02 - AUDCobit 1998

2
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
&2%,7
2%-(7,926'(&21752/

$EULOGH
GD(GLFLyQ
(PLWLGRSRUHO&RPLWp'LUHFWLYRGH&
2%,7\
OD,QIRUPDWLRQ6\VWHPV$XGLWDQG&RQWURO)RXQGDWLRQ
Traduccin al espaol por Gustavo A. Sols Montes, CISA
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control
en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas
y auditores.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
Reconocimientos
Lmite de Responsabilidad
Resumen Ejecutivo
Antecedentes
La Information Systems Audit and Control Foundation y los patrocinadores de COBIT: Objetivos de Control para la Informacin y Tecnologas afines, han diseado este producto principalmente como
una fuente de instruccin para los profesionales dedicados a las
actividades de control. La Information Systems Audit and Control
Foundation y los patrocinadores no declaran que el uso de este producto asegurar un resultado exitoso. No deber considerarse que
este producto incluye todos los procedimientos o pruebas apropiados
o que excluye otros procedimientos y pruebas que estn razonablemente dirigidos hacia la obtencin de los mismos resultados. Para
determinar la conveniencia de cualquier prueba o procedimiento
especfico, los expertos en control debern aplicar su propio juicio
profesional a las circunstancias de control especiales presentadas por
cada entorno de sistemas en particular.
El Marco Referencial de COBIT

Estableciendo la escena
Los Principios del Marco Referencial
Gua para la utilizacin del Marco
Referencial y los Objetivos de Control
Principios de los Objetivos de Control
10
13
18
20
Acuerdo de Licencia (disclosure)
Tabla Resumen
21
Relaciones de Objetivos de Control

Dominios, Procesos y Objetivos de Control
22
Copyright 1996, 1998 de la Information Systems Audit and Control

Foundation (ISACF). La reproduccin para fines comerciales no
est permitida sin el previo consentimiento por escrito de la ISACF.
Se otorga permiso para reproducir el Resumen Ejecutivo, el Marco
Referencial y los Objetivos de Control para uso interno no comercial, incluyendo almacenamiento en medios de recuperacin de datos y transmisin en cualquier medio, incluyendo electrnico, mecnico, grabado u otro medio. Todas las copias del Resumen Ejecutivo, el Marco Referencial y los Objetivos de Control deben incluir el
siguiente reconocimiento y leyenda de derechos de autor:
Objetivos de Control
Planeacin y Organizacin
Adquisicin e Implementacin
Entrega de Servicios y Soporte
Monitoreo
29
56
73
105
Copyright 1996, 1998 Information Systems Audit and Control Foundation, reimpreso con la autorizacin de la Information Systems
Audit and Control Foundation. Ningn otro derecho o permiso relacionado con esta obra es otorgado.
Apndice I
Descripcin del Proyecto COBIT
Las Directrices de Auditora y el conjunto de herramientas de implementacin no pueden ser reproducidos, almacenados en un sistema de recuperacin de datos o transmitido en ninguna forma ni por
ningn medio electrnico, mecnico, fotocopiado, grabado u otro
medio- sin la previa autorizacin por escrito de la ISACF.
114
Apndice II
Material de Referencia Primaria
116
Excepto por lo indicado, no se otorga ningn otro derecho o permiso

relacionado con esta obra.
Apndice III
Glosario de Terminos Originales
Traducido al espaol de COBIT 2da Edicin: Objetivos de Control

para la Informacin y Tecnologas afines por Gustavo A. Sols Montes, CISA con el permiso de la Information Systems Audit and Control Foundation (ISACF). Esta traduccin no fue revisada por la
ISACF, por lo tanto, no garantiza la fidelidad y/o exactitud de la
misma. Si desea obtener mayor informacin sobre ISACF, visite su
web site en www.isaca.org.
119

Information Systems Audit and Control Foundation

3701 Algonquin Road, Suite 1010
Rolling Meadows, Illinois 60008 USA.
Telfono: 1+847.253.1525
Fax:
1+847.253.1443
E-mail:
research@isaca.org
Web site:
www.isaca.org

ISBN 0-9629440-5-X (Control Objectives, English)
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
(&212&,0,(1726
5,1&,3$/(63$75,2&,1$'25(6
'(/$&25325$&,1$1,9(/
081'5$/
PATROCINADORES DE LOS ASOCIADOS

DE LA CORPORACIN
Fellesdata a/s, Norway

NoviT a/s, Norway
PRINCIPALES CAPTULOS DE ISACA

PATROCINADORES
Benelux
National Capital Area
New York Metropolitan
Norway
Toronto
CAPTULOS DE ISACA ASOCIADOS

PATROCINADORES
Adelaide
Atlanta
Auckland
Austin
Bangkok
Brisbane
Canberra
Central Arkansas
Central Indiana
Central Maryland
Central New York
Denver
Detroit
Finland
Greater Hartford
Hawaii
Houston
Hudson Valley
Indonesia
London
Los Angeles
Middle Tennessee
Minnesota
New England
New Jersey
New Mexico
North Alabama
North Texas
Northeast Ohio
Northern United Kingdom
Philadelphia
Pittsburgh
Puget Sound
Research Triangle
Sacramento
San Diego
Santiago de Chile
Seoul
South Texas
St. Louis
Sweden
Tokyo
Tulsa
Victoria
Virginia
Wellington
Winnipeg
CONTRIBUCIONES INDIVIDUALES
Bill Bartgis
John Beveridge
William Bialkowski
Alllen Bragan
Maryanne S. Canant
Michael Donahue
John Lainhart
Teresa McCauley
Robert G. Parker
Daniel Ramos
Deepak Sarup
Lily Shue
Patrick Stachtchenko
Kevin Weston
$NLUD0DWVXR
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
ANALISTAS EXPERTOS USA
EL EQUIPO DEL PROYECTO
Prof. Ulric J. Gelinas, Bentley College

John Hayes, Price Waterhouse LLP
Greg Hedges, Arthur Andersen & Co., S.C.
Dave Kent, Price Waterhouse LLP
Tom Kothe, Ernst & Young LLP
John Lainhart, Inspector General, U.S. House of
Representatives, USA
Robert Roussey, University of Southern California
Erik Guldentops, S.W.I.F.T. S.C., Belgium

Eddy Schuermans, Coopers & Lybrand, Belgium
Thomas Lamm, ISACF, USA
COMIT QUE DIRIGE EL PROYECTO

Erik Guldentops, S.W.I.F.T. S.C., Belgium
John Beveridge, State Auditors Office,
Massachusetts, USA
Prof. Dr. Bart De Schutter, Vrije Universiteit Brussels,
Chairman BRT Belgium
Gary Hardy, Arthur Andersen, United Kingdom
John Lainhart, Inspector General, U.S. House of
Representatives, USA
Akira Matsuo, Chuo Audit Corporation, Japan
Eddy Schuermans, Coopers & Lybrand, Belgium
Paul Williams, Arthur Andersen, United Kingdom
Thomas Lamm, ISACF, USA
CALIDAD GARANTIZADA
Gary Austin, GAO
Chris Bagot, NATO
Rick Beatty, California Federal Bank
Peter De Koninck, Coopers & Lybrand
Balencia Dozier, Manufacturers Bank
Doris Gin, Arthur Andersen & Co., LLP
A.I. Heijkamp, Computercentrum VSB
Max Huijbers, Rijkscomputercentrum
Peter Maertens, NATO
Bill Pepper, Zergo, Ltd.
Mark Stanley, Santa Barbara Bank
Tjerk Terpstra, Inter Access
Mark Wheeler, Farmers Insurance
Carla Williams, Executive Consultants
INVESTIGADORES
Vrije Universiteit Amsterdam, The Netherlands
Prof. M.E. Van Biene-Hershey
Ren Barlage, RB Consultants
California Polytechnic University, USA
Prof. Dan Manson, Lead Researcher
AGRADECIMIENTO ESPECIAL a los miembros de la

Mesa directiva de la Information Systems Audit and
Control Association, y los Fideicomisarios de la Information Systems Audit and Control Foundation por su
continuo y firme apoyo a la familia de productos de
COBIT
ANALISTAS EXPERTOS EUROPA

Chris Bagot, NATO
Ren Barlage, RB Consultants
Prof. Dr. Henri Beker, Zergo, Ltd.
John Beveridge, ISACA Past President
Erik Guldentops, S.W.I.F.T. S.C.
Gary Hardy, Arthur Andersen
Eddy Schuermans, Coopers & Lybrand
Alan Stanley, European Security Forum
Danny Van Riel, Johnson & Johnson
Bram Vandenberg, Ernst & Young
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
(680(1(-(&87,92
n elemento crtico para el xito y la supervivencia

de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin
(TI) relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticalidad emerge de:
l la creciente dependencia en informacin y en los
sistemas que proporcionan dicha informacin
l la creciente vulnerabilidad y un amplio espectro de
amenazas, tales como las ciber amenazas y la
guerra de informacin1
l la escala y el costo de las inversiones actuales y
futuras en informacin y en tecnologa de informacin; y
l el potencial que tienen las tecnologas para cambiar
radicalmente las organizaciones y las prcticas de
negocio, crear nuevas oportunidades y reducir costos
ferencial de dominios y procesos y presenta actividades

en una estructura manejable y lgica. Las prcticas sanas de COBIT representan el consenso de los expertos
(le ayudarn a optimizar la inversin en informacin,
pero an ms importante, representan aquello sobre lo
usted ser juzgado si las cosas salen mal.
as organizaciones deben cumplir con requerimientos de calidad, de reportes fiduciarios y de seguridad, tanto para su informacin, como para sus activos.
La administracin deber obtener un balance adecuado
en el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa, sistemas de
aplicacin y datos. Para cumplir con esta responsabilidad, as como para alcanzar sus expectativas, la administracin deber establecer un sistema adecuado de
control interno. Por lo tanto, este sistema o marco referencial deber existir para proporcionar soporte a los
procesos de negocio y debe ser preciso en la forma en la
que cada actividad individual de control satisface los
requerimientos de informacin y puede impactar a los
recursos de TI. El impacto en los recursos de TI es enfatizado en el Marco Referencial de COBIT conjuntamente
a los requerimientos de informacin del negocio que
deben ser alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad. El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin.
Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa.
Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de
TI. Verdaderamente, la informacin y los sistemas de
informacin son penetrantes en las organizaciones
(desde la plataforma del usuario hasta las redes locales o
amplias, cliente servidor y equipos Mainframe. Por lo
tanto, la administracin requiere niveles de servicio que
presenten incrementos en calidad, en funcionalidad y en
facilidad de uso, as como un mejoramiento continuo y
una disminucin de los tiempos de entrega) al tiempo
que demanda que esto se realice a un costo ms bajo.
Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las
organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la
implementacin de nueva tecnologa. Por lo tanto, la
administracin debe tener una apreciacin por, y un entendimiento bsico de los riesgos y limitantes del empleo de la tecnologa de informacin para proporcionar
una direccin efectiva y controles adecuados. COBIT
ayuda a salvar las brechas existentes entre riesgos de
negocio, necesidades de control y aspectos tcnicos.
Proporciona prcticas sanas a travs de un Marco Re-
La administracin, mediante este gobierno corporativo2,

debe asegurar que la debida diligencia sea ejercitada por
todos los individuos involucrados en la administracin,
empleo, diseo, desarrollo, mantenimiento u operacin
de sistemas de informacin.
Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una
actividad de TI.
a orientacin a negocios es el tema principal de

COBIT. Esta diseado no solo para ser utilizado

*XHUUDGHLQIRUPDFLyQLQIRUPDWLRQZDUIDUH
Gobierno corporativo (corporate governance): Governance es un trmino que representa el sistema que establece la alta gerencia para asegurar el logro de los objetivos
de una Organizacin.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
por usuarios y auditores, sino que en forma ms importante, esta diseado para ser utilizado como una lista de
verificacin3 detallada para los propietarios de los procesos de negocio. En forma incremental, las prcticas de
negocio requieren de una mayor delegacin y apoderamiento4 de los dueos de procesos para que estos posean total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En forma particular, esto incluye el proporcionar controles adecuados.
El Marco Referencial de COBIT proporciona herramientas al propietario de procesos de negocio que facilitan el
cumplimiento de esta responsabilidad. El Marco Referencial comienza con una premisa simple y prctica:
Adems, el Marco Referencial proporciona definiciones

para los requerimientos de negocio que son derivados
de objetivos de control superiores en lo referente a calidad, seguridad y reportes fiduciarios en tanto se relacionen con Tecnologa de Informacin.
a administracin de una empresa requiere de prcticas generalmente aplicables y aceptadas de control y gobierno en TI para medir en forma comparativa7
tanto su ambiente de TI existente, como su ambiente
planeado.
COBIT es una herramienta que permite a los gerentes
comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos tcnicos y riesgos de negocio. COBIT habilita el desarrollo de una poltica clara
y de buenas prcticas de control de TI a travs de organizaciones, a nivel mundial. El objetivo de COBIT es
proporcionar estos objetivos de control, dentro del marco referencial definido, y obtener la aprobacin y el
apoyo de las entidades comerciales, gubernamentales y
profesionales en todo el mundo.
Con el fin de proporcionar la informacin que

la empresa necesita para alcanzar sus objetivos,
los recursos de TI deben ser administrados por
un conjunto de procesos de TI agrupados en
forma natural.
ontina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: planeacin &
organizacin, adquisicin & implementacin, entrega
(de servicio) y monitoreo. Esta estructura cubre todos
los aspectos de informacin y de la tecnologa que la
soporta. Dirigiendo estos 34 Objetivos de Control de
alto nivel, el propietario de procesos de negocio podr
asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin.
Adicionalmente, correspondiendo a cada uno de los 34
objetivos de control de alto nivel, existe una gua de
auditora o de aseguramiento que permite la revisin de
los procesos de TI contra los 302 objetivos detallados de
control recomendados por COBIT para proporcionar a la
Gerencia la certeza de su cumplimiento y/o una recomendacin para su mejora. COBIT contiene un conjunto
de herramientas de implementacin que proporciona
lecciones aprendidas por empresas que rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo.
Incluye un Resumen Ejecutivo para el entendimiento y
la sensibilizacin de la alta gerencia sobre los principios
y conceptos fundamentales de COBIT. La gua de implementacin cuenta con dos tiles herramientas
(Diagnstico de Sensibilizacin Gerencial5 y Diagnstico de Control en TI6 ) para proporcionar asistencia en el
anlisis del ambiente de control en una organizacin.
Por lo tanto, COBIT est orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de riesgos asociados
con tecnologa de informacin y con tecnologas relacionadas.
El Marco Referencial COBIT otorga especial importancia al impacto sobre los recursos de TI, as como a los
requerimientos de negocios en cuanto a efectividad, eficiencia, confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad que deben ser satisfechos.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
4
5
6
7

Lista de verificacin (check list)

Apoderamiento (empowerment)
Diagnstico de Sensibilizacin Gerencial (management
awareness diagnostic)
Diagnstico de Control en TI (IT control diagnostic)
Medir en forma comparativa (benchmark)
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
52&(626'(,7'(&2%,7'(),1,'26'(1752'(/26
&8$752'20,126
OBJEIVOS DE
OBJETIVOS
DE NEGOCIO
NEGOCIO
PO1
Definir un Plan Estratgico de

Tecnologa de Informacin
Definir la Arquitectura de Informacin
Determinar la direccin tecnolgica
Definir la Organizacin y de las
Relaciones de TI
PO5
Manejar la Inversin en Tecnologa de
Informacin
PO6 Comunicar la direccin y aspiraciones de
la gerencia
PO7 Administrar Recursos Humanos
PO8 Asegurar el Cumplimiento de
Requerimientos Externos
PO9 Evaluar Riesgos
PO10 Administrar proyectos
PO11 Administrar Calidad
COBIT
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditora independiente
PO2
PO3
PO4
,1)250$&,21
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
3/$1($&,21<
021,725(2
25*$1,=$&,21
5(&85626'(7,
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
$'48,6,&,21(
(175(*$<
,03/(0(17$&,21
623257(
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
Definir Niveles de Servicio

Administrar Servicios prestados por Terceros
Administrar Desempeo y Capacidad
Asegurar Servicio Continuo
Garantizar la Seguridad de Sistemas
Identificar y Asignar Costos
Educar y Entrenar a los Usuarios
Apoyar y Asistir a los Clientes de TI
Administrar la Configuracin
Administrar Problemas e Incidentes
Administrar Datos
Administrar Instalaciones
Administrar Operaciones
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

AI1 Identificar Soluciones

AI2 Adquirir y Mantener Software de
Aplicacin
AI3 Adquirir y Mantener Arquitectura de
Tecnologa
AI4 Desarrollar y Mantener Procedimientos
relacionados con TI
AI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
17(&('(17(6
DESARROLLO DEL PRODUCTO COBIT

COBIT ha sido desarrollado como un estndar generalmente
aplicable y aceptado para las buenas prcticas de seguridad
y control en Tecnologa de Informacin (TI). COBIT es
la herramienta innovadora para el gobierno8 de TI -.
Sin excluir ningn otro estndar aceptado en el campo del

control de sistemas de informacin que pudiera emitirse
durante la investigacin, las fuentes han sido identificadas
inicialmente como:
COBIT se fundamenta en los Objetivos de Control existentes de la Information Systems Audit and Control Foundation (ISACF), mejorados a partir de estndares internacionales tcnicos, profesionales, regulatorios y especficos
para la industria, tanto existentes como en surgimiento.
Los Objetivos de Control resultantes han sido desarrollados
para su aplicacin en sistemas de informacin en toda la
empresa. El trmino generalmente aplicables y aceptados es utilizado explcitamente en el mismo sentido que
los Principios de Contabilidad Generalmente Aceptados
(PCGA o GAAP por sus siglas en ingls). Para propsitos
del proyecto, buenas prcticas significa consenso por
parte de los expertos.
Estndares Tcnicos de ISO, EDIFACT, etc.

Cdigos de Conducta emitidos por el Council of Europe, OECD, ISACA, etc.;
Criterios de Calificacin para sistemas y procesos de
TI: ITSEC, ISO9000, SPICE, TickIT, etc.;
Estndares Profesionales para control interno y auditora: reporte COSO, GAO, IFAC, IIA, ISACA, estndares CPA, etc.;
Prcticas y requerimientos de la Industria de foros
industriales (ESF, 14) y plataformas patrocinadas por el
gobierno (IBAG, NIST, DTI); y
Nuevos requerimientos especficos de la industria de
la banca y manufactura de TI. (Ver Apndice III Glosario de Trminos para definiciones de siglas)
Este estndar es relativamente pequeo en tamao, con el

fin de ser prctico y responder, en la medida de lo posible,
a las necesidades de negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas tcnicas de TI adoptadas en una organizacin. El proporcionar
indicadores de desempeo (normas, reglas, etc.), ha sido
identificado como prioridad para las mejoras futuras que
se realizarn al marco referencial.
DEFINICIN DEL PRODUCTO COBIT

El desarrollo de COBIT ha resultado en la publicaci de:
l un Resumen Ejecutivo el cual, adicionalmente a esta
seccin de antecedentes, consiste en una Sntesis Ejecutiva (que proporciona a la alta gerencia entendimiento y conciencia sobre los conceptos clave y principios de COBIT) y el Marco Referencial (el cual proporciona a la alta gerencia un entendimiento ms detallado de los conceptos clave y principios de COBIT e
identifica los cuatro dominios de COBIT y los correspondientes 34 procesos de TI);
l el Marco Referencial que describe en detalle los 34
objetivos de control de alto nivel e identifica los requerimientos de negocio para la informacin y los
recursos de TI que son impactados en forma primaria
por cada objetivo de control;
l Objetivos de Control, los cuales contienen declaraciones de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de 302 objetivos de control detallados y especficos a travs de los
34 procesos de TI;
El desarrollo de COBIT ha trado como resultado la publicacin del Marco Referencial general y de los Objetivos de
Control detallados, y le seguirn actividades educativas.
Estas actividades asegurarn el uso general de los resultados del Proyecto de Investigacin COBIT.
Se determin que las mejoras a los objetivos de control
originales deberan consistir en:
el desarrollo de un marco referencial para

control en TI como fundamento para los objetivos de control en TI y como una gua para la
investigacin consistente en auditora y control de TI;
una alineacin del marco referencial general y
de los objetivos de control individuales, con
estndares y regulaciones internacionales existentes de hecho y de derecho; y
una revisin crtica de las diferentes actividades y tareas que conforman los dominios de
control en TI y, cuando fuese posible, la especificacin de indicadores de desempeo relevantes (normas, reglas, etc.) y
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
una revisin crtica y actualizacin de las guas actuales para desarrollo de auditoras de
sistemas de informacin

Gobierno (governance): sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
(3) proporcionar una base de comparacin de sus prcticas
de control de TI contra empresas similares o normas de la
industria. Esta adicin proporcionar herramientas a la gerencia para evaluar el ambiente de TI de su organizacin
con respecto a los 34 Objetivos de Control de alto nivel de
COBIT.
Las investigaciones y publicaciones han sido posibles gracias a contribuciones de Unysis, Unitech Systems, Inc.,
MIS Training Institute, Zergo, Ltd., y Coopers & Lybrand.
El Forum Europeo de Seguridad (European Security Forum ESF-) amablemente puso a disposicin material para
el proyecto. Otras donaciones fueron recibidas de captulos
miembros de ISACA de todo el mundo.
Directrices de Auditora, las cuales contienen los pasos de auditora correspondientes a cada uno de los 34
objetivos de control de TI de alto nivel para proporcionar asistencia a los auditores de sistemas en la revisin de los procesos de TI con respecto a los 302 objetivos detallados de control recomendados para proporcionar a la gerencia certeza o una recomendaciones de
mejoramiento;
un Conjunto de Herramientas de Implementacin,
el cual proporciona lecciones aprendidas por organizaciones que han aplicado COBIT rpida y exitosamente
en sus ambientes de trabajo.
El Conjunto de Herramientas de Implementacin incluye la

Sntesis Ejecutiva, proporcionando a la alta gerencia conciencia y entendimiento de COBIT. Tambin incluye una
gua de implementacin con dos tiles herramientas Diagnstico de la Conciencia de la Gerencia9 y el Diagnstico
de Control de TI10 - para proporcionar asistencia en el anlisis del ambiente de control en TI de una organizacin.
Tambin se incluyen varios casos de estudio que detallan
cmo organizaciones en todo el mundo han implementado
COBIT exitosamente. Adicionalmente, se incluyen respuestas a las 25 preguntas mas frecuentes acerca de COBIT y
varias presentaciones para distintos niveles jerrquicos y
audiencias dentro de las organizaciones.
(;(&87,926
&21-8172'(+(55$0,(17$6'(,03/(0(17$&,1
6XPDQRGHORV([HFXWLYRV
9LVLyQGHORV([HFXWLYRV
0$&525()(5(1&,$/
)$46
3UHVHQWDFLyQVGH3RZHU3RLQW
DOWRQLYHO
*XLDGH,PSOHPHQWDFLyQ
*8,$6*(5(1&,$/6
'LDJQRVWLFRGH&RQWUROGH7,
$8',725,$
)DFWRUHV&UtWLFRV
GHOe[LWR
3URJUDPDGHOD&RQFLHQFLD
',5(&75,&(6'(
2%-(7,926'(7$//$'26
'(&21752/
0HGLGDV&RPSDUDWLYDV
&XPSOLPLHQWRGHORV
3ULQFLSDOHV,QGLFDGRUHV
Una temprana adicin significativa visualizada para la familia de productos COBIT, es el desarrollo de las Guas de
Gerenciales11 que incluyen Factores Crticos de Exito, Indicadores Clave de Desempeo y Medidas Comparativas12.
Esta adicin proporcionar herramientas a la gerencia para
evaluar el ambiente de TI de su organizacin con respecto
a los 34 Objetivos de Control de alto nivel de COBIT. Los
Factores Crticos de Exito identificarn los aspectos o acciones ms importantes para la administracin y poder as
tomar dichas acciones o considerar los aspectos para lograr
control sobre sus procesos de TI. Los Indicadores Clave de
Desempeo proporcionarn medidas de xito que permitan
conocer a la gerencia si un proceso de TI esta alcanzando
los requerimientos de negocio. La Medidas Comparativas
definirn niveles de madurez que pueden ser utilizadas por
la gerencia para: (1) determinar el nivel actual de madurez
de la empresa; (2) determinar el nivel de madurez que desea lograr, como una funcin de sus riesgos y objetivos; y
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
(VWXGLRVGHORV&DVRV
REMHWLYRVGHFRQWUROGH
EVOLUCIN DEL PRODUCTO COBIT

COBIT evolucionar a travs de los aos y ser el fundamento de investigaciones futuras. Por lo tanto, se generar
una familia de productos COBIT y al ocurrir esto, las tareas
y actividades que sirven como la estructura para organizar
los Objetivos de Control de TI, sern refinadas posteriormente, tambin ser revisado el balance entre los dominios
y los procesos a la luz de los cambios en la industria.
Familia de Productos COBIT
680$5,2'(/26
10
11
12

Diagnstico de la Conciencia de la Gerencia

(management awareness diagnostic)
Diagnstico de Control de TI (IT control diagnostic)
Guas gerenciales (management guidelines )
Medidas comparativas (benchmarks)
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
$5&25()(5(1&,$/'(&2%,7
( 0
67$%/(&,(1'2/$(6&(1$
entre riesgos e inversiones en control en un ambiente de

TI frecuentemente impredecible. La administracin
necesita un Marco Referencial de prcticas de seguridad
y control de TI generalmente aceptadas para medir comparativamente su ambiente de TI, tanto el existente como el planeado.
/$1(&(6,'$''(&21752/(17(&
12/2*,$'(,1)250$&,21
En aos recientes, ha sido cada vez ms evidente para

los legisladores, usuarios y proveedores de servicios la
necesidad de un Marco Referencial para la seguridad y
el control de tecnologa de informacin (TI). Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) relacionada. En esta sociedad global (donde la informacin
viaja a travs del ciberespacio sin las restricciones de
tiempo, distancia y velocidad) esta criticalidad emerge
de:
Existe una creciente necesidad entre los USUARIOS en

cuanto a la seguridad en los servicios TI, a travs de la
acreditacin y la auditora de servicios de TI proporcionados internamente o por terceras partes, que aseguren
la existencia de controles adecuados. Actualmente, sin
embargo, es confusa la implementacin de buenos controles de TI en sistemas de negocios por parte de entidades comerciales, entidades sin fines de lucro o entidades
gubernamentales. Esta confusin proviene de los diferentes mtodos de evaluacin, tales como ITSEC,
TCSEC, evaluaciones ISO9000, nuevas evaluaciones de
control interno COSO, etc. Como resultado, los usuarios necesitan una base general a ser establecida como
primer paso.
l la creciente dependencia en informacin y en los

sistemas que proporcionan dicha informacin
l la creciente vulnerabilidad y un amplio espectro de

amenazas, tales como las ciber amenazas y la
guerra de informacin
l la escala y el costo de las inversiones actuales y
Frecuentemente, los AUDITORES han tomado el liderazgo en estos esfuerzos internacionales de estandarizacin, debido a que ellos enfrentan continuamente la necesidad de sustentar y apoyar frente a la Gerencia su
opinin acerca de los controles internos. Sin contar con
un marco referencial, sta se convierte en una tarea demasiado complicada. Esto ha sido mostrado en varios
estudios recientes acerca de la manera en la que los auditores evalan situaciones complejas de seguridad y
control en TI, estudios que fueron dados a conocer casi
simultneamente en diferentes partes del mundo. Incluso, la administracin consulta cada vez ms a los auditores para que la asesoren en forma proactiva en lo referente a asuntos de seguridad y control de TI.
futuras en informacin y en tecnologa de informacin; y
l el potencial que tienen las tecnologas para cambiar

radicalmente las organizaciones y las prcticas de
negocio, crear nuevas oportunidades y reducir costos
Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa. Verdaderamente, la informacin y
los sistemas de informacin son penetrantes en las
organizaciones (desde la plataforma del usuario hasta
las redes locales o amplias, cliente servidor y equipos
Mainframe. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo,
tambin comprenden y administran los riesgos asociados con la implementacin de nueva tecnologa. Por lo
tanto, la administracin debe tener una apreciacin por,
y un entendimiento bsico de los riesgos y limitantes del
empleo de la tecnologa de informacin para proporcionar una direccin efectiva y controles adecuados

(/$0%,(17('(1(*2&,26
&203(7(1&,$&$0%,2 &26726
La competencia global es ya un hecho. Las organizaciones se reestructuran con el fin de perfeccionar sus
operaciones y al mismo tiempo aprovechar los avances
en tecnologa de sistemas de informacin para mejorar
su posicin competitiva. La reingeniera en los nego-
La administracin debe decidir la inversin razonable

en seguridad y control en TI y cmo lograr un balance
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
13

Guerra de informacin (information warfare)

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
cios, las reestructuraciones, el outsourcing, las organizaciones horizontales y el procesamiento distribuido son
cambios que impactan la manera en la que operan tanto
los negocios como las entidades gubernamentales. Estos cambios han tenido y continuarn teniendo, profundas implicaciones para la administracin y las estructuras de control operacional dentro de las organizaciones
en todo el mundo.
categora son el Security Code of Conduct del DTI

(Department of Trade and Industry, Reino Unido) y el
Security Handbook de NIST (National Institute of Standards and Technology, EUA). Sin embargo, estos modelos de control con orientacin especfica no proporcionan un modelo de control completo y utilizable sobre
tecnologa de informacin como soporte para los procesos de negocio. El propsito de COBIT es el cubrir este
vaco proporcionando una base que est estrechamente
ligada a los objetivos de negocio, al mismo tiempo que
se enfoca a la tecnologa de informacin.
La especial atencin prestada a la obtencin de ventajas

competitivas y a la economa implica una dependencia
creciente en la computacin como el componente ms
importante en la estrategia de la mayora de las organizaciones. La automatizacin de las funciones organizacionales, por su naturaleza, dicta la incorporacin de
mecanismos de control ms poderosos en las computadoras y en las redes, tanto los basados en hardware como los basados en software. Adems, las caractersticas
estructurales fundamentales de estos controles estn
evolucionando al mismo paso que las tecnologas de
computacin y las redes.
Un enfoque hacia los requerimientos de negocio en

cuanto a controles para tecnologa de informacin y la
aplicacin de nuevos modelos de control y estndares
internacionales relacionados, hicieron evolucionar los
Objetivos de Control y pasar de una herramienta de auditora, a COBIT, que es una herramienta para la administracin. COBIT es, por lo tanto, la herramienta
innovadora para el gobierno de TI que ayuda a la
gerencia a comprender y administrar los riesgos asociados con TI.
Si los administradores, los especialistas en sistemas de

informacin y los auditores desean en realidad ser capaces de cumplir con sus tareas en forma efectiva dentro
de un marco contextual de cambios acelerados, debern
aumentar y mejorar sus habilidades tan rpidamente
como lo demandan la tecnologa y el ambiente. Debemos comprender la tecnologa de controles involucrada
y su naturaleza cambiante si deseamos emitir y ejercer
juicios razonables y prudentes al evaluar las prcticas de
control que se encuentran en los negocios tpicos o en
las organizaciones gubernamentales.
Por lo tanto, el objetivo principal del proyecto COBIT es

el desarrollo de polticas claras y buenas prcticas para
la seguridad y el control de Tecnologa de Informacin,
con el fin de obtener la aprobacin y el apoyo de las
entidades comerciales, gubernamentales y profesionales
en todo el mundo. La meta del proyecto es el desarrollar estos objetivos de control principalmente a partir de
la perspectiva de los objetivos y necesidades de la empresa. Esto concuerda con la perspectiva COSO, que
constituye el primer y mejor marco referencial para la
administracin en cuanto a controles internos. Posteriormente, los objetivos de control fueron desarrollados
a partir de la perspectiva de los objetivos de auditora
(certificacin de informacin financiera, certificacin de
medidas de control interno, eficiencia y efectividad,
etc.)
5(638(67$$/$61(&(6,'$'(6
En vista de estos continuos cambios, el desarrollo de

este Marco Referencial de objetivos de control para TI,
conjuntamente con una investigacin continua aplicada
a controles de TI basada en este marco referencial,
constituyen el fundamento para el progreso efectivo en
el campo de los controles de sistemas de informacin.

$8',(1&,$$'0,1,675$&,21868$
5,26 $8',725(6
Por otro lado, hemos sido testigos del desarrollo y publicacin de modelos de control generales de negocios
como COSO [Committee of Sponsoring Organisations
of the Treadway Commisssion Internal ControlIntegrated Framework, 1992] en los EUA, Cadbury en
el Reino Unido y CoCo en Canad y King en Sudfrica.
Por otro lado, existe un nmero importante de modelos
de control ms enfocados al nivel de tecnologa de informacin. Algunos buenos ejemplos de esta ltima
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
COBIT est diseado para ser utilizado por tres audiencias distintas:
ADMINISTRACION:
Para ayudarlos a lograr un balance entre los
riesgos y las inversiones en control en un ambiente de tecnologa de informacin frecuentemente impredecible.

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
USUARIOS:
DEFINICIONES
Para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa
de informacin proporcionados internamente o
por terceras partes.
Para propsitos de este proyecto, se proporcionan las

siguientes definiciones. La definicin de Control est
adaptada del reporte COSO [Committee of Sponsoring
Organisations of the Treadway Commission. Internal
Control-Integrated Framework, 1992 y la definicin
para Objetivo de Control de TI ha sido adaptada del
reporte SAC (Systems Auditability and Control Report).
The Institute of Internal Auditors Research Foundation,
1991 y 1994.
AUDITORES DE SISTEMAS DE INFORMACION:

Para dar soporte a las opiniones mostradas a la
administracin sobre los controles internos.
Adems de responder a las necesidades de la audiencia
inmediata de la Alta Gerencia, a los auditores y a los
profesionales dedicados al control y seguridad, COBIT
puede ser utilizado dentro de las empresas por el propietario de procesos de negocio en su responsabilidad de
control sobre los aspectos de informacin del proceso, y
por todos aqullos responsables de TI en la empresa.
Control
Control se
se
define
define como
como
Objetivo
Objetivode
de
control
control en
enTI
TI
se
sedefine
define
como
como
ORIENTACIN A OBJETIVOS DE NEGOCIO

Los Objetivos de Control muestran una relacin clara y
distintiva con los objetivos de negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras
de la comunidad de auditora. Los Objetivos de Control
estn definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios. En
dominios y procesos identificados, se identifica tambin
un objetivo de control de alto nivel para documentar el
enlace con los objetivos del negocio. Se proporcionan
consideraciones y guas para definir e implementar el
Objetivo de Control de TI.
Las polticas, procedimientos, prcticas y estructuras organizacionales

diseadas para garantizar razonablemente que los objetivos del negocio
sern alcanzados y que eventos no
deseables sern prevenidos o detectados y corregidos
Una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control
en una actividad de TI particular.
La clasificacin de los dominios a los que se aplican los

objetivos de control de alto nivel (dominios y procesos);
una indicacin de los requerimientos de negocio para la
informacin en ese dominio, as como los recursos de
TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamente el marco Referencial COBIT. El marco referencial toma como base las
actividades de investigacin que han identificado 34
objetivos de alto nivel y 302 objetivos detallados de
control. El Marco Referencial fue mostrado a la industria de TI y a los profesionales dedicados a la auditora
para abrir la posibilidad a revisiones, dudas y comentarios. Las ideas obtenidas fueron incorporadas en forma
apropiada.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
LOS PRINCIPIOS DEL MARCO REFERENCIAL

Existen dos clases distintas de modelos de control disponibles actualmente, aqullos de la clase del modelo
de control de negocios (por ejemplo COSO) y los
modelos ms enfocados a TI (por ejemplo, DTI).
COBIT intenta cubrir la brecha que existe entre los dos.
Debido a esto, COBIT se posiciona como una herramienta ms completa para la Administracin y para
operar a un nivel superior que los estndares de tecnologa para la administracin de sistemas de informacin.. Por lo tanto, COBIT es el modelo para el gobierno de TI.
Requerimientos
Fiduciarios
(COSO)
Requerimientos
de Seguridad
Requerimientos
de Negocio
Para los requerimientos fiduciarios, COBIT no intent

reinventar la rueda se utilizaron las definiciones de
COSO para la efectividad y eficiencia de operaciones,
confiabilidad de informacin y cumplimiento con leyes
y regulaciones. Sin embargo, confiabilidad de informacin fue ampliada para incluir toda la informacin no
slo informacin financiera.
Procesos de TI
Recursos de TI
Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos criterios a los que
COBIT hace referencia como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos:
Calidad
Requerimientos de
Costo
Calidad
Entrega (de servicio)
Con respecto a los aspectos de seguridad, CobiT identific la confidencialidad, integridad y disponibilidad como los elementos clave, fue descubierto que estos mismos tres elementos son utilizados a nivel mundial para
describir los requerimientos de seguridad.
Comenzando el anlisis a partir de los requerimientos
de Calidad, Fiduciarios y de Seguridad ms amplios, se
14
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
Confidencialidad
Integridad
Disponibilidad
La Calidad ha sido considerada principalmente por su

aspecto negativo (no fallas, confiable, etc.), lo cual
tambin se encuentra contenido en gran medida en los
criterios de Integridad. Los aspectos positivos pero
menos tangibles de la calidad (estilo, atractivo, ver y
sentir14, desempeo ms all de las expectativas, etc.)
no fueron, por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La premisa
se refiere a que la primera prioridad deber estar dirigida al manejo apropiado de los riesgos al compararlos
contra las oportunidades. El aspecto utilizable de la
Calidad est cubierto por los criterios de efectividad.
Se consider que el aspecto de entrega (de servicio) de
la Calidad se traslapa con el aspecto de disponibilidad
correspondiente a los requerimientos de seguridad y
tambin en alguna medida, con la efectividad y la eficiencia. Finalmente, el Costo es tambin considerado
que queda cubierto por Eficiencia.
El concepto fundamental del marco referencial COBIT

se refiere a que el enfoque del control en TI se lleva a
cabo visualizando la informacin necesaria para dar
soporte a los procesos de negocio y considerando a la
informacin como el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa de
Informacin que deben ser administrados por procesos
de TI.
Efectividad & eficiencia de

operaciones
Confiabilidad de la informacin
Cumplimiento de las leyes &
regulaciones

Ver y Sentir (look and feel)

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
extrajeron siete categoras distintas, ciertamente superpuestas. A continuacin se muestran las definiciones de
trabajo de COBIT:
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibildad
Cumplimiento
Confiabilidad
de la
Informacin
Aplicaciones
Se refiere a que la informacin relevante sea pertinente para el proceso

del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.
Tecnologa
Instalaciones
Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica)

de recursos.
Personal
Se refiere a la proteccin de informacin sensible contra divulgacin

no autorizada.
Se entiende como sistemas de aplicacin la suma de procedimientos

manuales y programados.
La tecnologa cubre hardware, software, sistemas operativos, sistemas
de administracin de bases de datos,
redes, multimedia, etc.
Recursos para alojar y dar soporte a
los sistemas de informacin.
Habilidades del personal, conocimiento, conciencia y productividad
para planear, organizar, adquirir,
entregar, soportar y monitorear servicios y sistemas de informacin.
El dinero o capital no fue considerado como un recurso

para la clasificacin de objetivos de control para TI debido a que puede definirse como la inversin en cualquiera
de los recursos mencionados anteriormente y podra causar confusin con los requerimientos de auditora financiera.
Se refiere a la precisin y suficiencia de la informacin, as como a su

validez de acuerdo con los valores y
expectativas del negocio.
Se refiere a la disponibilidad de la
informacin cuando sta es requerida por el proceso de negocio ahora
y en el futuro. Tambin se refiere a
la salvaguarda de los recursos necesarios y capacidades asociadas.
El Marco referencial no menciona, en forma especfica

para todos los casos, la documentacin de todos los aspectos materiales importantes relacionados con un
proceso de TI particular. Como parte de las buenas
prcticas, la documentacin es considerada esencial para un buen control y, por lo tanto, la falta de documentacin podra ser la causa de revisiones y anlisis futuros
de controles de compensacin en cualquier rea especfica en revisin.
Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos

contractuales a los que el proceso
de negocios est sujeto, por ejemplo, criterios de negocio impuestos
externamente.
Otra forma de ver la relacin de los recursos de TI con

respecto a la entrega de servicios se describe a continuacin:
Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad
y para ejercer sus responsabilidades
de reportes financieros y de cumplimiento.
Datos
Datos
(YHQWRV
2EMHWLYRVGHQHJRFLR
2SRUWXQLGDGHVGHQHJRFLR
5HTXHULPLHQWRVH[WHUQRV
5HJXODFLRQHV
,QIRUPDFLyQ
Sistemas
Sistemas de
de Aplicacin
Aplicacin
mensaje
entrada
TECNOLOGIA
servicio
salida
(IHFWLYLGDG
(ILFLHQFLD
&RQILGHQFLDOLGDG
, QWHJULGDG
INSTALACIONES
5LHVJRV
'LVSRQLELOLGDG
&XPSOLPLHQWR
GENTE
&RQILDELOLGDG
Los recursos de TI identificados en COBIT pueden explicarse/definirse como se muestra a continuacin:

Datos
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
La informacin que los procesos de negocio necesitan

es proporcionada a travs del empleo de recursos de TI.
Con el fin de asegurar que los requerimientos de negocio para la informacin son satisfechos, deben definirse
Los elementos de datos en su ms

amplio sentido, (por ejemplo, externos e internos), estructurados y no
estructurados, grficos, sonido, etc.
LPSOHPHQWDUVH\PRQLWRUHDUVHPHGLGDVGHFRQ

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
WURODGHFXDGDVSDUDHVWRVUHFXUVRV
Dominios
Cmo pueden entonces las empresas estar satisfechas

respecto a que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de
un sano marco referencial de Objetivos de Control para
TI. El diagrama mostrado a continuacin ilustra este
concepto.
Procesos
PROCESOS
DE NEGOCIO
Actividades
Criterios
RECURSOS DE TI
datos
sistemas de aplicacin
tecnologa
instalaciones
gente
Por lo tanto, el marco referencial conceptual puede ser

enfocado desde tres puntos estratgicos: (1) recursos
de TI, (2) requerimientos de negocio para la informacin y (3) procesos de TI. Estos puntos de vista diferentes permiten al marco referencial ser accedido eficientemente. Por ejemplo, los gerentes de la empresa
pueden interesarse en un enfoque de calidad, seguridad
o fiduciario (traducido por el marco referencial en siete requerimientos de informacin especficos). Un
Gerente de TI puede desear considerar recursos de TI
por los cuales es responsable. Propietarios de procesos, especialistas de TI y usuarios pueden tener un inters en procesos particulares. Los auditores podrn
desear enfocar el marco referencial desde un punto de
vista de cobertura de control. Estos tres puntos estratgicos son descritos en el Cubo COBIT que se muestra a
continuacin:
&RQFXHUGDQ"
El marco referencial consta de Objetivos de Control de

TI de alto nivel y de una estructura general para su clasificacin y presentacin. La teora subyacente para la
clasificacin seleccionada se refiere a que existen, en
esencia, tres niveles de actividades de TI al considerar la
administracin de sus recursos. Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades
cuentan con un concepto de ciclo de vida, mientras
que las tareas son consideradas ms discretas. El concepto de ciclo de vida cuenta tpicamente con requerimientos de control diferentes a los de actividades discretas. Algunos ejemplos de esta categora son las actividades de desarrollo de sistemas, administracin de
la configuracin y manejo de cambios. La segunda
categora incluye tareas llevadas a cabo como soporte
para la planeacin estratgica de TI, evaluacin de
riesgos, planeacin de la calidad, administracin de la
capacidad y el desempeo.
Criterios de informacin
s
d
rio
ad
ida
a
r
i
d
i
u
c
l
g
du
Ca
Se
Fi
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
Procesos de TI
Gente
Dominios
Los procesos se definen entonces en un nivel superior

como una serie de actividades o tareas conjuntas con
cortes naturales (de control). Al nivel ms alto, los
procesos son agrupados de manera natural en dominios. Su agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad en una estructura organizacional, y est en lnea con el ciclo
administrativo o ciclo de vida aplicable a los procesos
de TI.
Procesos
Actividades
Instalaciones
Datos
INFORMACION
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
Sistemas de Aplicacin
Tecnologa
os
rs
u
c
Re

de
TI
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
Con lo anterior como marco de referencia, los dominios

son identificados utilizando las palabras que la gerencia
utilizara en las actividades cotidianas de la organizacin y no la jerga15 del auditor -. Por lo tanto, cuatro
grandes dominios son identificados: planeacin y organizacin, adquisicin e implementacin; entrega y soporte y monitoreo.
En resumen, los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la informacin
que la empresa necesita para alcanzar sus objetivos.
El siguiente diagrama ilustra este concepto:
2%-(7,926'(1(*2&,2
OBJEIVOS
DE NEGOCIO
Las definiciones para los dominios mencionados son

las siguientes:
Planeacin y
organizacin
PO1
Definir un Plan Estratgico de

Definir la Arquitectura de Informacin
Definir la Organizacin y de las
Relaciones de TI
PO5 Manejar la Inversin en Tecnologa de
Informacin
PO6 Comunicar la direccin y aspiraciones de
la gerencia
PO7 Administrar Recursos Humanos
PO8 Asegurar el Cumplimiento de
Requerimientos Externos
PO9 Evaluar Riesgos
PO10 Administrar proyectos
PO11 Administrar Calidad
COBIT
Este dominio cubre la estrategia y

las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de
los objetivos del negocio. Adems,
la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y
una infraestructura tecnolgica
apropiadas.
M1 Monitorear los procesos

M2 Evaluar lo adecuado del control
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditora independiente
PO2
PO3
PO4
,1)250$&,21
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
3/$1($&,21<
021,725(2
25*$1,=$&,21
5(&85626'(7,
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
$'48,6,&,21(
(175(*$<
,03/(0(17$&,21
623257(
Adquiscin e
implementacin
Entrega
Entregayy
soporte
soporte
Monitoreo
Para llevar a cabo la estrategia de

TI, las soluciones de TI deben ser
identificadas, desarrolladas o adquiridas, as como implementadas e
integradas dentro del proceso del
negocio. Adems, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.
Definir Niveles de Servicio

Administrar Servicios prestados por Terceros
Administrar Desempeo y Capacidad
Asegurar Servicio Continuo
Garantizar la Seguridad de Sistemas
Identificar y Asignar Costos
Educar y Entrenar a los Usuarios
Apoyar y Asistir a los Clientes de TI
Administrar la Configuracin
Administrar Problemas e Incidentes
Administrar Datos
Administrar Instalaciones
Administrar Operaciones
AI1 Identificar Soluciones

AI2 Adquirir y Mantener Software de
Aplicacin
AI3 Adquirir y Mantener Arquitectura de
Tecnologa
AI4 Desarrollar y Mantener Procedimientos
relacionados con TI
AI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios
Debe tomarse en cuenta que estos procesos pueden ser

aplicados a diferentes niveles dentro de una organizacin. Por ejemplo, algunos de estos procesos sern aplicados al nivel corporativo, otros al nivel de la funcin
de servicios de informacin, otros al nivel del propietario de los procesos de negocio.
En este dominio se hace referencia

a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y
aspectos de continuidad.Con el fin
de proveer servicios, debern establecerse los procesos de soporte
necesarios. Este dominio incluye el
procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de
aplicacin.
Tambin debe ser tomado en cuenta que el criterio de

efectividad de los procesos que planean o entregan soluciones a los requerimientos de negocio, cubrirn algunas veces los criterios de disponibilidad, integridad y
confidencialidad. en la prctica, se han convertido en
requerimientos del negocio. Por ejemplo, el proceso de
identificar soluciones automatizadas deber ser efectivo en el cumplimiento de requerimientos de disponibilidad, integridad y confidencialidad.
Todos los procesos necesitan ser evaluados regularmente a travs del tiempo
para verificar su calidad y suficiencia en
cuanto a los requerimientos de control.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
-HUJDMDUJRQ

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
Resulta claro que las medidas de control no satisfarn

necesariamente los diferentes requerimientos de informacin del negocio en la misma medida. Se lleva a cabo una clasificacin dentro del marco referencial COBIT
basada en rigurosos informes y observaciones de procesos por parte de investigadores, expertos y revisores con
las estrictas definiciones determinadas previamente.
Primario
es el grado al cual el objetivo de

control definido impacta directamente el requerimiento de informacin de inters.
Secundario
es el grado al cual el objetivo de

control definido satisface nicamente de forma indirecta o en menor medida el requerimiento de
informacin de inters.
Blanco (vaco)
podra aplicarse; sin embargo, los

requerimientos son satisfechos ms
apropiadamente por otro criterio en
este proceso y/o por otro proceso.
Similarmente, todas las medidas de control no necesariamente tendrn impacto en los diferentes recursos de
TI a un mismo nivel. Por lo tanto, el Marco Referencial
de COBIT indica especficamente la aplicabilidad de los
recursos de TI que son administrados en forma especfica por el proceso bajo consideracin (no por aquellos
que simplemente toman parte en el proceso). Esta clasificacin es hecha dentro el Marco Referencial de COBIT
basado en el mismo proceso riguroso de informacin
proporcionada por los investigadores, expertos y revisores, utilizando las definiciones estrictas indicadas previamente.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
GIA PARA LA UTILIZACIN DEL MARCO REFERENCIAL Y LOS

OBJETIVOS DE CONTROL COBIT
PERSPECTIVAS DIFERENTES; ENFOQUES DIFERENTES
MARCO REFERENCIAL COBIT

El marco referencial COBIT ha sido limitado a objetivos de control de alto nivel en forma de necesidades
de negocio dentro de un proceso de TI particular, cuyo
logro es posible a travs de un establecimiento de controles, para el cual deben considerarse controles aplicables potenciales.
El marco referencial conceptual puede ser enfocado

desde tres puntos estratgicos:
1) recursos de TI, 2) requerimientos de negocio para la
informacin y 3) procesos de TI. Estos puntos de vista
diferentes permiten al marco referencial ser accedido
eficientemente.
Los Objetivos de Control de TI han sido organizados

por proceso/actividad, pero tambin se han proporcionados ayudas de navegacin no solamente para facilitar la entrada a partir de cualquier punto de vista estratgico como se explic anteriormente, sino tambin
para facilitar enfoques combinados o globales, tales
como instalacin/implementacin de un proceso, responsabilidades gerenciales globales para un proceso y
utilizacin de recursos de TI por un proceso.
Por ejemplo, los gerentes de la empresa pueden interesarse en un enfoque de calidad, seguridad o fiduciario
(traducido por el marco referencial en siete requerimientos de informacin especficos). Un Gerente de
TI puede desear considerar recursos de TI por los cuales es responsable. Propietarios de procesos, especialistas de TI y usuarios pueden tener un inters en procesos particulares. Los auditores podrn desear enfocar el marco referencial desde un punto de vista de
cobertura de control.
Tambin deber tomarse en cuenta que los Objetivos

de Control COBIT han sido definidos en una manera
genrica, por ejemplo, sin depender de la plataforma
tcnica, aceptando el hecho de que algunos ambientes
de tecnologa especiales pueden requerir una cobertura
separada para objetivos de control.
Criterios de informacin
Procesos
Actividades
Gente
Procesos de TI
Dominios
El control de
Instalaciones
Datos
ad
r id
u
g
Se
Tecnologa
Sistemas de Aplicacin
io
d
i ar
da
i
c
l
du
Ca
Fi
s
so
ur
c
Re
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
Proceso de TI
Que satisface
Requerimiento
de Negocio
Es habilitado por
Declaracin de
Considerando
Control
de
Prcticas de
Control
TI

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
ef
ec
t iv
ef ida
co i c i e d
nf
n
i d ci a
en
c
in
te i ali
di grid dad
sp
o ad
cu nibi
li
m
p da
co l i m d
nf i en
ia
bi to
lid
ad
AYUDAS DE NAVEGACIN
Para facilitar el empleo eficiente de los objetivos de control como soporte a los diferentes puntos de vista, se proporcionan algunas ayudas de navegacin como parte de
la presentacin de los objetivos de control de alto nivel.
Se proporciona una ayuda de navegacin para cada una
de las tres dimensiones del marco referencial COBIT procesos, recursos y criterios -
P
Planeacin &
Organizacin
&ULWHULRVGH
,QIRUPDFLyQ
Adquisicin &
Implementacin
'RPLQLRV
7,
'H7,
5HFXUVRV
Entrega &
Soporte
Monitoreo
PP
ge
ap nte
li c
a
te cion
cn
e
in o lo s
st
al g a
ac
io
da nes
to
s
7UHVSXQWRVGHSRVLFLyQ
Los dominios son identificados ubicando la siguiente

figura en la esquina superior derecha de cada pgina en la
seccin de Objetivos de Control, agrandando y haciendo
ms visible el dominio bajo revisin.
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
ef
ec
t iv
ef ida
co i c i e d
nf
i d ncia
en
i n ci a
te
li
di grid dad
sp
a
o
d
cu nibi
li
m
pli dad
co m
nf i en
ia
bi to
lid
ad
La clave para el criterio de informacin ser proporcionado la esquina superior izquierda en la seccin de Objetivos de Control mediante la siguiente mini matriz, la
cual identificar cul criterio y en qu grado (primario o
secundario) es aplicable a cada Objetivo de Control de TI
de alto nivel.
Una segunda mini matriz en la esquina inferior derecha en

la seccin de Objetivos de Control identifica los recursos de
TI que son administrados en forma especfica por el proceso
bajo consideracin - no aquellos que simplemente toman parte en el proceso -. Por ejemplo, el proceso administracin de
informacin se concentra particularmente en la integridad y
confiabilidad de los recursos de datos, mientras que disponibilidad y confidencialidad son primariamente proporcionadas
por los procesos que administran los recursos que utilizan los
datos (Ej. Aplicaciones y tecnologa).
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
ge
ap nte
li c
a
te cion
cn
e
in o lo s
st
al g a
ac
io
da nes
to
s
PP

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
5,1&,3,26'(/262%-(7,926'(&21752/
&2%,7FRPRVHSUHVHQWDHQOD~OWLPDYHUVLyQ
SDUDHOFRQWUROGH7,HQWRGDODLQGXVWULDDQL
GH2EMHWLYRVGH&RQWUROUHIOHMDHOFRPSURPLVR
YHOPXQGLDO
FRQWLQXRGH,6$&)SRUPHMRUDU\PDQWHQHUHO
/RV2EMHWLYRVGH&RQWUROHVWiQGLULJLGRVDOD
FXHUSRFRP~QGHFRQRFLPLHQWRVUHTXHULGRVSD
JHUHQFLD\DOSHUVRQDOGHORVVHUYLFLRVGHLQIRU
UDDSR\DUODDFWLYLGDGGHDXGLWRUtD\FRQWUROGH
PDFLyQFRQWUROHVIXQFLRQHVGHDXGLWRUtD\OR
VLVWHPDVGHLQIRUPDFLyQ$VtFRPRHO0DUFRGH
PiVLPSRUWDQWHDORVSURSLHWDULRVGHORVSURFH
5HIHUHQFLDGH&2%,7&2%,7)UDPHZRUNVH
VRVGHQHJRFLRV/RV2EMHWLYRVGH&RQWUROSUR
HQFXHQWUDHQIRFDGRDFRQWUROHVGHDOWRQLYHO
SRUFLRQDQXQGRFXPHQWRGHWUDEDMRGHHVFULWR
SDUDFDGDSURFHVR(OGRFXPHQWRGH2EMHWLYRV
ULRSDUDHVWDVSHUVRQDV6HSUHVHQWDQGHILQL
GH&RQWUROVHFRQFHQWUDHQREMHWLYRVGHWDOOD
FLRQHVSUHFLVDV\FODUDVGHXQFRQMXQWRPtQLPR
GRVGHFRQWUROHVSHFtILFRVDVRFLDGRVFRQFDGD
GHFRQWUROHVSDUDDVHJXUDUODHILFDFLDODHIL
XQRGHORVSURFHVRVGH7,3DUDFDGDXQRGHORV
FLHQFLD\ODHFRQRPtDHQODXWLOL]DFLyQGHUHFXU
SURFHVRVGH7,GHO0DUFRGH5HIHUHQFLDH[LV
VRV3DUDFDGDSURFHVRVHLGHQWLILFDQ2EMHWLYRV
WHQGHWUHVD2EMHWLYRVGH&RQWUROGHWDOOD
GH&RQWUROGHWDOODGRVFRPRORVFRQWUROHVPtQL
GRV/RV2EMHWLYRVGH&RQWURODOLQHDQHO0DUFR
PRVTXHQHFHVLWDQHQFRQWUDUVHHVWDEOHFLGRV
GH5HIHUHQFLDJHQHUDOFRQORV2EMHWLYRVGH&RQ
DTXHOORVFRQWUROHVTXHFX\DVXILFLHQFLDVHUi
WUROGHWDOODGRVDSDUWLUGHIXHQWHVSULPDULDV
HYDOXDGDSRUHOSURIHVLRQDOHQFRQWURO([LVWHQ
TXHFRPSUHQGHQORVHVWiQGDUHVLQWHUQDFLRQDOHV
REMHWLYRVGHFRQWUROGHWDOODGRVTXHSURSRU
GHKHFKR\GHGHUHFKR\ODVUHJXODFLRQHVUHOD
FLRQDQXQDYLVLyQGHWDOODGDVREUHODVUHODFLRQHV
FLRQDGDVFRQ7,(VWHFRQWLHQHODUHODFLyQGHORV
GRPLQLRSURFHVRREMHWLYRGHFRQWURO
UHVXOWDGRVRSURSyVLWRVGHVHDGRVTXHGHVHDQ
/RV2EMHWLYRVGH&RQWUROSHUPLWHQODWUDGXF
DOFDQ]DUVHDWUDYpVGHODLPSOHPHQWDFLyQGH
FLyQGHORVFRQFHSWRVSUHVHQWDGRVHQHO0DUFR
SURFHGLPLHQWRVGHFRQWUROHVSHFtILFRVGHQWURGH
GH5HIHUHQFLDHQFRQWUROHVHVSHFtILFRVDSOLFD
XQDDFWLYLGDGGH7,\GHHVWDPDQHUDSURSRU
EOHVSDUDFDGDSURFHVRGH7,
FLRQDXQDSROtWLFDFODUD\XQDPHMRUSUiFWLFD
16
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

Mejor prctia (best practice)

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
$%/$5(680(1
/DVLJXLHQWHWDEODSURSRUFLRQDXQDLQGLFDFLyQ
GHDOWRQLYHODVtFRPRXQDLQGLFDFLyQGHFXiOHV
SRUSURFHVR\GRPLQLRGH7,GHFXiOHVFULWHULRV
UHFXUVRVGH7,VRQDSOLFDEOHV
GHLQIRUPDFLyQWLHQHQLPSDFWRGHORVREMHWLYRV
Recursos de TI
ef
ec
ef tivi
ic da
co ienc d
n ia
in fide
te n
di grid cial
s p a id
c u on d ad
m ibi
co plim lida
nf ie d
ia n
bi to
li
rerec dad
cuu
sisi rsrsoo
stst ss
e
tete mema ahu
cncn s s m
in in oloolo dedeano
st s g g ina s
dadaaltaaclaaia foprlic
mac
toto iocio
aci
s s nen
in
ses
n
Criterios de Informacin
DOMINIO
Planeacin y
Organizacin
Adquisicin e
Implementacin
Entrega de servicios y
Soporte
Monitoreo
PROCESO
PO1
PO2
PO3
PO4
PO5
PO6
PO7
PO8
PO9
P010
PO11
AI1
AI2
AI3
AI4
AI5
AI6
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
M1
M2
M3
M4
Definir un plan estratgico de sistemas

Definir la arquitectura de informacin
Definir la organizacin y sus relaciones
Administrar las inversiones (en TI)
Comunicar la direccin y objetivos de la gerencia
Administrar los recursos humanos
Asegurar el apego a disposiciones externas
Evaluar riesgos
Administrar proyectos
Administrar calidad
Identificar soluciones de automatizacin
Adquirir y mantener software de aplicacin
Adquirir y mantener la arquitectura tecnolgica
Desarrollar y mantener procedimientos
Instalar y acreditar sistemas de informacin
Administrar cambios
S
S S S
S
S
P
P
P
P
P
P
P
S
P
P
P
S
S
P
P S
S P P P S S
P
P
P
S
S
S S
S
S
S S
S S
P P
S
P
P
P
P
P S S S S S
P S S S S S
P
S
S
P
P P S S S
P
P
P S
P
P
S
S
P P
S
P
P
P P
P P
S S
Definir niveles de servicio

Administrar servicios de terceros
Administrar desempeo y capacidad
Asegurar continuidad de servicio
Garantizar la seguridad de sistemas
Identificar y asignar costos
Educar y capacitar a usuarios
Apoyar y orientar a clientes
Administrar la configuracin
Administrar problemas e incidentes
Administrar la informacin
Administrar las instalaciones
Administrar la operacin
P
P
P
P
Monitorear el proceso
Evaluar lo adecuado del control interno
Obtener aseguramiento independiente
Proporcionar auditora independiente
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
P
P
P
P
P
P
P
P
S
P
P

S
P
P
P
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
(/$&,21(6'(2%-(7,926'(&21752/
'20,1,26352&(626<2%-(7,926'(&21752/
5
PLANEACIN Y ORGANIZACIN
4.7
4.8
4.9
4.10
4.11
1.0 Definicin de un Plan Estratgico de Tecnologa de Informacin

1.1
Tecnologa de Informacin como parte del
Plan de la Organizacin a corto y largo
plazo
1.2
Plan a largo plazo de Tecnologa de Informacin
1.3
Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura
1.4
Cambios al Plan a largo plazo de Tecnologa de Informacin
1.5
Planeacin a corto plazo para la funcin
de Servicios de Informacin
1.6
Evaluacin de sistemas existentes
4.12
4.13
4.14
4.15
5.0 Manejo de la Inversin en Tecnologa de Informacin

5.1 Presupuesto Operativo Anual para la Funcin de Servicio de informacin
5.2 Monitoreo de Costo - Beneficio
5.3 Justificacin de Costo - Beneficio
2.0 Definicin de la Arquitectura de Informacin

2.1 Modelo de la Arquitectura de Informacin
2.2 Diccionario de Datos y Reglas de sinta de
datos de la corporacin
2.3 Esquema de Clasificacin de Datos
2.4 Niveles de Seguridad
6.0 Comunicacin de la direccin y aspiraciones

de la gerencia
6.1 Ambiente positivo de control de la informacin
6.2 Responsabilidad de la Gerencia en cuanto
a Polticas
6.3 Comunicacin de las Polticas de la Organizacin
6.4 Recursos para la implementacin de Polticas
6.5 Mantenimiento de Polticas
6.6 Cumplimiento de Polticas, Procedimientos y Estndares
6.7 Compromiso con la Calidad
6.8 Poltica sobre el Marco de Referencia para
la Seguridad y el Control Interno
6.9 Derechos de propiedad intelectual
6.10 Polticas Especficas
6.11 Comunicacin de Conciencia de Seguridad en TI
3.0 Determinacin de la direccin tecnolgica

3.1
Planeacin de la Infraestructura Tecnolgica
3.2
Monitoreo de Tendencias y Regulaciones
Futuras
3.3
Contingencias en la Infraestructura Tecnolgica
3.4
Planes de Adquisicin de Hardware y
Software
3.5
Estndares de Tecnologa
4.0 Definicin de la Organizacin y de las Relaciones de TI
4.1 Comit de planeacin o direccin de la
funcin de servicios de informacin
4.2 Ubicacin de los servicios de informacin
en la organizacin
4.3 Revisin de Logros Organizacionales
4.4 Funciones y Responsabilidades
4.5 Responsabilidad del aseguramiento de calidad
4.6 Responsabilidad de la seguridad lgica y
fsica
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
Propiedad y Custodia
Propiedad de Datos y Sistemas
Supervisin
Segregacin de Funciones
Asignacin de Personal para Tecnologa
de Informacin
Descripcin de Puestos para el Personal de
la Funcin de TI
Personal clave de TI
Procedimientos para personal por contrato
Relaciones
7.0 Administracin de Recursos Humanos

7.1 Reclutamiento y Promocin de Personal
7.2 Personal Calificado
7.3 Entrenamiento de Personal
7.4 Entrenamiento Cruzado o Respaldo de
Personal

%-(79,26'(&21752/
7.5
7.6
7.7
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
Procedimientos de Acreditacin17 de Personal

Evaluacin de Desempeo de los Empleados
Cambios de Puesto y Despidos
11.5
11.6
8.0 Aseguramiento del Cumplimiento de Requerimientos Externos

8.1 Revisin de Requerimientos Externos
8.2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos
8.3 Cumplimiento de los Estndares de Seguridad y Ergonoma
8.4 Privacidad, Propiedad Intelectual y Flujo
de Datos
8.5 Comercio Electrnico
8.6 Cumplimiento con Contratos de Seguros
11.7
11.8
11.9
11.10
11.11
9.0 Evaluacin de Riesgos

9.1 Evaluacin de Riesgos del Negocio
9.2 Enfoque de Evaluacin de Riesgos
9.3 Identificacin de Riesgos
9.4 Medicin de Riesgos
9.5 Plan de Accin contra Riesgos
9.6 Aceptacin de Riesgos
11.12
11.13
11.14
11.15
10.0 Administracin de proyectos

10.1 Marco de Referencia para la Administracin de Proyectos
10.2 Participacin del Departamento Usuario
en la Iniciacin de Proyectos
10.3 Miembros y Responsabilidades del Equipo
del Proyecto
10.4 Definicin del Proyecto
10.5 Aprobacin del Proyecto
10.6 Aprobacin de las Fases del Proyecto
10.7 Plan Maestro del Proyecto
10.8 Plan de Aseguramiento de la Calidad de
Sistemas
10.9 Planeacin de Mtodos de Aseguramiento
10.10 Administracin Formal de Riesgos de Proyectos
10.11 Plan de Prueba
10.12 Plan de Entrenamiento
10.13 Plan de Revisin Post Implementacin
11.17
11.16
11.18
11.19
ADQUISICIN E IMPLEMENTACIN
1.0 Identificacin de Soluciones
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
1.11
1.12
11.0 Administracin de Calidad

11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de Calidad
11.3 Planeacin del Aseguramiento de Calidad
11.4 Revisin de Aseguramiento de Calidad
sobre el Cumplimiento de Estndares
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
y Procedimientos de la Funcin de Servicios de Informacin

Metodologa del Ciclo de Vida de Desarrollo de Sistemas
Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual
Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas
Coordinacin y Comunicacin
Marco de Referencia de Adquisicin y
Mantenimiento para la Infraestructura de
Tecnologa
Relaciones con Terceras Partes como
Implementadores
Estndares para la Documentacin de
Programas
Estndares para Pruebas de Programas
Estndares para Pruebas de Sistemas
Pruebas Piloto/En Paralelo
Documentacin de las Pruebas del Sistema
Evaluacin del Aseguramiento de la Cali
dad sobre el Cumplimiento de Estndar
de Desarrollo
Revisin del Aseguramiento de Calidad
sobre el Logro de los Objetivos de la
Funcin de Servicios de Informacin
Mtricas de Calidad
Reportes de Revisiones de Aseguramiento de la Calidad
17

Definicin de Requerimientos de Informacin

Formulacin de Acciones Alternativas
Formulacin de Estrategias de Adquisicin.
Requerimientos de Servicios de Terceros
Estudio de Factibilidad Tecnolgica
Estudio de Factibilidad Econmica
Arquitectura de Informacin
Reporte de Anlisis de Riesgos
Controles de Seguridad Econmicos
Diseo de Pistas de Auditora
Ergonoma
Seleccin de Software de Sistema
Acreditacin (clearance)
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
1.13 Control de Abastecimiento

1.14 Adquisicin de Productos de Software
1.15 Mantenimiento de Software de Terceras
Partes
1.16 Contratos de Programacin de Aplicaciones
1.17 Aceptacin de Instalaciones
1.18 Aceptacin de Tecnologa
4.2
4.3
4.4
5.0 Instalacin y Acreditacin de Sistemas

5.1
Entrenamiento
5.2
Adecuacin del Desempeo del Software
de Aplicacin
5.3
Conversin
5.4
Pruebas de Cambios
5.5 Criterios y Desempeo de Pruebas en Paralelo/Piloto
5.6
Prueba de Aceptacin Final
5.7
Pruebas y Acreditacin de Seguridad
5.8
Prueba Operacional
5.9
Promocin a Produccin
5.10 Evaluacin de la Satisfaccin de los
Requerimientos del Usuario
5.11 Revisin Gerencial Post - Implementacin
2.0 Adquisicin y Mantenimiento de Software de

Aplicacin
2.1 Mtodos de Diseo
2.2
Cambios Significativos a Sistemas Actuales
2.3
Aprobacin del Diseo
2.4
Definicin y Documentacin de Requerimientos de Archivos
2.5
Especificaciones de Programas
2.6
Diseo para la Recopilacin de Datos
Fuente
2.7
Definicin y Documentacin de Requerimientos de Entrada de Datos
2.8
Definicin de Interfases
2.9
Interfases Usuario-Mquina
2.10 Definicin y Documentacin de Requerimientos de Procesamiento
2.11 Definicin y Documentacin de Requerimientos de Salida de Datos
2.12 Controlabilidad
2.13 Disponibilidad como Factor Clave de Diseo
2.14 Estipulacin de Integridad de TI en programas de software de aplicaciones
2.15 Pruebas de Software de Aplicacin
2.16 Materiales de Consulta y Soporte para
Usuario
2.17 Reevaluacin del Diseo del Sistema
6.0 Administracin de Cambios

6.1
Inicio y Control de Requisiciones de Cambio
6.2
Evaluacin del Impacto
6.3
Control de Cambios
6.4
Documentacin y Procedimientos
6.5
Mantenimiento Autorizado
6.6
Poltica de Liberacin de Software
6.7
Distribucin de Software
ENTREGA DE SERVICIOS Y SOPORTE

1.0 Definicin de Niveles de Servicio
1.1
Marco de Referencia para el Convenio de
Nivel de Servicio
1.2
Aspectos sobre los Acuerdos de Nivel de
Servicio
1.3
Procedimientos de Ejecucin
1.4
Monitoreo y Reporte
1.5
Revisin de Convenios y Contratos de Nivel de Servicio
1.6
Elementos sujetos a Cargo
1.7
Programa de Mejoramiento del Servicio
3.0 Adquisicin y Mantenimiento de Arquitectura

de Tecnologa
3.1
Evaluacin de Nuevo Hardware y
Software
3.2
Mantenimiento Preventivo para Hardware
3.3
Seguridad del Software del Sistema
3.4
Instalacin del Software del Sistema
3.5
Mantenimiento del Software del Sistema
3.6
Controles para Cambios del Sofware del
Sistema
2.0 Administracin de Servicios prestados por

Terceros
2.1
Interfases con Proveedores
2.2
Relaciones de Dueos
2.3
Contratos con Terceros
2.4
Calificaciones de terceros
2.5
Contratos con Outsourcing
2.6
Continuidad de Servicios
4.0 Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnologa de Informacin

4.1 Futuros Requerimientos y Niveles de Ser1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
vicios Operacionales
Manual de Procedimientos para Usuario
Manual de Operacin
Material de Entrenamiento

%-(79,26'(&21752/
2.7
2.8
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
Relaciones de Seguridad
Monitoreo
5.10
3.0 Administracin de Desempeo y Capacidad

3.1
Requerimientos de Disponibilidad y Desempeo
3.2
Plan de Disponibilidad
3.3
Monitoreo y Reporte
3.4
Herramientas de Modelado
3.5
Manejo de Desempeo Proactivo
3.6
Pronstico de Carga de Trabajo
3.7
Administracin de Capacidad de Recursos
3.8
Disponibilidad de Recursos
3.9 Calendarizacin de recursos
5.11
5.12
5.13
5.14
5.15
5.16
5.17
5.18
5.19
5.20
5.21
4.0 Aseguramiento de Servicio Continuo

4.1 Marco de Referencia de Continuidad de
4.2 Estrategia y Filosofa de Continuidad de
4.3 Contenido del Plan de Continuidad de
4.4 Minimizacin de requerimientos de Continuidad de Tecnologa de Informacin
4.5 Mantenimiento del Plan de Continuidad
de Tecnologa de Informacin
4.6 Pruebas del Plan de Continuidad de Tecnologa de Informacin
4.7 Capacitacin sobre el Plan de Continuidad
de Tecnologa de Informacin
4.8 Distribucin del Plan de Continuidad de
4.9 Procedimientos de Respaldo de Procesamiento para Departamentos Usuarios
4.10 Recursos crticos de Tecnologa de Informacin
4.11 Centro de Cmputo y Hardware de respaldo
4.12 Procedimientos de Refinamiento del Plan
de Continuidad de TI18
6.0 Identificacin y Asignacin de Costos

6.1 Elementos Sujetos a Cargo
6.2 Procedimientos de Costeo
6.3 Procedimientos de Cargo y Facturacin a
Usuarios
7.0 Educacin y Entrenamiento de Usuarios
7.1 Identificacin de Necesidades de Entrenamiento
7.2
Organizacin de Entrenamiento
7.3
Entrenamiento sobre Principios y Conciencia de Seguridad
8.0 Apoyo y Asistencia a los Clientes de Tecnologa de Informacin
8.1 Bur de Ayuda
8.2
Registro de Preguntas del Usuario
8.3
Escalamiento de Preguntas del Cliente
8.4
Monitoreo de Atencin a Clientes
8.5
Anlisis y Reporte de Tendencias
9.0 Administracin de la Configuracin
9.1
Registro de la Configuracin
9.2
Base de la Configuracin
9.3
Registro de Estatus
9.4
Control de la Configuracin
9.5
Software no Autorizado
9.6
Almacenamiento de Software
5.0 Garantizar la Seguridad de Sistemas

5.1
Administrar Medidas de Seguridad
5.2
Identificacin, Autenticacin y Acceso
5.3
Seguridad de Acceso a Datos en Lnea
5.4
Administracin de Cuentas de Usuario
5.5
Revisin Gerencial de Cuentas de Usuario
5.6
Control de Usuarios sobre Cuentas de
Usuario
5.7
Vigilancia de Seguridad
5.8
Clasificacin de Datos
5.9
Administracin Centralizada de Identifica1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
cin y Derechos de Acceso

Reportes de Violacin y de Actividades de
Seguridad
Manejo de Incidentes
Re-acreditacin
Confianza en Contrapartes
Autorizacin de Transacciones
No Rechazo
Sendero Seguro
Proteccin de funciones de seguridad
Administracin de Llave Criptogrfica
Prevencin, Deteccin y Correccin de
Software Malicioso
Arquitecturas de FireWalls y conexin a
redes pblicas
Proteccin de Valores Electrnicos

5HILQDPLHQWRGHO3ODQGH&RQWLQXLGDGGH7,
ZUDSXSSURFHGLPLHQWRVHJXLGRSDUDHYDOXDU\
DFWXDOL]DUHO3ODQ

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
10.0 Administracin de Problemas e Incidentes

10.1 Sistema de Administracin de Problemas
10.2 Escalamiento de Problemas
10.3 Seguimiento de Problemas y Pistas de Auditora
12.0 Administracin de Instalaciones

12.1 Seguridad Fsica
12.2 Discrecin de las Instalaciones de Tecnologa de Informacin
12.3 Escolta de Visitantes
12.4 Salud y Seguridad del Personal
12.5 Proteccin contra Factores Ambientales
12.6 Suministro Ininterrumpido de Energa
11.0 Administracin de Datos

11.1 Procedimientos de Preparacin de Datos
11.2 Procedimientos de Autorizacin de Documentos Fuente
11.3 Recopilacin de Datos de Documentos
Fuente
11.4 Manejo de Errores de Documentos Fuente
11.5 Retencin de Documentos Fuente
11.6 Procedimientos de Autorizacin de Entrada de Datos
11.7 Chequeos de Exactitud, Suficiencia y Autorizacin
11.8 Manejo de Errores en la Entrada de Datos
11.9 Integridad de Procesamiento de Datos
11.10 Validacin y Edicin de Procesamiento de
Datos
11.11 Manejo de Error en el Procesamiento de
Datos
11.12 Manejo y Retencin de Salida de Datos
11.13 Distribucin de Salida de Datos
11.14 Balanceo y Conciliacin de Datos de Salida
11.15 Revisin de Salida de Datos y Manejo de
Errores
11.16 Provisiones de Seguridad para Reportes
de Salida
11.17 Proteccin de Informacin Sensible durante transmisin y transporte
11.18 Proteccin de Informacin Crtica a ser
Desechada
11.19 Administracin de Almacenamiento
11.20 Perodos de Retencin y Trminos de Almacenamiento
11.21 Sistema de Administracin de la Librera
de Medios
11.22 Responsabilidades de la Administracin
de la Librera de Medios
11.23 Respaldo y Restauracin
11.24 Funciones de Respaldo
11.25 Almacenamiento de Respaldo
11.26 Archivo
11.27 Proteccin de Mensajes Sensitivos
11.28 Autenticacin e Integridad
11.29 Integridad de Transacciones Electrnicas
11.30 Integridad Continua de Datos Almacenados
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
13.0 Administracin de Operaciones

13.1 Manual de procedimientos de Operacin e
Instrucciones
13.2 Documentacin del Proceso de Inicio y de
Otras Operaciones
13.3 Calendarizacin de Trabajos
13.4 Salidas de la Calendarizacin de Trabajos
Estndar
13.5 Continuidad de Procesamiento
13.6 Bitcoras de Operacin
13.7 Operaciones Remotas
MONITOREO
1.0 Monitoreo del Proceso
1.1 Recoleccin de Datos de Monitoreo
1.2 Evaluacin de Desempeo
1.3 Evaluacin de la Satisfaccin de Clientes
1.4 Reportes Gerenciales
2.0
Evaluar lo adecuado del Control Interno

2.1 Monitoreo de Control Interno
2.2 Operacin oportuna del Control Interno
2.3 Reporte sobre el Nivel de Control Interno
2.4 Seguridad de operacin y aseguramiento de
Control Interno
3.0 Obtencin de Aseguramiento Independiente

3.1 Certificacin / Acreditacin Independiente
de Control y Seguridad de los servicios de
TI
3.2 Certificacin / Acreditacin Independiente
de Control y Seguridad de proveedores externos de servicios
3.3 Evaluacin Independiente de la Efectividad
de los Servicios de TI
3.4 Evaluacin Independiente de la Efectividad
de proveedores externos de servicios
3.5 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales
3.6 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulato-

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
rios y compromisos contractuales de proveedores externos de servicios

3.7 Competencia de la Funcin de Aseguramiento Independiente
3.8 Participacin Proactiva de Auditora
4.0 Proveer Auditora Independiente
4.1 Estatutos de Auditora
4.2 Independencia
4.3 Etica y Estndares Profesionales
4.4 Competencia
4.5 Planeacin
4.6 Desempeo del Trabajo de Auditora
4.7 Reporte
4.8 Actividades de Seguimiento
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
/262%-(7,926'(&21752/
En las pginas siguientes se individualizan objetivos de

control detallados para cada uno de los 34 procesos dentro
de una funcin de Tecnologa de Informacin.
En la pgina de la izquierda se encuentra el Objetivo de
Control de alto nivel duplicado del Marco de Referencia
para asegurar consistencia en todos los productos COBIT
y para facilitar el entendimiento.
El indicador de Dominio (PO para Planeacin y Organizacin, AI para Adquisicin e Implementacin, DS
para Entrega y Soporte y M para Monitoreo) se muestra
en la esquina superior derecha. El proceso es entonces descrito. Tambin se muestran los indicadores de importancia
primaria y secundaria. Adicionalmente, se lista la informacin descriptiva del Marco de Referencia. Y los recursos
de TI gastados son mostrados va un diagrama.
En la pgina de la derecha y en algunas ocasiones llevados
hasta las siguientes pginas, se encuentran los objetivos de
control detallados para cada proceso. Se muestra una descripcin de dicho objetivo de control detallado. Para mantener el formato de lados izquierdo y derecho se requieren
algunas pginas en blanco.
Se desarrollan objetivos de control detallados para cada
uno de los 34 procesos.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
OBJETIVOS DE CONTROL DE ALTO NIVEL

PLANEACION Y ORGANIZACION
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
co plim ad
nf ien
ia
b i to
lid
ad
PO1
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Control sobre el proceso de TI de:

Definicin de un plan Estratgico de Tecnologa de Informacin
Monitoreo
que satisface los requerimientos de negocio de:

Lograr un balance ptimo entre las oportunidades de tecnologa
de informacin y los requerimientos de TI de negocio, as como
para asegurar sus logros futuros.
se hace posible a travs de:
un proceso de planeacin estratgica emprendido en
intervalos regulares dando lugar a planes a largo plazo.
Los planes a largo plazo debern ser traducidos peridicamente en planes operacionales estableciendo metas
claras y concretas a corto plazo:
y toma en consideracin:
definicin de objetivos de negocio y necesidades de TI

inventario de soluciones tecnolgicas e
infraestructura actual
servicios de vigilancia tecnolgica21
cambios organizacionales
estudios de factibilidad oportunos
evaluacin de sistemas existentes
21
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
Vigilancia tecnolgica (technology watch)

%-(79,26'(&21752/
1.
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DEFINICIN DE UN PLAN ESTRATGICO DE TECNOLOGA DE INFORMACIN
1.4 Cambios al Plan a largo plazo de Tecnologa de Informacin

OBJETIVO DE CONTROL
1.1 Tecnologa de Informacin como parte del Plan de la

Organizacin a corto y largo plazo.
La Gerencia de la funcin de servicios de informacin

deber asegurar que se establezca un proceso para modificar oportunamente y con precisin el plan a largo
plazo de tecnologa de informacin con el fin de adaptar
los cambios al plan a largo plazo de la organizacin y
los cambios en las condiciones de la tecnologa de informacin.
OBJETIVO DE CONTROL
La alta gerencia ser la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la
misin y las metas de la organizacin. A este respecto,
la alta gerencia deber asegurar que los problemas de
tecnologa de informacin, as como las oportunidades,
sean evaluados adecuadamente y reflejados en los planes a largo y corto plazo de la organizacin.
1.5 Planeacin a corto plazo para la Funcin de Servicios

de Informacin
OBJETIVO DE CONTROL
1.2 Plan a largo plazo de Tecnologa de Informacin

OBJETIVO DE CONTROL

deber asegurar que el plan a largo plazo de tecnologa
de informacin sea traducido regularmente en planes a
corto plazo de tecnologa de informacin. Estos planes a
corto plazo debern asegurar que se asignen los recursos
apropiados de la funcin de servicios de tecnologa de
informacin con una base consistente con el plan a largo
plazo de tecnologa de informacin. Los planes a corto
plazo debern ser reevaluados y modificados peridicamente segn se considere necesario respondiendo a las
condiciones de cambios en el negocio y en la tecnologa
de informacin. La realizacin oportuna de estudios de
factibilidad deber asegurar que la ejecucin de los planes a corto plazo sea iniciada adecuadamente.

ser responsable de desarrollar regularmente planes a
largo plazo de tecnologa de informacin que apoyen el
logro de la misin y las metas generales de la organizacin.
De la misma manera, la Gerencia deber implementar
un proceso de planeacin a largo plazo, adoptar un enfoque estructurado y determinar la estructura para el
plan.
1.3
Plan a largo plazo de Tecnologa de Informacin Enfoque y Estructura

OBJETIVO DE CONTROL
1.6 Evaluacin de Sistemas Existentes

deber establecer y aplicar un enfoque estructurado al
proceso de planeacin a largo plazo. Esto deber traer
como resultado un plan de alta calidad que cubra las
preguntas bsicas de qu, quin y cundo. Los aspectos
que necesitan ser tomados en cuenta y ser cubiertos adecuadamente durante el proceso de planeacin son el
modelo de organizacin y sus cambios, la distribucin
geogrfica, la evolucin tecnolgica, los costos, los requerimientos legales y regulatorios, requerimientos de
terceras partes o del mercado, el horizonte de planeacin, reingeniera de procesos del negocio, la asignacin
de personal, la designacin de fuentes internas o externas, etc. El plan mismo deber hacer referencia a otros
planes tales como el plan de calidad de la organizacin y
el plan de manejo de riesgos de informacin.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
OBJETIVO DE CONTROL
En forma previa al desarrollo o modificacin del Plan
Estratgico de TI, la Gerencia de servicios de informacin debe evaluar los sistemas existentes en trminos
de: nivel de automatizacin de negocio, funcionalidad,
estabilidad, complejidad, costo y fortalezas y debilidades, con el propsito de determinar el nivel de soporte
que reciben los requerimientos del negocio de los sistemas existentes.

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

ef
ec
ti
ef vida
co icie d
nf
n
id cia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
PO2
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Definicin de la Arquitectura de Informacin
Monitoreo

organizar de la mejor manera los sistemas de informacin
la creacin y mantenimiento de un modelo de informacin de negocios y asegurando que se definan sistemas apropiados para optimizar la utilizacin de esta
informacin
documentacin
diccionario de datos
reglas de sintaxis de datos
propiedad de la informacin y clasificacin
de severidad22
g
ap ente
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
22
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

Severidad (criticality)
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DEFINICIN DE LA ARQUITECTURA DE
INFORMACIN
2.1 Modelo de la Arquitectura de Informacin

OBJETIVO DE CONTROL
La informacin deber conservar consistencia
con las necesidades y deber ser identificada,
capturada y comunicada en una forma y dentro
de perodos de tiempo que permitan a los responsables llevar a cabo sus tareas eficiente y oportunamente. Asimismo, la funcin de sistemas de
informacin deber crear y actualizar regularmente un modelo de arquitectura de informacin,
abarcando el modelo de datos corporativo y los
sistemas de informacin asociados. El modelo
de arquitectura de informacin deber conservar
consistencia con el plan a largo plazo de tecnologa de informacin.
2.2 Diccionario de Datos y Reglas de Sintaxis de
Datos de la Corporacin
OBJETIVO DE CONTROL
La funcin de servicios de informacin deber
asegurar la creacin y la continua actualizacin
de un diccionario de datos corporativo que incorpore las reglas de sintaxis de datos de la organizacin.
2.3 Esquema de Clasificacin de Datos
OBJETIVO DE CONTROL
Deber establecerse un marco de referencia de
clasificacin general relativo a la ubicacin de
datos en clases de informacin (por ejemplo, categoras de seguridad), as como a la asignacin
de propiedad. Las reglas de acceso para las clases debern definirse apropiadamente.
2.4 Niveles de Seguridad
OBJETIVO DE CONTROL
La Gerencia deber definir, implementar y mantener niveles de seguridad para cada una de las
clasificaciones de datos identificadas con un nivel superior al de "no requiere proteccin". Estos niveles de seguridad debern representar el
conjunto de medidas de seguridad y de control
apropiado (mnimo) para cada una de las clasificaciones.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

PO3
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
determinacin de la direccin tecnolgica

aprovechar la tecnologa disponible o tecnologa emergente
la creacin y mantenimiento de un plan de infraestructura tecnolgica
capacidad de adecuacin y evolucin de la

infraestructura actual
monitoreo de desarrollos tecnolgicos
contingencias
planes de adquisicin
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
P P
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DETERMINACIN DE LA DIRECCIN
TECNOLGICA
3.1 Planeacin de la Infraestructura Tecnolgica

OBJETIVO DE CONTROL
crear y actualizar regularmente un plan de infraestructura tecnolgica que concuerde con los
planes a largo y corto plazo de tecnologa de informacin. Dicho plan deber abarcar aspectos
tales como arquitectura de sistemas, direccin
tecnolgica y estrategias de migracin.
3.2 Monitoreo de Tendencias y Regulaciones
Futuras
OBJETIVO DE CONTROL
asegurar el continuo monitoreo de tendencias
futuras y condiciones regulatorias, de tal manera
que estos factores puedan ser tomados en consideracin durante el desarrollo y mantenimiento
del plan de infraestructura tecnolgica.
3.3 Contingencias en la Infraestructura
Tecnolgica
OBJETIVO DE CONTROL
El plan de infraestructura tecnolgica deber ser
evaluado sistemticamente en cuanto a aspectos
de contingencia (por ejemplo, redundancia, resistencia23, capacidad de adecuacin y evolucin de
la infraestructura).
3.4 Planes de Adquisicin de Hardware y
Software
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que los planes de adquisicin de hardware y software sean establecidos
y que reflejen las necesidades identificadas en el
plan de infraestructura tecnolgica.
3.5 Estndares de Tecnologa

OBJETIVO DE CONTROL
Tomando como base el plan de infraestructura
tecnolgica, la Gerencia deber definir normas
de tecnologa con la finalidad de fomentar la estandarizacin.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
23

Resistencia (resilience): ndice de resistencia al choque de

un material
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

PO4
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te lid
di gri ad
sp da
o
d
cu nib
i
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
definicin de la organizacin y de las relaciones de TI

prestacin de servicios de TI
una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas
comit de direccin
responsabilidades a nivel de alta gerencia o
del consejo
propiedad, custodia
supervisin
segregacin de funciones
roles y responsabilidades
descripcin de puestos
niveles de asignacin de personal
personal clave
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
cuentemente, debern organizarse y emprenderse
campaas regulares para aumentar la conciencia
y la disciplina.
DEFINICIN DE LA ORGANIZACIN Y
DE LAS RELACIONES DE TI
4.1 Comit de planeacin o direccin de la funcin

de servicios de informacin
4.5 Responsabilidad del aseguramiento de la calidad
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La alta gerencia de la organizacin deber designar un comit de planeacin o direccin para vigilar la funcin de servicios de informacin y sus
actividades. Entre los miembros del comit debern encontrarse representantes de la alta gerencia,
de la gerencia usuaria y de la funcin de servicios
de informacin. El comit deber reunirse regularmente y reportar a la alta gerencia.
La Gerencia deber asignar la responsabilidad de

la ejecucin de la funcin de aseguramiento de
calidad a miembros del personal de la funcin de
servicios de informacin y asegurar que existan
sistemas de aseguramiento de calidad apropiados, controles y experiencia en comunicacin
dentro del grupo de aseguramiento de calidad de
la funcin de servicios de informacin. La ubicacin de la funcin dentro del rea de servicios de
informacin, las responsabilidades y el tamao
del grupo de aseguramiento de calidad debern
satisfacer los requerimientos de la empresa.
4.2 Ubicacin de los servicios de informacin en la

organizacin
OBJETIVO DE CONTROL
Al ubicar la funcin de servicios de informacin
en la estructura organizacional general, la alta
gerencia deber asegurar la existencia de autoridad, actitud crtica e independencia por parte del
departamento usuario con un grado tal que sea
posible garantizar soluciones de tecnologa de
informacin efectivas y progreso suficiente al
implementarlas, as como establecer una relacin
de sociedad con la alta Gerencia para incrementar la capacidad de previsin, la comprensin y
las habilidades para identificar y resolver problemas de tecnologa de informacin.
4.6 Responsabilidad de la Seguridad Lgica y Fsica

OBJETIVO DE CONTROL
La Gerencia deber asignar formalmente la responsabilidad de la seguridad lgica y fsica de
los activos de informacin de la organizacin a
un Gerente de seguridad de la informacin, quien
reportar a la alta gerencia. Como mnimo, la
responsabilidad de la Gerencia de seguridad deber establecerse a todos los niveles de la organizacin para manejar los problemas generales de
seguridad en la organizacin. En caso necesario,
debern asignarse responsabilidades gerenciales
de seguridad adicionales a niveles especficos
con el fin de resolver los problemas de seguridad
relacionados con ellos.
4.3 Revisin de Logros Organizacionales

OBJETIVO DE CONTROL
Deber establecerse un marco de referencia con
el propsito de revisar que la estructura organizacional cumpla continuamente con los objetivos y
se adapte a las cambiantes circunstancias.
4.7 Propiedad y Custodia

OBJETIVO DE CONTROL
4.4 Funciones y Responsabilidades
La Gerencia deber crear una estructura para designar formalmente a los propietarios y custodios
de los datos. Sus funciones y responsabilidades
debern estar claramente definidas.
OBJETIVO DE CONTROL
La Gerencia deber asegurar que todo el personal
en la organizacin conozca sus funciones y responsabilidades en relacin con los sistemas de
informacin. Todo el personal deber contar con
la autoridad suficiente para llevar a cabo las funciones y responsabilidades que le hayan sido
asignadas. Todos debern estar conscientes de
que tienen una cierta responsabilidad con respecto a la seguridad y al control interno. Conse1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
4.8 Propiedad de Datos y Sistemas

OBJETIVO DE CONTROL
La Gerencia deber asegurar que todos los activos de informacin (sistemas y datos) cuenten
con un propietario asignado que tome decisiones

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
sobre la clasificacin y los derechos de acceso.

Los propietarios del sistema normalmente delegarn la custodia diaria al grupo de liberacin/
operacin de sistemas y las responsabilidades de
seguridad a un administrador de la seguridad.
Los Propietarios, sin embargo, permanecern
como responsables del mantenimiento de medidas de seguridad apropiadas.
4.9
ciente de personal competente de tecnologa de

informacin. Los requerimientos de asignacin
de personal debern ser evaluados por lo menos
anualmente o al presentarse cambios mayores en
el negocio, en el ambiente operacional o de tecnologa de informacin. Deber actuarse oportunamente tomando como base los resultados de
las evaluaciones para asegurar una asignacin de
personal adecuada en el presente y en el futuro.
Supervisin
4.12 Descripcin de Puestos para el Personal de la

Funcin de Servicios de Informacin
OBJETIVO DE CONTROL
La alta gerencia deber implementar prcticas de
supervisin adecuadas en la organizacin de servicios de informacin para asegurar que las funciones y responsabilidades sean llevadas a cabo
apropiadamente, para evaluar si todo el personal
cuenta con suficiente autoridad y recursos para
llevar a cabo sus tareas y responsabilidades, y
para revisar de manera general los indicadores
clave de desempeo.
OBJETIVO DE CONTROL
La Gerencia deber asegurar que las descripciones de los puestos para el personal de la funcin
de servicios de informacin sean establecidos y
actualizados regularmente. Estas descripciones
de puestos debern delinear claramente tanto la
responsabilidad como la autoridad, incluir las
definiciones de las habilidades y la experiencia
necesarias para el puesto, y ser adecuadas para su
utilizacin en evaluaciones de desempeo.
4.10 Segregacin de Funciones

OBJETIVO DE CONTROL
4.13 Personal Clave de TI
La alta gerencia deber implementar una divisin

de funciones y responsabilidades que excluya la
posibilidad de que un solo individuo resuelva un
proceso crtico. La Gerencia deber asegurar
tambin que el personal lleve a cabo nicamente
aquellas tareas estipuladas para sus respectivos
puestos. En particular, deber mantenerse una
segregacin de funciones entre las siguientes
funciones:
l
l
l
l
l
l
l
l
l
OBJETIVO DE CONTROL
La Gerencia deber definir e identificar al personal clave de tecnologa de informacin.
4.14 Procedimientos para personal por contrato
OBJETIVO DE CONTROL
La Gerencia deber definir e implementar procedimientos relevantes para controlar las actividades de consultores y dems personal externo contratado por la funcin de servicios de informacin para asegurar la proteccin de los activos de
informacin de la organizacin.
uso de sistemas de informacin;

entrada de datos;
operacin de cmputo;
administracin de redes;
administracin de sistemas;
desarrollo y mantenimiento de sistemas
administracin de cambios
administracin de seguridad; y
auditora de seguridad
4.15 Relaciones
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber llevar a cabo las acciones necesarias para establecer y mantener una coordinacin,
una comunicacin y un enlace ptimos entre la
funcin de servicios de informacin y dems elementos interesados dentro y fuera de la funcin
de servicios de informacin (usuarios, proveedores, oficiales de seguridad, Gerentes).
4.11 Asignacin de Personal para Tecnologa de

Informacin
OBJETIVO DE CONTROL
Las evaluaciones de los requerimientos de asignacin de personal debern llevarse a cabo regularmente para asegurar que la funcin de servicios de informacin cuente con un nmero sufi1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

PO5
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
Manejo de la inversin
asegurar el financiamiento y el control de desembolsos de recursos financieros
presupuestos peridicos sobre inversiones y operacin
establecidos y aprobados por el negocio
alternativas de financiamiento
control del gasto real
justificacin de costos
justificacin del beneficio
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
P P P P
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
MANEJO DE LA INVERSIN EN TECNOLOGA DE INFORMACIN
5.1 Presupuesto Operativo Anual para la Funcin de

Servicios de Informacin
OBJETIVO DE CONTROL
La alta gerencia deber implementar un proceso de
definicin de presupuestos para asegurar que un presupuesto operativo anual para la funcin de Servicios
de Informacin sea establecido y aprobado en lnea
con los planes a largo y corto plazo de la organizacin, as como con los planes a largo y corto plazo de
tecnologa de informacin. Debern investigarse
alternativas de financiamiento.
5.2 Monitoreo de Costo - Beneficios
OBJETIVO DE CONTROL
La Gerencia deber establecer un proceso de monitoreo de costos que compare los costos reales contra
los presupuestados. Aun ms, los posibles beneficios derivados de la actividad de tecnologa de informacin debern ser identificados y reportados. En
cuanto al monitoreo de costos, la fuente de las cifras
reales deber tomar como base el sistema de contabilidad de la organizacin, mismo que deber registrar,
procesar y reportar rutinariamente los costos asociados con las actividades de la funcin de servicios de
informacin. Por lo que toca a monitoreo de beneficios, se debern definir indicadores de medicin de
desempeo de alto nivel y ser reportados y revisados
regularmente para asegurar su adecuacin.
5.3 Justificacin de Costo - Beneficio
OBJETIVO DE CONTROL
Deber establecerse un control gerencial que garantice que la prestacin de servicios por parte de la funcin de servicios de informacin se justifique en
cuanto a costos y se encuentre en lnea con la industria. Los beneficios derivados de las actividades de
tecnologa de informacin debern ser analizados en
forma similar.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

PO6
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
comunicacin de la direccin y aspiraciones de la gerencia

asegurar el conocimiento y comprensin del usuario sobre dichas aspiraciones
polticas establecidas y transmitidas a la comunidad de
usuarios; adems, se necesita estndares para traducir
las opciones estratgicas en reglas de usuario prcticas
y utilizables
cdigo de tica / conducta
directrices tecnolgicas
cumplimiento
compromiso con la calidad
polticas de seguridad
polticas de control interno
P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
para adecuarse a las condiciones cambiantes.
Las polticas debern ser reevaluadas, por lo menos anualmente o al momento de presentarse
cambios significativos en el ambiente operacional o del negocio, para evaluar que sean convenientes y apropiadas y debern ser modificadas
en caso necesario. La Gerencia deber proporcionar un marco de referencia y un proceso para
las revisiones peridicas y la aprobacin de estndares, polticas, directrices y procedimientos.
COMUNICACIN DE LA DIRECCIN Y
ASPIRACIONES DE LA GERENCIA
6.1 Ambiente Positivo de Control de la Informacin

OBJETIVO DE CONTROL
La Gerencia deber crear un marco de referencia
y un programa de previsin que fomente un ambiente de control positivo a travs de toda la organizacin al aplicar elementos tales como: integridad, valores ticos, competencia del empleado, filosofa y estilo operativo de la Gerencia,
responsabilidad, atencin y direccin proporcionadas por el Consejo Directivo. Deber ponerse
especial atencin a los aspectos relacionados con
tecnologa de informacin.
6.6 Cumplimiento de Polticas, Procedimientos y

Estndares
OBJETIVO DE CONTROL
La Gerencia deber asegurar que se establezcan
procedimientos apropiados para determinar si el
personal comprende los procedimientos y polticas implementados, y que ste cumple con dichas polticas y procedimientos. El cumplimiento de las reglas de tica, seguridad y estndares
de control interno deber ser establecido por la
Alta Gerencia y promoverse a travs del ejemplo.
6.2 Responsabilidad de la Gerencia en cuanto a

Polticas
OBJETIVO DE CONTROL
La Gerencia deber asumir la responsabilidad
completa de la formulacin, el desarrollo, la documentacin, la promulgacin y el control de
polticas que cubran metas y directrices generales. Debern llevarse a cabo revisiones regulares
de las polticas para asegurar su conveniencia. La
complejidad de las polticas y los procedimientos
escritos debern estar siempre en proporcin con
el tamao de la organizacin y el estilo gerencial.
6.7 Compromiso con la Calidad

OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber definir, documentar y mantener
una filosofa de calidad, as como polticas y objetivos que sean consistentes con la filosofa y
las polticas de la corporacin a este respecto.
La filosofa de calidad, las polticas y los objetivos debern ser comprendidos, implementados y
mantenidos a todos los niveles de la funcin de
servicios de informacin.
6.3 Comunicacin de las Polticas de la Organizacin

OBJETIVO DE CONTROL
La Gerencia deber asegurar que las polticas
organizacionales sean comunicadas y comprendidas por todos los niveles de la organizacin.
6.8 Poltica sobre el Marco de Referencia para la

Seguridad y el Control Interno
6.4 Recursos para la implementacin de Polticas
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber asumir la responsabilidad

total del desarrollo y mantenimiento de una poltica sobre el marco de referencia, que establezca
el enfoque general de la organizacin en cuanto a
seguridad y control interno. La poltica deber
cumplir con los objetivos generales del negocio y
estar dirigida a la minimizacin de riesgos a travs de medidas preventivas, identificacin oportuna de irregularidades, limitacin de prdidas y
recuperacin oportuna. Estas medidas debern
basarse en anlisis costo-beneficio y deber prio-
Posterior a la comunicacin, la Gerencia deber

destinar recursos para la implementacin de sus
polticas. La Gerencia deber tambin monitorear la duracin de la implementacin de sus
polticas.
6.5 Mantenimiento de Polticas
OBJETIVO DE CONTROL
Las polticas debern ser ajustadas regularmente
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
rizarse. Adems, la alta gerencia deber asegurar

que esta poltica de seguridad de alto nivel y de
control interno especifique el propsito y los objetivos, la estructura gerencial, el alcance dentro
de la organizacin, la definicin y asignacin de
responsabilidades para su implementacin a todos los niveles y la definicin de multas y de acciones disciplinarias asociadas con la falta de
cumplimiento con las polticas de seguridad y
control interno.
6.9 Derechos de propiedad intelectual

OBJETIVO DE CONTROL
La gerencia deber proveer e implementar una
poltica por escrito sobre derechos de propiedad
intelectual, que cubra el desarrollo de software,
tanto interno como contratado a externos.
6.10 Polticas para Situaciones Especficas
OBJETIVO DE CONTROL
Debern ponerse en prctica medidas que aseguren el establecimiento de polticas para situaciones especficas con el fin de documentar las decisiones gerenciales con respecto al tratamiento de
actividades, aplicaciones, sistemas o tecnologas
particulares.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

PO7
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
administracin de recursos humanos

maximizar las contribuciones del personal a los procesos de TI
tcnicas slidas para administracin de personal
reclutamiento y promocin
requerimientos de calificaciones
capacitacin
desarrollo de conciencia
entrenamiento cruzado
procedimientos de acreditacin
evaluacin objetiva y medible del desempeo
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
7.5 Procedimientos de Acreditacin24 de Personal
ADMINISTRACIN DE RECURSOS HUMANOS
OBJETIVO DE CONTROL
7.1 Reclutamiento y Promocin de Personal
La Gerencia de la funcin de servicios de informacin deber asegurar que su personal se sujete a una
revisin o acreditacin de seguridad antes de ser contratado, transferido o promovido, dependiendo de lo
delicado o sensible del puesto. Un empleado que no
haya pasado por este procedimiento de revisin o
acreditacin al ser contratado por primera vez, no
deber ser colocado en un puesto delicado hasta que
ste haya obtenido la acreditacin de seguridad.
OBJETIVO DE CONTROL
La Gerencia deber implementar y evaluar regularmente los procesos necesarios para asegurar que las
prcticas de reclutamiento y promocin de personal
tengan como base criterios objetivos y consideren
factores como la educacin, la experiencia y la responsabilidad. Estos procesos debern estar en lnea
con las polticas y procedimientos generales de la
organizacin a este respecto.
7.6 Evaluacin de Desempeo de los Empleados

OBJETIVO DE CONTROL
7.2 Personal Calificado
La Gerencia deber implementar un proceso de evaluacin de desempeo de los empleados y asegurar

que dicha evaluacin sea llevada a cabo regularmente segn los estndares establecidos y las responsabilidades especficas del puesto. Los empleados debern recibir asesora sobre su desempeo o su conducta cuando esto sea apropiado.
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber verificar regularmente que el personal
que lleva a cabo tareas especficas est calificado
tomando como base una educacin, entrenamiento y/
o experiencia apropiados, segn se requiera. La Gerencia deber alentar al personal para que participe
como miembro, en organizaciones profesionales.
7.7 Cambios de Puesto y Despidos

OBJETIVO DE CONTROL
7.3 Entrenamiento de Personal
La Gerencia deber asegurar que se tomen acciones

oportunas y apropiadas con respecto a cambios de
puesto y despidos, de tal manera que los controles
internos y la seguridad no se vean perjudicados por
estos eventos.
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los empleados reciban orientacin al ser contratados, as como entrenamiento y capacitacin constantes con la finalidad de
conservar los conocimientos, habilidades, destrezas y
conciencia de seguridad al nivel requerido, para la
ejecucin efectiva de sus tareas. Los programas de
educacin y entrenamiento dirigidos a incrementar
los niveles de habilidad tcnica y administrativa del
personal debern ser revisados regularmente.
7.4 Entrenamiento Cruzado o Respaldo de personal
OBJETIVO DE CONTROL
La Gerencia deber proporcionar un entrenamiento
cruzado o contar con suficiente personal de respaldo con la finalidad de solucionar posibles ausencias.
El personal encargado de puestos delicados deber
tomar vacaciones ininterrumpidas con una duracin
suficiente como para probar la habilidad de la organizacin para manejar casos de ausencia y detectar
actividades fraudulentas.

$FUHGLWDFLyQFOHDUDQFH
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

PO8
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te lid
di gri ad
sp da
o
d
cu nib
i
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
aseguramiento del cumplimiento de requerimientos externos

cumplir con obligaciones legales, regulatorias y contractuales
la identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, y llevando a cabo
las medidas apropiadas para cumplir con ellos
leyes, regulaciones, contratos

monitoreo de evoluciones legales y regulatorios
revisiones regulares en cuanto a cambios
bsqueda de asistencia legal y modificaciones
seguridad y ergonoma
privacidad
propiedad intelectual
flujo de datos
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
8.5 Comercio Electrnico
ASEGURAMIENTO DE CUMPLIMIENTO
DE REQUERIMIENTOS EXTERNOS
OBJETIVO DE CONTROL
8.1 Revisin de Requerimientos Externos
La Gerencia deber asegurar que se establezcan

contratos formales para determinar acuerdos entre socios comerciales sobre procesos de comunicacin, as como sobre estndares de mensajes
de transaccin, seguridad y almacenamiento de
datos. Cuando se realicen operaciones de intercambio en Internet, la gerencia deber imponer
adecuados controles para asegurar el cumplimiento de leyes locales y costumbres en un mbito mundial.
OBJETIVO DE CONTROL
La organizacin deber establecer y mantener
procedimientos para la revisin de requerimientos externos y para la coordinacin de estas actividades. La investigacin continua deber determinar los requerimientos externos aplicables en
la organizacin. Debern revisarse los requerimientos legales, gubernamentales o cualquier
otro requerimiento externo relacionado con las
prcticas y controles de tecnologa de informacin. La Gerencia deber tambin evaluar el impacto de cualquier relacin externa en las necesidades generales de informacin de la organizacin, incluyendo la determinacin del grado al
cual las estrategias de la funcin de servicios de
informacin deben soportar o cumplir con los
requerimientos de terceros.
8.6 Cumplimiento con los Contratos de Seguros

OBJETIVO DE CONTROL
La Gerencia deber asegurar la identificacin y
el continuo cumplimiento de los requerimientos
de los contratos de seguros.
8.2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos

OBJETIVO DE CONTROL
Las prcticas organizacionales debern asegurar
que se lleven a cabo oportunamente las acciones
correctivas apropiadas para garantizar el cumplimiento de los requerimientos externos. Adems,
debern establecerse y mantenerse procedimientos adecuados que aseguren el cumplimiento continuo. A este respecto la Gerencia deber solicitar apoyo legal en caso necesario.
8.3 Cumplimiento de Seguridad y Ergonoma
OBJETIVO DE CONTROL
La Gerencia deber asegurar el cumplimiento de
los estndares ergonmicos y de seguridad en el
ambiente de trabajo de los usuarios y el personal
de la funcin de servicios de informacin.
8.4 Privacidad, propiedad intelectual y flujos de
datos y Flujo de Datos
OBJETIVO DE CONTROL
La Gerencia deber asegurar el cumplimiento de
las regulaciones sobre privacidad o confidencialidad, propiedad intelectual, flujo de datos externos25 y criptografa aplicables a las prcticas de
tecnologa de informacin de la organizacin.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

([WHUQRVWUDQVERUGHU

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

PO9
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
evaluacin de riesgos
asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de servicios de TI
la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto,
tomando medidas econmicas para mitigar los riesgos
diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de seguridad, de continuidad, regulatorios, etc.)
alcance: global o de sistemas especficos
actualizacin de evaluacin de riegos
metodologa de evaluacin de riesgos
medicin de riesgos cualitativos y/o cuantitativos
plan de accin de riesgos
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
EVALUACIN
DE
9.5 Plan de Accin contra Riesgos
RIESGOS
OBJETIVO DE CONTROL
9.1 Evaluacin de Riesgos del Negocio
El enfoque de evaluacin de riesgos deber proporcionar la definicin de un plan de accin contra riesgos para asegurar que existan controles y
medidas de seguridad econmicas que mitiguen
los riesgos en forma continua.
OBJETIVO DE CONTROL
La Gerencia deber establecer un marco de referencia de evaluacin sistemtica de riesgos. Este
marco de referencia deber incorporar una evaluacin regular de los riesgos de informacin
relevantes para el logro de los objetivos del negocio, formando una base para determinar la manera en la que los riesgos deben ser manejados a
un nivel aceptable. El proceso deber proporcionar evaluaciones de riesgos tanto a un nivel global como a niveles especficos del sistema (para
nuevos proyectos y para casos recurrentes) y deber asegurar actualizaciones regulares a la informacin sobre evaluacin de riesgos utilizando
los resultados de auditoras, inspecciones e incidentes identificados.
9.6 Aceptacin de Riesgos

OBJETIVO DE CONTROL
El enfoque de la evaluacin de riesgos deber
asegurar la aceptacin formal del riesgo residual,
dependiendo de la identificacin y la medicin
del riesgo, de la poltica organizacional, de la
incertidumbre incorporada al enfoque de evaluacin de riesgos y de qu tan econmico resulte
implementar protecciones y controles. El riesgo
residual deber compensarse con una cobertura
de seguro adecuada.
9.2 Enfoque de Evaluacin de Riesgos

OBJETIVO DE CONTROL
La Gerencia deber establecer un enfoque general para la evaluacin de riesgos que defina el
alcance y los lmites, la metodologa a ser adoptada para las evaluaciones de riesgos, las responsabilidades y las habilidades requeridas. La calidad de las evaluaciones de riesgos deber estar
asegurada por un mtodo estructurado y por asesores expertos en riesgos.
9.3
Identificacin de Riesgos
OBJETIVO DE CONTROL
La evaluacin de riesgos deber enfocarse al
examen de los elementos esenciales de riesgo,
tales como activos, amenazas, elementos vulnerables, protecciones, consecuencias y probabilidad de amenaza.
9.4 Medicin de Riesgos

OBJETIVO DE CONTROL
El enfoque de la evaluacin de riesgos deber
asegurar que el anlisis de la informacin de
identificacin de riesgos genere como resultado
una medida cuantitativa y/o cualitativa del riesgo
al cual est expuesta el rea examinada. Asimismo, deber evaluarse la capacidad de aceptacin
de riesgos de la organizacin.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

PO10
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
administracin de proyectos
establecer prioridades y entregar servicios oportunamente y de
acuerdo al presupuesto de inversin
identificacin y priorizacin de los proyectos en lnea
con el plan operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y
aplicar slidas tcnicas de administracin de proyectos
para cada proyecto emprendido
la propiedad de los proyectos

el involucramiento de los usuarios
la estructuracin jerrquica de tareas y los
puntos de revisin
asignacin de responsabilidades
aprobacin de fases y proyecto
presupuestos de costos y horas hombre
planes y metodologa de aseguramiento de
calidad
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
para cada proyecto propuesto, la alta gerencia de
la organizacin revise los reportes de los estudios
de factibilidad relevantes como una base para
fundamentar la decisin de proceder con el proyecto.
10 ADMINISTRACIN DE PROYECTOS
10.1 Marco de Referencia para la Administracin
de Proyectos
OBJETIVO DE CONTROL
10.6 Aprobacin de las Fases del Proyecto
La Gerencia deber establecer un marco de referencia general para la administracin de proyectos que defina el alcance y los lmites del mismo,
as como la metodologa de administracin de
proyectos a ser adoptada y aplicada para cada
proyecto emprendido. La metodologa deber
cubrir, como mnimo, la asignacin de responsabilidades, la determinacin de tareas, la realizacin de presupuestos de tiempo y recursos, los
avances, los puntos de revisin y las aprobaciones.
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber disponer que
los Gerentes designados para las funciones del
usuario y de los servicios de informacin aprueben el trabajo realizado en cada fase del ciclo
antes de iniciar los trabajos de la siguiente fase.
10.7 Plan Maestro del Proyecto
OBJETIVO DE CONTROL
10.2 Participacin del Departamento Usuario en la

Iniciacin de Proyectos
La Gerencia deber asegurar que, para cada proyecto aprobado, se cree un plan maestro adecuado que mantenga el control del proyecto a travs
de todo su desarrollo e incluya un mtodo de monitoreo del tiempo y los costos incurridos durante
su vida.
OBJETIVO DE CONTROL
El marco de referencia de la administracin de
proyectos de la organizacin deber fomentar la
participacin del departamento usuario afectado
en la definicin y autorizacin de cualquier proyecto de desarrollo, implementacin o modificacin.
10.8 Plan de Aseguramiento de la Calidad de Sistemas

OBJETIVO DE CONTROL
10.3 Miembros y Responsabilidades del Equipo del

Proyecto
La Gerencia deber asegurar que la implementacin de un sistema nuevo o modificado incluya

la preparacin de un plan de calidad que sea integrado posteriormente al plan maestro del proyecto y que sea formalmente revisado y acordado
por todas las partes interesadas.
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber especificar las
bases para asignar a los miembros del personal al
proyecto y definir las responsabilidades y autoridades de los miembros del equipo del proyecto.
10.9 Planeacin de Mtodos de Aseguramiento

OBJETIVO DE CONTROL
10.4 Definicin del Proyecto
Las tareas de aseguramiento debern ser definidas durante la fase de planeacin del marco de
referencia de administracin de proyectos. Las
tareas de aseguramiento debern apoyar la acreditacin de sistemas nuevos o modificados y garantizar que los controles internos y los dispositivos de seguridad cumplan con los requerimientos necesarios.
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber generar la creacin de un estatuto claro por escrito que defina la
naturaleza y el alcance de cada proyecto de implementacin antes de que los trabajos del mismo sean iniciados.
10.5 Aprobacin del Proyecto
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber asegurar que,
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
10.10 Administracin Formal de Riesgos de Proyectos

OBJETIVO DE CONTROL
La Gerencia deber implementar un programa de
administracin formal de riesgos de proyectos
para eliminar o minimizar los riesgos asociados
con proyectos individuales (por ejemplo, identificacin y control de reas o eventos que tengan
el potencial de causar cambios no deseados).
10.11 Plan de Prueba
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber requerir la creacin de un plan de pruebas para cada proyecto de
desarrollo, implementacin y modificacin.
10.12 Plan de Entrenamiento
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber requerir la creacin de un plan de entrenamiento para cada proyecto de desarrollo, implementacin y modificacin.
10.13 Plan de Revisin Post - Implementacin
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber disponer que,
como parte integral de las actividades del equipo
del proyecto, se desarrolle un plan de revisin
post - implementacin para cada sistema de informacin nuevo o modificado, con la finalidad
de determinar si el proyecto ha generado los beneficios planeados.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

PO11
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
Administracin de calidad
satisfacer los requerimientos del cliente
la planeacin, implementacin y mantenimiento de
estndares y sistemas de administracin de calidad por
parte de la organizacin
estructura del plan de calidad

responsabilidades de aseguramiento de la
calidad
metodologa del ciclo de vida de desarrollo
de sistemas
pruebas y documentacin de sistemas y
programas
revisiones y reporte de aseguramiento de
calidad
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
macin y adoptar una metodologa del ciclo de
vida de desarrollo de sistemas que rija el proceso
de desarrollo, adquisicin, implementacin y
mantenimiento de sistemas de informacin computarizados y tecnologa afn. La metodologa
del ciclo de vida de desarrollo de sistemas elegida deber ser la apropiada para los sistemas a ser
desarrollados, adquiridos, implementados y mantenidos.
11 ADMINISTRACIN DE CALIDAD
11.1 Plan General de Calidad
OBJETIVO DE CONTROL
La alta gerencia deber desarrollar y mantener
regularmente un plan general de calidad basado
en los planes organizacionales y de tecnologa de
informacin a largo plazo. El plan deber promover la filosofa de mejora continua y contestar
a las preguntas bsicas de qu, quin y cmo.
11.6 Metodologa del Ciclo de Vida de Desarrollo

de Sistemas para Cambios Mayores a la Tecnologa Actual
11.2 Enfoque de Aseguramiento de Calidad

OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber establecer un enfoque estndar con respecto al aseguramiento de calidad,

que cubra tanto las actividades de aseguramiento
de calidad generales como las especficas de un
proyecto. El enfoque deber determinar el (los)
tipo(s) de actividades de aseguramiento de calidad (tales como revisiones, auditoras, inspecciones, etc.) que deben realizarse para alcanzar los
objetivos del plan general de calidad. Asimismo
deber requerir una revisin especfica de aseguramiento de calidad.
En el caso de requerirse cambios mayores a la

tecnologa actual, la Gerencia deber asegurar el
cumplimiento de la metodologa del ciclo de vida
de desarrollo de sistemas, como en el caso de adquisicin de nueva tecnologa.
11.7 Actualizacin de la Metodologa del Ciclo de
Vida de Desarrollo de Sistemas
OBJETIVO DE CONTROL
La alta gerencia deber implementar una revisin
peridica de su metodologa del ciclo de vida de
desarrollo de sistemas para asegurar que incluya
tcnicas y procedimientos actuales generalmente
aceptados.
11.3 Planeacin del Aseguramiento de Calidad

OBJETIVO DE CONTROL
La Gerencia deber implementar un proceso de
planeacin de aseguramiento de calidad para determinar el alcance y la duracin de las actividades de aseguramiento de calidad.
11.8 Coordinacin y Comunicacin

OBJETIVO DE CONTROL
La Gerencia deber establecer un proceso para
asegurar la coordinacin y comunicacin estrecha entre los clientes de la funcin de servicios
de informacin y los implementadores de sistemas. Este proceso deber ocasionar que los mtodos estructurados que utilicen la metodologa
del ciclo de vida de desarrollo de sistemas aseguren la provisin de soluciones de tecnologa de
informacin de calidad que satisfagan las demandas de negocio. La Gerencia deber promover
una organizacin que se caracterice por la estrecha cooperacin y comunicacin a lo largo del
ciclo de vida de desarrollo de sistemas.
11.4 Revisin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares y Procedimientos de la Funcin de Servicios de Informacin
OBJETIVO DE CONTROL
La Gerencia deber asegurar que las responsabilidades asignadas al personal de aseguramiento de
calidad incluyan una revisin del cumplimiento
general de los estndares y procedimientos de la
funcin de servicios de informacin.
11.5 Metodologa del Ciclo de Vida de Desarrollo
de Sistemas
OBJETIVO DE CONTROL
La alta gerencia de la organizacin deber definir
e implementar estndares de sistemas de infor1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
cada proyecto de desarrollo o modificacin de
sistemas de informacin.
11.9 Marco de Referencia de Adquisicin y Mantenimiento para la Infraestructura de

Tecnologa
11.13 Estndares para Pruebas de Sistemas
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Deber establecerse un marco de referencia general referente a la adquisicin y mantenimiento

de la infraestructura de tecnologa. Los diferentes pasos que deben ser seguidos con respecto a
la infraestructura de tecnologa (tales como adquisicin; programacin, documentacin y
pruebas; establecimiento de parmetros; mantenimiento y aplicacin de correcciones) debern
estar regidos por y mantenerse en lnea con el
marco de referencia para la adquisicin y mantenimiento de la infraestructura de tecnologa.
La metodologa del ciclo de vida de desarrollo

de sistemas de la organizacin debe proporcionar estndares que cubran los requerimientos de
pruebas, verificacin, documentacin y retencin para probar el sistema total, como parte de
11.14 Pruebas Piloto/En Paralelo
OBJETIVO DE CONTROL
de sistemas de la organizacin debe definir las
condiciones bajo las cuales debern conducirse
las pruebas piloto o en paralelo de sistemas nuevos y/o actuales.
11.10 Relaciones con Terceras Partes como Implementadores

OBJETIVO DE CONTROL
La Gerencia deber implementar un proceso
para asegurar las buenas relaciones de trabajo
con terceras partes como implementadores externos. Dicho proceso deber disponer que el
usuario y el implementador estn de acuerdo
sobre los criterios de aceptacin, el manejo de
cambios, los problemas durante el desarrollo,
las funciones de los usuarios, las instalaciones,
las herramientas, el software, los estndares y
los procedimientos.
11.15 Documentacin de las Pruebas del Sistema

OBJETIVO DE CONTROL
de sistemas de la organizacin debe disponer,
como parte de cualquier proyecto de desarrollo,
implementacin o modificacin de sistemas de
informacin, que se conserve la documentacin
de los resultados de las pruebas del sistema.
11.11 Estndares para la Documentacin de Programas

OBJETIVO DE CONTROL
11.16 Evaluacin del Aseguramiento de la Calidad

sobre el Cumplimiento de Estndares de Desarrollo

de sistemas deber incorporar estndares para la
documentacin de programas que hayan sido
impuestos y comunicados al personal interesado. La metodologa deber asegurar que la documentacin creada durante el desarrollo del
sistema de informacin o de los proyectos de
modificacin coincida con estos estndares.
OBJETIVO DE CONTROL
El enfoque de aseguramiento de calidad de la
organizacin deber requerir que una revisin
post - implementacin de un sistema de informacin operacional evale si el equipo encargado del proyecto, cumpli con las estipulaciones
de la metodologa del ciclo de vida de desarrollo de sistemas.
11.12 Estndares para Pruebas de Programas

OBJETIVO DE CONTROL
de sistemas de la organizacin debe proporcionar estndares que cubran los requerimientos de
pruebas, verificacin, documentacin y retencin para probar las unidades de software y los
programas agregados26, creados como parte de
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
26

Agregados (aggredgated)
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
11.17 Revisin del Aseguramiento de Calidad sobre

el Logro de los Objetivos de la Funcin de
Servicios de Informacin
OBJETIVO DE CONTROL
El enfoque de aseguramiento de calidad deber
incluir una revisin de hasta qu punto los sistemas particulares y las actividades de desarrollo de aplicaciones han alcanzado los objetivos
de la funcin de servicios de informacin.
11.18 Mtricas de calidad
OBJETIVO DE CONTROL
La gerencia deber definir y utilizar mtricas
para medir los resultados de actividades, evaluando si las metas de calidad han sido alcanzadas.
11.19 Reportes de Revisiones de Aseguramiento de
Calidad
OBJETIVO DE CONTROL
Los reportes de revisiones de aseguramiento de
calidad debern ser preparados y enviados a la
Gerencia de los departamentos usuarios y de la
funcin de servicios de informacin.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

ADQUISICION E IMPLEMENTACION
AI1
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
co plim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
Identificacin de soluciones
asegurar el mejor enfoque para cumplir con los requerimientos
del usuario
un anlisis claro de las oportunidades alternativas
comparadas contra los requerimientos de los usuarios
definicin de requerimientos de informacin

estudios de factibilidad ( de costobeneficio, alternativas, etc)
arquitectura de informacin
seguridad con relacin de costo-beneficio
favorable
pistas de auditora
contratacin de terceros
aceptacin de instalaciones y tecnologa
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
IDENTIFICACIN
DE
examen de factibilidad tecnolgica de cada alternativa con la finalidad de satisfacer los requerimientos de negocio establecidos para el desarrollo de un proyecto propuesto de cualquier sistema nuevo o modificado.
SOLUCIONES
1.1 Definicin de Requerimientos de Informacin

OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe asegurar que
los requerimientos del negocio ya satisfechos por
el sistema actual y a ser satisfechos por el sistema nuevo propuesto o modificado (software, datos e infraestructura), estn claramente definidos
antes de aprobar cualquier proyecto de desarrollo, implementacin o modificacin. La metodologa del ciclo de vida de desarrollo de sistemas
deber exigir que los requerimientos de las soluciones funcionales y operacionales sean especificados, incluyendo desempeo, proteccin, confiabilidad, compatibilidad, seguridad y legislacin.
1.6 Estudio de Factibilidad Econmica

OBJETIVO DE CONTROL
sistemas de la organizacin debe generar, en cada proyecto de desarrollo, implementacin y modificacin de sistemas de informacin propuesto,
el anlisis de los costos y beneficios asociados
con cada alternativa considerada para satisfacer
los requerimientos del negocio establecidos.
1.7
Arquitectura de Informacin
OBJETIVO DE CONTROL
La Gerencia deber asegurar que se tome en consideracin el modelo de datos de la empresa al
definir las soluciones y analizar la factibilidad de
las mismas.
1.2 Formulacin de Acciones Alternativas

OBJETIVO DE CONTROL
sistemas de la organizacin debe proveer el anlisis de las acciones alternativas que debern satisfacer los requerimientos del negocio, establecidos para un sistema nuevo o modificado.
1.8 Reporte de Anlisis de Riesgos

OBJETIVO DE CONTROL
sistemas de la organizacin debe asegurar, en
cada proyecto de desarrollo, implementacin y
modificacin de sistemas de informacin propuesto, el anlisis y la documentacin de las
amenazas a la seguridad, puntos de impacto y
debilidad y protecciones factibles de seguridad y
control interno, con la finalidad de reducir o eliminar el riesgo identificado. Esto deber llevarse a cabo en lnea con el marco de referencia general de evaluacin de riesgos.
1.3 Formulacin de Estrategias de Adquisicin

OBJETIVO DE CONTROL
sistemas de la organizacin debe estipular un
plan de estrategia de adquisicin, definiendo si el
software ser adquirido del mostrador27, desarrollados internamente, a travs de contratacin
o mediante una combinacin de estos.
1.4 Requerimientos de Servicios de Terceros
OBJETIVO DE CONTROL
sistemas de la organizacin debe estipular la evaluacin de requerimientos y las especificaciones
para una Solicitud de Propuesta28 cuando se negocie con un proveedor de servicios externo.
27
Del anaquel (off-the-shelf): se dice de productos de software terminados que pueden adquirirse directamente de un
proveedor o distribuidor.
28
Solicitud de propuesta (request for proposal, RFP): invitacin que se extiende a proveedores para que presenten
una propuesta.
1.5 Estudio de Factibilidad Tecnolgica

OBJETIVO DE CONTROL
sistemas de la organizacin debe estipular un
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

(FRQyPLFRVFRVWHIIHFWLYH

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
1.9 Controles de Seguridad Econmicos29
1.14 Adquisicin de Productos de Software
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los costos y

beneficios de seguridad sean examinados cuidadosamente en trminos monetarios y no monetarios, para garantizar que los costos de los controles no excedan a los beneficios. La decisin requerir la firma de aprobacin formal de la Gerencia.
La adquisicin de productos de software deber

seguir las polticas de adquisicin de la organizacin.
1.15 Mantenimiento de Software de Terceras Partes
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, para el software con licencia adquirido a terceras partes, los
proveedores cuenten con los procedimientos
apropiados para validar, proteger y mantener los
derechos de integridad de los productos de software. Deber tomarse en consideracin el soporte del producto en cualquier acuerdo de mantenimiento relacionado con el producto entregado.
1.10 Diseo de Pistas de Auditora

OBJETIVO DE CONTROL
existan mecanismos adecuados para pistas de
auditora o que dichos mecanismos puedan ser
desarrollados para la solucin identificada y seleccionada. Los mecanismos debern proporcionar la capacidad de proteger datos sensitivos (ej.
identificacin de usuarios contra divulgacin o
mal uso)
1.16 Contratos de Programacin de Aplicaciones

OBJETIVO DE CONTROL
los servicios de programacin contratados estn
justificados con una solicitud de servicios por
escrito por parte de un miembro designado de la
funcin de servicios de informacin. El contrato
deber estipular que el software, la documentacin y otros elementos entregables30 estn sujetos a pruebas y revisiones antes de ser aceptados.
Adems, deber asegurar que los productos finales terminados por los servicios de programacin
contratados sean revisados y probados de acuerdo con los estndares definidos por el grupo de
aseguramiento de calidad de la funcin de servicios de informacin y otras partes interesadas
(como usuarios, administradores de proyecto,
etc.) antes de pagar por el trabajo y aprobar el
producto final. Las pruebas que debern ser incluidas en las especificaciones del contrato debern consistir en pruebas del sistema, pruebas de
integracin, pruebas de hardware y componentes,
pruebas de procedimientos, pruebas de carga y
estrs, pruebas de afinacin y desempeo, pruebas de regresin, pruebas de aceptacin del usuario y, finalmente, pruebas piloto del sistema total, con la finalidad de evitar fallas no esperadas
del mismo.
1.11 Ergonoma
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los proyectos
de desarrollo, implementacin y cambios emprendidos por la funcin de servicios de informacin, tomen en consideracin los aspectos ergonmicos asociados con la introduccin de soluciones automatizadas.
1.12 Seleccin del Software del Sistema
OBJETIVO DE CONTROL
La Gerencia deber asegurar que la funcin de
servicios de informacin cumpla con un procedimiento estndar para identificar todos los programas de software potenciales que debern satisfacer sus requerimientos operacionales.
1.13 Control de Abastecimiento
OBJETIVO DE CONTROL
La Gerencia deber desarrollar e implementar un
enfoque central de abastecimientos que describa un
conjunto comn de procedimientos y estndares a
ser seguidos en la adquisicin de hardware, software
y servicios relacionados con la tecnologa de informacin. Los productos debern ser revisados y probados antes de su utilizacin y pago.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
30

Entregable (deliverable): un producto formal que es entregado como parte final de un proceso de trabajo.
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
1.17 Aceptacin de Instalaciones

OBJETIVO DE CONTROL
La Gerencia deber asegurar que, dentro del contrato con el proveedor, se acuerde un plan de
aceptacin para las instalaciones a ser proporcionadas, el cual defina los procedimientos y criterios de aceptacin. Adems, debern llevarse a
cabo pruebas de aceptacin para garantizar que
el acomodo31 y el medio cumplan con los requerimientos especificados en el contrato.
1.18 Aceptacin de Tecnologa
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, dentro del contrato con el proveedor, se acuerde un plan de
aceptacin para la tecnologa especfica a ser
proporcionada, el cual defina los procedimientos
y criterios de aceptacin. Adems, las pruebas
de aceptacin establecidas en el plan, debern
incluir inspeccin, pruebas de funcionalidad y
seguimiento de cargas de trabajo.

$FRPRGRDFFRPPRGDWLRQ
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

AI2
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
adquisicin y mantenimiento de software de aplicacin

proporcionar funciones automatizadas que soporten efectivamente al negocio
la definicin de declaraciones especficas sobre requerimientos funcionales y operacionales y una implementacin estructurada con entregables claros
requerimientos de usuarios
requerimientos de archivo, entrada, proceso y salida
interface usuario mquina
personalizacin de paquetes
pruebas funcionales
controles de aplicacin y requerimientos
funcionales
documentacin
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
2.5
ADQUISICIN Y MANTENIMIENTO DE
SOFTWARE DE APLICACIN
OBJETIVO DE CONTROL
2.1 Mtodos de Diseo

sistemas de la organizacin debe requerir la preparacin de especificaciones detalladas por escrito, de los programas para cada proyecto de desarrollo o modificacin de sistemas de informacin. Adems, la metodologa deber garantizar
que las especificaciones de los programas correspondan a las especificaciones del diseo del sistema.
OBJETIVO DE CONTROL
sistemas de la organizacin debe estipular que
sean aplicados a tcnicas y procedimientos apropiados, incluyendo una estrecha relacin con los
usuarios del sistema, en la creacin de las especificaciones de diseo para cada nuevo proyecto de
desarrollo de sistemas de informacin, y verificar
las especificaciones del diseo contra los requerimientos del usuario.
2.6 Diseo para la Recopilacin32 de Datos Fuente

OBJETIVO DE CONTROL
2.2 Cambios Significativos a Sistemas Actuales

sistemas de la organizacin debe requerir la especificacin de mecanismos adecuados, para la
recopilacin y entrada de datos para cada proyecto de desarrollo y modificacin de sistemas de
informacin.
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, en caso de presentarse la necesidad de realizar modificaciones
significativas a los sistemas actuales, se siga un
proceso de desarrollo similar al utilizado en el
desarrollo de sistemas nuevos.
2.3
Especificaciones de Programas
2.7 Definicin y Documentacin de Requerimientos de Entrada de Datos
Aprobacin del Diseo
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL

sistemas de la organizacin debe requerir que
existan mecanismos adecuados para definir y
documentar los requerimientos de entrada de datos para cada proyecto de desarrollo o modificacin de sistemas de informacin.

sistemas de la organizacin requerir que las especificaciones de diseo para todos los proyectos
de desarrollo y modificacin de sistemas de informacin, sean revisados y aprobados por la
Gerencia, por los departamentos usuarios afectados y por la alta gerencia de la organizacin,
cuando esto sea pertinente.
2.8 Definicin de Interfases

OBJETIVO DE CONTROL
2.4 Definicin y Documentacin de Requerimientos de Archivos

sistemas de la organizacin debe estipular que se
especifiquen, diseen y documenten apropiadamente todas las interfases internas y externas.
OBJETIVO DE CONTROL
sistemas de la organizacin debe asegurar la aplicacin de un procedimiento apropiado para la
definicin y documentacin del formato de los
archivos para cada proyecto de desarrollo y modificacin de sistemas de informacin. Este procedimiento deber garantizar el respeto a las reglas de diccionario de datos.
32
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

Recopilacin (collection): relevar, recabar o renuir informacin.

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
2.9 Interfase Usuario-Mquina
2.13 Disponibilidad como Factor Clave de Diseo
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL

sistemas de la organizacin debe asegurar el desarrollo de una interfase entre el usuario y la mquina fcil
de utilizar y que sea capaz de autodocumentarse (por
medio de funciones de ayuda en lnea).

sistemas de la organizacin debe asegurar que la disponibilidad sea considerada en el proceso de diseo
de nuevos o modificados sistemas de informacin en
la fase ms temprana posible. La disponibilidad debe ser analizada y, en caso necesario, incrementada a
travs de mejoras de mantenimiento y confiabilidad.
2.10 Definicin y Documentacin de Requerimientos de Procesamiento
2.14 Consideraciones de Integridad de Tecnologa

para Software de Programas de Aplicacin
OBJETIVO DE CONTROL
documentar los requerimientos de procesamiento
para cada proyecto de desarrollo o modificacin
de sistemas de informacin.
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para asegurar, cuando esto aplique, que los
programas de aplicacin contengan estipulaciones que verifiquen rutinariamente las tareas realizadas por el software, para apoyar el aseguramiento de la integridad de los datos y el cual
haga posible la restauracin de la integridad a
travs de procedimientos de recuperacin en reversa34 u otros medios.
2.11 Definicin y Documentacin de Requerimientos de Salida de Datos

OBJETIVO DE CONTROL
documentar los requerimientos de salida de datos
para cada proyecto de desarrollo o modificacin
de sistemas de informacin
2.15 Pruebas de Software de Aplicacin

OBJETIVO DE CONTROL
Debern aplicarse pruebas unitarias, pruebas de
aplicacin, pruebas de integracin y pruebas de
carga y estrs35, de acuerdo con el plan de prueba
del proyecto y con los estndares de pruebas establecidos antes de ser aprobado por el usuario.
Se debern aplicar adecuadas medidas de seguridad para prevenir divulgacin de informacin
sensitiva durante las pruebas.
2.12 Controlabilidad
OBJETIVO DE CONTROL
sistemas de la organizacin debe requerir que se especifiquen mecanismos adecuados, para garantizar
que se identifiquen los requerimientos de seguridad y
control internos para cada proyecto de desarrollo o
modificacin de sistemas de informacin. La metodologa deber asegurar adems que los sistemas de
informacin estn diseados para incluir controles de
aplicacin que garanticen que los datos de entrada y
salida estn completos, as como su precisin, oportunidad33 y autorizacin. Deber llevarse a cabo una
evaluacin de sensibilidad durante el inicio del desarrollo o modificacin del sistema. Los aspectos bsicos de seguridad y control interno de un sistema a ser
desarrollado o modificado debern ser evaluados
junto con el diseo conceptual del mismo, con el fin
de integrar los conceptos de seguridad en el diseo
tan pronto como sea posible.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
33
Oportunidad (timeliness)
En reversa (rollback): estrategia de recuperacin de bases
de datos que se utiliza para restaurar un estado previo de
los datas
35
Carga y estrs (load and stress)
34

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
2.16 Materiales de Consulta y Soporte para Usuarios

OBJETIVO DE CONTROL
sistemas de la organizacin debe asegurar que se
preparen manuales de referencia y soporte para usuarios adecuados (preferiblemente en formato electrnico) como parte de cada proyecto de desarrollo o
modificacin de sistemas de informacin
2.17 Reevaluacin del Diseo del Sistema
OBJETIVO DE CONTROL
sistemas de la organizacin debe asegurar que el
diseo del sistema sea reevaluado siempre que
ocurran discrepancias tcnicas y/o lgicas durante el desarrollo o mantenimiento del sistema.
33
Oportunidad (timeliness)
En reversa (rollback): estrategia de recuperacin de bases
de datos que se utiliza para restaurar un estado previo de
los datas
35
Carga y estrs (load and stress)
34
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

AI3
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
adquisicin y mantenimiento de arquitectura de software

proporcionar las plataformas apropiadas para soportar aplicaciones de negocios
la evaluacin del desempeo de hardware y software,
la provisin de mantenimiento
preventivo de hardware y la instalacin,
seguridad y control del software del sistema
evaluacin de tecnologa
mantenimiento preventivo de hardware
seguridad del software de sistema, instalacin, mantenimiento y control sobre cambios
P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
3.6 Controles para Cambios del Software del Sistema
ADQUISICIN Y MANTENIMIENTO DE
ARQUITECTURA DE TECNOLOGA
OBJETIVO DE CONTROL
3.1 Evaluacin de Nuevo Hardware y Software
Debern implementarse procedimientos para asegurar que las modificaciones realizadas al software del sistema sean controladas de acuerdo
con los procedimientos de administracin de
cambios de la organizacin.
OBJETIVO DE CONTROL
Debern establecerse procedimientos para evaluar el impacto de nuevo hardware y software
sobre el rendimiento del sistema en general.
3.2 Mantenimiento Preventivo para Hardware
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber calendarizar el mantenimiento
rutinario y peridico del hardware con el fin de
reducir la frecuencia y el impacto de fallas de
rendimiento.
3.3 Seguridad del Software del Sistema
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que la instalacin del
software del sistema no arriesgue la seguridad de
los datos y programas ya almacenados en el mismo. Deber ponerse gran atencin a la instalacin y mantenimiento de los parmetros del software del sistema.
3.4
Instalacin del Software del Sistema

OBJETIVO DE CONTROL
Debern implementarse procedimientos para asegurar que el software del sistema sea instalado de
acuerdo al marco de referencia de adquisicin y
mantenimiento de infraestructura de tecnologa.
Las pruebas debern ser llevadas a cabo antes de
autorizarse su utilizacin en ambiente de produccin.
3.5 Mantenimiento del Software del Sistema

OBJETIVO DE CONTROL
Debern implementarse procedimientos para asegurar que el software del sistema sea mantenido
de acuerdo al marco de referencia de adquisicin
y mantenimiento para infraestructura de tecnologa.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

AI4
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
desarrollo y mantenimiento de procedimientos relacionados con tecnologa de informacin

asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas
un enfoque estructurado del desarrollo de manuales de
procedimientos de operaciones para usuarios, requerimientos de servicio y material de entrenamiento
procedimientos y controles de usuarios

procedimientos y controles operacionales
materiales de entrenamiento
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
P P P P
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
DESARROLLO Y MANTENIMIENTO DE
PROCEDIMIENTOS RELACIONADOS CON
TECNOLOGA DE INFORMACIN
4.1 Requerimientos Operacionales y Niveles de

Servicios Futuros
OBJETIVO DE CONTROL
sistemas de la organizacin debe asegurar la definicin oportuna de requerimientos operacionales y niveles de servicios futuros.
4.2 Manual de Procedimientos para Usuario
OBJETIVO DE CONTROL
preparen y actualicen manuales adecuados de
procedimientos para los usuarios como parte de
4.3 Manual de Operaciones
OBJETIVO DE CONTROL
prepare y se mantenga actualizado un manual de
operaciones adecuado como parte de cada proyecto de desarrollo o modificacin de sistemas
de informacin.
4.4 Material de Entrenamiento
OBJETIVO DE CONTROL
desarrollen materiales de entrenamiento adecuados como parte de cualquier proyecto de desarrollo, implementacin o modificacin de sistemas
de informacin. Estos materiales debern enfocarse al uso del sistema en la prctica diaria.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

AI5
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
instalacin y acreditacin de sistemas

verificar y confirmar que la solucin sea adecuada para el propsito deseado
la realizacin de una migracin de instalacin, conversin y plan de aceptacin adecuadamente formalizados
capacitacin
conversin / carga de datos
pruebas especficas
acreditacin
revisiones post implementacin
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
P P P P P
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
5.5 Criterios y Desempeo de Pruebas en Paralelo/Piloto
INSTALACIN Y ACREDITACIN DE SISTEMAS
OBJETIVO DE CONTROL
5.1 Entrenamiento
Deben establecerse procedimientos para asegurar

que las pruebas piloto o en paralelo sean llevadas
a cabo de acuerdo con un plan preestablecido y
que los criterios para la terminacin del proceso
de pruebas sean especificados con anterioridad.
OBJETIVO DE CONTROL
El personal de los departamentos usuarios afectados y el grupo de operaciones de la funcin de
servicios de informacin debern estar entrenados de acuerdo al plan de entrenamiento definido
y los materiales relacionados, como parte de
cualquier proyecto de desarrollo, implementacin o modificacin de sistemas de informacin.
5.6 Prueba de Aceptacin Final

OBJETIVO DE CONTROL
Los procedimientos debern asegurar, como parte de las pruebas de aceptacin final o de aseguramiento de calidad de sistemas de informacin
nuevos o modificados, una evaluacin y aprobacin formal de los resultados de las pruebas por
parte de la Gerencia de los departamentos usuarios afectados y de la funcin de servicios de informacin. Las pruebas deben cubrir todos los
componentes del sistema de informacin
(software de aplicacin, instalaciones, tecnologa, procedimientos de usuarios).
5.2 Adecuacin36 del Desempeo del Software de

Aplicacin
OBJETIVO DE CONTROL
La medicin (optimizacin) del desempeo del
software de aplicacin deber establecerse como
una parte integral de la metodologa del ciclo de
vida de desarrollo de sistemas de la organizacin
para predecir los recursos requeridos para operar
software nuevo o significativamente modificado.
5.3 Conversin
5.7 Pruebas y Acreditacin de Seguridad
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL

sistemas de la organizacin debe asegurar, como
parte de cada proyecto de desarrollo, implementacin o modificacin de sistemas de informacin, que los elementos necesarios del sistema
anterior sean convertidos al sistema nuevo de
acuerdo con el plan preestablecido.
La Gerencia deber definir e implementar procedimientos para asegurar que la Gerencia de operaciones y la Gerencia usuaria aceptan formalmente los resultados de las pruebas y el nivel de
seguridad para los sistemas, junto con el riesgo
residual existente.
5.8 Prueba Operacional
5.4 Pruebas de Cambios
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, antes de poner

el sistema en operacin, el usuario o custodio
designado (la parte designada para correr el sistema en nombre del usuario), valide su operacin
como un producto completo, bajo condiciones
similares a las del ambiente de aplicacin y en la
manera en la que el sistema ser operado en un
ambiente de produccin.
La Gerencia deber asegurar que los cambios

sean probados por un grupo de prueba independiente (distinto al de los desarrolladores) de
acuerdo con la evaluacin de impacto y recursos
en un ambiente de prueba separado antes de comenzar su uso en el ambiente de operacin regular. Tambin debern desarrollarse planes de respaldo externo37. Las pruebas de aceptacin debern llevarse a cabo en un ambiente representativo
del ambiente operacional futuro (por ejemplo,
condiciones similares de seguridad, controles
internos, cargas de trabajo, etc.)

$GHFXDFLyQVL]LQJDVLJQDUODGLPHQVLyQR
WDPDxDDGHFXDGR

5HVSDOGRH[WHUQREDFNRXW
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
5.9 Paso a Produccin

OBJETIVO DE CONTROL
La Gerencia deber definir e implementar procedimientos formales para controlar la entrega38 del
sistema de desarrollo a pruebas y a operacin.
Los ambientes respectivos debern separarse y
protegerse apropiadamente.
5.10 Evaluacin de la Satisfaccin de los Requerimientos del Usuario
OBJETIVO DE CONTROL
sistemas de la organizacin debe requerir que se
realice una revisin post - implementacin de los
requerimientos operacionales del sistema de informacin (por ejemplo, capacidad, desempeo
de procesamiento39 a travs del sistema etc.) con
el fin de evaluar si las necesidades del usuario
estn siendo satisfechas por el mismo.
5.11 Revisin Gerencial Post - Implementacin
OBJETIVO DE CONTROL
una revisin post - implementacin del sistema
de informacin operacional evale y reporte si el
sistema proporcion los beneficios esperados de
la manera ms econmica.

(QWUHJDKDQGRYHUWUDVSDVRGHOVLVWHPDGHXQ
DPELHQWHGHSUXHEDVDODPELHQWHGHSURGXFFLyQ

'HVHPSHxRGHSURFHVDPLHQWRWKURXJKSXW
FDSDFLGDGGHSURFHVDPLHQWRGHGDWRVGHXQVLV
WHPDGHLQIRUPDWLyQ
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

AI6
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
administracin de cambios
minimizar la probabilidad de interrupciones, alteraciones no
autorizadas y errores
un sistema de administracin que permita el anlisis,
implementacin y seguimiento de todos los cambios
requeridos y llevados a cabo a la infraestructura de TI
actual
identificacin de cambios
procedimientos de categorizacin, priorizacin y emergencia
evaluacin del impacto
autorizacin de cambios
manejo de liberacin
distribucin de software
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
6.6 Poltica de Liberacin de Software
ADMINISTRACIN DE CAMBIOS
OBJETIVO DE CONTROL
6.1 Inicio y Control de Requisiciones de Cambio
La Gerencia deber garantizar que la liberacin

de software est regida por procedimientos formales asegurando aprobacin, empaque40, pruebas de regresin, entrega, etc.
OBJETIVO DE CONTROL
La Gerencia deber asegurar que todas las requisiciones de cambios tanto internos como por parte de proveedores estn estandarizados y sujetos
a procedimientos formales de administracin de
cambios. Las solicitudes debern categorizarse,
priorizarse y establecerse procedimientos especficos para manejar asuntos urgentes. Los solicitantes de cambios deben permanecer informados
acerca del estatus de su solicitud.
6.7 Distribucin de Software

OBJETIVO DE CONTROL
Debern establecerse medidas de control especficas para asegurar la distribucin del elemento
de software correcto al lugar correcto, con integridad y de manera oportuna con pistas de auditora adecuadas.
6.2 Evaluacin del Impacto

OBJETIVO DE CONTROL
Deber establecerse un procedimiento para asegurar que todas las requisiciones de cambio sean
evaluadas en una forma estructurada en cuanto a
todos los posibles impactos sobre el sistema operacional y su funcionalidad.
6.3 Control de Cambios
OBJETIVO DE CONTROL
La Gerencia deber asegurar que la administracin de cambios, as como el control y la distribucin de software sean integrados apropiadamente en un sistema completo de administracin
de configuracin.
6.4 Documentacin y Procedimientos
OBJETIVO DE CONTROL
El procedimiento de cambios deber asegurar
que, siempre que se implementen modificaciones
a un sistema, la documentacin y procedimientos
relacionados sean actualizados de manera correspondiente.
6.5 Mantenimiento Autorizado
OBJETIVO DE CONTROL
La Gerencia deber asegurar que el personal de
mantenimiento tenga asignaciones especficas y
que su trabajo sea monitoreado apropiadamente.
Adems, sus derechos de acceso al sistema debern ser controlados para evitar riesgos de accesos
no autorizados a los sistemas automatizados.

(PSDTXHSDFNDJLQJ
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

DS1
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
Definicin de niveles de servicio

establecer una comprensin comn del nivel de servicio requerido
el establecimiento de convenios de niveles de servicio
que formalicen los criterios de desempeo contra los
cuales se medir la cantidad y la calidad del servicio
convenios formales
definicin de responsabilidades
tiempos y volmenes de respuesta
dependencias
cargos
garantas de integridad
convenios de confidencialidad
P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
convenios de confidencialidad) entre todas las
partes involucradas sean establecidas, coordinadas, mantenidas y comunicadas a todos los departamentos afectados.
DEFINICIN DE NIVELES DE SERVICIO
1.1 Marco de Referencia para el Convenio de Nivel de Servicio

OBJETIVO DE CONTROL
1.4 Monitoreo y Reporte
La alta gerencia deber establecer un marco de

referencia en donde presente la definicin de los
convenios sobre niveles formales de servicio y
determine el contenido mnimo: disponibilidad,
confiabilidad, desempeo, capacidad de crecimiento, niveles de soporte proporcionados al
usuario, plan de contingencia/Recuperacin, nivel mnimo aceptable de funcionalidad del sistema satisfactoriamente liberado, restricciones
(lmites en la cantidad de trabajo), cargos por
servicio, instalaciones de impresin central
(disponibilidad), distribucin de impresin central y procedimientos de cambio. Los usuarios y
la funcin de servicios de informacin debern
contar con un convenio escrito que describa el
nivel de servicio en trminos cualitativos y cuantitativos. El convenio definir las responsabilidades de ambas partes. La funcin de servicios
de informacin deber prestar la calidad y la cantidad de servicios ofrecida y los usuarios debern
ajustar los servicios solicitados a los lmites acordados.
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber designar a un Gerente de nivel de
servicio que sea responsable de monitorear y reportar los alcances de los criterios de desempeo
del servicio especificado y todos los problemas
encontrados durante el procesamiento. Las estadsticas de monitoreo debern ser analizadas
oportunamente. Debern tomarse acciones correctivas apropiadas e investigarse las fallas.
1.5 Revisin de Convenios y Contratos de Nivel de
Servicio
OBJETIVO DE CONTROL
La Gerencia deber implementar un proceso de
revisin regular de los convenios de nivel de servicio y de los contratos de proveedores de servicios como terceras partes.
1.6 Elementos sujetos a Cargo
OBJETIVO DE CONTROL
1.2 Aspectos sobre los Convenios de Nivel de Servicio
Debern incluirse provisiones para elementos

sujetos a cargo en los acuerdos de niveles de servicio para hacer posible comparaciones y decisiones de niveles de servicio contra su costo.
OBJETIVO DE CONTROL
Deber lograrse un acuerdo explcito sobre los
aspectos que el convenio de nivel de servicios
deber tener. El convenio de nivel de servicio
deber cubrir por lo menos los siguientes aspectos: disponibilidad, confiabilidad, desempeo,
capacidad de crecimiento, niveles de soporte proporcionados a los usuarios, plan de contingencia/
Recuperacin, nivel mnimo aceptable de funcionalidad del sistema satisfactoriamente liberado,
restricciones (lmites en la cantidad de trabajo),
cargos por servicio, instalaciones de impresin
central (disponibilidad), distribucin de impresin central y procedimientos de cambios
1.7 Programa de Mejoramiento del Servicio

OBJETIVO DE CONTROL
La Gerencia deber implementar un proceso para
asegurar que los usuarios y los Gerentes de nivel
de servicio concuerden regularmente en un programa de mejoramiento del servicio con el fin de
dar seguimiento a mejoras al nivel de servicio
cuyo costo est justificado.
1.3 Procedimientos de Desempeo

OBJETIVO DE CONTROL
Debern definirse procedimientos que aseguren
que la manera y responsabilidades sobre las relaciones que rigen el desempeo (por ejemplo,
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

DS2
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
administracin de servicios prestados por terceros

asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas, que cumplan y continen satisfaciendo los requerimientos
medidas de control dirigidas a la revisin y monitoreo
de contratos y procedimientos existentes, en cuanto a
su efectividad y suficiencia, con respecto a las polticas de la organizacin
acuerdos de servicio con terceras partes
acuerdos de confidencialidad
requerimientos legales regulatorios
monitoreo de la entrega de servicio
P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
2.6 Continuidad de Servicios
ADMINISTRACIN DE SERVICIOS PRES41

TADOS POR TERCEROS
OBJETIVO DE CONTROL
2.1 Interfases con Proveedores
Con respecto al aseguramiento de la continuidad

de los servicios, la gerencia deber considerar el
riesgo de negocios relacionado con la participacin de terceros en trminos de incertidumbre
legal y con el concepto de inters sobre la continuidad45 y negociar contratos en depsito46.
OBJETIVO DE CONTROL
La Gerencia deber asegurar que todos los servicios prestados por terceros sean propiamente
identificados y que las interfaces tcnicas y organizacionales con los proveedores sean documentadas.
2.7 Relaciones de Seguridad

OBJETIVO DE CONTROL
2.2 Relaciones de Dueos42
Con respecto a las relaciones con los proveedores de servicios como terceras partes, la Gerencia
deber asegurar que los acuerdos de seguridad
(por ejemplo, los acuerdos de no - revelacin)
sean identificados, declarados explcitamente y
acordados, que stos concuerden con los estndares de negocios universales y estn en lnea con
los requerimientos legales y regulatorios, incluyendo obligaciones.
Objetivos de Control
La Gerencia de la organizacin del cliente deber
designar un dueo que sea responsable de asegurar la calidad de las relaciones con terceros.
2.3 Contratos con Terceros
OBJETIVO DE CONTROL
La gerencia debe definir procedimientos especficos para asegurar que un contrato formal sea
definido y acordado para cada relacin de servicio con un proveedor.
2.8 Monitoreo
OBJETIVO DE CONTROL
La Gerencia deber establecer un proceso continuo de monitoreo sobre la prestacin de servicio
de terceros, con el fin de asegurar el cumplimiento de los acuerdos del contrato.
2.4 Calificacin de Terceros

OBJETIVO DE CONTROL
La gerencia debe asegurar en forma previa a su
seleccin, que los terceros potenciales cuentan
con las calificaciones adecuadas a travs de una
evaluacin de su capacidad para proporcionar los
servicios requeridos43.
2.5 Contratos con Fuentes Externas44
OBJETIVO DE CONTROL
Debern definirse procedimientos organizacionales especficos para asegurar que el contrato entre la organizacin y el proveedor de la administracin de instalaciones est basado en niveles de
procesamiento requeridos, seguridad, monitoreo
y requerimientos de contingencia, as como en
otras estipulaciones segn sea apropiado.
Terceros (third party)

Dueos (owners)
Capacidad de proporcionar el servicio (due dilligence)
Fuentes externas (outsourcers)
Concepto de inters sobre la continuidad (going concern concept)
Contrato en depsito (scrow contract) contratos que se
celebran para garantizar la continuidad del servicio aun
cuando el proveedor no pueda proporcionarlo.

1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

DS3
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te lid
di gri ad
sp da
o
d
cu nib
i
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
administracin de desempeo y capacidad

asegurar que la capacidad adecuada est disponible y que se
est haciendo el mejor uso de ella para alcanzar el desempeo
deseado
controles de manejo de capacidad y desempeo que
recopilen datos y reporten acerca del manejo de cargas
de trabajo, tamao de aplicaciones, manejo y demanda
de recursos
requerimientos de disponibilidad y desempeo

monitoreo y reporte
herramientas de modelado
administracin de capacidad
disponibilidad de recursos
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
de que stos afecten el desempeo del sistema.
Debern llevarse a cabo anlisis de las fallas e
irregularidades del sistema en cuanto a frecuencia, grado del impacto y magnitud del dao.
ADMINISTRACIN DE DESEMPEO Y
CAPACIDAD
3.1 Requerimientos de Disponibilidad y Desempeo
3.6 Pronstico de Carga de Trabajo
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
El proceso de administracin deber asegurar

que las necesidades de negocio con respecto a
disponibilidad y desempeo de los servicios de
informacin sean identificados y convertidas en
requerimientos y trminos de disponibilidad.
Debern establecerse controles para asegurar que

se preparen pronsticos de carga de trabajo con
el fin de identificar tendencias y proporcionar la
informacin necesaria para el plan de capacidad47.
3.2 Plan de Disponibilidad
3.7 Administracin de Capacidad de Recursos
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber asegurar el establecimiento

de un plan de disponibilidad para alcanzar, monitorear y controlar la disponibilidad de los servicios de informacin.
La Gerencia de la funcin de servicios de informacin deber establecer un proceso de planeacin para la revisin del desempeo y capacidad
del hardware con el fin de asegurar que siempre
exista una capacidad justificable econmicamente para procesar las cargas de trabajo acordadas y
para proporcionar la cantidad y calidad de desempeo requeridas, prescritas en los acuerdos de
nivel de servicio. El plan de capacidad deber
cubrir escenarios mltiples.
3.3 Monitoreo y Reporte

OBJETIVO DE CONTROL
La Gerencia deber implementar un proceso que
asegure que el desempeo de los recursos de tecnologa de informacin sea continuamente monitoreado y que las excepciones sean reportadas de
manera oportuna y completa.
3.8 Disponibilidad de Recursos

OBJETIVO DE CONTROL
3.4 Herramientas de Modelado
La gerencia deber prevenir que se pierda la disponibilidad de los recursos, mediante la implementacin de mecanismos de tolerancia de fallas,
mecanismos de asignacin equitativa de recursos
y la definicin de prioridades de tareas.
OBJETIVO DE CONTROL
La gerencia deber asegurar que se utilicen las
herramientas de modelado apropiadas para producir un modelo del sistema actual, calibrado y
ajustado segn la carga de trabajo real y que sea
preciso dentro de los niveles de carga recomendados. Las herramientas de modelado debern
utilizarse para apoyar el pronstico de los requerimientos de capacidad, confiabilidad de la configuracin, desempeo y disponibilidad. Debern
llevarse a cabo investigaciones tcnicas profundas sobre el hardware de los sistemas y debern
incluirse pronsticos acerca de futuras tecnologas.
3.9 Calendarizacin de Recursos

OBJETIVO DE CONTROL
La Gerencia deber asegurar la adquisicin oportuna de la capacidad requerida, tomando en
cuenta aspectos como resistencia, contingencia,
cargas de trabajo y planes de almacenamiento.
3.5 Manejo Proactivo del Desempeo

OBJETIVO DE CONTROL
El proceso de administracin del desempeo deber incluir la capacidad de pronstico para permitir que los problemas sean solucionados antes
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

3ODQGHFDSDFLGDGFDSDFLW\SODQQLQJ

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

DS4
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
garantizar la seguridad de sistemas

mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en caso de interrupciones
teniendo un plan de continuidad probado y funcional,
que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio
clasificacin de severidad
plan documentado
procedimientos alternativos
respaldo y recuperacin
pruebas y entrenamiento sistemticos y
regulares
P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
l Informacin crtica sobre grupos de continuidad, personal afectado, clientes, proveedores,
autoridades pblicas y medios de comunicacin.
ASEGURAR LA CONTINUIDAD DEL SER-
VICIO
4.1 Marco de Referencia de Continuidad de Tecnologa de informacin
4.4 Minimizacin de requerimientos de Continuidad de Tecnologa de Informacin.
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber crear un marco de referencia de
continuidad que defina los roles, responsabilidades, el enfoque basado en riesgo /la metodologa
a seguir y las reglas y la estructura para documentar el plan, as como los procedimientos de
aprobacin.
OBJETIVO DE CONTROL
La Gerencia de servicios de informacin deber
establecer procedimientos y guas para minimizar los requerimientos de continuidad con respecto a personal, instalaciones, hardware, software, equipo, formatos, consumibles y mobiliario.
4.2 Estrategia y Filosofa de Continuidad de Tecnologa de Informacin
4.5 Mantenimiento Plan de Continuidad de Tecnologa de Informacin
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber garantizar que el Plan de

continuidad de tecnologa de informacin se encuentra en lnea con el plan general de continuidad de la empresa para asegurar consistencia.
An ms, el plan de continuidad de TI debe tomar en consideracin el plan a mediano y largo
plazo de tecnologa de informacin, con el fin de
asegurar consistencia.
La Gerencia de servicios de informacin deber

proveer procedimientos de control de cambios
para asegurar que el plan de continuidad se mantiene actualizado y refleja requerimientos de negocio actuales.
Esto requiere de procedimientos de mantenimiento del plan de continuidad alineados con el cambio, la administracin y los procedimientos de
recursos humanos.
4.3 Contenido del Plan de Continuidad de Tecnologa de Informacin

OBJETIVO DE CONTROL
4.6 Pruebas del Plan de Continuidad de Tecnologa de Informacin
La Gerencia de la funcin de servicios de informacin deber asegurar que se desarrolle un plan

escrito conteniendo lo siguiente:
OBJETIVO DE CONTROL
Para contar con un Plan efectivo de Continuidad,
la gerencia necesita evaluar su adecuacin de manera regular; esto requiere una preparacin cuidadosa, documentacin, reporte de los resultados de
las pruebas e implementar un plan de accin de
acuerdo con los resultados.
l Guas sobre la utilizacin del Plan de Continuidad;

l Procedimientos de emergencia para asegurar
la integridad de todo el personal afectado;
l Procedimientos de respuesta definidos para
regresar al negocio al estado en que se encontraba antes del incidente o desastre;
l Procedimientos para salvaguardar y reconstruir las instalaciones;
l Procedimientos de coordinacin con las autoridades pblicas;
l Procedimientos de comunicacin con los interesados: empleados, clientes clave, proveedores crticos, accionistas y gerencia; y
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
alternativa final. En caso de aplicar, deber establecerse un contrato formal para este tipo de servicios.
4.7 Capacitacin sobre el Plan de Continuidad de

OBJETIVO DE CONTROL
4.12 Procedimiento de refinamiento del Plan de

Continuidad
La metodologa de Continuidad para desastres

deber asegurar que todas las partes interesadas
reciban sesiones de entrenamiento regulares con
respecto a los procedimientos a ser seguidos en
caso de un incidente o un desastre.
OBJETIVO DE CONTROL
Dada una exitosa reanudacin de la funcin de
servicios de informacin despus de un desastre,
la gerencia de servicios de informacin deber
establecer procedimientos para evaluar lo adecuado del plan y actualizarlo de acuerdo con los
resultados de dicha evaluacin.
4.8 Distribucin del Plan de Continuidad de Tecnologa de Informacin

OBJETIVO DE CONTROL
Debido a la naturaleza sensitiva de la informacin del plan de continuidad, dicha informacin
deber ser distribuida solo a personal autorizado
y mantenerse bajo adecuadas medidas de seguridad para evitar su divulgacin. Consecuentemente, algunas secciones del plan debern ser distribuidas solo a las personas cuyas actividades
hagan necesario conocer dicha informacin.
4.9 Procedimientos de respaldo de procesamiento
para Departamentos usuarios
OBJETIVO DE CONTROL
La metodologa de continuidad deber asegurar
que los departamentos usuarios establezcan procedimientos alternativos de procesamiento, que
puedan ser utilizados hasta que la funcin de servicios de informacin sea capaz de restaurar
completamente sus servicios despus de un evento o un desastre.
4.10 Recursos Crticos de Tecnologa de Informacin
OBJETIVO DE CONTROL
El plan de continuidad deber identificar los programas de aplicacin, servicios de terceros, sistemas operativos, personal, insumos, archivos de
datos que resultan crticos as como los tiempos
necesarios para la recuperacin despus de que
se presenta un desastre.
4.11 Centro de cmputo48 y Hardware de Respaldo
OBJETIVO DE CONTROL
La Gerencia deber asegurar que la metodologa
de continuidad incorpora la identificacin de alternativas relativas al centro de cmputo y al
hardware de respaldo, as como una seleccin
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

&HQWURGHFyPSXWRVLWH

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

DS5
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
garantizar la seguridad de sistemas

salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdida
controles de acceso lgico que aseguren que el acceso
a sistemas, datos y programas est restringido a usuarios autorizados
autorizacin
autenticacin
acceso
perfiles e identificacin de usuarios
administracin de llaves criptogrficas
manejo, reporte y seguimiento de incidentes
Prevencin y deteccin de virus
Firewalls
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
acordes con la poltica de seguridad que garantiza el control de la seguridad de acceso, tomando
como base las necesidades individuales demostradas de visualizar, agregar, modificar o eliminar datos.
GARANTIZAR LA SEGURIDAD DE SISTEMAS
5.1 Administrar Medidas de Seguridad

OBJETIVO DE CONTROL
La seguridad en Tecnologa de Informacin deber ser administrada de tal forma que las medidas de seguridad se encuentren en lnea con los
requerimientos de negocio. Esto incluye:
5.4 Administracin de Cuentas de Usuario

OBJETIVO DE CONTROL
La Gerencia deber establecer procedimientos
para asegurar acciones oportunas relacionadas
con la requisicin, establecimiento, emisin, suspensin y suspensin de cuentas de usuario. Deber incluirse un procedimiento de aprobacin
formal que indique el propietario de los datos o
del sistema que otorga los privilegios de acceso.
l traducir informacin sobre evaluacin de riesgos a los planes de seguridad de tecnologa;

l implementar el plan de seguridad de tecnologa de informacin;
l actualizar el plan de seguridad de tecnologa
de informacin para reflejar cambios en la
configuracin de tecnologa;
5.5 Revisin Gerencial de Cuentas de Usuario
l evaluar el impacto de solicitudes de cambio

en la seguridad de tecnologa de informacin;
OBJETIVO DE CONTROL
La Gerencia deber contar con un proceso de
control establecido para revisar y confirmar peridicamente los derechos de acceso.
l monitorear la implementacin del plan de seguridad de tecnologa de informacin; y

l alinear los procedimientos de seguridad de
tecnologa de informacin a otras polticas y
procedimientos
5.6 Control de Usuarios sobre Cuentas de Usuario

OBJETIVO DE CONTROL
Los usuarios debern controlar en forma sistemtica la actividad de su(s) propia(s) cuenta(s).
Tambin se debern establecer mecanismos de
informacin para permitirles supervisar la actividad normal, as como alertarlos oportunamente
sobre actividades inusuales.
5.2 Identificacin, Autenticacin y Acceso

OBJETIVO DE CONTROL
El acceso lgico y el uso de los recursos de TI
deber restringirse a travs de la instrumentacin
de un mecanismo adecuado de autenticacin de
usuarios identificados y recursos asociados con
las reglas de acceso. Dicho mecanismo deber
evitar que personal no autorizado, conexiones
telefnicas de marcado49 y otros puertos de entrada del sistema (redes) tengan acceso a los recursos de cmputo, de igual forma deber minimizar la necesidad de firmas de entrada50 mltiples a ser utilizadas por usuarios autorizados.
Asimismo debern establecerse procedimientos
para conservar la efectividad de los mecanismos
de autenticacin y acceso (por ejemplo, cambios
peridicos de contraseas o passwords).
5.7 Vigilancia de Seguridad

OBJETIVO DE CONTROL
La administracin de seguridad de la funcin de
servicios de informacin debe asegurar que la
actividad de seguridad sea registrada y que cualquier indicacin sobre una inminente violacin
de seguridad sea notificada inmediatamente al
administrador y que las acciones consecuentes
sean tomadas en forma automtica.
5.3 Seguridad de Acceso a Datos en Lnea

OBJETIVO DE CONTROL
En un ambiente de tecnologa de informacin en
lnea, la Gerencia de la funcin de servicios de
informacin deber implementar procedimientos

0DUFDGRGLDOXS

)LUPDVGHHQWUDGDVLJQRQ
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
5.8 Clasificacin deDatos
5.12 Reacreditacin
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber asegurar que todos los datos

son clasificados en trminos de sensitividad, mediante una decisin explcita y formal del dueo
de los datos de acuerdo con el esquema de clasificacin. An los datos que requieran no proteccin debern contar con una decisin formal que
les asigne dicha clasificacin.
La Gerencia deber asegurar que se lleve a cabo

peridicamente una reacreditacin de seguridad
por ejemplo, a travs de equipos de personal tcnico tigre52 con el fin de conservar al da el
nivel de seguridad aprobado formalmente y la
aceptacin del riesgo residual.
5.13 Confianza en Contrapartes
5.9 Clasificacin de Datos
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Las polticas organizacionales debern asegurar

que se instrumenten prcticas de control para
verificar la autenticidad de las contrapartes que
proporcionan instrucciones o transacciones electrnicas. Esto puede lograrse mediante el intercambio confiable de passwords, dispositivos de
seguridad53 o llaves criptogrficas.
Deben existir controles para asegurar que la identificacin y los derechos de acceso de los usuarios, as como la identidad del sistema y la propiedad de los datos, son establecidos y administrados de forma nica y centralizada, para obtener consistencia y eficiencia de un control global
de acceso.
5.14 Autorizacin de transacciones
5.10 Reportes de Violacin y de Actividades de Seguridad
OBJETIVO DE CONTROL
que, en donde sea apropiado, sean instrumentados controles para proporcionar autenticidad de
transacciones. Esto requiere el empleo de tcnicas criptogrficas para firmar y verificar tran-
OBJETIVO DE CONTROL
La administracin de la funcin de servicios de
informacin deber asegurar que las violaciones
y la actividad de seguridad sean registradas, reportadas, revisadas y escaladas apropiadamente
en forma regular para identificar y resolver incidentes que involucren actividades no autorizadas. El acceso lgico a la informacin sobre el
registro de recursos de cmputo51 (seguridad y
otros registros) deber otorgarse tomando como
base el principio de menor privilegio (necesidad
de saber).
5.11 Manejo de Incidentes
OBJETIVO DE CONTROL
La Gerencia deber implementar la capacidad de
manejar incidentes de seguridad computacional,
dar atencin a dichos incidentes mediante el establecimiento de una plataforma centralizada con
suficiente experiencia y equipada con instalaciones de comunicacin rpidas y seguras. Debern
establecerse las responsabilidades y los procedimientos de manejo de incidentes para asegurar
una respuesta apropiada, efectiva y oportuna a
los incidentes de seguridad.

5HJLVWURGHUHFXUVRVGHFyPSXWR
DFFRXQWDELOLW\

(TXLSRWLJUH7LJHUWHDPHVXQJUXSRGHSHU
VRQDOWpFLFRDOFXDOVHOHDVLJQDQWUDEDMRVGHYHULIL
FDFLyQGHVHJXULGDGHQXQDLQVWDODFLyQ(VWRVWUD
EDMRVFRQVLVWHQWLSLFDPHQWHHQDFWXDUHQIRUPD
LQFyJQLWD\WUDWDUGHYLRODUODVPHGLGDVGHVHJXUL
GDGHVWDEOHFLGDVSDUDSUREDUODLQHIHFWLYLGDGGH
ODVPLVPDVHLGHQWLILFDUODViUHDVYXOQHUDEOHVTXH
UHTXLUHQDWHQFLyQ
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
sacciones.
partes interesadas a travs de un listado de revocacin de certificados o mecanismos similares.
5.15 No negacin
5.19 Prevencin, Deteccin y Correccin de Software Malicioso
OBJETIVO DE CONTROL
que, en donde sea apropiado, las transacciones no
puedan ser negadas por ninguna de las partes y
que se instrumenten controles para proporcionar
no negacin (non repudiation) de origen o destino, prueba de envo (proof of submission), y recibo de transacciones. Esto puede ser implementado a travs de firmas digitales, registro de tiempos y terceros confiables.
OBJETIVO DE CONTROL
Con respecto al software malicioso, tal como los
virus computacionales o Caballos de Troya, la
Gerencia deber establecer un marco de referencia de adecuadas medidas de control preventivas,
detectivas y correctivas.
5.20 Arquitectura de Fire Walls y conexin a redes
pblicas
5.16 Sendero Seguro
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Si existe conexin con Internet u otras redes pblicas en la organizacin. Se deber contar con
sistemas Fire Wall adecuados para proteger en
contra de negacin de servicios y cualquier acceso no autorizado a los recursos internos; deber
controlar en ambos sentidos cualquier flujo de
administracin de infraestructura y de aplicaciones y deber proteger en contra de negacin o
ataques de servicio.

que la informacin de transacciones sensitivas es
enviada y recibida exclusivamente a travs de
canales o senderos seguros (trusted paths). La
informacin sensitiva incluye: informacin sobre
administracin de seguridad, datos de transacciones sensitivas, passwords y llaves criptogrficas.
Para lograr esto, se pueden establecer canales
confiables mediante el encriptamiento entre usuarios, entre usuarios y sistemas y entre sistemas.
5.21 Proteccin de Valores Electrnicos

OBJETIVO DE CONTROL
5.17 Proteccin de funciones de seguridad
La Gerencia debe proteger consistentemente la

integridad de todas las tarjetas o dispositivos fsicos similares, que son utilizados para autenticacin o almacenamiento de informacin financiera
u otra informacin sensitiva, tomando en consideracin las instalaciones relacionadas, dispositivos, empleados y mtodos de validacin utilizados.
OBJETIVO DE CONTROL
Todo el hardware y software relacionado con seguridad debe encontrarse permanentemente protegido contra intromisiones para proteger su integridad y contra divulgacin de sus claves secretas. Adicionalmente, la organizacin deber mantener discrecin sobre el diseo de su seguridad,
pero no basar la seguridad en mantener el diseo
como secreto.
5.18 Administracin de Llaves Criptogrficas
OBJETIVO DE CONTROL
La Gerencia deber definir e implementar procedimientos y protocolos a ser utilizados en la generacin, distribucin, certificacin, almacenamiento, entrada, utilizacin y archivo de llaves criptogrficas con el fin de asegurar la proteccin de las
mismas contra modificaciones y divulgacin no
autorizada. Si una llave se encuentra comprometida (en riesgo), la gerencia deber asegurarse de
que esta informacin se hace llegar a todas las
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

'LVSRVLWLYRVWRNHQV

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

DS6
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
identificacin y asignacin de costos

asegurar un conocimiento correcto de los costos atribuibles a
los servicios de TI
un sistema de contabilidad de costos que asegure que
stos sean registrados, calculados y asignados a los
niveles de detalle requeridos
recursos identificables y medibles

procedimientos y polticas de cargo
tarifas
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
P P P P P
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
IDENTIFICACIN Y ASIGNACIN DE
COSTOS
6.1 Elementos Sujetos a Cargo54

OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que los elementos sujetos a cargo sean identificables, medibles y predecibles para los usuarios. Los usuarios debern
ser capaces de controlar el uso de los servicios de
informacin y de los niveles de facturacin asociados.
6.2 Procedimientos de Costeo
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber definir e implementar procedimientos de costeo para proporcionar informacin
gerencial acerca del costo de prestar servicios de
informacin, asegurando al mismo tiempo la
economa. Las variaciones entre los costos pronosticados y los reales debern ser analizadas
adecuadamente y reportados, con el fin de facilitar el monitoreo de los mismos. Adems, la alta
gerencia deber evaluar peridicamente los resultados de los procedimientos de contabilidad
de costos de la funcin de servicios de informacin, a la luz de los otros sistemas de medicin
financiera de la organizacin.
6.3 Procedimientos de Cargo54 y Facturacin a
Usuarios
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber definir y utilizar procedimientos
de cargo y facturacin. Esta deber mantener
procedimientos de cargo y facturacin que fomenten el uso apropiado de los recursos de cmputo y aseguren el trato justo de los departamentos usuarios y sus necesidades. El monto cargado deber reflejar los costos asociados con la
prestacin de servicios.

&DUJRFKDUJHEDFN
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

DS7
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
educacin y entrenamiento de usuarios

asegurar que los usuarios estn haciendo un uso efectivo de la
tecnologa y estn conscientes de los riesgos y responsabilidades involucrados
un plan completo de entrenamiento y desarrollo
curriculum de entrenamiento
campaas de concientizacin
tcnicas de concientizacin
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
EDUCACIN Y ENTRENAMIENTO DE
USUARIOS
7.1 Identificacin de Necesidades de Entrenamiento

OBJETIVO DE CONTROL
En lnea con el plan a largo plazo, la Gerencia
deber establecer y mantener procedimientos
para identificar y documentar las necesidades de
entrenamiento de todo el personal que haga uso
de los servicios de informacin. Deber establecerse un curriculum de entrenamiento para cada
grupo de empleados.
7.2 Organizacin del Entrenamiento
OBJETIVO DE CONTROL
Tomando como base las necesidades identificadas, la Gerencia deber definir los grupos objetivo, identificar y asignar entrenadores y organizar
oportunamente las sesiones de entrenamiento.
Asimismo, debern investigarse las alternativas
de entrenamiento (Localidad interna o externa,
entrenadores internos o externos, etc.).
7.3 Entrenamiento sobre Principios y Conciencia
de Seguridad
OBJETIVO DE CONTROL
Todo el personal deber estar capacitado y entrenado en los principios de seguridad de sistemas.
La alta gerencia deber proporcionar un programa de educacin y entrenamiento que incluya:
conducta tica de la funcin de servicios de informacin, prcticas de seguridad para proteger
de una manera segura contra daos que afecten
la disponibilidad, la confidencialidad la integridad y el desempeo de las tareas.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

DS8
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P
Monitoreo
Apoyo y asistencia a los clientes de TI

asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente
un Bur de ayuda que proporcione soporte y asesora
de primera lnea
consultas de usuarios y respuesta a problemas

monitoreo de consultas y despacho
anlisis y reporte de tendencias
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
P P
55
56
Bur de ayuda (help desk)

Despacho (clearance)
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
APOYO Y ASISTENCIA A LOS CLIENTES

DE TECNOLOGA DE INFORMACIN
8.1 Bur de Ayuda

OBJETIVO DE CONTROL
Deber establecerse un soporte para usuarios dentro de una funcin de bur de ayuda. Las personas responsables de llevar a cabo esta funcin
debern interactuar estrechamente con el personal de manejo de problemas.
8.2 Registro de Preguntas del Usuario
OBJETIVO DE CONTROL
Debern establecerse procedimientos para asegurar que todas las preguntas de los clientes sean
registradas adecuadamente por el bur de ayuda.
8.3 Escalamiento de Preguntas del Cliente
OBJETIVO DE CONTROL
Los procedimientos del bur de ayuda debern
asegurar que las preguntas de los clientes que no
puedan ser resueltas inmediatamente sean reasignadas apropiadamente dentro de la funcin de
servicios de informacin hasta el nivel adecuado
para atenderlas.
8.4 Monitoreo de Atencin a Clientes
OBJETIVO DE CONTROL
La Gerencia deber establecer procedimientos
para monitorear oportunamente la atencin a las
preguntas de los clientes. Las preguntas que permanezcan pendientes por largo tiempo debern
ser investigadas y atendidas.
8.5 Anlisis y Reporte de Tendencias
OBJETIVO DE CONTROL
Debern establecerse procedimientos que aseguren el reporte adecuado de las preguntas de los
clientes y su solucin, de los tiempos de respuesta y la identificacin de tendencias. Los reportes
debern ser analizados y sus resultados debern
ser atendidos adecuadamente.
55
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

Bur de ayuda (help desk)

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

DS9
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
Administracin de la configuracin
dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar
una base para el sano manejo de cambios
controles que identifiquen y registren todos los activos
de TI as como su localizacin fsica y un programa
regular de verificacin que confirme su existencia
P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
registro de activos
administracin de cambios en la configuracin
chequeo de software no autorizado
controles de almacenamiento de software
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
9.6 Almacenamiento de Software
ADMINISTRACIN DE LA CONFIGURACIN
OBJETIVO DE CONTROL
9.1 Registro de la Configuracin
Deber definirse un rea de almacenamiento de

archivos (biblioteca) para todos los elementos de
software vlidos en las fases apropiadas del ciclo
de vida de desarrollo de sistemas. Estas reas
debern estar separadas unas de otras y de las
reas de almacenamiento de archivos de desarrollo, pruebas y produccin.
OBJETIVO DE CONTROL
Debern establecerse procedimientos para asegurar que sean registrados nicamente elementos
de configuracin autorizados e identificables en
el inventario, al momento de la adquisicin. Por
otra parte, debern establecerse procedimientos
para dar seguimiento a los cambios en la configuracin (nuevo elemento, cambio de estatus de
desarrollo a prototipo). El registro en bitcoras y
el control debern ser una parte integrada del
sistema de registro de configuracin, incluyendo
revisiones de registros modificados.
9.2 Configuracin Base
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurarse de que exista una configuracin base de elementos como punto de verificacin al cual regresar despus de las modificaciones.
9.3 Registro de Estatus
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que los registros de configuracin reflejen el estatus real de todos los
elementos de la configuracin incluyendo la historia de los cambios.
9.4 Control de la Configuracin
OBJETIVO DE CONTROL
Los procedimientos debern asegurar que la
existencia y consistencia del registro de la configuracin de la funcin de servicios de informacin sean revisadas peridicamente.
9.5 Software no Autorizado
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber revisar peridicamente la existencia de software no autorizado en las computadoras personales de la organizacin.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

DS10
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
administracin de problemas e incidentes

asegurar que los problemas e incidentes sean resueltos y que
sus causas sean investigadas para prevenir cualquier recurrencia
un sistema de manejo de problemas que registre y d
seguimiento a todos los incidentes
P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
suficientes pistas de auditora de problemas

y soluciones
resolucin oportuna de problemas reportados
procedimientos de escalamiento
reportes de incidentes
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
10 ADMINISTRACIN DE PROBLEMAS E INCIDENTES
10.1 Sistema de Administracin de Problemas

OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber definir e implementar un sistema
de administracin de problemas para asegurar
que todos los eventos operacionales que no formen parte de la operacin estndar (incidentes,
problemas y errores) sean registrados, analizados
y resueltos oportunamente. Debern emitirse
reportes de incidentes en el caso de problemas
significativos.
10.2 Escalamiento de Problemas
OBJETIVO DE CONTROL
La Gerencia deber definir e implementar procedimientos de escalamiento de problemas para
asegurar que los problemas identificados sean
resueltos oportunamente de la manera ms eficiente. Estos procedimientos debern asegurar
que las prioridades sean establecidas apropiadamente. Los procedimientos tambin debern documentar el procedimiento de escalamiento para
la activacin del plan de continuidad de tecnologa de informacin.
10.3 Seguimiento de Problemas y Pistas de Auditora
OBJETIVO DE CONTROL
El sistema de administracin de problemas deber proporcionar elementos adecuados para pistas
de auditora que permitan el seguimiento de las
causas a partir de un incidente (por ejemplo, liberacin de paquetes o implementacin de cambios
urgentes) y viceversa. Deber trabajar estrechamente con la administracin de cambios, la administracin de disponibilidad y la administracin de configuracin.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

DS11
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
Administracin de datos
asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin y almacenamiento
una combinacin efectiva de controles generales y de
aplicacin sobre las operaciones de TI
diseo de formatos
controles de documentos fuente
controles de entrada
controles de procesamiento
controles de salida
identificacin, movimiento y administracin de la librera de medios
administracin de almacenamiento y respaldo de medios
autenticacin e integridad
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
11.6 Procedimientos de Autorizacin de Entrada de
Datos
11 ADMINISTRACIN DE DATOS
11.1 Procedimientos de Preparacin de Datos
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos apropiados para asegurar que la entrada de

datos sea llevada a cabo nicamente por personal
autorizado.
La Gerencia deber establecer procedimientos de

preparacin de datos a ser seguidos por los departamentos usuarios. En este contexto, el diseo de formas de entrada de datos deber ayudar a
minimizar los errores y las omisiones. Durante la
creacin de los datos, los procedimientos de manejo de errores debern asegurar razonablemente
que los errores y las irregularidades sean detectados, reportados y corregidos.
11.7 Chequeos de Exactitud, Suficiencia y Autorizacin

OBJETIVO DE CONTROL
Los datos sobre transacciones, capturados para
su procesamiento (generados por personas, por
sistemas o entradas de interfase) debern estar
sujetos a una variedad de controles para verificar
su exactitud, suficiencia y validez. Asimismo,
debern establecerse procedimientos para asegurar que los datos de entrada sean validados y editados tan cerca del punto de origen como sea posible.
11.2 Procedimientos de Autorizacin de Documentos Fuente

OBJETIVO DE CONTROL
La Gerencia deber asegurar que los documentos
fuente sean preparados apropiadamente por personal autorizado que acta dentro de su autoridad, y que se establezca una separacin de funciones adecuada con respecto al origen y aprobacin de documentos fuente.
11.8 Manejo de Errores en la Entrada de Datos

OBJETIVO DE CONTROL
11.3 Recopilacin de Datos de Documentos Fuente
La organizacin deber establecer procedimientos para la correccin y reenvo de datos que

hayan sido capturados errneamente.
OBJETIVO DE CONTROL
Los procedimientos de la organizacin debern
asegurar que todos los documentos fuente autorizados estn completos, sean precisos, registrados
apropiadamente y transmitidos oportunamente
para la entrada de datos.
11.9 Integridad de Procesamiento de Datos

OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para el procesamiento de datos que aseguren
que la segregacin de funciones sea mantenida
y que el trabajo realizado sea verificado rutinariamente. Los procedimientos debern asegurar
que se establezcan controles de actualizacin
adecuados como totales de control "corrida a
corrida" y controles de actualizacin de archivos maestros.
11.4 Manejo de errores de documentos fuente

OBJETIVO DE CONTROL
Los procedimientos de manejo de errores durante
la creacin de datos debern asegurar razonablemente que los errores y las irregularidades sean
detectados, reportados y corregidos.
11.5 Retencin de Documentos Fuente
11.10 Validacin y Edicin de Procesamiento de

Datos
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Debern establecerse procedimientos para asegurar que la organizacin pueda retener o reproducir los documentos fuente originales durante un
perodo de tiempo razonable para facilitar la recuperacin o reconstruccin de datos, as como
para satisfacer requerimientos legales.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
La organizacin deber establecer procedimientos para asegurar que la validacin, autenticacin y edicin del procesamiento sean llevadas
a cabo tan cerca del punto de origen como sea
posible. Cuando se utilicen sistemas de Inteligencia Artificial, dichos sistemas sern ubica-

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
dos en una infraestructura de control interactiva

con operadores humanos para asegurar que las
decisiones vitales son aprobadas.
11.16 Provisiones de Seguridad para Reportes de

Salida
OBJETIVO DE CONTROL
11.11 Manejo de Errores en el Procesamiento de

Datos
La organizacin deber establecer procedimientos para garantizar que la seguridad de los reportes de datos de salida sea mantenida para
todos aquellos reportes que estn por distribuirse, as como para todos aqullos que ya hayan
sido distribuidos a los usuarios.
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos de manejo de errores en el procesamiento de
datos que permitan la identificacin de transacciones errneas sin que stas sean procesadas y
sin interrumpir el procesamiento de otras transacciones vlidas.
11.17 Proteccin de Informacin Sensible durante

transmisin y transporte
OBJETIVO DE CONTROL
11.12 Manejo y Retencin de Datos de Salida
La Gerencia deber asegurar que durante la

transmisin y transporte de informacin sensible, se proporcione una adecuada proteccin
contra acceso o modificacin no autorizada, as
como contra envos a direcciones errneas.
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para el manejo y la retencin de datos de
salida de sus programas de aplicacin de tecnologa de informacin. En caso de que instrumentos negociables (ej. tarjetas de valor58) sean
los receptores de la salida, se deber poner cuidado especial en prevenir usos inadecuados.
11.18 Proteccin de Informacin Crtica a Ser Desechada

OBJETIVO DE CONTROL
La Gerencia deber definir e implementar procedimientos para impedir la divulgacin indebida o el desecho de informacin delicada de la
organizacin. Tales procedimientos debern
garantizar que ninguna informacin marcada
como borrada o desechada, pueda ser accedida por personas internas o externas a la organizacin.
11.13 Distribucin de Datos de Salida

OBJETIVO DE CONTROL
La organizacin deber establecer y comunicar
procedimientos escritos para la distribucin de
datos de salida de tecnologa de informacin.
11.14 Balanceo y Conciliacin de Datos de Salida
11.19 Administracin de Almacenamiento
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para asegurar que los datos de salida sean
balanceados rutinariamente con los totales de
control relevantes. Debern existir pistas de
auditora para facilitar el seguimiento del procesamiento de transacciones y la conciliacin de
los datos con problema.
Debern desarrollarse procedimientos para el

almacenamiento de datos que consideren requerimientos de recuperacin, de economa y las
polticas de seguridad.
11.15 Revisin de Datos de Salida y Manejo de

Errores
OBJETIVO DE CONTROL
La Gerencia de la organizacin deber establecer
procedimientos para asegurar que la precisin de los
reportes de los datos de salida sea revisada por el
proveedor y por los usuarios relevantes. Asimismo,
debern establecerse procedimientos para controlar
los errores contenidos en los datos de salida.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
58

Tarjetas de valor (valor cards): tarjetas que

pueden almacenar valor, talcomo los monederos
electrnicos.
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
11.20 Perodos de Retencin y Trminos de Almacenamiento
11.24 Funciones de Respaldo

OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Debern establecerse procedimientos para asegurar que los respaldos sean realizados de
acuerdo con la estrategia de respaldo definida, y
que su utilidad sea verificada regularmente.
Debern definirse los perodos de retencin y

los trminos de almacenamiento para documentos, datos, programas, reportes y mensajes (de
entrada y de salida), as como los datos (claves,
certificados) utilizados para su encriptamiento y
autenticacin.
11.25 Almacenamiento de Respaldos

OBJETIVO DE CONTROL
11.21 Sistema de Administracin de la Librera de

Medios
Los procedimientos de respaldo para los medios

relacionados con tecnologa de informacin debern incluir el almacenamiento apropiado de
los archivos de datos, del software y de la documentacin relacionada, tanto dentro como fuera
de las instalaciones. Los respaldos debern ser
almacenados con seguridad y las instalaciones
de almacenamiento debern ser revisadas peridicamente con respecto a la seguridad de acceso
fsico y la seguridad de los archivos de datos y
otros elementos.
OBJETIVO DE CONTROL
establecer procedimientos para asegurar que el
contenido de su librera de medios sea inventariado sistemticamente, que cualquier discrepancia revelada por un inventario fsico sea solucionada oportunamente y que se lleven a cabo
las medidas necesarias para mantener la integridad de los medios magnticos almacenados en
la librera.
11.26 Archivo
OBJETIVO DE CONTROL
11.22 Responsabilidades de la Administracin de la

Librera de Medios
La Gerencia deber implementar una poltica y

procedimientos para asegurar que el archivo
cumple con requerimientos legales y de negocio
y que se encuentra debidamente protegido y
registrado adecuadamente.
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber establecer procedimientos de
administracin para proteger el contenido de la
librera de medios. Debern definirse estndares para la identificacin externa de medios
magnticos y el control de su movimiento y almacenamiento fsico para soportar su seguimiento y registro. Las responsabilidades sobre
el manejo de la libreras de medios (cintas magnticas, cartuchos, discos y diskettes) debern
ser asignadas a miembros especficos del personal de servicios de informacin.
11.27 Proteccin de Mensajes Sensitivos

OBJETIVO DE CONTROL
Con respecto a la transmisin de datos a travs
de Internet u otra red pblica, la Gerencia deber definir e implementar procedimientos y protocolos para ser utilizados para el aseguramiento de la integridad, confidencialidad y no negacin de mensajes sensitivos.
11.28 Autenticacin e Integridad
11.23 Respaldo y Restauracin

OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber implementar una estrategia

apropiada de respaldo y restauracin para asegurar
que sta incluya una revisin de los requerimientos del negocio, as como el desarrollo, implementacin, prueba y documentacin del plan de recuperacin. Se debern establecer procedimientos
para asegurar que los respaldos satisfagan los requerimientos mencionados anteriormente.
Previamente a que alguna accin crtica sea tomada sobre informacin originada fuera de la
Organizacin que se reciba va telfono, correo
de voz, documentos (en papel), fax o correo
electrnico, se deber verificar adecuadamente
la autenticidad e integridad de dicha informacin.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
11.29 Integridad de Transacciones Electrnicas

OBJETIVO DE CONTROL
Tomando en consideracin que las fronteras
tradicionales de tiempo y de geografa son menos precisas y confiables, la Gerencia deber
definir e implementar apropiados procedimientos y prcticas para transacciones electrnicas
que sean sensitivas y crticas para la Organizacin, asegurando la integridad y autenticidad
de:
l atomicidad (unidad de trabajo indivisible,

todas sus acciones tienen xito o todas ellas fallan)
l consistencia (si la transaccin no logra alcanzar un estado final estable, deber regresar al
sistema a su estado inicial);
l aislamiento (el comportamiento de una transaccin no es afectado por otras transacciones
que se ejecutan concurrentemente); y
l durabilidad (los efectos de una transaccin
son permanentes despus que concluye su proceso59, los cambios que origina deben sobrevivir
fallas de sistema)
11.30 Integridad Continua de Datos Almacenados
OBJETIVO DE CONTROL
La Gerencia deber asegurar que la integridad y
lo adecuado de los datos mantenidos en archivos y otros medios (ej. tarjetas electrnicas) se
verifique peridicamente. Atencin especfica
deber darse a dispositivos60 de valor, archivos
de referencia61 y archivos que contengan informacin privada.
59
60
61
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

Concluye su proceso (commits): se dice de una

transaccin que actualiza los datos que maneja al
concluir su proceso.
Dispositivos (tokens)
Archivos de referencia (reference files)
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

DS12
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
Administracin de instalaciones
proporcionar un ambiente fsico conveniente que proteja al
equipo y al personal de TI contra peligros naturales o fallas
humanas
la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado
acceso a instalaciones
identificacin del centro de cmputo
seguridad fsica
salud y seguridad del personal
proteccin contra amenazas ambientales
P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
12 ADMINISTRACIN DE INSTALACIONES
12.5 Proteccin contra Factores Ambientales

OBJETIVO DE CONTROL
12.1 Seguridad Fsica
La Gerencia de la funcin de servicios de informacin deber asegurar que se establezcan y

mantengan las suficientes medidas para la proteccin contra los factores ambientales (por
ejemplo, fuego, polvo, electricidad, calor o
humedad excesivos). Debern instalarse equipo
y dispositivos especializados para monitorear y
controlar el ambiente.
OBJETIVO DE CONTROL
Debern establecerse apropiadas medidas de seguridad fsica y control de acceso para las instalaciones de tecnologa de informacin de acuerdo con la poltica de seguridad general, incluyendo el uso de dispositivos de informacin fuera de
las instalaciones. El acceso deber restringirse a
las personas que hayan sido autorizadas a contar
con dicho acceso.
12.6 Suministro Ininterrumpido de Energa

OBJETIVO DE CONTROL
12.2 Discrecin62 de las Instalaciones de Tecnologa

de Informacin
La Gerencia deber evaluar regularmente la necesidad de generadores y bateras de suministro

ininterrumpido de energa para las aplicaciones
crticas de tecnologa de informacin, con el fin
de asegurarse contra fallas y fluctuaciones de
energa. Cuando sea justificable, deber instalarse el equipo ms apropiado.
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que se lleve un bajo perfil discrecin y que la identificacin fsica de
las instalaciones relacionadas con sus operaciones de tecnologa de informacin sea limitada.
12.3 Escolta de Visitantes
OBJETIVO DE CONTROL
Debern establecerse procedimientos apropiados
que aseguren que las personas que no formen
parte del grupo de operaciones de la funcin de
servicios de informacin sean escoltadas por algn miembro de ese grupo cuando deban entrar a
las instalaciones de cmputo. Deber mantenerse y revisarse regularmente una bitcora de visitantes.
12.4 Salud y Seguridad del Personal
OBJETIVO DE CONTROL
Debern establecerse y mantenerse prcticas de
salud y seguridad en lnea con las leyes y regulaciones internacionales, nacionales, regionales,
estatales y locales.
62
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

Discrecin (low profile)

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

DS13
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
administracin de operaciones
asegurar que las funciones importantes de soporte de TI estn
siendo llevadas a cabo regularmente y de una manera ordenada
una calendarizacin de actividades de soporte que sea
registrada y completada en cuanto al logro de todas las
actividades
manual de procedimiento de operaciones

documentacin de procedimientos de
arranque
administracin de servicios de red
calendarizacin de personal y cargas de
trabajo
proceso de cambio de turno
registro de eventos de sistemas
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

P P
P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
13 ADMINISTRACIN DE OPERACIONES
13.5 Continuidad de Procesamiento

OBJETIVO DE CONTROL
13.1 Manual de procedimientos de Operacin e

Instrucciones
Los procedimientos debern requerir continuidad

de procesamiento durante los cambios de turno
de operadores mediante la existencia de un paso
o entrega formal de actividades, actualizaciones
y reportes de estatus sobre las responsabilidades
actuales.
OBJETIVO DE CONTROL
establecer y documentar procedimientos estndar
para las operaciones de tecnologa de informacin (incluyendo operaciones de red). Todas las
soluciones y plataformas de tecnologa de informacin establecidas debern ser operadas utilizando estos procedimientos, los cuales debern
ser revisados peridicamente para asegurar su
efectividad y cumplimiento.
13.6 Bitcoras de Operacin

OBJETIVO DE CONTROL
Los controles de la Gerencia debern garantizar
que se est almacenando suficiente informacin
cronolgica en bitcoras de operaciones para
permitir la reconstruccin, la revisin y el examen oportunos de las secuencias de tiempo de
procesamiento y otras actividades que lo rodean
y soportan.
13.2 Documentacin del Proceso de Inicio y de

Otras Operaciones
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que el personal de operaciones est adecuadamente familiarizado y se
sienta seguro con las tareas del proceso de inicio
y con otras operaciones al tenerlas documentadas
y al ser stas probadas y ajustadas peridicamente segn se requiera.
13.7 Operaciones Remotas

OBJETIVO DE CONTROL
Para las operaciones remotas, debern existir
procedimientos especficos que aseguren que la
conexin y desconexin de los enlaces con la(s)
instalacin(es) remota(s) sean identificadas e implementadas.
13.3 Calendarizacin de Trabajos63

OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que la calendarizacin
continua de trabajos, procesos y tareas sea organizada en la secuencia ms eficiente, maximizando el proceso y la utilizacin, con el fin de alcanzar los objetivos establecidos en los convenios de
nivel de servicio. Las caledarizaciones iniciales
as como los cambios a estas caledarizaciones
debern ser autorizados apropiadamente.
13.4 Salidas64 de la Calendarizacin de Trabajos
Estndar
OBJETIVO DE CONTROL
Debern establecerse procedimientos para identificar, investigar y aprobar las salidas de calendarizacin de trabajos estndar.
63
64
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

Trabajos (jobs)
Salidas (departures)
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

MONITOREO
M1
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
monitoreo del proceso
asegurar el logro de los objetivos establecidos para los procesos
de TI
la definicin por parte de la gerencia de reportes e indicadores de desempeo gerenciales, la implementacin de sistemas de soporte as como la atencin regular a los reportes emitidos
indicadores clave de desempeo

factores crticos de xito
evaluacin de la satisfaccin de clientes
reportes gerenciales
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
P P P P P
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
MONITOREO DEL PROCESO
1.1 Recoleccin de Datos de Monitoreo

OBJETIVO DE CONTROL
Para los procesos de tecnologa de informacin y
de control interno, la Gerencia deber asegurar
que se definan indicadores de desempeo relevantes (ej. comparaciones externas) tanto para
actividades internas como las proporcionadas por
terceros y que se recolecten datos para la creacin de reportes relevantes de desempeo y reportes de excepcin relacionados con estos indicadores.
1.2 Evaluacin de Desempeo
OBJETIVO DE CONTROL
Los servicios a ser proporcionados por la funcin
de servicios de informacin debern ser medidos
(indicadores clave de desempeo y/o factores
crticos de xito) y comparados con los niveles
objetivo. Las evaluaciones a la funcin de servicios de informacin debern ser desarrolladas en
forma continua.
1.3 Evaluacin de la satisfaccin de Clientes
OBJETIVO DE CONTROL
A intervalos regulares, la Gerencia deber efectuar mediciones de la satisfaccin de los clientes
con respecto a los servicios proporcionados por
la funcin de servicios de informacin, con la
intencin de identificar deficiencias en los niveles de servicio y establecer objetivos de mejoramiento.
1.4 Reportes Gerenciales

OBJETIVO DE CONTROL
Debern proporcionarse reportes gerenciales para ser revisados por la alta gerencia en cuanto al
avance de la organizacin hacia las metas identificadas. Con base en la revisin, la Gerencia deber iniciar y controlar las acciones pertinentes.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

MONITOREO
M2
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te lid
di gri ad
sp da
o
d
cu nib
i
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
Evaluar lo adecuado del control interno
asegurar el logro de los objetivos de control interno establecidos para los procesos de TI
el compromiso de la Gerencia de monitorear los controles internos, evaluar su efectividad y emitir reportes
sobre ellos en forma regular
monitoreo permanente de control interno

comparacin con mejores prcticas
reportes de errores y excepciones
autoevaluaciones
reportes gerenciales
g
ap ente
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
P P P P P
65
Comparacin con mejores prcticas (benchmarks)
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
EVALUAR LO ADECUADO DEL CONTROL INTERNO
2.1 Monitoreo de Control Interno

OBJETIVO DE CONTROL
La Gerencia deber monitorear la efectividad de
los controles internos en el curso normal de las
operaciones a travs de actividades administrativas y de supervisin, comparaciones, reconciliaciones y otras acciones rutinarias. Las desviaciones debern evocar anlisis y acciones correctivas.
2.2 Operacin Oportuna de Controles Internos
OBJETIVO DE CONTROL
La confiabilidad en los controles internos requiere que los controles operen rpidamente para resaltar errores e inconsistencias y que stos sean
corregidos antes de que impacten a la produccin
y a la prestacin de servicios. La informacin
relacionada con los errores, inconsistencias y
excepciones deber ser conservada y reportada
sistemticamente a la Gerencia.
2.3 Reporte sobre el Nivel de Control Interno
OBJETIVO DE CONTROL
La Gerencia deber reportar informacin sobre
niveles de control interno y excepciones a las
partes afectadas para asegurar la efectividad continua de su sistema de control interno. Debern
llevarse a cabo acciones para identificar qu informacin es requerida a un nivel particular de
toma de decisiones.
2.4 Seguridad de Operacin y Aseguramiento de
Control Interno
OBJETIVO DE CONTROL
La garanta de seguridad operacional y el aseguramiento de control interno debern ser establecidos a travs de una autoauditora o de una
auditora independiente para examinar si la seguridad y los controles internos se encuentran operando de acuerdo con los requerimientos de seguridad y control interno establecidos o implcitos. Las actividades de monitoreo continuo por
parte de la Gerencia debern revisar la existencia
de puntos vulnerables y problemas de seguridad.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

MONITOREO
M3
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
co plim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
S
Entrega &
Soporte

obtencin de aseguramiento independiente
Monitoreo
incrementar los niveles de confianza entre la organizacin,
clientes y proveedores externos
revisiones de aseguramiento independientes llevadas
al cabo en intervalos regulares
certificaciones / acreditaciones independientes

evaluaciones independientes de efectividad
aseguramiento independiente sobre cumplimiento de requerimientos legales y regulatorios
aseguramiento independiente de cumplimiento de compromisos contractuales
revisiones a proveedores externos de servicios
aseguramiento de desempeo por personal
calificado
involucramiento proactivo de auditora
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
OBTENCIN DE ASEGURAMIENTO INDEPENDIENTE
3.5 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios

y compromisos contractuales
3.1 Certificacin / Acreditacin Independiente de

Control y Seguridad de los servicios de TI
OBJETIVO DE CONTROL
La Gerencia deber obtener un aseguramiento
independiente sobre el cumplimiento de la funcin de servicios de tecnologa de informacin
con respecto a requerimientos regulatorios y
compromisos contractuales en forma cclica rutinaria.
OBJETIVO DE CONTROL
La Gerencia deber obtener una certificacin o
acreditacin independiente de seguridad y control interno antes de implementar nuevos servicios de tecnologa de informacin que resulten
crticos y obtener re-certificaciones o reacreditaciones de estas actividades en forma una
cclica rutinaria despus de haber hecho la implementacin.
3.6 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios

y compromisos contractuales de proveedores
externos de servicios
3.2 Certificacin / Acreditacin Independiente de

Control y Seguridad de proveedores externos
de servicios
OBJETIVO DE CONTROL
La Gerencia deber obtener un aseguramiento
independiente sobre el cumplimiento de proveedores externos de servicios de tecnologa de informacin con respecto a requerimientos regulatorios y compromisos contractuales en forma
cclica rutinaria.
OBJETIVO DE CONTROL
La Gerencia deber obtener una certificacin o
acreditacin independiente de seguridad y control interno antes de utilizar proveedores de servicios de tecnologa de informacin y obtener recertificaciones o re-acreditaciones de estas actividades en forma cclica rutinaria.
3.7 Competencia de la Funcin de Aseguramiento

Independiente
3.3 Evaluacin Independiente de la Efectividad de

los Servicios de TI
OBJETIVO DE CONTROL
La Gerencia deber asegurarse de que la funcin
de aseguramiento independiente posee competencia tcnica, habilidades y conocimiento necesario para desempear dicha funcin en una forma efectiva, eficiente y econmica.
OBJETIVO DE CONTROL
La Gerencia deber obtener una evaluacin independiente sobre la efectividad de los servicios de
tecnologa de informacin en forma cclica rutinaria.
3.8 Participacin Proactiva de Auditora
3.4 Evaluacin Independiente de la Efectividad de

proveedores externos de servicios
OBJETIVO DE CONTROL
La Gerencia de Tecnologa de Informacin deber buscar la participacin de auditora en una forma proactiva, antes de finalizar soluciones de
servicio de tecnologa de informacin.
OBJETIVO DE CONTROL
La Gerencia deber obtener una evaluacin independiente sobre la efectividad de los proveedores
de servicios de tecnologa de informacin en forma cclica rutinaria.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6

MONITOREO
M4
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
i n ci a
te li
di gri dad
sp da
o
d
cu nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
proveer auditora independiente
incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas
auditoras independientes desarrolladas en intervalos
regulares
P P P P P
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
independencia de auditora
involucramiento proactivo de auditora
ejecucin de auditoras por parte de personal calificado
aclaracin de resultados y recomendaciones
actividades de seguimiento
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
rios para desempear dichas revisiones en forma
efectiva, eficiente y econmica. La Gerencia deber asegurar que el personal asignado68 a tareas
de auditora de sistemas de informacin, mantiene su nivel de competencia tcnica mediante un
programa adecuado de educacin profesional
continua.
PROVEER AUDITORA INDEPENDIENTE

66
4.1 Estatutos de Auditora

OBJETIVO DE CONTROL
La alta gerencia de la organizacin deber establecer los estatutos para la funcin de auditora.
Este documento deber establecer la responsabilidad, autoridad y obligaciones de la funcin de
auditora. Asimismo este documento deber ser
revisado peridicamente para asegurar que se
mantengan la independencia, autoridad y responsabilidad de la funcin de auditora.
4.5 Planeacin
OBJETIVO DE CONTROL
La alta gerencia deber establecer un plan de auditora para garantizar que se obtenga un aseguramiento regular e independiente con respecto a la
efectividad, eficiencia y economa de la seguridad y de los procedimientos de control interno,
as como de la habilidad de la Gerencia para controlar las actividades de la funcin de servicios de
informacin. Dentro de este plan la Gerencia
deber determinar las prioridades relacionadas
con la obtencin de aseguramiento independiente. Los auditores debern planear el trabajo de
auditora para alcanzar los objetivos de auditora
y cumplir con los estndares profesionales correspondientes.
4.2 Independencia
OBJETIVO DE CONTROL
El auditor deber ser independiente del auditado
tanto en actitud como en apariencia (real y percibida). Los auditores no debern estar relacionados con la seccin o departamento que est siendo auditado, y en la medida de lo posible, deber
tambin ser independiente de la propia empresa.
De esta manera, la funcin de auditora deber
ser suficientemente independiente del rea auditada para concluir una auditora en forma objetiva.
4.6 Ejecucin del Trabajo de Auditora

OBJETIVO DE CONTROL
4.3 Etica y Estndares Profesionales
Las auditoras debern ser supervisadas apropiadamente para proporcionar certeza de que los objetivos de auditora estn siendo alcanzados y que
los estndares profesionales de auditora que sean
aplicables estn siendo observados. Los auditores
debern asegurarse de obtener evidencia suficiente, confiable, relevante y til para alcanzar los
objetivos de auditora de forma efectiva. Los
hallazgos y conclusiones de auditora deben estar
soportadas por un anlisis apropiado y una correcta interpretacin de esta evidencia.
OBJETIVO DE CONTROL
La funcin de auditora deber asegurar el cumplimiento de los cdigos aplicables de tica profesional (ej. Cdigo de Etica de la Information
Systems Audit and Control Association) y estndares de auditora (ej. Estndares de la Information Systems Audit and Control Association) en
todo lo que lleve a cabo. El debido cuidado profesional deber observarse en todos los aspectos
del trabajo de auditora, incluyendo el respeto de
estndares aplicables sobre auditora y tecnologa
de informacin.
4.4 Competencia
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los auditores
responsables de las revisiones de las actividades
de la funcin de servicios de informacin de la
organizacin, sean tcnicamente competentes y
cuentan en forma general con las habilidades y
conocimientos (ej. dominios de CISA68) necesa1)250$7,216<67(06$8',7$1'&21752/)281'$7,21
66
67
68

Estatutos (charter)
CISA: es un acrnimo para el titulo de Certified
Information Systems Auditor (auditor certificado de
sistemas de informacin).
Personal asignado (staff)
%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
4.7 Reporte
OBJETIVO DE CONTROL
La funcin de auditora de la organizacin deber
proporcionar un reporte en un formato adecuado,
para todo el personal interesado una vez concluida su revisin. El reporte de auditora deber
mostrar los objetivos de la auditora, el perodo
de cobertura y la naturaleza y extensin de trabajo de auditora realizado. El reporte deber identificar a la Organizacin, los destinatarios del informe y cualquier restriccin en su circulacin.
El reporte de auditora deber tambin mostrar
los hallazgos, conclusiones y recomendaciones
relacionadas con el trabajo de auditora llevado a
cabo, as como cualquier salvedad o comentario
que el auditor tenga con respecto a la auditora.
4.8 Actividades de Seguimiento
OBJETIVO DE CONTROL
La resolucin acerca de los comentarios sobre la
auditora depende de la Gerencia. Los auditores
debern solicitar y evaluar informacin pertinente
sobre hallazgos, conclusiones y recomendaciones
previos para determinar si las acciones apropiadas han sido implementadas de manera oportuna.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
APNDICE I DESCRIPCIN DEL PROYECTO COBIT

rrollo del Marco Referencial ("Framework") COBIT y
en la aplicacin de los resultados de investigacin.
ORGANIZACION & RESPONSABILIDADES

El proyecto ha sido supervisado por un Comit de Direccin formado por representantes internacionales de
la academia, industria, gobierno y la profesin de auditora. La direccin global del proyecto fue proporcionada por el Consejo Directivo de ISACA. El Comit de Direccin de Proyectos intervino en el desa-
Se establecieron grupos de trabajo internacionales con

el propsito de asegurar la calidad y contar con una
revisin experta de la investigacin provisional y los
elementos entregables del desarrollo del proyecto.
Director del Proyecto

Erik Guldentops *
Director del Proyecto

Eddy Schuermans *
COMITE DE DIRECCION
John Beveridge
Bart De Shutter
Gary Hardy
John Lainhart
Thomas Lamm
Akira Matsuo
Paul Williams
* = Equipo del Proyecto
Europa
Investigacin
Acadmica
EUA
Investigacin
Acadmica
Australia
Investigacin
de Benchmark
Aseguramiento de Calidad
de Captulo Local
de Captulo Local
Grupo Experto
Regional
Grupo Experto
Regional
de Captulo Local
Equipo Internacional de Expertos
bles a cada proceso de tecnologa de informacin particular. Se les atribuy a los investigadores la responsabilidad
de la compilacin, revisin, evaluacin e incorporacin
apropiadas de los estndares tcnicos internacionales, cdigos de conducta, estndares de calidad, estndares profesionales en las auditoras, prcticas y requerimientos industriales y requerimientos de industrias especficos, en cuanto a su relacin con el marco de referencia y con objetivos
de control individuales. Sus esfuerzos produjeron ms de
300 objetivos de control nuevos y actualizados para poner
a la consideracin de los revisores de calidad y de los grupos expertos.
INVESTIGACION
La investigacin incluy la recoleccin y el anlisis de
fuentes identificadas y fue llevada a cabo por equipos de
investigacin en Europa (Free University of Amsterdam),
Estados Unidos (California Polytechnic University) y Australia (University of New South Wales). Los equipos de
investigacin fueron provistos de personal con representantes acadmicos y profesionales.
Despus de la recoleccin y el anlisis, los investigadores
enfrentaron el reto de examinar cada campo, procesar con
detenimiento y sugerir nuevos objetivos de control aplica1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
Corriente Europea de
Investigacin Bsica
AC
Corriente de EUA de
Investigacin Bsica
AC
Corriente de
Investigacin de
Benchmark de
Australia
AC
Revisin de
Expertos
Europa
Prueba de
Consolidacin de
Investigacin
Consolidacin de
Hallazgos de
Expertos
Revisin de
Expertos
EUA
BD
COBIT
mentos y estndares identificados. La intencin no

era llevar a cabo un anlisis global de todo el material
ni un redesarrollo de los Objetivos de Control desde
el principio. Se trataba ms bien de un proceso de
comparacin y actualizacin.
ENFOQUE Y MATERIAL FUENTE
El resultado de esta investigacin fue una lista de coincidencias primarias (en los Objetivos de Control,
pero no en el material de comparacin) y de coincidencias secundarias (en el material de comparacin,
pero no en los Objetivos de Control).
Siguiendo el desarrollo del marco referencial llevado a

cabo por el Comit de Direccin, probado y actualizado por los Grupos Expertos, cada uno de los grupos de
investigacin llev a cabo una comparacin individual
de los Objetivos de Control con cada uno de los docu-
DTI
Producto
Actual
BD
COBIT
La consolidacin de los resultados fue llevada a cabo

primordialmente por el Equipo de Proyectos, compuesto por el Director de Proyectos, el Gerente de Proyectos y el Director de Investigaciones de ISACF.
ITIL
Objetivos de
Control
Mejorados
ISO
Reporte de coincidencias
ISACF
COBIT
Inconsistencias primarias
Inconsistencias secundarias
Modificaciones recomendadas
OECD
ITSEC
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
APNDICE II - MATERIAL DE REFERENCIA PRIMARIA

Nota del traductor: Debido a que el contenido de este apndice se compone principalmente de nombres propios de instituciones
y publicaciones, dichos nombres han sido respetados mantenindolos en ingls.
COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - Integrated
Framework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994.
OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of Information, Paris, 1992.
DTI Code of Practice for Information Security Management: Department of Trade and Industry and British
Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995.
ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance Standards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of software, Switzerland, 1991.
NIST Security Handbook: National Institute of Standards and Technology, U.S. Department of Commerce. An
Introduction to Computer Security: The NIST Handbook, Washington, DC, 1995.
ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines developed by the Central Computer and Telecommunications Agency (CCTA), London, 1989.
IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials
Group on Information Security, advising the European Commission) Brussels, Belgium, 1994.
NSW Premiers Office Statements of Best Practices and Planning Information Management and Techniques:
Statements of Best Practice #1 through #6. premiers Department New South Wales, Government of New South
Wales, Australia, 1990 through 1994.
Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data Processing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998.
EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph Series #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994.
PCIE (presidents Council on Integrity and Efficiency) Model Framework: A Model Framework for Management Over Automated Information Systems. Prepared jointly by the presidents Council on Management Improvement and the presidents Council on Integrity and Efficiency, Washington, DC, 1987.
Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by
the Chuo Audit Corporation, Tokyo, August 1994.
Control Objectives Controls in an Information Systems Environment: Control Guidelines and Audit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Fourth Edition,
Rolling Meadows, IL, 1992.
CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified Information Systems Auditor Job Analysis Study", Rolling Meadows, IL, 1994.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
CICA Computer Control Guidelines: Canadian Institute of Chartered Accountants, Toronto, 1986.
IFAC International Guidelines for Managing Security of Information and Communications: International
Federation of Accountants, New York, NY, 1997.
IFAC International Guidelines on Information Technology Management - Managing Information Technology Planning for Business Impact (Draft): International Federation of Accountants, New York, NY, 1998.
Standards for Internal Control in the U.S. Federal Government: U.S. General Accounting Office, Washington,
DC, 1983.
Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NBS Special
Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington,
DC, 1988.
Government Auditing Standards: U. S. General Accounting Office, Washington, DC, 1994.
Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants, Denmark, 1994.
SPICE: Software Process Improvement and Capability Determination. A standard on software process improvement, British Standards Institution, London, 1995.
DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute International. Guideline for Business Continuity Planners, St. Louis, MO, 1997.
IIA, SAC Systems Audibility and Control: Institute of Internal Auditors Research Foundation, Systems Audibility and Control Report, Alamonte Springs, FL, 1991, 1994.
IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research Foundation, Alamonte Springs, FL, 1997.
E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996.
C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, NY, 1997.
ISO IEC JTC1/SC27 Information Technology - Security: International Organisation for Standardisation (ISO)
Technical Committee on Information Technology Security, Switzerland, 1998.
ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical Committee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992.
ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services: International Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services, Draft,
Switzerland, 1997.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
CCEB 96/011, Common Criteria for Information Technology Security Evaluation: Common Criteria Implementation Board, Alignment and comparison of existing European, US and Canadian IT Security Criteria, Draft,
Washington, DC, 1997.
Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987.
TickIT: Guide to Software Quality Management System Construction and Certification. British Department of
Trade and Industry (DTI), London, 1994
ESF Baseline Control - Communications: European Security Forum, London. Communications Network Security, September 1991; Baseline Controls for Local Area Networks, September, 1994.
ESF Baseline Control - Microcomputers: European Security Forum, London. Baseline Controls Microcomputers
Attached to Network, June 1990.
Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Rolling Meadows, IL, 1992.
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
APNDICE III - GLOSARIO DE TERMINOS ORIGINALES

AICPA
Instituto Americano de Contadores Pblicos Certificado. (American Institute of Certified Public

Accountants)
CCEB
Criterios comunes para seguridad en tecnologa de informacin. (Common Criteria for

Information Technology Security)
CICA
Instituto Canadiense de Contadores. (Canadian Institute of Chartered Accountants)
CISA
Auditor Certificado de Sistemas de Informacin. (Certified Information Systems Auditor)
Control
Polticas, procedimientos, prcticas y estructuras organizacionales, diseados para proporcionar

una seguridad razonable de que los objetivos del negocio sern alcanzados y que eventos no
deseados sern prevenidos o detectados y corregidos.
COSO
Comit de Organizaciones Patrocinadoras de la Comisin de Intercambio.

"Tradeway" (Committee of Sponsoring Organisations of the Tradeway Commission).
DRI
Instituto Internacional de Recuperacin de Desastres. (Disaster Recovery Institute International)
DTI
Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of
the United Kingdom)
EDIFACT
Intercambio Electrnico de Datos para la Administracin, el Comercio y la Industria (Electronic

Data Interchange for Administration, Commerce and Trade)
EDPAF
Fundacin de Auditores de Procesamiento Electrnico de Datos (Electronic Data Processing

Auditors Foundation), ahora ISACF.
ESF
Foro Europeo de Seguridad (European Security Forum), cooperacin de 70+ multinacionales

europeas principalmente con el propsito de investigar problemas de seguridad y control
comunes de TI.
GAO
Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office)
I4
Instituto Internacional de Integridad de Informacin. (International Information Integrity

Institute), asociacin similar a ESF, con metas similares, pero con base principalmente en los
Estados Unidos y dirigida por el Instituto de Investigaciones de Stanford (Stanford Research
Institute)
IBAG
Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group), representantes de la

industria que asesoran al Comit Infosec. Este Comit est compuesto por funcionarios de los
gobiernos de la Comunidad Europea y asesora a la Comisin Europea sobre cuestiones de
seguridad de TI.
IFAC
Federacin Internacional de Contadores. (International Federation of Accountants)
IIA
Instituto de Auditores Internos. (Institute of Internal Auditors)
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/
%-(7,926'(&21752/3$5$/$,1)250$&,1<7(&12/2*$6$),1(6
INFOSEC
Comit Consultivo para la Comisin Europea en Materia de Seguridad TI. (Advisory Committee
for IT Security Matters to the European Commission)
ISACA
Asociacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit

and Control Foundation)
ISACF
Fundacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit

and Control Foundation)
ISO
Organizacin de Estndares Internacionales. (International Standards Organisation) (con

oficinas en Gnova, Suiza)
ISO9000
Estndares de manejo y aseguramiento de la calidad definidos por ISO.
ITIL
Biblioteca de Infraestructura de Tecnologa de Informacin. (Information Technology

Infrastructure Library)
ITSEC
Criterios de Evaluacin de Seguridad de Tecnologa de Informacin (Information Technology

Security Evaluation Criteria). Combinacin de los criterios de Francia, Alemania, Holanda y
Reino Unido, soportadas consecuentemente por la Comisin Europea (ver tambin TCSEC, el
equivalente en los Estados Unidos).
NBS
Departamento Nacional de Estndares de los Estados Unidos (National Bureau of Standards of

the U.S.)
NIST
(antes NBS)
Instituto Nacional de Estndares y Tecnologa. (National Institute of Standards
and Technology), con base en Washington D.C.
NSW
Nueva Gales del Sur, Australia. (New South Wales, Australia)
Objetivo de
Control de TI
Declaracin del resultado deseado o propsito a ser alcanzado al implementar

procedimientos de control en una actividad particular de TI.
OECD
Organizacin para la Cooperacin y el Desarrollo Econmico. (Organisation for Economic

Cooperation and Development)
OSF
Fundacin de Software Pblico (Open Software Foundation)
PCIE
Consejo Presidencial de Integridad y Eficiencia. (Presidents Council on Integrity and

Efficiency)
TCSEC
Criterios de Evaluacin de Sistemas Computarizados Confiables. (Trusted Computer System

Evaluation Criteria), conocido tambin como "The Orange Book". Criterios de evaluacin de
seguridad para sistemas computarizados definidos originalmente por el Departamento de
Defensa de los Estados Unidos. Ver tambin ITSEC, el equivalente europeo.
TickIT
Gua para la Construccin y Certificacin de Sistemas de Administracin de Calidad. (Guide to

Software Quality Management System Construction and Certification)
1)250$7,216<67(06$8',7$1'&21752/)281'$7,21

%-(79,26'(&21752/

02 - AUDCobit 1998

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

02 - AUDCobit 1998

Transféré par

Droits d'auteur :

Formats disponibles

2

Traduccin al espaol por Gustavo A. Sols Montes, CISA

El Marco Referencial de COBIT

Acuerdo de Licencia (disclosure)

Relaciones de Objetivos de Control

Copyright 1996, 1998 de la Information Systems Audit and Control

Excepto por lo indicado, no se otorga ningn otro derecho o permiso

Traducido al espaol de COBIT 2da Edicin: Objetivos de Control

Information Systems Audit and Control Foundation

ISBN 0-9629440-5-X (Control Objectives, English)

PATROCINADORES DE LOS ASOCIADOS

Fellesdata a/s, Norway

PRINCIPALES CAPTULOS DE ISACA

CAPTULOS DE ISACA ASOCIADOS

ANALISTAS EXPERTOS USA

EL EQUIPO DEL PROYECTO

Prof. Ulric J. Gelinas, Bentley College

Erik Guldentops, S.W.I.F.T. S.C., Belgium

COMIT QUE DIRIGE EL PROYECTO

AGRADECIMIENTO ESPECIAL a los miembros de la

ANALISTAS EXPERTOS EUROPA

n elemento crtico para el xito y la supervivencia

ferencial de dominios y procesos y presenta actividades

La administracin, mediante este gobierno corporativo2,

a orientacin a negocios es el tema principal de

Adems, el Marco Referencial proporciona definiciones

Con el fin de proporcionar la informacin que

Lista de verificacin (check list)

Definir un Plan Estratgico de

Definir Niveles de Servicio

AI1 Identificar Soluciones

DESARROLLO DEL PRODUCTO COBIT

Sin excluir ningn otro estndar aceptado en el campo del

Estndares Tcnicos de ISO, EDIFACT, etc.

Este estndar es relativamente pequeo en tamao, con el

DEFINICIN DEL PRODUCTO COBIT

el desarrollo de un marco referencial para

El Conjunto de Herramientas de Implementacin incluye la

EVOLUCIN DEL PRODUCTO COBIT

Familia de Productos COBIT

Diagnstico de la Conciencia de la Gerencia

entre riesgos e inversiones en control en un ambiente de

En aos recientes, ha sido cada vez ms evidente para

Existe una creciente necesidad entre los USUARIOS en

l la creciente dependencia en informacin y en los

l la creciente vulnerabilidad y un amplio espectro de

l la escala y el costo de las inversiones actuales y

futuras en informacin y en tecnologa de informacin; y

l el potencial que tienen las tecnologas para cambiar

La administracin debe decidir la inversin razonable

Guerra de informacin (information warfare)

categora son el Security Code of Conduct del DTI

La especial atencin prestada a la obtencin de ventajas

Un enfoque hacia los requerimientos de negocio en

Si los administradores, los especialistas en sistemas de

Por lo tanto, el objetivo principal del proyecto COBIT es

En vista de estos continuos cambios, el desarrollo de

Para propsitos de este proyecto, se proporcionan las

AUDITORES DE SISTEMAS DE INFORMACION:

ORIENTACIN A OBJETIVOS DE NEGOCIO

Las polticas, procedimientos, prcticas y estructuras organizacionales

La clasificacin de los dominios a los que se aplican los

LOS PRINCIPIOS DEL MARCO REFERENCIAL

5HIHUHQFLDGH&2%,7&2%,7)UDPHZRUNVH