” UNIVERSIDAD NACIONAL SANTIAGO

ANTÚNEZ DE MAYOLO”

ESTRUCTURA DEL SISTEMA DE CONTROL DE TECNOLOGIAS DE INFORMACIÓN

FACULTAD: FIIA

ESCUELA: INGENIERÍA INDUSTRIAL

RSO: CURSO: COMERCIO Y LOGÍSTICA INTERNACIONAL

DOCENTE: MANTILLA FLORES JORGE LUIS

ALUMNOS: MINAYA BENAVENTE LESLIE BRIGITTE

MORENO FERNANDEZ ALVARO JUAN DE DIOS
ROBLES INCHICAQUI LUIS ANDREY
ROSALES GUILLERMO MIGUEL ANGEL
 INDICE
CONTROL INTERNO INFORMÁTICO…….…………………………………………………..3
Definición .............................................................................................. 3
Objetivos ............................................................................................... 4
Función del control interno informático ............................................... 4
Áreas de aplicación de control interno informático ............................. 5
Función de control ................................................................................ 6
Herramientas de control ....................................................................... 6
Control interno informático .................................................................. 7
Implantación de un sistema de control interno .................................... 9

COBIT.…………………………………………………………………………………………………..12
Definicion ............................................................................................ 12
Caracteristicas ..................................................................................... 12
Beneficios ............................................................................................ 14
Estructura ............................................................................................ 15
Dominios ............................................................................................. 16
Principios ............................................................................................. 18
Requerimientos ................................................................................... 18
Niveles cobit ........................................................................................ 20
Componentes cobit ............................................................................. 20

2
 CONTROL INTERNO
INFORMÁTICO
DEFINICIÓN:
El Control Interno Informático puede definirse como el sistema integrado al proceso
administrativo, en la planeación, organización, dirección y control de las operaciones
con el objeto de asegurar la protección de todos los recursos informáticos y mejorar
los índices de economía, eficiencia y efectividad de los procesos operativos
automatizados.

El Informe COSO define el Control Interno como “Las normas, los procedimientos, las
prácticas y las estructuras organizativas diseñadas para proporcionar seguridad
razonable de que los objetivos de la empresa se alcanzarán y que los eventos no
deseados se preverán, se detectarán y se corregirán.

También se puede definir el Control Interno como cualquier actividad o acción

realizada manual y/o automáticamente para prevenir, corregir errores o
irregularidades que puedan afectar al funcionamiento de un sistema para conseguir
sus objetivos.

En el ambiente informático, el control interno se materializa fundamentalmente en

controles de dos tipos:

 Controles manuales; aquellos que son ejecutados por el personal del área
usuaria o de informática sin la utilización de herramientas computacionales.
 Controles Automáticos; son generalmente los incorporados en el software,
llámense estos de operación, de comunicación, de gestión de base de datos,
programas de aplicación, etc.

Los controles según su finalidad se clasifican en:

 Controles preventivos, para tratar de evitar la producción de errores o hechos

fraudulentos, como por ejemplo el software de seguridad que evita el acceso
a personal no autorizado.
 Controles detectivos; trata de descubrir a posteriori errores o fraudes que no
haya sido posible evitarlos con controles preventivos.

3
  Controles correctivos; tratan de asegurar que se subsanen todos los errores
identificados mediante los controles detectivos.

OBJETIVOS:
 Controlar que todas las actividades se realicen cumpliendo los procedimientos
y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las
normas legales.
 Asesorar sobre el conocimiento de las normas
 Colaborar y apoyar el trabajo de Auditoría Informática interna/externa
 Definir, implantar y ejecutar mecanismos y controles para comprobar el grado
de cumplimiento de los servicios informáticos.
 Realizar en los diferentes sistemas y entornos informáticos el control de las
diferentes actividades que se realizan.

FUNCIÓN DEL CONTROL INTERNO

INFORMÁTICO:
El Control Interno Informático es una función del departamento de Informática de una
organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a
los sistemas de información automatizados se realicen cumpliendo las normas,
estándares, procedimientos y disposiciones legales establecidas interna y
externamente.

Entre sus funciones específicas están:

 Difundir y controlar el cumplimiento de las normas, estándares y

procedimientos al personal de programadores, técnicos y operadores.
 Diseñar la estructura del Sistema de Control Interno de la Dirección de
Informática en los siguientes aspectos:
 Desarrollo y mantenimiento del software de aplicación.
 Explotación de servidores principales
 Software de Base
 Redes de Computación
 Seguridad Informática, Licencias de software

4
  Relaciones contractuales con terceros
 Cultura de riesgo informático en la organización

ÁREAS DE APLICACIÓN DE CONTROL INTERNO

INFORMÁTICO:
 Controles generales organizativos
Son la base para la planificación, control y evaluación por la Dirección General
de las actividades del Departamento de Informática, y debe contener la
siguiente planificación:

 Plan Estratégico de Información realizado por el Comité de Informática.

 Plan Informático, realizado por el Departamento de Informática.
 Plan General de Seguridad (física y lógica).
 Plan de Contingencia ante desastres.

 Controles de desarrollo y mantenimiento de sistemas de información

Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de
datos, protección de recursos y cumplimiento con las leyes y regulaciones a
través de metodologías como la del Ciclo de Vida de Desarrollo de aplicaciones.

 Controles de explotación de sistemas de información

Tienen que ver con la gestión de los recursos tanto a nivel de planificación,
adquisición y uso del hardware, así como los procedimientos de, instalación y
ejecución del software.

 Controles en aplicaciones
Toda aplicación debe llevar controles incorporados para garantizar la entrada,
actualización, salida, validez y mantenimiento completos y exactos de los
datos.

 Controles en sistemas de gestión de base de datos

Tienen que ver con la administración de los datos para asegurar su integridad,
disponibilidad y seguridad.

5
  Controles informáticos sobre redes
Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y
funcionamiento de las redes instaladas en una organización sean estas
centrales y/o distribuidos.

 Controles sobre computadores y redes de área local

Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto
del hardware como del software de usuario, así como la seguridad de los datos
que en ellos se procesan.

FUNCIÓN DE CONTROL
En la auditoria Informática; esta tiene función de vigilancia y evaluación mediante dictámenes,
los auditores de tienen diferentes objetivos de los de cuentas, ellos evalúan eficiencia, costos
y la seguridad con mayor visión, y realizan evaluaciones de tipo cualitativo.

Control interno informático; cumplen funciones de control dual en los diferentes

departamentos, que puede ser normativa, marco jurídico, la funciones del control interno es
la siguientes determinar los propietarios y los perfiles según la clase de información, permitir
a dos personas intervenir como medida de control, realizar planes de contingencias, dictar
normas de seguridad informática, controla la calidad de software, los costos, los responsables
de cada departamento, control de licencias, manejo de claves de cifrado, vigilan el
cumplimiento de normas y de controles, es clara que esta medida permite la seguridad
informática.

Metodologías de clasificación de información y de obtención de procedimientos de control;

es establecer cuáles son las entidades de información a proteger, dependiendo del grado de
importancia de la información para el establecimiento de contramedidas.

HERRAMIENTAS DE CONTROL
Las herramientas de control, son de dos tipos lógicos y físicos , desde el punto lógico son
programas que brindan seguridad, las principales herramientas son las siguientes; seguridad
lógica del sistema, seguridad lógica complementaria del sistema, seguridad lógica en entornos
distribuidos, control de acceso físico, control de copias, gestión de soporte magnéticos,
gestión de control de impresión y envío de listados por red, control de proyectos y versiones
, gestión de independencia y control de cambios.

6
CONTROL INTERNO INFORMÁTICO:
El control interno informático controla diariamente que todas las actividades de
sistemas de información sean realizadas cumpliendo los procedimientos, estándares
y normas fijados por la dirección de la organización y/o la dirección informática, así
como los requerimientos legales.

La función del control interno informático es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y
válidas.

Control interno informático suele ser un órgano staff de la dirección del departamento
de informática y está dotado de las personas y medios materiales proporcionados a
los cometidos que se le encomienden.

PRINCIPALES OBJETIVOS:
 Controlar que todas las actividades se realicen cumpliendo los
procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.

 Asesorar sobre el conocimiento de las normas.

 Colaborar y apoyar el trabajo de Auditoria informática, así como de las

auditorías externas al grupo.

 Definir, implantar y ejecutar mecanismos y controles para comprobar el

logro de los grados adecuados del servicio informático, lo cual no debe
considerarse como que la implantación de los mecanismos de medida y
responsabilidad del logro de esos niveles se ubique exclusivamente en la
función de control interno, si no que cada responsable de objetivos y
recursos es responsable de esos niveles, así como de la implantación de los
medios de medida adecuados.

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para

determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad
de los datos, lleva a cabo los eficazmente los fines de la organización y utiliza eficiente
mente los recursos.

7
 CONTROL INTERNO
AUDITOR INFORMATICO
INFORMATICO
PERSONAL INTERNO
Conocimientos especializados en tecnologías de información
verificación del cumplimiento de controles internos,
SIMILITUDES
normativa y procedimientos establecidos por la dirección
informática y la dirección general para los sistemas de
información.
Análisis de un momento
Análisis de los controles en el
informático determinado
día a día Informa a la
Informa a la dirección general
dirección del departamento
de la organización Personal
de informática sólo personal
DIFERENCIAS interno y/o externo tiene
interno el enlace de sus
cobertura sobre todos los
funciones es únicamente
componentes de los sistemas
sobre el departamento de
de información de la
informática
organización

DEFINICION Y TIPO DE CONTROLES INTERNOS:

Se puede definir el control interno como “cualquier actividad o acción realizada
manual y/o automáticamente para prevenir, corregir errores o irregularidades
que puedan afectar al funcionamiento de un sistema para lograr o conseguir
sus objetivos.

Los controles internos se clasifican en los siguientes:

 CONTROLES PREVENTIVOS:
Para tratar de evitar el hecho, como un software de seguridad que impida
los accesos no autorizados al sistema.

 CONTROLES DETECTIVOS:
Cuando fallan los preventivos para tratar de conocer cuanto antes el
evento. Por ejemplo, el registro de intentos de acceso no autorizados, el
registro de la actividad diaria para detectar errores u omisiones, etc.

 CONTROLES CORRECTIVOS:
Facilitan la suelta a la normalidad cuando se han producido incidencias.
Por ejemplo, la recuperación de un fichero dañado a partir de las copias de
seguridad.

8
IMPLANTACIÓN DE UN SISTEMA DE CONTROL
INTERNO:
Para llegar a conocer la configuración del sistema es necesario documentar los detalles
de la red, así como los distintos niveles de control y elementos relacionados:

 ENTORNO DE RED:
Esquema de la red, descripción de la configuración hardware de comunicaciones,
descripción del software que se utiliza como acceso a las telecomunicaciones,
control de red, situación general de los ordenadores de entornos de base que
soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.

 CONFIGURACIÓN DEL ORDENADOR BASE:

Configuración del soporte físico, en torno del sistema operativo, software con
particiones, entornos (pruebas y real), bibliotecas de programas y conjunto de
datos.

 ENTORNO DE APLICACIONES:
Procesos de transacciones, sistemas de gestión de base de datos y entornos de
procesos distribuidos.

 PRODUCTOS Y HERRAMIENTAS:
Software para desarrollo de programas, software de gestión de bibliotecas y para
operaciones automáticas.

 SEGURIDAD DEL ORDENADOR BASE:

Identificar y verificar usuarios, control de acceso, registro e información,
integridad del sistema, controles de supervisión, etc.

Para la implantación de un sistema de controles internos informáticos habrá que

definir:

 GESTIÓN DE SISTEMA DE INFORMACIÓN:

políticas, pautas y normas técnicas que sirvan de base para el diseño y la
implantación de los sistemas de información y de los controles correspondientes.

 ADMINISTRACIÓN DE SISTEMAS:
Controles sobre la actividad de los centros de datos y otras funciones de apoyo
al sistema, incluyendo la administración de las redes.

9
 SEGURIDAD:
incluye las tres clases de controles fundamentales implantados en el software del
sistema, integridad del sistema, confidencialidad (control de acceso) y
disponibilidad.

 GESTIÓN DEL CAMBIO:

separación de las pruebas y la producción a nivel del software y controles de
procedimientos para la migración de programas software aprobados y probados.

CONTROL INTERNO Y AUDITORIA:

CONTROLES EN LA METODOLOGÍA DE DESARROLLO DE

SISTEMA:

 Procedimientos para la definición y documentación de especificaciones de

diseño, de entrada, de salida, de ficheros, de procesos, de programas, de
controles de seguridad, de pistas de auditoria, etc.
 Plan de validación, verificación y prueba
 Estándares de prueba de programas, de pruebas de sistemas
 Plan de conversión: prueba de aceptación final

10
  Los procedimientos de adquisición de software deberían seguir las políticas
de adquisión de la organización y dichos productos deberán ser probados
y revisados antes de pagar por ellos y ponerlos en uso.
 La contratación de outsourcing debe estar justificada mediante una
petición escrita de un director de proyectos.

SEGURIDAD FÍSICA Y LÓGICA

Definir un grupo de seguridad de

información siendo una de sus funciones la
administración y gestión de software de
seguridad, revisa periódicamente los
informes de violaciones y actividades de
seguridad para identificar y resolver
incidentes.

ACTIVIDADES

 Controles físicos para asegurar que el acceso a las instalaciones del Dpto. de la
Informática quede restringido a las personas autorizadas
 Control de vistas personas externas a la organización
 Instalación de medidas de protección contra fuego
 Formación y concientización en procedimientos de seguridad y evacuación del
edificio. Control de acceso restringido a los ordenadores.
 Existencia de un plan de contingencia para el respaldo de recursos de
ordenador crítico y para la recuperación de los servicios de Dpto. Informático.

11
 COBIT
DEFINICION:
El COBIT es un modelo para auditar la gestión y control de los sistemas de información
y tecnología, orientado a todos los sectores de una organización, es decir,
administradores de tecnologías de la información, usuarios y por supuesto, los
auditores involucrados en el proceso. El COBIT es un modelo de evaluación y
monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca
controles específicos de IT desde una perspectiva de negocios.

Además, según sus siglas COBIT significan Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas (Control Objectives for Information Systems
and related Technology). El modelo es el resultado de una investigación con expertos
de varios países, desarrollado por ISACA (Information Systems Audit and Control
Association).

COBIT fue creado para ayudar a las organizaciones a obtener el valor óptimo de TI
manteniendo un balance entre la realización de beneficios, la utilización de recursos y
los niveles de riesgo asumidos. COBIT 5 (siendo la última versión del cobit) posibilita
que TI sea gobernada y gestionada en forma holística para toda la organización,
tomando en consideración el negocio y áreas funcionales de punta a punta, así como
los interesados internos y externos. COBIT 5 se puede aplicar a organizaciones de
todos los tamaños, tanto en el sector privado, público o entidades sin fines de lucro.

CARACTERISTICAS:
El COBIT tiene un sin número de características, por lo cual las hemos agrupado en dos
conjuntos; el primero está basado en las características genéricas y las especificas
mencionadas a continuación respectivamente.

Una de las características apreciadas de forma genérica de COBIT es que “está

orientado al negocio”, vinculando las metas de negocio con las metas de TI,
proporcionando métricas y modelos de madurez para medir sus logros, e identificando
las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI.

12
Otra característica es su “enfoque hacia procesos”, mediante un modelo que
subdivide TI en procesos de acuerdo a cuatro áreas de responsabilidad (Planear,
Construir, Ejecutar y Monitorizar).

Pero, de todas las buenas características que presenta COBIT, la que más ha influido
en el éxito de COBIT es su “dualidad de orientación hacia el Negocio y hacía las TIC”,
estableciendo un puente de enlace entre ambos mundos y definiendo un lenguaje
común que ha permitido a los gestores entender el valor estratégico de las TIC y a los
responsables de los sistemas de la información, la importancia de conducir sus
acciones hacia el aporte del valor al negocio.

De esta manera podemos afirmar con total certeza que COBIT se aplica a los sistemas
de información de toda la empresa, incluyendo las mini computadoras, computadoras
personales y ambientes distribuidas. Está basado en la filosofía de que los
recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente
agrupados para proveer la información pertinente y confiable que requiere una
organización para lograr sus objetivos. En este sentido las características específicas
que buscamos describir acerca del COBIT son las siguientes:

 Ha sido diseñado como un estándar habitualmente aceptado y ajustable a las

buenas prácticas de seguridad y control en TIC.
 Suministra herramientas al responsable de los procesos que facilitan el
cumplimiento de esta tarea.
 Tiene una premisa práctica y simple: con el fin de facilitar la información que
la organización requiere para alcanzar sus objetivos, señala que los recursos de
TIC deben ser administrados por un conjunto de procesos de TIC agrupados en
forma natural.
 Es la herramienta innovadora para el manejo de TIC que ayuda a la gerencia a
comprender y administrar los riesgos asociados con TIC
 Ayuda a proteger las brechas existentes entre necesidades de control, riesgos
de negocio y aspectos técnicos. Proporciona “prácticas sanas” por medio de
un Marco Referencial de dominios y procesos; presenta actividades en una
estructura manejable y lógica.
 Las prácticas sanas de COBIT representan el consenso de los expertos.
 Está desarrollado no solo para ser utilizado por usuarios y auditores, sino que,
en forma más importante, está diseñado para ser utilizado como un Check List
detallado para los responsables de cada proceso.

13
BENEFICIOS:
a) Enfoque empresarial:

 Mejor alineación, con base en su enfoque de negocios: Es una guía

integral para la gerencia y para los dueños de los procesos de negocio,
asegurando la efectividad, eficiencia, confidencial, integridad,
disponibilidad, cumplimiento, confiabilidad
 Una visión, entendible para la gerencia, de lo que hace TI: Se obtiene
una visión clara de las TI dado que se genera un conjunto de metas
genéricas de negocio y de TI, ofreciendo una base más refinada y
relacionada con el negocio para el establecimiento de requerimientos
de negocio y para el desarrollo de métricas que permitan la medición
con respecto a estas metas
 Propiedad y responsabilidades claras: Se basa en el principio de la
utilización de las habilidades de las personas, y la infraestructura de
tecnología para formar toda la arquitectura empresarial TI en dónde se
define claramente roles y responsabilidades
 Entendimiento compartido entre todos los Interesados, con base en un
lenguaje común

b) Ventajas:

 Optimizar los servicios y el coste de las TI

 Apoyar el cumplimiento de las leyes, reglamentos, acuerdos
contractuales y las políticas
 Gestión de nuevas tecnologías de información
 Suministra un lenguaje común que le permite a los ejecutivos de
negocios comunicar sus metas, objetivos y resultados con Auditores, IT
y otros profesionales.
 Proporciona las mejores prácticas y herramientas para monitorear y
gestionar las actividades de IT.
 Protege la información, es decir lograr la confidencialidad de la
información.
 Disponibilidad de la información cuando ésta se requiere por el proceso
de negocio en todo momento.
 COBIT proporciona las directrices para tomar las decisiones en la
realización de servicios.
14
  Este marco de referencia proporciona roles y responsabilidades.
 Proporciona la optimización de los costos de las TI.
 Este marco no obliga a adoptar todos los procesos.
 COBIT integra auditorias, analiza todos sus procesos a través de las
auditorias.

ESTRUCTURA:
La estructura del modelo COBIT propone un marco de acción donde se evalúan los
criterios de información, como por ejemplo la seguridad y calidad, se auditan los
recursos que comprenden la tecnología de información, como por ejemplo el recurso
humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación
sobre los procesos involucrados en la organización.

Para hablar de los dominios del COBIT se tiene que resaltar primero los tres niveles de
los procesos de TI, los cuales bienes a ser:

 Dominios: Agrupación natural de procesos, normalmente corresponden a un

dominio o una responsabilidad organizacional
 Procesos: Conjuntos o series de actividades unidas con delimitación o cortes
de control.
 Actividades: Acciones requeridas para lograr un resultado medible. Las
Actividades Tienen un ciclo de vida mientras que las tareas son discretas

15
DOMINIOS:
PLANIFICACION Y ORGANIZACIÓN
Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la
forma en que la tecnología de información puede contribuir de la mejor manera al
logro de los objetivos del negocio. Además, la consecución de la visión estratégica
necesita ser planeada, comunicada y administrada desde diferentes perspectivas.
Finalmente, deberán establecerse una organización y una infraestructura
tecnológica apropiadas.

¿Qué se realiza?

 Definición de un plan estratégico

 Definición de la arquitectura de información
 Determinación de la dirección tecnológica
 Definición de organización y relaciones
 Administración de la inversión
 Comunicación de las políticas
 Administración de los recursos humanos
 Asegurar el cumplimiento con los requerimientos
 Externos Evaluación de riesgos
 Administración de proyectos
 Administración de la calidad

ADQUISION E IMPLANTACION
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, así como implementadas e integradas dentro del
proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.

¿Qué se realiza?

 Identificación de soluciones automatizadas

 Adquisición y mantenimiento del software aplicativo
 Adquisición y mantenimiento de la infraestructura tecnológica
 Desarrollo y mantenimiento de procedimientos

16
  Instalación y aceptación de los sistemas
 Administración de los cambios

SOPORTE Y SERVICIOS
En este dominio se hace referencia a la entrega de los servicios requeridos, que
abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por
seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán
establecerse los procesos de soporte necesarios. Este dominio incluye el
procesamiento de los datos por sistemas de aplicación, frecuentemente
clasificados como controles de aplicación.

¿Qué se realiza?

 Definición de los niveles de servicios

 Administración de los servicios de terceros
 Administración de la capacidad y rendimientos
 Aseguramiento del servicio continúo
 Aseguramiento de la seguridad de los sistemas
 Entrenamiento a los usuarios Identificación y asignación de los costos
 Asistencia y soporte a los clientes
 Administración de la configuración
 Administración de los problemas
 Administración de los datos
 Administración de las instalaciones
 Administración de la operación

MONITOREO
Todos los procesos necesitan ser evaluados regularmente a través del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos de control.

¿Qué se realiza?

 Seguimiento de los procesos

 Evaluación del control Interno
 Contratación de un aseguramiento independiente

17
PRINCIPIOS:
 Satisfacer las necesidades de las partes interesadas
 Cubrir la información de forma integral
 Aplicar un solo marco integrado
 Habilitar un enfoque holístico
 Separar el gobierno de la administración

REQUERIMIENTOS:
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para
dar soporte a los procesos de negocio y considerando a la información como el
resultado de la aplicación combinada de recursos relacionados con las TI que deben
ser administrados por procesos de TI.

 Requerimientos de la información del negocio: Para alcanzar los requerimientos

de negocio, la información necesita satisfacer ciertos criterios.

 Requerimientos de Calidad: Calidad, Costo y Entrega.

 Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de

los reportes financieros y Cumplimiento de leyes y regulaciones.

EFECTIVIDAD EFICIENCIA

La información debe ser relevante y Se debe proveer información mediante

pertinente para los procesos del el empleo óptimo de los recursos (la
negocio y debe ser proporcionada en forma más productiva y económica)
forma oportuna, correcta, consistente y
utilizable.

CONFIABILIDAD CUMPLIMIENTO

Proveer la información apropiada para De las leyes, regulaciones y

que la administración tome las compromisos contractuales con las
decisiones adecuadas para manejar la cuales está comprometida la empresa.
empresa y cumplir con sus
responsabilidades

18
 Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad.

CONFIDENCIALIDAD INTEGRIDAD

Protección de la información sensible Refiere a lo exacto y completo de la

contra la divulgación no autorizada información asi como a su validez de
acuerdo con las expectativas de la
empresa

DISPONIBILIDAD

Accesibilidad a la información cuando sea requerida por los procesos del negocio y
la salvaguardia de los recursos y capacidades asociadas a la misma

 En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los

objetivos de negocio:

DATOS APLICACIONES

Todos los objetos de información. Entendidas como sistemas de

Considera información interna y información, que integran
externa, estructurada o no, graficas, procedimientos manuales y
sonidos, etc. sistematizados.

TECNOLOGIA
INSTALACIONES
Incluye hardware y software básico,
Incluye los recursos necesarios para
sistemas operativos, sistemas de
alojar y dar soporte a los sistemas de
administración, de base de datos, de
información.
redes, telecomunicaciones, multimedia,
etc.

RECURSO HUMANO

Por la habilidad, conciencia y productividad del personal para planear, adquirir,

prestar servicios, dar soporte y monitorear los sistemas de información o de
procesos de tecnologías de información.

19
NIVELES COBIT:
Se divide en 3 niveles, los cuales son los siguientes:

 Dominios:
Agrupación natural de procesos, normalmente corresponden a un dominio o una
responsabilidad organizacional.

 Procesos:
Conjuntos o series de actividades unidas con delimitación o cortes de control.

 Actividades:
Acciones requeridas para lograr un resultado medible.

COMPONENTES COBIT:
 Resumen Ejecutivo:

Es un documento dirigido a la alta gerencia presentando los antecedentes y la

estructura básica de COBIT, Además, describe de manera general los procesos, los
recursos y los criterios de información, los cuales conforman la "Columna
Vertebral" de COBIT.

 Marco de Referencia (Framework):

Incluye la introducción contenida en el resumen ejecutivo y presenta las guías de

navegación para que los lectores se orienten en la exploración del material de
COBIT haciendo una presentación detallada de los 34 procesos contenidos en los
cuatro dominios.

 Objetivos de Control:

Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el

marco de referencia y presenta los objetivos de control detallados para cada uno
de los 34 procesos.

20
 PO1 Definir el plan estratégico de TI.
PO2 Definir la arquitectura de la información
PO3 Determinar la dirección tecnológica.
PO4 Definir procesos, organización y relaciones de TI.
PO5 Administrar la inversión en TI.
PLANEAR Y
PO6 Comunicar las aspiraciones y la dirección de la gerencia.
ORGANIZAR
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.
PO11Administración de Calidad

AI1 Identificar soluciones automatizadas.

AI2 Adquirir y mantener el software aplicativo.
ADQUIRIR E AI3 Adquirir y mantener la infraestructura tecnológica
IMPLANTAR AI4 Facilitar la operación y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.

ME1 Monitorear y evaluar el desempeño de TI.

MONITOREAR Y ME2 Monitorear y evaluar el control interno
EVALUAR ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.

DS1 Definir y administrar niveles de servicio.

DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
PRESTACIÓN Y
DS7 Educar y entrenar a los usuarios.
SOPORTE
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuración.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente físico.
DS13 Administrar las operaciones.

21