Académique Documents
Professionnel Documents
Culture Documents
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
&2%,7
2%-(7,926'(&21752/
$EULOGH
GD(GLFLyQ
(PLWLGRSRUHO&RPLWp'LUHFWLYRGH&
2%,7\
OD,QIRUPDWLRQ6\VWHPV$XGLWDQG&RQWURO)RXQGDWLRQ
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control
en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas
y auditores.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
Reconocimientos
Lmite de Responsabilidad
Resumen Ejecutivo
Antecedentes
La Information Systems Audit and Control Foundation y los patrocinadores de COBIT: Objetivos de Control para la Informacin y Tecnologas afines, han diseado este producto principalmente como
una fuente de instruccin para los profesionales dedicados a las
actividades de control. La Information Systems Audit and Control
Foundation y los patrocinadores no declaran que el uso de este producto asegurar un resultado exitoso. No deber considerarse que
este producto incluye todos los procedimientos o pruebas apropiados
o que excluye otros procedimientos y pruebas que estn razonablemente dirigidos hacia la obtencin de los mismos resultados. Para
determinar la conveniencia de cualquier prueba o procedimiento
especfico, los expertos en control debern aplicar su propio juicio
profesional a las circunstancias de control especiales presentadas por
cada entorno de sistemas en particular.
10
13
18
20
Tabla Resumen
21
22
Objetivos de Control
Planeacin y Organizacin
Adquisicin e Implementacin
Entrega de Servicios y Soporte
Monitoreo
29
56
73
105
Copyright 1996, 1998 Information Systems Audit and Control Foundation, reimpreso con la autorizacin de la Information Systems
Audit and Control Foundation. Ningn otro derecho o permiso relacionado con esta obra es otorgado.
Apndice I
Descripcin del Proyecto COBIT
Las Directrices de Auditora y el conjunto de herramientas de implementacin no pueden ser reproducidos, almacenados en un sistema de recuperacin de datos o transmitido en ninguna forma ni por
ningn medio electrnico, mecnico, fotocopiado, grabado u otro
medio- sin la previa autorizacin por escrito de la ISACF.
114
Apndice II
Material de Referencia Primaria
116
Apndice III
Glosario de Terminos Originales
119
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
(&212&,0,(1726
5,1&,3$/(63$75,2&,1$'25(6
'(/$&25325$&,1$1,9(/
081'5$/
Norway
Toronto
New Jersey
New Mexico
North Alabama
North Texas
Northeast Ohio
Northern United Kingdom
Philadelphia
Pittsburgh
Puget Sound
Research Triangle
Sacramento
San Diego
Santiago de Chile
Seoul
South Texas
St. Louis
Sweden
Tokyo
Tulsa
Victoria
Virginia
Wellington
Winnipeg
CONTRIBUCIONES INDIVIDUALES
Bill Bartgis
John Beveridge
William Bialkowski
Alllen Bragan
Maryanne S. Canant
Michael Donahue
John Lainhart
Teresa McCauley
Robert G. Parker
Daniel Ramos
Deepak Sarup
Lily Shue
Patrick Stachtchenko
Kevin Weston
$NLUD0DWVXR
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
CALIDAD GARANTIZADA
Gary Austin, GAO
Chris Bagot, NATO
Rick Beatty, California Federal Bank
Peter De Koninck, Coopers & Lybrand
Balencia Dozier, Manufacturers Bank
Doris Gin, Arthur Andersen & Co., LLP
A.I. Heijkamp, Computercentrum VSB
Max Huijbers, Rijkscomputercentrum
Peter Maertens, NATO
Bill Pepper, Zergo, Ltd.
Mark Stanley, Santa Barbara Bank
Tjerk Terpstra, Inter Access
Mark Wheeler, Farmers Insurance
Carla Williams, Executive Consultants
INVESTIGADORES
Vrije Universiteit Amsterdam, The Netherlands
Prof. M.E. Van Biene-Hershey
Ren Barlage, RB Consultants
California Polytechnic University, USA
Prof. Dan Manson, Lead Researcher
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
(680(1(-(&87,92
as organizaciones deben cumplir con requerimientos de calidad, de reportes fiduciarios y de seguridad, tanto para su informacin, como para sus activos.
La administracin deber obtener un balance adecuado
en el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa, sistemas de
aplicacin y datos. Para cumplir con esta responsabilidad, as como para alcanzar sus expectativas, la administracin deber establecer un sistema adecuado de
control interno. Por lo tanto, este sistema o marco referencial deber existir para proporcionar soporte a los
procesos de negocio y debe ser preciso en la forma en la
que cada actividad individual de control satisface los
requerimientos de informacin y puede impactar a los
recursos de TI. El impacto en los recursos de TI es enfatizado en el Marco Referencial de COBIT conjuntamente
a los requerimientos de informacin del negocio que
deben ser alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad. El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin.
Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa.
Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de
TI. Verdaderamente, la informacin y los sistemas de
informacin son penetrantes en las organizaciones
(desde la plataforma del usuario hasta las redes locales o
amplias, cliente servidor y equipos Mainframe. Por lo
tanto, la administracin requiere niveles de servicio que
presenten incrementos en calidad, en funcionalidad y en
facilidad de uso, as como un mejoramiento continuo y
una disminucin de los tiempos de entrega) al tiempo
que demanda que esto se realice a un costo ms bajo.
Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las
organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la
implementacin de nueva tecnologa. Por lo tanto, la
administracin debe tener una apreciacin por, y un entendimiento bsico de los riesgos y limitantes del empleo de la tecnologa de informacin para proporcionar
una direccin efectiva y controles adecuados. COBIT
ayuda a salvar las brechas existentes entre riesgos de
negocio, necesidades de control y aspectos tcnicos.
Proporciona prcticas sanas a travs de un Marco Re-
*XHUUDGHLQIRUPDFLyQLQIRUPDWLRQZDUIDUH
Gobierno corporativo (corporate governance): Governance es un trmino que representa el sistema que establece la alta gerencia para asegurar el logro de los objetivos
de una Organizacin.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
por usuarios y auditores, sino que en forma ms importante, esta diseado para ser utilizado como una lista de
verificacin3 detallada para los propietarios de los procesos de negocio. En forma incremental, las prcticas de
negocio requieren de una mayor delegacin y apoderamiento4 de los dueos de procesos para que estos posean total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En forma particular, esto incluye el proporcionar controles adecuados.
El Marco Referencial de COBIT proporciona herramientas al propietario de procesos de negocio que facilitan el
cumplimiento de esta responsabilidad. El Marco Referencial comienza con una premisa simple y prctica:
a administracin de una empresa requiere de prcticas generalmente aplicables y aceptadas de control y gobierno en TI para medir en forma comparativa7
tanto su ambiente de TI existente, como su ambiente
planeado.
COBIT es una herramienta que permite a los gerentes
comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos tcnicos y riesgos de negocio. COBIT habilita el desarrollo de una poltica clara
y de buenas prcticas de control de TI a travs de organizaciones, a nivel mundial. El objetivo de COBIT es
proporcionar estos objetivos de control, dentro del marco referencial definido, y obtener la aprobacin y el
apoyo de las entidades comerciales, gubernamentales y
profesionales en todo el mundo.
ontina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: planeacin &
organizacin, adquisicin & implementacin, entrega
(de servicio) y monitoreo. Esta estructura cubre todos
los aspectos de informacin y de la tecnologa que la
soporta. Dirigiendo estos 34 Objetivos de Control de
alto nivel, el propietario de procesos de negocio podr
asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin.
Adicionalmente, correspondiendo a cada uno de los 34
objetivos de control de alto nivel, existe una gua de
auditora o de aseguramiento que permite la revisin de
los procesos de TI contra los 302 objetivos detallados de
control recomendados por COBIT para proporcionar a la
Gerencia la certeza de su cumplimiento y/o una recomendacin para su mejora. COBIT contiene un conjunto
de herramientas de implementacin que proporciona
lecciones aprendidas por empresas que rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo.
Incluye un Resumen Ejecutivo para el entendimiento y
la sensibilizacin de la alta gerencia sobre los principios
y conceptos fundamentales de COBIT. La gua de implementacin cuenta con dos tiles herramientas
(Diagnstico de Sensibilizacin Gerencial5 y Diagnstico de Control en TI6 ) para proporcionar asistencia en el
anlisis del ambiente de control en una organizacin.
Por lo tanto, COBIT est orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de riesgos asociados
con tecnologa de informacin y con tecnologas relacionadas.
El Marco Referencial COBIT otorga especial importancia al impacto sobre los recursos de TI, as como a los
requerimientos de negocios en cuanto a efectividad, eficiencia, confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad que deben ser satisfechos.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
4
5
6
7
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
52&(626'(,7'(&2%,7'(),1,'26'(1752'(/26
&8$752'20,126
OBJEIVOS DE
OBJETIVOS
DE NEGOCIO
NEGOCIO
PO1
COBIT
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditora independiente
PO2
PO3
PO4
,1)250$&,21
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
3/$1($&,21<
021,725(2
25*$1,=$&,21
5(&85626'(7,
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
$'48,6,&,21(
(175(*$<
,03/(0(17$&,21
623257(
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
17(&('(17(6
COBIT se fundamenta en los Objetivos de Control existentes de la Information Systems Audit and Control Foundation (ISACF), mejorados a partir de estndares internacionales tcnicos, profesionales, regulatorios y especficos
para la industria, tanto existentes como en surgimiento.
Los Objetivos de Control resultantes han sido desarrollados
para su aplicacin en sistemas de informacin en toda la
empresa. El trmino generalmente aplicables y aceptados es utilizado explcitamente en el mismo sentido que
los Principios de Contabilidad Generalmente Aceptados
(PCGA o GAAP por sus siglas en ingls). Para propsitos
del proyecto, buenas prcticas significa consenso por
parte de los expertos.
El desarrollo de COBIT ha trado como resultado la publicacin del Marco Referencial general y de los Objetivos de
Control detallados, y le seguirn actividades educativas.
Estas actividades asegurarn el uso general de los resultados del Proyecto de Investigacin COBIT.
Se determin que las mejoras a los objetivos de control
originales deberan consistir en:
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
una revisin crtica y actualizacin de las guas actuales para desarrollo de auditoras de
sistemas de informacin
Gobierno (governance): sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
(3) proporcionar una base de comparacin de sus prcticas
de control de TI contra empresas similares o normas de la
industria. Esta adicin proporcionar herramientas a la gerencia para evaluar el ambiente de TI de su organizacin
con respecto a los 34 Objetivos de Control de alto nivel de
COBIT.
Las investigaciones y publicaciones han sido posibles gracias a contribuciones de Unysis, Unitech Systems, Inc.,
MIS Training Institute, Zergo, Ltd., y Coopers & Lybrand.
El Forum Europeo de Seguridad (European Security Forum ESF-) amablemente puso a disposicin material para
el proyecto. Otras donaciones fueron recibidas de captulos
miembros de ISACA de todo el mundo.
Directrices de Auditora, las cuales contienen los pasos de auditora correspondientes a cada uno de los 34
objetivos de control de TI de alto nivel para proporcionar asistencia a los auditores de sistemas en la revisin de los procesos de TI con respecto a los 302 objetivos detallados de control recomendados para proporcionar a la gerencia certeza o una recomendaciones de
mejoramiento;
un Conjunto de Herramientas de Implementacin,
el cual proporciona lecciones aprendidas por organizaciones que han aplicado COBIT rpida y exitosamente
en sus ambientes de trabajo.
(;(&87,926
&21-8172'(+(55$0,(17$6'(,03/(0(17$&,1
6XPDQRGHORV([HFXWLYRV
9LVLyQGHORV([HFXWLYRV
0$&525()(5(1&,$/
)$46
3UHVHQWDFLyQVGH3RZHU3RLQW
DOWRQLYHO
*XLDGH,PSOHPHQWDFLyQ
*8,$6*(5(1&,$/6
'LDJQRVWLFRGH&RQWUROGH7,
$8',725,$
)DFWRUHV&UtWLFRV
GHOe[LWR
3URJUDPDGHOD&RQFLHQFLD
',5(&75,&(6'(
2%-(7,926'(7$//$'26
'(&21752/
0HGLGDV&RPSDUDWLYDV
&XPSOLPLHQWRGHORV
3ULQFLSDOHV,QGLFDGRUHV
Una temprana adicin significativa visualizada para la familia de productos COBIT, es el desarrollo de las Guas de
Gerenciales11 que incluyen Factores Crticos de Exito, Indicadores Clave de Desempeo y Medidas Comparativas12.
Esta adicin proporcionar herramientas a la gerencia para
evaluar el ambiente de TI de su organizacin con respecto
a los 34 Objetivos de Control de alto nivel de COBIT. Los
Factores Crticos de Exito identificarn los aspectos o acciones ms importantes para la administracin y poder as
tomar dichas acciones o considerar los aspectos para lograr
control sobre sus procesos de TI. Los Indicadores Clave de
Desempeo proporcionarn medidas de xito que permitan
conocer a la gerencia si un proceso de TI esta alcanzando
los requerimientos de negocio. La Medidas Comparativas
definirn niveles de madurez que pueden ser utilizadas por
la gerencia para: (1) determinar el nivel actual de madurez
de la empresa; (2) determinar el nivel de madurez que desea lograr, como una funcin de sus riesgos y objetivos; y
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
(VWXGLRVGHORV&DVRV
REMHWLYRVGHFRQWUROGH
680$5,2'(/26
10
11
12
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
$5&25()(5(1&,$/'(&2%,7
( 0
67$%/(&,(1'2/$(6&(1$
/$1(&(6,'$''(&21752/(17(&
12/2*,$'(,1)250$&,21
Frecuentemente, los AUDITORES han tomado el liderazgo en estos esfuerzos internacionales de estandarizacin, debido a que ellos enfrentan continuamente la necesidad de sustentar y apoyar frente a la Gerencia su
opinin acerca de los controles internos. Sin contar con
un marco referencial, sta se convierte en una tarea demasiado complicada. Esto ha sido mostrado en varios
estudios recientes acerca de la manera en la que los auditores evalan situaciones complejas de seguridad y
control en TI, estudios que fueron dados a conocer casi
simultneamente en diferentes partes del mundo. Incluso, la administracin consulta cada vez ms a los auditores para que la asesoren en forma proactiva en lo referente a asuntos de seguridad y control de TI.
(/$0%,(17('(1(*2&,26
&203(7(1&,$&$0%,2 &26726
La competencia global es ya un hecho. Las organizaciones se reestructuran con el fin de perfeccionar sus
operaciones y al mismo tiempo aprovechar los avances
en tecnologa de sistemas de informacin para mejorar
su posicin competitiva. La reingeniera en los nego-
13
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
cios, las reestructuraciones, el outsourcing, las organizaciones horizontales y el procesamiento distribuido son
cambios que impactan la manera en la que operan tanto
los negocios como las entidades gubernamentales. Estos cambios han tenido y continuarn teniendo, profundas implicaciones para la administracin y las estructuras de control operacional dentro de las organizaciones
en todo el mundo.
5(638(67$$/$61(&(6,'$'(6
$8',(1&,$$'0,1,675$&,21868$
5,26 $8',725(6
Por otro lado, hemos sido testigos del desarrollo y publicacin de modelos de control generales de negocios
como COSO [Committee of Sponsoring Organisations
of the Treadway Commisssion Internal ControlIntegrated Framework, 1992] en los EUA, Cadbury en
el Reino Unido y CoCo en Canad y King en Sudfrica.
Por otro lado, existe un nmero importante de modelos
de control ms enfocados al nivel de tecnologa de informacin. Algunos buenos ejemplos de esta ltima
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
COBIT est diseado para ser utilizado por tres audiencias distintas:
ADMINISTRACION:
Para ayudarlos a lograr un balance entre los
riesgos y las inversiones en control en un ambiente de tecnologa de informacin frecuentemente impredecible.
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
USUARIOS:
DEFINICIONES
Para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa
de informacin proporcionados internamente o
por terceras partes.
Control
Control se
se
define
define como
como
Objetivo
Objetivode
de
control
control en
enTI
TI
se
sedefine
define
como
como
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
Requerimientos
Fiduciarios
(COSO)
Requerimientos
de Seguridad
Requerimientos
de Negocio
Procesos de TI
Recursos de TI
Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos criterios a los que
COBIT hace referencia como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos:
Calidad
Requerimientos de
Costo
Calidad
Entrega (de servicio)
Con respecto a los aspectos de seguridad, CobiT identific la confidencialidad, integridad y disponibilidad como los elementos clave, fue descubierto que estos mismos tres elementos son utilizados a nivel mundial para
describir los requerimientos de seguridad.
Comenzando el anlisis a partir de los requerimientos
de Calidad, Fiduciarios y de Seguridad ms amplios, se
14
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
Confidencialidad
Integridad
Disponibilidad
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
extrajeron siete categoras distintas, ciertamente superpuestas. A continuacin se muestran las definiciones de
trabajo de COBIT:
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibildad
Cumplimiento
Confiabilidad
de la
Informacin
Aplicaciones
Tecnologa
Instalaciones
Personal
Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad
y para ejercer sus responsabilidades
de reportes financieros y de cumplimiento.
Datos
Datos
(YHQWRV
2EMHWLYRVGHQHJRFLR
2SRUWXQLGDGHVGHQHJRFLR
5HTXHULPLHQWRVH[WHUQRV
5HJXODFLRQHV
,QIRUPDFLyQ
Sistemas
Sistemas de
de Aplicacin
Aplicacin
mensaje
entrada
TECNOLOGIA
servicio
salida
(IHFWLYLGDG
(ILFLHQFLD
&RQILGHQFLDOLGDG
, QWHJULGDG
INSTALACIONES
5LHVJRV
'LVSRQLELOLGDG
&XPSOLPLHQWR
GENTE
&RQILDELOLGDG
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
LPSOHPHQWDUVH\PRQLWRUHDUVHPHGLGDVGHFRQ
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
WURODGHFXDGDVSDUDHVWRVUHFXUVRV
Dominios
Procesos
PROCESOS
DE NEGOCIO
Actividades
Criterios
RECURSOS DE TI
datos
sistemas de aplicacin
tecnologa
instalaciones
gente
&RQFXHUGDQ"
Criterios de informacin
s
d
rio
ad
ida
a
r
i
d
i
u
c
l
g
du
Ca
Se
Fi
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
Procesos de TI
Gente
Dominios
Procesos
Actividades
Instalaciones
Datos
INFORMACION
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
Sistemas de Aplicacin
Tecnologa
os
rs
u
c
Re
de
TI
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
En resumen, los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la informacin
que la empresa necesita para alcanzar sus objetivos.
El siguiente diagrama ilustra este concepto:
2%-(7,926'(1(*2&,2
OBJEIVOS
DE NEGOCIO
PO1
COBIT
PO2
PO3
PO4
,1)250$&,21
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
3/$1($&,21<
021,725(2
25*$1,=$&,21
5(&85626'(7,
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
$'48,6,&,21(
(175(*$<
,03/(0(17$&,21
623257(
Adquiscin e
implementacin
Entrega
Entregayy
soporte
soporte
Monitoreo
Todos los procesos necesitan ser evaluados regularmente a travs del tiempo
para verificar su calidad y suficiencia en
cuanto a los requerimientos de control.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
-HUJDMDUJRQ
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
Primario
Secundario
Blanco (vaco)
Similarmente, todas las medidas de control no necesariamente tendrn impacto en los diferentes recursos de
TI a un mismo nivel. Por lo tanto, el Marco Referencial
de COBIT indica especficamente la aplicabilidad de los
recursos de TI que son administrados en forma especfica por el proceso bajo consideracin (no por aquellos
que simplemente toman parte en el proceso). Esta clasificacin es hecha dentro el Marco Referencial de COBIT
basado en el mismo proceso riguroso de informacin
proporcionada por los investigadores, expertos y revisores, utilizando las definiciones estrictas indicadas previamente.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
Por ejemplo, los gerentes de la empresa pueden interesarse en un enfoque de calidad, seguridad o fiduciario
(traducido por el marco referencial en siete requerimientos de informacin especficos). Un Gerente de
TI puede desear considerar recursos de TI por los cuales es responsable. Propietarios de procesos, especialistas de TI y usuarios pueden tener un inters en procesos particulares. Los auditores podrn desear enfocar el marco referencial desde un punto de vista de
cobertura de control.
Criterios de informacin
Procesos
Actividades
Gente
Procesos de TI
Dominios
El control de
Instalaciones
Datos
ad
r id
u
g
Se
Tecnologa
Sistemas de Aplicacin
io
d
i ar
da
i
c
l
du
Ca
Fi
s
so
ur
c
Re
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
Proceso de TI
Que satisface
Requerimiento
de Negocio
Es habilitado por
Declaracin de
Considerando
Control
de
Prcticas de
Control
TI
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
ef
ec
t iv
ef ida
co i c i e d
nf
n
i d ci a
en
c
in
te i ali
di grid dad
sp
o ad
cu nibi
li
m
p da
co l i m d
nf i en
ia
bi to
lid
ad
AYUDAS DE NAVEGACIN
Para facilitar el empleo eficiente de los objetivos de control como soporte a los diferentes puntos de vista, se proporcionan algunas ayudas de navegacin como parte de
la presentacin de los objetivos de control de alto nivel.
Se proporciona una ayuda de navegacin para cada una
de las tres dimensiones del marco referencial COBIT procesos, recursos y criterios -
P
Planeacin &
Organizacin
&ULWHULRVGH
,QIRUPDFLyQ
Adquisicin &
Implementacin
'RPLQLRV
7,
'H7,
5HFXUVRV
Entrega &
Soporte
Monitoreo
PP
ge
ap nte
li c
a
te cion
cn
e
in o lo s
st
al g a
ac
io
da nes
to
s
7UHVSXQWRVGHSRVLFLyQ
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
ef
ec
t iv
ef ida
co i c i e d
nf
i d ncia
en
i n ci a
te
li
di grid dad
sp
a
o
d
cu nibi
li
m
pli dad
co m
nf i en
ia
bi to
lid
ad
La clave para el criterio de informacin ser proporcionado la esquina superior izquierda en la seccin de Objetivos de Control mediante la siguiente mini matriz, la
cual identificar cul criterio y en qu grado (primario o
secundario) es aplicable a cada Objetivo de Control de TI
de alto nivel.
ge
ap nte
li c
a
te cion
cn
e
in o lo s
st
al g a
ac
io
da nes
to
s
PP
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
5,1&,3,26'(/262%-(7,926'(&21752/
&2%,7FRPRVHSUHVHQWDHQOD~OWLPDYHUVLyQ
SDUDHOFRQWUROGH7,HQWRGDODLQGXVWULDDQL
GH2EMHWLYRVGH&RQWUROUHIOHMDHOFRPSURPLVR
YHOPXQGLDO
FRQWLQXRGH,6$&)SRUPHMRUDU\PDQWHQHUHO
/RV2EMHWLYRVGH&RQWUROHVWiQGLULJLGRVDOD
FXHUSRFRP~QGHFRQRFLPLHQWRVUHTXHULGRVSD
JHUHQFLD\DOSHUVRQDOGHORVVHUYLFLRVGHLQIRU
UDDSR\DUODDFWLYLGDGGHDXGLWRUtD\FRQWUROGH
PDFLyQFRQWUROHVIXQFLRQHVGHDXGLWRUtD\OR
VLVWHPDVGHLQIRUPDFLyQ$VtFRPRHO0DUFRGH
PiVLPSRUWDQWHDORVSURSLHWDULRVGHORVSURFH
VRVGHQHJRFLRV/RV2EMHWLYRVGH&RQWUROSUR
HQFXHQWUDHQIRFDGRDFRQWUROHVGHDOWRQLYHO
SRUFLRQDQXQGRFXPHQWRGHWUDEDMRGHHVFULWR
SDUDFDGDSURFHVR(OGRFXPHQWRGH2EMHWLYRV
ULRSDUDHVWDVSHUVRQDV6HSUHVHQWDQGHILQL
GH&RQWUROVHFRQFHQWUDHQREMHWLYRVGHWDOOD
FLRQHVSUHFLVDV\FODUDVGHXQFRQMXQWRPtQLPR
GRVGHFRQWUROHVSHFtILFRVDVRFLDGRVFRQFDGD
GHFRQWUROHVSDUDDVHJXUDUODHILFDFLDODHIL
XQRGHORVSURFHVRVGH7,3DUDFDGDXQRGHORV
FLHQFLD\ODHFRQRPtDHQODXWLOL]DFLyQGHUHFXU
SURFHVRVGH7,GHO0DUFRGH5HIHUHQFLDH[LV
VRV3DUDFDGDSURFHVRVHLGHQWLILFDQ2EMHWLYRV
WHQGHWUHVD2EMHWLYRVGH&RQWUROGHWDOOD
GH&RQWUROGHWDOODGRVFRPRORVFRQWUROHVPtQL
GRV/RV2EMHWLYRVGH&RQWURODOLQHDQHO0DUFR
PRVTXHQHFHVLWDQHQFRQWUDUVHHVWDEOHFLGRV
GH5HIHUHQFLDJHQHUDOFRQORV2EMHWLYRVGH&RQ
DTXHOORVFRQWUROHVTXHFX\DVXILFLHQFLDVHUi
WUROGHWDOODGRVDSDUWLUGHIXHQWHVSULPDULDV
HYDOXDGDSRUHOSURIHVLRQDOHQFRQWURO([LVWHQ
TXHFRPSUHQGHQORVHVWiQGDUHVLQWHUQDFLRQDOHV
REMHWLYRVGHFRQWUROGHWDOODGRVTXHSURSRU
GHKHFKR\GHGHUHFKR\ODVUHJXODFLRQHVUHOD
FLRQDQXQDYLVLyQGHWDOODGDVREUHODVUHODFLRQHV
FLRQDGDVFRQ7,(VWHFRQWLHQHODUHODFLyQGHORV
GRPLQLRSURFHVRREMHWLYRGHFRQWURO
UHVXOWDGRVRSURSyVLWRVGHVHDGRVTXHGHVHDQ
/RV2EMHWLYRVGH&RQWUROSHUPLWHQODWUDGXF
DOFDQ]DUVHDWUDYpVGHODLPSOHPHQWDFLyQGH
FLyQGHORVFRQFHSWRVSUHVHQWDGRVHQHO0DUFR
SURFHGLPLHQWRVGHFRQWUROHVSHFtILFRVGHQWURGH
GH5HIHUHQFLDHQFRQWUROHVHVSHFtILFRVDSOLFD
XQDDFWLYLGDGGH7,\GHHVWDPDQHUDSURSRU
EOHVSDUDFDGDSURFHVRGH7,
FLRQDXQDSROtWLFDFODUD\XQDPHMRUSUiFWLFD
16
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
$%/$5(680(1
/DVLJXLHQWHWDEODSURSRUFLRQDXQDLQGLFDFLyQ
GHDOWRQLYHODVtFRPRXQDLQGLFDFLyQGHFXiOHV
SRUSURFHVR\GRPLQLRGH7,GHFXiOHVFULWHULRV
UHFXUVRVGH7,VRQDSOLFDEOHV
GHLQIRUPDFLyQWLHQHQLPSDFWRGHORVREMHWLYRV
Recursos de TI
ef
ec
ef tivi
ic da
co ienc d
n ia
in fide
te n
di grid cial
s p a id
c u on d ad
m ibi
co plim lida
nf ie d
ia n
bi to
li
rerec dad
cuu
sisi rsrsoo
stst ss
e
tete mema ahu
cncn s s m
in in oloolo dedeano
st s g g ina s
dadaaltaaclaaia foprlic
mac
toto iocio
aci
s s nen
in
ses
n
Criterios de Informacin
DOMINIO
Planeacin y
Organizacin
Adquisicin e
Implementacin
Entrega de servicios y
Soporte
Monitoreo
PROCESO
PO1
PO2
PO3
PO4
PO5
PO6
PO7
PO8
PO9
P010
PO11
AI1
AI2
AI3
AI4
AI5
AI6
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
M1
M2
M3
M4
S
S S S
S
S
P
P
P
P
P
P
P
S
P
P
P
S
S
P
P S
S P P P S S
P
P
P
S
S
S S
S
S
S S
S S
P P
S
P
P
P
P
P S S S S S
P S S S S S
P
S
S
P
P P S S S
P
P
P S
P
P
S
S
P P
S
P
P
P P
P P
S S
P
P
P
P
Monitorear el proceso
Evaluar lo adecuado del control interno
Obtener aseguramiento independiente
Proporcionar auditora independiente
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
P
P
P
P
P
P
P
P
S
P
P
S
P
P
P
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
(/$&,21(6'(2%-(7,926'(&21752/
'20,1,26352&(626<2%-(7,926'(&21752/
5
PLANEACIN Y ORGANIZACIN
4.7
4.8
4.9
4.10
4.11
4.12
4.13
4.14
4.15
Propiedad y Custodia
Propiedad de Datos y Sistemas
Supervisin
Segregacin de Funciones
Asignacin de Personal para Tecnologa
de Informacin
Descripcin de Puestos para el Personal de
la Funcin de TI
Personal clave de TI
Procedimientos para personal por contrato
Relaciones
%-(79,26'(&21752/
7.5
7.6
7.7
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
11.5
11.6
11.7
11.8
11.9
11.10
11.11
11.12
11.13
11.14
11.15
11.17
11.16
11.18
11.19
ADQUISICIN E IMPLEMENTACIN
1.0 Identificacin de Soluciones
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
1.11
1.12
17
Acreditacin (clearance)
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
4.2
4.3
4.4
vicios Operacionales
Manual de Procedimientos para Usuario
Manual de Operacin
Material de Entrenamiento
%-(79,26'(&21752/
2.7
2.8
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
Relaciones de Seguridad
Monitoreo
5.10
5.11
5.12
5.13
5.14
5.15
5.16
5.17
5.18
5.19
5.20
5.21
5HILQDPLHQWRGHO3ODQGH&RQWLQXLGDGGH7,
ZUDSXSSURFHGLPLHQWRVHJXLGRSDUDHYDOXDU\
DFWXDOL]DUHO3ODQ
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
MONITOREO
1.0 Monitoreo del Proceso
1.1 Recoleccin de Datos de Monitoreo
1.2 Evaluacin de Desempeo
1.3 Evaluacin de la Satisfaccin de Clientes
1.4 Reportes Gerenciales
2.0
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
/262%-(7,926'(&21752/
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
co plim ad
nf ien
ia
b i to
lid
ad
PO1
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
21
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
1.
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
OBJETIVO DE CONTROL
La alta gerencia ser la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la
misin y las metas de la organizacin. A este respecto,
la alta gerencia deber asegurar que los problemas de
tecnologa de informacin, as como las oportunidades,
sean evaluados adecuadamente y reflejados en los planes a largo y corto plazo de la organizacin.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
OBJETIVO DE CONTROL
En forma previa al desarrollo o modificacin del Plan
Estratgico de TI, la Gerencia de servicios de informacin debe evaluar los sistemas existentes en trminos
de: nivel de automatizacin de negocio, funcionalidad,
estabilidad, complejidad, costo y fortalezas y debilidades, con el propsito de determinar el nivel de soporte
que reciben los requerimientos del negocio de los sistemas existentes.
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
ef
ec
ti
ef vida
co icie d
nf
n
id cia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
PO2
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
documentacin
diccionario de datos
reglas de sintaxis de datos
propiedad de la informacin y clasificacin
de severidad22
g
ap ente
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
22
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
Severidad (criticality)
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DEFINICIN DE LA ARQUITECTURA DE
INFORMACIN
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
PO3
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
P P
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DETERMINACIN DE LA DIRECCIN
TECNOLGICA
23
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
PO4
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te lid
di gri ad
sp da
o
d
cu nib
i
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
comit de direccin
responsabilidades a nivel de alta gerencia o
del consejo
propiedad, custodia
supervisin
segregacin de funciones
roles y responsabilidades
descripcin de puestos
niveles de asignacin de personal
personal clave
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
cuentemente, debern organizarse y emprenderse
campaas regulares para aumentar la conciencia
y la disciplina.
DEFINICIN DE LA ORGANIZACIN Y
DE LAS RELACIONES DE TI
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La alta gerencia de la organizacin deber designar un comit de planeacin o direccin para vigilar la funcin de servicios de informacin y sus
actividades. Entre los miembros del comit debern encontrarse representantes de la alta gerencia,
de la gerencia usuaria y de la funcin de servicios
de informacin. El comit deber reunirse regularmente y reportar a la alta gerencia.
La Gerencia deber crear una estructura para designar formalmente a los propietarios y custodios
de los datos. Sus funciones y responsabilidades
debern estar claramente definidas.
OBJETIVO DE CONTROL
La Gerencia deber asegurar que todo el personal
en la organizacin conozca sus funciones y responsabilidades en relacin con los sistemas de
informacin. Todo el personal deber contar con
la autoridad suficiente para llevar a cabo las funciones y responsabilidades que le hayan sido
asignadas. Todos debern estar conscientes de
que tienen una cierta responsabilidad con respecto a la seguridad y al control interno. Conse1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
Supervisin
OBJETIVO DE CONTROL
La alta gerencia deber implementar prcticas de
supervisin adecuadas en la organizacin de servicios de informacin para asegurar que las funciones y responsabilidades sean llevadas a cabo
apropiadamente, para evaluar si todo el personal
cuenta con suficiente autoridad y recursos para
llevar a cabo sus tareas y responsabilidades, y
para revisar de manera general los indicadores
clave de desempeo.
OBJETIVO DE CONTROL
La Gerencia deber asegurar que las descripciones de los puestos para el personal de la funcin
de servicios de informacin sean establecidos y
actualizados regularmente. Estas descripciones
de puestos debern delinear claramente tanto la
responsabilidad como la autoridad, incluir las
definiciones de las habilidades y la experiencia
necesarias para el puesto, y ser adecuadas para su
utilizacin en evaluaciones de desempeo.
l
l
l
l
l
l
l
l
l
OBJETIVO DE CONTROL
La Gerencia deber definir e identificar al personal clave de tecnologa de informacin.
4.14 Procedimientos para personal por contrato
OBJETIVO DE CONTROL
La Gerencia deber definir e implementar procedimientos relevantes para controlar las actividades de consultores y dems personal externo contratado por la funcin de servicios de informacin para asegurar la proteccin de los activos de
informacin de la organizacin.
4.15 Relaciones
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber llevar a cabo las acciones necesarias para establecer y mantener una coordinacin,
una comunicacin y un enlace ptimos entre la
funcin de servicios de informacin y dems elementos interesados dentro y fuera de la funcin
de servicios de informacin (usuarios, proveedores, oficiales de seguridad, Gerentes).
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
PO5
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Manejo de la inversin
que satisface los requerimientos de negocio de:
asegurar el financiamiento y el control de desembolsos de recursos financieros
se hace posible a travs de:
presupuestos peridicos sobre inversiones y operacin
establecidos y aprobados por el negocio
y toma en consideracin:
alternativas de financiamiento
control del gasto real
justificacin de costos
justificacin del beneficio
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
P P P P
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
PO6
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
para adecuarse a las condiciones cambiantes.
Las polticas debern ser reevaluadas, por lo menos anualmente o al momento de presentarse
cambios significativos en el ambiente operacional o del negocio, para evaluar que sean convenientes y apropiadas y debern ser modificadas
en caso necesario. La Gerencia deber proporcionar un marco de referencia y un proceso para
las revisiones peridicas y la aprobacin de estndares, polticas, directrices y procedimientos.
COMUNICACIN DE LA DIRECCIN Y
ASPIRACIONES DE LA GERENCIA
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
PO7
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
reclutamiento y promocin
requerimientos de calificaciones
capacitacin
desarrollo de conciencia
entrenamiento cruzado
procedimientos de acreditacin
evaluacin objetiva y medible del desempeo
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
7.5 Procedimientos de Acreditacin24 de Personal
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que su personal se sujete a una
revisin o acreditacin de seguridad antes de ser contratado, transferido o promovido, dependiendo de lo
delicado o sensible del puesto. Un empleado que no
haya pasado por este procedimiento de revisin o
acreditacin al ser contratado por primera vez, no
deber ser colocado en un puesto delicado hasta que
ste haya obtenido la acreditacin de seguridad.
OBJETIVO DE CONTROL
La Gerencia deber implementar y evaluar regularmente los procesos necesarios para asegurar que las
prcticas de reclutamiento y promocin de personal
tengan como base criterios objetivos y consideren
factores como la educacin, la experiencia y la responsabilidad. Estos procesos debern estar en lnea
con las polticas y procedimientos generales de la
organizacin a este respecto.
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber verificar regularmente que el personal
que lleva a cabo tareas especficas est calificado
tomando como base una educacin, entrenamiento y/
o experiencia apropiados, segn se requiera. La Gerencia deber alentar al personal para que participe
como miembro, en organizaciones profesionales.
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los empleados reciban orientacin al ser contratados, as como entrenamiento y capacitacin constantes con la finalidad de
conservar los conocimientos, habilidades, destrezas y
conciencia de seguridad al nivel requerido, para la
ejecucin efectiva de sus tareas. Los programas de
educacin y entrenamiento dirigidos a incrementar
los niveles de habilidad tcnica y administrativa del
personal debern ser revisados regularmente.
7.4 Entrenamiento Cruzado o Respaldo de personal
OBJETIVO DE CONTROL
La Gerencia deber proporcionar un entrenamiento
cruzado o contar con suficiente personal de respaldo con la finalidad de solucionar posibles ausencias.
El personal encargado de puestos delicados deber
tomar vacaciones ininterrumpidas con una duracin
suficiente como para probar la habilidad de la organizacin para manejar casos de ausencia y detectar
actividades fraudulentas.
$FUHGLWDFLyQFOHDUDQFH
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
PO8
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te lid
di gri ad
sp da
o
d
cu nib
i
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
8.5 Comercio Electrnico
ASEGURAMIENTO DE CUMPLIMIENTO
DE REQUERIMIENTOS EXTERNOS
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La organizacin deber establecer y mantener
procedimientos para la revisin de requerimientos externos y para la coordinacin de estas actividades. La investigacin continua deber determinar los requerimientos externos aplicables en
la organizacin. Debern revisarse los requerimientos legales, gubernamentales o cualquier
otro requerimiento externo relacionado con las
prcticas y controles de tecnologa de informacin. La Gerencia deber tambin evaluar el impacto de cualquier relacin externa en las necesidades generales de informacin de la organizacin, incluyendo la determinacin del grado al
cual las estrategias de la funcin de servicios de
informacin deben soportar o cumplir con los
requerimientos de terceros.
([WHUQRVWUDQVERUGHU
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
PO9
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
evaluacin de riesgos
que satisface los requerimientos de negocio de:
asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de servicios de TI
se hace posible a travs de:
la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto,
tomando medidas econmicas para mitigar los riesgos
y toma en consideracin:
diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de seguridad, de continuidad, regulatorios, etc.)
alcance: global o de sistemas especficos
actualizacin de evaluacin de riegos
metodologa de evaluacin de riesgos
medicin de riesgos cualitativos y/o cuantitativos
plan de accin de riesgos
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
EVALUACIN
DE
RIESGOS
OBJETIVO DE CONTROL
El enfoque de evaluacin de riesgos deber proporcionar la definicin de un plan de accin contra riesgos para asegurar que existan controles y
medidas de seguridad econmicas que mitiguen
los riesgos en forma continua.
OBJETIVO DE CONTROL
La Gerencia deber establecer un marco de referencia de evaluacin sistemtica de riesgos. Este
marco de referencia deber incorporar una evaluacin regular de los riesgos de informacin
relevantes para el logro de los objetivos del negocio, formando una base para determinar la manera en la que los riesgos deben ser manejados a
un nivel aceptable. El proceso deber proporcionar evaluaciones de riesgos tanto a un nivel global como a niveles especficos del sistema (para
nuevos proyectos y para casos recurrentes) y deber asegurar actualizaciones regulares a la informacin sobre evaluacin de riesgos utilizando
los resultados de auditoras, inspecciones e incidentes identificados.
Identificacin de Riesgos
OBJETIVO DE CONTROL
La evaluacin de riesgos deber enfocarse al
examen de los elementos esenciales de riesgo,
tales como activos, amenazas, elementos vulnerables, protecciones, consecuencias y probabilidad de amenaza.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
PO10
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
administracin de proyectos
que satisface los requerimientos de negocio de:
establecer prioridades y entregar servicios oportunamente y de
acuerdo al presupuesto de inversin
se hace posible a travs de:
identificacin y priorizacin de los proyectos en lnea
con el plan operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y
aplicar slidas tcnicas de administracin de proyectos
para cada proyecto emprendido
y toma en consideracin:
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
para cada proyecto propuesto, la alta gerencia de
la organizacin revise los reportes de los estudios
de factibilidad relevantes como una base para
fundamentar la decisin de proceder con el proyecto.
10 ADMINISTRACIN DE PROYECTOS
10.1 Marco de Referencia para la Administracin
de Proyectos
OBJETIVO DE CONTROL
La Gerencia deber establecer un marco de referencia general para la administracin de proyectos que defina el alcance y los lmites del mismo,
as como la metodologa de administracin de
proyectos a ser adoptada y aplicada para cada
proyecto emprendido. La metodologa deber
cubrir, como mnimo, la asignacin de responsabilidades, la determinacin de tareas, la realizacin de presupuestos de tiempo y recursos, los
avances, los puntos de revisin y las aprobaciones.
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber disponer que
los Gerentes designados para las funciones del
usuario y de los servicios de informacin aprueben el trabajo realizado en cada fase del ciclo
antes de iniciar los trabajos de la siguiente fase.
10.7 Plan Maestro del Proyecto
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, para cada proyecto aprobado, se cree un plan maestro adecuado que mantenga el control del proyecto a travs
de todo su desarrollo e incluya un mtodo de monitoreo del tiempo y los costos incurridos durante
su vida.
OBJETIVO DE CONTROL
El marco de referencia de la administracin de
proyectos de la organizacin deber fomentar la
participacin del departamento usuario afectado
en la definicin y autorizacin de cualquier proyecto de desarrollo, implementacin o modificacin.
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber especificar las
bases para asignar a los miembros del personal al
proyecto y definir las responsabilidades y autoridades de los miembros del equipo del proyecto.
Las tareas de aseguramiento debern ser definidas durante la fase de planeacin del marco de
referencia de administracin de proyectos. Las
tareas de aseguramiento debern apoyar la acreditacin de sistemas nuevos o modificados y garantizar que los controles internos y los dispositivos de seguridad cumplan con los requerimientos necesarios.
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber generar la creacin de un estatuto claro por escrito que defina la
naturaleza y el alcance de cada proyecto de implementacin antes de que los trabajos del mismo sean iniciados.
10.5 Aprobacin del Proyecto
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber asegurar que,
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
PO11
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Administracin de calidad
que satisface los requerimientos de negocio de:
satisfacer los requerimientos del cliente
se hace posible a travs de:
la planeacin, implementacin y mantenimiento de
estndares y sistemas de administracin de calidad por
parte de la organizacin
y toma en consideracin:
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
macin y adoptar una metodologa del ciclo de
vida de desarrollo de sistemas que rija el proceso
de desarrollo, adquisicin, implementacin y
mantenimiento de sistemas de informacin computarizados y tecnologa afn. La metodologa
del ciclo de vida de desarrollo de sistemas elegida deber ser la apropiada para los sistemas a ser
desarrollados, adquiridos, implementados y mantenidos.
11 ADMINISTRACIN DE CALIDAD
11.1 Plan General de Calidad
OBJETIVO DE CONTROL
La alta gerencia deber desarrollar y mantener
regularmente un plan general de calidad basado
en los planes organizacionales y de tecnologa de
informacin a largo plazo. El plan deber promover la filosofa de mejora continua y contestar
a las preguntas bsicas de qu, quin y cmo.
OBJETIVO DE CONTROL
11.4 Revisin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares y Procedimientos de la Funcin de Servicios de Informacin
OBJETIVO DE CONTROL
La Gerencia deber asegurar que las responsabilidades asignadas al personal de aseguramiento de
calidad incluyan una revisin del cumplimiento
general de los estndares y procedimientos de la
funcin de servicios de informacin.
11.5 Metodologa del Ciclo de Vida de Desarrollo
de Sistemas
OBJETIVO DE CONTROL
La alta gerencia de la organizacin deber definir
e implementar estndares de sistemas de infor1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
cada proyecto de desarrollo o modificacin de
sistemas de informacin.
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
El enfoque de aseguramiento de calidad de la
organizacin deber requerir que una revisin
post - implementacin de un sistema de informacin operacional evale si el equipo encargado del proyecto, cumpli con las estipulaciones
de la metodologa del ciclo de vida de desarrollo de sistemas.
26
Agregados (aggredgated)
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
AI1
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
co plim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Identificacin de soluciones
que satisface los requerimientos de negocio de:
asegurar el mejor enfoque para cumplir con los requerimientos
del usuario
se hace posible a travs de:
un anlisis claro de las oportunidades alternativas
comparadas contra los requerimientos de los usuarios
y toma en consideracin:
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
IDENTIFICACIN
DE
examen de factibilidad tecnolgica de cada alternativa con la finalidad de satisfacer los requerimientos de negocio establecidos para el desarrollo de un proyecto propuesto de cualquier sistema nuevo o modificado.
SOLUCIONES
Arquitectura de Informacin
OBJETIVO DE CONTROL
La Gerencia deber asegurar que se tome en consideracin el modelo de datos de la empresa al
definir las soluciones y analizar la factibilidad de
las mismas.
27
Del anaquel (off-the-shelf): se dice de productos de software terminados que pueden adquirirse directamente de un
proveedor o distribuidor.
28
Solicitud de propuesta (request for proposal, RFP): invitacin que se extiende a proveedores para que presenten
una propuesta.
(FRQyPLFRVFRVWHIIHFWLYH
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
1.11 Ergonoma
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los proyectos
de desarrollo, implementacin y cambios emprendidos por la funcin de servicios de informacin, tomen en consideracin los aspectos ergonmicos asociados con la introduccin de soluciones automatizadas.
1.12 Seleccin del Software del Sistema
OBJETIVO DE CONTROL
La Gerencia deber asegurar que la funcin de
servicios de informacin cumpla con un procedimiento estndar para identificar todos los programas de software potenciales que debern satisfacer sus requerimientos operacionales.
1.13 Control de Abastecimiento
OBJETIVO DE CONTROL
La Gerencia deber desarrollar e implementar un
enfoque central de abastecimientos que describa un
conjunto comn de procedimientos y estndares a
ser seguidos en la adquisicin de hardware, software
y servicios relacionados con la tecnologa de informacin. Los productos debern ser revisados y probados antes de su utilizacin y pago.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
30
Entregable (deliverable): un producto formal que es entregado como parte final de un proceso de trabajo.
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
$FRPRGRDFFRPPRGDWLRQ
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
AI2
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
requerimientos de usuarios
requerimientos de archivo, entrada, proceso y salida
interface usuario mquina
personalizacin de paquetes
pruebas funcionales
controles de aplicacin y requerimientos
funcionales
documentacin
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
2.5
ADQUISICIN Y MANTENIMIENTO DE
SOFTWARE DE APLICACIN
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe estipular que
sean aplicados a tcnicas y procedimientos apropiados, incluyendo una estrecha relacin con los
usuarios del sistema, en la creacin de las especificaciones de diseo para cada nuevo proyecto de
desarrollo de sistemas de informacin, y verificar
las especificaciones del diseo contra los requerimientos del usuario.
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, en caso de presentarse la necesidad de realizar modificaciones
significativas a los sistemas actuales, se siga un
proceso de desarrollo similar al utilizado en el
desarrollo de sistemas nuevos.
2.3
Especificaciones de Programas
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe asegurar la aplicacin de un procedimiento apropiado para la
definicin y documentacin del formato de los
archivos para cada proyecto de desarrollo y modificacin de sistemas de informacin. Este procedimiento deber garantizar el respeto a las reglas de diccionario de datos.
32
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe requerir que
existan mecanismos adecuados para definir y
documentar los requerimientos de procesamiento
para cada proyecto de desarrollo o modificacin
de sistemas de informacin.
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para asegurar, cuando esto aplique, que los
programas de aplicacin contengan estipulaciones que verifiquen rutinariamente las tareas realizadas por el software, para apoyar el aseguramiento de la integridad de los datos y el cual
haga posible la restauracin de la integridad a
travs de procedimientos de recuperacin en reversa34 u otros medios.
2.12 Controlabilidad
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe requerir que se especifiquen mecanismos adecuados, para garantizar
que se identifiquen los requerimientos de seguridad y
control internos para cada proyecto de desarrollo o
modificacin de sistemas de informacin. La metodologa deber asegurar adems que los sistemas de
informacin estn diseados para incluir controles de
aplicacin que garanticen que los datos de entrada y
salida estn completos, as como su precisin, oportunidad33 y autorizacin. Deber llevarse a cabo una
evaluacin de sensibilidad durante el inicio del desarrollo o modificacin del sistema. Los aspectos bsicos de seguridad y control interno de un sistema a ser
desarrollado o modificado debern ser evaluados
junto con el diseo conceptual del mismo, con el fin
de integrar los conceptos de seguridad en el diseo
tan pronto como sea posible.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
33
Oportunidad (timeliness)
En reversa (rollback): estrategia de recuperacin de bases
de datos que se utiliza para restaurar un estado previo de
los datas
35
Carga y estrs (load and stress)
34
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
33
Oportunidad (timeliness)
En reversa (rollback): estrategia de recuperacin de bases
de datos que se utiliza para restaurar un estado previo de
los datas
35
Carga y estrs (load and stress)
34
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
AI3
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
3.6 Controles para Cambios del Software del Sistema
ADQUISICIN Y MANTENIMIENTO DE
ARQUITECTURA DE TECNOLOGA
OBJETIVO DE CONTROL
Debern implementarse procedimientos para asegurar que las modificaciones realizadas al software del sistema sean controladas de acuerdo
con los procedimientos de administracin de
cambios de la organizacin.
OBJETIVO DE CONTROL
Debern establecerse procedimientos para evaluar el impacto de nuevo hardware y software
sobre el rendimiento del sistema en general.
3.2 Mantenimiento Preventivo para Hardware
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber calendarizar el mantenimiento
rutinario y peridico del hardware con el fin de
reducir la frecuencia y el impacto de fallas de
rendimiento.
3.3 Seguridad del Software del Sistema
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que la instalacin del
software del sistema no arriesgue la seguridad de
los datos y programas ya almacenados en el mismo. Deber ponerse gran atencin a la instalacin y mantenimiento de los parmetros del software del sistema.
3.4
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
AI4
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
P P P P
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DESARROLLO Y MANTENIMIENTO DE
PROCEDIMIENTOS RELACIONADOS CON
TECNOLOGA DE INFORMACIN
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
AI5
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
capacitacin
conversin / carga de datos
pruebas especficas
acreditacin
revisiones post implementacin
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
P P P P P
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
5.5 Criterios y Desempeo de Pruebas en Paralelo/Piloto
OBJETIVO DE CONTROL
5.1 Entrenamiento
OBJETIVO DE CONTROL
El personal de los departamentos usuarios afectados y el grupo de operaciones de la funcin de
servicios de informacin debern estar entrenados de acuerdo al plan de entrenamiento definido
y los materiales relacionados, como parte de
cualquier proyecto de desarrollo, implementacin o modificacin de sistemas de informacin.
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber definir e implementar procedimientos para asegurar que la Gerencia de operaciones y la Gerencia usuaria aceptan formalmente los resultados de las pruebas y el nivel de
seguridad para los sistemas, junto con el riesgo
residual existente.
5.8 Prueba Operacional
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
WDPDxDDGHFXDGR
5HVSDOGRH[WHUQREDFNRXW
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DPELHQWHGHSUXHEDVDODPELHQWHGHSURGXFFLyQ
'HVHPSHxRGHSURFHVDPLHQWRWKURXJKSXW
FDSDFLGDGGHSURFHVDPLHQWRGHGDWRVGHXQVLV
WHPDGHLQIRUPDWLyQ
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
AI6
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
administracin de cambios
que satisface los requerimientos de negocio de:
minimizar la probabilidad de interrupciones, alteraciones no
autorizadas y errores
se hace posible a travs de:
un sistema de administracin que permita el anlisis,
implementacin y seguimiento de todos los cambios
requeridos y llevados a cabo a la infraestructura de TI
actual
y toma en consideracin:
identificacin de cambios
procedimientos de categorizacin, priorizacin y emergencia
evaluacin del impacto
autorizacin de cambios
manejo de liberacin
distribucin de software
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
6.6 Poltica de Liberacin de Software
ADMINISTRACIN DE CAMBIOS
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber asegurar que todas las requisiciones de cambios tanto internos como por parte de proveedores estn estandarizados y sujetos
a procedimientos formales de administracin de
cambios. Las solicitudes debern categorizarse,
priorizarse y establecerse procedimientos especficos para manejar asuntos urgentes. Los solicitantes de cambios deben permanecer informados
acerca del estatus de su solicitud.
(PSDTXHSDFNDJLQJ
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DS1
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
convenios de confidencialidad) entre todas las
partes involucradas sean establecidas, coordinadas, mantenidas y comunicadas a todos los departamentos afectados.
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber designar a un Gerente de nivel de
servicio que sea responsable de monitorear y reportar los alcances de los criterios de desempeo
del servicio especificado y todos los problemas
encontrados durante el procesamiento. Las estadsticas de monitoreo debern ser analizadas
oportunamente. Debern tomarse acciones correctivas apropiadas e investigarse las fallas.
1.5 Revisin de Convenios y Contratos de Nivel de
Servicio
OBJETIVO DE CONTROL
La Gerencia deber implementar un proceso de
revisin regular de los convenios de nivel de servicio y de los contratos de proveedores de servicios como terceras partes.
1.6 Elementos sujetos a Cargo
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Deber lograrse un acuerdo explcito sobre los
aspectos que el convenio de nivel de servicios
deber tener. El convenio de nivel de servicio
deber cubrir por lo menos los siguientes aspectos: disponibilidad, confiabilidad, desempeo,
capacidad de crecimiento, niveles de soporte proporcionados a los usuarios, plan de contingencia/
Recuperacin, nivel mnimo aceptable de funcionalidad del sistema satisfactoriamente liberado,
restricciones (lmites en la cantidad de trabajo),
cargos por servicio, instalaciones de impresin
central (disponibilidad), distribucin de impresin central y procedimientos de cambios
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DS2
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
2.6 Continuidad de Servicios
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber asegurar que todos los servicios prestados por terceros sean propiamente
identificados y que las interfaces tcnicas y organizacionales con los proveedores sean documentadas.
Con respecto a las relaciones con los proveedores de servicios como terceras partes, la Gerencia
deber asegurar que los acuerdos de seguridad
(por ejemplo, los acuerdos de no - revelacin)
sean identificados, declarados explcitamente y
acordados, que stos concuerden con los estndares de negocios universales y estn en lnea con
los requerimientos legales y regulatorios, incluyendo obligaciones.
Objetivos de Control
La Gerencia de la organizacin del cliente deber
designar un dueo que sea responsable de asegurar la calidad de las relaciones con terceros.
2.3 Contratos con Terceros
OBJETIVO DE CONTROL
La gerencia debe definir procedimientos especficos para asegurar que un contrato formal sea
definido y acordado para cada relacin de servicio con un proveedor.
2.8 Monitoreo
OBJETIVO DE CONTROL
La Gerencia deber establecer un proceso continuo de monitoreo sobre la prestacin de servicio
de terceros, con el fin de asegurar el cumplimiento de los acuerdos del contrato.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DS3
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te lid
di gri ad
sp da
o
d
cu nib
i
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
de que stos afecten el desempeo del sistema.
Debern llevarse a cabo anlisis de las fallas e
irregularidades del sistema en cuanto a frecuencia, grado del impacto y magnitud del dao.
ADMINISTRACIN DE DESEMPEO Y
CAPACIDAD
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber establecer un proceso de planeacin para la revisin del desempeo y capacidad
del hardware con el fin de asegurar que siempre
exista una capacidad justificable econmicamente para procesar las cargas de trabajo acordadas y
para proporcionar la cantidad y calidad de desempeo requeridas, prescritas en los acuerdos de
nivel de servicio. El plan de capacidad deber
cubrir escenarios mltiples.
La gerencia deber prevenir que se pierda la disponibilidad de los recursos, mediante la implementacin de mecanismos de tolerancia de fallas,
mecanismos de asignacin equitativa de recursos
y la definicin de prioridades de tareas.
OBJETIVO DE CONTROL
La gerencia deber asegurar que se utilicen las
herramientas de modelado apropiadas para producir un modelo del sistema actual, calibrado y
ajustado segn la carga de trabajo real y que sea
preciso dentro de los niveles de carga recomendados. Las herramientas de modelado debern
utilizarse para apoyar el pronstico de los requerimientos de capacidad, confiabilidad de la configuracin, desempeo y disponibilidad. Debern
llevarse a cabo investigaciones tcnicas profundas sobre el hardware de los sistemas y debern
incluirse pronsticos acerca de futuras tecnologas.
3ODQGHFDSDFLGDGFDSDFLW\SODQQLQJ
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DS4
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
l Informacin crtica sobre grupos de continuidad, personal afectado, clientes, proveedores,
autoridades pblicas y medios de comunicacin.
VICIO
4.1 Marco de Referencia de Continuidad de Tecnologa de informacin
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber crear un marco de referencia de
continuidad que defina los roles, responsabilidades, el enfoque basado en riesgo /la metodologa
a seguir y las reglas y la estructura para documentar el plan, as como los procedimientos de
aprobacin.
OBJETIVO DE CONTROL
La Gerencia de servicios de informacin deber
establecer procedimientos y guas para minimizar los requerimientos de continuidad con respecto a personal, instalaciones, hardware, software, equipo, formatos, consumibles y mobiliario.
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Para contar con un Plan efectivo de Continuidad,
la gerencia necesita evaluar su adecuacin de manera regular; esto requiere una preparacin cuidadosa, documentacin, reporte de los resultados de
las pruebas e implementar un plan de accin de
acuerdo con los resultados.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
alternativa final. En caso de aplicar, deber establecerse un contrato formal para este tipo de servicios.
OBJETIVO DE CONTROL
Dada una exitosa reanudacin de la funcin de
servicios de informacin despus de un desastre,
la gerencia de servicios de informacin deber
establecer procedimientos para evaluar lo adecuado del plan y actualizarlo de acuerdo con los
resultados de dicha evaluacin.
&HQWURGHFyPSXWRVLWH
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DS5
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
autorizacin
autenticacin
acceso
perfiles e identificacin de usuarios
administracin de llaves criptogrficas
manejo, reporte y seguimiento de incidentes
Prevencin y deteccin de virus
Firewalls
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
acordes con la poltica de seguridad que garantiza el control de la seguridad de acceso, tomando
como base las necesidades individuales demostradas de visualizar, agregar, modificar o eliminar datos.
OBJETIVO DE CONTROL
La Gerencia deber contar con un proceso de
control establecido para revisar y confirmar peridicamente los derechos de acceso.
0DUFDGRGLDOXS
)LUPDVGHHQWUDGDVLJQRQ
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
5.12 Reacreditacin
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Deben existir controles para asegurar que la identificacin y los derechos de acceso de los usuarios, as como la identidad del sistema y la propiedad de los datos, son establecidos y administrados de forma nica y centralizada, para obtener consistencia y eficiencia de un control global
de acceso.
OBJETIVO DE CONTROL
Las polticas organizacionales debern asegurar
que, en donde sea apropiado, sean instrumentados controles para proporcionar autenticidad de
transacciones. Esto requiere el empleo de tcnicas criptogrficas para firmar y verificar tran-
OBJETIVO DE CONTROL
La administracin de la funcin de servicios de
informacin deber asegurar que las violaciones
y la actividad de seguridad sean registradas, reportadas, revisadas y escaladas apropiadamente
en forma regular para identificar y resolver incidentes que involucren actividades no autorizadas. El acceso lgico a la informacin sobre el
registro de recursos de cmputo51 (seguridad y
otros registros) deber otorgarse tomando como
base el principio de menor privilegio (necesidad
de saber).
5.11 Manejo de Incidentes
OBJETIVO DE CONTROL
La Gerencia deber implementar la capacidad de
manejar incidentes de seguridad computacional,
dar atencin a dichos incidentes mediante el establecimiento de una plataforma centralizada con
suficiente experiencia y equipada con instalaciones de comunicacin rpidas y seguras. Debern
establecerse las responsabilidades y los procedimientos de manejo de incidentes para asegurar
una respuesta apropiada, efectiva y oportuna a
los incidentes de seguridad.
5HJLVWURGHUHFXUVRVGHFyPSXWR
DFFRXQWDELOLW\
VRQDOWpFLFRDOFXDOVHOHDVLJQDQWUDEDMRVGHYHULIL
FDFLyQGHVHJXULGDGHQXQDLQVWDODFLyQ(VWRVWUD
EDMRVFRQVLVWHQWLSLFDPHQWHHQDFWXDUHQIRUPD
LQFyJQLWD\WUDWDUGHYLRODUODVPHGLGDVGHVHJXUL
GDGHVWDEOHFLGDVSDUDSUREDUODLQHIHFWLYLGDGGH
ODVPLVPDVHLGHQWLILFDUODViUHDVYXOQHUDEOHVTXH
UHTXLUHQDWHQFLyQ
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
sacciones.
5.15 No negacin
OBJETIVO DE CONTROL
Las polticas organizacionales debern asegurar
que, en donde sea apropiado, las transacciones no
puedan ser negadas por ninguna de las partes y
que se instrumenten controles para proporcionar
no negacin (non repudiation) de origen o destino, prueba de envo (proof of submission), y recibo de transacciones. Esto puede ser implementado a travs de firmas digitales, registro de tiempos y terceros confiables.
OBJETIVO DE CONTROL
Con respecto al software malicioso, tal como los
virus computacionales o Caballos de Troya, la
Gerencia deber establecer un marco de referencia de adecuadas medidas de control preventivas,
detectivas y correctivas.
5.20 Arquitectura de Fire Walls y conexin a redes
pblicas
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Si existe conexin con Internet u otras redes pblicas en la organizacin. Se deber contar con
sistemas Fire Wall adecuados para proteger en
contra de negacin de servicios y cualquier acceso no autorizado a los recursos internos; deber
controlar en ambos sentidos cualquier flujo de
administracin de infraestructura y de aplicaciones y deber proteger en contra de negacin o
ataques de servicio.
OBJETIVO DE CONTROL
Todo el hardware y software relacionado con seguridad debe encontrarse permanentemente protegido contra intromisiones para proteger su integridad y contra divulgacin de sus claves secretas. Adicionalmente, la organizacin deber mantener discrecin sobre el diseo de su seguridad,
pero no basar la seguridad en mantener el diseo
como secreto.
5.18 Administracin de Llaves Criptogrficas
OBJETIVO DE CONTROL
La Gerencia deber definir e implementar procedimientos y protocolos a ser utilizados en la generacin, distribucin, certificacin, almacenamiento, entrada, utilizacin y archivo de llaves criptogrficas con el fin de asegurar la proteccin de las
mismas contra modificaciones y divulgacin no
autorizada. Si una llave se encuentra comprometida (en riesgo), la gerencia deber asegurarse de
que esta informacin se hace llegar a todas las
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
'LVSRVLWLYRVWRNHQV
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DS6
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
P P P P P
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
IDENTIFICACIN Y ASIGNACIN DE
COSTOS
&DUJRFKDUJHEDFN
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DS7
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
curriculum de entrenamiento
campaas de concientizacin
tcnicas de concientizacin
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
EDUCACIN Y ENTRENAMIENTO DE
USUARIOS
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DS8
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P
Control sobre el proceso de TI de:
Monitoreo
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
P P
55
56
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
55
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DS9
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Administracin de la configuracin
que satisface los requerimientos de negocio de:
dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar
una base para el sano manejo de cambios
se hace posible a travs de:
controles que identifiquen y registren todos los activos
de TI as como su localizacin fsica y un programa
regular de verificacin que confirme su existencia
y toma en consideracin:
P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
registro de activos
administracin de cambios en la configuracin
chequeo de software no autorizado
controles de almacenamiento de software
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
9.6 Almacenamiento de Software
ADMINISTRACIN DE LA CONFIGURACIN
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Debern establecerse procedimientos para asegurar que sean registrados nicamente elementos
de configuracin autorizados e identificables en
el inventario, al momento de la adquisicin. Por
otra parte, debern establecerse procedimientos
para dar seguimiento a los cambios en la configuracin (nuevo elemento, cambio de estatus de
desarrollo a prototipo). El registro en bitcoras y
el control debern ser una parte integrada del
sistema de registro de configuracin, incluyendo
revisiones de registros modificados.
9.2 Configuracin Base
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurarse de que exista una configuracin base de elementos como punto de verificacin al cual regresar despus de las modificaciones.
9.3 Registro de Estatus
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que los registros de configuracin reflejen el estatus real de todos los
elementos de la configuracin incluyendo la historia de los cambios.
9.4 Control de la Configuracin
OBJETIVO DE CONTROL
Los procedimientos debern asegurar que la
existencia y consistencia del registro de la configuracin de la funcin de servicios de informacin sean revisadas peridicamente.
9.5 Software no Autorizado
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber revisar peridicamente la existencia de software no autorizado en las computadoras personales de la organizacin.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DS10
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DS11
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Administracin de datos
que satisface los requerimientos de negocio de:
asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin y almacenamiento
se hace posible a travs de:
una combinacin efectiva de controles generales y de
aplicacin sobre las operaciones de TI
y toma en consideracin:
diseo de formatos
controles de documentos fuente
controles de entrada
controles de procesamiento
controles de salida
identificacin, movimiento y administracin de la librera de medios
administracin de almacenamiento y respaldo de medios
autenticacin e integridad
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
11.6 Procedimientos de Autorizacin de Entrada de
Datos
11 ADMINISTRACIN DE DATOS
11.1 Procedimientos de Preparacin de Datos
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Los procedimientos de la organizacin debern
asegurar que todos los documentos fuente autorizados estn completos, sean precisos, registrados
apropiadamente y transmitidos oportunamente
para la entrada de datos.
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Debern establecerse procedimientos para asegurar que la organizacin pueda retener o reproducir los documentos fuente originales durante un
perodo de tiempo razonable para facilitar la recuperacin o reconstruccin de datos, as como
para satisfacer requerimientos legales.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
La organizacin deber establecer procedimientos para asegurar que la validacin, autenticacin y edicin del procesamiento sean llevadas
a cabo tan cerca del punto de origen como sea
posible. Cuando se utilicen sistemas de Inteligencia Artificial, dichos sistemas sern ubica-
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
La organizacin deber establecer procedimientos para garantizar que la seguridad de los reportes de datos de salida sea mantenida para
todos aquellos reportes que estn por distribuirse, as como para todos aqullos que ya hayan
sido distribuidos a los usuarios.
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos de manejo de errores en el procesamiento de
datos que permitan la identificacin de transacciones errneas sin que stas sean procesadas y
sin interrumpir el procesamiento de otras transacciones vlidas.
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para el manejo y la retencin de datos de
salida de sus programas de aplicacin de tecnologa de informacin. En caso de que instrumentos negociables (ej. tarjetas de valor58) sean
los receptores de la salida, se deber poner cuidado especial en prevenir usos inadecuados.
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para asegurar que los datos de salida sean
balanceados rutinariamente con los totales de
control relevantes. Debern existir pistas de
auditora para facilitar el seguimiento del procesamiento de transacciones y la conciliacin de
los datos con problema.
58
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
OBJETIVO DE CONTROL
Debern establecerse procedimientos para asegurar que los respaldos sean realizados de
acuerdo con la estrategia de respaldo definida, y
que su utilidad sea verificada regularmente.
OBJETIVO DE CONTROL
La funcin de servicios de informacin deber
establecer procedimientos para asegurar que el
contenido de su librera de medios sea inventariado sistemticamente, que cualquier discrepancia revelada por un inventario fsico sea solucionada oportunamente y que se lleven a cabo
las medidas necesarias para mantener la integridad de los medios magnticos almacenados en
la librera.
11.26 Archivo
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber establecer procedimientos de
administracin para proteger el contenido de la
librera de medios. Debern definirse estndares para la identificacin externa de medios
magnticos y el control de su movimiento y almacenamiento fsico para soportar su seguimiento y registro. Las responsabilidades sobre
el manejo de la libreras de medios (cintas magnticas, cartuchos, discos y diskettes) debern
ser asignadas a miembros especficos del personal de servicios de informacin.
OBJETIVO DE CONTROL
Previamente a que alguna accin crtica sea tomada sobre informacin originada fuera de la
Organizacin que se reciba va telfono, correo
de voz, documentos (en papel), fax o correo
electrnico, se deber verificar adecuadamente
la autenticidad e integridad de dicha informacin.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
59
60
61
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DS12
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Administracin de instalaciones
que satisface los requerimientos de negocio de:
proporcionar un ambiente fsico conveniente que proteja al
equipo y al personal de TI contra peligros naturales o fallas
humanas
se hace posible a travs de:
la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado
y toma en consideracin:
acceso a instalaciones
identificacin del centro de cmputo
seguridad fsica
salud y seguridad del personal
proteccin contra amenazas ambientales
P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
12 ADMINISTRACIN DE INSTALACIONES
OBJETIVO DE CONTROL
Debern establecerse apropiadas medidas de seguridad fsica y control de acceso para las instalaciones de tecnologa de informacin de acuerdo con la poltica de seguridad general, incluyendo el uso de dispositivos de informacin fuera de
las instalaciones. El acceso deber restringirse a
las personas que hayan sido autorizadas a contar
con dicho acceso.
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que se lleve un bajo perfil discrecin y que la identificacin fsica de
las instalaciones relacionadas con sus operaciones de tecnologa de informacin sea limitada.
12.3 Escolta de Visitantes
OBJETIVO DE CONTROL
Debern establecerse procedimientos apropiados
que aseguren que las personas que no formen
parte del grupo de operaciones de la funcin de
servicios de informacin sean escoltadas por algn miembro de ese grupo cuando deban entrar a
las instalaciones de cmputo. Deber mantenerse y revisarse regularmente una bitcora de visitantes.
12.4 Salud y Seguridad del Personal
OBJETIVO DE CONTROL
Debern establecerse y mantenerse prcticas de
salud y seguridad en lnea con las leyes y regulaciones internacionales, nacionales, regionales,
estatales y locales.
62
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DS13
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
administracin de operaciones
que satisface los requerimientos de negocio de:
asegurar que las funciones importantes de soporte de TI estn
siendo llevadas a cabo regularmente y de una manera ordenada
se hace posible a travs de:
una calendarizacin de actividades de soporte que sea
registrada y completada en cuanto al logro de todas las
actividades
y toma en consideracin:
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
P P
P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
13 ADMINISTRACIN DE OPERACIONES
OBJETIVO DE CONTROL
La funcin de servicios de informacin deber
establecer y documentar procedimientos estndar
para las operaciones de tecnologa de informacin (incluyendo operaciones de red). Todas las
soluciones y plataformas de tecnologa de informacin establecidas debern ser operadas utilizando estos procedimientos, los cuales debern
ser revisados peridicamente para asegurar su
efectividad y cumplimiento.
63
64
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
Trabajos (jobs)
Salidas (departures)
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
M1
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
P P P P P
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
M2
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te lid
di gri ad
sp da
o
d
cu nib
i
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
g
ap ente
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
P P P P P
65
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
M3
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
co plim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
S
Entrega &
Soporte
Monitoreo
que satisface los requerimientos de negocio de:
incrementar los niveles de confianza entre la organizacin,
clientes y proveedores externos
se hace posible a travs de:
revisiones de aseguramiento independientes llevadas
al cabo en intervalos regulares
y toma en consideracin:
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
OBJETIVO DE CONTROL
La Gerencia deber obtener un aseguramiento
independiente sobre el cumplimiento de la funcin de servicios de tecnologa de informacin
con respecto a requerimientos regulatorios y
compromisos contractuales en forma cclica rutinaria.
OBJETIVO DE CONTROL
La Gerencia deber obtener una certificacin o
acreditacin independiente de seguridad y control interno antes de implementar nuevos servicios de tecnologa de informacin que resulten
crticos y obtener re-certificaciones o reacreditaciones de estas actividades en forma una
cclica rutinaria despus de haber hecho la implementacin.
OBJETIVO DE CONTROL
La Gerencia deber obtener un aseguramiento
independiente sobre el cumplimiento de proveedores externos de servicios de tecnologa de informacin con respecto a requerimientos regulatorios y compromisos contractuales en forma
cclica rutinaria.
OBJETIVO DE CONTROL
La Gerencia deber obtener una certificacin o
acreditacin independiente de seguridad y control interno antes de utilizar proveedores de servicios de tecnologa de informacin y obtener recertificaciones o re-acreditaciones de estas actividades en forma cclica rutinaria.
OBJETIVO DE CONTROL
La Gerencia deber asegurarse de que la funcin
de aseguramiento independiente posee competencia tcnica, habilidades y conocimiento necesario para desempear dicha funcin en una forma efectiva, eficiente y econmica.
OBJETIVO DE CONTROL
La Gerencia deber obtener una evaluacin independiente sobre la efectividad de los servicios de
tecnologa de informacin en forma cclica rutinaria.
OBJETIVO DE CONTROL
La Gerencia de Tecnologa de Informacin deber buscar la participacin de auditora en una forma proactiva, antes de finalizar soluciones de
servicio de tecnologa de informacin.
OBJETIVO DE CONTROL
La Gerencia deber obtener una evaluacin independiente sobre la efectividad de los proveedores
de servicios de tecnologa de informacin en forma cclica rutinaria.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
M4
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
independencia de auditora
involucramiento proactivo de auditora
ejecucin de auditoras por parte de personal calificado
aclaracin de resultados y recomendaciones
actividades de seguimiento
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
rios para desempear dichas revisiones en forma
efectiva, eficiente y econmica. La Gerencia deber asegurar que el personal asignado68 a tareas
de auditora de sistemas de informacin, mantiene su nivel de competencia tcnica mediante un
programa adecuado de educacin profesional
continua.
4.5 Planeacin
OBJETIVO DE CONTROL
La alta gerencia deber establecer un plan de auditora para garantizar que se obtenga un aseguramiento regular e independiente con respecto a la
efectividad, eficiencia y economa de la seguridad y de los procedimientos de control interno,
as como de la habilidad de la Gerencia para controlar las actividades de la funcin de servicios de
informacin. Dentro de este plan la Gerencia
deber determinar las prioridades relacionadas
con la obtencin de aseguramiento independiente. Los auditores debern planear el trabajo de
auditora para alcanzar los objetivos de auditora
y cumplir con los estndares profesionales correspondientes.
4.2 Independencia
OBJETIVO DE CONTROL
El auditor deber ser independiente del auditado
tanto en actitud como en apariencia (real y percibida). Los auditores no debern estar relacionados con la seccin o departamento que est siendo auditado, y en la medida de lo posible, deber
tambin ser independiente de la propia empresa.
De esta manera, la funcin de auditora deber
ser suficientemente independiente del rea auditada para concluir una auditora en forma objetiva.
Las auditoras debern ser supervisadas apropiadamente para proporcionar certeza de que los objetivos de auditora estn siendo alcanzados y que
los estndares profesionales de auditora que sean
aplicables estn siendo observados. Los auditores
debern asegurarse de obtener evidencia suficiente, confiable, relevante y til para alcanzar los
objetivos de auditora de forma efectiva. Los
hallazgos y conclusiones de auditora deben estar
soportadas por un anlisis apropiado y una correcta interpretacin de esta evidencia.
OBJETIVO DE CONTROL
La funcin de auditora deber asegurar el cumplimiento de los cdigos aplicables de tica profesional (ej. Cdigo de Etica de la Information
Systems Audit and Control Association) y estndares de auditora (ej. Estndares de la Information Systems Audit and Control Association) en
todo lo que lleve a cabo. El debido cuidado profesional deber observarse en todos los aspectos
del trabajo de auditora, incluyendo el respeto de
estndares aplicables sobre auditora y tecnologa
de informacin.
4.4 Competencia
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los auditores
responsables de las revisiones de las actividades
de la funcin de servicios de informacin de la
organizacin, sean tcnicamente competentes y
cuentan en forma general con las habilidades y
conocimientos (ej. dominios de CISA68) necesa1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
66
67
68
Estatutos (charter)
CISA: es un acrnimo para el titulo de Certified
Information Systems Auditor (auditor certificado de
sistemas de informacin).
Personal asignado (staff)
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
4.7 Reporte
OBJETIVO DE CONTROL
La funcin de auditora de la organizacin deber
proporcionar un reporte en un formato adecuado,
para todo el personal interesado una vez concluida su revisin. El reporte de auditora deber
mostrar los objetivos de la auditora, el perodo
de cobertura y la naturaleza y extensin de trabajo de auditora realizado. El reporte deber identificar a la Organizacin, los destinatarios del informe y cualquier restriccin en su circulacin.
El reporte de auditora deber tambin mostrar
los hallazgos, conclusiones y recomendaciones
relacionadas con el trabajo de auditora llevado a
cabo, as como cualquier salvedad o comentario
que el auditor tenga con respecto a la auditora.
4.8 Actividades de Seguimiento
OBJETIVO DE CONTROL
La resolucin acerca de los comentarios sobre la
auditora depende de la Gerencia. Los auditores
debern solicitar y evaluar informacin pertinente
sobre hallazgos, conclusiones y recomendaciones
previos para determinar si las acciones apropiadas han sido implementadas de manera oportuna.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
COMITE DE DIRECCION
John Beveridge
Bart De Shutter
Gary Hardy
John Lainhart
Thomas Lamm
Akira Matsuo
Paul Williams
* = Equipo del Proyecto
Europa
Investigacin
Acadmica
EUA
Investigacin
Acadmica
Australia
Investigacin
de Benchmark
Aseguramiento de Calidad
de Captulo Local
Aseguramiento de Calidad
de Captulo Local
Grupo Experto
Regional
Grupo Experto
Regional
Aseguramiento de Calidad
de Captulo Local
bles a cada proceso de tecnologa de informacin particular. Se les atribuy a los investigadores la responsabilidad
de la compilacin, revisin, evaluacin e incorporacin
apropiadas de los estndares tcnicos internacionales, cdigos de conducta, estndares de calidad, estndares profesionales en las auditoras, prcticas y requerimientos industriales y requerimientos de industrias especficos, en cuanto a su relacin con el marco de referencia y con objetivos
de control individuales. Sus esfuerzos produjeron ms de
300 objetivos de control nuevos y actualizados para poner
a la consideracin de los revisores de calidad y de los grupos expertos.
INVESTIGACION
La investigacin incluy la recoleccin y el anlisis de
fuentes identificadas y fue llevada a cabo por equipos de
investigacin en Europa (Free University of Amsterdam),
Estados Unidos (California Polytechnic University) y Australia (University of New South Wales). Los equipos de
investigacin fueron provistos de personal con representantes acadmicos y profesionales.
Despus de la recoleccin y el anlisis, los investigadores
enfrentaron el reto de examinar cada campo, procesar con
detenimiento y sugerir nuevos objetivos de control aplica1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
Corriente Europea de
Investigacin Bsica
AC
Corriente de EUA de
Investigacin Bsica
AC
Corriente de
Investigacin de
Benchmark de
Australia
AC
Revisin de
Expertos
Europa
Prueba de
Consolidacin de
Investigacin
Consolidacin de
Hallazgos de
Expertos
Revisin de
Expertos
EUA
BD
COBIT
El resultado de esta investigacin fue una lista de coincidencias primarias (en los Objetivos de Control,
pero no en el material de comparacin) y de coincidencias secundarias (en el material de comparacin,
pero no en los Objetivos de Control).
DTI
Producto
Actual
BD
COBIT
ITIL
Objetivos de
Control
Mejorados
ISO
Reporte de coincidencias
ISACF
COBIT
Inconsistencias primarias
Inconsistencias secundarias
Modificaciones recomendadas
OECD
ITSEC
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - Integrated
Framework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994.
OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of Information, Paris, 1992.
DTI Code of Practice for Information Security Management: Department of Trade and Industry and British
Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995.
ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance Standards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of software, Switzerland, 1991.
NIST Security Handbook: National Institute of Standards and Technology, U.S. Department of Commerce. An
Introduction to Computer Security: The NIST Handbook, Washington, DC, 1995.
ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines developed by the Central Computer and Telecommunications Agency (CCTA), London, 1989.
IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials
Group on Information Security, advising the European Commission) Brussels, Belgium, 1994.
NSW Premiers Office Statements of Best Practices and Planning Information Management and Techniques:
Statements of Best Practice #1 through #6. premiers Department New South Wales, Government of New South
Wales, Australia, 1990 through 1994.
Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data Processing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998.
EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph Series #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994.
PCIE (presidents Council on Integrity and Efficiency) Model Framework: A Model Framework for Management Over Automated Information Systems. Prepared jointly by the presidents Council on Management Improvement and the presidents Council on Integrity and Efficiency, Washington, DC, 1987.
Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by
the Chuo Audit Corporation, Tokyo, August 1994.
Control Objectives Controls in an Information Systems Environment: Control Guidelines and Audit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Fourth Edition,
Rolling Meadows, IL, 1992.
CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified Information Systems Auditor Job Analysis Study", Rolling Meadows, IL, 1994.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
CICA Computer Control Guidelines: Canadian Institute of Chartered Accountants, Toronto, 1986.
IFAC International Guidelines for Managing Security of Information and Communications: International
Federation of Accountants, New York, NY, 1997.
IFAC International Guidelines on Information Technology Management - Managing Information Technology Planning for Business Impact (Draft): International Federation of Accountants, New York, NY, 1998.
Standards for Internal Control in the U.S. Federal Government: U.S. General Accounting Office, Washington,
DC, 1983.
Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NBS Special
Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington,
DC, 1988.
Government Auditing Standards: U. S. General Accounting Office, Washington, DC, 1994.
Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants, Denmark, 1994.
SPICE: Software Process Improvement and Capability Determination. A standard on software process improvement, British Standards Institution, London, 1995.
DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute International. Guideline for Business Continuity Planners, St. Louis, MO, 1997.
IIA, SAC Systems Audibility and Control: Institute of Internal Auditors Research Foundation, Systems Audibility and Control Report, Alamonte Springs, FL, 1991, 1994.
IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research Foundation, Alamonte Springs, FL, 1997.
E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996.
C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, NY, 1997.
ISO IEC JTC1/SC27 Information Technology - Security: International Organisation for Standardisation (ISO)
Technical Committee on Information Technology Security, Switzerland, 1998.
ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical Committee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992.
ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services: International Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services, Draft,
Switzerland, 1997.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
CCEB 96/011, Common Criteria for Information Technology Security Evaluation: Common Criteria Implementation Board, Alignment and comparison of existing European, US and Canadian IT Security Criteria, Draft,
Washington, DC, 1997.
Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987.
TickIT: Guide to Software Quality Management System Construction and Certification. British Department of
Trade and Industry (DTI), London, 1994
ESF Baseline Control - Communications: European Security Forum, London. Communications Network Security, September 1991; Baseline Controls for Local Area Networks, September, 1994.
ESF Baseline Control - Microcomputers: European Security Forum, London. Baseline Controls Microcomputers
Attached to Network, June 1990.
Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Rolling Meadows, IL, 1992.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
CCEB
CICA
CISA
Control
COSO
DRI
DTI
Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of
the United Kingdom)
EDIFACT
EDPAF
ESF
GAO
I4
IBAG
IFAC
IIA
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
INFOSEC
Comit Consultivo para la Comisin Europea en Materia de Seguridad TI. (Advisory Committee
for IT Security Matters to the European Commission)
ISACA
ISACF
ISO
ISO9000
ITIL
ITSEC
NBS
NIST
(antes NBS)
Instituto Nacional de Estndares y Tecnologa. (National Institute of Standards
and Technology), con base en Washington D.C.
NSW
Objetivo de
Control de TI
OECD
OSF
PCIE
TCSEC
TickIT
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
%-(79,26'(&21752/