Objetivos de Control para

la Informacin y Tecnologas Relacionadas

Control Objectives for Information and related Technology (CObIT)
Un elemento crtico para el xito y la supervivencia de las organizaciones, es la
administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) relacionada.
n esta sociedad glo!al (donde la informacin via"a a travs del #ci!erespacio# sin las
restricciones de tiempo, distancia y velocidad) esta criticalidad emerge de$
la creciente dependencia en informacin y en los sistemas %ue proporcionan dic&a
informacin
la creciente vulnera!ilidad y un amplio espectro de amenazas, tales como las #ci!er
amenazas# y la guerra de informacin (information warfare).
la escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa
de informacin'
el potencial %ue tienen las tecnologas para cam!iar radicalmente las organizaciones y
las pr(cticas de negocio, crear nuevas oportunidades y reducir costos
)ara muc&as organizaciones, la informacin y la tecnologa %ue la soporta, representan los
activos mas valiosos de la empresa.
s m(s, en nuestro competitivo y r(pidamente cam!iante am!iente actual, la gerencia &a
incrementado sus expectativas relacionadas con la entrega de servicios de TI.
*erdaderamente, la informacin y los sistemas de informacin son #penetrantes# en las
organizaciones (desde la plataforma del usuario &asta las redes locales o amplias, cliente
servidor y e%uipos Mainframe. )or lo tanto, la administracin re%uiere niveles de servicio %ue
presenten incrementos en calidad, en funcionalidad y en facilidad de uso, as como un
me"oramiento continuo y una disminucin de los tiempos de entrega) al tiempo %ue demanda
%ue esto se realice a un costo m(s !a"o. Muchas organizaciones reconocen los beneficios
potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin
embargo, tambin comprenden y administran los riesgos asociados con la implementacin
de nueva tecnologa. )or lo tanto, la administracin de!e tener una apreciacin por, y un
entendimiento !(sico de los riesgos y limitantes del empleo de la tecnologa de informacin
para proporcionar una direccin efectiva y controles adecuados. +,!IT ayuda a salvar las
!rec&as existentes entre riesgos de negocio, necesidades de control y aspectos tcnicos.
)roporciona #pr(cticas sanas# a travs de un -arco .eferencial de dominios y procesos y
presenta actividades en una estructura mane"a!le y lgica. /as prcticas sanas de +,!IT
representan el consenso de los expertos (le ayudar(n a optimizar la inversin en informacin,
pero a0n m(s importante, representan a%uello so!re lo usted ser( "uzgado si las cosas salen
mal.
/as organizaciones de!en cumplir con re%uerimientos de calidad, de reportes fiduciarios y de
seguridad, tanto para su informacin, como para sus activos. /a administracin de!er(
o!tener un !alance adecuado en el empleo de sus recursos disponi!les, los cuales incluyen$
personal, instalaciones, tecnologa, sistemas de aplicacin y datos. )ara cumplir con esta
responsa!ilidad, as como para alcanzar sus expectativas, la administracin de!er( esta!lecer
un sistema adecuado de control interno. )or lo tanto, este sistema o marco referencial de!er(
existir para proporcionar soporte a los procesos de negocio y de!e ser preciso en la forma en
la %ue cada actividad individual de control satisface los re%uerimientos de informacin y
puede impactar a los recursos de TI. l impacto en los recursos de TI es enfatizado en el
-arco .eferencial de +,!IT con"untamente a los re%uerimientos de informacin del negocio
%ue de!en ser alcanzados$ efectividad, eficiencia, confidencialidad, integridad, disponi!ilidad,
cumplimiento y confia!ilidad. l control, %ue incluye polticas, estructuras, pr(cticas y
procedimientos organizacionales, es responsa!ilidad de la administracin.
/a administracin, mediante este gobierno corporativo (corporate governance), de!e
asegurar %ue la de!ida diligencia sea e"ercitada por todos los individuos involucrados en la
administracin, empleo, dise1o, desarrollo, mantenimiento u operacin de sistemas de
informacin.
Un ,!"etivo de +ontrol en TI es una definicin del resultado o propsito %ue se desea
alcanzar implementando procedimientos de control especficos dentro de una actividad de TI.
/a orientacin a negocios es el tema principal de +,!IT. sta dise1ado no solo para ser
utilizado por usuarios y auditores, sino %ue en forma m(s importante, esta dise1ado para ser
utilizado como una lista de verificacin (check list) detallada para los propietarios de los
procesos de negocio. n forma incremental, las pr(cticas de negocio re%uieren de una mayor
delegacin y otorgamiento de autoridad (Empowerment) de los due1os de procesos para %ue
estos posean total responsa!ilidad de todos los aspectos relacionados con dic&os procesos de
negocio. n forma particular, esto incluye el proporcionar controles adecuados. l -arco
.eferencial de +,!IT proporciona &erramientas al propietario de procesos de negocio %ue
2
facilitan el cumplimiento de esta responsa!ilidad. l -arco .eferencial comienza con una
premisa simple y pr(ctica$
on el fin de proporcionar la informacin que la empresa necesita para alcanzar sus
ob!etivos, los recursos de "# deben ser administrados por un con!unto de procesos de
"# agrupados en forma natural.
+ontin0a con un con"unto de 23 ,!"etivos de +ontrol de alto nivel, uno para cada uno de los
)rocesos de TI, agrupados en cuatro dominios$ planeacin 4 organizacin, ad%uisicin 4
implementacin, entrega (de servicio) y monitoreo. sta estructura cu!re todos los aspectos
de informacin y de la tecnologa %ue la soporta. 5irigiendo estos 23 ,!"etivos de +ontrol de
alto nivel, el propietario de procesos de negocio podr( asegurar %ue se proporciona un sistema
de control adecuado para el am!iente de tecnologa de informacin. 6dicionalmente,
correspondiendo a cada uno de los 23 o!"etivos de control de alto nivel, existe una gua de
auditora o de aseguramiento %ue permite la revisin de los procesos de TI contra los 278
o!"etivos detallados de control recomendados por +,!IT para proporcionar a la 9erencia la
certeza de su cumplimiento y:o una recomendacin para su me"ora. +,!IT contiene un
con"unto de &erramientas de implementacin %ue proporciona lecciones aprendidas por
empresas %ue r(pida y exitosamente aplicaron +,!IT en sus am!ientes de tra!a"o. Incluye un
.esumen "ecutivo para el entendimiento y la sensi!ilizacin de la alta gerencia so!re los
principios y conceptos fundamentales de +,!IT. /a gua de implementacin cuenta con dos
0tiles &erramientas (5iagnstico de ;ensi!ilizacin 9erencial < Management Awareness
Diagnostic y 5iagnstico de +ontrol en TI < IT Control Diagnostic <) para proporcionar
asistencia en el an(lisis del am!iente de control en una organizacin.
l -arco .eferencial +,!IT otorga especial importancia al impacto so!re los recursos de TI,
as como a los re%uerimientos de negocios en cuanto a efectividad, eficiencia,
confidencialidad, integridad, disponi!ilidad, cumplimiento y confia!ilidad %ue de!en ser
satisfec&os. 6dem(s, el -arco .eferencial proporciona definiciones para los re%uerimientos
de negocio %ue son derivados de o!"etivos de control superiores en lo referente a calidad,
seguridad y reportes fiduciarios en tanto se relacionen con Tecnologa de Informacin.
/a administracin de una empresa re%uiere de pr(cticas generalmente aplica!les y aceptadas
de control y go!ierno en TI para medir en forma comparativa (Benchmark) tanto su am!iente
de TI existente, como su am!iente planeado.
3
+,!IT es una &erramienta %ue permite a los gerentes comunicarse y salvar la !rec&a existente
entre los re%uerimientos de control, aspectos tcnicos y riesgos de negocio.
+,!IT &a!ilita el desarrollo de una poltica clara y de !uenas pr(cticas de control de TI a
travs de organizaciones, a nivel mundial. l o!"etivo de +,!IT es proporcionar estos
o!"etivos de control, dentro del marco referencial definido, y o!tener la apro!acin y el apoyo
de las entidades comerciales, gu!ernamentales y profesionales en todo el mundo.
Por lo tanto, CObIT esta orientado a ser la herramienta de gobierno de TI que ayude al
entendimiento y a la administracin de riesgos asociados con tecnologa de informacin
y con tecnologas relacionadas.
4
O!"TI#O$ %"
&"'OCIO

COIT

Informacin
< fectividad
< ficiencia
< +onfidencialidad
< Integridad
< 5isponi!ilidad
< +umplimiento
< +onfia!ilidad

Monitoreo
-= -onitorear los procesos
-8 valuar lo adecuado del
control Interno
-2 ,!tener aseguramiento
independiente
-3 )roveer auditora
independiente

(ecursos de TI
< 5atos
< 6plicaciones
< Tecnologa
< Instalaciones
< .ecurso
>umano
$laneacin y %rganizacin
),= 5efinir un )lan stratgico de TI
),8 5efinir la 6r%uitectura de Informacin
),2 5eterminar la direccin tecnolgica
),3 5efinir la ,rganizacin y .elaciones de
TI
),? -ane"ar la Inversin en TI
),@ +omunicar las directrices gerenciales
),A 6dministrar .ecursos >umanos
),B 6segurar el cumplir .e%uerimientos
xternos
),C valuar .iesgos
),=7 6dministrar proyectos
),== 6dministrar +alidad

$er)icios y $oporte
5;= 5efinir niveles de servicio
5;8 6dministrar ;ervicios de Terceros
5;2 6dministrar 5esempe1o y
+alidad
5;3 6segurar ;ervicio +ontinuo
5;? 9arantizar la ;eguridad de
;istemas
5;@ Identificar y 6signar +ostos
5;A +apacitar Usuarios
5;B 6sistir a los +lientes de TI
5;C 6dministrar la +onfiguracin
5;=7 6dministrar )ro!lemas e
Incidentes
5;== 6dministrar 5atos
5;=8 6dministrar Instalaciones
5;=2 6dministrar ,peraciones

&dquisicin e #mplementacin
6I= Identificar ;oluciones
6I8 6d%uisicin y -antener ;oftDare de
6plicacin
6I2 6d%uirir y -antener 6r%uitectura de TI
6I3 5esarrollar y -antener )rocedimientos
relacionados con TI
6I? Instalar y 6creditar ;istemas
6I@ 6dministrar +am!ios
5
Antecedentes
%esarrollo del Producto CObIT
CbIT &a sido desarrollado como un est(ndar generalmente aplica!le y aceptado para las !uenas
pr(cticas de seguridad y control en Tecnologa de Informacin (TI). <CObIT es la herramienta
inno)adora para el gobierno de TI (!overnance" Trmino aplicado para definir un control total)*.
CbIT se fundamenta en los ,!"etivos de +ontrol existentes de la Information #$stems A%&it an&
Control 'o%n&ation (I;6+E), me"orados a partir de est(ndares internacionales tcnicos, profesionales,
regulatorios y especficos para la industria, tanto existentes como en surgimiento. /os ,!"etivos de
+ontrol resultantes &an sido desarrollados para su aplicacin en sistemas de informacin en toda la
empresa. l trmino +generalmente aplicables y aceptados+ es utilizado explcitamente en el
mismo sentido %ue los )rincipios de +onta!ilidad 9eneralmente 6ceptados ()+96 o 966) por sus
siglas en ingls). )ara propsitos del proyecto, +buenas prcticas+ significa consenso por parte de los
expertos.
ste est(ndar es relativamente pe%ue1o en tama1o, con el fin de ser pr(ctico y responder, en la medida
de lo posi!le, a las necesidades de negocio, manteniendo al mismo tiempo una independencia con
respecto a las plataformas tcnicas de TI adoptadas en una organizacin. l proporcionar indicadores
de desempe1o (normas, reglas, etc.), &a sido identificado como prioridad para las me"oras futuras %ue
se realizar(n al marco referencial.
l desarrollo de CbIT &a trado como resultado la pu!licacin del -arco .eferencial general y de los
,!"etivos de +ontrol detallados, y le seguir(n actividades educativas. stas actividades asegurar(n el
uso general de los resultados del )royecto de Investigacin +,!IT.
;e determin %ue las me"oras a los ob(etivos &e control originales de!era consistir en$
el desarrollo de un marco referencial para control en TI como fundamento para los ob,eti)os de
control en TI y como una gua para la in)estigacin consistente en auditora y control de TI-
una alineacin del marco referencial general y de los ob,eti)os de control indi)iduales, con
estndares y regulaciones internacionales e.istentes de hecho y de derecho- y
una re)isin crtica de las diferentes acti)idades y tareas que conforman los dominios de control en
TI y, cuando fuese posible, la especificacin de indicadores de desempe/o rele)antes 0normas,
reglas, etc.1 y
una re)isin crtica y actuali2acin de las guas actuales para desarrollo de auditoras de sistemas
de informacin.
6
;in excluir ning0n otro est(ndar aceptado en el campo del control de sistemas de informacin
%ue pudiera emitirse durante la investigacin, las fuentes &an sido identificadas inicialmente
como$
"stndares T3cnicos de I;,, 5IE6+T, etc.
Cdigos de Conducta emitidos por el +ouncil of urope, ,+5, I;6+6, etc.'
Criterios de Calificacin para sistemas y procesos de TI$ IT;+, I;,C777, ;)I+,
IicFIT, etc.'
"stndares Profesionales para control interno y auditora$ reporte +,;,, 96,, IE6+,
II6, I;6+6, est(ndares +)6, etc.'
Prcticas y requerimientos de la Industria de foros industriales (;E, =3) y
plataformas patrocinadas por el go!ierno (IG69, HI;T, 5TI)' y
&ue)os requerimientos especficos de la industria de la !anca y manufactura de TI.
%efinicion del producto CObIT
l desarrollo de +,!IT &a resultado en la pu!licacin de$
un 'esumen (!ecutivo el cual, adicionalmente a esta seccin de antecedentes,
consiste en un ;ntesis "ecutiva (%ue proporciona a la alta gerencia entendimiento y
conciencia so!re los conceptos clave y principios de +,!IT) y el Marco )eferencial
(el cual proporciona a la alta gerencia un entendimiento m(s detallado de los
conceptos clave y principios de +,!IT e identifica los cuatro dominios de +,!IT y
los correspondientes 23 procesos de TI)'
el Marco 'eferencial %ue descri!e en detalle los 23 o!"etivos de control de alto
nivel e identifica los re%uerimientos de negocio para la informacin y los recursos
de TI %ue son impactados en forma primaria por cada o!"etivo de control'
%b!etivos de ontrol, los cuales contienen declaraciones de los resultados deseados
o propsitos a ser alcanzados mediante la implementacin de 278 o!"etivos de
control detallados y especficos a travs de los 23 procesos de TI'
)uas de &uditora, las cuales contienen los pasos de auditora correspondientes a
cada uno de los 23 o!"etivos de control de TI de alto nivel para proporcionar
asistencia a los auditores de sistemas en la revisin de los procesos de TI con
7
respecto a los 278 o!"etivos detallados de control recomendados para proporcionar a
la gerencia certeza o una recomendaciones de me"oramiento'
un on!unto de *erramientas de #mplementacin, el cual proporciona lecciones
aprendidas por organizaciones %ue &an aplicado +,!IT r(pida y exitosamente en
sus am!ientes de tra!a"o.
l +on"unto de >erramientas de Implementacin incluye la #*ntesis E(ec%tiva,
proporcionando a la alta gerencia conciencia y entendimiento de +,!IT. Tam!in
incluye una gua de implementacin con dos 0tiles &erramientas < 5iagnstico de la
+onciencia de la 9erencia (Management Awareness Diagnostic
)
y el 5iagnstico de
+ontrol de TI (IT Control Diagnostic) < para proporcionar asistencia en el an(lisis del
am!iente de control en TI de una organizacin. Tam!in se incluyen varios casos de
estudio %ue detallan como organizaciones en todo el mundo &an implementado +,!IT
exitosamente. 6dicionalmente, se incluyen respuestas a las 8? preguntas mas
frecuentes acerca de +,!IT y varias presentaciones para distintos niveles "er(r%uicos
y audiencias dentro de las organizaciones.
")olucion del producto CObIT
+,!IT evolucionar( a travs de los a1os y ser( el fundamento de investigaciones
futuras. )or lo tanto, se generar( un familia de productos +,!IT y al ocurrir esto, las
tareas y actividades %ue sirven como la estructura para organizar los ,!"etivos de
+ontrol de TI, ser(n refinadas posteriormente, tam!in ser( revisado el !alance entre
los dominios y los procesos a la luz de los cam!ios en la industria.
Una temprana adicin significativa visualizada para la familia de productos +,!IT, es
el desarrollo de las 9uas de 9erenciales (Management !%i&elines) %ue incluyen
Eactores +rticos de xito, Indicadores +lave de 5esempe1o y -edidas +omparativas
(Benchmarks). sta adicin proporcionar( &erramientas a la gerencia para evaluar el
am!iente de TI de su organizacin con respecto a los 23 ,!"etivos de +ontrol de alto
nivel de +,!IT. /os Eactores +rticos de xito identificar(n los aspectos o acciones
m(s importantes para la administracin y poder as tomar dic&as aciones o considerar
los aspectos para lograr control so!re sus procesos de TI. /os Indicadores +lave de
5esempe1o proporcionar(n medidas de xito %ue permitan conocer a la gerencia si un
proceso de TI esta alcanzando los re%uerimientos de negocio. /a -edidas
8
+omparativas definir(n niveles de madurez %ue pueden ser utilizadas por la gerencia
para$ (=) determinar el nivel actual de madurez de la empresa' (8) determinar el nivel
de madurez %ue desea lograr, como una funcin de sus riesgos y o!"etivos' y (2)
proporcionar una !ase de comparacin de sus pr(cticas de control de TI contra
empresas similares o normas de la industria. sta adicin proporcionar( &erramientas
a la gerencia para evaluar el am!iente de TI de su organizacin con respecto a los 23
,!"etivos de +ontrol de alto nivel de +,!IT.
/as investigaciones y pu!licaciones &an sido posi!le gracias a contri!uciones de
Unysis, Unitec& ;ystems, Inc., -I; Training Institute, Iergo, /td., y +oopers 4
/y!rand. l Eorum uropeo de ;eguridad (uropean ;ecurity Eorum J;EJ)
ama!lemente puso a disposicin material para el proyecto. ,tras donaciones fueron
reci!idas de captulos miem!ros de I;6+6 de todo el mundo.
El Marco Referencial de CObIT
"stableciendo la "scena
/6 H+;I565 5 +,HT.,/ H T+H,/,9I6 5 IHE,.-6+I,H n a1os
recientes, &a sido cada vez m(s evidente para los legisladores, usuarios y proveedores de
servicios la necesidad de un -arco .eferencial para la seguridad y el control de tecnologa de
informacin (TI). Un elemento crtico para el xito y la supervivencia de las organizaciones,
es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI)
relacionada. n esta sociedad glo!al (donde la informacin via"a a travs del #ci!erespacio#
sin las restricciones de tiempo, distancia y velocidad) esta criticalidad emerge de$
la creciente dependencia en informacin y en los sistemas %ue proporcionan dic&a
informacin
la creciente vulnera!ilidad y un amplio espectro de amenazas, tales como las #ci!er
amenazas# y la guerra de informacin (Information warfare)
la escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa
de informacin' y
el potencial %ue tienen las tecnologas para cam!iar radicalmente las organizaciones y
las pr(cticas de negocio, crear nuevas oportunidades y reducir costos
9
)ara muc&as organizaciones, la informacin y la tecnologa %ue la soporta, representan los
activos mas valiosos de la empresa. *erdaderamente, la informacin y los sistemas de
informacin son #penetrantes# en las organizaciones (desde la plataforma del usuario &asta las
redes locales o amplias, cliente servidor y e%uipos -ainframe. Muchas organizaciones
reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las
organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos
asociados con la implementacin de nueva tecnologa. )or lo tanto, la administracin de!e
tener una apreciacin por, y un entendimiento !(sico de los riesgos y limitantes del empleo de
la tecnologa de informacin para proporcionar una direccin efectiva y controles adecuados.
4a administracin de!e decidir la inversin razona!le en seguridad y control en TI y cmo
lograr un !alance entre riesgos e inversiones en control en un am!iente de TI frecuentemente
impredeci!le. /a administracin necesita un -arco .eferencial de pr(cticas de seguridad y
control de TI generalmente aceptadas para medir comparativamente su am!iente de TI, tanto
el existente como el planeado.
xiste una creciente necesidad entre los U;U6.I,; en cuanto a la seguridad en los servicios
TI, a travs de la acreditacin y la auditora de servicios de TI proporcionados internamente o
por terceras partes, %ue aseguren la existencia de controles adecuados. 6ctualmente, sin
em!argo, es confusa la implementacin de !uenos controles de TI en sistemas de negocios
por parte de entidades comerciales, entidades sin fines de lucro o entidades gu!ernamentales.
sta confusin proviene de los diferentes mtodos de evaluacin, tales como IT;+, T+;+,
evaluaciones I;,C777, nuevas evaluaciones de control interno +,;,, etc. +omo resultado,
los usuarios necesitan una !ase general a ser esta!lecida como primer paso.
Erecuentemente, los 6U5IT,.; &an tomado el liderazgo en estos esfuerzos internacionales
de estandarizacin, de!ido a %ue ellos enfrentan continuamente la necesidad de sustentar y
apoyar frente a la 9erencia su opinin acerca de los controles internos. ;in contar con un
marco referencial, sta se convierte en una tarea demasiado complicada. sto &a sido
mostrado en varios estudios recientes acerca de la manera en la %ue los auditores eval0an
situaciones comple"as de seguridad y control en TI, estudios %ue fueron dados a conocer casi
simult(neamente en diferentes partes del mundo. Incluso, la administracin consulta cada vez
m(s a los auditores para %ue la asesoren en forma proactiva en lo referente a asuntos de
seguridad y control de TI.
10
"l ambiente de negocios5 competencia, cambio 6 costos
/a competencia glo!al es ya un &ec&o. /as organizaciones se reestructuran con el fin de
perfeccionar sus operaciones y al mismo tiempo aprovec&ar los avances en tecnologa de
sistemas de informacin para me"orar su posicin competitiva. /a reingeniera en los
negocios, las reestructuraciones, el o%tso%rcing, las organizaciones &orizontales y el
procesamiento distri!uido son cam!ios %ue impactan la manera en la %ue operan tanto los
negocios como las entidades gu!ernamentales. stos cam!ios &an tenido y continuar(n
teniendo, profundas implicaciones para la administracin y las estructuras de control
operacional dentro de las organizaciones en todo el mundo.
/a especial atencin prestada a la o!tencin de venta"as competitivas y a la economa implica
una dependencia creciente en la computacin como el componente m(s importante en la
estrategia de la mayora de las organizaciones. /a automatizacin de las funciones
organizacionales, por su naturaleza, dicta la incorporacin de mecanismos de control m(s
poderosos en las computadoras y en las redes, tanto los !asados en &ardDare como los
!asados en softDare. 6dem(s, las caractersticas estructurales fundamentales de estos
controles est(n evolucionando al mismo paso %ue las tecnologas de computacin y las redes.
;i los administradores, los especialistas en sistemas de informacin y los auditores desean en
realidad ser capaces de cumplir con sus tareas en forma efectiva dentro de un marco
contextual de cam!ios acelerados, de!er(n aumentar y me"orar sus &a!ilidades tan
r(pidamente como lo demandan la tecnologa y el am!iente. 5e!emos comprender la
tecnologa de controles involucrada y su naturaleza cam!iante si deseamos emitir y e"ercer
"uicios razona!les y prudentes al evaluar las pr(cticas de control %ue se encuentran en los
negocios tpicos o en las organizaciones gu!ernamentales.
(espuesta a las necesidades
n vista de estos continuos cam!ios, el desarrollo de este -arco .eferencial de o!"etivos de
control para TI, con"untamente con una investigacin continua aplicada a controles de TI
!asada en este marco referencial, constituyen el fundamento para el progreso efectivo en el
campo de los controles de sistemas de informacin.
)or otro lado, &emos sido testigos del desarrollo y pu!licacin de modelos de control
generales de negocios como +,;, KCommittee of #ponsoring rganisations of the Trea&wa$
Commisssion Internal Control+Integrate& 'ramework, -../L en los U6, +ad!ury en el
11
.eino Unido y +o+o en +anad( y Ming en ;ud(frica. )or otro lado, existe un n0mero
importante de modelos de control m(s enfocados al nivel de tecnologa de informacin.
6lgunos !uenos e"emplos de esta 0ltima categora son el +ecurity ode of onduct del 5TI
(Department of Tra&e an& In&%str$, .eino Unido) y el +ecurity *andboo, de HI;T
(0ational Instit%te of #tan&ar&s an& Technolog$, U6). ;in em!argo, estos modelos de
control con orientacin especfica no proporcionan un modelo de control completo y
utiliza!le so!re tecnologa de informacin como soporte para los procesos de negocio. l
propsito de CbIT es el cu!rir este vaco proporcionando una !ase %ue est estrec&amente
ligada a los o!"etivos de negocio, al mismo tiempo %ue se enfoca a la tecnologa de
informacin.
Un enfo%ue &acia los re%uerimientos de negocio en cuanto a controles para tecnologa de
informacin y la aplicacin de nuevos modelos de control y est(ndares internacionales
relacionados, &icieron evolucionar los ,!"etivos de +ontrol y pasar de una &erramienta de
auditora, a CbIT, %ue es una &erramienta para la administracin. CObIT es, por lo tanto,
la herramienta inno)adora para el gobierno de TI que ayuda a la gerencia a comprender
y administrar los riesgos asociados con TI.
)or lo tanto, el o!"etivo principal del proyecto CbIT es el desarrollo de polticas claras y
!uenas pr(cticas para la seguridad y el control de Tecnologa de Informacin, con el fin de
o!tener la apro!acin y el apoyo de las entidades comerciales, gu!ernamentales y
profesionales en todo el mundo. /a meta del proyecto es el desarrollar estos o!"etivos de
control principalmente a partir de la perspectiva de los o!"etivos y necesidades de la empresa.
sto concuerda con la perspectiva +,;,, %ue constituye el primer y me"or marco referencial
para la administracin en cuanto a controles internos. )osteriormente, los o!"etivos de control
fueron desarrollados a partir de la perspectiva de los o!"etivos de auditora (certificacin de
informacin financiera, certificacin de medidas de control interno, eficiencia y efectividad,
etc.)
7udiencia5 administracion, usuarios 6 auditores
+,!IT esta dise1ado para ser utilizado por tres audiencias distintas$
7dministracin5
)ara ayudarlos a lograr un !alance entre los riesgos y las inversiones en control en un
am!iente de tecnologa de informacin frecuentemente impredeci!le.
12
8suarios5
)ara o!tener una garanta en cuanto a la seguridad y controles de los servicios de
tecnologa de informacin proporcionados internamente o por terceras partes.
7uditores de sistemas de informacin5
)ara dar soporte a las opiniones mostradas a la administracin so!re los controles internos.
6dem(s de responder a las necesidades de la audiencia inmediata de la 6lta 9erencia, a los
auditores y a los profesionales dedicados al control y seguridad, +,!IT puede ser utilizado
dentro de las empresas por el propietario de procesos de negocio en su responsa!ilidad de
control so!re los aspectos de informacin del proceso, y por todos a%ullos responsa!les de TI
en la empresa.
Orientacin a ob,eti)os de negocio
/os ,!"etivos de +ontrol muestran una relacin clara y distintiva con los o!"etivos de negocio
con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de
auditora. /os ,!"etivos de +ontrol est(n definidos con una orientacin a los procesos,
siguiendo el principio de reingeniera de negocios. n dominios y procesos identificados, se
identifica tam!in un o!"etivo de control de alto nivel para documentar el enlace con los
o!"etivos del negocio. ;e proporcionan consideraciones y guas para definir e implementar el
,!"etivo de +ontrol de TI.
/a clasificacin de los dominios a los %ue se aplican los o!"etivos de control de alto nivel
(dominios y procesos)' una indicacin de los re%uerimientos de negocio para la informacin
en ese dominio, as como los recursos de TI %ue reci!en un impacto primario por parte del
o!"etivo del control, forman con"untamente el marco .eferencial +,!IT. l marco referencial
toma como !ase las actividades de investigacin %ue &an identificado 23 o!"etivos de alto
nivel y 278 o!"etivos detallados de control. l -arco .eferencial fue mostrado a la industria
de TI y a los profesionales dedicados a la auditora para a!rir la posi!ilidad a revisiones,
dudas y comentarios. /as ideas o!tenidas fueron incorporadas en forma apropiada.
%efiniciones
)ara propsitos de este proyecto, se proporcionan las siguientes definiciones. /a definicin de
#+ontrol# est( adaptada del reporte C# 1Committee of #ponsoring rganisations of the
Trea&wa$ Commission" Internal Control+Integrate& 'ramework, =CC8 y la definicin para
13
#,!"etivo de +ontrol de TI# &a sido adaptada del reporte ;6+ (#$stems A%&itabilit$ an&
Control )eport)" The Instit%te of Internal A%&itors )esearch 'o%n&ation, =CC= y =CC3.
Control
se define como
/as polticas, procedimientos, pr(cticas y
estructuras organizacionales dise1adas para
garantizar razona!lemente %ue los o!"etivos
del negocio ser(n alcanzados y %ue eventos
no desea!les ser(n prevenidos o detectados y
corregidos.
Ob,eti)o de control en TI
se define como
Una definicin del resultado o propsito %ue
se desea alcanzar implementando
procedimientos de control en una actividad de
TI particular.
Principios del Marco Referencial
xisten dos clases distintas de modelos de control disponi!les actualmente, a%ullos de la
clase del #modelo de control de negocios# (por e"emplo +,;,) y los #modelos m(s
enfocados a TI# (por e"emplo, 5TI). CbIT intenta cu!rir la !rec&a %ue existe entre los dos.
5e!ido a esto, +,!IT se posiciona como una &erramienta m(s completa para la
6dministracin y para operar a un nivel superior %ue los est(ndares de tecnologa para la
administracin de sistemas de informacin. Por lo tanto, CObIT es el modelo para el
gobierno de TI.
l concepto fundamental del marco referencial +,!IT se refiere a %ue el enfo%ue del control
en TI se lleva a ca!o visualizando la informacin necesaria para dar soporte a los procesos de
negocio y considerando a la informacin como el resultado de la aplicacin com!inada de
recursos relacionados con la Tecnologa de Informacin %ue de!en ser administrados por
procesos de TI.

(equerimientos de
negocio

14
Procesos de TI

(ecursos de TI
)ara satisfacer los o!"etivos del negocio, la informacin necesita concordar con ciertos criterios a los
%ue +,!IT &ace referencia como re2%erimientos &e negocio para la informaci3n. 6l esta!lecer la lista
de re%uerimientos, CbIT com!ina los principios contenidos en los modelos referenciales existentes y
conocidos$
(equerimientos de calidad +alidad
+osto
ntrega (de servicio)
(equerimientos 9iduciarios
0CO$O1
fectividad 4 eficiencia de operaciones
+onfia!ilidad de la informacin
+umplimiento de las leyes 4 regulaciones
(equerimientos de $eguridad +onfidencialidad
Integridad
5isponi!ilidad
/a +alidad &a sido considerada principalmente por su aspecto NnegativoN (no fallas, confia!le, etc.), lo
cual tam!in se encuentra contenido en gran medida en los criterios de Integridad. /os aspectos
positivos pero menos tangi!les de la calidad (estilo, atractivo, #ver y sentir <look an& feel#,
desempe1o m(s all( de las expectativas, etc.) no fueron, por un tiempo, considerados desde un punto
de vista de ,!"etivos de +ontrol de TI. /a premisa se refiere a %ue la primera prioridad de!er( estar
dirigida al mane"o apropiado de los riesgos al compararlos contra las oportunidades. l aspecto
utiliza!le de la +alidad est( cu!ierto por los criterios de efectividad. ;e consider %ue el aspecto de
entrega (de servicio) de la +alidad se traslapa con el aspecto de disponi!ilidad correspondiente a los
re%uerimientos de seguridad y tam!in en alguna medida, con la efectividad y la eficiencia.
Einalmente, el +osto es tam!in considerado %ue %ueda cu!ierto por ficiencia.
)ara los re%uerimientos fiduciarios, +,!IT no intent reinventar le rueda <se utilizaron las
definiciones de +,;, para la efectividad y eficiencia de operaciones, confia!ilidad de informacin y
15
cumplimiento con leyes y regulaciones<. ;in em!argo, confia!ilidad de informacin fue ampliada para
incluir toda la informacin <no solo informacin financiera.
+on respecto a los aspectos de seguridad, +,!IT identific la confidencialidad, integridad y
disponi!ilidad como los elementos clave, fue descu!ierto %ue estos mismos tres elementos son
utilizados a nivel mundial para descri!ir los re%uerimientos de seguridad.
+omenzando el an(lisis a partir de los re%uerimientos de +alidad, Eiduciarios y de ;eguridad m(s
amplios, se extra"eron siete categoras distintas, ciertamente superpuestas.
6 continuacin se muestran las definiciones de tra!a"o de +,!IT$
"fecti)idad ;e refiere a %ue la informacin relevante sea pertinente para el proceso del
negocio, as como a %ue su entrega sea oportuna,correcta, consistente y de
manera utiliza!le.
"ficiencia ;e refiere a la provisin de informacin a travs de la utilizacin ptima (m(s
productiva y econmica) de recursos.
Confidencialidad ;e refiere a la proteccin de informacin sensi!le contra divulgacin no
autorizada.
Integridad ;e refiere a la precisin y suficiencia de la informacin, as como a su validez
de acuerdo con los valores y expectativas del negocio.
%isponibilidad ;e refiere a la disponi!ilidad de la informacin cuando sta es re%uerida por el
proceso de negocio a&ora y en el futuro. Tam!in se refiere a la salvaguarda de
los recursos necesarios y capacidades asociadas.
Cumplimiento ;e refiere al cumplimiento de a%uellas leyes, regulaciones y acuerdos
contractuales a los %ue el proceso de negocios est( su"eto, por e"emplo, criterios
de negocio impuestos externamente.
Confiabilidad de la informacin. ;e refiere a la provisin de informacin apropiada para la
administracin con el fin de operar la entidad y para e"ercer sus
responsa!ilidades de reportes financieros y de cumplimiento.
/os recursos de TI identificados en +o!IT pueden identificarse:definirse como se muestra a
continuacin$
%atos /os elementos de datos en su m(s amplio sentido, (por e"emplo, externos e
internos), estructurados y no estructurados, gr(ficos, sonido, etc.
16
7plicaciones ;e entiende como sistemas de aplicacin la suma de procedimientos manuales y
programados.
Tecnologa /a tecnologa cu!re &ardDare, softDare, sistemas operativos, sistemas de
administracin de !ases de datos, redes, multimedia, etc.
Instalaciones .ecursos para alo"ar y dar soporte a los sistemas de informacin.
Personal >a!ilidades del personal, conocimiento, conciencia y productividad para
planear, organizar, ad%uirir, entregar, soportar y monitorear servicios y sistemas
de informacin.
l dinero o capital no es considerado como un recurso para la clasificacin de o!"etivos de control
para TI de!ido a %ue puede definirse como la inversin en cual%uiera de los recursos mencionados
anteriormente y podra causar confusin con los re%uerimientos de auditora financiera.
l -arco referencial no menciona, en forma especfica para todos los casos, la documentacin de
todos los aspectos OmaterialesP importantes relacionados con un proceso de TI particular. +omo parte
de las !uenas pr(cticas, la documentacin es considerada esencial para un !uen control y, por lo tanto,
la falta de documentacin podra ser la causa de revisiones y an(lisis futuros de controles de
compensacin en cual%uier (rea especfica en revisin.
,tra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se descri!e a
continuacin$
")entos
,!"etivos de negocio
,portunidades de negocio
.e%uerimientos externos
.egulacin
.iesgos

mensa"e
entrada
T"C&O4O':7
I&$T747CIO&"$
'"&T"
;istemas de
6plicacin
5atos

servicio
salida
Informa
cin
fectividad
ficiencia
+onfidencialidad
Integridad
5isponi!ilidad
+umplimiento
+onfia!ilidad
/a informacin %ue los procesos de negocio necesitan es proporcionada a travs del empleo de
recursos de TI. +on el fin de asegurar %ue los re%uerimientos de negociio para al informacinson
17
satisfec&os,de!en definirs, implementarse y monitorearse medidas de control adecuadaspara estos
recursos.
Q+mo pueden entonces las empresas estar satisfec&as respecto de la informacin o!tenida presente
las caractersticas %ue nececitanR s a%u donde se re%uiere un sano marco referencial de ,!"etivos de
+ontrol para TI. l diagrama mostrado ilustra este concepto.
Procesos del
&egocio
/o %ue se o!tiene /o %ue se necesita
Informacin
Criterios
fectividad
ficiencia
+onfidencialidad
Integridad
5isponi!ilidad
+umplimiento
+onfia!ilidad

(ecursos de TI
5atos
6plicaciones
Tecnologa
Instalaciones
.ecurso >umano
oncuerdan ;
l marco referencial conta de ,!"etivos de +ontrol de TI de alto nivel y de una estructura
general para su clasificacin y presentacin. /a teora su!yacente para la clasificacin
18
seleccionadada se refiere a %ue existen, en esencia, tres niveles de actividades de TI al
considerar la admistracin de sus recursos.
+omenzando por la !ase, encontramos las actividades y las tareas necesarias para encontrar
un resu1tado medi!le. /as actividades cuentan con un concepto de ciclo de vida, mientras son
cosideras m(s discretas. 6lgunos e"emplo de esta categora son las actividadesde desarrollo de
sistemas, administracin de la configuracin y mane"o de cam!ios. /a segunda categora
incluye tareasllevadas a ca!o como soporte para la planeacin estratgica de TI, evaluacin de
riesgos, planeacin de la calidad, administracin de la capacidad y el desempe1o.
/os procesos se definen entonces en un nivel superior como una serie de actividades o tareas
con"untas con OcortesP naturales (de control).
6l nivel m(s alto, los pocesos son agrupados de manera natural en dominios. ;u
agrupamiento natural es confirmado frecuentementecomo dominios de responsa!ilad en una
estructura organizacional, y est( en lnea con el ciclo administrativo o ciclo de vida aplica!le
a los procesos de TI.
%ominios
Procesos
7cti)idades
)or lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos
estratgicos$ (=) recursos de TI, (8) re%uerimientos de negocio para la informacin y (2)
19
procesos de TI. stos puntos de vista diferentes permiten al marco referencial ser accedido
eficientemente.
)or e"emplo, los gerentes de la empresa pueden interesarse en un enfo%ue de calidad,
seguridad o fiduciario (traducido por el marco referencial en siete re%uerimientos de
informacin especficos). Un 9erente de TI puede desear considerar recursos de TI por los
cuales es responsa!le. )ropietarios de procesos, especialistas de TI y usuarios pueden tener un
inters en procesos particulares. /os auditores podr(n desear enfocar el marco referencial
desde un punto de vista de co!ertura de control.
+on lo anterior como marco de referencia, los dominios son identificados utilizando las
pala!ras %ue la gerencia utilizara en las actividades cotidianas de la organizacin <y no la O"erga
((argon)P del auditor<. )or lo tanto, cuatro grandes dominios son identificados$ planeacin y
organizacin, ad%uisicin e implementacin' entrega y soporte y monitoreo.
/as definiciones para los dominios mencionados son las siguientes$
Planeacin y Organi2acin ste dominio cu!re la estrategia y las t(cticas y se refiere a la
identificacin de la forma en %ue la tecnologa de informacin
puede contri!uir de la me"or manera al logro de los o!"etivos del
negocio. 6dem(s, la consecucin de la visin estratgica necesita
ser planeada, comunicada y administrada desde diferentes
perspectivas. Einalmente, de!er(n esta!lecerse una organizacin
y una infraestructura tecnolgica apropiadas.
7dquisicin e Implementacin )ara llevar a ca!o la estrategia de TI, las soluciones de TI de!en
ser identificadas, desarrolladas o ad%uiridas, as como
implementadas e integradas dentro del proceso del negocio.
6dem(s, este dominio cu!re los cam!ios y el mantenimiento
realizados a sistemas existentes.
"ntrega y $oporte n este dominio se &ace referencia a la entrega de los servicios
re%ueridos, %ue a!arca desde las operaciones tradicionales &asta
el entrenamiento, pasando por seguridad y aspectos de
continuidad. +on el fin de proveer servicios, de!er(n esta!lecerse
los procesos de soporte necesarios. Este &ominio incl%$e el
procesamiento &e los &atos por sistemas &e aplicaci3n,
frec%entemente clasifica&os como controles &e aplicaci3n"
<onitoreo Todos los procesos necesitan ser evaluados regularmente a travs
del tiempo para verificar su calidad y suficiencia en cuanto a los
re%uerimientos de control.
n resumen, los .ecursos de TI necesitan ser administrados por un con"unto de procesos
agrupados en forma natural, con el fin de proporcionar la informacin %ue la empresa necesita
para alcanzar sus o!"etivos.
l diagrama de p(gina 3 ilustra este concepto.
20
5e!e tomarse en cuenta %ue estos procesos pueden ser aplicados a diferentes niveles dentro
de una organizacin. )or e"emplo, algunos de estos procesos ser(n aplicados al nivel
corporativo, otros al nivel de la funcin de servicios de informacin, otros al nivel del
propietario de los procesos de negocio.
Tam!in de!e ser tomado en cuenta %ue el criterio de efectividad de los procesos %ue planean
o entregan soluciones a los re%uerimientos de negocio, cu!rir(n algunas veces los criterios de
disponi!ilidad, integridad y confidencialidad <en la pr(ctica, se &an convertido en
re%uerimientos del negocio. )or e"emplo, el proceso de Oidentificar soluciones automatizadasP
de!er( ser efectivo en el cumplimiento de re%uerimientos de disponi!ilidad, integridad y
confidencialidad.
.esulta claro %ue las medidas de control no satisfar(n necesariamente los diferentes
re%uerimientos de informacin del negocio en la misma medida. ;e lleva a ca!o una
clasificacin dentro del marco referencial CobIT !asada en rigurosos informes y
o!servaciones de procesos por parte de investigadores, expertos y revisores con las estrictas
definiciones determinadas previamente.
Primario es el grado al cual el o!"etivo de control definido impacta directamente el
re%uerimiento de informacin de inters.
$ecundario es el grado al cual el o!"etivo de control definido satisface 0nicamente de
forma indirecta o en menor medida el re%uerimiento de informacin de inters.
lanco (vaco) podra aplicarse' sin em!argo, los re%uerimientos son satisfec&os m(s
apropiadamente por otro criterio en este proceso y:o por otro proceso.
;imilarmente, todos las medidas de control no necesariamente tendr(n impacto en los
diferentes recursos de TI a un mismo nivel. )or lo tanto, el -arco .eferencial de +,!IT
indica especficamente la aplica!ilidad de los recursos de TI %ue son administrados en forma
especfica por el proceso !a"o consideracin (no por a%uellos %ue simplemente toman parte en
el proceso). sta clasificacin es &ec&a dentro el -arco .eferencial de +,!IT !asado en el
mismo proceso riguroso de informacin proporcionada por los investigadores, expertos y
revisores, utilizando las definiciones estrictas indicadas previamente.
21
Tabla Resmen
Criterios de
Informacin
(ecursos de TI
%
o
m
i
n
i
o
)roceso

f
e
c
t
i
v
i
d
a
d

f
i
c
i
e
n
c
i
a

+
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

I
n
t
e
g
r
i
d
a
d

5
i
s
p
o
n
i
!
i
l
i
d
a
d

+
u
m
p
l
i
m
i
e
n
t
o

+
o
n
f
i
a
!
i
l
i
d
a
d

.
e
c
u
r
s
o
s

>
u
m
a
n
o
s
;
i
s
t
e
m
a
s

I
n
f
o
r
m
a
c
i

n
T
e
c
n
o
l
o
g

a

I
n
s
t
a
l
a
c
i
o
n
e
s

5
a
t
o
s
Planeacin y Organi2acin
),= 5efinir un )lan stratgico de TI ) ;
),8 5efinir la 6r%uitectura de Informacin ) ; ; ;
),2 5eterminar la direccin tecnolgica ) ;
),3 5efinir la ,rganizacin y .elaciones de TI ) ;
),? -ane"ar la Inversin en TI ) ) ;
),@ +omunicar las directrices gerenciales ) ;
),A 6dministrar .ecursos >umanos ) )
),B 6segurar el cumplir .e%uerimientos xternos ) ) ;
),C valuar .iesgos ; ; ) ) ) ; ;
),=7 6dministrar proyectos ) )
),== 6dministrar +alidad ) ) ) ;
7dquisicin e Implementacin
6I= Identificar ;oluciones ) ;
6I8 6d%uisicin y -antener ;oftDare de 6plicacin ) ) ; ; ;
6I2 6d%uirir y -antener 6r%uitectura de TI ) ) ;
6I3 5esarrollar y -antener )rocedimientos relacionados con TI ) ) ; ; ;
6I? Instalar y 6creditar ;istemas ) ; ;
6I@ 6dministrar +am!ios ) ) ) ) ;
$er)icios y $oporte
5;= 5efinir niveles de servicio ) ) ; ; ; ; ;
5;8 6dministrar ;ervicios de Terceros ) ) ; ; ; ; ;
5;2 6dministrar 5esempe1o y +apacidad ) ) ;
5;3 6segurar ;ervicio +ontinuo ) ; )
5;? 9arantizar la ;eguridad de ;istemas ) ) ; ; ;
5;@ Identificar y 6signar +ostos ) )
5;A +apacitar Usuarios ) ;
5;B 6sistir a los +lientes de TI )
5;C 6dministrar la +onfiguracin ) ; ;
5;=7 6dministrar )ro!lemas e Incidentes ) ) ;
5;== 6dministrar 5atos ) )
5;=8 6dministrar Instalaciones ) )
5;=2 6dministrar ,peraciones ) ) ; ;
<onitoreo
-= -onitorear los procesos ) ; ; ; ; ; ;
-8 valuar lo adecuado del control Interno ) ) ; ; ; ; ;
-2 ,!tener aseguramiento independiente ) ) ; ; ; ; ;
-3 )roveer auditora independiente ) ) ; ; ; ; ;
22