Académique Documents
Professionnel Documents
Culture Documents
COBIT
OBJETIVOS DE CONTROL
3a Edicin
Emitido por el Comit Directivo de COBIT y
El IT Governance Institute MR
Traduccin al espaol por Gustavo A. Sols Montes, CISA
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control
en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas
y auditores.
IT GOVERNANCE INSTITUTE
ARGENTINA
ARUBA
AUSTRALIA
AUSTRIA
BAHAMAS
BAHRAIN
BANGLEDESH
BARBADOS
BLGICA
BERMUDA
BOLIVIA
BOSTSWANA
BRASIL
BRUENI
CANAD
CHILE
CHINA
COLOMBIA
COSTA RICA
CROATA
CURAZAO
CYPRUS
REPBLICA CHECA
DINAMARCA
REPBLICA DOMINICANA
ECUADOR
EGIPTO
ESTONIA
ISLAS FAEROE
FINLANDIA
FRANCIA
ALEMANIA
GHANA
GRECIA
GUAM
GUATEMALA
HONDURAS
HONG KONG
HUNGRA
ISLANDIA
INDIA
INDONESIA
IRLANDA
ISRAEL
ITALIA
IVORY COAST
JAMAICA
JAPN
JORDN
KENYA
COREA
KUWAIT
LATVIA
LEBANON
LIECHTENSTEIN
OBJETIVOS DE CONTROL
programas y servicios.
gracin y compromiso.
Programas y Servicios
de la Asociacin
Los Programas y Servicios de la Asociacin
han ganado prestigio al establecer los niveles ms altos de excelencia en certificacin,
estndares, educacin profesional y publicidad tcnica.
su programa de certificacin (el Auditor de Sistemas de Informacin Certificado) es la nica designacin global
en toda la comunidad de control y
Para ms Informacin
Para recibir informacin adicional, puede
llamar al (+1.847.253.1545), enviar un email a (research@isaca.org) o visitar los
siguentes sitios web:
auditora de la TI.
www.itgovernance.org
www.isaca.org
IT GOVERNANCE INSTITUTE
LITUANIA
LUXEMBURGO
MALASIA
MALTA
MALAWI
MXICO
PASES BAJOS
NUEVA GUINEA
NUEVA ZELANDA
NIGERIA
NORUEGA
OMN
PAKISTN
PANAM
PER
FILIPINAS
POLONIA
PORTUGAL
QATAR
RUSIA
SAIPAN
ARABIA SAUDITA
ESCOCIA
SEYCHELLES
SINGAPUR
REP. ESLOVACA
ESLOVENIA
SUDFRICA
ESPAA
SRI LANKA
ST. KITTS
ST. LUCIA
SUECIA
SUIZA
SIRIA
TAIWAN
TANZANIA
TASMANIA
TAILANDIA
TRINIDAD & TOBAGO
TURQUA
UGANDA
EMIRATOS ARAB
UNIDOS
REINO UNIDO
ESTADOS UNIDOS
URUGUAY
VENEZUELA
VIETNAM
GALES
YEMEN
ZAMBIA
ZIMBABWE
OBJETIVOS DE CONTROL
Reconocimientos
Resumen Ejecutivo
Estableciendo la escena
14
20
Tabla Resumen
22
23
Lmite de Responsabilidad
La Information Systems Audit and Control Foundation, el IT Governance Institute y los patrocinadores de COBIT: Objetivos de Control
para la Informacin y Tecnologas Relacionadas, han diseado y
creado las publicaciones tituladas Resumen Ejecutivo, Marco Referencial, Objetivos de Control, Directrices Gerenciales, Directrices
de Auditora, y el Conjunto de Herramientas de Implementacin
(llamado colectivamente el Producto) principalmente como una
fuente de instruccin para los profesionales dedicados a las actividades de control. La Information Systems Audit and Control Foundation, el IT Governance Institute y los patrocinadores no garantizan
que el uso de este producto asegurar un resultado exitoso. No deber considerarse que este producto incluye todos los procedimientos o
pruebas apropiados o que excluye otros procedimientos y pruebas
que estn razonablemente dirigidos hacia la obtencin de los mismos resultados. Para determinar la conveniencia de cualquier prueba
o procedimiento especfico, los expertos en control debern aplicar
su propio juicio profesional a las circunstancias de control especiales
presentadas por cada entorno de sistemas en particular.
Acuerdo de Licencia de uso (disclosure)
25
Objetivos de Control
Planeacin y Organizacin
Adquisicin e Implementacin
Entrega de Servicios y Soporte
Monitoreo
32
62
80
114
Apndice I
Directrices Gerenciales del Gobierno de IT
125
Apndice II
Descripcin del Proyecto Cobit
129
Apndice III
Material de Referencia Primaria
131
Apndice IV
Glosario de Trminos Originales
134
IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
RECONOCIMIENTOS
Agradecimientos Especiales a los Captulos de ISACA del rea de la Capital Nacional y al de Boston por su contribucin a los Objetivos de Control de Cobit
Agradecimientos Especiales a los miembros de la Mesa Directiva de la Information Systems Audit and Control
Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, encabezados por el
Presidente Internacional Paul Williams, por su contnuo y firme apoyo al Cobit
IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
RESUMEN EJECUTIVO
Un elemento crtico para el xito y la supervivencia de
las organizaciones, es la administracin efectiva de la
informacin y de la Tecnologa de Informacin (TI)
Relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticidad
emerge de:
z
La creciente dependencia en informacin y en los
sistemas que proporcionan dicha informacin
z
La creciente vulnerabilidad y un amplio espectro de
amenazas, tales como las ciber amenazas y la
guerra de informacin1
z
La escala y el costo de las inversiones actuales y
futuras en informacin y en tecnologa de informacin; y
z
El potencial que tienen las tecnologas para cambiar
radicalmente las organizaciones y las prcticas de
negocio, crear nuevas oportunidades y reducir costos
Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa. Es ms, en nuestro competitivo y
rpidamente cambiante ambiente actual, la Gerencia ha
incrementado sus expectativas relacionadas con la entrega de servicios de TI. Por lo tanto, la Administracin
requiere niveles de servicio que presenten incrementos
en calidad, en funcionalidad y en facilidad de uso, as
como un mejoramiento continuo y una disminucin de
los tiempos de entrega; al tiempo que demanda que esto
se realice a un costo ms bajo.
Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las
organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la
implementacin de nuevas tecnologas.
Hay numerosos cambios en TI y en su ambiente de operacin que enfatiza la necesidad de un mejor manejo
relacionado con los riesgos de TI. La dependencia en la
informacin electrnica y en los sistemas de TI son
esenciales para soportar los procesos crticos del negocio. Adicionalmente, el ambiente regulatorio demanda
control estricto sobre la informacin. Esto a su vez conduce a un incremento de los desastres en los sistemas de
informacin y al incremento del fraude electrnico. La
Administracin de los riesgos relacionados con TI est
IT GOVERNANCE INSTITUTE
1
2
OBJETIVOS DE CONTROL
objetivos, la Administracin debe entender el estado de
sus propios sistemas de TI y decidir el nivel de seguridad y control que deben proveer estos sistemas.
Los Objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT), ahora en esta tercera
edicin, ayuda a satisfacer las mltiples necesidades de
la Administracin estableciendo un puente entre los
riesgos del negocio, los controles necesarios y los aspectos tcnicos. Provee buenas prcticas a travs de un
dominio y el marco referencial de los procesos y presenta actividades en una estructura manejable y lgica. Las
Buenas prcticas de COBIT rene el consenso de expertos - quienes ayudarn a optimizar la inversin de la
informacin y proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividades van por
el camino equivocado.
La Administracin debe asegurar que los sistemas de
control interno o el marco referencial estn funcionando
y soportan los procesos del negocio y debe tener claridad sobre la forma como cada actividad individual de
control satisface los requerimientos de informacin e
impacta los recursos de TI. El impacto sobre los recursos de TI son resaltados en el Marco de Referencia de
COBIT junto con los requerimientos del negocio que
deben ser alcanzados: eficiencia, efectividad, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad de la informacin. El control, que incluye
polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin.
La administracin, mediante este gobierno corporativo,
debe asegurar que todos los individuos involucrados en
la administracin, uso, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin acten con la
debida diligencia.
Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una
actividad de TI.
La orientacin al negocio es el tema principal de COEst diseado no solo para ser utilizado por usuarios y auditores, sino que, lo ms importante, esta diseado para ser utilizado por los propietarios de los procesos de negocio como una gua clara y entendible. A medida que ascendemos, las prcticas de negocio requieren
de una mayor delegacin y empoderamiento3 de los
dueos de los procesos para que estos tengan total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En particular, esto incluye el
proporcionar controles adecuados.
El Marco de Referencia de COBIT proporciona, al propietario de procesos de negocio, herramientas que facilitan el cumplimiento de esta responsabilidad. El Marco
de Referencia comienza con una premisa simple y prctica:
Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto
de procesos de TI agrupados en forma natural.
El Marco de Referencia contina con un conjunto de 34
Objetivos de Control de alto nivel, uno para cada uno de
los Procesos de TI, agrupados en cuatro dominios: Planeacin y Organizacin, Adquisicin e Implementacin,
Entrega de servicios y Soporte y Monitoreo. Esta estructura cubre todos los aspectos de informacin y de
tecnologa que la soporta. Administrando adecuadamente estos 34 Objetivos de Control de alto nivel, el
propietario de procesos de negocio podr asegurar que
se proporciona un sistema de control adecuado para el
ambiente de tecnologa de informacin.
El Marco de Referencia de COBIT provee adems una
gua o lista de verificacin para el Gobierno de TI. El
Gobierno de TI proporciona las estructuras que encadenan los procesos de TI, los recursos de TI y la informacin con los objetivos y las estrategias de la empresa. El
Gobierno de TI integra de una forma ptima el desempeo de la Planeacin y Organizacin, la Adquisicin e
Implementacin, la Entrega de Servicios y Soporte y el
Monitoreo. El Gobierno de TI facilita que la empresa
obtenga total ventaja de su informacin y as mismo
maximiza sus beneficios, capitalizando sus oportunidades y obteniendo ventaja competitiva
Adicionalmente, correspondiendo a cada uno de los 34
objetivos de control de alto nivel, existe una Gua o directriz de Auditora o de aseguramiento que permite la
revisin de los procesos de TI contra los 318 objetivos
detallados de control recomendados por COBIT para
proporcionar a la Gerencia la certeza de su cumplimiento y/o sugerencias para su mejoramiento.
BIT.
IT GOVERNANCE INSTITUTE
Empoderamiento (empowerment)
OBJETIVOS DE CONTROL
Las Guas o Directrices Gerenciales de COBIT, desarrolladas recientemente, ayudan a la Gerencia a cumplir de una forma mas efectiva con las necesidades y
requerimientos del Gobierno de TI. Las Directrices
son acciones genricas orientadas a proveer a la Administracin la direccin para mantener bajo control la
informacin de la empresa y sus procesos relacionados, para monitorear el logro de las metas organizacionales, para monitorear el desempeo de cada proceso de TI y para llevar a cabo un benchmarking de
los logros organizacionales.
En los prximos aos las Directivas de las Organizaciones necesitarn demostrar que estn logrando incrementar sus niveles de seguridad y control. COBIT
es una herramienta que ayuda a los Directivos a colocar un puente entre los requerimientos de control, los
aspectos tcnicos y los riesgos del negocio y adicionalmente informa a los accionistas o dueos de la empresa el nivel de control alcanzado. COBIT habilita el
desarrollo de una poltica clara y de buenas prcticas
de control de TI a travs de las organizaciones, a nivel
mundial.
Las Directrices Gerenciales de COBIT son genricas y son acciones orientadas al propsito de responder los siguientes tipos de preguntas gerenciales: Qu tan lejos debemos ir y es el costo justificado para el beneficio obtenido? Cules son los indicadores de buen desempeo? Cules son los factores crticos de xito? Cules son los riesgos de no
lograr nuestros objetivos? Qu hacen otros? Cmo
nos podemos medir y comparar?
COBIT contiene adicionalmente un Conjunto de
Herramientas de Implementacin que proporciona
lecciones aprendidas por empresas que rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo.
Incluye dos herramientas particularmente tiles - Diagnstico de Sensibilizacin Gerencial (Management
Awareness Diagnostic) y Diagnstico de Control en
TI (IT Control Diagnostic) - para proporcionar asistencia en el anlisis del ambiente de control de TI en
una organizacin.
IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
OBJEIVOS DE
OBJETIVOS
DE NEGOCIO
NEGOCIO
PO1
COBIT
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditora independiente
INFORMACION
MONITOREO
PO2
PO3
PO4
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
PLANEACION Y
ORGANIZACION
RECURSOS DE TI
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
ENTREGA Y
SOPORTE
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
IT GOVERNANCE INSTITUTE
ADQUISICION E
IMPLEMENTACION
OBJETIVOS DE CONTROL
masiado complicada. Incluso, la administracin consulta cada vez ms a los auditores para que la asesoren en
forma proactiva en lo referente a asuntos de seguridad y
control de TI.
EL AMBIENTE DE NEGOCIOS:
COMPETENCIA, CAMBIO Y COSTOS
La competencia global es ya un hecho. Las organizaciones se reestructuran con el fin de perfeccionar sus
operaciones y al mismo tiempo aprovechar los avances
en TI para mejorar su posicin competitiva. La reingeniera en los negocios, las reestructuraciones o rightsizing, el outsourcing, el empoderamiento, las organizaciones horizontales y el procesamiento distribuido son
cambios que impactan la manera en la que operan tanto
los negocios como las entidades gubernamentales. Estos cambios han tenido y continuarn teniendo, profundas implicaciones para la administracin y las estructuras de control operacional dentro de las organizaciones
en todo el mundo.
La especial atencin prestada a la obtencin de ventajas
competitivas y a la eficiencia en costos implica una dependencia creciente en la tecnologa como el componente ms importante en la estrategia de la mayora de
las organizaciones. La automatizacin de las funciones
organizacionales, por su naturaleza, dicta la incorporacin de mecanismos de control ms poderosos en las
computadoras y en las redes, tanto para las basadas en
hardware como las basadas en software. Adems, las
caractersticas estructurales fundamentales de estos controles estn evolucionando al mismo paso que las tecnologas de computacin y las redes.
Dentro del marco referencial de cambios acelerados, si
los administradores, los especialistas en sistemas de informacin y los auditores desean en realidad ser capaces
de cumplir con sus tareas en forma efectiva , debern
aumentar y mejorar sus habilidades tan rpidamente
como lo demandan la tecnologa y el ambiente. Debemos comprender la tecnologa de controles involucrada
y su naturaleza cambiante si deseamos emitir y ejercer
juicios razonables y prudentes al evaluar las prcticas de
control que se encuentran en los negocios tpicos o en
las organizaciones gubernamentales.
OBJETIVOS DE CONTROL
APARICION DEL GOBIERNO DE LA EMPRESA Y DEL GOBIERNO DE TI
Para lograr el xito en esta economa de informacin, el Gobierno de la empresa y el Gobierno de TI no pueden ser consideradas separadamente y en distintas disciplinas. El gobierno
efectivo de la empresa enfoca el conocimiento y
la experiencia en forma individual y grupal,
donde puede ser mas productivo, monitoreado y
medido el desempeo as como provisto el aseguramiento para aspectos crticos. TI, por mucho tiempo considerada aislada dentro del logro
de los objetivos de la empresa debe ahora ser
considerada como una parte integral de la estrategia.
El Gobierno de TI provee la estructura que une
los procesos de TI, los recursos de TI y las estrategias y objetivos de la empresa. El Gobierno
de TI integra e institucionaliza de una manera
ptima la planeacin y organizacin, la adquisicin e implementacin, la entrega de servicios y
soporte y el monitoreo del desempeo de TI. El
Gobierno de TI es integral para el xito del Gobierno de la Empresa asegurando una eficiente
y efectiva medicin para mejorar los procesos
de la empresa. El Gobierno de TI le permite a
la empresa tomar ventaja total de su informacin, al maximizar sus beneficios, capitalizar
sus oportunidades y ganar ventaja competitiva.
Observando en el contexto a la empresa y los
procesos del Gobierno de TI con mayor detalle,
el gobierno de la empresa, el sistema por el cual
las entidades son dirigidas y controladas direcciona y analiza el Gobierno de TI. Al mismo
tiempo, TI debera proveer insumos crticos y
constituirse en un componente importante de
los planes estratgicos. De hecho TI puede influenciar las oportunidades estratgicas de la
empresa.
IT GOVERNANCE INSTITUTE
Gobierno
de la
Empresa
Direcciona y Prepara
Gobierno de Tecnologia de
Informacion
Actividades de
la empresa
Requiere informacion de
Actividades de Tecnologia
de Informacion
OBJETIVOS DE CONTROL
to y revisin constante de los controles, comenzando el ciclo de nuevo.
Gobierno de la Empresa
Direcciona
Objetivos
CONTROL
Actividades de la
Empresa
Reportando
Recursos
Usando
Tambin TI es gobernado por buenas (o mejores) prcticas para asegurar que la informacin de la empresa y sus tecnologas relacionadas apoyan sus objetivos del negocio, estos
recursos son utilizados responsablemente y
sus riesgos son manejados apropiadamente.
Estas prcticas conforman una base para la
direccin de las actividades de TI las cuales
pueden ser enmarcadas en la Planeacin y
Organizacin, Adquisicin e Implementacin,
Entrega de Servicios y Soporte y Monitoreo
para los propsitos duales como son el manejo
de riesgo (para obtener seguridad, confiabilidad y cumplimiento) y la obtencin de beneficios (incrementando la efectividad y eficiencia). Los reportes son enfocados sobre los resultados de las actividades de TI, los cuales
son medidos contra diferentes prcticas y controles y el ciclo comienza otra vez.
Gobierno de TI
Objetivos
DIRIGIR
Actividades de TI
CONTROL
Planea
Hace
Revisa
Corrige
Los recursos de TI
son utilizados
responsablemente.
Los riesgos
relacionados a TI son
manejados
apropiadamente.
PO
AI
DS
MO
Manejo de Riesgo
Seguridad
Confiabilidad
Conformidadcumplimiento
Beneficios
Incrementar
Automatizacin
ser efectivo
Decrementar
Costos ser
eficiente
REPORTAR
Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades
mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se
estn desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organizacin contra las
mejores practicas industriales y los modelos internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices Gerenciales de COBIT en las cuales se han identificado Factores Crticos de Exito especficos, Indicadores Claves por Objetivo e Indicadores Clave de Desempeo y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apdice I.
IT GOVERNANCE INSTITUTE
11
OBJETIVOS DE CONTROL
RESPUESTA A LAS NECESIDADES
En vista de estos continuos cambios, el desarrollo de
este Marco Referencial de objetivos de control para TI,
conjuntamente con una investigacin continua aplicada
a controles de TI basada en este marco referencial,
constituyen el fundamento para el progreso efectivo en
el campo de los controles de sistemas de informacin.
Por otro lado, hemos sido testigos del desarrollo y publicacin de modelos de control generales de negocios
como COSO [Committee of Sponsoring Organisations
of the Treadway Commisssion Internal ControlIntegrated Framework, 1992] en los EUA, Cadbury en
el Reino Unido, CoCo en Canad y King en Sudfrica.
Por otro lado, existe un nmero importante de modelos
de control ms enfocados al nivel de tecnologa de informacin. Algunos buenos ejemplos de esta ltima
categora son el Security Code of Conduct del DTI
(Departamento de Industria y Comercio, Reino Unido)
y el Security Handbook de NIST (National Institute of
Standards and Technology, EUA). Sin embargo, estos
modelos de control con orientacin especfica no proporcionan un modelo de control completo y utilizable
sobre tecnologa de informacin como soporte para los
procesos del negocio. El propsito de COBIT es cubrir
este vaco proporcionando una base que est estrechamente ligada a los objetivos de negocio, al mismo tiempo que se enfoca a la tecnologa de informacin.
(El documento que ms se acerca al COBIT es una publicacin reciente de AICPA/CICA Systrust TM Principios y Criterios para la Confiabilidad de los Sistemas.
SysTrust es una autoridad que realiza publicaciones para el Comit Ejecutivo de Servicios de Aseguramiento
de los Estados Unidos y para el Comit de Desarrollo de
Servicios de Calidad de Canad, basado en parte en los
Objetivos de Control de COBIT. SysTrust est diseado
para incrementar el confort de la Administracin, los
clientes y los socios de negocios con los sistemas que
soportan un negocio o una actividad en particular. Los
servicios de SysTrust incluyen al contador pblico proporcionndole un servicio de aseguramiento en el cual
l o ella evala y prueba si el sistema es confiable cuando lo mide contra cuatro principios esenciales: Disponibilidad, seguridad, integridad y mantenimiento.
Un enfoque hacia los requerimientos del negocio en
cuanto a controles para tecnologa de informacin y la
aplicacin de modelos de control emergentes y estndares internacionales relacionados incluyen los Objetivos
IT GOVERNANCE INSTITUTE
12
OBJETIVOS DE CONTROL
ORIENTACIN A OBJETIVOS DE NEGOCIO
El CobiT est alineado con los Objetivos del Negocio.
Los Objetivos de Control muestran una relacin clara y
distintiva con los objetivos del negocio con el fin de
apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditora. Los Objetivos de
Control estn definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios.
En dominios y procesos identificados, se identifica tambin un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Adicionalmente, se establecen consideraciones y guas para definir e implementar el Objetivo de Control de TI.
La clasificacin de los dominios a los que se aplican los
objetivos de control de alto nivel (dominios y procesos);
una indicacin de los requerimientos de negocio para la
informacin en ese dominio, as como los recursos de
TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamente el Marco de Referencia de COBIT. El Marco de Referencia toma como
base las actividades de investigacin que han identificado 34 objetivos de alto nivel y 318 objetivos de control
detallados. El Marco de Referencia fue presentado a la
industria de TI y a los profesionales dedicados a la auditora para abrir la posibilidad a revisiones, cambios y
comentarios. Las ideas obtenidas fueron incorporadas
en forma apropiada.
Control
Control se
se
define
define como
como
Objetivo
Objetivode
de
control
control en
enTI
TI
se
sedefine
define
como
como
Gobierno de TI
se define como
Una estructura de relaciones y procesos para dirigir y controlar la empresa con el fin de lograr sus objetivos al aadir valor mientras se
equilibran los riesgos contra el retorno sobre TI y sus procesos.
DEFINICIONES GENERALES
Para propsitos de este proyecto, se proporcionan las
siguientes definiciones. La definicin de Control est
adaptada del reporte COSO [Committee of Sponsoring
Organisations of the Treadway Commission. Internal
Control-Integrated Framework, 1992 y la definicin
para Objetivo de Control de TI ha sido adaptada del
reporte SAC (Systems Auditability and Control Report,
The Institute of Internal Auditors Research Foundation,
1991 y 1994).
IT GOVERNANCE INSTITUTE
13
OBJETIVOS DE CONTROL
Requerimientos
de Negocio
Procesos de TI
Recursos de TI
Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos criterios a los que
COBIT hace referencia como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos:
Calidad
Costo
Requerimientos de
Calidad
Entrega o Distribucin (de servicio)
IT GOVERNANCE INSTITUTE
Requerimientos
Fiduciarios
(COSO)
Requerimientos
de Seguridad
14
OBJETIVOS DE CONTROL
de Calidad, Fiduciarios y de Seguridad ms amplios, se
extrajeron siete categoras distintas, ciertamente superpuestas. A continuacin se muestran las definiciones
utilizadas por COBIT:
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
de la
Informacin
Datos
Sistemas de
Aplicaciones
Tecnologa
Se refiere a la disponibilidad de la
informacin cuando sta es requerida por el proceso de negocio ahora
y en el futuro. Tambin se refiere a
la salvaguarda de los recursos necesarios y capacidades asociadas.
Instalaciones
Personal
D
D aa ttoo ss
E v e n to s
O b je t iv o s d e n e g o c io
O p o r tu n id a d e s d e n e g o c io
R e q u e r im ie n to s e x te r n o s
R e g u la c io n e s
R ie s g o s
Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de
cumplimiento.
In f o r m a c i n
SS iissttee m
m aa ss dd ee A
A pp lliicc aa cc ii nn
m e n s a je
e n tra d a
T
TE
EC
CN
NO
OL
L O G II A
A
II N SS T
TA
AL
LA
AC
C II O N E
E SS
G
GE
EN
NT E
IT GOVERNANCE INSTITUTE
s e rv ic io
s a lid a
E fe c t iv id a d
E fic ie n c ia
C o n fid e n c ia lid a d
I n t e g r id a d
D is p o n ib ilid a d
C u m p lim ie n t o
C o n fia b ilid a d
15
OBJETIVOS DE CONTROL
El dinero o capital no se tuvo en cuenta como un recurso
para la clasificacin de objetivos de control para TI debido a que puede considerarse como la inversin en cualquiera de los recursos mencionados anteriormente. Es
importante hacer notar tambin que el Marco Referencial no menciona, en forma especfica para todos los
casos, la documentacin de todos los aspectos
materiales importantes relacionados con un proceso
de TI particular. Como parte de las buenas prcticas, la
documentacin es considerada esencial para un buen
control y, por lo tanto, la falta de documentacin podra
ser la causa de revisiones y anlisis futuros de controles
de compensacin en cualquier rea especfica en revi-
Qu obtiene?
sin.
Con el fin de asegurar que los requerimientos de negocio para la informacin son satisfechos, deben definirse,
implementarse y monitorearse medidas de control adecuadas para estos recursos.
Cmo pueden entonces las empresas estar satisfechas
respecto a que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de
un sano marco referencial de Objetivos de Control para
TI. El diagrama mostrado a continuacin ilustra este
concepto.
PROCESOS
DE NEGOCIO
Qu necesita?
Criterios
INFORMACION
RECURSOS DE TI
datos
sistemas de aplicacin
tecnologa
instalaciones
gente
IT GOVERNANCE INSTITUTE
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
Concuerdan ?
16
OBJETIVOS DE CONTROL
Criterios de informacin
Se
a
rid
gu
Procesos
Actividades
Gente
Dominios
Re
d
Instalaciones
Datos
d
Fi
i os
i ar
c
u
Tecnologa
ad
Sistemas de Aplicacin
lid
Ca
Procesos de TI
os
rs
u
c
de
TI
Dominios
Procesos
Planeacin y
organizacin
Actividades
IT GOVERNANCE INSTITUTE
Jerga (jargon)
17
OBJETIVOS DE CONTROL
integradas dentro del proceso del
negocio. Adems, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes,
para asegurar que el ciclo de vida es
contnuo para esos sistemas
Entrega
Entrega yy
soporte
soporte
Monitoreo
Confidencialidad.
Es claro que todas las medidas de control no necesariamente satisfarn los diferentes requerimientos del
negocio para la informacin en el mismo grado.
Primario
IT GOVERNANCE INSTITUTE
18
OBJETIVOS DE CONTROL
PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS
OBJETIVOS DEL NEGOCIO
GOBIERNO
TI
OBJEIVOS
DEDENEGOCIO
PO1
COBIT
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditora independiente
INFORMACION
MONITOREO
PO2
PO3
PO4
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
PLANEACION Y
ORGANIZACION
RECURSOS DE TI
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
ENTREGA Y
SOPORTE
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
IT GOVERNANCE INSTITUTE
ADQUISICION E
IMPLEMENTACION
19
OBJETIVOS DE CONTROL
HISTORIA Y ANTECEDENTES DE COBIT
El Instituto de Gobierno de TI fue formado por la Information Systems Audit and Control Association (ISACA) y su
Fundacin asociada en 1998 para avanzar en el entendimiento y la adopcin de principios de gobierno de TI. Con
la adicin de las Directrices Gerenciales en la 3a edicin de
COBIT y su expansin y mayor cubrimiento sobre el Gobierno de TI, el Instituto de Gobierno de TI adquiri un rol
de liderazgo en el desarrollo de la publicacin.
IT GOVERNANCE INSTITUTE
___________
5
Gobierno (governance): sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.
20
OBJETIVOS DE CONTROL
HISTORIA Y ANTECEDENTES DE COBIT
La investigacin y las publicaciones han sido posibles gracias al fundamental apoyo de PricewaterhouseCoopers y
las donaciones de los captulos de ISACA y de miembros
de todo el mundo. La European Security Forum (ESF)
amablemente llev a cabo la recoleccin de material disponible para el proyecto. La Gartner Group adems particip
en el desarrollo y realiz la revisin de aseguramiento de
calidad de las Directrices Gerenciales.
RESUMEN EJECUTIVO
MARCO REFERENCIAL
objetivos de control de alto nivel
DIRECTRICES GERENCIALES
DIRECTRICES DE AUDITORIA
Modelo de Madurez
IT GOVERNANCE INSTITUTE
21
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
TABLA RESUMEN
La siguiente tabla proporciona una indicacin, por proceso y dominio de TI, de cules criterios de
informacin son impactados por los objetivos de alto nivel, as como una indicacin de cules recursos de TI son aplicables.
Recursos de TI
ef
ec
ef tivi
ic da
co ienc d
n ia
in fide
te n
di grid cial
sp a id
cu on d ad
m ibi
co plim lida
nf ie d
ia n
bi to
li
r
reec dad
cuu
sisi rsrsoo
stst ss
ee h
tete mm
cncn asasum
in in oloolo dedeano
st s g g ina s
dadaaltaaclaaia foprlic
mac
toto iocio
aci
s s nen
in
ses
n
Criterios de Informacin
DOMINIO
Planeacin y
Organizacin
Adquisicin e
Implementacin
Entrega de servicios y
Soporte
Monitoreo
PROCESO
PO1
PO2
PO3
PO4
PO5
PO6
PO7
PO8
PO9
P010
PO11
AI1
AI2
AI3
AI4
AI5
AI6
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
M1
M2
M3
M4
P
P
P
P
P
P
P
P
S
P
P
S
S S S
S
S
P
P
P
P
P
P
P
S
P
P
P
S
S
P
P S
S P P P S S
P
P
P
S
S
S S
S
S
S S
S S
P P
S
; ;
;
;
; ;
;
;
; ; ;
; ; ;
; ; ;
;
; ;
;
;
; ;
; ;
P S S S S S
P S S S S S
P
S
S
P
P P S S S
P
P
P S
P
P
S
S
P P
S
P
P
P P
P P
S S
; ; ;
; ; ;
; ;
; ; ;
; ; ;
; ; ;
;
; ;
; ;
; ; ;
;
;
;
;
;
;
P
P
P
P
;
;
;
;
;
;
;
;
P
P
P
P
S
P
P
P
S
S
S
S
S
S
S
S
S
S
S
S
(P) Primario
(S) Secundario
IT GOVERNANCE INSTITUTE
; ; ;
;
;
;
; ; ;
;
;
; ;
; ; ;
; ; ;
; ;
S
S
S
S
S
S
S
S
;
;
;
;
;
;
; ;
;
;
; ; ; ; ;
;
;
;
;
;
;
;
;
;
;
;
;
() Aplicable a
22
OBJETIVOS DE CONTROL
PRINCIPIOS DE LOS OBJETIVOS DE CONTROL
Proceso de TI
Que satisface
Mientras que el Marco de Referencia de COBIT enfoca controles a alto nivel para cada proceso, los Objetivos de Control se enfocan sobre objetivos de control
detallados y especficos asociados a cada proceso de
TI. Por cada uno de los 34 procesos de TI del marco
referencial, hay desde tres hasta 30 objetivos de control detallados, para un total de 318.
Los Objetivos de Control se alinean para cubrir todo el
Marco referencial con objetivos de control detallados
con base en 41 fuentes primarias que comprenden estndares y regulaciones internacionales de TI, de facto
y de jure. Contiene sentencias de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de procedimientos de control especficos en
una actividad de TI, de esta manera provee polticas
claras y buenas prcticas para los controles de TI a
travs de la industria, alrededor del mundo.
Los Objetivos de Control estn dirigidos a la Administracin y al staff de TI, a las funciones de control y
auditora y lo mas importante, a los propietarios de
los procesos del negocio. Los Objetivos de Control
Declaracin de
Considerando
Control
proporcionan un trabajo, que es un documento de escritorio para esos individuos. Se identifican definicioPrcticas de
nes precisas y claras para un mnimo conjunto de conControl
troles con el fin de asegurar la efectividad, eficiencia y
economa de la utilizacin de los recursos. Objetivos
de control detallados son identificados para cada proceso, como los controles mnimos necesarios . Esos
Los Objetivos de Control de TI han sido organizados
controles sern analizados por los profesionales de
por proceso/actividad y tambin se han proporcionacontrol para verificar su suficiencia.
dos ayudas de navegacin no solamente para facilitar
la entrada a partir de cualquier punto de vista estratgiLos Objetivos de Control permiten el traslado de los
co como se explic anteriormente, sino tambin para
conceptos presentados en el Marco de Referencia
facilitar enfoques combinados o globales, tales como
hacia controles especficos aplicables a cada proceso
instalacin/implementacin de un proceso, responsabide TI.
lidades gerenciales globales para un proceso y utilizacin de recursos de TI por un proceso.
Requerimiento de
Negocio
Es habilitado por
IT GOVERNANCE INSTITUTE
23
OBJETIVOS DE CONTROL
ec
co
ef
P
Planeacin &
Organizacin
Criterios de
Informacin
Dominios
De TI
Adquisicin &
Implementacin
Entrega &
Soporte
TI
Recursos
Monitoreo
nt
lic e
ac
t e i on
cn
e
in olo s
st
al g a
ac
io
da nes
to
s
3 3
ap
ge
Para facilitar el empleo eficiente de los objetivos de control como soporte a los diferentes puntos de vista, se proporcionan algunas ayudas de navegacin como parte de
la presentacin de los objetivos de control de alto nivel.
Se proporciona una ayuda de navegacin para cada una
de las tres dimensiones del Marco de Referencia de COBIT - procesos, recursos de TI y criterios de informacin -
ef
La seccin de los Objetivos de Control contienen objetivos de control detallados para cada uno de los 34 procesos de TI. A la izquierda de cada pgina, se presenta el
objetivo de control de alto nivel. El indicador del dominio (PO para Planeacin y Organizacin, AI para
Adquisicin e Implementacin, DS para Entrega de
Servicios y Soporte y M para Monitoreo se presentan a
la izquierda y arriba de cada pgina. El criterio de informacin aplicable y el recurso de TI utilizado son mostrados en matrices pequeas como se describe a continuacin. Iniciando en la derecha de la pgina estn las descripciones de los objetivos de control detallados para cada proceso de TI.
tiv
id
ici ad
nf enc
id
en i a
in cia
te
li
di grid dad
sp
on ad
cu ibi
m lid
a
p
co lim d
nf i en
ia
bi t o
lid
ad
AYUDAS DE NAVEGACIN
Planeacin &
Organizacin
Los dominios son identificados por este cono en la ESQUINA SUPERIOR DERECHA de cada pgina, en la
seccin de Objetivos de Control, agrandando y haciendo
ms visible el dominio bajo revisin.
Adquisicin &
Implementacin
Entrega &
Soporte
IT GOVERNANCE INSTITUTE
ap
lic
nt
e
ac
te ion
cn
e
in olo s
st
al g a
ac
io
da nes
to
s
3 3
ge
Una segunda mini matriz en la ESQUINA INFERIOR DERECHA de la seccin de Objetivos de Control identifica los
recursos de TI que son administrados en forma especfica por
el proceso bajo consideracin - no solo aquellos que simplemente toman parte en el proceso -. Por ejemplo, el proceso
administracin de datos se concentra particularmente en la
integridad y confiabilidad de los recursos de datos.
ef
ec
tiv
ef ida
co icie d
nf
id ncia
en
in cia
te
li
di grid dad
sp
a
d
o
cu nibi
m lid
a
pl
co im d
nf i en
ia
bi t o
lid
ad
Monitoreo
24
OBJETIVOS DE CONTROL
RELACIONES DE OBJETIVOS DE CONTROL
DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
PLANEACIN Y ORGANIZACIN
4.5
1.0
4.6
2.0
3.0
4.0
4.7
4.8
4.9
4.10
4.11
4.12
4.13
4.14
4.15
25
OBJETIVOS DE CONTROL
7.0
8.0
9.0
Anlisis de Riesgos
9.1 Anlisis de Riesgos del Negocio
9.2 Enfoque de Anlisis de Riesgos
9.3 Identificacin de Riesgos
9.4 Medicin de Riesgos
9.5 Plan de Accin para mitigar los Riesgos
9.6 Aceptacin de Riesgos
9.7
Seleccin de Proteccin.
9.8
Compromiso de Anlisis de Riesgos
ADQUISICIN E IMPLEMENTACIN
1.0 Identificacin de Soluciones
1.1
1.2
1.3
26
OBJETIVOS DE CONTROL
1.4
1.5
1.6
1.7
1.8
1.9
1.10
1.11
1.12
1.13
1.14
1.15
IT GOVERNANCE INSTITUTE
3.3
3.4
3.5
3.6
3.7
OBJETIVOS DE CONTROL
1.4
1.5
1.6
1.7
do
4.12 Almacenamiento de copias de respaldo
fuera del sitio
4.13 Procedimientos de Refinamiento del Plan
de Continuidad de TI6
Monitoreo y Reporte
Revisin de Contratos y Acuerdos de Nivel de Servicio
Elementos sujetos a Cargo
Programa de Mejoramiento del Servicio
28
OBJETIVOS DE CONTROL
8.0 Apoyo y Asistencia a los Clientes de Tecnologa de Informacin
8.1
Help Desk
8.2
Registro de consultas del Cliente
8.3
Escalamiento de consultas del Cliente
8.4
Monitoreo de Atencin a Clientes
8.5
Anlisis y Reporte de Tendencias
9.0 Administracin de la Configuracin
9.1
Registro de la Configuracin
9.2
Base de la Configuracin
9.3
Registro de status
9.4
Control de la Configuracin
9.5
Software no Autorizado
9.6
Almacenamiento de Software
9.7
Procedimientos para la Administracin de
la Configuracin
9.8
Contabilidad y registro del Software
10.0 Administracin de Problemas e Incidentes
10.1 Sistema de Administracin de Problemas
10.2 Escalamiento de Problemas
10.3 Seguimiento de Problemas y Pistas de Auditora
10.4 Autorizaciones para acceso temporal y de
emergencia.
10.5 Prioridades en Procesos de Emergencia
11.0 Administracin de Datos
11.1 Procedimientos de Preparacin de Datos
11.2 Procedimientos de Autorizacin de Documentos Fuente
11.3 Recopilacin de Datos de Documentos
Fuente
11.4 Manejo de Errores de Documentos Fuente
11.5 Retencin de Documentos Fuente
11.6 Procedimientos para la Autorizacin de
Entrada de Datos
11.7 Chequeos de Exactitud, Suficiencia y Autorizacin
11.8 Manejo de Errores en la Entrada de Datos
11.9 Integridad de Procesamiento de Datos
11.10 Validacin y Edicin de Procesamiento de
Datos
11.11 Manejo de Errores en el Procesamiento de
Datos
11.12 Manejo y Retencin de Datos de Salida
11.13 Distribucin de Datos de Salida
11.14 Balanceo y Conciliacin de Datos de Salida
11.15 Revisin de Salida de Datos y Manejo de
Errores
11.16 Provisiones de Seguridad para Reportes
IT GOVERNANCE INSTITUTE
de Salida
11.17 Proteccin de Informacin Sensitiva durante transmisin y transporte
11.18 Proteccin de Informacin Sensitiva a ser
Desechada
11.19 Administracin de Almacenamiento
11.20 Perodos de Retencin y Trminos de Almacenamiento
11.21 Sistema de Administracin de la Librera
de Medios
11.22 Responsabilidades de la Administracin
de la Librera de Medios
11.23 Respaldo y Restauracin
11.24 Funciones de Respaldo
11.25 Almacenamiento de Respaldo
11.26 Archivo
11.27 Proteccin de Mensajes Sensitivos
11.28 Autenticacin e Integridad
11.29 Integridad de Transacciones Electrnicas
11.30 Integridad Continua de Datos Almacenados
12.0 Administracin de Instalaciones
12.1 Seguridad Fsica
12.2 Discrecin (bajo perfil) de las Instalaciones de Tecnologa de Informacin
12.3 Escolta de Visitantes
12.4 Salud y Seguridad del Personal
12.5 Proteccin contra Factores Ambientales
12.6 Suministro Ininterrumpido de Energa
13.0 Administracin de Operaciones
13.1 Manual de Instrucciones y procedimientos
de Operaciones de procesamiento
13.2 Documentacin del Proceso de Inicio y de
Otras Operaciones
13.3 Calendarizacin/programacin de Trabajos
13.4 Ejecucin de los Trabajos estndar programados
13.5 Continuidad de Procesamiento
13.6 Bitcoras de Operacin
13.7 Proteccin de Formas Especiales y dispositivos de salida
13.8 Operaciones Remotas
MONITOREO
1.0 Monitoreo del Proceso
1.1 Recoleccin de Datos de Monitoreo
1.2 Anlisis del Desempeo
1.3 Evaluacin de la Satisfaccin de Clientes
1.4 Reportes Gerenciales
29
OBJETIVOS DE CONTROL
2.0
3.0
IT GOVERNANCE INSTITUTE
30
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE
31
OBJETIVOS DE CONTROL
(PO)
PLANEACION Y ORGANIZACION
IT GOVERNANCE INSTITUTE
32
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
Planeacin &
Organizacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id nc ia
en
in c ia
te
li
di gr i dad
s p da
o
d
cu nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
PO1
S
Control sobre el proceso de TI de:
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
3 3 3 3 3
g
ap ente
l ic
a
te c i o n
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
33
OBJETIVOS DE CONTROL
1.
IT GOVERNANCE INSTITUTE
34
OBJETIVOS DE CONTROL
1.6
1.7
IT GOVERNANCE INSTITUTE
35
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
ef
ec
ti
ef vida
c o ic ie d
nf
n
id c ia
en
in c ia
te
li
di gr i dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
PO2
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
g
ap ente
l ic
a
te c i o n
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
IT GOVERNANCE INSTITUTE
36
OBJETIVOS DE CONTROL
2
DEFINICIN DE LA ARQUITECTURA DE
INFORMACIN
2.1
Se deben establecer los criterios para soportar los diferentes niveles de seguridad en toda la empresa para
resolver las necesidades del creciente comercio electrnico, la computacin mvil y los entornos de teleconmutacin.
IT GOVERNANCE INSTITUTE
37
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO3
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
IT GOVERNANCE INSTITUTE
3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
38
OBJETIVOS DE CONTROL
3
DETERMINACIN DE LA DIRECCIN
TECNOLGICA
Adquisicin
de
Hardware
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que los planes de adquisicin de hardware y software sean establecidos
y que reflejen las necesidades identificadas en el
plan de infraestructura tecnolgica.
3.5 Estndares de Tecnologa
OBJETIVO DE CONTROL
Tomando como base el plan de infraestructura
tecnolgica, la Gerencia deber definir normas
de tecnologa con la finalidad de fomentar la estandarizacin.
IT GOVERNANCE INSTITUTE
39
OBJETIVOS DE CONTROL
PO4
c
en ia
in c iali
te
da
di gr id d
sp
a
on d
i
b
cu
m ilida
pl
d
co imi
nf en
ia
b i to
lid
ad
id
en
Adquisicin &
Implementacin
co
nf
ic i
ef
ef
e
ct
iv i
da
Planeacin &
Organizacin
Entrega &
Soporte
nt
e
lic
ac
te i o n
cn
es
in olo
g
st
al
ac a
io
n
da es
to
s
ge
ap
IT GOVERNANCE INSTITUTE
40
OBJETIVOS DE CONTROL
4
DEFINICIN DE LA ORGANIZACIN Y
DE LAS RELACIONES DE TI
OBJETIVO DE CONTROL
La Gerencia deber crear una estructura para designar formalmente a los propietarios y custodios
de los datos. Sus funciones y responsabilidades
debern estar claramente definidas.
4.8 Propiedad de Datos y Sistemas
OBJETIVO DE CONTROL
La Gerencia deber asegurar que todos los acti41
OBJETIVOS DE CONTROL
vos de informacin (sistemas y datos) cuenten
con un propietario asignado que tome decisiones
sobre la clasificacin y los derechos de acceso.
Los propietarios del sistema normalmente delegarn la custodia diaria al grupo de distribucin/
operacin de sistemas y las responsabilidades de
seguridad a un administrador de la seguridad.
Los Propietarios, sin embargo, permanecern
como responsables del mantenimiento de medidas de seguridad apropiadas.
4.9
Supervisin
OBJETIVO DE CONTROL
La alta gerencia deber implementar prcticas de
supervisin adecuadas en la organizacin de servicios de informacin para asegurar que las funciones y responsabilidades sean llevadas a cabo
apropiadamente, para evaluar si todo el personal
cuenta con suficiente autoridad y recursos para
llevar a cabo sus tareas y responsabilidades, y
para revisar de manera general los indicadores
clave de desempeo.
4.10 Segregacin de Funciones
OBJETIVO DE CONTROL
z
z
z
z
z
z
z
z
OBJETIVO DE CONTROL
La Gerencia deber asegurar que las descripciones de los puestos para el personal de TI sean
establecidos y actualizados regularmente. Estas
descripciones de puestos debern delinear claramente tanto la responsabilidad como la autoridad,
incluir las definiciones de las habilidades y la
experiencia necesarias para el puesto, y ser adecuadas para su utilizacin en evaluaciones de
desempeo.
4.13 Personal Clave de TI
larmente para asegurar que la funcin de servicios de informacin cuente con un nmero suficiente de personal competente de tecnologa de
informacin. Los requerimientos de asignacin
de personal debern ser evaluados por lo menos
anualmente o al presentarse cambios mayores en
el negocio, en el ambiente operacional o de tecnologa de informacin. Deber actuarse oportunamente tomando como base los resultados de
las evaluaciones para asegurar una asignacin de
personal adecuada en el presente y en el futuro.
OBJETIVO DE CONTROL
La Gerencia de TI deber definir e identificar al
personal clave de tecnologa de informacin.
4.14 Polticas y Procedimientos para Personal por
Contrato
OBJETIVO DE CONTROL
La Gerencia deber definir e implementar polticas y procedimientos relevantes para controlar
las actividades de consultores y dems personal
externo contratado por la funcin de TI para asegurar la proteccin de los activos de informacin
de la organizacin.
4.15 Relaciones
OBJETIVO DE CONTROL
La Gerencia de TI deber llevar a cabo las acciones necesarias para establecer y mantener una
coordinacin, comunicacin y un enlace ptimos
entre la funcin de TI y dems interesados dentro
y fuera de la funcin de servicios de informacin
(usuarios, proveedores, oficiales de seguridad,
administradores de riesgos).
42
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO5
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
alternativas de financiamiento
Claros responsables del presupuesto
Control sobre los gastos actuales
justificacin de costos y concientizacin
sobre el costo total de la propiedad
justificacin del beneficio y contabilizacin de todos los beneficios obtenidos
Ciclo de vida del software de aplicacin y
de la tecnologa
Alineacin con las estrategias del negocio
de la empresa
Anlisis de impacto
Administracin de los activos
IT GOVERNANCE INSTITUTE
3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
43
OBJETIVOS DE CONTROL
5
IT GOVERNANCE INSTITUTE
44
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO6
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
IT GOVERNANCE INSTITUTE
3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
45
OBJETIVOS DE CONTROL
6
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
OBJETIVOS DE CONTROL
el enfoque general de la organizacin en cuanto a
seguridad y control interno para establecer y mejorar la proteccin de los recursos de tecnologa
de informacin. La poltica deber cumplir con
los objetivos generales del negocio y estar dirigida a minimizar riesgos a travs de medidas preventivas, identificacin oportuna de irregularidades, limitacin de prdidas y recuperacin oportuna. Estas medidas debern basarse en anlisis
costo-beneficio y deber priorizarse. Adems, la
alta gerencia deber asegurar que esta poltica de
seguridad de alto nivel y de control interno especifique el propsito y los objetivos, la estructura
gerencial, el alcance dentro de la organizacin, la
definicin y asignacin de responsabilidades para
su implementacin a todos los niveles y la definicin de multas y de acciones disciplinarias asociadas con la falta de cumplimiento con las polticas de seguridad y control interno. Se debern
establecer criterios para la reevaluacin peridica
del marco de referencia con el objeto de soportar
responsablemente los cambios organizacionales y
los requerimientos tcnicos y ambientales.
IT GOVERNANCE INSTITUTE
47
OBJETIVOS DE CONTROL
PO7
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nib
i
m lid
p
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
IT GOVERNANCE INSTITUTE
g
a p e n te
lic
a
te cion
cn
e
in olo s
st
g
al
a c a
io
da nes
to
s
48
OBJETIVOS DE CONTROL
7
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia debe definir claramente los roles y responsabilidades del personal, incluyendo los requisitos para adherirse a las polticas y procedimientos
establecidos por la gerencia, el cdigo de tica y las
prcticas profesionales. Los trminos y condiciones
de los cargos debe estrechar la responsabilidad de los
empleados por la seguridad de la informacin y el
control interno.
7.4 Entrenamiento de Personal
7.8
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los empleados reciban orientacin al ser contratados, as como entrenamiento y capacitacin constantes con la finalidad de
conservar los conocimientos, habilidades, destrezas y
IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO8
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
3 3
g
ap ente
l ic
a
te c i o n
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
IT GOVERNANCE INSTITUTE
50
OBJETIVOS DE CONTROL
8
ASEGURAMIENTO DE CUMPLIMIENTO
DE REQUERIMIENTOS EXTERNOS
51
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO9
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
IT GOVERNANCE INSTITUTE
52
OBJETIVOS DE CONTROL
9
ANALISIS DE RIESGOS
Identificacin de Riesgos
OBJETIVO DE CONTROL
53
OBJETIVOS DE CONTROL
9.7 Seleccin de Garantas o Protecciones
OBJETIVO DE CONTROL
Mientras se logra un sistema de controles y garantas razonable, apropiado y proporcional, controles con el mas alto retorno de inversin (ROI return of investment) y aquellos que provean
ganancia rpida deben recibir la primera prioridad. El sistema de control necesita adems balancear las medidas de prevencin, deteccin,
correccin y recuperacin. Adicionalmente, la
Gerencia necesita comunicar el propsito de las
medidas de control, manejar el conflicto y monitorear continuamente la efectividad de las medidas de control.
9.8 Compromiso con el Anlisis de Riesgos
OBJETIVO DE CONTROL
La Gerencia deber motivar el anlisis de riesgos
como una herramienta importante para proveer
informacin para el diseo e implementacin de
controles internos, en la definicin del plan estratgico de tecnologa de informacin y en los mecanismos de evaluacin y monitoreo.
IT GOVERNANCE INSTITUTE
54
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO10
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
55
OBJETIVOS DE CONTROL
10 ADMINISTRACIN DE PROYECTOS
10.1 Marco de Referencia para la Administracin
de Proyectos
OBJETIVO DE CONTROL
La Gerencia deber establecer un marco de referencia general para la administracin de proyectos que defina el alcance y los lmites del mismo,
as como la metodologa de administracin de
proyectos a ser adoptada y aplicada para cada
proyecto emprendido. La metodologa deber
cubrir, como mnimo, la asignacin de responsabilidades, la determinacin de tareas, la elaboracin de presupuestos de tiempo y recursos, los
avances, los puntos de revisin y las aprobaciones.
10.2 Participacin del Departamento Usuario en la
Iniciacin de Proyectos
OBJETIVO DE CONTROL
El marco de referencia de la administracin de
proyectos de la organizacin deber fomentar la
participacin del departamento usuario afectado
en la definicin y autorizacin de cualquier proyecto de desarrollo, implementacin o modificacin.
10.3 Miembros y Responsabilidades del Equipo del
Proyecto
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber especificar las
bases para asignar a los miembros del personal al
proyecto y definir las responsabilidades y autoridades de los miembros del equipo del proyecto.
10.4 Definicin del Proyecto
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber generar la creacin de un estatuto claro y por escrito que defina
la naturaleza y el alcance de cada proyecto de
implementacin antes de que los trabajos del
mismo empiecen.
10.5 Aprobacin del Proyecto
alta gerencia de la organizacin revise los reportes de los estudios de factibilidad relevantes para
cada proyecto propuesto, como una base para
fundamentar la decisin de proceder con el proyecto.
10.6 Aprobacin de las Fases del Proyecto
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber disponer que
los Gerentes designados en representacin de las
funciones del usuario y de los servicios de TI
aprueben el trabajo realizado en cada fase del
ciclo antes de iniciar los trabajos de la siguiente
fase.
10.7 Plan Maestro del Proyecto
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, para cada
proyecto aprobado, se cree un plan maestro
adecuado para mantener el control del proyecto
a travs de todo su desarrollo e incluya un mtodo de monitoreo del tiempo y los costos incurridos durante su vida. El contenido del plan del
proyecto debe contener objetivos, recursos y
responsabilidades requeridos y debe proveer
informacin que permita a la Gerencia medir el
progreso del proyecto.
10.8 Plan de Aseguramiento de la Calidad del Sistema
OBJETIVO DE CONTROL
La Gerencia deber asegurar que la implementacin de un sistema nuevo o la modificacin de
otro incluya la preparacin de un plan de calidad
que sea integrado posteriormente al plan maestro
del proyecto y que sea formalmente revisado y
acordado por todas las partes interesadas.
10.9 Planeacin de Mtodos de Aseguramiento
OBJETIVO DE CONTROL
Las tareas de aseguramiento debern ser definidas durante la fase de planeacin del marco de
referencia de administracin de proyectos. Las
tareas de aseguramiento debern apoyar la acre-
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber asegurar que la
IT GOVERNANCE INSTITUTE
56
OBJETIVOS DE CONTROL
ditacin de sistemas nuevos o modificados y garantizar que los controles internos y los dispositivos de seguridad cumplan con los requerimientos necesarios.
10.10 Administracin Formal de Riesgos de Proyectos
OBJETIVO DE CONTROL
La Gerencia deber implementar un programa de
administracin formal de riesgos de proyectos
para eliminar o minimizar los riesgos asociados
con proyectos individuales (por ejemplo, identificacin y control de reas o eventos que tengan
la posibilidad de causar cambios no deseados).
10.11 Plan de Prueba
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber requerir la creacin de un plan de pruebas para cada proyecto de
desarrollo, implementacin y modificacin.
10.12 Plan de Entrenamiento
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber requerir la creacin de un plan de entrenamiento para cada proyecto de desarrollo, implementacin y modificacin.
10.13 Plan de Revisin Post - Implementacin
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber disponer que,
como parte integral de las actividades del equipo
del proyecto, se desarrolle un plan de revisin
post - implementacin para cada sistema de informacin nuevo o modificado, con la finalidad
de determinar si el proyecto ha generado los beneficios planeados.
IT GOVERNANCE INSTITUTE
57
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO11
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
IT GOVERNANCE INSTITUTE
3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
58
OBJETIVOS DE CONTROL
11 ADMINISTRACIN DE LA CALIDAD
11.1 Plan General de Calidad
OBJETIVO DE CONTROL
La alta gerencia deber desarrollar y mantener
regularmente un plan general de calidad basado
en los planes organizacionales y de tecnologa de
informacin a largo plazo. El plan deber promover la filosofa de mejora continua y contestar
a las preguntas bsicas de qu, quin y cmo.
11.2 Enfoque de Aseguramiento de Calidad
OBJETIVO DE CONTROL
La Gerencia deber establecer un enfoque estndar con respecto al aseguramiento de calidad,
que cubra tanto las actividades de aseguramiento
de calidad generales como las especficas de un
proyecto. El enfoque deber determinar el (los)
tipo(s) de actividades de aseguramiento de calidad (tales como revisiones, auditoras, inspecciones, etc.) que deben realizarse para alcanzar los
objetivos del plan general de calidad. Asimismo
deber requerir una revisin especfica de aseguramiento de calidad.
11.3 Planeacin del Aseguramiento de Calidad
OBJETIVO DE CONTROL
proceso de desarrollo, adquisicin, implementacin y mantenimiento de sistemas de informacin computarizados y tecnologas relacionadas.
La metodologa del ciclo de vida de desarrollo de
sistemas elegida deber ser la apropiada para los
sistemas a ser desarrollados, adquiridos, implementados y mantenidos.
11.6 Metodologa del Ciclo de Vida de Desarrollo
de Sistemas para Cambios Mayores a la Tecnologa Actual
OBJETIVO DE CONTROL
En el caso de requerirse cambios mayores a la
tecnologa actual, como en el caso de adquisicin
de nueva tecnologa, la Gerencia deber asegurar
el cumplimiento de la metodologa del ciclo de
vida de desarrollo de sistemas, .
11.7 Actualizacin de la Metodologa del Ciclo de
Vida de Desarrollo de Sistemas
OBJETIVO DE CONTROL
La alta gerencia deber implementar una revisin
peridica de su metodologa del ciclo de vida de
desarrollo de sistemas para asegurar que incluya
tcnicas y procedimientos actuales generalmente
aceptados.
11.8 Coordinacin y Comunicacin
IT GOVERNANCE INSTITUTE
OBJETIVO DE CONTROL
La Gerencia deber establecer un proceso para
asegurar la coordinacin y comunicacin estrecha entre los clientes de la funcin TI y los implementadores de sistemas. Este proceso deber
ocasionar que los mtodos estructurados que utilice la metodologa del ciclo de vida de desarrollo de sistemas aseguren la provisin de soluciones de tecnologa de informacin de calidad que
satisfagan las demandas de negocio. La Gerencia deber promover una organizacin que se
caracterice por la estrecha cooperacin y comunicacin a lo largo del ciclo de vida de desarrollo
de sistemas.
11.9 Marco de Referencia de Adquisicin y Mantenimiento para la Infraestructura de
Tecnologa
OBJETIVO DE CONTROL
Deber establecerse un marco de referencia general referente a la adquisicin y mantenimiento
59
OBJETIVOS DE CONTROL
de la infraestructura de tecnologa. Los diferentes pasos que deben ser seguidos con respecto a
la infraestructura de tecnologa (tales como adquisicin; programacin, documentacin y
pruebas; establecimiento de parmetros; mantenimiento y aplicacin de correcciones) debern
estar regidos por y mantenerse en lnea con el
marco de referencia para la adquisicin y mantenimiento de la infraestructura de tecnologa.
11.10 Relaciones con Terceras Partes como Implementadores
OBJETIVO DE CONTROL
La Gerencia deber crear un proceso para asegurar las buenas relaciones de trabajo con los
implementadores externos que pertenezcan a
terceras partes. Dicho proceso deber disponer
que el usuario y el implementador estn de
acuerdo sobre los criterios de aceptacin, el manejo de cambios, los problemas durante el desarrollo, las funciones de los usuarios, las instalaciones, las herramientas, el software, los estndares y los procedimientos.
IT GOVERNANCE INSTITUTE
Agregados (aggregated)
60
OBJETIVOS DE CONTROL
11.17 Revisin del Aseguramiento de Calidad sobre
el Logro de los Objetivos de TI
OBJETIVO DE CONTROL
El enfoque de aseguramiento de calidad deber
incluir una revisin de hasta qu punto los sistemas particulares y las actividades de desarrollo de aplicaciones han alcanzado los objetivos
de la funcin de servicios de informacin.
11.18 Mtricas de calidad
OBJETIVO DE CONTROL
La gerencia deber definir y utilizar mtricas
para medir los resultados de actividades, evaluando si las metas de calidad han sido alcanzadas.
11.19 Reportes de Revisiones de Aseguramiento de
Calidad
OBJETIVO DE CONTROL
Los reportes de revisiones de aseguramiento de
calidad debern ser preparados y enviados a la
Gerencia de los departamentos usuarios y de la
funcin de servicios de informacin (TI).
IT GOVERNANCE INSTITUTE
61
OBJETIVOS DE CONTROL
(AI)
ADQUISICION E IMPLEMENTACIN
IT GOVERNANCE INSTITUTE
62
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICION E IMPLEMENTACION
AI1
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
63
OBJETIVOS DE CONTROL
1
IDENTIFICACIN
DE
no.
SOLUCIONES AU-
TOMATIZADAS
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe asegurar que
los requerimientos del negocio ya satisfechos por
el sistema actual y a ser satisfechos por el sistema nuevo propuesto o modificado (software, datos e infraestructura), estn claramente definidos
antes de aprobar cualquier proyecto de desarrollo, implementacin o modificacin. La metodologa del ciclo de vida de desarrollo de sistemas
deber exigir que los requerimientos de las soluciones funcionales y operacionales sean especificados, incluyendo desempeo, proteccin, confiabilidad, compatibilidad, seguridad y legislacin.
1.7
Arquitectura de Informacin
OBJETIVO DE CONTROL
La Gerencia deber asegurar que se tome en consideracin el modelo de datos de la empresa al
definir las soluciones y analizar la factibilidad de
las mismas.
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
10
Del anaquel (off-the-shelf): se dice de productos de software terminados que pueden adquirirse directamente de un
proveedor o distribuidor.
11
Solicitud de propuesta (request for proposal, RFP): invitacin que se extiende a proveedores para que presenten
una propuesta.Trminos de referencia
64
OBJETIVOS DE CONTROL
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe asegurar que
existan mecanismos adecuados para que las pistas de auditora estn disponibles o que dichos
mecanismos puedan ser desarrollados para la
solucin identificada y seleccionada. Los mecanismos debern proporcionar la capacidad de
proteger datos sensitivos (ej. identificacin de
usuarios -user IDs- contra divulgacin o mal
uso)
1.11 Ergonoma
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los proyectos
de desarrollo, implementacin y cambios emprendidos por la funcin de TI, tomen en consideracin los aspectos ergonmicos asociados con
la introduccin de soluciones automatizadas.
1.12 Seleccin del Software del Sistema
OBJETIVO DE CONTROL
La Gerencia deber asegurar que la funcin de
servicios de informacin cumpla con un procedimiento estndar para identificar todos los programas de software potenciales que debern satisfacer sus requerimientos operacionales.
IT GOVERNANCE INSTITUTE
12
Entregable (deliverable): un producto formal que es entregado como parte final de un proceso o trabajo.
65
OBJETIVOS DE CONTROL
das (como usuarios, administradores de proyecto,
etc.) antes de pagar por el trabajo y aprobar el
producto final. Las pruebas que debern ser incluidas en las especificaciones del contrato debern consistir en pruebas del sistema, pruebas de
integracin, pruebas de hardware y componentes,
pruebas de procedimientos, pruebas de carga y
estrs, pruebas de afinacin y desempeo, pruebas de regresin, pruebas de aceptacin del usuario y, finalmente, pruebas piloto del sistema total, con la finalidad de evitar fallas no esperadas
del mismo.
1.17 Aceptacin de Instalaciones
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, dentro del contrato con el proveedor, se acuerde un plan de
aceptacin para las instalaciones que se proporcionarn, el cual defina los procedimientos y criterios de aceptacin. Adems, debern llevarse a
cabo pruebas de aceptacin para garantizar que
la instalacin y el medio ambiente cumplan con
los requerimientos especificados en el contrato.
1.18 Aceptacin de Tecnologa
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, dentro del contrato con el proveedor, se acuerde un plan de
aceptacin para la tecnologa especfica a ser
proporcionada, el cual defina los procedimientos
y criterios de aceptacin. Adems, las pruebas
de aceptacin establecidas en el plan, debern
incluir inspeccin, pruebas de funcionalidad y
seguimiento de cargas de trabajo.
IT GOVERNANCE INSTITUTE
66
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICION E IMPLEMENTACION
AI2
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
IT GOVERNANCE INSTITUTE
3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
67
OBJETIVOS DE CONTROL
2
2.5
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe estipular que se
apliquen tcnicas y procedimientos apropiados,
incluyendo una estrecha relacin con los usuarios del sistema, en la creacin de las especificaciones de diseo para cada nuevo proyecto de
desarrollo de sistemas de informacin, verificando las especificaciones del diseo contra los requerimientos del usuario.
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, en caso de presentarse la necesidad de realizar modificaciones
significativas a los sistemas actuales, se siga un
proceso de desarrollo similar al utilizado en el
desarrollo de sistemas nuevos.
2.3
Especificaciones de Programas
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin requerir que las especificaciones de diseo para todos los proyectos
de desarrollo y modificacin de sistemas de informacin, sean revisados y aprobados por la
Gerencia, por los departamentos usuarios afectados y por la alta gerencia de la organizacin,
cuando esto sea pertinente.
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe asegurar la aplicacin de un procedimiento apropiado para la
definicin y documentacin del formato de los
archivos para cada proyecto de desarrollo y modificacin de sistemas de informacin. Este procedimiento deber garantizar el respeto a las reglas de diccionario de datos.
13
IT GOVERNANCE INSTITUTE
68
OBJETIVOS DE CONTROL
2.13 Disponibilidad como Factor Clave de Diseo
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe requerir que
existan mecanismos adecuados para definir y
documentar los requerimientos de procesamiento
para cada proyecto de desarrollo o modificacin
de sistemas de informacin.
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para asegurar, cuando esto aplique, que los
programas de aplicacin contengan instrucciones
que verifiquen rutinariamente las tareas realizadas por el software, para apoyar el aseguramiento de la integridad de los datos y el cual haga posible la restauracin de la integridad a travs de
procedimientos de recuperacin en reversa14 u
otros medios.
2.12 Controlabilidad
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe requerir que se especifiquen mecanismos adecuados, para garantizar
que se identifiquen los requerimientos de seguridad y
control internos para cada proyecto de desarrollo o
modificacin de sistemas de informacin. La metodologa deber asegurar adems que los sistemas de
informacin estn diseados para incluir controles de
aplicacin que garanticen que los datos de entrada y
salida estn completos, sean precisos, oportunos y
autorizados. Deber llevarse a cabo una evaluacin
de sensibilidad durante el inicio del desarrollo o modificacin del sistema. Los aspectos bsicos de seguridad y control interno de un sistema a ser desarrollado o modificado debern ser evaluados junto con el
diseo conceptual del mismo, con el fin de integrar
los conceptos de seguridad en el diseo, tan pronto
como sea posible.
IT GOVERNANCE INSTITUTE
14
69
OBJETIVOS DE CONTROL
2.17 Reevaluacin del Diseo del Sistema
OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin debe asegurar que el
diseo del sistema sea reevaluado siempre que
ocurran discrepancias tcnicas y/o lgicas durante el desarrollo o mantenimiento del sistema.
IT GOVERNANCE INSTITUTE
70
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICION E IMPLEMENTACION
AI3
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
71
OBJETIVOS DE CONTROL
3
ADQUISICIN Y MANTENIMIENTO DE
INFRAESTRUCTURA TECNOLOGICA
IT GOVERNANCE INSTITUTE
72
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICION E IMPLEMENTACION
AI4
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
IT GOVERNANCE INSTITUTE
3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
73
OBJETIVOS DE CONTROL
4
DESARROLLO Y MANTENIMIENTO DE
PROCEDIMIENTOS
IT GOVERNANCE INSTITUTE
74
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICION E IMPLEMENTACION
AI5
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
y toma en consideracin:
Entrenamiento del usuario y personal de
operaciones de TI
Conversin de datos
Una prueba ambiental reflejando al ambiente real
Acreditacin
revisiones post implementacin y retroalimentacin
Participacin del usuario final en las pruebas
Planes continuos de mejoramiento de calidad
Requerimientos de continuidad del negocio
Medicin de capacidad y desempeo a travs del sistema
Acuerdos y criterios de aceptacin
75
OBJETIVOS DE CONTROL
5
TEMAS
OBJETIVO DE CONTROL
5.1 Entrenamiento
La Gerencia debe requerir que el plan de conversin de datos este preparado, definiendo los mtodos de recoleccin y verificacin de los datos
que sern convertidos e identificando y resolviendo cualquier error encontrado durante la
conversin. Las pruebas a ser desarrolladas incluyen la comparacin, del archivo original, y el
convertido, revisin de la compatibilidad de los
datos transformados con el nuevo sistema, revisin de los archivos maestros despus de la conversin para asegurar la precisin de los datos de
los archivo maestros y as asegurar que las transacciones realizadas actualicen tanto a los archivos maestros antiguos como los nuevos durante
el periodo entre la conversin inicial y la implementacin final. Una verificacin detallada de
los procesos iniciales del nuevo sistema deben
ser desarrollados para confirmar una implementacin exitosa. La gerencia debe asegurar que la
responsabilidad de la transformacin exitosa de
datos recaiga sobre los propietarios del sistema.
OBJETIVO DE CONTROL
El personal de los departamentos usuarios afectados y el grupo de operaciones de la funcin de
servicios de informacin debern estar entrenados de acuerdo al plan de entrenamiento definido
y los materiales relacionados, como parte de
cualquier proyecto de desarrollo, implementacin o modificacin de sistemas de informacin.
5.2 Dimensionamiento15 del Desempeo del Software de Aplicacin
OBJETIVO DE CONTROL
El dimensionamiento (optimizacin) del desempeo del software de aplicacin deber establecerse como una parte integral de la metodologa
del ciclo de vida de desarrollo de sistemas de la
organizacin para predecir los recursos requeridos para operar software nuevo o significativamente modificado.
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Un plan de implementacin debe ser preparado,
revisado y aprobado por partes relevantes y debe
ser usado para medir el progreso. El plan de implementacin debe estar direccionado hacia la
preparacin del sitio, adquisicin e instalacin de
equipos, entrenamiento del usuario, instalacin
de cambios al software operativo, implementacin de procedimientos operativos y conversin..
5.4
Los planes y las estrategias de prueba deben estar preparadas y autorizadas por el propietario
del sistema y por la gerencia de TI.
5.7
Pruebas a Cambios
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los cambios
sean probados por un grupo de prueba independiente (distinto al de los desarrolladores) de
acuerdo con la evaluacin de impacto y recursos
en un ambiente de prueba separado antes de comenzar su uso en el ambiente de operacin regular. Tambin debern desarrollarse planes de respaldo externo16. Las pruebas de aceptacin debern llevarse a cabo en un ambiente representativo
del ambiente operacional futuro (por ejemplo,
condiciones similares de seguridad, controles
internos, cargas de trabajo, etc.)
IT GOVERNANCE INSTITUTE
76
OBJETIVOS DE CONTROL
5.8 Criterios y Desempeo de Pruebas en Paralelo/Piloto
5.12
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber definir e implementar procedimientos formales para controlar la entrega
del sistema de desarrollo a pruebas y a operacin. La Gerencia debe solicitar que se obtenga
la autorizacin del propietario del sistema antes
que el nuevo sistema sea trasladado a produccin y antes que el sistema viejo sea descontinuado. El nuevo sistema ser sucesivamente
operado durante los ciclos de produccin diaria, mensual y trimestral. Los ambientes respectivos debern separarse y protegerse apropiadamente.
IT GOVERNANCE INSTITUTE
77
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICION E IMPLEMENTACION
AI6
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
administracin de cambios
que satisface los requerimientos de negocio de:
minimizar la probabilidad de interrupciones, alteraciones no
autorizadas y errores
se hace posible a travs de:
un sistema de administracin que permita el anlisis,
implementacin y seguimiento de todos los cambios
requeridos y llevados a cabo a la infraestructura de TI
actual
y toma en consideracin:
identificacin de cambios
procedimientos de categorizacin, priorizacin y emergencia
Anlisis de impacto
autorizacin de cambios
Administracin de la liberacin del cambio
distribucin de software
Uso de herramientas automatizadas
Administracin de la configuracin
Rediseo del proceso del negocio
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
78
OBJETIVOS DE CONTROL
6
ADMINISTRACIN DE CAMBIOS
OBJETIVO DE CONTROL
La Gerencia deber asegurar que todas las solicitudes de cambios tanto internos como por parte
de proveedores estn estandarizados y sujetos a
procedimientos formales de administracin de
cambios. Las solicitudes debern categorizarse y
priorizarse y se deben establecer procedimientos
especficos para manejar cambios urgentes. Los
solicitantes de los cambios deben permanecer
informados acerca del estatus de su solicitud.
IT GOVERNANCE INSTITUTE
79
OBJETIVOS DE CONTROL
(DS)
ENTREGA DE SERVICIOS Y SOPORTE
IT GOVERNANCE INSTITUTE
80
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS1
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
81
OBJETIVOS DE CONTROL
1
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber designar a un Gerente de nivel de
servicio que sea responsable de monitorear y reportar los alcances de los criterios de desempeo
del servicio especificado y todos los problemas
encontrados durante el procesamiento. Las estadsticas de monitoreo debern ser analizadas
oportunamente. Debern tomarse acciones correctivas apropiadas e investigarse las fallas.
1.5 Revisin de Acuerdos y Contratos de Nivel de
Servicio
OBJETIVO DE CONTROL
La Gerencia deber implementar un proceso de
revisin regular de los convenios de nivel de servicio y de los contratos de proveedores de servicios como terceras partes.
1.6 Elementos sujetos a Cargo
OBJETIVO DE CONTROL
Debern incluirse provisiones para elementos
sujetos a cargo en los acuerdos de niveles de servicio para hacer posible las comparaciones y decisiones de niveles de servicio contra su costo.
1.7 Programa de Mejoramiento del Servicio
OBJETIVO DE CONTROL
La Gerencia deber implementar un proceso para
asegurar que los usuarios y los Gerentes de nivel
de servicio concuerden regularmente en un programa de mejoramiento del servicio con el fin de
dar seguimiento a mejoras al nivel de servicio
cuyo costo est justificado.
IT GOVERNANCE INSTITUTE
82
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
ef
ec
ti v
ef ida
c o ic ie d
nf
id nc ia
en
in c ia
te
li
di gr i dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
n f ien
ia
b i to
lid
ad
DS2
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
83
OBJETIVOS DE CONTROL
2
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber asegurar que todos los servicios prestados por terceros sean propiamente
identificados y que las interfaces tcnicas y organizacionales con los proveedores sean documentadas.
2.2 Relaciones con los Propietarios (usuarios dueos)
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Con respecto a las relaciones con los proveedores de servicios como terceras partes, la Gerencia
deber asegurar que los acuerdos de seguridad
(por ejemplo, los acuerdos de confidencialidad)
sean identificados, declarados explcitamente y
acordados, que stos concuerden con los estndares de negocios universales y estn en lnea con
los requerimientos legales y regulatorios, incluyendo obligaciones.
2.8 Monitoreo
OBJETIVO DE CONTROL
La Gerencia deber establecer un proceso continuo de monitoreo sobre la prestacin de servicio
de terceros, con el fin de asegurar el cumplimiento de los acuerdos del contrato.
IT GOVERNANCE INSTITUTE
18
84
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS3
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
IT GOVERNANCE INSTITUTE
3 3 3
g
ap ente
l ic
a
te c i o n
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
85
OBJETIVOS DE CONTROL
3
ADMINISTRACIN DE DESEMPEO Y
CAPACIDAD
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber establecer un proceso de planeacin para la revisin del desempeo y capacidad
del hardware con el fin de asegurar que siempre
exista una capacidad justificable econmicamente para procesar las cargas de trabajo acordadas y
para proporcionar la cantidad y calidad de
desempeo requeridas, prescritas en los acuerdos
de nivel de servicio. El plan de capacidad deber
cubrir escenarios mltiples.
OBJETIVO DE CONTROL
La gerencia deber asegurar que se utilicen las
herramientas de modelado apropiadas para producir un modelo del sistema actual, calibrado y
ajustado segn la carga de trabajo real y que sea
preciso dentro de los niveles de carga recomendados. Las herramientas de modelado debern
utilizarse para apoyar el pronstico de los requerimientos de capacidad, confiabilidad de la configuracin, desempeo y disponibilidad. Debern
llevarse a cabo investigaciones tcnicas profundas sobre el hardware de los sistemas y debern
incluirse pronsticos acerca de futuras tecnologas.
IT GOVERNANCE INSTITUTE
86
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS4
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
87
OBJETIVOS DE CONTROL
4
OBJETIVO DE CONTROL
La Gerencia de TI deber asegurar que se
desarrolle un plan escrito conteniendo lo siguiente:
z
IT GOVERNANCE INSTITUTE
OBJETIVO DE CONTROL
Para contar con un Plan efectivo de Continuidad,
la gerencia necesita evaluar su adecuacin de manera regular o cuando se presenten cambios mayores en el negocio o en la infraestructura de TI;
esto requiere una preparacin cuidadosa, documentacin, reporte de los resultados de las pruebas e implementar un plan de accin de acuerdo
con los resultados.
4.7 Entrenamiento sobre el Plan de Continuidad
de Tecnologa de Informacin
OBJETIVO DE CONTROL
La metodologa de Continuidad ante desastres
deber asegurar que todas las partes interesadas
reciban sesiones de entrenamiento regulares con
respecto a los procedimientos a ser seguidos en
caso de un incidente o un desastre.
88
OBJETIVOS DE CONTROL
4.8 Distribucin del Plan de Continuidad de TI
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
El plan de continuidad deber identificar los programas de aplicacin, servicios de terceros, sistemas operativos, personal, insumos, archivos de
datos que resultan crticos as como los tiempos
necesarios para la recuperacin despus de que
se presenta un desastre. Los datos y las operaciones crticas deben ser identificadas, documentadas, priorizadas y aprobadas por los dueos de
los procesos del negocio en cooperacin con la
Gerencia de TI.
IT GOVERNANCE INSTITUTE
89
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS5
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
90
OBJETIVOS DE CONTROL
duales demostradas de visualizar, agregar, modificar o eliminar datos.
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
En un ambiente de tecnologa de informacin en
lnea, la Gerencia de TI deber implementar procedimientos acordes con la poltica de seguridad
que garantiza el control de la seguridad de acceso, tomando como base las necesidades indivi25
IT GOVERNANCE INSTITUTE
91
OBJETIVOS DE CONTROL
registro26 de recursos de cmputo (seguridad y
otros logs) deber otorgarse tomando como base
el principio de menor privilegio o necesidad de
saber.
OBJETIVO DE CONTROL
La Gerencia deber implementar la capacidad de
manejar incidentes de seguridad computacional,
dar atencin a dichos incidentes mediante el establecimiento de una plataforma centralizada con
suficiente experiencia y equipada con instalaciones de comunicacin rpidas y seguras. Debern
establecerse las responsabilidades y los procedimientos de manejo de incidentes para asegurar
una respuesta apropiada, efectiva y oportuna a
los incidentes de seguridad.
5.12 Reacreditacin
OBJETIVO DE CONTROL
La Gerencia deber asegurar que se lleve a cabo
peridicamente una reacreditacin de seguridad
(por ejemplo, a travs de equipos de personal
tcnico tigre27) con el fin de mantener actualizado el nivel de seguridad aprobado formalmente
y la aceptacin del riesgo residual.
5.13 Confianza en Contrapartes
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Deben existir controles para asegurar que la identificacin y los derechos de acceso de los usuarios, as como la identidad del sistema y la propiedad de los datos, son establecidos y administrados de forma nica y centralizada, para obtener consistencia y eficiencia de un control de acceso global.
26
IT GOVERNANCE INSTITUTE
27
Registro (accountability)
Equipo tigre (Tiger team): es un grupo de personal tcnico al cual se le asignan trabajos de verificacin de seguridad en una instalacin. Estos
trabajos consisten tipicamente en actuar en forma
incgnita y tratar de violar las medidas de seguridad establecidas para probar la efectividad de las
mismas e identificar las reas vulnerables que requieren atencin.
92
OBJETIVOS DE CONTROL
5.14 Autorizacin de transacciones
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber definir e implementar procedimientos y protocolos a ser utilizados en la generacin, cambio, revocacin, destruccin, distribucin, certificacin, almacenamiento, entrada, utilizacin y archivo de llaves criptogrficas con el fin
de asegurar la proteccin de las mismas contra
modificaciones y divulgacin no autorizada. Si
una llave se encuentra comprometida (en riesgo),
la gerencia deber asegurarse de que esta informacin se hace llegar a todas las partes interesadas a
travs de una lista de revocacin de certificados o
mecanismos similares.
IT GOVERNANCE INSTITUTE
93
OBJETIVOS DE CONTROL
5.21 Proteccin de Valores Electrnicos
OBJETIVO DE CONTROL
La Gerencia debe proteger la integridad continuada de todas las tarjetas o mecanismos de seguridad fsica similares, utilizadas para autenticacin o almacenamiento de informacin financiera o sensitiva tomando en consideracin las instalaciones o equipos relacionados, los dispositivos, los empleados y los mtodos de validacin
utilizados.
IT GOVERNANCE INSTITUTE
94
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS6
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
95
OBJETIVOS DE CONTROL
6
IDENTIFICACIN Y ASIGNACIN DE
COSTOS
IT GOVERNANCE INSTITUTE
96
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS7
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
IT GOVERNANCE INSTITUTE
97
OBJETIVOS DE CONTROL
7
EDUCACIN Y ENTRENAMIENTO DE
USUARIOS
IT GOVERNANCE INSTITUTE
98
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS8
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
IT GOVERNANCE INSTITUTE
99
OBJETIVOS DE CONTROL
8
8.1
Help Desk
OBJETIVO DE CONTROL
Deber establecerse un soporte para usuarios
dentro de una funcin de Help Desk o Mesa de
Control y Ayuda. Las personas responsables de
llevar a cabo esta funcin debern interactuar
estrechamente con el personal de administracin
de problemas.
IT GOVERNANCE INSTITUTE
100
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS9
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
registro de activos
administracin de cambios en la configuracin
chequeo de software no autorizado
controles de almacenamiento de software
Integracin e interrelacin de hardware y
software
Uso de herramientas automatizadas
IT GOVERNANCE INSTITUTE
3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
101
OBJETIVOS DE CONTROL
9
ADMINISTRACIN DE LA CONFIGURACIN
OBJETIVO DE CONTROL
La Gerencia de TI deber asegurarse de que exista una configuracin base de elementos como
punto de verificacin al cual regresar despus de
las modificaciones.
9.3 Registro de Estatus
OBJETIVO DE CONTROL
La Gerencia de TI deber asegurar que los registros de la configuracin reflejen el estatus real de
todos los elementos de la configuracin incluyendo la historia de los cambios.
9.4 Control de la Configuracin
OBJETIVO DE CONTROL
Los procedimientos debern asegurar que la
existencia y consistencia del registro de la configuracin de la funcin de TI sean revisadas peridicamente.
IT GOVERNANCE INSTITUTE
102
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS10
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
103
OBJETIVOS DE CONTROL
10 ADMINISTRACIN DE PROBLEMAS E INCIDENTES
IT GOVERNANCE INSTITUTE
104
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS11
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Administracin de datos
que satisface los requerimientos de negocio de:
asegurar que los datos permanezcan completos, precisos y vlidos
durante su entrada, actualizacin y almacenamiento
se hace posible a travs de:
una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI
y toma en consideracin:
diseo de formatos
controles sobre documentos fuente
controles de entrada, procesamiento y salida
identificacin, movimiento y administracin de
la librera de medios
Recuperacin y almacenamiento de datos
autenticacin e integridad
propiedad de datos
polticas de administracin de datos
modelos de datos y estndares de representacin de datos
integracin y consistencia en todas las plataformas
requisitos legales y regulatorios
IT GOVERNANCE INSTITUTE
3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
105
OBJETIVOS DE CONTROL
11 ADMINISTRACIN DE DATOS
11.1 Procedimientos de Preparacin de Datos
OBJETIVO DE CONTROL
La Gerencia deber establecer procedimientos de
preparacin de datos que deben ser seguidos por
los departamentos usuarios. En este contexto, el
diseo de formas de entrada de datos deber ayudar a minimizar los errores y las omisiones. Durante la creacin de los datos, los procedimientos
de manejo de errores debern asegurar razonablemente que los errores y las irregularidades
sean detectados, reportados y corregidos.
11.2 Procedimientos de Autorizacin de Documentos Fuente
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los documentos
fuente sean preparados apropiadamente por personal autorizado que acta dentro de su autoridad, y que se establezca una separacin de funciones adecuada con respecto al origen y aprobacin de documentos fuente.
11.3 Recopilacin de Datos de Documentos Fuente
OBJETIVO DE CONTROL
Los procedimientos de la organizacin debern
asegurar que todos los documentos fuente autorizados estn completos, sean precisos, registrados
apropiadamente y transmitidos oportunamente
para su ingreso a proceso.
11.4 Manejo de errores de documentos fuente
OBJETIVO DE CONTROL
Los procedimientos de manejo de errores durante
la creacin de datos debern asegurar razonablemente que los errores y las irregularidades sean
detectados, reportados y corregidos.
11.5 Retencin de Documentos Fuente
OBJETIVO DE CONTROL
Debern establecerse procedimientos para asegurar que la organizacin pueda retener o reproducir los documentos fuente originales durante un
perodo de tiempo razonable para facilitar la recuperacin o reconstruccin de datos, as como
para satisfacer requerimientos legales.
IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
dos en una infraestructura de control interactiva
con operadores humanos para asegurar que las
decisiones vitales son aprobadas.
11.11 Manejo de Errores en el Procesamiento de
Datos
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para el manejo de errores en el procesamiento de datos que permitan la identificacin de
transacciones errneas sin que stas sean procesadas y sin interrumpir el procesamiento de
otras transacciones vlidas.
11.12 Manejo y Retencin de Datos de Salida
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para el manejo y la retencin de datos producidos por sus programas de aplicacin de TI.
En caso de que instrumentos negociables (ej.
Ttulos valores) sean los receptores de la salida,
se deber prestar especial cuidado en prevenir
usos inadecuados.
11.13 Distribucin de Datos Salidos de los Procesos
OBJETIVO DE CONTROL
La organizacin deber establecer y comunicar
procedimientos escritos para la distribucin de
datos de salida de tecnologa de informacin.
11.14 Balanceo y Conciliacin de Datos de Salida
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para asegurar que los datos de salida sean
balanceados rutinariamente con los totales de
control relevantes. Debern existir pistas de
auditora para facilitar el seguimiento del procesamiento de transacciones y la conciliacin de
datos con problema.
11.15 Revisin de Datos de Salida y Manejo de
Errores
OBJETIVO DE CONTROL
La Gerencia de la organizacin deber establecer
procedimientos para asegurar que la precisin de los
reportes de los datos de salida sea revisada por el
proveedor y por los usuarios responsables. Asimismo, debern establecerse procedimientos para controlar los errores contenidos en los datos de salida.
IT GOVERNANCE INSTITUTE
107
OBJETIVOS DE CONTROL
los trminos de almacenamiento para documentos, datos, programas, reportes y mensajes (de
entrada y de salida), as como los datos (claves,
certificados) utilizados para su encripcin y autenticacin.
11.21 Sistema de Administracin de la Librera de
Medios
OBJETIVO DE CONTROL
IT GOVERNANCE INSTITUTE
OBJETIVO DE CONTROL
Los procedimientos de respaldo para los medios
relacionados con tecnologa de informacin debern incluir el almacenamiento apropiado de
los archivos de datos, del software y de la documentacin relacionada, tanto dentro como fuera
de las instalaciones. Los respaldos debern ser
almacenados con seguridad y las instalaciones
de almacenamiento debern ser revisadas peridicamente con respecto a la seguridad de acceso
fsico y la seguridad de los archivos de datos y
otros elementos.
11.26 Archivo
OBJETIVO DE CONTROL
La Gerencia deber implementar una poltica y
procedimientos para asegurar que el archivo
cumple con requerimientos legales y de negocio
y que se encuentra debidamente protegido y su
informacin adecuadamente registrada.
11.27 Proteccin de Mensajes Sensitivos
OBJETIVO DE CONTROL
Con respecto a la transmisin de datos a travs
de Internet u otra red pblica, la Gerencia deber definir e implementar procedimientos y protocolos que deben ser utilizados para el aseguramiento de la integridad, confidencialidad y no
negacin/rechazo de mensajes sensitivos.
11.28 Autenticacin e Integridad
OBJETIVO DE CONTROL
Antes que alguna accin crtica sea tomada sobre informacin originada fuera de la Organizacin, que se reciba va telfono, correo de voz,
documentos (en papel), fax o correo electrnico,
se deber verificar adecuadamente la autenticidad e integridad de dicha informacin.
108
OBJETIVOS DE CONTROL
11.29 Integridad de Transacciones Electrnicas
OBJETIVO DE CONTROL
Tomando en consideracin que las fronteras
tradicionales de tiempo y de geografa son menos precisas y confiables, la Gerencia deber
definir e implementar apropiados procedimientos y prcticas para transacciones electrnicas
que sean sensitivas y crticas para la Organizacin, que permitan asegurar su integridad y autenticidad de:
z
consistencia (si la transaccin no logra alcanzar un estado final estable, deber regresar al sistema a su estado inicial);
aislamiento (el comportamiento de una transaccin no es afectado por otras transacciones que se ejecutan concurrentemente); y
28
29
IT GOVERNANCE INSTITUTE
109
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS12
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
acceso a instalaciones
identificacin del sitio (instalacin)
seguridad fsica
Polticas de inspeccin y escalamiento
Plan de continuidad de negocios y administracin de crisis
salud y seguridad del personal
Polticas de mantenimiento preventivo
proteccin contra amenazas ambientales
Monitoreo automatizado
IT GOVERNANCE INSTITUTE
3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
110
OBJETIVOS DE CONTROL
12 ADMINISTRACIN DE INSTALACIONES30
OBJETIVO DE CONTROL
Debern establecerse medidas apropiadas de seguridad fsica y medidas de control de acceso
para las instalaciones de tecnologa de informacin incluyendo el uso de dispositivos de informacin off-site en conformidad con la poltica
general de seguridad. La seguridad fsica y los
controles de acceso deben abarcar no slo el rea
que contenga el hardware del sistema sino tambin las ubicaciones del cableado usado para conectar elementos del sistema, servicios de soporte (como la energa elctrica), medios de respaldo y dems elementos requeridos para la operacin del sistema. El acceso deber restringirse a
las personas que hayan sido autorizadas. Cuando
los recursos de tecnologa de informacin estn
ubicados en reas pblicas, debern estar debidamente protegidos para impedir o para prevenir
prdidas o daos por robo o por vandalismo.
30
31
IT GOVERNANCE INSTITUTE
Instalaciones (Facilities)
Discrecin (low profile)
111
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS13
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
IT GOVERNANCE INSTITUTE
3 3
3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
112
OBJETIVOS DE CONTROL
13 ADMINISTRACIN DE OPERACIONES
OBJETIVO DE CONTROL
La Gerencia de TI deber establecer y documentar procedimientos estndar para las operaciones
de tecnologa de informacin (incluyendo operaciones de red). Todas las soluciones y plataformas de tecnologa de informacin con que cuente
la empresa debern ser operadas utilizando estos
procedimientos, los cuales debern ser revisados
peridicamente para asegurar su efectividad y
cumplimiento.
32
IT GOVERNANCE INSTITUTE
Desviaciones (departures)
113
OBJETIVOS DE CONTROL
(M)
MONITOREO
IT GOVERNANCE INSTITUTE
114
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
MONITOREO
M1
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
IT GOVERNANCE INSTITUTE
115
OBJETIVOS DE CONTROL
1
116
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
MONITOREO
M2
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
3 3 3 3 3
g
ap ente
l ic
a
te c i o n
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
33
117
OBJETIVOS DE CONTROL
2
OBJETIVO DE CONTROL
La Gerencia deber monitorear la efectividad de
los controles internos en el curso normal de las
operaciones a travs de actividades administrativas y de supervisin, comparaciones, reconciliaciones y otras acciones rutinarias. Las desviaciones debern generar anlisis y acciones correctivas. Adems, las desviaciones debern ser comunicadas a la persona responsable de la funcin
y tambin, por lo menos, a un nivel de la gerencia por encima de esa persona. Las desviaciones
graves debern ser reportadas a la alta gerencia.
2.2 Operacin Oportuna de Controles Internos
OBJETIVO DE CONTROL
La confiabilidad en los controles internos requiere que los controles operen rpidamente para detectar errores e inconsistencias y que stos sean
corregidos antes de que impacten a la produccin
y a la prestacin de servicios. La informacin
relacionada con los errores, inconsistencias y
excepciones deber ser conservada y reportada
sistemticamente a la Gerencia.
2.3 Reporte sobre el Nivel de Control Interno
OBJETIVO DE CONTROL
La Gerencia deber reportar informacin sobre
los niveles de control interno y sobre las excepciones a las partes afectadas para asegurar la
efectividad continua de su sistema de control interno. Debern llevarse a cabo acciones para
identificar qu informacin es necesaria y a qu
nivel en particular para facilitar la toma de decisiones.
2.4 Seguridad de la Operacin y Aseguramiento
de Control Interno
OBJETIVO DE CONTROL
La seguridad en las operaciones y el aseguramiento de control interno debern ser establecidos y repetidos peridicamente a travs de una
autoanlisis o de una auditora independiente
para examinar si la seguridad y los controles internos se encuentran operando de acuerdo con
los requerimientos de seguridad y control interno
IT GOVERNANCE INSTITUTE
118
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
MONITOREO
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gr i dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
M3
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
l ic
a
te c i o n
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
119
OBJETIVOS DE CONTROL
3
IT GOVERNANCE INSTITUTE
120
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE ALTO NIVEL
MONITOREO
M4
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
IT GOVERNANCE INSTITUTE
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
3 3 3 3 3
121
OBJETIVOS DE CONTROL
4
tener el CISA35) necesarios para desempear dichas revisiones en forma efectiva, eficiente y
econmica. La Gerencia deber asegurar que el
personal asignado a tareas de auditora de sistemas de informacin, mantiene su nivel de competencia tcnica mediante un programa adecuado de
educacin profesional continua.
4.5 Planeacin
OBJETIVO DE CONTROL
La alta gerencia deber establecer un plan de auditora para garantizar que se obtenga un aseguramiento regular e independiente con respecto a la
efectividad, eficiencia y economa de la seguridad y de los procedimientos de control interno,
as como de la habilidad de la Gerencia para controlar las actividades de la funcin de servicios de
informacin. Dentro de este plan la Gerencia
deber determinar las prioridades relacionadas
con la obtencin de aseguramiento independiente. Los auditores debern planear el trabajo de
auditora para alcanzar los objetivos de auditora
y cumplir con los estndares profesionales correspondientes.
4.2 Independencia
OBJETIVO DE CONTROL
El auditor deber ser independiente del auditado
tanto en actitud como en apariencia (real y percibida). Los auditores no debern estar relacionados con la seccin o departamento que est siendo auditado, y en la medida de lo posible, deber
tambin ser independiente de la propia empresa.
De esta manera, la funcin de auditora deber
ser suficientemente independiente del rea auditada para concluir una auditora en forma objetiva.
Las auditoras debern ser supervisadas apropiadamente para proporcionar certeza de que los objetivos de auditora estn siendo alcanzados y que
los estndares profesionales de auditora que sean
aplicables estn siendo considerados. Los auditores debern asegurarse de obtener evidencia suficiente, confiable, relevante y til para alcanzar
los objetivos de auditora de forma efectiva. Los
hallazgos y conclusiones de auditora deben estar
soportadas por un anlisis apropiado y una correcta interpretacin de esta evidencia.
OBJETIVO DE CONTROL
La funcin de auditora deber asegurar el cumplimiento de los cdigos aplicables de tica profesional (ej. Cdigo de Etica de la Information
Systems Audit and Control Association) y estndares de auditora (ej. Estndares de la Information Systems Audit and Control Association) en
todo lo que el auditor lleve a cabo. El debido
cuidado profesional deber observarse en todos
los aspectos del trabajo de auditora, incluyendo
el respeto de estndares aplicables sobre auditora
y tecnologa de informacin.
4.7 Reporte
OBJETIVO DE CONTROL
4.4 Competencia
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los auditores
responsables de las revisiones de las actividades
de la funcin de servicios de informacin de la
organizacin, sean tcnicamente competentes y
cuenten en forma general con las habilidades y
conocimientos (ej. dominios requeridos para obIT GOVERNANCE INSTITUTE
34
35
Estatuto (charter)
CISA: es un acrnimo para el titulo de Certified
Information Systems Auditor (auditor de sistemas
de informacin certificado).
122
OBJETIVOS DE CONTROL
revisin. El reporte de auditora deber mostrar
los objetivos de la auditora, el perodo de cobertura y la naturaleza y extensin de trabajo de auditora realizado. El reporte deber identificar la
Organizacin, los destinatarios del informe y
cualquier restriccin en su circulacin. El reporte
de auditora deber tambin mostrar los hallazgos, conclusiones y recomendaciones relacionadas con el trabajo de auditora llevado a cabo, as
como cualquier salvedad o comentario que el auditor tenga con respecto a la auditora.
4.8 Actividades de Seguimiento
OBJETIVO DE CONTROL
La resolucin y atencin de los comentarios sobre la auditora depende de la Gerencia. Los auditores debern solicitar y evaluar la relacionada
con los hallazgos, conclusiones y recomendaciones de auditoras anteriores para determinar si las
acciones apropiadas han sido implementadas de
manera oportuna.
IT GOVERNANCE INSTITUTE
123
OBJETIVOS DE CONTROL
APENDICES
IT GOVERNANCE INSTITUTE
124
OBJETIVOS DE CONTROL
APENDICE I
DIRECTRICES GERENCIALES DE GOBIERNO /
GOBERNABILIDAD DE TI
Las siguientes Directrices Gerenciales y el Modelo de Madurez identifican los Factores Crticos de xito
(Critical Success Factors CSFs), los Indicadires Claves de objetivos/resultados (Key Goal Indicators
KGIs), Indicadores Claves de Desempeo (Key Performance IndicatorsKPIs) para la Gobernabilidad de TI.
Primero, la Gobernabilidad de TI se define articulando las necesidades del negocio. A continuacin, los criterios de informacin relacionados con la Gobernabilidad de TI son identificados. Las necesidades del negocio
son medidas por los Indicadores Claves de Resultados - KGIs - y organizados por sentencias de control apoyado por todos los recursos de TI. El resultado de las sentencias de control organizadas son medidas por los Indicadores Clave de desempeo - KPIs los cuales consideran los Factores crticos de xito - CSFs.
El modelo de madurez se utiliza para evaluar el nivel de la organizacin para cumplir con lo establecido por la
Gobernabilidad de TIdesde el mas bajo nivel donde no existe, pasando por un estado inicial /adhoc, ascendiendo a otro repetible pero intuitivo, luego a otro con procesos definidos, a otro administrado y medido y llegando al nivel optimista que es el mas alto nivel. Para llegar al nivel de madurez optimista para la Gobernabilidad de TI, una organizacin debe estar al menos en el nivel optimizado del dominio de Monitoreo y al menos
estar en el nivel de medir y administrar los dems dominios.
(Ver las Directrices Gerenciales de Cobit para una completa discusin del uso de esas herramientas)
IT GOVERNANCE INSTITUTE
125
OBJETIVOS DE CONTROL
APENDICE I DIRECTRICES GERENCIALES DELGOBIERNO/GOBERNABILIDAD DE
TI
Gobierno sobre la tecnologa de informacin y los
procesos con las metas del negocio para aadir valor,
mientras se balancean los riesgos y el retorno
Criterios de Informacin
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Las actividades del gobierno de TI son integradas dentro del proceso de gobierno de la empresa y las conductas de liderazgo
El gobierno de TI se enfoca en los objetivos y
metas de la empresa, en las iniciativas estratgicas y el uso de tecnologa para mejorar el negocio, con base en la disponibilidad de recursos y
capacidades suficientes para soportar las demandas del negocio.
Las actividades del Gobierno de TI estn definidas sobre propsitos claros, documentados e implementados, basados en las necesidades de la
empresa y con responsabilidades concretas.
Las prcticas gerenciales son implementadas
para incrementar la eficiencia y el uso ptimo de
los recursos as como incrementar la efectividad
de los procesos de TI.
Se establecen prcticas organizacionales para:
evitar descuidos; una cultura/ ambiente de control; anlisis de riesgos como prctica estndar;
grado de adherencia a estndares establecidos;
monitoreo y seguimiento a los riesgos y a las
deficiencias de control.
Se definen prcticas de control para evitar el
IT GOVERNANCE INSTITUTE
Recursos de TI
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
z
z
z
z
z
z
z
z
z
z
OBJETIVOS DE CONTROL
do de los procesos relacionados de la empresa.
No hay procesos de anlisis estndar. El monitoreo de TI est implementado en una forma reactiva a incidentes que han causado algunas prdidas
o apuros a la organizacin.
I - DIRECTRICES GERENCIALES
DEL GOBIERNO DE TI
Indicadores Clave de Desempeo - KPIs
z
z
z
z
z
z
z
z
IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
empresa. Aunque medidos, los procedimientos no
son sofisticados pero son la formalizacin de
prcticas existentes. Las herramientas estn estandarizadas, utilizando tcnicas disponibles y
modernas. La idea de utilizar tarjetas de medicin
que balancean el negocio y TI son adoptadas por
la organizacin. Esto, sin embargo, deja que el
individuo, de acuerdo con su entrenamiento, siga
y aplique los estndares. El anlisis de causa
efecto es ocasionalmente aplicado. La mayora de
los procesos son monitoreados sobre mtricas
(bases), pero cualquier desviacin, debido a que
generalmente se basa en las iniciativas de los individuos, probablemente no seran detectadas por
la Gerencia. De todas maneras, el registro total
del desempeo de los procesos claves es realizado y la gerencia es recompensada basada en mediciones clave de desempeo.
4 Administrado y Medible. Hay un completo entendimiento de los aspectos de Gobierno de TI a
todos los niveles de la organizacin, soportado
por un entrenamiento formal. Hay un claro entendimiento de quien es el cliente y sus responsabilidades estn definidas y monitoreadas a travs de
acuerdos de nivel de servicio. Las responsabilidades son claras y el proceso de propiedad est
establecido. Los procesos de TI estn alineados
con el negocio y con la estrategia de TI. El mejoramiento de los procesos de TI est basado primariamente sobre un entendimiento cuantitativo
y por ello es posible monitorear y medir el cumplimiento con procesos y con mtrica de procesos. Todos los responsables o propietarios de los
procesos son advertidos sobre los riesgos, la importancia de TI y las oportunidades que TI puede
ofrecer. La Gerencia ha definido una tolerancia
bajo la cual los procesos deben operar. Se toman
acciones en la mayora, pero no en todos los casos, donde parece que los procesos no estn operando efectiva o eficientemente. Los procesos se
mejoran ocasionalmente y se refuerzan las mejores prcticas internas. Se estandariza el uso de
anlisis causa-efectos. Hay un limitado, primario
y tctico uso de la tecnologa, basado en tcnicas
de madurez y reforzado con herramientas estndar. Hay involucramiento de todos los expertos
internos requeridos. El gobierno de TI involucra
los procesos a todo lo ancho de la empresa. Las
actividades del gobierno de TI estn llegando a
integrarse con los procesos de gobierno de la emIT GOVERNANCE INSTITUTE
presa.
5 Optimizado. En esta fase hay un entendimiento
avanzado y hacia futuro de los aspectos y soluciones del gobierno de TI. El entrenamiento y las
comunicaciones son soportadas por conceptos y
tcnicas de vanguardia. Los procesos han sido
refinados a un nivel de mejores prcticas externas
basadas sobre resultados de mejoramiento contnuo y modelos de madurez con otras organizaciones. La implementacin de esas polticas han permitido a la organizacin, a la gente y a los procesos que se adapten rpidamente y por completo a
los requerimientos de gobierno de TI. Todos los
problemas y desviaciones son analizados de raz
y con base en ese anlisis se identifican e inician
acciones eficientes y oportunas. La Tecnologa de
Informacin es utilizada de una manera extensiva
y optimizada para automatizar el flujo de trabajo
y proporcionar herramientas para mejorar la calidad y la efectividad. Los riesgos y el retorno de
los procesos de TI son definidos, balanceados y
comunicados a travs de toda la empresa. Se
aprovechan expertos externos y se utilizan benchmarks como guas. El monitoreo y el autoanlisis de riesgos y las comunicaciones acerca
de las expectativas del gobierno influencian la
organizacin y hay un ptimo uso de la tecnologa para soportar la medicin, el anlisis, las comunicaciones y el entrenamiento. El gobierno de
la empresa y el gobierno de TI estn estratgicamente conectados empujando a los recursos
humanos y financieros a incrementar la ventaja
competitiva de la empresa.
128
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
El resultado del desarrollo de las Directrices Gerenciales fue utilizado para revisar el Marco de Referencia de Cobit, especialmente en lo que tiene que ver
con las consideraciones, objetivos y sentencias que
configuran los objetivos de control de alto nivel.
IT GOVERNANCE INSTITUTE
130
OBJETIVOS DE CONTROL
APNDICE III - MATERIAL DE REFERENCIA PRIMARIA
Nota del traductor: Debido a que el contenido de este apndice se compone principalmente de nombres propios de instituciones
y publicaciones, dichos nombres han sido respetados mantenindolos en ingls.
COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - Integrated Framework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994.
OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of Information, Paris, 1992.
DTI Code of Practice for Information Security Management: Department of Trade and Industry and British
Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995.
ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance Standards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of software, Switzerland, 1991.
An Introduction to Computer Security: The NIST Handbook: National Institute of Standards and Technology,
U.S. Department of Commerce. Washington, DC, 1995.
ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines developed by the Central Computer and Telecommunications Agency (CCTA), London, 1989.
IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials
Group on Information Security, advising the European Commission) Brussels, Belgium, 1994.
NSW Premiers Office Statements of Best Practices and Planning Information Management and Techniques:
Statements of Best Practice #1 through #6. premier's Department New South Wales, Government of New South
Wales, Australia, 1990 through 1994.
Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data Processing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998.
EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph Series #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994.
PCIE (president's Council on Integrity and Efficiency) Model Framework: A Model Framework for Management Over Automated Information Systems. Prepared jointly by the president's Council on Management Improvement and the president's Council on Integrity and Efficiency, Washington, DC, 1987.
Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by
the Chuo Audit Corporation, Tokyo, August 1994.
CONTROL OBJECTIVES Controls in an Information Systems Environment: Control Guidelines and Audit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Fourth
Edition, Rolling Meadows, IL, 1992.
CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified Information Systems Auditor Job Analysis Study", Rolling Meadows, IL, 1994.
IT GOVERNANCE INSTITUTE
131
OBJETIVOS DE CONTROL
CICA Computer Control Guidelines: Canadian Institute of Chartered Accountants, Toronto, 1986.
IFAC International Guidelines for Managing Security of Information and Communications: International
Federation of Accountants, New York, NY, 1997.
IFAC International Guidelines on Information Technology Management - Managing Information Technology Planning for Business Impact (Draft): International Federation of Accountants, New York, NY, 1998.
Standards for Internal Control in the U.S. Federal Government: U.S. General Accounting Office, Washington,
DC, 1983.
Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NBS Special
Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington,
DC, 1988.
Government Auditing Standards: U. S. General Accounting Office, Washington, DC, 1994.
Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants, Denmark, 1994.
SPICE: Software Process Improvement and Capability Determination. A standard on software process improvement, British Standards Institution, London, 1995.
DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute International. Guideline for Business Continuity Planners, St. Louis, MO, 1997.
IIA, SAC Systems Audibility and Control: Institute of Internal Auditors Research Foundation, Systems Audibility and Control Report, Alamonte Springs, FL, 1991, 1994.
IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research Foundation, Alamonte Springs, FL, 1997.
E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996.
C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, NY, 1997.
ISO IEC JTC1/SC27 Information Technology - Security: International Organisation for Standardisation (ISO)
Technical Committee on Information Technology Security, Switzerland, 1998.
ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical Committee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992.
ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services: International Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services, Draft,
Switzerland, 1997.
IT GOVERNANCE INSTITUTE
132
OBJETIVOS DE CONTROL
CCEB 96/011, Common Criteria for Information Technology Security Evaluation: Common Criteria Implementation Board, Alignment and comparison of existing European, US and Canadian IT Security Criteria, Draft,
Washington, DC, 1997.
Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987.
TickIT: Guide to Software Quality Management System Construction and Certification. British Department of
Trade and Industry (DTI), London, 1994
ESF Baseline Control - Communications: European Security Forum, London. Communications Network Security, September 1991; Baseline Controls for Local Area Networks, September, 1994.
ESF Baseline Control - Microcomputers: European Security Forum, London. Baseline Controls Microcomputers
Attached to Network, June 1990.
Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Rolling Meadows, IL, 1992.
Guide for Developing Security Plans for Information Technology: NIST Special Publication 800-18, National
Institute for Standards and Technology, US Department of Commerce, Washington, DC 1998
Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office, Washington, DC, 1999.
BS7799-Information Security Management: British Standards Institute, London, 1999.
CICA Information Technology Control Guidelines, 3er Edition: Canadian Institute of Chartered Accountants,
Toronto, 1998
ISO/IEC TR 1335-n Guidelines for the Management of IT Security, (GMITS) Parts 1-5: International Organisation for Standardisation, Switzerland, 1998.
AICPA/CICA SystrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute of
Certified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999.
IT GOVERNANCE INSTITUTE
133
OBJETIVOS DE CONTROL
APNDICE IV - GLOSARIO DE TERMINOS
AICPA
CCEB
CICA
CISA
Control
COSO
DRI
DTI
Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of
the United Kingdom)
EDIFACT
EDPAF
ESF
GAO
I4
IBAG
IFAC
IIA
IT GOVERNANCE INSTITUTE
134
OBJETIVOS DE CONTROL
INFOSEC
Comit Consultivo para la Comisin Europea en Materia de Seguridad TI. (Advisory Committee
for IT Security Matters to the European Commission)
ISACA
ISACF
ISO
Organizacin de Estndares Internacionales. (International Standards Organisation) (con oficinas en Gnova, Suiza)
ISO9000
ITIL
ITSEC
NBS
NIST
(antes NBS)
Instituto Nacional de Estndares y Tecnologa. (National Institute of Standards
and Technology), con base en Washington D.C.
NSW
Objetivo de
Control
Una sentencia o declaracin del resultado deseado o propsito a ser alcanzado mediante la implementacin de procedimientos de control en una actividad particular de TI
OECD
Organizacin para la Cooperacin y el Desarrollo Econmico. (Organisation for Economic Cooperation and Development)
OSF
PCIE
SPICE
Mejoramiento del Proceso de Software y Determinacin de la Capacidad (Software Process Improvement and Capability Determination) - un estndar pare el mejoramiento del proceso de
software
Criterios de Evaluacin de Sistemas Computarizados Confiables. (Trusted Computer System
Evaluation Criteria), conocido tambin como "The Orange Book". Criterios de evaluacin de
seguridad para sistemas computarizados definidos originalmente por el Departamento de Defensa de los Estados Unidos. Ver tambin ITSEC, el equivalente europeo.
TCSEC
TickIT
135