lisis de las acciones alternativas que debern sa- La Gerencia deber asegurar que se tome en con-
tisfacer los requerimientos del negocio, estable- sideracin el modelo de datos de la empresa al
cidos para un sistema nuevo o modificado. definir las soluciones y analizar la factibilidad de
1.3 Formulacin de Estrategias de Adquisicin las mismas.
OBJETIVO DE CONTROL 1.8 Reporte de Anlisis de Riesgos
La adquisicin, desarrollo y mantenimiento de OBJETIVO DE CONTROL

sistemas de informacin debe ser considerada en La metodologa del ciclo de vida de desarrollo de
el contexto de la tecnologa de informacin de la sistemas de la organizacin debe asegurar, en
organizacin y en sus planes a largo y corto pla- cada proyecto de desarrollo, implementacin y
zo. La metodologa del ciclo de vida de desarro- modificacin de sistemas de informacin pro-
llo de sistemas de la organizacin debe estipular puesto, el anlisis y la documentacin de las
un plan de estrategia de adquisicin del software, amenazas a la seguridad, puntos de impacto y
definiendo si el software ser adquirido del ana- debilidad y protecciones factibles de seguridad y
quel10, desarrollados internamente, a travs de control interno, con la finalidad de reducir o eli-
contratacin, por mejoramiento del software exis- minar el riesgo identificado. Esto deber llevar-
tente o mediante una combinacin de estos. se a cabo en lnea con el marco de referencia ge-
1.4 Requerimientos de Servicios de Terceros neral de evaluacin de riesgos.
OBJETIVO DE CONTROL
10
Del anaquel (off-the-shelf): se dice de productos de soft-
La metodologa del ciclo de vida de desarrollo de ware terminados que pueden adquirirse directamente de un
sistemas de la organizacin debe estipular la eva- proveedor o distribuidor.
luacin de requerimientos y las especificaciones 11
Solicitud de propuesta (request for proposal, RFP): invi-
para una RFP (Solicitud de Propuesta)11 cuando tacin que se extiende a proveedores para que presenten
se negocie con un proveedor de servicios exter- una propuesta.Trminos de referencia
1.9 Costo - efectivo de los controles de Seguridad 1.13 Control de Abastecimiento

La Gerencia deber asegurar que los costos y La Gerencia deber desarrollar e implementar un
beneficios de seguridad sean examinados cuida- enfoque central de abastecimientos que describa un
dosamente en trminos monetarios y no moneta- conjunto comn de procedimientos y estndares a
rios, para garantizar que los costos de los contro- ser seguidos en la adquisicin de hardware, software
les no excedan a los beneficios. La decisin re- y servicios relacionados con la tecnologa de infor-
querir la firma de aprobacin formal de la Ge- macin. Los productos debern ser revisados y pro-
rencia. Todos los requerimientos de seguridad bados antes de su utilizacin y pago.
debern ser identificados en la fase de requeri-
1.14 Adquisicin de Productos de Software
mientos de un proyecto y justificados, acordados
y documentados como parte del caso total del OBJETIVO DE CONTROL
negocio para un sistema de informacin. Los re-
querimientos de seguridad para la administracin La adquisicin de productos de software deber
de la continuidad del negocio deben ser definidos seguir las polticas de adquisicin de la organiza-
para asegurar que la activacin planeada, la recu- cin.
peracin y la reactivacin de procesos son sopor- 1.15 Mantenimiento de Software de Terceras Par-
tadas por la solucin propuesta. tes
OBJETIVO DE CONTROL
1.10 Diseo de Pistas de Auditora
OBJETIVO DE CONTROL La Gerencia deber asegurar que, para el softwa-
re con licencia adquirido a terceras partes, los
La metodologa del ciclo de vida de desarrollo de proveedores cuenten con los procedimientos
sistemas de la organizacin debe asegurar que apropiados para validar, proteger y mantener los
existan mecanismos adecuados para que las pis- derechos de integridad de los productos de soft-
tas de auditora estn disponibles o que dichos ware. Deber tomarse en consideracin el sopor-
mecanismos puedan ser desarrollados para la te del producto en cualquier acuerdo de manteni-
solucin identificada y seleccionada. Los meca- miento relacionado con el producto entregado.
nismos debern proporcionar la capacidad de
proteger datos sensitivos (ej. identificacin de 1.16 Contratos de Programacin de Aplicaciones
usuarios -user IDs- contra divulgacin o mal OBJETIVO DE CONTROL
uso)
1.11 Ergonoma sistemas de la organizacin debe asegurar que
OBJETIVO DE CONTROL los servicios de programacin contratados estn
justificados con una solicitud de servicios por
La Gerencia deber asegurar que los proyectos escrito elaborada por un miembro designado de
de desarrollo, implementacin y cambios em- la funcin de servicios de informacin. El con-
prendidos por la funcin de TI, tomen en consi- trato deber estipular que el software, la docu-
deracin los aspectos ergonmicos asociados con mentacin y otros elementos entregables12 estn
la introduccin de soluciones automatizadas. sujetos a pruebas y revisiones antes de ser acep-
tados. Adems, deber asegurar que los produc-
1.12 Seleccin del Software del Sistema
tos finales incluidos en el contrato de servicios
OBJETIVO DE CONTROL de programacin sean revisados y probados de
acuerdo con los estndares definidos por el grupo
La Gerencia deber asegurar que la funcin de
de aseguramiento de calidad de la funcin de
servicios de informacin cumpla con un procedi-
servicios de informacin y otras partes interesa-
miento estndar para identificar todos los progra-
mas de software potenciales que debern satisfa-
12
cer sus requerimientos operacionales. Entregable (deliverable): un producto formal que es en-
tregado como parte final de un proceso o trabajo.
das (como usuarios, administradores de proyecto,

etc.) antes de pagar por el trabajo y aprobar el
producto final. Las pruebas que debern ser in-
cluidas en las especificaciones del contrato debe-
rn consistir en pruebas del sistema, pruebas de
integracin, pruebas de hardware y componentes,
pruebas de procedimientos, pruebas de carga y
estrs, pruebas de afinacin y desempeo, prue-
bas de regresin, pruebas de aceptacin del usua-
rio y, finalmente, pruebas piloto del sistema to-
tal, con la finalidad de evitar fallas no esperadas
del mismo.
1.17 Aceptacin de Instalaciones
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, dentro del con-
trato con el proveedor, se acuerde un plan de
aceptacin para las instalaciones que se propor-
cionarn, el cual defina los procedimientos y cri-
terios de aceptacin. Adems, debern llevarse a
cabo pruebas de aceptacin para garantizar que
la instalacin y el medio ambiente cumplan con
los requerimientos especificados en el contrato.
1.18 Aceptacin de Tecnologa
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, dentro del con-
trato con el proveedor, se acuerde un plan de
aceptacin para la tecnologa especfica a ser
proporcionada, el cual defina los procedimientos
y criterios de aceptacin. Adems, las pruebas
de aceptacin establecidas en el plan, debern
incluir inspeccin, pruebas de funcionalidad y
seguimiento de cargas de trabajo.

AI2
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
Adquisicin &
lid
s p da
in c ia
c u nibi
ti v
Implementacin
en
ia
ec
p
te
o
ef
nf
P P S S S Entrega &
Soporte

Monitoreo
adquisicin y mantenimiento del software de aplicacin
proporcionar funciones automatizadas que soporten efectiva-

mente los procesos del negocio
la definicin de declaraciones especficas sobre reque-

rimientos funcionales y operacionales y una imple-
mentacin estructurada con entregables claros
pruebas funcionales y de aceptacin

controles de aplicacin y requerimientos
de seguridad
Requerimientos de documentacin
Ciclo de vida del software de aplicacin
Arquitectura en la informacin empresarial
Metodologa para el ciclo de vida de desa- 3
rrollo del sistema
Interfase usuario-maquina
da nes

in olo s
ac a
e
te c i o n
Personalizacin de paquetes
io
ap ente
s
to
a
cn
al
lic
g
st
2 ADQUISICIN Y MANTENIMIENTO DEL 2.5 Especificaciones de Programas

SOFTWARE DE APLICACIN OBJETIVO DE CONTROL
2.1 Mtodos de Diseo La metodologa del ciclo de vida de desarrollo de
OBJETIVO DE CONTROL sistemas de la organizacin debe requerir la pre-
paracin de especificaciones detalladas por escri-
La metodologa del ciclo de vida de desarrollo de to, de los programas para cada proyecto de desa-
sistemas de la organizacin debe estipular que se rrollo o modificacin de sistemas de informa-
apliquen tcnicas y procedimientos apropiados, cin. Adems, la metodologa deber garantizar
incluyendo una estrecha relacin con los usua- que las especificaciones de los programas corres-
rios del sistema, en la creacin de las especifica- pondan a las especificaciones del diseo del sis-
ciones de diseo para cada nuevo proyecto de tema.
desarrollo de sistemas de informacin, verifican-
do las especificaciones del diseo contra los re- 2.6 Diseo para la Recopilacin13 de Datos Fuente
querimientos del usuario. OBJETIVO DE CONTROL
2.2 Cambios Significativos a Sistemas Actuales La metodologa del ciclo de vida de desarrollo de
OBJETIVO DE CONTROL sistemas de la organizacin debe requerir la es-
pecificacin de mecanismos adecuados, para la
La Gerencia deber asegurar que, en caso de pre- recopilacin y entrada de datos para cada proyec-
sentarse la necesidad de realizar modificaciones to de desarrollo o modificacin de sistemas de
significativas a los sistemas actuales, se siga un informacin.
proceso de desarrollo similar al utilizado en el
desarrollo de sistemas nuevos. 2.7 Definicin y Documentacin de Requerimien-
tos de Entrada de Datos
2.3 Aprobacin del Diseo
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir que
sistemas de la organizacin requerir que las es- existan mecanismos adecuados para definir y
pecificaciones de diseo para todos los proyectos documentar los requerimientos de entrada de da-
de desarrollo y modificacin de sistemas de in- tos para cada proyecto de desarrollo o modifica-
formacin, sean revisados y aprobados por la cin de sistemas de informacin.
Gerencia, por los departamentos usuarios afecta-
dos y por la alta gerencia de la organizacin, 2.8 Definicin de Interfases
cuando esto sea pertinente. OBJETIVO DE CONTROL
2.4 Definicin y Documentacin de Requerimien- La metodologa del ciclo de vida de desarrollo de
tos de Archivos sistemas de la organizacin debe estipular que se
OBJETIVO DE CONTROL especifiquen, diseen y documenten apropiada-
mente todas las interfases internas y externas.
sistemas de la organizacin debe asegurar la apli-
cacin de un procedimiento apropiado para la
definicin y documentacin del formato de los
archivos para cada proyecto de desarrollo y mo-
dificacin de sistemas de informacin. Este pro-
cedimiento deber garantizar el respeto a las re-
glas de diccionario de datos.
13
Recopilacin (collection): recabar o reunir informacin.
2.9 Interfase Usuario-Mquina 2.13 Disponibilidad como Factor Clave de Diseo

La metodologa del ciclo de vida de desarrollo de La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe asegurar el desarro- sistemas de la organizacin debe asegurar que la dis-
llo de una interfase entre el usuario y la mquina fcil ponibilidad sea considerada en el proceso de diseo
de utilizar y que sea capaz de autodocumentarse (por de nuevos o modificados sistemas de informacin en
medio de funciones de ayuda en lnea). la fase ms temprana posible. La disponibilidad de-
be ser analizada y, en caso necesario, incrementada a
2.10 Definicin y Documentacin de Requerimien-
travs de mejoras de mantenimiento y confiabilidad.
tos de Procesamiento
2.14 Consideraciones de Integridad de TI para el
OBJETIVO DE CONTROL
Software de Programas de Aplicacin
OBJETIVO DE CONTROL
sistemas de la organizacin debe requerir que
existan mecanismos adecuados para definir y La organizacin deber establecer procedimien-
documentar los requerimientos de procesamiento tos para asegurar, cuando esto aplique, que los
para cada proyecto de desarrollo o modificacin programas de aplicacin contengan instrucciones
de sistemas de informacin. que verifiquen rutinariamente las tareas realiza-
das por el software, para apoyar el aseguramien-
2.11 Definicin y Documentacin de Requerimien-
to de la integridad de los datos y el cual haga po-
tos de Salida de Datos
sible la restauracin de la integridad a travs de
OBJETIVO DE CONTROL procedimientos de recuperacin en reversa14 u
otros medios.
sistemas de la organizacin debe requerir que 2.15 Pruebas de Software de Aplicacin
existan mecanismos adecuados para definir y
OBJETIVO DE CONTROL
documentar los requerimientos de salida de datos
para cada proyecto de desarrollo o modificacin Debern aplicarse pruebas unitarias, pruebas de
de sistemas de informacin aplicacin, pruebas de integracin y pruebas de
carga y estrs, de acuerdo con el plan de prueba
2.12 Controlabilidad
del proyecto y con los estndares de pruebas es-
OBJETIVO DE CONTROL tablecidos antes de ser aprobado por el usuario.
Se debern aplicar adecuadas medidas de seguri-
La metodologa del ciclo de vida de desarrollo de dad para prevenir divulgacin de informacin
sistemas de la organizacin debe requerir que se es- sensitiva durante las pruebas.
pecifiquen mecanismos adecuados, para garantizar
que se identifiquen los requerimientos de seguridad y 2.16 Materiales de Consulta y Soporte para Usua-
control internos para cada proyecto de desarrollo o rios
modificacin de sistemas de informacin. La meto-
OBJETIVO DE CONTROL
dologa deber asegurar adems que los sistemas de
informacin estn diseados para incluir controles de La metodologa del ciclo de vida de desarrollo de
aplicacin que garanticen que los datos de entrada y sistemas de la organizacin debe asegurar que se
salida estn completos, sean precisos, oportunos y preparen manuales de referencia y soporte adecuados
autorizados. Deber llevarse a cabo una evaluacin para los usuarios (preferiblemente en formato elec-
de sensibilidad durante el inicio del desarrollo o mo- trnico) como parte de cada proyecto de desarrollo o
dificacin del sistema. Los aspectos bsicos de segu- modificacin de sistemas de informacin
ridad y control interno de un sistema a ser desarrolla-
do o modificado debern ser evaluados junto con el
diseo conceptual del mismo, con el fin de integrar
los conceptos de seguridad en el diseo, tan pronto 14
En reversa (rollback): estrategia de recuperacin de bases
como sea posible. de datos que se utiliza para restaurar un estado previo de
los datos
2.17 Reevaluacin del Diseo del Sistema

OBJETIVO DE CONTROL
sistemas de la organizacin debe asegurar que el
diseo del sistema sea reevaluado siempre que
ocurran discrepancias tcnicas y/o lgicas duran-
te el desarrollo o mantenimiento del sistema.

AI3
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
Adquisicin &
lid
s p da
in c ia
c u nibi
ti v
Implementacin
en
ia
ec
p
te
o
ef
nf
P P S Entrega &
Soporte

Monitoreo
adquisicin y mantenimiento de la infraestructura tecnolgica
proporcionar las plataformas apropiadas para soportar las apli-

caciones de negocios
la juiciosa adquisicin de hardware y software, estan-

darizacin del software, anlisis del rendimiento del
hardware y de software y la administracin consistente
del sistema
Cumplimiento con las direcciones y estn-

dares de la infraestructura tecnolgica
evaluacin de tecnologa
Instalacin, mantenimiento y control de
cambios
Actualizacin, conversin y planes de mi- 3
gracin
Uso de infraestructuras y/o recursos inter-
da nes

in olo s
ac a
e
te c i o n
nos y externos
io
ap ente
s
to
Responsabilidades y relaciones del provee-

a

cn
al
lic
g
st
dor
Administracin de cambios
Costo total de propiedad
Seguridad del software del sistema
3 ADQUISICIN Y MANTENIMIENTO DE 3.5 Mantenimiento del Software del Sistema

INFRAESTRUCTURA TECNOLOGICA OBJETIVO DE CONTROL
3.1 Evaluacin de Nuevo Hardware y Software Debern implementarse procedimientos para ase-
OBJETIVO DE CONTROL gurar que el software del sistema sea mantenido
de acuerdo al marco de referencia de adquisicin
Criterios de seleccin de hardware y software y mantenimiento para infraestructura de tecnolo-
debern basarse en especificaciones funcionales ga.
para el nuevo sistema o para el que se va a modi-
ficar y se deben identificar los requerimientos 3.6 Controles para Cambios del Software del Sis-
mandatorios y opcionales. Debern establecerse tema
procedimientos para evaluar el impacto de nuevo OBJETIVO DE CONTROL
hardware y software sobre el rendimiento del
sistema en general. Debern implementarse procedimientos para ase-
gurar que las modificaciones realizadas al soft-
3.2 Mantenimiento Preventivo para Hardware ware del sistema sean controladas de acuerdo
OBJETIVO DE CONTROL con los procedimientos de administracin de
cambios de la organizacin.
La Gerencia de la funcin de servicios de infor- 3.7 Uso y monitoreo de los utilitarios (utilities) del
macin deber agendar o programar el manteni- sistema
miento rutinario y peridico del hardware con el
fin de reducir la frecuencia y el impacto de fallas OBJETIVO DE CONTROL
de rendimiento.
Polticas y tcnicas deben ser implementadas pa-
3.3 Seguridad del Software del Sistema
ra usar, monitorear y evaluar el uso de los utilita-
OBJETIVO DE CONTROL rios del sistema. Las responsabilidades por el uso
de utilitarios de software sensitivo deben estar
La Gerencia de la funcin de servicios de infor-
claramente definidas y entendidas por los
macin deber asegurar que la instalacin del
desarrolladores y el uso de los utilitarios debe
software del sistema no arriesgue la seguridad de
ser monitoreado y registrado.
los datos y programas ya almacenados en el mis-
mo. Deber prestarse gran atencin a la instala-
cin y mantenimiento de los parmetros del soft-
ware del sistema.
3.4 Instalacin del Software del Sistema
OBJETIVO DE CONTROL
Debern implementarse procedimientos para ase-
gurar que el software del sistema sea instalado de
acuerdo al marco de referencia de adquisicin y
mantenimiento de infraestructura de tecnologa.
Las pruebas debern ser llevadas a cabo antes de
autorizarse su utilizacin en ambiente de produc-
cin. Un grupo independiente de usuarios y
desarrolladores debe controlar el traslado de pro-
gramas y datos entre las libreras.

AI4
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
Adquisicin &
lid
s p da
in c ia
c u nibi
ti v
Implementacin
en
ia
ec
p
te
o
ef
nf
P P S S S Entrega &
Soporte

Monitoreo
Desarrollo y mantenimiento de Procedimientos
asegurar el uso apropiado de las aplicaciones y de las solucio-

nes tecnolgicas establecidas
un enfoque estructurado del desarrollo de manuales de

procedimientos para las operaciones y para los usua-
rios, requerimientos de servicio y material de entrena-
miento
Rediseo de los procesos de negocios

Tratamiento de procedimientos como cual-
quier otra tecnologa disponible
Desarrollo a tiempo
procedimientos y controles de usuarios
procedimientos y controles operacionales 3 3 3 3
materiales de entrenamiento
Administracin de cambios
da nes

in olo s
ac a
e
te c i o n
g
io
ap ente
s
to
a
cn
al
lic
g
st
4 DESARROLLO Y MANTENIMIENTO DE
PROCEDIMIENTOS
4.1 Requerimientos Operacionales y Niveles de
Servicios
OBJETIVO DE CONTROL
sistemas de la organizacin debe asegurar la de-
finicin oportuna de requerimientos operaciona-
les y niveles de servicio.
4.2 Manual de Procedimientos para Usuario
OBJETIVO DE CONTROL
sistemas de la organizacin debe asegurar que se
preparen y actualicen manuales adecuados de
procedimientos para los usuarios como parte de
cada proyecto de desarrollo o modificacin de
sistemas de informacin.
4.3 Manual de Operaciones
OBJETIVO DE CONTROL
prepare y se mantenga actualizado un manual de
operaciones adecuado como parte de cada pro-
yecto de desarrollo o modificacin de sistemas
de informacin.
4.4 Material de Entrenamiento
OBJETIVO DE CONTROL
desarrollen materiales de entrenamiento adecua-
dos como parte de cualquier proyecto de desarro-
llo, implementacin o modificacin de sistemas
de informacin. Estos materiales debern enfo-
carse al uso del sistema en la prctica diaria.

AI5
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
Adquisicin &
lid
s p da
in c ia
c u nibi
ti v
Implementacin
en
ia
ec
p
te
o
ef
nf
P S S Entrega &
Soporte

Monitoreo
instalacin y acreditacin de sistemas
verificar y confirmar que la solucin sea adecuada para el pro-

psito deseado
la realizacin de una migracin de instalacin, conver-

sin y plan de aceptacin adecuadamente formaliza-
dos
Entrenamiento del usuario y personal de
operaciones de TI
Conversin de datos
Una prueba ambiental reflejando al am-
biente real
Acreditacin
revisiones post implementacin y retroali-
mentacin 3 3 3 3 3
Participacin del usuario final en las prue-
bas
da nes
in olo s
ac a
e
te c i o n
Planes continuos de mejoramiento de cali-

io
ap ente
s
to
dad
a
cn
al
lic
g
st
Requerimientos de continuidad del negocio

Medicin de capacidad y desempeo a tra-
vs del sistema
Acuerdos y criterios de aceptacin
5 INSTALACIN Y ACREDITACIN DE SIS- 5.5 Conversin de Datos

TEMAS OBJETIVO DE CONTROL
5.1 Entrenamiento La Gerencia debe requerir que el plan de conver-
OBJETIVO DE CONTROL sin de datos este preparado, definiendo los m-
todos de recoleccin y verificacin de los datos
El personal de los departamentos usuarios afecta- que sern convertidos e identificando y resol-
dos y el grupo de operaciones de la funcin de viendo cualquier error encontrado durante la
servicios de informacin debern estar entrena- conversin. Las pruebas a ser desarrolladas in-
dos de acuerdo al plan de entrenamiento definido cluyen la comparacin, del archivo original, y el
y los materiales relacionados, como parte de convertido, revisin de la compatibilidad de los
cualquier proyecto de desarrollo, implementa- datos transformados con el nuevo sistema, revi-
cin o modificacin de sistemas de informacin. sin de los archivos maestros despus de la con-
versin para asegurar la precisin de los datos de
5.2 Dimensionamiento15 del Desempeo del Soft-
los archivo maestros y as asegurar que las tran-
ware de Aplicacin
sacciones realizadas actualicen tanto a los archi-
OBJETIVO DE CONTROL vos maestros antiguos como los nuevos durante
el periodo entre la conversin inicial y la imple-
El dimensionamiento (optimizacin) del desem-
mentacin final. Una verificacin detallada de
peo del software de aplicacin deber estable-
los procesos iniciales del nuevo sistema deben
cerse como una parte integral de la metodologa
ser desarrollados para confirmar una implemen-
del ciclo de vida de desarrollo de sistemas de la
tacin exitosa. La gerencia debe asegurar que la
organizacin para predecir los recursos requeri-
responsabilidad de la transformacin exitosa de
dos para operar software nuevo o significativa-
datos recaiga sobre los propietarios del sistema.
mente modificado.
5.6 Planes y estrategias de prueba
5.3 Plan de implementacin
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Los planes y las estrategias de prueba deben es-
Un plan de implementacin debe ser preparado,
tar preparadas y autorizadas por el propietario
revisado y aprobado por partes relevantes y debe
del sistema y por la gerencia de TI.
ser usado para medir el progreso. El plan de im-
plementacin debe estar direccionado hacia la 5.7 Pruebas a Cambios
preparacin del sitio, adquisicin e instalacin de
OBJETIVO DE CONTROL
equipos, entrenamiento del usuario, instalacin
de cambios al software operativo, implementa- La Gerencia deber asegurar que los cambios
cin de procedimientos operativos y conversin.. sean probados por un grupo de prueba indepen-
diente (distinto al de los desarrolladores) de
5.4 Conversin del Sistema
acuerdo con la evaluacin de impacto y recursos
OBJETIVO DE CONTROL en un ambiente de prueba separado antes de co-
menzar su uso en el ambiente de operacin regu-
lar. Tambin debern desarrollarse planes de res-
sistemas de la organizacin debe asegurar, como
paldo externo16. Las pruebas de aceptacin debe-
parte de cada proyecto de desarrollo, implemen-
rn llevarse a cabo en un ambiente representativo
tacin o modificacin de sistemas de informa-
del ambiente operacional futuro (por ejemplo,
cin, que los elementos necesarios del sistema
condiciones similares de seguridad, controles
anterior sean convertidos al sistema nuevo de
internos, cargas de trabajo, etc.)
acuerdo con el plan preestablecido.
15 Dimensionamiento (sizing): asignar la dimen-

sin o tamaa adecuado.
16 Respaldo externo (back-out)
5.8 Criterios y Desempeo de Pruebas en Parale-

lo/Piloto
5.12 Paso o promocin a Produccin
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Deben establecerse procedimientos para asegurar La Gerencia deber definir e implementar pro-
que las pruebas piloto o en paralelo sean llevadas cedimientos formales para controlar la entrega
a cabo de acuerdo con un plan preestablecido y del sistema de desarrollo a pruebas y a opera-
que los criterios para la terminacin del proceso cin. La Gerencia debe solicitar que se obtenga
de pruebas sean especificados con anterioridad. la autorizacin del propietario del sistema antes
que el nuevo sistema sea trasladado a produc-
5.9 Prueba de Aceptacin Final
cin y antes que el sistema viejo sea desconti-
OBJETIVO DE CONTROL nuado. El nuevo sistema ser sucesivamente
operado durante los ciclos de produccin dia-
Los procedimientos debern asegurar, como par- ria, mensual y trimestral. Los ambientes res-
te de las pruebas de aceptacin final o de asegu- pectivos debern separarse y protegerse apro-
ramiento de calidad de sistemas de informacin piadamente.
nuevos o modificados, una evaluacin y aproba-
cin formal de los resultados de las pruebas por 5.13 Evaluacin del Cumplimiento de los Reque-
parte de la Gerencia de los departamentos usua- rimientos del Usuario
rios afectados y de TI. Las pruebas deben cubrir
OBJETIVO DE CONTROL
todos los componentes del sistema de informa-
cin (software de aplicacin, instalaciones, tec- La metodologa del ciclo de vida de desarrollo
nologa, procedimientos de usuarios). de sistemas de la organizacin debe requerir
que se realice una revisin post - implementa-
5.10 Pruebas y Acreditacin de Seguridad
cin de los requerimientos operacionales del
OBJETIVO DE CONTROL sistema de informacin (por ejemplo, capaci-
dad, desempeo de procesamiento a travs del
La Gerencia deber definir e implementar proce- sistema etc.) con el fin de evaluar si las necesi-
dimientos para asegurar que la Gerencia de ope- dades del usuario estn siendo satisfechas por
raciones y la Gerencia usuaria acepten formal- el sistema.
mente los resultados de las pruebas y el nivel de
seguridad para los sistemas, junto con el riesgo 5.14 Revisin Gerencial Post - Implementacin
residual existente. Esos procedimientos deben
OBJETIVO DE CONTROL
reflejar los roles y responsabilidades acordados
entre el usuario final, desarrollo de sistemas, ad- La metodologa del ciclo de vida de desarrollo
ministracin de red y del personal de operaciones de sistemas de la organizacin debe requerir
del sistema, considerando los aspectos de segre- que una revisin post - implementacin del sis-
gacin de cuentas, supervisin y control. tema de informacin operacional evale y re-
porte si el sistema proporcion los beneficios
5.11 Prueba Operacional
esperados de la manera ms econmica.
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, antes de poner
el sistema en operacin, el usuario o custodio
designado (la parte designada para correr el siste-
ma en nombre del usuario), valide su operacin
como un producto completo, bajo condiciones
similares a las del ambiente de aplicacin y de la
misma manera en que el sistema ser operado en 38 Entrega (handover): traspaso del sistema de un
un ambiente de produccin. ambiente de pruebas al ambiente de produccin.
39 Desempeo de procesamiento (throughput)
capacidad de procesamiento de datos de un siste-

ma de informatin.

AI6
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
Adquisicin &
lid
s p da
in c ia
c u nibi
ti v
Implementacin
en
ia
ec
p
te
o
ef
nf
P P P P S Entrega &
Soporte

Monitoreo
administracin de cambios
minimizar la probabilidad de interrupciones, alteraciones no

autorizadas y errores
un sistema de administracin que permita el anlisis,

implementacin y seguimiento de todos los cambios
requeridos y llevados a cabo a la infraestructura de TI
actual
identificacin de cambios
procedimientos de categorizacin, prioriza-
cin y emergencia
Anlisis de impacto
autorizacin de cambios
Administracin de la liberacin del cambio 3 3 3 3 3
distribucin de software
Uso de herramientas automatizadas
da nes

in olo s
ac a
e
te c i o n
Administracin de la configuracin
io
ap ente
s
to
Rediseo del proceso del negocio

a

cn
al
lic
g
st
6 ADMINISTRACIN DE CAMBIOS 6.5 Documentacin y Procedimientos

6.1 Inicio y Control de Solicitudes de Cambio OBJETIVO DE CONTROL
OBJETIVO DE CONTROL El procedimiento de cambios deber asegurar
que, siempre que se implementen modificaciones
La Gerencia deber asegurar que todas las solici- a un sistema, la documentacin y procedimientos
tudes de cambios tanto internos como por parte relacionados sean actualizados de manera corres-
de proveedores estn estandarizados y sujetos a pondiente.
procedimientos formales de administracin de
cambios. Las solicitudes debern categorizarse y 6.6 Mantenimiento Autorizado
priorizarse y se deben establecer procedimientos OBJETIVO DE CONTROL
especficos para manejar cambios urgentes. Los
solicitantes de los cambios deben permanecer La Gerencia de TI deber asegurar que el perso-
informados acerca del estatus de su solicitud. nal de mantenimiento tenga asignaciones espec-
ficas y que su trabajo sea monitoreado apropia-
6.2 Anlisis de Impacto damente. Adems, sus derechos de acceso al
OBJETIVO DE CONTROL sistema debern ser controlados para evitar ries-
gos de accesos no autorizados a los sistemas au-
Deber establecerse un procedimiento para ase- tomatizados.
gurar que todas las solicitudes de cambio sean
evaluadas en una forma estructurada que consi- 6.7 Poltica de Liberacin de Software
dere todos los posibles impactos que el cambio OBJETIVO DE CONTROL
pueda ocasionar sobre el sistema operacional y
su funcionalidad. La Gerencia de TI deber garantizar que la libe-
racin de software est regida por procedimien-
6.3 Control de Cambios tos formales asegurando aprobacin, empaque17,
OBJETIVO DE CONTROL pruebas de regresin, entrega, etc.
La Gerencia de TI deber asegurar que la admi- 6.8 Distribucin de Software
nistracin de cambios, as como el control y la OBJETIVO DE CONTROL
distribucin de software sean integrados apropia-
damente en un sistema completo de administra- Debern establecerse medidas de control espec-
cin de configuracin. El sistema utilizado para ficas para asegurar la distribucin del elemento
monitorear los cambios a los sistemas de aplica- de software correcto al lugar correcto, con inte-
cin debe ser automtico para soportar el registro gridad y de manera oportuna y con adecuadas
y seguimiento de los cambios realizados a gran- pistas de auditora.
des y complejos sistemas de informacin.
6.4 Cambios de Emergencia
OBJETIVO DE CONTROL
La gerencia de TI debe establecer parmetros
definiendo cambios de emergencia y procedi-
mientos para controlar estos cambios cuando
ellos traspasan los procesos normales de anlisis
de prioridades de la gerencia para su implemen-
tacin. Los cambios de emergencia deben ser
registrados y autorizados por la gerencia de TI
antes de su implementacin.
17 Empaque (packaging) programas, reglas y docu-

mentacin asociada a un sistema o producto de
software
(DS)
ENTREGA DE SERVICIOS Y SOPORTE

DS1
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P S S S S S Entrega &
Soporte

Monitoreo
Definicin y administracin de niveles de servicio
establecer un entendimiento comn del nivel de servicio re-

querido
el establecimiento de acuerdos de niveles de servicio

que formalicen los criterios de desempeo contra los
cuales se medir la cantidad y la calidad del servicio
Acuerdos o convenios formales

definicin de responsabilidades
tiempos y volmenes de respuesta
cargos
garantas de integridad
Acuerdos de confidencialidad
Criterio de satisfaccin del cliente 3 3 3 3 3
Anlisis costo-beneficio de los niveles de
servicio requerido
da nes
in olo s
ac a
e
te c i o n
Monitoreo y reporte
io
ap ente
s
to
a
cn
al
lic
g
st
1 DEFINICIN Y ADMINISTRACIN DE NI- relaciones que rigen el desempeo (por ejemplo,

VELES DE SERVICIO acuerdos de confidencialidad) entre todas las
partes involucradas sean establecidas, coordina-
1.1 Marco de Referencia para el Acuerdo de Nive- das, mantenidas y comunicadas a todos los de-
les de Servicio partamentos afectados.
OBJETIVO DE CONTROL 1.4 Monitoreo y Reporte
La alta gerencia deber establecer un marco de OBJETIVO DE CONTROL
referencia en donde presente la definicin de
acuerdos de niveles de servicio formales y deter- La Gerencia de la funcin de servicios de infor-
mine el contenido mnimo: disponibilidad, con- macin deber designar a un Gerente de nivel de
fiabilidad, desempeo, capacidad de crecimiento, servicio que sea responsable de monitorear y re-
niveles de soporte proporcionados al usuario, portar los alcances de los criterios de desempeo
plan de contingencia/Recuperacin, nivel mni- del servicio especificado y todos los problemas
mo aceptable de funcionalidad del sistema satis- encontrados durante el procesamiento. Las esta-
factoriamente liberado, restricciones (lmites en dsticas de monitoreo debern ser analizadas
la cantidad de trabajo), cargos por servicio, insta- oportunamente. Debern tomarse acciones co-
laciones de impresin central (disponibilidad), rrectivas apropiadas e investigarse las fallas.
distribucin de impresin central y procedimien- 1.5 Revisin de Acuerdos y Contratos de Nivel de
tos de cambio. Los usuarios y la funcin de ser- Servicio
vicios de informacin debern contar con un
convenio escrito que describa el nivel de servicio OBJETIVO DE CONTROL
en trminos cualitativos y cuantitativos. El con- La Gerencia deber implementar un proceso de
venio definir las responsabilidades de ambas revisin regular de los convenios de nivel de ser-
partes. La funcin de servicios de informacin vicio y de los contratos de proveedores de servi-
deber prestar la calidad y la cantidad de servicios como terceras partes.
cios ofrecida y los usuarios debern ajustar los
servicios solicitados a los lmites acordados. 1.6 Elementos sujetos a Cargo
1.2 Aspectos sobre los Acuerdos de Nivel de Servi- OBJETIVO DE CONTROL

cio Debern incluirse provisiones para elementos
OBJETIVO DE CONTROL sujetos a cargo en los acuerdos de niveles de ser-
vicio para hacer posible las comparaciones y de-
Deber lograrse un acuerdo explcito sobre los cisiones de niveles de servicio contra su costo.
aspectos que el convenio de nivel de servicios
deber tener. El convenio de nivel de servicio 1.7 Programa de Mejoramiento del Servicio
deber cubrir por lo menos los siguientes aspec- OBJETIVO DE CONTROL
tos: disponibilidad, confiabilidad, desempeo,
capacidad de crecimiento, niveles de soporte pro- La Gerencia deber implementar un proceso para
porcionados a los usuarios, plan de contingencia/ asegurar que los usuarios y los Gerentes de nivel
Recuperacin, nivel mnimo aceptable de funcio- de servicio concuerden regularmente en un pro-
nalidad del sistema satisfactoriamente liberado, grama de mejoramiento del servicio con el fin de
restricciones (lmites en la cantidad de trabajo), dar seguimiento a mejoras al nivel de servicio
cargos por servicio, instalaciones de impresin cuyo costo est justificado.
central (disponibilidad), distribucin de impre-
sin central y procedimientos de cambios
1.3 Procedimientos de Desempeo
OBJETIVO DE CONTROL
Debern definirse procedimientos que aseguren
que la forma y las responsabilidades sobre las

DS2
Planeacin &
Organizacin
di gr i dad
c o lim d
b i to
ad
a
c o ic ie d
n f ien
id nc ia
m lid
li
ef ida
lid
s p da
in c ia
c u nibi
ti v
en
ia
Adquisicin &
ec
p
te
o
Implementacin
ef
nf
P P S S S S S
Entrega &
Control sobre el proceso de TI de: Soporte
administracin de servicios prestados por terceros

Monitoreo
asegurar que los roles y responsabilidades de las terceras partes

estn claramente definidas y que cumplan y continen satisfa-
ciendo los requerimientos
medidas de control dirigidas a la revisin y monitoreo

de acuerdos/contratos y procedimientos existentes, en
cuanto a su efectividad y cumplimiento, con respecto a
las polticas de la organizacin
Acuerdos de servicio con terceras partes

Administracin de contrato
Acuerdos de confidencialidad
Requerimientos legales y regulatorios
Monitoreo y reporte de la entrega de servi-
cio
Anlisis de riesgos de la empresa y de TI 3 3 3 3 3
Ejecucin de recompensas y sanciones
Contabilidad organizacional interna y ex-
da nes
in olo s
ac a
e
terna
te c i o n
g
io
ap ente
s
to
Anlisis de costos y variaciones en los ni-

a
cn
al
lic
g
veles de servicio
st
2 ADMINISTRACIN DE SERVICIOS PRES-

TADOS POR TERCEROS 2.6 Continuidad de Servicios
2.1 Interfases con Proveedores OBJETIVO DE CONTROL
OBJETIVO DE CONTROL Con respecto al aseguramiento de la continuidad
La Gerencia deber asegurar que todos los servi- de los servicios, la gerencia deber considerar el
cios prestados por terceros sean propiamente riesgo de negocios relacionado con la participa-
identificados y que las interfaces tcnicas y orga- cin de terceros en trminos de incertidumbre
nizacionales con los proveedores sean documen- legal y con el concepto de inters sobre la conti-
tadas. nuidad18 y negociar contratos de depsito19 en
garanta donde sea apropiado
2.2 Relaciones con los Propietarios (usuarios due-
os) 2.7 Relaciones con la Seguridad
La Gerencia de la organizacin del cliente deber Con respecto a las relaciones con los proveedo-
establecer relaciones con un dueo que sea res- res de servicios como terceras partes, la Gerencia
ponsable de asegurar la calidad de las relaciones deber asegurar que los acuerdos de seguridad
con terceros. (por ejemplo, los acuerdos de confidencialidad)
sean identificados, declarados explcitamente y
2.3 Contratos con Terceros acordados, que stos concuerden con los estnda-
res de negocios universales y estn en lnea con
OBJETIVO DE CONTROL
los requerimientos legales y regulatorios, inclu-
La gerencia debe definir procedimientos espec- yendo obligaciones.
ficos para asegurar que un contrato formal sea
definido y acordado para cada relacin de servi- 2.8 Monitoreo
cio con un proveedor antes que el trabajo co- OBJETIVO DE CONTROL
mience.
La Gerencia deber establecer un proceso conti-
2.4 Calificacin de Terceros nuo de monitoreo sobre la prestacin de servicio
de terceros, con el fin de asegurar el cumplimien-
OBJETIVO DE CONTROL
to de los acuerdos del contrato.
La gerencia debe asegurar en forma previa a su
seleccin, que los terceros potenciales cuentan
con las calificaciones adecuadas a travs de una
evaluacin de su capacidad para proporcionar los
servicios requeridos (due diligence).
2.5 Contratos de Outsourcing
OBJETIVO DE CONTROL
Debern definirse procedimientos organizaciona-
les especficos para asegurar que el contrato en-
tre la organizacin y el proveedor de la adminis- 18 Concepto de inters sobre la continuidad (going con-
tracin de instalaciones est basado en niveles de cern concept)
procesamiento requeridos, seguridad, monitoreo 19 Contrato en depsito (scrow contract) contratos que se
y requerimientos de contingencia, as como en celebran para garantizar la continuidad del servicio aun
otras estipulaciones segn sea apropiado. cuando el proveedor no pueda proporcionarlo.

DS3
Planeacin &
Organizacin
di gri dad
co lim ad
b i to
ad
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P S Entrega &
Soporte

Monitoreo
administracin de desempeo y capacidad
asegurar que la capacidad adecuada est disponible y que se

est haciendo el mejor uso de ella para alcanzar el desempeo
deseado
Recoleccin de datos, anlisis y reporte del rendimien-

to de los recursos, aplicacin de mediciones y deman-
da de cargas de trabajo
requerimientos de disponibilidad y desem-

peo
monitoreo y reporte automatizado
herramientas de modelado
administracin de capacidad
disponibilidad de recursos 3 3 3
Cambios en precio-rendimiento del hard-
ware y software
da nes
in olo s
al ga
e
te c i o n
io
ap ente
s
to
ac
a
cn
l ic
g
st
3 ADMINISTRACIN DE DESEMPEO Y de que stos afecten el desempeo del sistema.

CAPACIDAD Debern llevarse a cabo anlisis de las fallas e
irregularidades del sistema en cuanto a frecuen-
3.1 Requerimientos de Disponibilidad y Desempe- cia, grado del impacto y magnitud del dao.
o
3.6 Pronstico de Carga de Trabajo
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
El proceso de administracin deber asegurar
que las necesidades del negocio con respecto a Debern establecerse controles para asegurar que
disponibilidad y desempeo de los servicios de se preparen pronsticos de carga de trabajo con
informacin sean identificados y convertidas en el fin de identificar tendencias y proporcionar la
requerimientos y trminos de disponibilidad. informacin necesaria para el plan de capaci-
dad20.
3.2 Plan de Disponibilidad
3.7 Administracin de Capacidad de Recursos
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber asegurar el establecimiento
de un plan de disponibilidad para alcanzar, moni- La Gerencia de la funcin de servicios de infor-
torear y controlar la disponibilidad de los servi- macin deber establecer un proceso de planea-
cios de informacin. cin para la revisin del desempeo y capacidad
del hardware con el fin de asegurar que siempre
3.3 Monitoreo y Reporte exista una capacidad justificable econmicamen-
te para procesar las cargas de trabajo acordadas y
OBJETIVO DE CONTROL
para proporcionar la cantidad y calidad de
La Gerencia deber implementar un proceso que desempeo requeridas, prescritas en los acuerdos
asegure que el desempeo de los recursos de tec- de nivel de servicio. El plan de capacidad deber
nologa de informacin sea continuamente moni- cubrir escenarios mltiples.
toreado y que las excepciones sean reportadas de
3.8 Disponibilidad de Recursos
manera oportuna y completa.
OBJETIVO DE CONTROL
3.4 Herramientas de Modelado
Cuando se identifiquen como recursos de alta
OBJETIVO DE CONTROL
disponibilidad, la gerencia deber prevenir que
La gerencia deber asegurar que se utilicen las estos recursos no estn disponibles, mediante la
herramientas de modelado apropiadas para pro- implementacin de mecanismos de tolerancia de
ducir un modelo del sistema actual, calibrado y fallas, mecanismos de asignacin equitativa de
ajustado segn la carga de trabajo real y que sea recursos y la definicin de prioridades de tareas.
preciso dentro de los niveles de carga recomen-
3.9 Programacin21 de Recursos
dados. Las herramientas de modelado debern
utilizarse para apoyar el pronstico de los reque- OBJETIVO DE CONTROL
rimientos de capacidad, confiabilidad de la confi-
guracin, desempeo y disponibilidad. Debern La Gerencia deber asegurar la adquisicin opor-
llevarse a cabo investigaciones tcnicas profun- tuna de la capacidad requerida, tomando en
das sobre el hardware de los sistemas y debern cuenta aspectos como resistencia, contingencia,
incluirse pronsticos acerca de futuras tecnolo- cargas de trabajo y planes de almacenamiento.
gas.
3.5 Manejo Proactivo del Desempeo
OBJETIVO DE CONTROL
El proceso de administracin del desempeo de-
ber incluir la capacidad de pronstico para per- 20 Planeacin de la capacidad (capacity plan-
mitir que los problemas sean solucionados antes ning)
21 Schedule (programacin )

DS4
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P S P Entrega &
Soporte

Monitoreo
asegurar el servicio continuo
Asegurar que los servicios de TI estn disponibles cuando se

requieran y asegurar el impacto mnimo en el negocio en el
evento que se presente una interrupcin mayor
tener un plan de continuidad de TI probado y funcional,

que est alineado con el plan de continuidad del negocio y
relacionado con los requerimientos de negocio
clasificacin de criticidad (severidad)

Procedimientos alternativos
respaldo y recuperacin
pruebas y entrenamiento sistemticos y regulares
Monitoreo y procesos de escalamiento
Responsabilidades organizacionales internas y 3 3 3 3 3
externas
Activacin de la continuidad del negocio, vuelta
da nes

in olo s
ac a
e
te c i o n
atrs (fallback) y plan de reactivacin

io
ap ente
s
to
Actividades de administracin de riesgos

a

cn
al
lic
g
st
Anlisis de puntos nicos de falla

Administracin de problemas
4 ASEGURAR EL SERVICIO CONTINUO z Informacin crtica sobre grupos de continui-

4.1 Marco de Referencia de Continuidad de Tec- dad, personal afectado, clientes, proveedores,
nologa de informacin autoridades pblicas y medios de comunica-
cin.
OBJETIVO DE CONTROL
4.4 Reduccin de requerimientos de Continuidad
La Gerencia de TI, en cooperacin con los pro- de Tecnologa de Informacin.
pietarios de los procesos del negocio, deber
crear un marco de referencia de continuidad que OBJETIVO DE CONTROL
defina los roles, responsabilidades, el enfoque/ La Gerencia de servicios de informacin deber
metodologa basada en riesgo a seguir y las re- establecer procedimientos y guas para minimi-
glas y la estructura para documentar el plan de zar los requerimientos de continuidad con res-
continuidad, as como los procedimientos de pecto a personal, instalaciones, hardware, soft-
aprobacin. ware, equipo, formatos, consumibles y mobilia-
4.2 Estrategia y Filosofa del Plan de Continuidad rio.
de TI 4.5 Mantenimiento del Plan de Continuidad de
OBJETIVO DE CONTROL Tecnologa de Informacin
La Gerencia deber garantizar que el Plan de OBJETIVO DE CONTROL
continuidad de tecnologa de informacin se en- La Gerencia de TI deber proveer procedimientos
cuentra en lnea con el plan general de continui- de control de cambios para asegurar que el plan
dad de la empresa para asegurar consistencia. de continuidad se mantiene actualizado y refleja
An ms, el plan de continuidad de TI debe to- requerimientos de negocio actuales. Esto requiere
mar en consideracin el plan a mediano y largo de procedimientos de mantenimiento del plan de
plazo de tecnologa de informacin, con el fin de continuidad alineados con el cambio, la adminis-
asegurar consistencia. tracin y los procedimientos de recursos huma-
4.3 Contenido del Plan de Continuidad de TI nos.
OBJETIVO DE CONTROL 4.6 Pruebas del Plan de Continuidad de TI
La Gerencia de TI deber asegurar que se OBJETIVO DE CONTROL
desarrolle un plan escrito conteniendo lo siguien- Para contar con un Plan efectivo de Continuidad,
te: la gerencia necesita evaluar su adecuacin de ma-
z Guas sobre la utilizacin del Plan de Conti- nera regular o cuando se presenten cambios ma-
nuidad; yores en el negocio o en la infraestructura de TI;
esto requiere una preparacin cuidadosa, docu-
z Procedimientos de emergencia para asegurar mentacin, reporte de los resultados de las prue-
la integridad de todo el personal afectado; bas e implementar un plan de accin de acuerdo
z Procedimientos de respuesta definidos para con los resultados.
regresar al negocio al estado en que se encon- 4.7 Entrenamiento sobre el Plan de Continuidad
traba antes del incidente o desastre; de Tecnologa de Informacin
z Procedimientos para salvaguardar y recons- OBJETIVO DE CONTROL
truir las instalaciones;
La metodologa de Continuidad ante desastres
z Procedimientos de coordinacin con las auto- deber asegurar que todas las partes interesadas
ridades pblicas; reciban sesiones de entrenamiento regulares con
z Procedimientos de comunicacin con los so- respecto a los procedimientos a ser seguidos en
cios y dems interesados: empleados, clientes caso de un incidente o un desastre.
clave, proveedores crticos, accionistas y ge-
rencia; y
4.8 Distribucin del Plan de Continuidad de TI 4.12 Almacenamiento de respaldo en el sitio alterno
(Off-site)
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Debido a la naturaleza sensitiva de la informa-
cin del plan de continuidad, dicha informacin El almacenamiento externo de copias de respal-
deber ser distribuida solo a personal autorizado do, documentacin y otros recursos tecnolgicos
y mantenerse bajo adecuadas medidas de seguri- de informacin, catalogados como crticos, debe
dad para evitar su divulgacin. Consecuentemen- ser establecido para soportar el plan de recupera-
te, algunas secciones del plan debern ser distri- cin y continuidad del negocio. Los propietarios
buidas solo a las personas cuyas actividades de los procesos del negocio y el personal de la
hagan necesario conocer dicha informacin. funcin de TI deben involucrarse en determinar
que recursos de respaldo deben ser almacenados
4.9 Procedimientos de respaldo de procesamiento
en el sitio alterno23. La instalacin de almacena-
alternativo para Departamentos usuarios
miento externo debe contar con medidas ambien-
OBJETIVO DE CONTROL tales para los medios y otros recursos almacena-
dos; y debe tener un nivel de seguridad suficien-
La metodologa de continuidad deber asegurar te, que permita proteger los recursos de respaldo
que los departamentos usuarios establezcan pro- contra accesos no autorizados, robo o dao. La
cedimientos alternativos de procesamiento, que Gerencia de TI debe asegurar que los acuerdos/
puedan ser utilizados hasta que la funcin de ser- contratos del sitio alterno son peridicamente
vicios de informacin sea capaz de restaurar analizados, al menos una vez al ao, para garan-
completamente sus servicios despus de un even- tizar que ofrezca seguridad y proteccin ambien-
to o un desastre. tal.
4.10 Recursos Crticos de Tecnologa de Informa- 4.13 Procedimiento de afinamiento24 del Plan de
cin Continuidad
El plan de continuidad deber identificar los pro- Dada una exitosa reanudacin de la funcin de TI
gramas de aplicacin, servicios de terceros, siste- despus de un desastre, la gerencia de servicios
mas operativos, personal, insumos, archivos de de informacin deber establecer procedimientos
datos que resultan crticos as como los tiempos para evaluar lo adecuado del plan y actualizarlo
necesarios para la recuperacin despus de que de acuerdo con los resultados de dicha evalua-
se presenta un desastre. Los datos y las operacio- cin.
nes crticas deben ser identificadas, documenta-
das, priorizadas y aprobadas por los dueos de
los procesos del negocio en cooperacin con la
Gerencia de TI.
4.11 Sitio22 y Hardware de Respaldo
OBJETIVO DE CONTROL
La Gerencia deber asegurar que la metodologa
de continuidad incorpora la identificacin de al-
ternativas relativas al sitio y al hardware de res-
paldo, as como una seleccin alternativa final.
En caso de aplicar, deber establecerse un con-
trato formal para este tipo de servicios.
22 Sitio de Respaldo (Back-up Site)

23 Sitio Alterno (Off-Site)
24 Afinamiento (Wrap-up)

DS5
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P S S S Entrega &
Soporte
garantizar la seguridad de los sistemas Monitoreo
salvaguardar la informacin contra uso no autorizado, divulgacin

o revelacin, modificacin, dao o prdida
controles de acceso lgico que aseguren que el acceso a

sistemas, datos y programas est restringido a usuarios
autorizados
Requerimientos de privacidad y confidenciali-

dad
Autorizacin, autenticacin y control de acce-
so
identificacin de usuarios y perfiles de autori-
zacin
Necesidad de saber y necesidad de tener
(need-to-know and need-to-have) 3 3 3 3 3
administracin de llaves criptogrficas
manejo, reporte y seguimiento de incidentes
da nes

in olo s
ac a
e
te c i o n
Prevencin y deteccin de virus

io
ap ente
s
to
Firewalls
a

cn
al
lic
g
st
Administracin centralizada de seguridad

Entrenamiento a los usuarios
Herramientas para monitoreo del cumplimien-
to, pruebas de intrusin y reportes
5. GARANTIZAR LA SEGURIDAD DE LOS SISTE- duales demostradas de visualizar, agregar, modi-

MAS ficar o eliminar datos.
5.1 Administrar Medidas de Seguridad 5.4 Administracin de Cuentas de Usuario
La seguridad en TI deber ser administrada de tal La Gerencia deber establecer procedimientos

forma que las medidas de seguridad se encuen- para asegurar acciones oportunas relacionadas
tren en lnea con los requerimientos de negocio. con la solicitud, establecimiento, emisin, sus-
Esto incluye: pensin y cierre de cuentas de usuario. Deber
incluirse un procedimiento de aprobacin formal
z Trasladar informacin sobre evaluacin de que indique el propietario de los datos o del sis-
riesgos a los planes de seguridad de TI; tema que otorga los privilegios de acceso. La
seguridad de acceso a terceros debe definirse
z Implementar el plan de seguridad de TI;
contractualmente teniendo en cuenta requeri-
z Actualizar el plan de seguridad de TI para mientos de administracin y no revelacin. Los
reflejar cambios en la configuracin de TI; acuerdos de outsourcing deben considerar los
riesgos, los controles sobre seguridad y los pro-
z Evaluar el impacto de las solicitudes de cam-
cedimientos para los sistemas de informacin y
bio en la seguridad de TI;
las redes en el contrato que se establece entre las
z Monitorear la implementacin del plan de partes.
seguridad de TI; y
5.5 Revisin Gerencial de Cuentas de Usuario
z Alinear los procedimientos de seguridad de TI
OBJETIVO DE CONTROL
a otras polticas y procedimientos
La Gerencia deber contar con un proceso de
5.2 Identificacin, Autenticacin y Acceso
control establecido para revisar y confirmar pe-
OBJETIVO DE CONTROL ridicamente los derechos de acceso. Se debe
llevar a cabo la comparacin peridica entre los
El acceso lgico y el uso de los recursos de TI
recursos y los registros de las cuentas para redu-
deber restringirse a travs de la implementacin
cir el riesgo de errores, fraudes, alteracin no
de mecanismos adecuados de identificacin, au-
autorizada o accidental.
tenticacin y autorizacin relacionando los usua-
rios y los recursos con las reglas de acceso. Di- 5.6 Control de Usuarios sobre Cuentas de Usuario
cho mecanismo deber evitar que personal no
OBJETIVO DE CONTROL
autorizado, conexiones telefnicas por marcado25
y otros puertos de entrada al sistema (redes) ten- Los usuarios debern controlar en forma sistem-
gan acceso a los recursos de cmputo, de igual tica la actividad de su(s) propia(s) cuenta(s).
forma deber minimizar la necesidad de autori- Tambin se debern establecer mecanismos de
zar usuarios para usar mltiples sign-ons. Asi- informacin para permitirles supervisar la activi-
mismo debern establecerse procedimientos para dad normal, as como alertarlos oportunamente
conservar la efectividad de los mecanismos de sobre actividades inusuales.
autenticacin y acceso (por ejemplo, cambios
peridicos de contraseas o passwords). 5.7 Vigilancia de Seguridad
OBJETIVO DE CONTROL
5.3 Seguridad de Acceso a Datos en Lnea
La administracin de seguridad de TI debe ase-
OBJETIVO DE CONTROL
gurar que la actividad de seguridad sea registrada
En un ambiente de tecnologa de informacin en y que cualquier indicacin sobre una inminente
lnea, la Gerencia de TI deber implementar pro- violacin de seguridad sea notificada inmediata-
cedimientos acordes con la poltica de seguridad mente a todos aquellos que puedan verse afecta-
que garantiza el control de la seguridad de acce-
so, tomando como base las necesidades indivi-
25 Marcado por lnea telefnica (dial up)
dos, tanto interna como externamente y se debe registro26 de recursos de cmputo (seguridad y
actuar de una manera oportuna. otros logs) deber otorgarse tomando como base
el principio de menor privilegio o necesidad de
5.8 Clasificacin de Datos
saber.
OBJETIVO DE CONTROL
5.11 Manejo de Incidentes
La Gerencia deber implementar procedimientos
OBJETIVO DE CONTROL
para asegurar que todos los datos son clasificados
en trminos de sensitividad, mediante una deci- La Gerencia deber implementar la capacidad de
sin explcita y formal del dueo de los datos de manejar incidentes de seguridad computacional,
acuerdo con el esquema de clasificacin de datos. dar atencin a dichos incidentes mediante el esta-
An los datos que no requeren proteccin de- blecimiento de una plataforma centralizada con
bern contar con una decisin formal que les suficiente experiencia y equipada con instalacio-
asigne dicha clasificacin. Los dueos deben de- nes de comunicacin rpidas y seguras. Debern
terminar la ubicacin o disposicin de sus datos y establecerse las responsabilidades y los procedi-
determinar quienes pueden compartir los datos mientos de manejo de incidentes para asegurar
aun si y cuando los programas y archivos sean una respuesta apropiada, efectiva y oportuna a
mantenidos, archivados o borrados. Debe quedar los incidentes de seguridad.
evidencia de la aprobacin del dueo y de la dis-
5.12 Reacreditacin
posicin del dato. Se deben definir polticas para
soportar la reclasificacin de la informacin, ba- OBJETIVO DE CONTROL
sados sobre cambios en la sensitividad. El esque-
ma de clasificacin debe incluir criterios para La Gerencia deber asegurar que se lleve a cabo
administrar el intercambio de informacin entre peridicamente una reacreditacin de seguridad
organizaciones, teniendo en cuenta tanto la segu- (por ejemplo, a travs de equipos de personal
ridad y el cumplimiento como la legislacin rele- tcnico tigre27) con el fin de mantener actuali-
vante. zado el nivel de seguridad aprobado formalmente
y la aceptacin del riesgo residual.
5.9 Administracin de Derechos de Acceso e Iden-
tificacin Centralizada 5.13 Confianza en Contrapartes
Deben existir controles para asegurar que la iden- Las polticas organizacionales debern asegurar
tificacin y los derechos de acceso de los usua- que se implementen prcticas de control para
rios, as como la identidad del sistema y la pro- verificar la autenticidad de las contrapartes que
piedad de los datos, son establecidos y adminis- proporcionan instrucciones o transacciones elec-
trados de forma nica y centralizada, para obte- trnicas. Esto puede lograrse mediante el inter-
ner consistencia y eficiencia de un control de ac- cambio confiable de passwords, tokens o llaves
ceso global. criptogrficas.
5.10 Reportes de Violacin y de Actividades de Se-

guridad
OBJETIVO DE CONTROL
26 Registro (accountability)
La administracin de la funcin de servicios de 27 Equipo tigre (Tiger team): es un grupo de per-
informacin deber asegurar que las violaciones sonal tcnico al cual se le asignan trabajos de veri-
y la actividad de seguridad sean registradas, re- ficacin de seguridad en una instalacin. Estos
portadas, revisadas y escaladas apropiadamente trabajos consisten tipicamente en actuar en forma
en forma regular para identificar y resolver inci- incgnita y tratar de violar las medidas de seguri-
dentes que involucren actividades no autoriza- dad establecidas para probar la efectividad de las
das. El acceso lgico a la informacin sobre el mismas e identificar las reas vulnerables que re-
quieren atencin.
5.14 Autorizacin de transacciones 5.18 Administracin de Llaves Criptogrficas

Las polticas organizacionales debern asegurar La Gerencia deber definir e implementar proce-
que, en donde sea apropiado, se implementen dimientos y protocolos a ser utilizados en la gene-
controles para proporcionar autenticidad a las racin, cambio, revocacin, destruccin, distribu-
transacciones y establecer la validez de la identi- cin, certificacin, almacenamiento, entrada, utili-
ficacin solicitada por el usuario ante el sistema. zacin y archivo de llaves criptogrficas con el fin
Esto requiere el empleo de tcnicas criptogrficas de asegurar la proteccin de las mismas contra
para firmar y verificar transacciones. modificaciones y divulgacin no autorizada. Si
una llave se encuentra comprometida (en riesgo),
5.15 No negacin o no rechazo
la gerencia deber asegurarse de que esta informa-
OBJETIVO DE CONTROL cin se hace llegar a todas las partes interesadas a
travs de una lista de revocacin de certificados o
Las polticas organizacionales debern asegurar mecanismos similares.
que, en donde sea apropiado, las transacciones no
puedan ser negadas por ninguna de las partes par- 5.19 Prevencin, Deteccin y Correccin de Softwa-
ticipantes en la operacin y que se implementen re Malicioso
controles para que no se pueda negar el origen o
OBJETIVO DE CONTROL
destino de la transaccin y que se pueda probar
que se envi y recibi la transaccin. Esto puede Con respecto al software malicioso, tal como los
lograrse a travs de firmas digitales, registro de virus computacionales o Caballos de Troya, la
tiempos y terceros confiables, y adicionalmente Gerencia deber establecer un marco de referen-
con polticas apropiadas que tengan en cuenta los cia de adecuadas medidas de control preventivas,
requerimientos regulatorios relevantes. detectivas y correctivas y responder y reportar su
presencia. Las Gerencias de TI y de negocios
5.16 Sendero Seguro
deben asegurar que se establezcan procedimien-
OBJETIVO DE CONTROL tos a travs de toda la organizacin para proteger
los sistemas de informacin contra virus compu-
Las polticas organizacionales debern asegurar tacionales. Los procedimientos deben incorporar
que la informacin de transacciones sensitivas es proteccin contra virus, deteccin, respuesta ante
enviada y recibida exclusivamente a travs de su presencia y reporte.
canales o senderos seguros (trusted paths). La
informacin sensitiva incluye: informacin sobre 5.20 Arquitectura de Firewalls y conexin a redes
administracin de seguridad, datos de transaccio- pblicas
nes sensitivas, passwords y llaves criptogrficas.
OBJETIVO DE CONTROL
Para lograr esto, se pueden establecer canales
confiables utilizando encripcin entre usuarios, La organizacin deber contar con Firewall ade-
entre usuarios y sistemas y entre sistemas. cuados para proteger contra negacin de servicios
y cualquier acceso no autorizado a los recursos
5.17 Proteccin de las funciones de seguridad
internos si existe conexin con Internet u otras
OBJETIVO DE CONTROL redes pblicas; se deber controlar en ambos sen-
tidos cualquier aplicacin y el flujo de adminis-
Todo el hardware y software relacionado con se- tracin de infraestructura y se deber proteger
guridad debe encontrarse permanentemente pro- contra ataques de negacin del servicio.
tegido contra intromisiones para proteger su inte-
gridad y contra divulgacin de sus claves secre-
tas. Adicionalmente, la organizacin deber man-
tener discrecin sobre el diseo de su seguridad,
pero no basar la seguridad en mantener el diseo
como secreto.
5.21 Proteccin de Valores Electrnicos

OBJETIVO DE CONTROL
La Gerencia debe proteger la integridad conti-
nuada de todas las tarjetas o mecanismos de se-
guridad fsica similares, utilizadas para autentica-
cin o almacenamiento de informacin financie-
ra o sensitiva tomando en consideracin las ins-
talaciones o equipos relacionados, los dispositi-
vos, los empleados y los mtodos de validacin
utilizados.

DS6
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P Entrega &
Soporte

Monitoreo
identificacin y asignacin de costos
asegurar un conocimiento correcto de los costos atribuibles a

los servicios de TI
un sistema de contabilidad de costos que asegure que

stos sean registrados, calculados y asignados a los
niveles de detalle requeridos y al apropiado servicio
ofrecido
Recursos identificables y medibles

Procedimientos y polticas de cargo
Tarifas de cargo y procesos de reversin de
cargos.
Conexin a acuerdo de niveles de servicio
Reporte automatizado 3 3 3 3 3
Verificacin de comprensin de beneficios
Benchmarking externo
da nes

in olo s
ac a
e
te c i o n
g
io
ap ente
s
to
a
cn
al
lic
g
st
6 IDENTIFICACIN Y ASIGNACIN DE
COSTOS
6.1 Elementos Sujetos a Cargo o Cobro por su
Uso
OBJETIVO DE CONTROL
La Gerencia de TI, en coordinacin con la alta
Gerencia, deber asegurar que los elementos su-
jetos a cargo sean identificables, medibles y pre-
decibles para los usuarios. Los usuarios debern
ser capaces de controlar el uso de los servicios de
informacin y de los niveles de facturacin aso-
ciados.
6.2 Procedimientos de Costeo
OBJETIVO DE CONTROL
La Gerencia de TI deber definir e implementar
procedimientos de costeo para proporcionar in-
formacin gerencial acerca del costo de prestar
servicios de informacin, asegurando al mismo
tiempo la economa. Las variaciones entre los
costos pronosticados y los reales debern ser
analizadas adecuadamente y reportados, con el
fin de facilitar el monitoreo de los mismos. Ade-
ms, la alta gerencia deber evaluar peridica-
mente los resultados de los procedimientos de
contabilidad de costos de la funcin de servicios
de informacin, a la luz de los otros sistemas de
medicin financiera de la organizacin.
6.3 Procedimientos de Reversin de Cargos y Fac-
turacin a Usuarios
OBJETIVO DE CONTROL
La Gerencia de TI deber definir y utilizar proce-
dimientos de reversin de cargos y facturacin.
Esta deber mantener procedimientos de rever-
sin de cargos y facturacin que fomenten el uso
apropiado de los recursos de cmputo y aseguren
el trato justo de los departamentos usuarios y de
sus necesidades. El monto cargado deber refle-
jar los costos asociados con los servicios presta-
dos.

DS7
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P S Entrega &
Soporte

Monitoreo
educacin y entrenamiento de usuarios
asegurar que los usuarios estn haciendo un uso efectivo de la

tecnologa y sean conscientes de los riesgos y responsabilida-
des involucrados
un plan completo de entrenamiento y desarrollo
Plan de entrenamiento
Inventario de habilidades
Campaas de concientizacin
Tcnicas de concientizacin
Uso de nuevas tecnologas y mtodos de
entrenamiento
Productividad del personal
Desarrollo de una base de conocimientos 3
da nes
in olo s
ac a
e
te c i o n
g
io
ap ente
s
to
a
cn
al
lic
g
st
7 EDUCACIN Y ENTRENAMIENTO DE
USUARIOS
7.1 Identificacin de Necesidades de Entrena-
miento
OBJETIVO DE CONTROL
En lnea con el plan a largo plazo, la Gerencia
deber establecer y mantener procedimientos
para identificar y documentar las necesidades de
entrenamiento de todo el personal que haga uso
de los servicios de informacin. Deber estable-
cerse un plan de entrenamiento para cada grupo
de empleados.
7.2 Organizacin del Entrenamiento
OBJETIVO DE CONTROL
Tomando como base las necesidades identifica-
das, la Gerencia deber definir los grupos objeti-
vo, identificando y asignando entrenadores y or-
ganizando oportunamente las sesiones de entre-
namiento. Asimismo, debern investigarse las
alternativas de entrenamiento (Localidad interna
o externa, entrenadores internos o externos, etc.).
7.3 Entrenamiento sobre Principios y Conciencia
de Seguridad
OBJETIVO DE CONTROL
Todo el personal deber estar capacitado y entre-
nado en los principios de seguridad de sistemas,
incluyendo actualizaciones peridicas con espe-
cial atencin en concientizacin sobre seguridad
y manejo de incidentes. La alta gerencia deber
proporcionar un programa de educacin y entre-
namiento que incluya: conducta tica de la fun-
cin de TI, prcticas de seguridad para proteger
de una manera segura contra daos que afecten
la disponibilidad, la confidencialidad la integri-
dad y el desempeo de las tareas.

DS8
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P Entrega &
Soporte

Monitoreo
Apoyo y asistencia a los clientes de TI
asegurar que cualquier problema experimentado por los usua-

rios sea atendido apropiadamente
un help desk, o mesa de control y ayuda, que propor-

cione soporte y asesora de primera lnea
consultas de los clientes y respuesta a pro-

blemas
monitoreo de consultas y respuestas
anlisis y reporte de tendencias
Desarrollo de una base de conocimientos
Anlisis de las causas
Escalamiento y seguimiento de problemas
3 3
da nes
in olo s
ac a
e
te c i o n
g
io
ap ente
s
to
a
cn
al
lic
g
st
8 APOYO Y ASISTENCIA A LOS CLIENTES

DE TECNOLOGA DE INFORMACIN
8.1 Help Desk
OBJETIVO DE CONTROL
Deber establecerse un soporte para usuarios
dentro de una funcin de Help Desk o Mesa de
Control y Ayuda. Las personas responsables de
llevar a cabo esta funcin debern interactuar
estrechamente con el personal de administracin
de problemas.
8.2 Registro de Consultas de los Usuario
OBJETIVO DE CONTROL
Debern establecerse procedimientos para asegu-
rar que todas las consultas de los clientes sean
registradas adecuadamente por el Help desk.
8.3 Escalamiento de Consultas del Cliente
OBJETIVO DE CONTROL
Los procedimientos del help desk debern asegu-
rar que las consultas de los clientes que no pue-
dan ser resueltas inmediatamente sean reasigna-
das apropiadamente dentro de la funcin de ser-
vicios de informacin escalando hasta el nivel
adecuado para atenderlas.
8.4 Monitoreo de Atencin a Clientes
OBJETIVO DE CONTROL
La Gerencia deber establecer procedimientos
para monitorear oportunamente la atencin a las
consultas de los clientes. Las consultas que per-
manezcan pendientes por largo tiempo debern
ser investigadas y atendidas.
8.5 Anlisis y Reporte de Tendencias
OBJETIVO DE CONTROL
Debern establecerse procedimientos que asegu-
ren el reporte adecuado de las consultas de los
clientes y su solucin, de los tiempos de respues-
ta y la identificacin de tendencias. Los reportes
debern ser analizados y sus resultados debern
ser atendidos adecuadamente.


DS9
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P S S Entrega &
Soporte

Monitoreo
Administracin de la configuracin
dar cuenta de todos los componentes de TI, prevenir alteracio-

nes no autorizadas, verificar la existencia fsica y proporcionar
una base para la sana administracin del cambio
controles que identifiquen y registren todos los activos

de TI as como su localizacin fsica y un programa
regular de verificacin que confirme su existencia
registro de activos
administracin de cambios en la configu-
racin
chequeo de software no autorizado
controles de almacenamiento de software
Integracin e interrelacin de hardware y 3 3 3
software
Uso de herramientas automatizadas
da nes

in olo s
ac a
e
te c i o n
g
io
ap ente
s
to
a
cn
al
lic
g
st

9 ADMINISTRACIN DE LA CONFIGURA- y no licenciado. La organizacin deber usar

CIN software de deteccin y eliminacin de virus. La
Gerencia de TI deber revisar peridicamente la
9.1 Registro de la Configuracin existencia de software no autorizado en las com-
putadoras personales de la organizacin. Se de-
OBJETIVO DE CONTROL
ber verificar peridicamente si se est cum-
Debern establecerse procedimientos para asegu- pliendo con los requisitos de contratos de licen-
rar que sean registrados nicamente los elemen- cia de software y de hardware
tos de configuracin autorizados e identificables
9.6 Almacenamiento de Software
en el inventario, luego de la adquisicin. Esos
procedimientos debern proveer adicionalmente OBJETIVO DE CONTROL
informacin de la eliminacin autorizada y la
consecuente venta de los elementos de la confi- Deber definirse un rea de almacenamiento de
guracin. Por otra parte, debern establecerse archivos (biblioteca o librera) para todos los ele-
procedimientos para dar seguimiento a los cam- mentos de software vlidos en las fases apropia-
bios en la configuracin (nuevo elemento, cam- das del ciclo de vida de desarrollo de sistemas.
bio de estatus de desarrollo a prototipo). El re- Estas reas debern estar separadas de otras y de
gistro en bitcoras y el control debern ser una las reas de almacenamiento de archivos de desa-
parte integrada del registro de configuracin del rrollo, pruebas y produccin.
sistema, incluyendo revisiones de registros modi- 9.7 Procedimientos Administrativos de la Confi-
ficados. guracin
9.2 Configuracin Base OBJETIVO DE CONTROL
OBJETIVO DE CONTROL Se debern establecer procedimientos adminis-
La Gerencia de TI deber asegurarse de que exis- trativos de la configuracin para asegurar que se
ta una configuracin base de elementos como hayan identificado debidamente y se mantengan
punto de verificacin al cual regresar despus de los componentes crticos de los recursos de TI de
las modificaciones. la organizacin. Deber haber un proceso inte-
grado por el cual se midan las exigencias actua-
9.3 Registro de Estatus les y futuras de procesamiento y que provean
insumos al proceso de adquisiciones de recursos
OBJETIVO DE CONTROL
de tecnologa de la informacin.
La Gerencia de TI deber asegurar que los regis-
tros de la configuracin reflejen el estatus real de 9.8 Registro o contabilizacin del Software
todos los elementos de la configuracin inclu- OBJETIVO DE CONTROL
yendo la historia de los cambios.
El software deber ser etiquetado, inventariado y
9.4 Control de la Configuracin debidamente licenciado. Se deber usar un soft-
ware para administracin de bibliotecas para pro-
OBJETIVO DE CONTROL
ducir rastros de auditora de los cambios a los
Los procedimientos debern asegurar que la programas y para mantener informacin sobre el
existencia y consistencia del registro de la confi- nmero de versin del programa, informacin
guracin de la funcin de TI sean revisadas pe- sobre fecha de creacin y copias de versiones
ridicamente. anteriores.
9.5 Software no Autorizado
OBJETIVO DE CONTROL
Se debern desarrollar y hacer cumplir polticas
claras que restrinjan el uso de software personal


DS10
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P S Entrega &
Soporte

Monitoreo
administracin de problemas e incidentes
asegurar que los problemas e incidentes sean resueltos y que

sus causas sean investigadas para prevenir cualquier recurren-
cia
un sistema de administracin de problemas que regis-

tre y d seguimiento a todos los incidentes
pistas de auditora de problemas y solucio-

nes
resolucin oportuna de problemas reporta-
dos
procedimientos de escalamiento
reportes de incidentes
accesibilidad a la informacin de la confi- 3 3 3 3 3
guracin
responsabilidades del proveedor
da nes

in olo s
ac a
e
te c i o n
coordinacin con la administracin de

io
ap ente
s
to
cambios
a
cn
al
lic
g
st

10 ADMINISTRACIN DE PROBLEMAS E IN- 10.4 Autorizaciones de Accesos Temporales y

CIDENTES de Emergencia
10.1 Sistema de Administracin de Problemas OBJETIVO DE CONTROL
OBJETIVO DE CONTROL Las autorizaciones de acceso temporal y de

emergencia debern ser documentadas en for-
La Gerencia de TI deber definir e implementar mularios estndar y mantenidas en archivo,
un sistema de administracin de problemas para aprobadas por los gerentes apropiados, comu-
asegurar que todos los eventos operacionales que nicadas de forma segura a la funcin de segu-
no formen parte de la operacin estndar ridad y las mismas debern terminarse auto-
(incidentes, problemas y errores) sean registra- mticamente despus de un perodo predeter-
dos, analizados y resueltos oportunamente. Los minado.
procedimientos de cambios de emergencia a pro-
gramas se deben probar, documentar, aprobar y
reportar prontamente. Debern emitirse reportes 10.5 Prioridades de Procesamiento de Emer-
de incidentes en caso de problemas significati- gencia
vos.
OBJETIVO DE CONTROL
10.2 Escalamiento de Problemas
La gerencia de TI debe establecer, documen-
OBJETIVO DE CONTROL
tar y aprobar mediante el uso de programas
La Gerencia deber definir e implementar proce- adecuados las prioridades de procesamiento
dimientos de escalamiento de problemas para de emergencia.
asegurar que los problemas identificados sean
resueltos oportunamente de la manera ms efi-
ciente. Estos procedimientos debern asegurar
que las prioridades sean establecidas apropiada-
mente. Los procedimientos tambin debern do-
cumentar el proceso de escalamiento para la acti-
vacin del plan de continuidad de TI.
10.3 Seguimiento de Problemas y Pistas de Audito-
ra
OBJETIVO DE CONTROL
El sistema de administracin de problemas debe-
r proporcionar adecuadas pistas de auditora que
permitan el seguimiento de un incidente a partir
de sus causas (por ejemplo, liberacin de paque-
tes o implementacin de cambios urgentes) y
viceversa. Deber trabajar estrechamente con la
administracin de cambios, la administracin de
disponibilidad y la administracin de configura-
cin.


DS11
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P Entrega &
Soporte

Monitoreo
Administracin de datos
asegurar que los datos permanezcan completos, precisos y vlidos

durante su entrada, actualizacin y almacenamiento
una combinacin efectiva de controles generales y de apli-

cacin sobre las operaciones de TI
diseo de formatos
controles sobre documentos fuente
controles de entrada, procesamiento y salida
identificacin, movimiento y administracin de
la librera de medios
Recuperacin y almacenamiento de datos
autenticacin e integridad
propiedad de datos 3
polticas de administracin de datos
modelos de datos y estndares de representa-
da nes

in olo s
ac a
e
te c i o n
cin de datos
io
ap ente
s
to
integracin y consistencia en todas las platafor-

a

cn
al
lic
g
st
mas
requisitos legales y regulatorios

11 ADMINISTRACIN DE DATOS 11.6 Procedimientos de Autorizacin de Entrada de

Datos
11.1 Procedimientos de Preparacin de Datos
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La organizacin deber establecer procedimien-
La Gerencia deber establecer procedimientos de tos apropiados para asegurar que la entrada de
preparacin de datos que deben ser seguidos por datos sea llevada a cabo nicamente por personal
los departamentos usuarios. En este contexto, el autorizado.
diseo de formas de entrada de datos deber ayu-
dar a minimizar los errores y las omisiones. Du- 11.7 Chequeos de Exactitud, Suficiencia y Autori-
rante la creacin de los datos, los procedimientos zacin
de manejo de errores debern asegurar razona- OBJETIVO DE CONTROL
blemente que los errores y las irregularidades
sean detectados, reportados y corregidos. Los datos de transacciones, ingresados para su
procesamiento (generados por personas, por sis-
11.2 Procedimientos de Autorizacin de Documen- temas o entradas de interfase) debern estar suje-
tos Fuente tos a una variedad de controles para verificar su
OBJETIVO DE CONTROL exactitud, suficiencia y validez. Asimismo, de-
bern establecerse procedimientos para asegurar
La Gerencia deber asegurar que los documentos que los datos de entrada sean validados y edita-
fuente sean preparados apropiadamente por per- dos tan cerca del punto de origen como sea posi-
sonal autorizado que acta dentro de su autori- ble.
dad, y que se establezca una separacin de fun-
ciones adecuada con respecto al origen y aproba- 11.8 Manejo de Errores en la Entrada de Datos
cin de documentos fuente. OBJETIVO DE CONTROL
11.3 Recopilacin de Datos de Documentos Fuente La organizacin deber establecer procedimien-
OBJETIVO DE CONTROL tos para la correccin y reenvo de datos que
hayan sido capturados errneamente.
Los procedimientos de la organizacin debern
asegurar que todos los documentos fuente autori- 11.9 Integridad de Procesamiento de Datos
zados estn completos, sean precisos, registrados OBJETIVO DE CONTROL
apropiadamente y transmitidos oportunamente
para su ingreso a proceso. La organizacin deber establecer procedimien-
tos para el procesamiento de datos que aseguren
11.4 Manejo de errores de documentos fuente que la segregacin de funciones sea mantenida
OBJETIVO DE CONTROL y que el trabajo realizado sea verificado rutina-
riamente. Los procedimientos debern asegurar
Los procedimientos de manejo de errores durante que se establezcan controles de actualizacin
la creacin de datos debern asegurar razonable- adecuados como totales de control "corrida a
mente que los errores y las irregularidades sean corrida run to run-" y controles de actualiza-
detectados, reportados y corregidos. cin de archivos maestros.
11.5 Retencin de Documentos Fuente 11.10 Validacin y Edicin de Procesamiento de
OBJETIVO DE CONTROL Datos
Debern establecerse procedimientos para asegu- OBJETIVO DE CONTROL

rar que la organizacin pueda retener o reprodu- La organizacin deber establecer procedimien-
cir los documentos fuente originales durante un tos para asegurar que la validacin, autentica-
perodo de tiempo razonable para facilitar la re- cin y edicin del procesamiento sean llevadas
cuperacin o reconstruccin de datos, as como a cabo tan cerca del punto de origen como sea
para satisfacer requerimientos legales. posible. Cuando se utilicen sistemas de Inteli-
gencia Artificial, dichos sistemas sern ubica-

dos en una infraestructura de control interactiva 11.16 Provisiones de Seguridad para Reportes de
con operadores humanos para asegurar que las Salida
decisiones vitales son aprobadas.
OBJETIVO DE CONTROL
11.11 Manejo de Errores en el Procesamiento de
Datos
tos para garantizar que la seguridad de los re-
OBJETIVO DE CONTROL portes generados por los procesos sea manteni-
da para todos aquellos reportes que estn por
distribuirse, as como para todos aqullos que
tos para el manejo de errores en el procesamien-
ya hayan sido distribuidos a los usuarios.
to de datos que permitan la identificacin de
transacciones errneas sin que stas sean proce- 11.17 Proteccin de Informacin Sensible durante
sadas y sin interrumpir el procesamiento de transmisin y transporte
otras transacciones vlidas.
OBJETIVO DE CONTROL
11.12 Manejo y Retencin de Datos de Salida
La Gerencia deber asegurar que durante la
OBJETIVO DE CONTROL transmisin y transporte de informacin sensi-
ble, se proporcione una adecuada proteccin
contra acceso o modificacin no autorizada, as
tos para el manejo y la retencin de datos pro-
como contra envos a direcciones errneas.
ducidos por sus programas de aplicacin de TI.
En caso de que instrumentos negociables (ej. 11.18 Proteccin de Informacin Sensitiva Desecha-
Ttulos valores) sean los receptores de la salida, da
se deber prestar especial cuidado en prevenir
OBJETIVO DE CONTROL
usos inadecuados.
La Gerencia deber definir e implementar pro-
11.13 Distribucin de Datos Salidos de los Procesos
cedimientos para impedir el acceso a la infor-
OBJETIVO DE CONTROL macin sensitiva, al software de las computado-
ras, a los discos y otros equipos o medios cuan-
La organizacin deber establecer y comunicar
do los mismos son desechados o transferidos a
procedimientos escritos para la distribucin de
otro uso. Tales procedimientos debern garanti-
datos de salida de tecnologa de informacin.
zar que ninguna informacin marcada como
11.14 Balanceo y Conciliacin de Datos de Salida borrada o desechada, pueda ser accedida
por personas internas o externas a la organiza-
OBJETIVO DE CONTROL cin.
11.19 Administracin de Almacenamiento
tos para asegurar que los datos de salida sean
balanceados rutinariamente con los totales de OBJETIVO DE CONTROL
control relevantes. Debern existir pistas de
Debern desarrollarse procedimientos para el
auditora para facilitar el seguimiento del proce-
almacenamiento de datos que consideren reque-
samiento de transacciones y la conciliacin de
rimientos de recuperacin, de economa y as
datos con problema.
mismo tengan en cuenta las polticas de seguri-
11.15 Revisin de Datos de Salida y Manejo de dad de la organizacin.
Errores
11.20 Perodos de Retencin y Trminos de Alma-
OBJETIVO DE CONTROL cenamiento
La Gerencia de la organizacin deber establecer OBJETIVO DE CONTROL
procedimientos para asegurar que la precisin de los
Debern definirse los perodos de retencin y
reportes de los datos de salida sea revisada por el
proveedor y por los usuarios responsables. Asimis-
mo, debern establecerse procedimientos para con-
trolar los errores contenidos en los datos de salida.

los trminos de almacenamiento para documen- 11.24 Funciones de Respaldo

tos, datos, programas, reportes y mensajes (de
OBJETIVO DE CONTROL
entrada y de salida), as como los datos (claves,
certificados) utilizados para su encripcin y au- Debern establecerse procedimientos para ase-
tenticacin. gurar que los respaldos sean realizados de
acuerdo con la estrategia de respaldo definida, y
11.21 Sistema de Administracin de la Librera de
que las copias de respaldo sean verificadas re-
Medios
gularmente.
OBJETIVO DE CONTROL
11.25 Almacenamiento de Respaldos
OBJETIVO DE CONTROL
establecer procedimientos para asegurar que el
contenido de su librera de medios sea inventa- Los procedimientos de respaldo para los medios
riado sistemticamente, que cualquier discre- relacionados con tecnologa de informacin de-
pancia revelada por un inventario fsico sea so- bern incluir el almacenamiento apropiado de
lucionada oportunamente y que se consideren los archivos de datos, del software y de la docu-
las medidas necesarias para mantener la integri- mentacin relacionada, tanto dentro como fuera
dad de los medios magnticos almacenados en de las instalaciones. Los respaldos debern ser
la librera. almacenados con seguridad y las instalaciones
de almacenamiento debern ser revisadas peri-
11.22 Responsabilidades de la Administracin de la
dicamente con respecto a la seguridad de acceso
Librera de Medios
fsico y la seguridad de los archivos de datos y
OBJETIVO DE CONTROL otros elementos.
La Gerencia de la funcin de servicios de infor- 11.26 Archivo
macin deber establecer procedimientos de
OBJETIVO DE CONTROL
administracin para proteger el contenido de la
librera de medios. Debern definirse estndares La Gerencia deber implementar una poltica y
para la identificacin externa de medios magn- procedimientos para asegurar que el archivo
ticos y el control de su movimiento y almacena- cumple con requerimientos legales y de negocio
miento fsico para soporte y registro. Las res- y que se encuentra debidamente protegido y su
ponsabilidades sobre el manejo de la libreras de informacin adecuadamente registrada.
medios (cintas magnticas, cartuchos, discos y
disquetes) debern ser asignadas a miembros 11.27 Proteccin de Mensajes Sensitivos
especficos del personal de servicios de infor- OBJETIVO DE CONTROL
macin.
Con respecto a la transmisin de datos a travs
11.23 Respaldo (Back-up) y Restauracin de Internet u otra red pblica, la Gerencia debe-
OBJETIVO DE CONTROL r definir e implementar procedimientos y pro-
tocolos que deben ser utilizados para el asegura-
La Gerencia deber implementar una estrategia miento de la integridad, confidencialidad y no
apropiada de respaldo y recuperacin para asegu- negacin/rechazo de mensajes sensitivos.
rar que sta incluya una revisin de los requeri-
mientos del negocio, as como el desarrollo, im- 11.28 Autenticacin e Integridad
plementacin, prueba y documentacin del plan OBJETIVO DE CONTROL
de recuperacin. Se debern establecer procedi-
mientos para asegurar que los respaldos satisfagan Antes que alguna accin crtica sea tomada so-
los requerimientos mencionados anteriormente. bre informacin originada fuera de la Organiza-
cin, que se reciba va telfono, correo de voz,
documentos (en papel), fax o correo electrnico,
se deber verificar adecuadamente la autentici-
dad e integridad de dicha informacin.

11.29 Integridad de Transacciones Electrnicas

OBJETIVO DE CONTROL
Tomando en consideracin que las fronteras
tradicionales de tiempo y de geografa son me-
nos precisas y confiables, la Gerencia deber
definir e implementar apropiados procedimien-
tos y prcticas para transacciones electrnicas
que sean sensitivas y crticas para la Organiza-
cin, que permitan asegurar su integridad y au-
tenticidad de:
z atomicidad (unidad de trabajo indivisible,
todas sus acciones tienen xito o todas ellas
fallan)
z consistencia (si la transaccin no logra al-
canzar un estado final estable, deber regre-
sar al sistema a su estado inicial);
z aislamiento (el comportamiento de una tran-
saccin no es afectado por otras transaccio-
nes que se ejecutan concurrentemente); y
z durabilidad (los efectos de una transaccin
son permanentes despus que concluye su
proceso28, los cambios que origina deben
sobrevivir a fallas de sistema)
11.30 Integridad Continua de Datos Almacenados
OBJETIVO DE CONTROL
La Gerencia deber asegurar que la integridad y
lo adecuado de los datos mantenidos en archi-
vos y otros medios (ej. tarjetas electrnicas) se
verifique peridicamente. Atencin especfica
deber darse a dispositivos de tokens29, archivos
de referencia y archivos que contengan informa-
cin privada.
28
Concluye su proceso (commits): se dice de una
transaccin que actualiza los datos que procesa al
concluir su procesamiento.
29
Tokens: Dispositivos especiales que permiten el
clculo de claves en forma aleatoria. Utiliza semi-
llas que cambian cada minuto.


DS12
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P Entrega &
Soporte

Monitoreo
Administracin de instalaciones (sitios donde se procesa informacin)
proporcionar un ambiente fsico conveniente que proteja los

equipos y al personal de TI contra peligros naturales o fallas
humanas
la instalacin de controles fsicos y ambientales ade-

cuados que sean revisados regularmente para garanti-
zar su adecuado funcionamiento
acceso a instalaciones
identificacin del sitio (instalacin)
seguridad fsica
Polticas de inspeccin y escalamiento
Plan de continuidad de negocios y admi-
nistracin de crisis 3
salud y seguridad del personal
Polticas de mantenimiento preventivo
da nes

in olo s
ac a
e
te c i o n
proteccin contra amenazas ambientales

io
ap ente
s
to
Monitoreo automatizado
a

cn
al
lic
g
st

12 ADMINISTRACIN DE INSTALACIONES30 12.4 Salud y Seguridad del Personal

12.1 Seguridad Fsica OBJETIVO DE CONTROL
OBJETIVO DE CONTROL Debern establecerse y mantenerse prcticas de
salud y seguridad en lnea con las leyes y regula-
Debern establecerse medidas apropiadas de se- ciones internacionales, nacionales, regionales,
guridad fsica y medidas de control de acceso estatales y locales.
para las instalaciones de tecnologa de informa-
cin incluyendo el uso de dispositivos de infor- 12.5 Proteccin contra Factores Ambientales
macin off-site en conformidad con la poltica OBJETIVO DE CONTROL
general de seguridad. La seguridad fsica y los
controles de acceso deben abarcar no slo el rea La Gerencia de la funcin de servicios de infor-
que contenga el hardware del sistema sino tam- macin deber asegurar que se establezcan y
bin las ubicaciones del cableado usado para co- mantengan las suficientes medidas para la pro-
nectar elementos del sistema, servicios de sopor- teccin contra los factores ambientales (por
te (como la energa elctrica), medios de respal- ejemplo, fuego, polvo, electricidad, calor o
do y dems elementos requeridos para la opera- humedad excesivos). Debern instalarse equipo
cin del sistema. El acceso deber restringirse a y dispositivos especializados para monitorear y
las personas que hayan sido autorizadas. Cuando controlar el ambiente.
los recursos de tecnologa de informacin estn 12.6 Suministro Ininterrumpido de Energa
ubicados en reas pblicas, debern estar debida-
mente protegidos para impedir o para prevenir OBJETIVO DE CONTROL
prdidas o daos por robo o por vandalismo. La Gerencia deber evaluar regularmente la ne-
12.2 Discrecin31 sobre las Instalaciones de Tecno- cesidad de contar con generadores y bateras de
loga de Informacin suministro ininterrumpido de energa (UPS) para
las aplicaciones crticas de tecnologa de infor-
OBJETIVO DE CONTROL macin, con el fin de protegerse contra fallas y
La Gerencia de la funcin de servicios de infor- fluctuaciones de energa. Cuando sea justifica-
macin deber asegurar que se mantenga un bajo ble, deber instalarse el equipo ms apropiado.
perfil sobre la identificacin fsica de las instala-
ciones relacionadas con sus operaciones de tec-
nologa de informacin. La informacin sobre la
ubicacin del sitio debe ser limitada y mantener-
se con la adecuada reserva.
12.3 Escolta de Visitantes
OBJETIVO DE CONTROL
Debern establecerse procedimientos apropiados
que aseguren que las personas que no formen
parte del grupo de operaciones de la funcin de
servicios de informacin sean escoltadas por al-
gn miembro de ese grupo cuando deban entrar a
las instalaciones de cmputo. Deber mantener-
se y revisarse regularmente una bitcora de visi-
tantes.
30
Instalaciones (Facilities)
31
Discrecin (low profile)


DS13
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
P P S S Entrega &
Soporte
administracin de operaciones Monitoreo
asegurar que las funciones importantes de soporte de TI estn sien-

do llevadas a cabo regularmente y de una manera ordenada
una programacin o planeacin de las actividades que sea

registrada y diligenciada con base en el cumplimiento de
todas las actividades
manual de procedimiento de operaciones

documentacin para el inicio de procesos
administracin de servicios de red
Programacin del personal y cargas de trabajo
proceso de cambio de turno
registro de eventos del sistema
Coordinacin con las reas de administracin
de cambios, disponibilidad y manejo continuo 3 3 3 3
de negocios
da nes
in olo s
Mantenimiento preventivo
ac a
e

te c i o n
g
io
ap ente
Acuerdos de niveles de servicio

to
a
cn
al
Operaciones automatizadas
lic
g

st
Registro, rastreo y escalamiento de incidentes

13 ADMINISTRACIN DE OPERACIONES 13.5 Continuidad de Procesamiento

13.1 Manual de Instrucciones y Procedimientos de OBJETIVO DE CONTROL
las Operaciones de Procesamiento Los procedimientos debern requerir continuidad
OBJETIVO DE CONTROL de procesamiento durante los cambios de turno
de los operadores mediante la existencia de un
La Gerencia de TI deber establecer y documen- proceso de entrega formal de actividades, actua-
tar procedimientos estndar para las operaciones lizacin del estado en que se encuentran los pro-
de tecnologa de informacin (incluyendo opera- cesos y reporte sobre las responsabilidades ac-
ciones de red). Todas las soluciones y platafor- tuales.
mas de tecnologa de informacin con que cuente
la empresa debern ser operadas utilizando estos 13.6 Bitcoras de Operacin
procedimientos, los cuales debern ser revisados OBJETIVO DE CONTROL
peridicamente para asegurar su efectividad y
cumplimiento. Los controles de la Gerencia debern garantizar
que se almacene en bitcoras suficiente informa-
13.2 Documentacin del Proceso de Inicio y de cin cronolgica de las operaciones para permitir
Otras Operaciones la reconstruccin, la revisin y el examen opor-
OBJETIVO DE CONTROL tunos de las secuencias de tiempo de procesa-
miento y otras actividades que rodean y soportan
La Gerencia de TI deber asegurar que el perso- el procesamiento.
nal de operaciones est adecuadamente familiari-
zado y sepa como ejecutar las tareas del proceso 13.7 Custodia de Formularios Especiales y de Dis-
de inicio y con otras operaciones con base en una positivos de Salida
adecuada documentacin la cual debe ser peri- OBJETIVO DE CONTROL
dicamente probada y ajustada, segn se requiera.
La gerencia deber establecer seguridades fsicas
13.3 Programacin de Trabajos apropiadas para proteger los formularios especia-
OBJETIVO DE CONTROL les, como por ejemplo los instrumentos negocia-
bles, y los dispositivos sensitivos de salida, como
La Gerencia de la funcin de servicios de infor- por ejemplo los cartuchos de firma tomando en
macin deber asegurar que la programacin consideracin el apropiado registro de los recur-
continua de trabajos, procesos y tareas sea orga- sos de tecnologa de informacin, formularios o
nizada en la secuencia ms eficiente, maximizan- artculos que requieran proteccin adicional y
do el uso de recursos y su utilizacin, con el fin administracin de inventario.
de alcanzar los objetivos establecidos en los con-
venios de nivel de servicio. Las programaciones 13.8 Operaciones Remotas
iniciales as como los cambios a estas programa- OBJETIVO DE CONTROL
ciones debern ser autorizados apropiadamente.
Para las operaciones remotas, debern existir
13.4 Desviaciones32 de la Programacin de Traba- procedimientos especficos que aseguren que la
jos Estndar conexin y desconexin de los enlaces con la(s)
OBJETIVO DE CONTROL instalacin(es) remota(s) sean identificadas e im-
plementadas.
Debern establecerse procedimientos para identi-
ficar, investigar y aprobar la ejecucin de los
programas de trabajos estndar.
32
Desviaciones (departures)

(M)
MONITOREO


MONITOREO
M1
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
Entrega &
P P S S S S S Soporte

Monitoreo
monitoreo del proceso
asegurar el logro de los objetivos establecidos para los procesos

de TI
la definicin de indicadores de desempeo gerencia-

les, el reporte oportuno y sistemtico del desempeo y
la oportuna accin sobre las desviaciones
Tarjetas de decisin (scorecards) con indi-

cadores de desempeo y medicin de resul-
tados
evaluacin de la satisfaccin de clientes
reportes gerenciales
Base de conocimientos del desempeo his-
trico 3 3 3 3 3
Benchmarking externo
da nes
in olo s
ac a
e
te c i o n
g
io
ap ente
s
to
a
cn
al
lic
g
st

1 MONITOREO DEL PROCESO

1.1 Recoleccin de Datos de Monitoreo
OBJETIVO DE CONTROL
Para los procesos de tecnologa de informacin y
de control interno, la Gerencia deber asegurar
que se definan indicadores de desempeo rele-
vantes (ej. benchmarks) tanto para actividades
internas como las proporcionadas por terceros y
que se recolecten datos para la creacin de repor-
tes con informacin gerencial y reportes de ex-
cepcin relacionados con estos indicadores. Los
controles deben tambin estar dirigidos a validar
la integridad y lo apropiado tanto de las medidas
e indicadores de desempeo organizacional co-
mo individuales.
1.2 Evaluacin de Desempeo
OBJETIVO DE CONTROL
Los servicios a ser proporcionados por la funcin
de servicios de informacin debern ser medidos
(indicadores clave de desempeo y/o factores
crticos de xito) y comparados con los niveles
esperados. Las evaluaciones a la funcin de ser-
vicios de informacin debern ser desarrolladas
en forma continua.
1.3 Evaluacin de la satisfaccin de Clientes
OBJETIVO DE CONTROL
A intervalos regulares, la Gerencia deber efec-
tuar mediciones de la satisfaccin de los clientes
con respecto a los servicios proporcionados por
la funcin de servicios de informacin, con la
intencin de identificar deficiencias en los nive-
les de servicio y establecer objetivos de mejora-
miento.
1.4 Reportes Gerenciales
OBJETIVO DE CONTROL
Debern proporcionarse reportes gerenciales pa-
ra ser revisados por la alta gerencia en cuanto al
avance de la organizacin hacia las metas identi-
ficadas. Los reportes de estatus debern incluir
en qu medida se han logrado los objetivos pla-
neados, se han obtenido productos, se han cum-
plido los objetivos de desempeo y se han miti-
gado los riesgos. Con base en la revisin, la Ge-
rencia deber iniciar y controlar las acciones per-
tinentes.


MONITOREO
M2
Planeacin &
Organizacin
di gri dad
co lim ad
b i to
ad
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
Entrega &
P P S S S S S Soporte
Control sobre el proceso de TI:

Monitoreo
Evaluar lo adecuado del control interno
asegurar el logro de los objetivos de control interno estableci-

dos para los procesos de TI
el compromiso de la Gerencia de monitorear los con-

troles internos, evaluar su efectividad y emitir reportes
sobre ellos en forma regular
Responsabilidades para el control interno

Monitoreo del control interno en proceso
benchmarks33
reportes de errores y excepciones
autoevaluaciones
reportes gerenciales
Cumplimiento con los requerimientos lega- 3 3 3 3 3
les y regulatorios
da nes
in olo s
al ga
e
te c i o n
io
ap ente
s
to
ac
a
cn
l ic
g
st
33
Comparacin con mejores prcticas (benchmarks)

2 EVALUAR LO ADECUADO DEL CON- establecidos o implcitos. Las actividades de

TROL INTERNO monitoreo continuo por parte de la Gerencia de-
bern revisar la existencia de puntos vulnerables
2.1 Monitoreo del Control Interno y problemas de seguridad.
OBJETIVO DE CONTROL
La Gerencia deber monitorear la efectividad de
los controles internos en el curso normal de las
operaciones a travs de actividades administrati-
vas y de supervisin, comparaciones, reconcilia-
ciones y otras acciones rutinarias. Las desviacio-
nes debern generar anlisis y acciones correcti-
vas. Adems, las desviaciones debern ser co-
municadas a la persona responsable de la funcin
y tambin, por lo menos, a un nivel de la geren-
cia por encima de esa persona. Las desviaciones
graves debern ser reportadas a la alta gerencia.
2.2 Operacin Oportuna de Controles Internos
OBJETIVO DE CONTROL
La confiabilidad en los controles internos requie-
re que los controles operen rpidamente para de-
tectar errores e inconsistencias y que stos sean
corregidos antes de que impacten a la produccin
y a la prestacin de servicios. La informacin
relacionada con los errores, inconsistencias y
excepciones deber ser conservada y reportada
sistemticamente a la Gerencia.
2.3 Reporte sobre el Nivel de Control Interno
OBJETIVO DE CONTROL
La Gerencia deber reportar informacin sobre
los niveles de control interno y sobre las excep-
ciones a las partes afectadas para asegurar la
efectividad continua de su sistema de control in-
terno. Debern llevarse a cabo acciones para
identificar qu informacin es necesaria y a qu
nivel en particular para facilitar la toma de deci-
siones.
2.4 Seguridad de la Operacin y Aseguramiento
de Control Interno
OBJETIVO DE CONTROL
La seguridad en las operaciones y el asegura-
miento de control interno debern ser estableci-
dos y repetidos peridicamente a travs de una
autoanlisis o de una auditora independiente
para examinar si la seguridad y los controles in-
ternos se encuentran operando de acuerdo con
los requerimientos de seguridad y control interno


MONITOREO
M3
Planeacin &
di gr i dad
Organizacin
c o lim d
b i to
ad
a
c o ic ie d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
c u nibi
ti v
en
ia
ec
p
te
o
Adquisicin &
ef
nf
Implementacin
P P S S S S S
Entrega &
Soporte
obtencin de aseguramiento independiente

Monitoreo
incrementar los niveles de confianza entre la organizacin,

clientes y proveedores externos
revisiones de aseguramiento independientes llevadas a

cabo en intervalos regulares
certificaciones / acreditaciones indepen-

dientes
evaluaciones independientes de efectividad
aseguramiento independiente sobre cum-
plimiento de requerimientos legales y regu-
latorios
aseguramiento independiente del cumpli-
miento de compromisos contractuales
revisiones y benchmarking a proveedores
externos de servicios 3 3 3 3 3
Revisin por personal calificado del asegu-
ramiento de desempeo
da nes
in olo s
al ga
e
te c i o n
involucramiento proactivo de la auditora

io
ap ente
s
to
ac
a
cn
l ic
g
st

3 OBTENCIN DE ASEGURAMIENTO IN- 3.5 Aseguramiento Independiente del Cumpli-

DEPENDIENTE miento de leyes, requerimientos regulatorios y
compromisos contractuales
3.1 Certificacin / Acreditacin Independiente de
Control y Seguridad de los servicios de TI OBJETIVO DE CONTROL
OBJETIVO DE CONTROL La Gerencia deber obtener un aseguramiento

independiente sobre el cumplimiento de la fun-
La Gerencia deber obtener una certificacin o cin de servicios de tecnologa de informacin
acreditacin independiente sobre la seguridad y con respecto a requerimientos regulatorios y le-
el control interno antes de implementar nuevos gales y compromisos contractuales en forma c-
servicios de tecnologa de informacin que resul- clica y rutinaria.
ten crticos y obtener re-certificaciones o re-
acreditaciones de estas actividades en forma c- 3.6 Aseguramiento Independiente del Cumpli-
clica y rutinaria despus de haber hecho la im- miento de leyes, requerimientos regulatorios y
plementacin. compromisos contractuales de proveedores
externos de servicios
3.2 Certificacin / Acreditacin Independiente de
Control y Seguridad de proveedores externos OBJETIVO DE CONTROL
de servicios
La Gerencia deber obtener un aseguramiento
OBJETIVO DE CONTROL independiente sobre el cumplimiento de provee-
dores externos de servicios de tecnologa de in-
La Gerencia deber obtener una certificacin o formacin con respecto a requerimientos regula-
acreditacin independiente de seguridad y con- torios, leyes y compromisos contractuales en for-
trol interno antes de utilizar proveedores de ser- ma cclica y rutinaria.
vicios de tecnologa de informacin y obtener re-
certificaciones o re-acreditaciones de estas acti- 3.7 Competencia de la Funcin de Aseguramiento
vidades en forma cclica y rutinaria. Independiente
3.3 Evaluacin Independiente de la Efectividad de OBJETIVO DE CONTROL

los Servicios de TI
La Gerencia deber asegurarse de que la funcin
OBJETIVO DE CONTROL de aseguramiento independiente posea compe-
tencia tcnica, habilidades y conocimiento nece-
La Gerencia deber obtener una evaluacin inde- sario para desempear dicha funcin en una for-
pendiente sobre la efectividad de los servicios de ma efectiva, eficiente y econmica.
tecnologa de informacin en forma cclica y ru-
tinaria. 3.8 Participacin Proactiva de la Auditora
3.4 Evaluacin Independiente de la Efectividad de OBJETIVO DE CONTROL

proveedores externos de servicios
La Gerencia de Tecnologa de Informacin debe-
OBJETIVO DE CONTROL r buscar la participacin de la auditora en una
forma proactiva, antes de finalizar soluciones de
La Gerencia deber obtener una evaluacin inde- servicio de tecnologa de informacin.
pendiente sobre la efectividad de los proveedores
de servicios de tecnologa de informacin en for-
ma cclica y rutinaria.


MONITOREO
M4
Planeacin &
Organizacin
di gri dad
c o lim d
b i to
ad
a
c o ic ie d
Adquisicin &
d
nf ien
id ncia
m lid
li
ef ida
lid
s p da
in c ia
Implementacin
c u nibi
ti v
en
ia
ec
p
te
o
ef
nf
Entrega &
P P S S S P S Soporte

Monitoreo
proveer auditora independiente
incrementar los niveles de confianza y beneficiarse de reco-

mendaciones basadas en mejores prcticas
auditoras independientes desarrolladas a intervalos

regulares
independencia de auditora
involucramiento proactivo de la auditora
ejecucin de auditoras por parte de perso-
nal calificado
aclaracin de resultados y recomendacio-
nes
actividades de seguimiento
Evaluacin del impacto de las recomenda- 3 3 3 3 3
ciones de la auditoria (costos, beneficios, y
riesgos)
da nes
in olo s
ac a
e
te c i o n
g
io
ap ente
s
to
a
cn
al
lic
g
st

4 PROVEER AUDITORA INDEPENDIENTE tener el CISA35) necesarios para desempear di-

chas revisiones en forma efectiva, eficiente y
4.1 Estatuto34 de Auditora
econmica. La Gerencia deber asegurar que el
OBJETIVO DE CONTROL personal asignado a tareas de auditora de siste-
mas de informacin, mantiene su nivel de compe-
La alta gerencia de la organizacin deber esta- tencia tcnica mediante un programa adecuado de
blecer el estatuto para la funcin de auditora. educacin profesional continua.
Este documento deber establecer la responsabili-
dad, autoridad y obligaciones de la funcin de 4.5 Planeacin
auditora. Asimismo este documento deber ser
OBJETIVO DE CONTROL
revisado peridicamente para asegurar que se
mantengan la independencia, autoridad y respon- La alta gerencia deber establecer un plan de au-
sabilidad de la funcin de auditora. ditora para garantizar que se obtenga un asegura-
miento regular e independiente con respecto a la
4.2 Independencia
efectividad, eficiencia y economa de la seguri-
OBJETIVO DE CONTROL dad y de los procedimientos de control interno,
as como de la habilidad de la Gerencia para con-
El auditor deber ser independiente del auditado trolar las actividades de la funcin de servicios de
tanto en actitud como en apariencia (real y perci- informacin. Dentro de este plan la Gerencia
bida). Los auditores no debern estar relaciona- deber determinar las prioridades relacionadas
dos con la seccin o departamento que est sien- con la obtencin de aseguramiento independien-
do auditado, y en la medida de lo posible, deber te. Los auditores debern planear el trabajo de
tambin ser independiente de la propia empresa. auditora para alcanzar los objetivos de auditora
De esta manera, la funcin de auditora deber y cumplir con los estndares profesionales co-
ser suficientemente independiente del rea audi- rrespondientes.
tada para concluir una auditora en forma objeti-
va. 4.6 Ejecucin del Trabajo de Auditora
OBJETIVO DE CONTROL
4.3 Etica y Estndares Profesionales
Las auditoras debern ser supervisadas apropia-
OBJETIVO DE CONTROL damente para proporcionar certeza de que los ob-
jetivos de auditora estn siendo alcanzados y que
La funcin de auditora deber asegurar el cum-
los estndares profesionales de auditora que sean
plimiento de los cdigos aplicables de tica pro-
aplicables estn siendo considerados. Los audito-
fesional (ej. Cdigo de Etica de la Information
res debern asegurarse de obtener evidencia sufi-
Systems Audit and Control Association) y estn-
ciente, confiable, relevante y til para alcanzar
dares de auditora (ej. Estndares de la Informa-
los objetivos de auditora de forma efectiva. Los
tion Systems Audit and Control Association) en
hallazgos y conclusiones de auditora deben estar
todo lo que el auditor lleve a cabo. El debido
soportadas por un anlisis apropiado y una co-
cuidado profesional deber observarse en todos
rrecta interpretacin de esta evidencia.
los aspectos del trabajo de auditora, incluyendo
el respeto de estndares aplicables sobre auditora 4.7 Reporte
y tecnologa de informacin.
OBJETIVO DE CONTROL
4.4 Competencia
La funcin de auditora de la organizacin deber
entregar un reporte, en un formato adecuado, a
OBJETIVO DE CONTROL
todo el personal interesado una vez concluida su
La Gerencia deber asegurar que los auditores
responsables de las revisiones de las actividades
de la funcin de servicios de informacin de la 34
Estatuto (charter)
organizacin, sean tcnicamente competentes y 35
CISA: es un acrnimo para el titulo de Certified
cuenten en forma general con las habilidades y Information Systems Auditor (auditor de sistemas
conocimientos (ej. dominios requeridos para ob- de informacin certificado).

revisin. El reporte de auditora deber mostrar

los objetivos de la auditora, el perodo de cober-
tura y la naturaleza y extensin de trabajo de au-
ditora realizado. El reporte deber identificar la
Organizacin, los destinatarios del informe y
cualquier restriccin en su circulacin. El reporte
de auditora deber tambin mostrar los hallaz-
gos, conclusiones y recomendaciones relaciona-
das con el trabajo de auditora llevado a cabo, as
como cualquier salvedad o comentario que el au-
ditor tenga con respecto a la auditora.
4.8 Actividades de Seguimiento
OBJETIVO DE CONTROL
La resolucin y atencin de los comentarios so-
bre la auditora depende de la Gerencia. Los au-
ditores debern solicitar y evaluar la relacionada
con los hallazgos, conclusiones y recomendacio-
nes de auditoras anteriores para determinar si las
acciones apropiadas han sido implementadas de
manera oportuna.

APENDICES

APENDICE I
DIRECTRICES GERENCIALES DE GOBIERNO /
GOBERNABILIDAD DE TI
Las siguientes Directrices Gerenciales y el Modelo de Madurez identifican los Factores Crticos de xito
(Critical Success Factors CSFs), los Indicadires Claves de objetivos/resultados (Key Goal Indicators
KGIs), Indicadores Claves de Desempeo (Key Performance IndicatorsKPIs) para la Gobernabilidad de TI.
Primero, la Gobernabilidad de TI se define articulando las necesidades del negocio. A continuacin, los crite-
rios de informacin relacionados con la Gobernabilidad de TI son identificados. Las necesidades del negocio
son medidas por los Indicadores Claves de Resultados - KGIs - y organizados por sentencias de control apoya-
do por todos los recursos de TI. El resultado de las sentencias de control organizadas son medidas por los Indi-
cadores Clave de desempeo - KPIs los cuales consideran los Factores crticos de xito - CSFs.
El modelo de madurez se utiliza para evaluar el nivel de la organizacin para cumplir con lo establecido por la
Gobernabilidad de TIdesde el mas bajo nivel donde no existe, pasando por un estado inicial /adhoc, ascen-
diendo a otro repetible pero intuitivo, luego a otro con procesos definidos, a otro administrado y medido y lle-
gando al nivel optimista que es el mas alto nivel. Para llegar al nivel de madurez optimista para la Gobernabili-
dad de TI, una organizacin debe estar al menos en el nivel optimizado del dominio de Monitoreo y al menos
estar en el nivel de medir y administrar los dems dominios.
(Ver las Directrices Gerenciales de Cobit para una completa discusin del uso de esas herramientas)

APENDICE I - incumplimiento o mal uso de controles internos.

DIRECTRICES GERENCIALES DEL- z Hay integracin e interoperabilidad transparente
de los procesos de TI mas complejos como po-
GOBIERNO/GOBERNABILIDAD DE dran ser: problemas, cambios y administracin
TI de la configuracin.
Gobierno sobre la tecnologa de informacin y los z Se establece un comit de auditora para desig-
procesos con las metas del negocio para aadir valor, nar y supervisar un auditor independiente enfo-
mientras se balancean los riesgos y el retorno cado sobre TI cuando dirige la ejecucin de pla-
nes de auditora y revisa los resultados de las
Asegurar la entrega de informacin al Negocio el auditoras y revisiones de terceros.
cual establece los Criterios de Informacin re-
queridos y es medido por Indicadores Clave de
Resultados/Logros Criterios de In- Recursos de TI
formacin
Se hace posible a travs de la creacin y Efectividad Personas
mantenimiento de un sistema de procesos y Eficiencia Aplicaciones
controles apropiados para el negocio, el Confidencialidad Tecnologa
cual dirige y monitorea el valor del negocio Integridad Instalaciones
proporcionado por TI Disponibilidad Datos
Cumplimiento
Considera Factores Crticos de xito Confiabilidad
que tiene en cuenta todos los Recursos
de TI y es medido por Indicadores Cla- Indicadores Clave de Resultados / Logros
ve de Desempeo KGIs
Factores Crticos de xito - CSFs

z Incrementar el desempeo y la administracin
de costos
z Las actividades del gobierno de TI son integra- z Mejorar el retorno de la inversin sobre las ma-
das dentro del proceso de gobierno de la empre- yores inversiones de TI
sa y las conductas de liderazgo z Mejorar el tiempo de comercializacin
z El gobierno de TI se enfoca en los objetivos y z Incrementar la calidad, la innovacin y la admi-
metas de la empresa, en las iniciativas estratgi- nistracin de riesgos
cas y el uso de tecnologa para mejorar el nego- z Procesos del negocio apropiadamente integrados
cio, con base en la disponibilidad de recursos y y estandartizados
capacidades suficientes para soportar las deman- z Bsqueda de nuevos clientes y satisfacer los
das del negocio. existentes
z Las actividades del Gobierno de TI estn defini- z Disponibilidad de apropiado ancho de banda,
das sobre propsitos claros, documentados e im- poder de cmputo y mecanismos para la entrega
plementados, basados en las necesidades de la de servicios de TI
empresa y con responsabilidades concretas. z Satisfacer los requerimientos y las expectativas
z Las prcticas gerenciales son implementadas de los clientes de los procesos con base en un
para incrementar la eficiencia y el uso ptimo de presupuesto y a tiempo
los recursos as como incrementar la efectividad z Cumplir con las leyes, regulaciones, estndares
de los procesos de TI. de la industria y compromisos contractuales.
z Se establecen prcticas organizacionales para: z Transparencia en los riesgos asumidos y cumpli-
evitar descuidos; una cultura/ ambiente de con- miento con el acuerdo del perfil de riesgo orga-
trol; anlisis de riesgos como prctica estndar; nizacional.
grado de adherencia a estndares establecidos; z Comparaciones mediante Benchmarking sobre
monitoreo y seguimiento a los riesgos y a las el nivel de madurez de TI
deficiencias de control. z Creacin de nuevos canales de distribucin y
z Se definen prcticas de control para evitar el entrega de servicios

I - DIRECTRICES GERENCIALES do de los procesos relacionados de la empresa.

DEL GOBIERNO DE TI No hay procesos de anlisis estndar. El monito-
reo de TI est implementado en una forma reacti-
va a incidentes que han causado algunas prdidas
Indicadores Clave de Desempeo - KPIs o apuros a la organizacin.
2 Repetible pero Intuitiva. Hay una conciencia

z Mejorar los procesos de costo-eficiencia de TI global sobre los aspectos del gobierno de TI. Las
(costos versus entregables o servicios) actividades del gobierno de TI y los indicadores
z Incrementare el nmero de planes de accin de de desempeo estn en desarrollo, incluyendo la
TI para las iniciativas de mejoramiento de pro- planeacin de TI y los procesos de entrega y mo-
cesos nitoreo. Como parte de los esfuerzos, las activida-
z Incrementar la utilizacin de la infraestructura des del gobierno de TI estn formalmente estable-
de TI cidas dentro del proceso de administracin del
z Incrementar la satisfaccin de los socios y accio- cambio con el involucramiento activo de la alta
nistas (encuestas y nmero de reclamaciones). gerencia. Procesos seleccionados de TI son iden-
z Incrementar la productividad de los funcionarios tificados para mejorar y/o controlar el ncleo de
de TI (nmero de entregables) y su moral los procesos de la empresa, son efectivamente
(encuesta) planeados y monitoreados como si fueran inver-
z Incrementar la disponibilidad de conocimiento e siones y son derivados en el contexto de un mar-
informacin para administrar la empresa. co de referencia de la arquitectura de TI. La ge-
z Incrementar las relaciones entre el gobierno de rencia ha identificado los mtodos y tcnicas b-
la empresa y el gobierno de TI sicos de anlisis y medicin del gobierno de TI,
z Incrementar el desempeo mediante mediciones sin embargo, el proceso no ha sido adoptado a
utilizando tarjetas de medicin (Balanced Score- travs la organizacin. No hay entrenamiento y
cards). comunicacin sobre los estndares de gobernabi-
lidad y las responsabilidades son dejadas a los
Modelo de Madurez del Gobierno de TI individuos. Los individuos direccionan los proce-
sos de gobernabilidad como si no fueran procesos
El Gobierno sobre la tecnologa de informacin es un y proyectos de TI. Las herramientas de goberna-
proceso que tiene como finalidad proveer valor agre- bilidad son limitadas, escogidas e implementadas
gado al negocio mientras balancea riesgos versus para lograr mtricas de gobernabilidad pero pue-
retorno. de que no se usen en toda su capacidad debido a
la falta de experiencia en su funcionalidad.
0 No existe. Hay una completa falta de cualquier
proceso de gobierno de TI identificable. La orga- 3 Procesos Definidos. La necesidad de actuar con
nizacin no ha reconocido aun que hay aspectos respecto al gobierno de TI es entendida y acepta-
que deben ser identificados y por lo tanto no hay da. Se desarrolla un grupo bsico de indicadores
comunicacin al respecto. de Gobierno de TI, donde el encadenamiento en-
tre medidas de ingresos y controladores de
1 Inicial / Ad Hoc36. Hay evidencia de que la orga- desempeo es definido, documentado e integrado
nizacin ha reconocido que existen aspectos del dentro de la planeacin operacional y estratgica .
gobierno de TI que deben ser considerados. Hay, Los procedimientos han sido estandarizados, do-
sin embargo, procesos no estandarizados, pero en cumentados e implementados. La Gerencia ha
su lugar, hay procedimientos ad hoc aplicados comunicado los procedimientos estandarizados y
sobre un caso individual o sobre bases de caso a se establece un entrenamiento informal. Los indi-
caso37. El enfoque Gerencial es catico y hay una cadores de desempeo sobre las actividades de
espordica e inconsistente comunicacin sobre gobernabilidad de TI son registrados y monito-
aspectos y enfoques que deban ser considerados. reados generando mejoras a todo lo largo de la
Puede haber algn reconocimiento para utilizar el
valor de TI en el desempeo orientado al resulta- 36
Ad Hoc: porque s, por costumbre
37
case-by-case basis: Bases de caso a caso
empresa. Aunque medidos, los procedimientos no presa.

son sofisticados pero son la formalizacin de
prcticas existentes. Las herramientas estn es- 5 Optimizado. En esta fase hay un entendimiento
tandarizadas, utilizando tcnicas disponibles y avanzado y hacia futuro de los aspectos y solu-
modernas. La idea de utilizar tarjetas de medicin ciones del gobierno de TI. El entrenamiento y las
que balancean el negocio y TI son adoptadas por comunicaciones son soportadas por conceptos y
la organizacin. Esto, sin embargo, deja que el tcnicas de vanguardia. Los procesos han sido
individuo, de acuerdo con su entrenamiento, siga refinados a un nivel de mejores prcticas externas
y aplique los estndares. El anlisis de causa basadas sobre resultados de mejoramiento cont-
efecto es ocasionalmente aplicado. La mayora de nuo y modelos de madurez con otras organizacio-
los procesos son monitoreados sobre mtricas nes. La implementacin de esas polticas han per-
(bases), pero cualquier desviacin, debido a que mitido a la organizacin, a la gente y a los proce-
generalmente se basa en las iniciativas de los in- sos que se adapten rpidamente y por completo a
dividuos, probablemente no seran detectadas por los requerimientos de gobierno de TI. Todos los
la Gerencia. De todas maneras, el registro total problemas y desviaciones son analizados de raz
del desempeo de los procesos claves es realiza- y con base en ese anlisis se identifican e inician
do y la gerencia es recompensada basada en me- acciones eficientes y oportunas. La Tecnologa de
diciones clave de desempeo. Informacin es utilizada de una manera extensiva
y optimizada para automatizar el flujo de trabajo
4 Administrado y Medible. Hay un completo en- y proporcionar herramientas para mejorar la cali-
tendimiento de los aspectos de Gobierno de TI a dad y la efectividad. Los riesgos y el retorno de
todos los niveles de la organizacin, soportado los procesos de TI son definidos, balanceados y
por un entrenamiento formal. Hay un claro enten- comunicados a travs de toda la empresa. Se
dimiento de quien es el cliente y sus responsabili- aprovechan expertos externos y se utilizan bench-
dades estn definidas y monitoreadas a travs de marks como guas. El monitoreo y el auto-
acuerdos de nivel de servicio. Las responsabilida- anlisis de riesgos y las comunicaciones acerca
des son claras y el proceso de propiedad est de las expectativas del gobierno influencian la
establecido. Los procesos de TI estn alineados organizacin y hay un ptimo uso de la tecnolo-
con el negocio y con la estrategia de TI. El mejo- ga para soportar la medicin, el anlisis, las co-
ramiento de los procesos de TI est basado pri- municaciones y el entrenamiento. El gobierno de
mariamente sobre un entendimiento cuantitativo la empresa y el gobierno de TI estn estratgica-
y por ello es posible monitorear y medir el cum- mente conectados empujando a los recursos
plimiento con procesos y con mtrica de proce- humanos y financieros a incrementar la ventaja
sos. Todos los responsables o propietarios de los competitiva de la empresa.
procesos son advertidos sobre los riesgos, la im-
portancia de TI y las oportunidades que TI puede
ofrecer. La Gerencia ha definido una tolerancia
bajo la cual los procesos deben operar. Se toman
acciones en la mayora, pero no en todos los ca-
sos, donde parece que los procesos no estn ope-
rando efectiva o eficientemente. Los procesos se
mejoran ocasionalmente y se refuerzan las mejo-
res prcticas internas. Se estandariza el uso de
anlisis causa-efectos. Hay un limitado, primario
y tctico uso de la tecnologa, basado en tcnicas
de madurez y reforzado con herramientas estn-
dar. Hay involucramiento de todos los expertos
internos requeridos. El gobierno de TI involucra
los procesos a todo lo ancho de la empresa. Las
actividades del gobierno de TI estn llegando a
integrarse con los procesos de gobierno de la em-

APNDICE II DESCRIPCIN DEL PROYECTO COBIT

El proyecto continua siendo supervisado por un Comi-
t de Direccin formado por representantes internacio- Adicionalmente, el Marco de Referencia de Cobit fue
nales de la academia, industria, gobierno y la profe- revisado y mejorado para soportar el incremento de
sin de auditora. El Comit de Direccin del Proyec- controles gerenciales, introducir gerencia de desempeo
to intervino en el desarrollo del Marco Referencial y tambin desarrollar el Gobierno de TI. Con el fin de
("Framework") COBIT y en la aplicacin de los resul- proporcionarle a la gerencia una aplicacin del Marco
tados de la investigacin. Se establecieron grupos de de Referencia para que pueda analizar y efectuar cam-
trabajo internacionales con el propsito de asegurar la bios para la implementacin de controles y el mejora-
calidad y contar con una revisin experta de la investi- miento sobre la informacin y las tecnologas relacio-
gacin y los elementos entregables del desarrollo del nadas, as como medir el desempeo, las Directrices
proyecto. El IT Governance Institute proporcion toda la Gerenciales incluyen Modelos de Madurez, Factores
direccin del proyecto. Crticos de xito, Indicadores Clave de Logros/
resultados e Indicadores Clave de Desempeo relacio-
INVESTIGACION Y ENFOQUE PARA EL DESA- nados con los Objetivos de Control.
RROLLO INICIAL
Empezando con el Marco Referencial de Cobit, definido Las Directrices Gerenciales fueron desarrolladas para
en la primera edicin, la aplicacin de estndares y direc- ser utilizadas por un grupo de 40 expertos de todo el
trices internacionales y la investigacin dentro de mejores mundo, pertenecientes a la industria, la academia, el
prcticas ha permitido el desarrollo de los Objetivos de gobierno y profesionales en control y seguridad de TI.
Control. Las Guas o Directrices de Auditora fueron Esos expertos participaron en talleres de trabajo guia-
desarrolladas a continuacin para analizar si esos objetivos dos por facilitadores profesionales que utilizaron guas
de control son apropiadamente implementados. definidas por el Comit de Direccin del Proyecto Co-
bit. Los talleres fueron fuertemente apoyados por el
La investigacin de la primera y segunda edicin incluy Gartner Group y PricewaterhouseCoopers, quienes no
la recoleccin y el anlisis de fuentes identificadas y fue solo proporcionaron liderazgo de pensamiento sino que
llevada a cabo por equipos de investigacin en Europa tambin enviaron varios de sus expertos en control, ge-
(Free University of Amsterdam), Estados Unidos rencia del desempeo y seguridad de la informacin.
(California Polytechnic University) y Australia (University Los resultados de los talleres generaron los borradores
of New South Wales). Los equipos de investigacin fueron de los Modelos de Madurez, los Factores Crticos de
encargados de la compilacin, revisin, anlisis y apropia- xito, los Indicadores Clave de Logros y los Indicado-
da incorporacin de estndares tcnicos internacionales, res Clave de Desempeo para cada uno de los 34 obje-
cdigos de conducta, estndares de calidad, estndares tivos de control de alto nivel. El aseguramiento de cali-
profesionales en prcticas y requerimientos de la auditora dad de los entregables iniciales fue dirigido por el Co-
y de la industria, en cuanto a su relacin con el Marco de mit de Direccin del Proyecto y el resultado de este
Referencia y con los Objetivos de Control individuales. trabajo fue colocado a disposicin en la web site de
Despus de la coleccin y anlisis los investigadores fue- ISACA. El documento de las Directrices Gerenciales
ron encargados de examinar cada dominio y cada proceso fue finalmente preparado para ofrecer un nuevo grupo
en profundidad y sugerir nuevos o modificados objetivos de herramientas orientadas a la gerencia, mientras que
de control aplicables a los procesos particulares de TI. La ofreca integracin y consistencia con el Marco de Re-
Consolidacin de los resultados fue llevada a cabo por el ferencia de Cobit.
Comit de Direccin de Cobit y por el Director de Investi-
gaciones de ISACF. La actualizacin de los Objetivos de Control, basada en
nuevos y revisados estndares internacionales fue con-
INVESTIGACION Y ENFOQUE PARA LA 3a EDI- ducida por miembros de los Captulos de ISACA, bajo
CION la coordinacin de los miembros del Comit de Direc-
El proyecto de la 3a edicin de Cobit consisti en des- cin de Cobit. La intencin no fue llevar a cabo un
arrollar las Directrices Gerenciales y actualizar la 2a anlisis global de todo el material o volver a desarrollar
Edicin de Cobit basado en nuevas y revisadas referen- los Objetivo de Control, sino generar un proceso de
cias internacionales. actualizacin incremental.

El resultado del desarrollo de las Directrices Geren-

ciales fue utilizado para revisar el Marco de Referen-
cia de Cobit, especialmente en lo que tiene que ver
con las consideraciones, objetivos y sentencias que
configuran los objetivos de control de alto nivel.

APNDICE III - MATERIAL DE REFERENCIA PRIMARIA

Nota del traductor: Debido a que el contenido de este apndice se compone principalmente de nombres propios de instituciones
y publicaciones, dichos nombres han sido respetados mantenindolos en ingls.
COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - Integrated Fra-
mework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994.
OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of In-
formation, Paris, 1992.
DTI Code of Practice for Information Security Management: Department of Trade and Industry and British
Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995.
ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance Stan-
dards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of softwa-
re, Switzerland, 1991.
An Introduction to Computer Security: The NIST Handbook: National Institute of Standards and Technology,
U.S. Department of Commerce. Washington, DC, 1995.
ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines develo-
ped by the Central Computer and Telecommunications Agency (CCTA), London, 1989.
IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials
Group on Information Security, advising the European Commission) Brussels, Belgium, 1994.
NSW Premiers Office Statements of Best Practices and Planning Information Management and Techniques:
Statements of Best Practice #1 through #6. premier's Department New South Wales, Government of New South
Wales, Australia, 1990 through 1994.
Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data Proces-
sing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998.
EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph Se-
ries #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994.
PCIE (president's Council on Integrity and Efficiency) Model Framework: A Model Framework for Manage-
ment Over Automated Information Systems. Prepared jointly by the president's Council on Management Improve-
ment and the president's Council on Integrity and Efficiency, Washington, DC, 1987.
Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by
the Chuo Audit Corporation, Tokyo, August 1994.
CONTROL OBJECTIVES Controls in an Information Systems Environment: Control Guidelines and Au-
dit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Fourth
Edition, Rolling Meadows, IL, 1992.
CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified Informa-
tion Systems Auditor Job Analysis Study", Rolling Meadows, IL, 1994.

CICA Computer Control Guidelines: Canadian Institute of Chartered Accountants, Toronto, 1986.
IFAC International Guidelines for Managing Security of Information and Communications: International
Federation of Accountants, New York, NY, 1997.
IFAC International Guidelines on Information Technology Management - Managing Information Technolo-

gy Planning for Business Impact (Draft): International Federation of Accountants, New York, NY, 1998.
Standards for Internal Control in the U.S. Federal Government: U.S. General Accounting Office, Washington,
DC, 1983.
Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NBS Special
Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington,
DC, 1988.
Government Auditing Standards: U. S. General Accounting Office, Washington, DC, 1994.
Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants, Den-
mark, 1994.
SPICE: Software Process Improvement and Capability Determination. A standard on software process improve-
ment, British Standards Institution, London, 1995.
DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute Inter-
national. Guideline for Business Continuity Planners, St. Louis, MO, 1997.
IIA, SAC Systems Audibility and Control: Institute of Internal Auditors Research Foundation, Systems Audibili-
ty and Control Report, Alamonte Springs, FL, 1991, 1994.
IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research Foun-
dation, Alamonte Springs, FL, 1997.
E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996.
C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, NY, 1997.
ISO IEC JTC1/SC27 Information Technology - Security: International Organisation for Standardisation (ISO)
Technical Committee on Information Technology Security, Switzerland, 1998.
ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical Com-
mittee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992.
ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services: Interna-
tional Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services, Draft,
Switzerland, 1997.

CCEB 96/011, Common Criteria for Information Technology Security Evaluation: Common Criteria Imple-
mentation Board, Alignment and comparison of existing European, US and Canadian IT Security Criteria, Draft,
Washington, DC, 1997.
Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987.
TickIT: Guide to Software Quality Management System Construction and Certification. British Department of
Trade and Industry (DTI), London, 1994
ESF Baseline Control - Communications: European Security Forum, London. Communications Network Securi-
ty, September 1991; Baseline Controls for Local Area Networks, September, 1994.
ESF Baseline Control - Microcomputers: European Security Forum, London. Baseline Controls Microcomputers
Attached to Network, June 1990.
Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information Sys-
tems Audit and Control Foundation), Rolling Meadows, IL, 1992.
Guide for Developing Security Plans for Information Technology: NIST Special Publication 800-18, National
Institute for Standards and Technology, US Department of Commerce, Washington, DC 1998
Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office, Washing-
ton, DC, 1999.
BS7799-Information Security Management: British Standards Institute, London, 1999.
CICA Information Technology Control Guidelines, 3er Edition: Canadian Institute of Chartered Accountants,
Toronto, 1998
ISO/IEC TR 1335-n Guidelines for the Management of IT Security, (GMITS) Parts 1-5: International Organi-
sation for Standardisation, Switzerland, 1998.
AICPA/CICA SystrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute of
Certified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999.

APNDICE IV - GLOSARIO DE TERMINOS
AICPA Instituto Americano de Contadores Pblicos Certificado. (American Institute of Certified Public
Accountants)
CCEB Criterios comunes para seguridad en tecnologa de informacin. (Common Criteria for
Information Technology Security)
CICA Instituto Canadiense de Contadores. (Canadian Institute of Chartered Accountants)
CISA Auditor Certificado de Sistemas de Informacin. (Certified Information Systems Auditor)
Control Polticas, procedimientos, prcticas y estructuras organizacionales, diseados para proporcionar

una seguridad razonable de que los objetivos del negocio sern alcanzados y que eventos no
deseados sern prevenidos o detectados y corregidos.
COSO Comit de Organizaciones Patrocinadoras de la Comisin de Intercambio.

"Tradeway" (Committee of Sponsoring Organisations of the Tradeway Commission).
DRI Instituto Internacional de Recuperacin de Desastres. (Disaster Recovery Institute International)
DTI Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of
the United Kingdom)
EDIFACT Intercambio Electrnico de Datos para la Administracin, el Comercio y la Industria (Electronic

Data Interchange for Administration, Commerce and Trade)
EDPAF Fundacin de Auditores de Procesamiento Electrnico de Datos (Electronic Data Processing

Auditors Foundation), ahora ISACF.
ESF Foro Europeo de Seguridad (European Security Forum), cooperacin de 70+ multinacionales
europeas principalmente con el propsito de investigar problemas de seguridad y control
comunes de TI.
GAO Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office)
I4 Instituto Internacional de Integridad de Informacin. (International Information Integrity

Institute), asociacin similar a ESF, con metas similares, pero con base principalmente en los
Estados Unidos y dirigida por el Instituto de Investigaciones de Stanford (Stanford Research
Institute)
IBAG Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group), representantes de la
industria que asesoran al Comit Infosec. Este Comit est compuesto por funcionarios de los
gobiernos de la Comunidad Europea y asesora a la Comisin Europea sobre cuestiones de seguri-
dad de TI.
IFAC Federacin Internacional de Contadores. (International Federation of Accountants)
IIA Instituto de Auditores Internos. (Institute of Internal Auditors)

INFOSEC Comit Consultivo para la Comisin Europea en Materia de Seguridad TI. (Advisory Committee
for IT Security Matters to the European Commission)
ISACA Asociacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit
and Control Foundation)
ISACF Fundacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit
and Control Foundation)
ISO Organizacin de Estndares Internacionales. (International Standards Organisation) (con ofici-

nas en Gnova, Suiza)
ISO9000 Estndares de manejo y aseguramiento de la calidad definidos por ISO.
ITIL Biblioteca de Infraestructura de Tecnologa de Informacin. (Information Technology Infrastruc-

ture Library)
ITSEC Criterios de Evaluacin de Seguridad de Tecnologa de Informacin (Information Technology

Security Evaluation Criteria). Combinacin de los criterios de Francia, Alemania, Holanda y Re-
ino Unido, soportadas consecuentemente por la Comisin Europea (ver tambin TCSEC, el
equivalente en los Estados Unidos).
NBS Departamento Nacional de Estndares de los Estados Unidos (National Bureau of Standards of
the U.S.)
NIST (antes NBS) Instituto Nacional de Estndares y Tecnologa. (National Institute of Standards
and Technology), con base en Washington D.C.
NSW Nueva Gales del Sur, Australia. (New South Wales, Australia)
Objetivo de Una sentencia o declaracin del resultado deseado o propsito a ser alcanzado mediante la imple-
Control mentacin de procedimientos de control en una actividad particular de TI
OECD Organizacin para la Cooperacin y el Desarrollo Econmico. (Organisation for Economic Coo-
peration and Development)
OSF Fundacin de Software Pblico (Open Software Foundation)
PCIE Consejo Presidencial de Integridad y Eficiencia. (Presidents Council on Integrity and Efficien-
cy)
SPICE Mejoramiento del Proceso de Software y Determinacin de la Capacidad (Software Process Im-
provement and Capability Determination) - un estndar pare el mejoramiento del proceso de
software
TCSEC Criterios de Evaluacin de Sistemas Computarizados Confiables. (Trusted Computer System
Evaluation Criteria), conocido tambin como "The Orange Book". Criterios de evaluacin de
seguridad para sistemas computarizados definidos originalmente por el Departamento de Defen-
sa de los Estados Unidos. Ver tambin ITSEC, el equivalente europeo.
TickIT Gua para la Construccin y Certificacin de Sistemas de Administracin de Calidad. (Guide to

Software Quality Management System Construction and Certification)

A - COBIT-Objetivos de Control - 3 Edicion PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

A - COBIT-Objetivos de Control - 3 Edicion PDF

Încărcat de

Drepturi de autor:

Formate disponibile

OBJETIVOS DE CONTROL

Emitido por el Comit Directivo de COBIT y

Traduccin al espaol por Gustavo A. Sols Montes, CISA

Impreso en los Estados Unidos de Amrica

COMIT DIRECTIVO DE COBIT

ERIK GULDENTOPS, S.W.I.F.T. SC, BLGICA

JOHN LAINHART, PRICEWATERHOUSECOOPERS, USA

EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BLGICA

JOHN BEVERIDGE, STATE AUDITORS OFFICE, MASSACHUSETTS, USA

MICHAEL DONAHUE, PRICEWATERHOUSECOOPERS, USA

GARY HARDY, ARTHUR ANDERSEN, REINO UNIDO

MARK STANLEY, SUN AMERICA INC., USA

PO1 Definir un Plan Estratgico de

AI1 Identificar Soluciones

EL MARCO REFERENCIAL DE COBIT

APARICION DEL GOBIERNO DE LA EM-

RESPUESTA A LAS NECESIDADES de Control originales de la Information Systems Audit

ORIENTACIN A OBJETIVOS DE NEGOCIO

LOS PRINCIPIOS DEL MARCO DE REFERENCIA

de Calidad, Fiduciarios y de Seguridad ms amplios, se Se refiere a la provisin de infor-

El dinero o capital no se tuvo en cuenta como un recurso sin.

El Marco de Referencia de COBIT consta de Objetivos Criterios de informacin

actividades cuentan con un concepto de ciclo de vida,

Procesos Las definiciones para los dominios mencionados son

Este dominio cubre las estrategias y

integradas dentro del proceso del Confidencialidad.

Debe notarse adems, que el criterio de efectividad en

PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS

PO1 Definir un Plan Estratgico de

AI1 Identificar Soluciones

HISTORIA Y ANTECEDENTES DE COBIT

COBIT se bas originalmente en los Objetivos de Control

Este estndar es relativamente pequeo en tamao, con el

Sin excluir ningn otro estndar aceptado en el campo del

HISTORIA Y ANTECEDENTES DE COBIT

PRODUCTOS DE LA FAMILIA COBIT

Familia de Productos COBIT

CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACIN

DIRECTRICES GERENCIALES OBJETIVOS DE CONTROL DETALLA- DIRECTRICES DE AUDITORIA

Factores Crticos de xito Indicadores Clave de Desempeo

Criterios de Informacin Recursos de TI

Planeacin y PO1 Definir un plan estratgico de sistemas P S ; ; ; ; ;

Adquisicin e AI1 Identificar soluciones de automatizacin P S ; ; ;

Entrega de servicios y DS1 Definir niveles de servicio P P S S S S S ; ; ; ; ;

Monitoreo M1 Monitorear el proceso P S S S S S S ; ; ; ; ;

(P) Primario () Aplicable a

PRINCIPIOS DE LOS OBJETIVOS DE CONTROL

Requerimiento de Los Objetivos de Control estn dirigidos a la Adminis-

Tambin deber tomarse en cuenta que los Objetivos

Adquisicin e Implementacin, DS para Entrega de

cripciones de los objetivos de control detallados para ca-

Para facilitar el empleo eficiente de los objetivos de con-

QUINA SUPERIOR DERECHA de cada pgina, en la

La clave para el criterio de informacin se presentar en

Objetivos de Control mediante la siguiente mini ma-

triz, la cual identificar cul criterio y en qu grado

(primario o secundario) es aplicable a cada Objetivo de

Una segunda mini matriz en la ESQUINA INFERIOR DE-

el proceso bajo consideracin - no solo aquellos que simple-

mente toman parte en el proceso -. Por ejemplo, el proceso

administracin de datos se concentra particularmente en la

RELACIONES DE OBJETIVOS DE CONTROL

PLANEACIN Y ORGANIZACIN 4.5 Responsabilidad del aseguramiento de ca-