A - COBIT-Objetivos de Control - 3 Edicion PDF

OBJETIVOS DE CONTROL
COBIT
3a Edicin
Emitido por el Comit Directivo de COBIT y
El IT Governance Institute MR
Traduccin al espaol por Gustavo A. Sols Montes, CISA
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control
en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas
y auditores.
IT GOVERNANCE INSTITUTE
ARGENTINA
ARUBA
AUSTRALIA
AUSTRIA
BAHAMAS
BAHRAIN
BANGLEDESH
BARBADOS
BLGICA
BERMUDA
BOLIVIA
BOSTSWANA
BRASIL
BRUENI
CANAD
CHILE
CHINA
COLOMBIA
COSTA RICA
CROATA
CURAZAO
CYPRUS
REPBLICA CHECA
DINAMARCA
REPBLICA DOMINICANA
ECUADOR
EGIPTO
ESTONIA
ISLAS FAEROE
FINLANDIA
FRANCIA
ALEMANIA
GHANA
GRECIA
GUAM
GUATEMALA
HONDURAS
HONG KONG
HUNGRA
ISLANDIA
INDIA
INDONESIA
IRLANDA
ISRAEL
ITALIA
IVORY COAST
JAMAICA
JAPN
JORDN
KENYA
COREA
KUWAIT
LATVIA
LEBANON
LIECHTENSTEIN
INFORMATION SYSTEMS AUDIT AND

CONTROL ASSOCIATION
Una sola Fuente Internacional para los Controles
de la Tecnologa de Informacin
Information Systems Audit and Control
su programa de educacin profesional
Association es una organizacin global
ofrece conferencias tcnicas y adminis-
lder de profesionales que representa a
trativas en cinco continentes, as como
individuos en ms de 100 pases y compren-
seminarios en todo el mundo para
de todos los niveles de la tecnologa de
ayudar a los profesionistas de todas
informacin Direccin ejecutiva, geren-
partes a recibir educacin contina de

alta calidad.
cia media y practicantes. La Asociacin

est nicamente posesionada para cubrir el
su rea de publicidad tcnica propor-
papel de generador central que armoniza
ciona materiales de desarrollo profe-
los estndares de las prcticas de control
sional y referencias con el fin de au-
de TI a nivel mundial. Sus alianzas estrat-
mentar su distinguida seleccin de
gicas con otros grupos dentro del mbito
programas y servicios.
profesional financiero, contable, de auditora y de TI aseguran a los dueos del proce-
La Information Systems Audit and Control
so del negocio un nivel sin paralelo de inte-
Association se cre en 1969 para cubrir las
gracin y compromiso.
necesidades nicas, diversas y de alta tecno-
Programas y Servicios
de la Asociacin
Los Programas y Servicios de la Asociacin
han ganado prestigio al establecer los niveles ms altos de excelencia en certificacin,
estndares, educacin profesional y publicidad tcnica.
su programa de certificacin (el Auditor de Sistemas de Informacin Certificado) es la nica designacin global
en toda la comunidad de control y
loga en el naciente campo de la TI. En una

industria donde el progreso se mide en nanosegundos, ISACA se ha movido gil y
velozmente para satisfacer las necesidades
de la comunidad de negocios internacionales y de la profesin de controles de la TI.
Para ms Informacin
Para recibir informacin adicional, puede
llamar al (+1.847.253.1545), enviar un email a (research@isaca.org) o visitar los
siguentes sitios web:
auditora de la TI.
sus actividades estndar establecen la

base de calidad mediante la cual otras
www.itgovernance.org
www.isaca.org
actividades de control y auditora de TI

se miden.
LITUANIA
LUXEMBURGO
MALASIA
MALTA
MALAWI
MXICO
PASES BAJOS
NUEVA GUINEA
NUEVA ZELANDA
NIGERIA
NORUEGA
OMN
PAKISTN
PANAM
PER
FILIPINAS
POLONIA
PORTUGAL
QATAR
RUSIA
SAIPAN
ARABIA SAUDITA
ESCOCIA
SEYCHELLES
SINGAPUR
REP. ESLOVACA
ESLOVENIA
SUDFRICA
ESPAA
SRI LANKA
ST. KITTS
ST. LUCIA
SUECIA
SUIZA
SIRIA
TAIWAN
TANZANIA
TASMANIA
TAILANDIA
TRINIDAD & TOBAGO
TURQUA
UGANDA
EMIRATOS ARAB
UNIDOS
REINO UNIDO
ESTADOS UNIDOS
URUGUAY
VENEZUELA
VIETNAM
GALES
YEMEN
ZAMBIA
ZIMBABWE
Reconocimientos
Resumen Ejecutivo
El Marco Referencial de COBIT
Estableciendo la escena
Los Principios del Marco Referencial
14
Historia y Antecedentes del COBIT
20
Tabla Resumen
22
Principios de los Objetivos de Control
23
Lmite de Responsabilidad
La Information Systems Audit and Control Foundation, el IT Governance Institute y los patrocinadores de COBIT: Objetivos de Control
para la Informacin y Tecnologas Relacionadas, han diseado y
creado las publicaciones tituladas Resumen Ejecutivo, Marco Referencial, Objetivos de Control, Directrices Gerenciales, Directrices
de Auditora, y el Conjunto de Herramientas de Implementacin
(llamado colectivamente el Producto) principalmente como una
fuente de instruccin para los profesionales dedicados a las actividades de control. La Information Systems Audit and Control Foundation, el IT Governance Institute y los patrocinadores no garantizan
que el uso de este producto asegurar un resultado exitoso. No deber considerarse que este producto incluye todos los procedimientos o
pruebas apropiados o que excluye otros procedimientos y pruebas
que estn razonablemente dirigidos hacia la obtencin de los mismos resultados. Para determinar la conveniencia de cualquier prueba
o procedimiento especfico, los expertos en control debern aplicar
su propio juicio profesional a las circunstancias de control especiales
presentadas por cada entorno de sistemas en particular.
Acuerdo de Licencia de uso (disclosure)
Relaciones de Objetivos de Control

Dominios, Procesos y Objetivos de Control
25
Objetivos de Control
Planeacin y Organizacin
Adquisicin e Implementacin
Entrega de Servicios y Soporte
Monitoreo
32
62
80
114
Apndice I
Directrices Gerenciales del Gobierno de IT
125
Apndice II
Descripcin del Proyecto Cobit
129
Apndice III
Material de Referencia Primaria
131
Apndice IV
Glosario de Trminos Originales
134
Copyright 1996, 1998, 2000, de la Information Systems Audit and

Control Foundation (ISACF). La reproduccin para fines comerciales no est permitida sin el previo consentimiento por escrito de la
ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el
Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el Conjunto de Herramientas de Implementacin para uso
interno no comercial, incluyendo almacenamiento en medios de
recuperacin de datos y transmisin en cualquier medio, incluyendo
electrnico, mecnico, grabado u otro medio. Todas las copias del
Resumen Ejecutivo, el Marco Referencial, los Objetivos de Control,
las Directrices Gerenciales y el Conjunto de Herramientas de Implementacin deben incluir el siguiente reconocimiento y leyenda de
derechos de autor: Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reimpreso con la autorizacin
de la Information Systems Audit and Control Foundation, y el IT
Governance Institute.
Las Guas/Directrices de Auditora no pueden ser usadas, copiadas,
reproducidas, almacenadas, modificadas en un sistema de recuperacin de datos o transmitido en ninguna forma ni por ningn medio
(electrnico, mecnico, fotocopiado, grabado u otro medio) sin la
previa autorizacin por escrito de la ISACF. Sin embargo, las Directrices de Auditora pueden ser usadas con fines no comerciales
internos nicamente. Excepto por lo indicado, no se otorga ningn
otro derecho o permiso relacionado con esta obra. Todos los derechos de esta obra son reservados.
Information Systems Audit and Control Foundation
IT Governance Institute
3701 Algonquin Road, Suite 1010
Rolling Meadows, Illinois 60008 USA.
Telfono: 1+847.253.1525
Fax:
1+847.253.1443
E-mail:
research@isaca.org
Web sites: www.isaca.org
www.Itgovernance.org
ISBN 1-893209-17-2 (Control Objectives, English)
ISBN 1-893209-13-X (Paquete completo de los 6 libros y CD)
Impreso en los Estados Unidos de Amrica
RECONOCIMIENTOS
COMIT DIRECTIVO DE COBIT

ERIK GULDENTOPS, S.W.I.F.T. SC, BLGICA
JOHN LAINHART, PRICEWATERHOUSECOOPERS, USA
EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BLGICA
JOHN BEVERIDGE, STATE AUDITORS OFFICE, MASSACHUSETTS, USA
MICHAEL DONAHUE, PRICEWATERHOUSECOOPERS, USA
GARY HARDY, ARTHUR ANDERSEN, REINO UNIDO
RONALD SAULL, GREAT-WEST LIFE ASSURANCE, LONDON LIFE AND INVESTORS GROUP, CANADA
MARK STANLEY, SUN AMERICA INC., USA
Agradecimientos Especiales a los Captulos de ISACA del rea de la Capital Nacional y al de Boston por su contribucin a los Objetivos de Control de Cobit
Agradecimientos Especiales a los miembros de la Mesa Directiva de la Information Systems Audit and Control
Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, encabezados por el
Presidente Internacional Paul Williams, por su contnuo y firme apoyo al Cobit
RESUMEN EJECUTIVO
Un elemento crtico para el xito y la supervivencia de
las organizaciones, es la administracin efectiva de la
informacin y de la Tecnologa de Informacin (TI)
Relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticidad
emerge de:
z
La creciente dependencia en informacin y en los
sistemas que proporcionan dicha informacin
z
La creciente vulnerabilidad y un amplio espectro de
amenazas, tales como las ciber amenazas y la
guerra de informacin1
z
La escala y el costo de las inversiones actuales y
futuras en informacin y en tecnologa de informacin; y
z
El potencial que tienen las tecnologas para cambiar
radicalmente las organizaciones y las prcticas de
negocio, crear nuevas oportunidades y reducir costos
Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa. Es ms, en nuestro competitivo y
rpidamente cambiante ambiente actual, la Gerencia ha
incrementado sus expectativas relacionadas con la entrega de servicios de TI. Por lo tanto, la Administracin
requiere niveles de servicio que presenten incrementos
en calidad, en funcionalidad y en facilidad de uso, as
como un mejoramiento continuo y una disminucin de
los tiempos de entrega; al tiempo que demanda que esto
se realice a un costo ms bajo.
Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las
organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la
implementacin de nuevas tecnologas.
Hay numerosos cambios en TI y en su ambiente de operacin que enfatiza la necesidad de un mejor manejo
relacionado con los riesgos de TI. La dependencia en la
informacin electrnica y en los sistemas de TI son
esenciales para soportar los procesos crticos del negocio. Adicionalmente, el ambiente regulatorio demanda
control estricto sobre la informacin. Esto a su vez conduce a un incremento de los desastres en los sistemas de
informacin y al incremento del fraude electrnico. La
Administracin de los riesgos relacionados con TI est
siendo entendido como un aspecto clave en el gobierno

o direccin empresarial.
Dentro del Gobierno Empresarial, el Gobierno / Gobernabilidad de TI2 se est volviendo mas y mas importante
y est definido como una estructura de relaciones y procesos para dirigir y controlar a la empresa con el fin que
sta pueda cumplir sus metas dando valor agregado
mientras balancea sus riesgos versus el retorno sobre TI
y sus procesos. El Gobierno de TI es parte integral del
xito de la Gerencia de la Empresa al asegurar mejoras
medibles, eficientes y efectivas de los procesos relacionados de la empresa. El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI
y la informacin con las estrategias y los objetivos de la
empresa. Adems, el Gobierno de TI integra e institucionaliza buenas (o mejores) prcticas de planeacin y
organizacin, adquisicin e implementacin, entrega de
servicios y soporte y monitorea el desempeo de TI para asegurar que la informacin de la empresa y las tecnologas relacionadas soportan sus objetivos del negocio. El Gobierno de TI conduce a la empresa a tomar
total ventaja de su informacin logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y
obtener ventaja competitiva
GOBIERNO DE TI
Una estructura de relaciones y procesos para dirigir
y controlar la empresa con el objeto de alcanzar los
objetivos de la empresa y aadir valor mientras se
balancean los riesgos versus el retorno sobre TI y sus
procesos.
Las organizaciones deben cumplir con requerimientos
de calidad, fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La Administracin
deber adems optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones,
tecnologa, sistemas de aplicacin y datos. Para cumplir
con esta responsabilidad, as como para alcanzar sus
1
2
Guerra de informacin (information warfare)

Gobierno de TI (IT Governance) Governance es un trmino que representa el sistema de control o administracin que establece la alta gerencia para asegurar el logro
de los objetivos de una Organizacin.
objetivos, la Administracin debe entender el estado de
sus propios sistemas de TI y decidir el nivel de seguridad y control que deben proveer estos sistemas.
Los Objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT), ahora en esta tercera
edicin, ayuda a satisfacer las mltiples necesidades de
la Administracin estableciendo un puente entre los
riesgos del negocio, los controles necesarios y los aspectos tcnicos. Provee buenas prcticas a travs de un
dominio y el marco referencial de los procesos y presenta actividades en una estructura manejable y lgica. Las
Buenas prcticas de COBIT rene el consenso de expertos - quienes ayudarn a optimizar la inversin de la
informacin y proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividades van por
el camino equivocado.
La Administracin debe asegurar que los sistemas de
control interno o el marco referencial estn funcionando
y soportan los procesos del negocio y debe tener claridad sobre la forma como cada actividad individual de
control satisface los requerimientos de informacin e
impacta los recursos de TI. El impacto sobre los recursos de TI son resaltados en el Marco de Referencia de
COBIT junto con los requerimientos del negocio que
deben ser alcanzados: eficiencia, efectividad, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad de la informacin. El control, que incluye
polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin.
La administracin, mediante este gobierno corporativo,
debe asegurar que todos los individuos involucrados en
la administracin, uso, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin acten con la
debida diligencia.
Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una
actividad de TI.
La orientacin al negocio es el tema principal de COEst diseado no solo para ser utilizado por usuarios y auditores, sino que, lo ms importante, esta diseado para ser utilizado por los propietarios de los procesos de negocio como una gua clara y entendible. A medida que ascendemos, las prcticas de negocio requieren
de una mayor delegacin y empoderamiento3 de los
dueos de los procesos para que estos tengan total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En particular, esto incluye el
proporcionar controles adecuados.
El Marco de Referencia de COBIT proporciona, al propietario de procesos de negocio, herramientas que facilitan el cumplimiento de esta responsabilidad. El Marco
de Referencia comienza con una premisa simple y prctica:
Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto
de procesos de TI agrupados en forma natural.
El Marco de Referencia contina con un conjunto de 34
Objetivos de Control de alto nivel, uno para cada uno de
los Procesos de TI, agrupados en cuatro dominios: Planeacin y Organizacin, Adquisicin e Implementacin,
Entrega de servicios y Soporte y Monitoreo. Esta estructura cubre todos los aspectos de informacin y de
tecnologa que la soporta. Administrando adecuadamente estos 34 Objetivos de Control de alto nivel, el
propietario de procesos de negocio podr asegurar que
se proporciona un sistema de control adecuado para el
ambiente de tecnologa de informacin.
El Marco de Referencia de COBIT provee adems una
gua o lista de verificacin para el Gobierno de TI. El
Gobierno de TI proporciona las estructuras que encadenan los procesos de TI, los recursos de TI y la informacin con los objetivos y las estrategias de la empresa. El
Gobierno de TI integra de una forma ptima el desempeo de la Planeacin y Organizacin, la Adquisicin e
Implementacin, la Entrega de Servicios y Soporte y el
Monitoreo. El Gobierno de TI facilita que la empresa
obtenga total ventaja de su informacin y as mismo
maximiza sus beneficios, capitalizando sus oportunidades y obteniendo ventaja competitiva
Adicionalmente, correspondiendo a cada uno de los 34
objetivos de control de alto nivel, existe una Gua o directriz de Auditora o de aseguramiento que permite la
revisin de los procesos de TI contra los 318 objetivos
detallados de control recomendados por COBIT para
proporcionar a la Gerencia la certeza de su cumplimiento y/o sugerencias para su mejoramiento.
BIT.
Empoderamiento (empowerment)
Las Guas o Directrices Gerenciales de COBIT, desarrolladas recientemente, ayudan a la Gerencia a cumplir de una forma mas efectiva con las necesidades y
requerimientos del Gobierno de TI. Las Directrices
son acciones genricas orientadas a proveer a la Administracin la direccin para mantener bajo control la
informacin de la empresa y sus procesos relacionados, para monitorear el logro de las metas organizacionales, para monitorear el desempeo de cada proceso de TI y para llevar a cabo un benchmarking de
los logros organizacionales.
En los prximos aos las Directivas de las Organizaciones necesitarn demostrar que estn logrando incrementar sus niveles de seguridad y control. COBIT
es una herramienta que ayuda a los Directivos a colocar un puente entre los requerimientos de control, los
aspectos tcnicos y los riesgos del negocio y adicionalmente informa a los accionistas o dueos de la empresa el nivel de control alcanzado. COBIT habilita el
desarrollo de una poltica clara y de buenas prcticas
de control de TI a travs de las organizaciones, a nivel
mundial.
Especficamente COBIT provee Modelos de Madurez

para el control sobre los procesos de TI de tal forma
que la Administracin puede ubicarse en el punto donde la organizacin est hoy, donde est en relacin
con los mejores de su clase en su industria y con los
estndares internacionales y as mismo determinar a
donde quiere llegar; Factores Crticos de xito
(Critical Success Factors), que definen o determina
cuales son las mas importantes directrices que deben
ser consideradas por la Administracin para lograr
control sobre y dentro de los procesos de TI. Indicadores Claves del logro de Objetivos o de Resultados (Key Goal Indicators) los cuales definen los mecanismos de medicin que indicarn a la Gerencia
despus del hecho si un proceso de TI ha satisfecho
los requerimientos del negocio; y los Indicadores
Clave de desempeo (Key Performance Indicators)
los cuales son indicadores primarios que definen la
medida para conocer qu tan bien se est ejecutando el
proceso de TI frente o comparado contra el objetivo
que se busca.
Por lo tanto, COBIT est diseado para ser la

herramienta de gobierno de TI que ayude al entendimiento y a la administracin de los riesgos
as como de los beneficios asociados con la informacin y sus tecnologas relacionadas.
Las Directrices Gerenciales de COBIT son genricas y son acciones orientadas al propsito de responder los siguientes tipos de preguntas gerenciales: Qu tan lejos debemos ir y es el costo justificado para el beneficio obtenido? Cules son los indicadores de buen desempeo? Cules son los factores crticos de xito? Cules son los riesgos de no
lograr nuestros objetivos? Qu hacen otros? Cmo
nos podemos medir y comparar?
COBIT contiene adicionalmente un Conjunto de
Herramientas de Implementacin que proporciona
lecciones aprendidas por empresas que rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo.
Incluye dos herramientas particularmente tiles - Diagnstico de Sensibilizacin Gerencial (Management
Awareness Diagnostic) y Diagnstico de Control en
TI (IT Control Diagnostic) - para proporcionar asistencia en el anlisis del ambiente de control de TI en
una organizacin.
PROCESOS DE TI DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS DE COBIT

GOBIERNO DE TI
OBJEIVOS DE
OBJETIVOS
DE NEGOCIO
NEGOCIO
PO1
Definir un Plan Estratgico de

Tecnologa de Informacin
Definir la Arquitectura de Informacin
Determinar la direccin tecnolgica
Definir la Organizacin y de las
Relaciones de TI
PO5
Manejar la Inversin en Tecnologa de
Informacin
PO6 Comunicar la direccin y aspiraciones de
la gerencia
PO7 Administrar Recursos Humanos
PO8 Asegurar el Cumplimiento de
Requerimientos Externos
PO9 Evaluar Riesgos
PO10 Administrar proyectos
PO11 Administrar Calidad
COBIT
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditora independiente
INFORMACION
MONITOREO
PO2
PO3
PO4
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
PLANEACION Y
ORGANIZACION
RECURSOS DE TI
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
ENTREGA Y
SOPORTE
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
Definir Niveles de Servicio

Administrar Servicios prestados por Terceros
Administrar Desempeo y Capacidad
Asegurar Servicio Continuo
Garantizar la Seguridad de Sistemas
Identificar y Asignar Costos
Educar y Entrenar a los Usuarios
Apoyar y Asistir a los Clientes de TI
Administrar la Configuracin
Administrar Problemas e Incidentes
Administrar Datos
Administrar Instalaciones
Administrar Operaciones
ADQUISICION E
IMPLEMENTACION
AI1 Identificar Soluciones

AI2 Adquirir y Mantener Software de
Aplicacin
AI3 Adquirir y Mantener Arquitectura de
Tecnologa
AI4 Desarrollar y Mantener Procedimientos
relacionados con TI
AI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios
EL MARCO REFERENCIAL DE COBIT

LA NECESIDAD DE CONTROL EN TECNOLOGIA DE INFORMACION
En los ltimos aos , ha sido cada vez ms evidente la
necesidad de un Marco Referencial para la seguridad y
el control de tecnologa de informacin (TI). Las organizaciones exitosas requieren una apreciacin y un entendimiento bsico de los riesgos y limitaciones de TI a
todos los niveles dentro de la empresa con el fin de obtener un efectiva direccin y controles adecuados.
LA ADMINISTRACION (MANAGEMENT) debe
decidir cual es la inversin razonable en seguridad y en
control en TI y cmo lograr un balance entre riesgos e
inversiones en control en un ambiente de TI frecuentemente impredecible. Mientras la seguridad y los controles en los sistemas de informacin ayudan a administrar
los riesgos, no los eliminan. Adicionalmente, el exacto
nivel de riesgo nunca puede ser conocido ya que siempre existe un grado de incertidumbre.
Finalmente, la Administracin debe decidir el nivel de
riesgo que est dispuesta a aceptar. Juzgar cual puede
ser el nivel tolerable, particularmente cuando se tiene en
cuenta contra el costo, puede ser una decisin difcil
para la Administracin. Por esta razn, la Administracin necesita un marco de referencia de las prcticas
generalmente aceptadas de control y seguridad de TI
para compararlos contra el ambiente de TI existente y
planeado.
Existe una creciente necesidad entre los USUARIOS
de los servicios de TI, de estar protegidos a travs de la
acreditacin y la auditora de servicios de TI proporcionados internamente o por terceras partes, que aseguren
la existencia de controles y seguridades adecuadas. Actualmente, sin embargo, es confusa la implementacin
de buenos controles de TI en sistemas de negocios por
parte de entidades comerciales, entidades sin fines de
lucro o entidades gubernamentales. Esta confusin proviene de los diferentes mtodos de evaluacin, tales como ITSEC, TCSEC, evaluaciones ISO9000, nuevas
evaluaciones de control interno COSO, etc. Como resultado, los usuarios necesitan que se establezca una
base general como un primer paso.
Frecuentemente, los AUDITORES han tomado el liderazgo en estos esfuerzos internacionales de estandarizacin, debido a que ellos enfrentan continuamente la necesidad de sustentar y apoyar su opinin acerca de los
controles internos frente a la Gerencia. Sin contar con
un marco referencial, sta se convierte en una tarea deIT GOVERNANCE INSTITUTE
masiado complicada. Incluso, la administracin consulta cada vez ms a los auditores para que la asesoren en
forma proactiva en lo referente a asuntos de seguridad y
control de TI.
EL AMBIENTE DE NEGOCIOS:
COMPETENCIA, CAMBIO Y COSTOS
La competencia global es ya un hecho. Las organizaciones se reestructuran con el fin de perfeccionar sus
operaciones y al mismo tiempo aprovechar los avances
en TI para mejorar su posicin competitiva. La reingeniera en los negocios, las reestructuraciones o rightsizing, el outsourcing, el empoderamiento, las organizaciones horizontales y el procesamiento distribuido son
cambios que impactan la manera en la que operan tanto
los negocios como las entidades gubernamentales. Estos cambios han tenido y continuarn teniendo, profundas implicaciones para la administracin y las estructuras de control operacional dentro de las organizaciones
en todo el mundo.
La especial atencin prestada a la obtencin de ventajas
competitivas y a la eficiencia en costos implica una dependencia creciente en la tecnologa como el componente ms importante en la estrategia de la mayora de
las organizaciones. La automatizacin de las funciones
organizacionales, por su naturaleza, dicta la incorporacin de mecanismos de control ms poderosos en las
computadoras y en las redes, tanto para las basadas en
hardware como las basadas en software. Adems, las
caractersticas estructurales fundamentales de estos controles estn evolucionando al mismo paso que las tecnologas de computacin y las redes.
Dentro del marco referencial de cambios acelerados, si
los administradores, los especialistas en sistemas de informacin y los auditores desean en realidad ser capaces
de cumplir con sus tareas en forma efectiva , debern
aumentar y mejorar sus habilidades tan rpidamente
como lo demandan la tecnologa y el ambiente. Debemos comprender la tecnologa de controles involucrada
y su naturaleza cambiante si deseamos emitir y ejercer
juicios razonables y prudentes al evaluar las prcticas de
control que se encuentran en los negocios tpicos o en
las organizaciones gubernamentales.
APARICION DEL GOBIERNO DE LA EMPRESA Y DEL GOBIERNO DE TI
Para lograr el xito en esta economa de informacin, el Gobierno de la empresa y el Gobierno de TI no pueden ser consideradas separadamente y en distintas disciplinas. El gobierno
efectivo de la empresa enfoca el conocimiento y
la experiencia en forma individual y grupal,
donde puede ser mas productivo, monitoreado y
medido el desempeo as como provisto el aseguramiento para aspectos crticos. TI, por mucho tiempo considerada aislada dentro del logro
de los objetivos de la empresa debe ahora ser
considerada como una parte integral de la estrategia.
El Gobierno de TI provee la estructura que une
los procesos de TI, los recursos de TI y las estrategias y objetivos de la empresa. El Gobierno
de TI integra e institucionaliza de una manera
ptima la planeacin y organizacin, la adquisicin e implementacin, la entrega de servicios y
soporte y el monitoreo del desempeo de TI. El
Gobierno de TI es integral para el xito del Gobierno de la Empresa asegurando una eficiente
y efectiva medicin para mejorar los procesos
de la empresa. El Gobierno de TI le permite a
la empresa tomar ventaja total de su informacin, al maximizar sus beneficios, capitalizar
sus oportunidades y ganar ventaja competitiva.
Observando en el contexto a la empresa y los
procesos del Gobierno de TI con mayor detalle,
el gobierno de la empresa, el sistema por el cual
las entidades son dirigidas y controladas direcciona y analiza el Gobierno de TI. Al mismo
tiempo, TI debera proveer insumos crticos y
constituirse en un componente importante de
los planes estratgicos. De hecho TI puede influenciar las oportunidades estratgicas de la
empresa.
Gobierno
de la
Empresa
Direcciona y Prepara
Gobierno de Tecnologia de
Informacion
Las actividades de la empresa requieren informacin de las actividades de TI con el fin de

satisfacer los objetivos del negocio. Organizaciones exitosas aseguran la interdependencia
entre su plan estratgico y sus actividades de
TI. TI debe estar alineado y debe permitir a la
empresa tomar ventaja total de su informacin
para maximizar sus beneficios, capitalizar
oportunidades y ganar ventaja competitiva.
Actividades de
la empresa
Requiere informacion de
Actividades de Tecnologia
de Informacion
Las empresas son gobernadas por buenas (o

mejores) prcticas generalmente aceptadas para asegurar que la empresa cumpla sus metas
asegurando que lo anterior est garantizado
por ciertos controles. Desde estos objetivos fluye la direccin de la organizacin, la cual dicta
ciertas actividades a la empresa usando sus
propios recursos. Los resultados de las actividades de la empresa son medidos y reportados
proporcionando insumos para el mantenimien10
to y revisin constante de los controles, comenzando el ciclo de nuevo.
Gobierno de la Empresa
Direcciona
Objetivos
CONTROL
Actividades de la
Empresa
Reportando
Recursos
Usando
Tambin TI es gobernado por buenas (o mejores) prcticas para asegurar que la informacin de la empresa y sus tecnologas relacionadas apoyan sus objetivos del negocio, estos
recursos son utilizados responsablemente y
sus riesgos son manejados apropiadamente.
Estas prcticas conforman una base para la
direccin de las actividades de TI las cuales
pueden ser enmarcadas en la Planeacin y
Organizacin, Adquisicin e Implementacin,
Entrega de Servicios y Soporte y Monitoreo
para los propsitos duales como son el manejo
de riesgo (para obtener seguridad, confiabilidad y cumplimiento) y la obtencin de beneficios (incrementando la efectividad y eficiencia). Los reportes son enfocados sobre los resultados de las actividades de TI, los cuales
son medidos contra diferentes prcticas y controles y el ciclo comienza otra vez.
Gobierno de TI
Objetivos
DIRIGIR
Actividades de TI
TI est alineado con el

negocio, habilita al
negocio y maximiza
beneficios.
CONTROL
Planea
Hace
Revisa
Corrige
Los recursos de TI
son utilizados
responsablemente.
Los riesgos
relacionados a TI son
manejados
apropiadamente.
PO
AI
DS
MO
Manejo de Riesgo
Seguridad
Confiabilidad
Conformidadcumplimiento
Beneficios
Incrementar
Automatizacin
ser efectivo
Decrementar
Costos ser
eficiente
REPORTAR
Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades
mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se
estn desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organizacin contra las
mejores practicas industriales y los modelos internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices Gerenciales de COBIT en las cuales se han identificado Factores Crticos de Exito especficos, Indicadores Claves por Objetivo e Indicadores Clave de Desempeo y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apdice I.
11
RESPUESTA A LAS NECESIDADES
En vista de estos continuos cambios, el desarrollo de
este Marco Referencial de objetivos de control para TI,
conjuntamente con una investigacin continua aplicada
a controles de TI basada en este marco referencial,
constituyen el fundamento para el progreso efectivo en
el campo de los controles de sistemas de informacin.
Por otro lado, hemos sido testigos del desarrollo y publicacin de modelos de control generales de negocios
como COSO [Committee of Sponsoring Organisations
of the Treadway Commisssion Internal ControlIntegrated Framework, 1992] en los EUA, Cadbury en
el Reino Unido, CoCo en Canad y King en Sudfrica.
Por otro lado, existe un nmero importante de modelos
de control ms enfocados al nivel de tecnologa de informacin. Algunos buenos ejemplos de esta ltima
categora son el Security Code of Conduct del DTI
(Departamento de Industria y Comercio, Reino Unido)
y el Security Handbook de NIST (National Institute of
Standards and Technology, EUA). Sin embargo, estos
modelos de control con orientacin especfica no proporcionan un modelo de control completo y utilizable
sobre tecnologa de informacin como soporte para los
procesos del negocio. El propsito de COBIT es cubrir
este vaco proporcionando una base que est estrechamente ligada a los objetivos de negocio, al mismo tiempo que se enfoca a la tecnologa de informacin.
(El documento que ms se acerca al COBIT es una publicacin reciente de AICPA/CICA Systrust TM Principios y Criterios para la Confiabilidad de los Sistemas.
SysTrust es una autoridad que realiza publicaciones para el Comit Ejecutivo de Servicios de Aseguramiento
de los Estados Unidos y para el Comit de Desarrollo de
Servicios de Calidad de Canad, basado en parte en los
Objetivos de Control de COBIT. SysTrust est diseado
para incrementar el confort de la Administracin, los
clientes y los socios de negocios con los sistemas que
soportan un negocio o una actividad en particular. Los
servicios de SysTrust incluyen al contador pblico proporcionndole un servicio de aseguramiento en el cual
l o ella evala y prueba si el sistema es confiable cuando lo mide contra cuatro principios esenciales: Disponibilidad, seguridad, integridad y mantenimiento.
Un enfoque hacia los requerimientos del negocio en
cuanto a controles para tecnologa de informacin y la
aplicacin de modelos de control emergentes y estndares internacionales relacionados incluyen los Objetivos
de Control originales de la Information Systems Audit

and Control Foundation como una herramienta usada
por el Auditor y la Administracin. Adicionalmente, el
desarrollo de las Directrices Gerenciales de TI ha llevado al COBIT al siguiente nivel proporcionando a la Administracin Indicadores Clave de Logros (KGIs Key
Goal Indicators), Indicadores Claves de Desempeo
(KPIs Key Performance Indicators), Factores Crticos
de xito (CSFsCritical Success Factors) y un Modelo
de Madurez con el cual puede analizar el ambiente de
TI y considerar opciones para la implementacin y mejoramiento de los controles sobre la informacin de la
organizacin y sus tecnologas relacionadas.
Por lo tanto, el objetivo principal del proyecto COBIT es
el desarrollo de polticas claras y buenas prcticas para
la seguridad y el control de Tecnologa de Informacin,
con el fin de obtener la aprobacin y el apoyo de las
entidades comerciales, gubernamentales y profesionales
en todo el mundo. La meta del proyecto es desarrollar
estos objetivos de control principalmente a partir de la
perspectiva de los objetivos y necesidades de la empresa. (Esto concuerda con la perspectiva COSO, que
constituye el primer y mejor marco referencial para la
administracin en cuanto a controles internos.) Posteriormente, los objetivos de control fueron desarrollados
a partir de la perspectiva de los objetivos de auditora
(certificacin de informacin financiera, certificacin de
medidas de control interno, eficiencia y efectividad,
etc.)
AUDIENCIA: ADMINISTRACION, USUARIOS Y AUDITORES
COBIT est diseado para ser utilizado por tres audiencias distintas:
ADMINISTRACION/ GERENCIA (Management):
Para ayudarlos a lograr un balance entre los riesgos y las
inversiones en control en un ambiente de tecnologa de
informacin frecuentemente impredecible.
USUARIOS:
Para obtener una garanta en cuanto a la seguridad y
controles de los servicios de tecnologa de informacin
proporcionados internamente o por terceras partes.
AUDITORES:
Para soportar su opinin y/o proporcionar consejos a la
Administracin sobre los controles internos.
12
ORIENTACIN A OBJETIVOS DE NEGOCIO
El CobiT est alineado con los Objetivos del Negocio.
Los Objetivos de Control muestran una relacin clara y
distintiva con los objetivos del negocio con el fin de
apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditora. Los Objetivos de
Control estn definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios.
En dominios y procesos identificados, se identifica tambin un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Adicionalmente, se establecen consideraciones y guas para definir e implementar el Objetivo de Control de TI.
La clasificacin de los dominios a los que se aplican los
objetivos de control de alto nivel (dominios y procesos);
una indicacin de los requerimientos de negocio para la
informacin en ese dominio, as como los recursos de
TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamente el Marco de Referencia de COBIT. El Marco de Referencia toma como
base las actividades de investigacin que han identificado 34 objetivos de alto nivel y 318 objetivos de control
detallados. El Marco de Referencia fue presentado a la
industria de TI y a los profesionales dedicados a la auditora para abrir la posibilidad a revisiones, cambios y
comentarios. Las ideas obtenidas fueron incorporadas
en forma apropiada.
Control
Control se
se
define
define como
como
Objetivo
Objetivode
de
control
control en
enTI
TI
se
sedefine
define
como
como
Gobierno de TI
se define como
Las polticas, procedimientos, prcticas y estructuras organizacionales

diseadas para garantizar razonablemente que los objetivos del negocio
sern alcanzados y que eventos no
deseables sern prevenidos o detectados y corregidos
Una sentencia del resultado o propsito que se desea alcanzar implementando procedimientos de control
en una actividad de TI particular.
Una estructura de relaciones y procesos para dirigir y controlar la empresa con el fin de lograr sus objetivos al aadir valor mientras se
equilibran los riesgos contra el retorno sobre TI y sus procesos.
DEFINICIONES GENERALES
Para propsitos de este proyecto, se proporcionan las
siguientes definiciones. La definicin de Control est
adaptada del reporte COSO [Committee of Sponsoring
Organisations of the Treadway Commission. Internal
Control-Integrated Framework, 1992 y la definicin
para Objetivo de Control de TI ha sido adaptada del
reporte SAC (Systems Auditability and Control Report,
The Institute of Internal Auditors Research Foundation,
1991 y 1994).
13
LOS PRINCIPIOS DEL MARCO DE REFERENCIA

Existen dos clases distintas de modelos de control actualmente disponibles, aqullos de la clase del
modelo de control de negocios (por ejemplo COSO)
y los modelos ms enfocados a TI (por ejemplo,
DTI). COBIT intenta cubrir la brecha que existe entre
los dos. Debido a esto, COBIT se posiciona como una
herramienta ms completa para la Administracin y
para operar a un nivel superior a los estndares de tecnologa para la administracin de sistemas de informacin.. Por lo tanto, COBIT es el modelo para el gobierno de TI!
El concepto fundamental del Marco Referencial de
COBIT se refiere a que el enfoque del control en TI se
lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin
combinada de recursos relacionados con la Tecnologa
de Informacin que deben ser administrados por procesos de TI.
Requerimientos
de Negocio
Procesos de TI
Recursos de TI
Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos criterios a los que
COBIT hace referencia como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos:
Calidad
Costo
Requerimientos de
Calidad
Entrega o Distribucin (de servicio)
Requerimientos
Fiduciarios
(COSO)
Requerimientos
de Seguridad
Efectividad y eficiencia de las

operaciones
Confiabilidad de la informacin
Cumplimiento de las leyes y
regulaciones
Confidencialidad
Integridad
Disponibilidad
La Calidad ha sido considerada principalmente por su

aspecto negativo (ausencia de fallas, confiabilidad,
etc.), lo cual tambin se encuentra contenido en gran
medida en los criterios de Integridad. Los aspectos
positivos, pero menos tangibles, de la calidad (estilo,
atractivo, ver y sentir, desempeo ms all de las
expectativas, etc.) no fueron, por un tiempo, considerados desde un punto de vista de Objetivos de Control de
TI. La premisa se refiere a que la primera prioridad
deber estar dirigida al manejo apropiado de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la Calidad est cubierto por los criterios de efectividad. Se consider que el aspecto de entrega o distribucin del servicio, de la Calidad se traslapa con el aspecto de disponibilidad correspondiente a
los requerimientos de seguridad y tambin en alguna
medida, con la efectividad y la eficiencia. Finalmente,
el Costo tambin es considerado, siendo cubierto por
la Eficiencia.
Para los requerimientos fiduciarios, COBIT no intent
reinventar la rueda se utilizaron las definiciones de
COSO para la efectividad y eficiencia de las operaciones, confiabilidad de informacin y cumplimiento con
leyes y regulaciones. Sin embargo, confiabilidad de informacin fue ampliada para incluir toda la informacin no slo informacin financiera.
Con respecto a los aspectos de seguridad, COBIT identific la confidencialidad, integridad y disponibilidad
como los elementos clave se encontr que estos mismos tres elementos son utilizados a nivel mundial para
describir los requerimientos de seguridad.
Comenzando el anlisis a partir de los requerimientos
14
de Calidad, Fiduciarios y de Seguridad ms amplios, se
extrajeron siete categoras distintas, ciertamente superpuestas. A continuacin se muestran las definiciones
utilizadas por COBIT:
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
de la
Informacin
Se refiere a que la informacin relevante sea pertinente para el proceso

del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.
Los recursos de TI identificados en COBIT pueden explicarse/definirse como se muestra a continuacin:

Son objetos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc.
Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica)

de recursos.
Datos
Se refiere a la proteccin de informacin sensible contra divulgacin

no autorizada.
Sistemas de
Aplicaciones
Se refiere a la precisin y suficiencia de la informacin, as como a su

validez de acuerdo con los valores y
expectativas del negocio.
Tecnologa
Se refiere a la disponibilidad de la
informacin cuando sta es requerida por el proceso de negocio ahora
y en el futuro. Tambin se refiere a
la salvaguarda de los recursos necesarios y capacidades asociadas.
Instalaciones
Personal
Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos

contractuales a los que el proceso
de negocios est sujeto, por ejemplo, criterios de negocio impuestos
externamente.
Se entiende como sistemas de aplicacin la suma de procedimientos

manuales y programados.
La tecnologa cubre hardware, sistemas operativos, sistemas de administracin de bases de datos, redes,
multimedia, etc.
Recursos para alojar y dar soporte a
los sistemas de informacin.
Habilidades del personal, conocimiento, sensibilizacin y productividad para planear, organizar, adquirir,
entregar, soportar y monitorear servicios y sistemas de informacin.
Otra forma de ver la relacin de los recursos de TI con

respecto a la entrega de servicios se describe a continuacin:
D
D aa ttoo ss
E v e n to s
O b je t iv o s d e n e g o c io
O p o r tu n id a d e s d e n e g o c io
R e q u e r im ie n to s e x te r n o s
R e g u la c io n e s
R ie s g o s
Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de
cumplimiento.
In f o r m a c i n
SS iissttee m
m aa ss dd ee A
A pp lliicc aa cc ii nn
m e n s a je
e n tra d a
T
TE
EC
CN
NO
OL
L O G II A
A
II N SS T
TA
AL
LA
AC
C II O N E
E SS
G
GE
EN
NT E
s e rv ic io
s a lid a
E fe c t iv id a d
E fic ie n c ia
C o n fid e n c ia lid a d
I n t e g r id a d
D is p o n ib ilid a d
C u m p lim ie n t o
C o n fia b ilid a d
15
El dinero o capital no se tuvo en cuenta como un recurso
para la clasificacin de objetivos de control para TI debido a que puede considerarse como la inversin en cualquiera de los recursos mencionados anteriormente. Es
importante hacer notar tambin que el Marco Referencial no menciona, en forma especfica para todos los
casos, la documentacin de todos los aspectos
materiales importantes relacionados con un proceso
de TI particular. Como parte de las buenas prcticas, la
documentacin es considerada esencial para un buen
control y, por lo tanto, la falta de documentacin podra
ser la causa de revisiones y anlisis futuros de controles
de compensacin en cualquier rea especfica en revi-
Qu obtiene?
sin.
Con el fin de asegurar que los requerimientos de negocio para la informacin son satisfechos, deben definirse,
implementarse y monitorearse medidas de control adecuadas para estos recursos.
Cmo pueden entonces las empresas estar satisfechas
respecto a que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de
un sano marco referencial de Objetivos de Control para
TI. El diagrama mostrado a continuacin ilustra este
concepto.
PROCESOS
DE NEGOCIO
Qu necesita?
Criterios
INFORMACION
RECURSOS DE TI
datos
sistemas de aplicacin
tecnologa
instalaciones
gente
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
Concuerdan ?
16
Criterios de informacin
Se
a
rid
gu
Procesos
Actividades
Gente
Dominios
Re
d
Instalaciones
Datos
d
Fi
i os
i ar
c
u
Tecnologa
ad
Sistemas de Aplicacin
lid
Ca
Procesos de TI
El Marco de Referencia de COBIT consta de Objetivos

de Control de TI de alto nivel y de una estructura general para su clasificacin y presentacin. La teora subyacente para la clasificacin seleccionada se refiere a que
existen, en esencia, tres niveles de actividades de TI al
considerar la administracin de sus recursos. Comenzando por la base, encontramos las actividades y tareas
necesarias para alcanzar un resultado medible. Las
actividades cuentan con un concepto de ciclo de vida,
mientras que las tareas son consideradas ms discretas.
Los procesos se definen entonces en un nivel superior
como una serie de actividades o tareas conjuntas con
cortes naturales (de control). En el nivel ms alto,
los procesos son agrupados de manera natural en dominios. Su agrupamiento natural es denominado frecuentemente como dominios de responsabilidad en una
estructura organizacional, y est en lnea con el ciclo
administrativo o ciclo de vida aplicable a los procesos
de TI.
os
rs
u
c
de
TI
Con lo anterior como marco de referencia, los dominios

son identificados utilizando las palabras que la gerencia
utilizara en las actividades cotidianas de la organizacin y no la jerga4 o terminologa del auditor -. Por
lo tanto, cuatro grandes dominios son identificados: planeacin y organizacin, adquisicin e implementacin;
entrega y soporte y monitoreo.
Dominios
Procesos
Las definiciones para los dominios mencionados son

las siguientes:
Planeacin y
organizacin
Actividades
Por lo tanto, el Marco de Referencia conceptual puede

ser enfocado desde tres puntos estratgicos: (1) Criterios de informacin, (2) recursos de TI y (3) procesos
de TI. Estos tres puntos estratgicos son descritos en el
Cubo COBIT que se muestra a continuacin:
Adquisicin e
implementacin
Este dominio cubre las estrategias y

las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de
los objetivos del negocio. Adems,
la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deber establecerse una organizacin y
una infraestructura tecnolgica
apropiadas.
Para llevar a cabo la estrategia de
TI, las soluciones de TI deben ser
identificadas, desarrolladas o adquiridas, as como implementadas e
Jerga (jargon)
17
integradas dentro del proceso del
negocio. Adems, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes,
para asegurar que el ciclo de vida es
contnuo para esos sistemas
Entrega
Entrega yy
soporte
soporte
Monitoreo
En este dominio se hace referencia

a la entrega o distribucin de los
servicios requeridos, que abarca
desde las operaciones tradicionales hasta el entrenamiento, pasando
por la seguridad en los sistemas y la
continuidad de las operaciones as
como aspectos sobre entrenamiento. Con el fin de proveer servicios,
debern establecerse los procesos
de soporte necesarios. Este dominio
incluye el procesamiento de los datos el cual es ejecutado por los sistemas de aplicacin, frecuentemente clasificados como controles de
aplicacin.
Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de
control. Este dominio tambin advierte a la Administracin sobre la
necesidad de asegurar procesos de
control independientes, los cuales
son provistos por auditoras internas y externas u obtenidas de fuentes alternativas.
Es importante tener en cuenta que estos procesos de TI

pueden ser aplicados en diferentes niveles de la organizacin. Por ejemplo, algunos de los procesos sern
aplicados al nivel de la empresa, otros al nivel de la
funcin de TI, otros al nivel del propietario de los procesos del negocio, etc.
Confidencialidad.
Es claro que todas las medidas de control no necesariamente satisfarn los diferentes requerimientos del
negocio para la informacin en el mismo grado.
Primario
es el grado en el cual se definen

objetivos de control que impactan
directamente los criterios de informacin considerados
Secundario es el grado en el cual se definen
objetivos de control que solo
satisfacen una extensin pequea o
satisfacen indirectamente al
criterio de informacin considerado.
En blanco podra ser aplicable. Sin embargo
los requerimientos son satisfechos
de una forma mas apropiada por
otro criterio en este proceso y/o en
otro proceso.
En forma similar, todas las medidas de control no

necesariamente impactarn a los diferentes recursos
de TI en el mismo grado. Por consiguiente, el Marco
de Referencia de COBIT indica especficamente la
aplicabilidad de los recursos de TI que son especficamente administrados por el proceso bajo consideracin (no solamente los que toman parte en el proceso) . Esta clasificacin se realiza con el Marco de
Referencia de COBIT, basado sobre un riguroso proceso de recoleccin de ideas proporcionadas por
investigadores, expertos y revisores, usando estrictas
definiciones previamente indicadas.
En resumen, con el fin de proveer la informacin que
la organizacin necesita para lograr sus objetivos, el
Gobierno de TI debe ser entrenado por la organizacin para asegurar que los recursos de TI sern administrados por una coleccin de procesos de TI agrupados naturalmente. El siguiente diagrama ilustra
este concepto.
Debe notarse adems, que el criterio de efectividad en

los procesos que planean o distribuyen soluciones para
los requerimientos del negocio cubrir algunas veces
los criterios de disponibilidad, integridad y confidencialidad en la prctica, stos se han convertido en
requerimientos del negocio. Por ejemplo, el proceso de
identificar soluciones tiene que ser efectivo en proveer requerimientos de disponibilidad, integridad y
18
PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS
OBJETIVOS DEL NEGOCIO
GOBIERNO
TI
OBJEIVOS
DEDENEGOCIO
PO1
Definir un Plan Estratgico de

Definir la Arquitectura de Informacin
Definir la Organizacin y de las
Relaciones de TI
PO5 Manejar la Inversin en Tecnologa de
Informacin
PO6 Comunicar la direccin y aspiraciones de
la gerencia
PO7 Administrar Recursos Humanos
PO8 Asegurar el Cumplimiento de
Requerimientos Externos
PO9 Evaluar Riesgos
PO10 Administrar proyectos
PO11 Administrar Calidad
COBIT
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditora independiente
INFORMACION
MONITOREO
PO2
PO3
PO4
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
PLANEACION Y
ORGANIZACION
RECURSOS DE TI
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
ENTREGA Y
SOPORTE
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
Definir Niveles de Servicio

Administrar Servicios prestados por Terceros
Administrar Desempeo y Capacidad
Asegurar Servicio Continuo
Garantizar la Seguridad de Sistemas
Identificar y Asignar Costos
Educar y Entrenar a los Usuarios
Apoyar y Asistir a los Clientes de TI
Administrar la Configuracin
Administrar Problemas e Incidentes
Administrar Datos
Administrar Instalaciones
Administrar Operaciones
ADQUISICION E
IMPLEMENTACION
AI1 Identificar Soluciones

AI2 Adquirir y Mantener Software de
Aplicacin
AI3 Adquirir y Mantener Arquitectura de
Tecnologa
AI4 Desarrollar y Mantener Procedimientos
relacionados con TI
AI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios
19
HISTORIA Y ANTECEDENTES DE COBIT
La tercera edicin de COBIT es la mas reciente versin de

los Objetivos de Control para la informacin y sus tecnologas relacionadas, que fue liberado primero por la Information Systems Audit and Control Foundation (ISACF) en
1996. La 2da edicin que refleja un incremento en el nmero de documentos fuente, una revisin en el alto nivel y
objetivos de control detallados y la adicin del Conjunto de
herramientas de Implementacin fue publicado en 1998.
La 3a edicin marca el ingreso de un nuevo editor para
COBIT: El Instituto de Gobierno5 de TI (IT Governance
Institute).
rope, OECD, ISACA, etc.;

Criterios de Calificacin para sistemas y procesos de
TI: ITSEC, ISO9000, SPICE, TickIT, Common Criteria, etc.;
Estndares Profesionales para control interno y auditora: reporte COSO, IFAC, IIA, ISACA, GAO, PCIE,
CICA, AICPA, etc.;
Prcticas y requerimientos de la Industria de foros
industriales (ESF, 14) y plataformas patrocinadas por el
gobierno (IBAG, NIST, DTI); y
Nuevos requerimientos especficos de la industria de
la banca, Comercio Electrnico y manufactura de TI.
El Instituto de Gobierno de TI fue formado por la Information Systems Audit and Control Association (ISACA) y su
Fundacin asociada en 1998 para avanzar en el entendimiento y la adopcin de principios de gobierno de TI. Con
la adicin de las Directrices Gerenciales en la 3a edicin de
COBIT y su expansin y mayor cubrimiento sobre el Gobierno de TI, el Instituto de Gobierno de TI adquiri un rol
de liderazgo en el desarrollo de la publicacin.
(Ver Apndice II, Descripcin del Proyecto COBIT;

Apndice III Material de Referencia Primaria de
COBIT y Apndice IV, Glosario de Trminos )
COBIT se bas originalmente en los Objetivos de Control

de la ISACF y ha sido mejorado con las actuales y emergentes estndares internacionales a nivel tcnico, profesional, regulatorio y especficos de la industria. Los Objetivos
de Control resultantes han sido desarrollados para su aplicacin en sistemas de informacin de toda la empresa.
El trmino generalmente aplicables y aceptados es
utilizado explcitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o
GAAP por sus siglas en ingls).
Este estndar es relativamente pequeo en tamao, con el
fin de ser prctico y responder, en la medida de lo posible,
a las necesidades del negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas tcnicas de TI adoptadas en una organizacin.
Sin excluir ningn otro estndar aceptado en el campo del
control de sistemas de informacin que pudiera emitirse
durante la investigacin, las fuentes han sido identificadas
inicialmente como:
Estndares Tcnicos de ISO, EDIFACT, etc.
Cdigos de Conducta emitidos por el Council of Eu-
___________
5
Gobierno (governance): sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.
20
HISTORIA Y ANTECEDENTES DE COBIT
EVOLUCIN DEL PRODUCTO COBIT

COBIT evolucionar a travs de los aos y ser el fundamento de investigaciones futuras. Por lo tanto, se generar
una familia de productos COBIT y al ocurrir esto, las tareas
y actividades que sirven como estructura para organizar los
Objetivos de Control de TI, sern refinadas posteriormente.
Tambin ser revisado el balance entre los dominios y los
procesos a la luz de los cambios en la industria.
La investigacin y las publicaciones han sido posibles gracias al fundamental apoyo de PricewaterhouseCoopers y
las donaciones de los captulos de ISACA y de miembros
de todo el mundo. La European Security Forum (ESF)
amablemente llev a cabo la recoleccin de material disponible para el proyecto. La Gartner Group adems particip
en el desarrollo y realiz la revisin de aseguramiento de
calidad de las Directrices Gerenciales.
PRODUCTOS DE LA FAMILIA COBIT
Familia de Productos COBIT
RESUMEN EJECUTIVO
CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACIN

Resumen Ejecutivo
Casos de Estudio
FAQs
Presentaciones en PowerPoint
Guas de Implementacin
Diagnstico de la conciencia de la Administracin
Diagnostico de Control de TI
MARCO REFERENCIAL
objetivos de control de alto nivel
DIRECTRICES GERENCIALES
Factores Crticos de xito
OBJETIVOS DE CONTROL DETALLADOS
Indicadores Clave por Objetivos
DIRECTRICES DE AUDITORIA
Indicadores Clave de Desempeo
Modelo de Madurez
21
TABLA RESUMEN
La siguiente tabla proporciona una indicacin, por proceso y dominio de TI, de cules criterios de
informacin son impactados por los objetivos de alto nivel, as como una indicacin de cules recursos de TI son aplicables.
Recursos de TI
ef
ec
ef tivi
ic da
co ienc d
n ia
in fide
te n
di grid cial
sp a id
cu on d ad
m ibi
co plim lida
nf ie d
ia n
bi to
li
r
reec dad
cuu
sisi rsrsoo
stst ss
ee h
tete mm
cncn asasum
in in oloolo dedeano
st s g g ina s
dadaaltaaclaaia foprlic
mac
toto iocio
aci
s s nen
in
ses
n
Criterios de Informacin
DOMINIO
Planeacin y
Organizacin
Adquisicin e
Implementacin
Entrega de servicios y
Soporte
Monitoreo
PROCESO
PO1
PO2
PO3
PO4
PO5
PO6
PO7
PO8
PO9
P010
PO11
AI1
AI2
AI3
AI4
AI5
AI6
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
M1
M2
M3
M4
Definir un plan estratgico de sistemas

Definir la arquitectura de informacin
Definir la organizacin y sus relaciones
Administrar las inversiones (en TI)
Comunicar los
objetivos y yaspiraciones
de la
Comunicar
la direccin
objetivos de
la gerencia
gerencia
Administrar los recursos humanos

Asegurar
el apego a de
disposiciones
externas
Asegurar
el cumplimiento
requerimientos
externos
Evaluar riesgos
Administrar proyectos
Administrar calidad
Identificar soluciones de automatizacin
Adquirir y mantener software de aplicacin
Adquirir y mantener la arquitectura tecnolgica
Desarrollar y mantener procedimientos
Instalar y acreditar sistemas de informacin
Administrar cambios
Definir niveles de servicio
Administrar servicios de terceros
Administrar desempeo y capacidad
Asegurar continuidad de servicio
Garantizar la seguridad de sistemas
Identificar y asignar costos
Educar y capacitar a usuarios
Apoyar y orientar a clientes
Administrar la configuracin
Administrar problemas e incidentes
Administrar la informacin
Administrar las instalaciones
Administrar la operacin
Monitorear el proceso
Evaluar lo adecuado del control interno
Obtener aseguramiento independiente
Proporcionar auditora independiente
P
P
P
P
P
P
P
P
S
P
P
S
S S S
S
S
P
P
P
P
P
P
P
S
P
P
P
S
S
P
P S
S P P P S S
P
P
P
S
S
S S
S
S
S S
S S
P P
S
; ;
;
;
; ;
;
;
; ; ;
; ; ;
; ; ;
;
; ;
;
;
; ;
; ;
P S S S S S
P S S S S S
P
S
S
P
P P S S S
P
P
P S
P
P
S
S
P P
S
P
P
P P
P P
S S
; ; ;
; ; ;
; ;
; ; ;
; ; ;
; ; ;
;
; ;
; ;
; ; ;
;
;
;
;
;
;
P
P
P
P
;
;
;
;
;
;
;
;
P
P
P
P
S
P
P
P
S
S
S
S
S
S
S
S
S
S
S
S
(P) Primario
(S) Secundario
; ; ;
;
;
;
; ; ;
;
;
; ;
; ; ;
; ; ;
; ;
S
S
S
S
S
S
S
S
;
;
;
;
;
;
; ;
;
;
; ; ; ; ;
;
;
;
;
;
;
;
;
;
;
;
;
() Aplicable a
22
PRINCIPIOS DE LOS OBJETIVOS DE CONTROL
COBIT, tal como aparece en esta ltima versin de los

Objetivos de Control refleja los compromisos de ISACA para engrandecer y mantener el cuerpo comn del
conocimiento requerido para soportar la profesin de
auditora y control de los sistemas de informacin
El Marco de Referencia de COBIT ha sido limitado a
objetivos de control de alto nivel en forma de necesidades de negocio dentro de un proceso de TI particular, cuyo logro es posible a travs del establecimiento
de controles, para el cual deben considerarse controles
potenciales aplicables.
El control de
Proceso de TI
Que satisface
Mientras que el Marco de Referencia de COBIT enfoca controles a alto nivel para cada proceso, los Objetivos de Control se enfocan sobre objetivos de control
detallados y especficos asociados a cada proceso de
TI. Por cada uno de los 34 procesos de TI del marco
referencial, hay desde tres hasta 30 objetivos de control detallados, para un total de 318.
Los Objetivos de Control se alinean para cubrir todo el
Marco referencial con objetivos de control detallados
con base en 41 fuentes primarias que comprenden estndares y regulaciones internacionales de TI, de facto
y de jure. Contiene sentencias de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de procedimientos de control especficos en
una actividad de TI, de esta manera provee polticas
claras y buenas prcticas para los controles de TI a
travs de la industria, alrededor del mundo.
Los Objetivos de Control estn dirigidos a la Administracin y al staff de TI, a las funciones de control y
auditora y lo mas importante, a los propietarios de
los procesos del negocio. Los Objetivos de Control
Declaracin de
Considerando
Control
proporcionan un trabajo, que es un documento de escritorio para esos individuos. Se identifican definicioPrcticas de
nes precisas y claras para un mnimo conjunto de conControl
troles con el fin de asegurar la efectividad, eficiencia y
economa de la utilizacin de los recursos. Objetivos
de control detallados son identificados para cada proceso, como los controles mnimos necesarios . Esos
Los Objetivos de Control de TI han sido organizados
controles sern analizados por los profesionales de
por proceso/actividad y tambin se han proporcionacontrol para verificar su suficiencia.
dos ayudas de navegacin no solamente para facilitar
la entrada a partir de cualquier punto de vista estratgiLos Objetivos de Control permiten el traslado de los
co como se explic anteriormente, sino tambin para
conceptos presentados en el Marco de Referencia
facilitar enfoques combinados o globales, tales como
hacia controles especficos aplicables a cada proceso
instalacin/implementacin de un proceso, responsabide TI.
lidades gerenciales globales para un proceso y utilizacin de recursos de TI por un proceso.
Requerimiento de
Negocio
Es habilitado por
Tambin deber tomarse en cuenta que los Objetivos

de Control de COBIT han sido definidos de una manera
genrica, por ejemplo, sin depender de la plataforma
tcnica, aceptando el hecho de que algunos ambientes
de tecnologa especiales pueden requerir una cobertura
separada para objetivos de control.
23
ec
co
ef
P
Planeacin &
Organizacin
Criterios de
Informacin
Dominios
De TI
Adquisicin &
Implementacin
Entrega &
Soporte
TI
Recursos
Monitoreo
Tres puntos de posicin
nt
lic e
ac
t e i on
cn
e
in olo s
st
al g a
ac
io
da nes
to
s
3 3
ap
ge
Para facilitar el empleo eficiente de los objetivos de control como soporte a los diferentes puntos de vista, se proporcionan algunas ayudas de navegacin como parte de
la presentacin de los objetivos de control de alto nivel.
Se proporciona una ayuda de navegacin para cada una
de las tres dimensiones del Marco de Referencia de COBIT - procesos, recursos de TI y criterios de informacin -
ef
La seccin de los Objetivos de Control contienen objetivos de control detallados para cada uno de los 34 procesos de TI. A la izquierda de cada pgina, se presenta el
objetivo de control de alto nivel. El indicador del dominio (PO para Planeacin y Organizacin, AI para
Adquisicin e Implementacin, DS para Entrega de
Servicios y Soporte y M para Monitoreo se presentan a
la izquierda y arriba de cada pgina. El criterio de informacin aplicable y el recurso de TI utilizado son mostrados en matrices pequeas como se describe a continuacin. Iniciando en la derecha de la pgina estn las descripciones de los objetivos de control detallados para cada proceso de TI.
tiv
id
ici ad
nf enc
id
en i a
in cia
te
li
di grid dad
sp
on ad
cu ibi
m lid
a
p
co lim d
nf i en
ia
bi t o
lid
ad
AYUDAS DE NAVEGACIN
Planeacin &
Organizacin
Los dominios son identificados por este cono en la ESQUINA SUPERIOR DERECHA de cada pgina, en la
seccin de Objetivos de Control, agrandando y haciendo
ms visible el dominio bajo revisin.
Adquisicin &
Implementacin
Entrega &
Soporte
ap
lic
nt
e
ac
te ion
cn
e
in olo s
st
al g a
ac
io
da nes
to
s
3 3
ge
Una segunda mini matriz en la ESQUINA INFERIOR DERECHA de la seccin de Objetivos de Control identifica los
recursos de TI que son administrados en forma especfica por
el proceso bajo consideracin - no solo aquellos que simplemente toman parte en el proceso -. Por ejemplo, el proceso
administracin de datos se concentra particularmente en la
integridad y confiabilidad de los recursos de datos.
ef
La clave para el criterio de informacin se presentar en

la ESQUINA SUPERIOR IZQUIERDA, en la seccin de
Objetivos de Control mediante la siguiente mini matriz, la cual identificar cul criterio y en qu grado
(primario o secundario) es aplicable a cada Objetivo de
Control de TI de alto nivel.
ec
tiv
ef ida
co icie d
nf
id ncia
en
in cia
te
li
di grid dad
sp
a
d
o
cu nibi
m lid
a
pl
co im d
nf i en
ia
bi t o
lid
ad
Monitoreo
24
RELACIONES DE OBJETIVOS DE CONTROL
DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
PLANEACIN Y ORGANIZACIN
4.5
1.0
4.6
2.0
Definicin de un Plan Estratgico de Tecnologa de Informacin

1.1
Tecnologa de Informacin como parte del
Plan de la Organizacin a corto y largo
plazo
1.2
Plan a largo plazo de Tecnologa de Informacin
1.3
Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura
1.4
Cambios al Plan a largo plazo de Tecnologa de Informacin
1.5
Planeacin a corto plazo para la funcin
de Servicios de Informacin
1.6
Comunicacin de los planes de TI
1.7 Evaluacin y Monitoreo de los planes de
TI.
1.8
Valoracin de los sistemas existentes.
Definicin de la Arquitectura de Informacin
2.1 Modelo de la Arquitectura de Informacin
2.2 Diccionario de Datos y Reglas de sintaxis
de datos corporativos
2.3 Esquema de Clasificacin de Datos
2.4 Niveles de Seguridad.
3.0
Determinacin de la Direccin Tecnolgica

3.1
Planeacin de la Infraestructura Tecnolgica
3.2
Monitoreo de Tendencias y Regulaciones
Futuras
3.3
Contingencias en la Infraestructura Tecnolgica
3.4
Planes de Adquisicin de Hardware y
Software
3.5
Estndares de Tecnologa
4.0
Definicin de la Organizacin y de las Relaciones de TI

4.1 Planeacin de TI o Comit de planeacin/
direccin de la funcin de servicios de informacin
4.2 Ubicacin de los servicios de informacin
en la organizacin
4.3 Revisin de Logros Organizacionales
4.4 Funciones y Responsabilidades
4.7
4.8
4.9
4.10
4.11
4.12
4.13
4.14
4.15
Responsabilidad del aseguramiento de calidad

Responsabilidad por la seguridad lgica y
fsica
Propiedad y Custodia
Propiedad de Datos y Sistemas
Supervisin
Segregacin de Funciones
Asignacin de Personal para Tecnologa
de Informacin
Descripcin de Puestos para el Personal de
la Funcin de TI
Personal clave de TI
Procedimientos y polticas para el personal
contratado
Relaciones
5.0 Manejo de la Inversin en Tecnologa de Informacin

5.1 Presupuesto Operativo Anual para la Funcin de Servicio de informacin
5.2 Monitoreo de Costo - Beneficio
5.3 Justificacin de Costo - Beneficio
6.0 Comunicacin de los Objetivos y Aspiraciones
de la Gerencia
6.1 Ambiente positivo de control de la informacin
6.2 Responsabilidad de la Gerencia en cuanto
a Polticas
6.3 Comunicacin de las Polticas de la Organizacin
6.4 Recursos para la implementacin de Polticas
6.5 Mantenimiento de Polticas
6.6 Cumplimiento de Polticas, Procedimientos y Estndares
6.7 Compromiso con la Calidad
6.8 Poltica sobre el Marco Referencial para la
Seguridad y el Control Interno
6.9 Derechos de propiedad intelectual
6.10 Polticas Especficas
6.11 Comunicacin de Conciencia de Seguridad en TI
25
7.0
Administracin de Recursos Humanos

7.1 Reclutamiento y Promocin de Personal
7.2 Calificacin del Personal
7.3 Roles y Responsabilidades
7.4
Entrenamiento del personal
7.5 Entrenamiento Cruzado o Respaldo de
Personal
7.6 Procedimientos para la Acreditacin del
Personal
7.7 Evaluacin de Desempeo de los Empleados
7.8 Cambios de Puesto y Terminacin de contrato de trabajo
8.0
Aseguramiento del Cumplimiento con Requerimientos Externos

8.1 Revisin de Requerimientos Externos
8.2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos
8.3 Cumplimiento de los Estndares de Seguridad y Ergonoma
8.4 Privacidad, Propiedad Intelectual y Flujo
de Datos
8.5 Comercio Electrnico
8.6 Cumplimiento con Contratos de Seguros
9.0
Anlisis de Riesgos
9.1 Anlisis de Riesgos del Negocio
9.2 Enfoque de Anlisis de Riesgos
9.3 Identificacin de Riesgos
9.4 Medicin de Riesgos
9.5 Plan de Accin para mitigar los Riesgos
9.6 Aceptacin de Riesgos
9.7
Seleccin de Proteccin.
9.8
Compromiso de Anlisis de Riesgos
10.0 Administracin de Proyectos

10.1 Marco Referencial para la Administracin
de Proyectos
10.2 Participacin del Departamento Usuario
en la Iniciacin de Proyectos
10.3 Miembros y Responsabilidades del Equipo
del Proyecto
10.4 Definicin del Proyecto
10.5 Aprobacin del Proyecto
10.6 Plan maestro del proyecto
10.7 Plan Maestro del Proyecto
10.8 Plan de Aseguramiento de Calidad de Sistemas
10.9 Planeacin de Mtodos de Aseguramiento
10.10 Administracin Formal de Riesgos de Proyectos
10.11 Plan de Prueba
10.12 Plan de Entrenamiento

10.13 Plan de Revisin Post Implementacin
11.0 Administracin de Calidad
11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de Calidad
11.3 Planeacin del Aseguramiento de Calidad
11.4 Revisin de Aseguramiento de Calidad
sobre el Cumplimiento de Estndares
y Procedimientos de la Funcin de Servicios de Informacin
11.5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas
11.6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual
11.7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas
11.8 Coordinacin y Comunicacin
11.9 Marco Referencial para la Adquisicin y
Mantenimiento de la Infraestructura de
Tecnologa
11.10 Relaciones con Terceras Partes en su rol
de Implementadores
11.11 Estndares para la Documentacin de
Programas
11.12 Estndares para Pruebas de Programas
11.13 Estndares para Pruebas de Sistemas
11.14 Pruebas Piloto/En Paralelo
11.15 Documentacin de las Pruebas del Sistema
11.16 Evaluacin del Aseguramiento de la Cali
dad sobre el Cumplimiento de Estndares de Desarrollo
11.17 Revisin del Aseguramiento de Calidad
sobre el Logro de los Objetivos de la
Funcin de Servicios de Informacin
11.18 Mtricas de Calidad
11.19 Reportes de Revisiones de Aseguramiento de la Calidad
ADQUISICIN E IMPLEMENTACIN
1.0 Identificacin de Soluciones
1.1
1.2
1.3
Definicin de Requerimientos de Informacin

Formulacin de Acciones Alternativas
Formulacin de Estrategias de Adquisicin.
26
1.4
1.5
1.6
1.7
1.8
1.9
1.10
1.11
1.12
1.13
1.14
1.15
Requerimientos de Servicios de Terceros

Estudio de Factibilidad Tecnolgica
Estudio de Factibilidad Econmica
Arquitectura de Informacin
Reporte de Anlisis de Riesgos
Controles de Seguridad costo-efectivo
Diseo de Pistas de Auditora
Ergonoma
Seleccin de Software del Sistema
Control de Abastecimiento
Adquisicin de Productos de Software
Mantenimiento de Software de Terceras
Partes
1.16 Contratos para la Programacin de Aplicaciones
1.17 Aceptacin de Instalaciones
1.18 Aceptacin de Tecnologa
2.0 Adquisicin y Mantenimiento de Software de

Aplicacin
2.1
Mtodos de Diseo
2.2
Cambios Significativos a Sistemas Actuales
2.3
Aprobacin del Diseo
2.4
Definicin y Documentacin de Requerimientos de Archivos
2.5
Especificaciones de Programas
2.6
Diseo para la Recopilacin de Datos
Fuente
2.7
Definicin y Documentacin de Requerimientos de Entrada de Datos
2.8
Definicin de Interfases
2.9
Interfases Usuario-Mquina
2.10 Definicin y Documentacin de Requerimientos de Procesamiento
2.11 Definicin y Documentacin de Requerimientos de Salida de Datos
2.12 Controlabilidad
2.13 Disponibilidad como Factor Clave de Diseo
2.14 Consideracin de Integridad de TI en programas de software de aplicaciones
2.15 Pruebas al Software de Aplicacin
2.16 Materiales de Consulta y Soporte para
Usuario
2.17 Reevaluacin del Diseo del Sistema
3.0 Adquisicin y Mantenimiento de la Arquitectura de Tecnologa
3.1
Evaluacin de Nuevo Hardware y
Software
3.2
Mantenimiento Preventivo para Hardware
3.3
3.4
3.5
3.6
3.7
Seguridad del Software del Sistema

Instalacin del Software del Sistema
Mantenimiento del Software del Sistema
Controles para Cambios del Software del
Sistema
Uso y Monitoreo de Utilidades/Utilitarios
del Sistema
4.0 Procedimientos de Desarrollo y Mantenimiento de TI

4.1
Requerimientos Operacionales y Niveles
de Servicio
4.2
Manual de Procedimientos para Usuario
4.3
Manual de Operacin
4.4
Material de Entrenamiento
5.0 Instalacin y Acreditacin de Sistemas
5.1
Entrenamiento
5.2
Medicin del Desempeo del Software de
Aplicacin
5.3
Plan de Implementacin
5.4
Conversin del Sistema
5.5
Conversin de datos
5.6
Planes y estrategias de pruebas
5.7
Pruebas a cambios
5.8
Criterios y Desempeo de Pruebas en Paralelo/Piloto
5.9
Prueba de Aceptacin Final
5.10 Pruebas y Acreditacin de la Seguridad
5.11 Prueba Operacional
5.12 Promocin a Produccin
5.13 Evaluacin de la Satisfaccin de los
Requerimientos del Usuario
5.14 Revisin Gerencial Post - Implementacin
6.0 Administracin de Cambios
6.1
Inicio y Control de Solicitudes de Cambio
6.2
Anlisis de Impacto
6.3
Control de Cambios
6.4
Cambios de Emergencia
6.5
Documentacin y Procedimientos
6.6
Mantenimiento Autorizado
6.7
Poltica de Liberacin de Software
6.8
Distribucin de Software
ENTREGA DE SERVICIOS Y SOPORTE

1.0 Definicin de Niveles de Servicio
1.1
Marco de Referencia para acuerdos de Nivel de Servicio
1.2
Aspectos sobre los Acuerdos de Nivel de
Servicio
1.3
Procedimientos de Desempeo
27
1.4
1.5
1.6
1.7
do
4.12 Almacenamiento de copias de respaldo
fuera del sitio
4.13 Procedimientos de Refinamiento del Plan
de Continuidad de TI6
Monitoreo y Reporte
Revisin de Contratos y Acuerdos de Nivel de Servicio
Elementos sujetos a Cargo
Programa de Mejoramiento del Servicio
2.0 Administracin de Servicios prestados por

Terceros
2.1
Interfases con Proveedores
2.2
Relaciones con los Dueos
2.3
Contratos con Terceros
2.4
Calificaciones de terceros
2.5
Contratos con Outsourcing
2.6
Continuidad del Servicios
2.7
Relaciones de Seguridad
2.8
Monitoreo
3.0 Administracin de Desempeo y Capacidad
3.1
Requerimientos de Disponibilidad y
Desempeo
3.2
Plan de Disponibilidad
3.3
Monitoreo y Reporte
3.4
Herramientas de Modelado
3.5
Administracin de Desempeo Proactivo
3.6
Pronstico de Carga de Trabajo
3.7
Administracin de Capacidad de Recursos
3.8
Disponibilidad de Recursos
3.9
Calendarizacin / Programacin de recursos
4.0 Aseguramiento de Servicio Continuo
4.1 Marco de Referencia de Continuidad de
4.2 Estrategia y Filosofa del Plan de Continuidad de Tecnologa de Informacin
4.3 Contenido del Plan de Continuidad de
4.4 Minimizacin de requerimientos de Continuidad de Tecnologa de Informacin
4.5 Mantenimiento del Plan de Continuidad
de Tecnologa de Informacin
4.6 Pruebas del Plan de Continuidad de Tecnologa de Informacin
4.7 Entrenamiento sobre el Plan de Continuidad de Tecnologa de Informacin
4.8 Distribucin del Plan de Continuidad de
4.9 Procedimientos de Respaldo de Procesamiento para Departamentos Usuarios
4.10 Recursos crticos de Tecnologa de Informacin
4.11 Centro de Cmputo y Hardware de respalIT GOVERNANCE INSTITUTE
5.0 Garantizar la Seguridad de Sistemas

5.1
Administrar Medidas de Seguridad
5.2
Identificacin, Autenticacin y Acceso
5.3
Seguridad de Acceso a Datos en Lnea
5.4
Administracin de Cuentas de Usuario
5.5
Revisin Gerencial de Cuentas de Usuario
5.6
Control de Usuarios sobre Cuentas de
Usuario
5.7
Vigilancia de Seguridad
5.8
Clasificacin de Datos
5.9
Administracin Centralizada de Identificacin y Derechos de Acceso
5.10 Reportes de Violacin y de Actividades de
Seguridad
5.11 Manejo de Incidentes
5.12 Re-acreditacin
5.13 Confianza en las Contrapartes
5.14 Autorizacin de Transacciones
5.15 No Rechazo
5.16 Sendero Seguro
5.17 Proteccin de las funciones de seguridad
5.18 Administracin de las Llaves Criptogrficas
5.19 Prevencin, Deteccin y Correccin de
Software Malicioso
5.20 Arquitecturas de Firewalls y conexin a
redes pblicas
5.21 Proteccin de Valores Electrnicos
6.0 Identificacin y Asignacin de Costos
6.1 Elementos Sujetos a Cargo
6.2 Procedimientos de Costeo
6.3 Procedimientos de Cargo y Facturacin a
Usuarios
7.0 Educacin y Entrenamiento de Usuarios
7.1
Identificacin de Necesidades de Entrenamiento
7.2
Organizacin de Entrenamiento
7.3
Entrenamiento sobre Principios y Conciencia de Seguridad
Refinamiento del Plan de Continuidad de TI

(wrap up): procedimiento seguido para evaluar y
actualizar el Plan
28
8.0 Apoyo y Asistencia a los Clientes de Tecnologa de Informacin
8.1
Help Desk
8.2
Registro de consultas del Cliente
8.3
Escalamiento de consultas del Cliente
8.4
Monitoreo de Atencin a Clientes
8.5
Anlisis y Reporte de Tendencias
9.0 Administracin de la Configuracin
9.1
Registro de la Configuracin
9.2
Base de la Configuracin
9.3
Registro de status
9.4
Control de la Configuracin
9.5
Software no Autorizado
9.6
Almacenamiento de Software
9.7
Procedimientos para la Administracin de
la Configuracin
9.8
Contabilidad y registro del Software
10.0 Administracin de Problemas e Incidentes
10.1 Sistema de Administracin de Problemas
10.2 Escalamiento de Problemas
10.3 Seguimiento de Problemas y Pistas de Auditora
10.4 Autorizaciones para acceso temporal y de
emergencia.
10.5 Prioridades en Procesos de Emergencia
11.0 Administracin de Datos
11.1 Procedimientos de Preparacin de Datos
11.2 Procedimientos de Autorizacin de Documentos Fuente
11.3 Recopilacin de Datos de Documentos
Fuente
11.4 Manejo de Errores de Documentos Fuente
11.5 Retencin de Documentos Fuente
11.6 Procedimientos para la Autorizacin de
Entrada de Datos
11.7 Chequeos de Exactitud, Suficiencia y Autorizacin
11.8 Manejo de Errores en la Entrada de Datos
11.9 Integridad de Procesamiento de Datos
11.10 Validacin y Edicin de Procesamiento de
Datos
11.11 Manejo de Errores en el Procesamiento de
Datos
11.12 Manejo y Retencin de Datos de Salida
11.13 Distribucin de Datos de Salida
11.14 Balanceo y Conciliacin de Datos de Salida
11.15 Revisin de Salida de Datos y Manejo de
Errores
11.16 Provisiones de Seguridad para Reportes
de Salida
11.17 Proteccin de Informacin Sensitiva durante transmisin y transporte
11.18 Proteccin de Informacin Sensitiva a ser
Desechada
11.19 Administracin de Almacenamiento
11.20 Perodos de Retencin y Trminos de Almacenamiento
11.21 Sistema de Administracin de la Librera
de Medios
11.22 Responsabilidades de la Administracin
de la Librera de Medios
11.23 Respaldo y Restauracin
11.24 Funciones de Respaldo
11.25 Almacenamiento de Respaldo
11.26 Archivo
11.27 Proteccin de Mensajes Sensitivos
11.28 Autenticacin e Integridad
11.29 Integridad de Transacciones Electrnicas
11.30 Integridad Continua de Datos Almacenados
12.0 Administracin de Instalaciones
12.1 Seguridad Fsica
12.2 Discrecin (bajo perfil) de las Instalaciones de Tecnologa de Informacin
12.3 Escolta de Visitantes
12.4 Salud y Seguridad del Personal
12.5 Proteccin contra Factores Ambientales
12.6 Suministro Ininterrumpido de Energa
13.0 Administracin de Operaciones
13.1 Manual de Instrucciones y procedimientos
de Operaciones de procesamiento
13.2 Documentacin del Proceso de Inicio y de
Otras Operaciones
13.3 Calendarizacin/programacin de Trabajos
13.4 Ejecucin de los Trabajos estndar programados
13.5 Continuidad de Procesamiento
13.6 Bitcoras de Operacin
13.7 Proteccin de Formas Especiales y dispositivos de salida
13.8 Operaciones Remotas
MONITOREO
1.0 Monitoreo del Proceso
1.1 Recoleccin de Datos de Monitoreo
1.2 Anlisis del Desempeo
1.3 Evaluacin de la Satisfaccin de Clientes
1.4 Reportes Gerenciales
29
2.0
Evaluar lo adecuado del Control Interno

2.1 Monitoreo de Control Interno
2.2 Operacin oportuna del Control Interno
2.3 Reporte sobre el Nivel de Control Interno
2.4 Seguridad en las operaciones y aseguramiento del Control Interno
3.0
Obtencin de Aseguramiento Independiente

3.1 Certificacin / Acreditacin Independiente
de Control Interno y Seguridad de los servicios de TI
3.2 Certificacin / Acreditacin Independiente
de Control Interno y Seguridad de proveedores externos de servicios
3.3 Evaluacin Independiente de la Efectividad
de los Servicios de TI
3.4 Evaluacin Independiente de la Efectividad
de proveedores externos de servicios
3.5 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales
3.6 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales con proveedores externos de servicios
3.7 Competencia de la Funcin de Aseguramiento Independiente
3.8 Participacin Proactiva de Auditora
4.0 Proveer Auditora Independiente

4.1 Estatutos de Auditora
4.2 Independencia
4.3 Etica y Estndares Profesionales
4.4 Competencia
4.5 Planeacin
4.6 Desempeo del Trabajo de Auditora
4.7 Reporte
4.8 Actividades de Seguimiento
30
31
(PO)
PLANEACION Y ORGANIZACION
32
OBJETIVOS DE CONTROL DE ALTO NIVEL
Planeacin &
Organizacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id nc ia
en
in c ia
te
li
di gr i dad
s p da
o
d
cu nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
PO1
S
Control sobre el proceso de TI de:
Adquisicin &
Implementacin
Entrega &
Soporte
Definicin de un plan Estratgico de TI

que satisface los requerimientos del negocio de:
Monitoreo
Lograr un balance ptimo entre las oportunidades de tecnologa de

informacin y los requerimientos del negocio para TI, as como
para asegurar sus logros futuros.
se hace posible a travs de:
un proceso de planeacin estratgica emprendido en intervalos regulares dando lugar a planes a largo plazo. Los
planes a largo plazo debern ser traducidos peridicamente en planes operacionales estableciendo metas claras
y concretas a corto plazo:
y toma en consideracin:
Estrategia del negocio de la empresa

definicin de cmo TI soporta los objetivos de
negocio
inventario de soluciones tecnolgicas e infraestructura actual
Monitoreo del mercado de tecnologa
Estudios de factibilidad oportunos y chequeos
con la realidad
Anlisis de los sistemas existentes
Posicin de la empresa sobre riesgos, en el
proceso de compra (time-on-market), calidad
Necesidades de la Administracin senior en el
proceso de compra, soportado en revisin crtica
3 3 3 3 3
g
ap ente
l ic
a
te c i o n
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
33
1.
DEFINICIN DE UN PLAN ESTRATGICO DE

TI
1.1 Tecnologa de Informacin como parte del Plan de la

Organizacin a corto y largo plazo.
OBJETIVO DE CONTROL
La alta gerencia ser la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la
misin y las metas de la organizacin. A este respecto,
la alta gerencia deber asegurar que los problemas de
TI, as como las oportunidades, sean evaluados adecuadamente y reflejados en los planes a largo y corto plazo
de la organizacin. Se deben desarrollar planes de TI a
largo y corto plazo para ayudar a asegurar que el uso de
la TI est acorde con la misin y las estrategias de negocio de la organizacin.
1.2 Plan a largo plazo de TI
OBJETIVO DE CONTROL
La Gerencia de TI y los dueos del proceso de negocio
sern responsables de desarrollar regularmente planes
de TI a largo plazo , que apoyen el logro de la misin y
las metas generales de la organizacin. El mtodo de
planeacin deber incluir mecanismos para solicitar
informacin a los interesados internos y externos mas
importantes, que se ven afectados por los planes estratgicos de TI. De la misma manera, la Gerencia deber
implementar un proceso de planeacin a largo plazo,
adoptar un enfoque estructurado y determinar la estructura para el plan.
1.3
Plan a largo plazo de TI - Enfoque y Estructura

OBJETIVO DE CONTROL
rios, requerimientos de terceras partes o del mercado, el

horizonte de planeacin, reingeniera de procesos del
negocio, la asignacin de personal, in u outsourcing,
datos, sistemas de aplicacin y arquitecturas de la tecnologa. Los planes de TI, de largo y corto alcance debern incorporar indicadores y objetivos de desempeo.
El plan mismo deber hacer referencia a otros planes
tales como el plan de calidad de la organizacin y el plan
de manejo de riesgos de informacin.
1.4 Cambios al Plan a largo plazo de TI
OBJETIVO DE CONTROL
La Gerencia de TI y los dueos del proceso del negocio
debern asegurar que se establezca un proceso con el fin
de adaptar los cambios al plan a largo plazo de la organizacin y los cambios en las condiciones de la TI. La
gerencia Senior deber establecer una poltica que requiera que se desarrollen y se mantengan planes de largo y corto plazo de TI.
1.5 Planeacin a corto plazo para la Funcin de TI
OBJETIVO DE CONTROL
La Gerencia de TI y los dueos del proceso del negocio
debern asegurar que el plan a largo plazo de TI se traduzca regularmente en planes a corto plazo de TI. Estos planes a corto plazo debern asegurar que se asignen
los recursos apropiados de la funcin de servicios de TI
con una base consistente con el plan a largo plazo de TI.
Los planes a corto plazo debern ser reevaluados y modificados peridicamente segn se considere necesario
respondiendo a las condiciones de cambios en el negocio y en TI. La realizacin oportuna de estudios de factibilidad deber asegurar que la ejecucin de los planes a
corto plazo sea iniciada adecuadamente.
La Gerencia de TI y los dueos del proceso de negocio

debern establecer y aplicar un enfoque estructurado al
proceso de planeacin a largo plazo. Esto deber traer
como resultado un plan de alta calidad que cubra las
preguntas bsicas de qu, quin, cmo, cundo y por
qu el proceso de planeacin de TI debe tomar en cuenta los resultados del anlisis del riesgo, incluyendo los
riesgos del negocio, entorno, tecnologa y recursos
humanos. Los aspectos que necesitan ser tomados en
cuenta y ser cubiertos adecuadamente durante el proceso
de planeacin incluyen el modelo de organizacin y sus
cambios, la distribucin geogrfica, la evolucin tecnolgica, los costos, los requerimientos legales y regulato-
34
1.6
Comunicacin de los Planes de TI

OBJETIVO DE CONTROL
La gerencia debe asegurar que los planes de largo y
de corto plazo de tecnologa de la informacin sean
comunicados a los dueos del proceso del negocio y
a otras partes relevantes en toda la organizacin.
1.7
Monitoreo y Evaluacin de los Planes de Tecnologa de la Informacin

OBJETIVO DE CONTROL
La gerencia debe establecer procesos para captar y
reportar la retroalimentacin de los dueos y usuarios
del proceso del negocio respecto a la calidad y utilidad
de los planes de largo y de corto plazo. La retroalimentacin obtenida debe ser evaluada y considerada
en la planeacin futura de la tecnologa de la informacin.
1.8 Evaluacin de los Sistemas Existentes

OBJETIVO DE CONTROL
Previo al desarrollo o modificacin del Plan Estratgico o plan a largo plazo de TI, la Gerencia de TI debe
evaluar los sistemas existentes en trminos de: nivel
de automatizacin de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con
el propsito de determinar el nivel de soporte que
ofrecen los sistemas existentes a los requerimientos
del negocio.
35
ef
ec
ti
ef vida
c o ic ie d
nf
n
id c ia
en
in c ia
te
li
di gr i dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
PO2
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Definicin de la Arquitectura de Informacin

que satisface los requerimientos de negocio de:
Monitoreo
organizar de la mejor manera los sistemas de informacin

la creacin y mantenimiento de un modelo de informacin de negocios y asegurando que se definan sistemas apropiados para optimizar la utilizacin de esta
informacin
Repositorio automatizado de datos y diccionario

reglas de sintaxis de datos
propiedad de la informacin y clasificacin
con base en criticidad /seguridad
un modelo de informacin que represente
el negocio
Normas de arquitectura de informacin de
la empresa
g
ap ente
l ic
a
te c i o n
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
36
2
DEFINICIN DE LA ARQUITECTURA DE
INFORMACIN
2.1
Modelo de la Arquitectura de Informacin

OBJETIVO DE CONTROL
Se deben establecer los criterios para soportar los diferentes niveles de seguridad en toda la empresa para
resolver las necesidades del creciente comercio electrnico, la computacin mvil y los entornos de teleconmutacin.
La informacin deber conservar consistencia

con las necesidades y deber ser identificada,
capturada y comunicada de tal forma y dentro de
perodos de tiempo que permitan a los responsables llevar a cabo sus tareas eficiente y oportunamente. Asimismo, la funcin de sistemas de informacin deber crear y actualizar regularmente
un modelo de arquitectura de informacin, abarcando el modelo de datos corporativo y los sistemas de informacin asociados. El modelo de
arquitectura de informacin deber conservar
consistencia con el plan a largo plazo de tecnologa de informacin.
2.2 Diccionario de Datos y Reglas de Sintaxis de
Datos de la Corporacin
OBJETIVO DE CONTROL
La funcin de servicios de informacin deber
asegurar la creacin y la continua actualizacin
de un diccionario de datos corporativo que incorpore las reglas de sintaxis de datos de la organizacin.
2.3 Esquema de Clasificacin de Datos
OBJETIVO DE CONTROL
Deber establecerse un marco de referencia de
clasificacin general relativo a la ubicacin de
datos en clases de informacin (por ejemplo, categoras de seguridad), as como la asignacin de
propiedad. Las reglas de acceso para las clases
debern definirse apropiadamente.
2.4 Niveles de Seguridad
OBJETIVO DE CONTROL
La Gerencia deber definir, implementar y mantener niveles de seguridad para cada una de las
clasificaciones de datos identificadas con un nivel superior al de "no requiere proteccin". Estos niveles de seguridad debern representar el
conjunto de medidas de seguridad y de control
apropiado (mnimo) para cada una de las clasificaciones y debern ser reevaluados peridicamente y modificados en consecuencia.
37
PO3
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

determinacin de la direccin tecnolgica
Monitoreo

aprovechar la tecnologa disponible y las que van apareciendo en
el mercado para impulsar y posibilitar la estrategia del negocio.
la creacin y mantenimiento de un plan de infraestructura tecnolgica que establece y administra expectativas
claras y realistas de lo que puede brindar la tecnologa en
trminos de productos, servicios y mecanismos de entrega
capacidad de la infraestructura actual

monitoreo de desarrollos tecnolgicos por la
va de fuentes confiables
realizacin de prueba de conceptos
riesgos, restricciones y oportunidades
planes de adquisicin
estrategia de migracin y mapas alternativos
(roadmaps)
relaciones con los vendedores
reevaluacin independiente de la tecnologa
Cambios de precio /desempeo de hardware y
de software
3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
38
3
DETERMINACIN DE LA DIRECCIN
TECNOLGICA
3.1 Planeacin de la Infraestructura Tecnolgica

OBJETIVO DE CONTROL
crear y actualizar regularmente un plan de infraestructura tecnolgica que concuerde con los
planes a largo y corto plazo de tecnologa de informacin. Dicho plan deber abarcar aspectos
tales como arquitectura de sistemas, direccin
tecnolgica y estrategias de migracin.
3.2 Monitoreo de Tendencias y Regulaciones
Futuras
OBJETIVO DE CONTROL
asegurar el monitoreo contnuo de tendencias
futuras y condiciones regulatorias, de tal manera
que estos factores puedan ser tomados en consideracin durante el desarrollo y mantenimiento
del plan de infraestructura tecnolgica.
3.3 Contingencias en la Infraestructura
Tecnolgica
OBJETIVO DE CONTROL
El plan de infraestructura tecnolgica deber ser
evaluado sistemticamente en cuanto a aspectos
de contingencia (por ejemplo, redundancia, resistencia7, capacidad de adecuacin y evolucin de
la infraestructura).
3.4 Planes de
Software
Adquisicin
de
Hardware
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que los planes de adquisicin de hardware y software sean establecidos
y que reflejen las necesidades identificadas en el
plan de infraestructura tecnolgica.
3.5 Estndares de Tecnologa
OBJETIVO DE CONTROL
Tomando como base el plan de infraestructura
tecnolgica, la Gerencia deber definir normas
de tecnologa con la finalidad de fomentar la estandarizacin.
Resistencia (resilience): ndice de resistencia a fallas
39

PO4
c
en ia
in c iali
te
da
di gr id d
sp
a
on d
i
b
cu
m ilida
pl
d
co imi
nf en
ia
b i to
lid
ad
id
en
Adquisicin &
Implementacin
co
nf
ic i
ef
ef
e
ct
iv i
da
Planeacin &
Organizacin
Entrega &
Soporte

Monitoreo
definicin de la organizacin y de las relaciones de TI

prestacin de los servicios correctos de TI
una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas, acordes con
el negocio y que facilita la estrategia y provee una direccin
efectiva y un control adecuado.
nt
e
lic
ac
te i o n
cn
es
in olo
g
st
al
ac a
io
n
da es
to
s
ge
responsabilidades del nivel directivo sobre TI

direccin de la gerencia y supervisin de TI
Alineacin de TI con el negocio
participacin de TI en los procesos clave de decisin
flexibilidad organizacional
roles y responsabilidades claras
equilibrio entre supervisin y delegacin de autoridad (empoderamiento)
descripciones de puestos de trabajo
Niveles de asignacin de personal y personal clave
Ubicacin organizacional de las funciones de seguridad, calidad y control interno
Segregacin de funciones
ap
40
4
DEFINICIN DE LA ORGANIZACIN Y
DE LAS RELACIONES DE TI
4.1 Comit de planeacin o direccin de TI

OBJETIVO DE CONTROL
La alta gerencia de la organizacin deber designar un comit de planeacin o direccin para vigilar la funcin de TI y sus actividades. Entre los
miembros del comit debern encontrarse representantes de la alta gerencia, de la gerencia usuaria y de la funcin de TI. El comit deber reunirse regularmente y reportar a la alta gerencia.
4.2 Ubicacin de la Funcin de TI en la organizacin
OBJETIVO DE CONTROL
Al ubicar la funcin de TI en la estructura organizacional general, la alta gerencia deber asegurar la existencia de autoridad, actitud crtica e
independencia por parte del departamento usuario con un grado tal que sea posible garantizar
soluciones de tecnologa de informacin efectivas y progreso suficiente al implementarlas, as
como establecer una relacin de socios con la
alta Gerencia para ayudar a incrementar la concientizacin, el entendimiento y las habilidades
para identificar y resolver problemas de tecnologa de informacin.
4.3 Revisin de Logros Organizacionales
OBJETIVO DE CONTROL
Deber establecerse un marco de referencia con
el propsito de revisar que la estructura organizacional cumpla continuamente con los objetivos y
se adapte a las circunstancias cambiantes.
4.4 Funciones y Responsabilidades
OBJETIVO DE CONTROL
conscientes de que tienen un grado de responsabilidad con respecto a la seguridad y al control

interno. Consecuentemente, debern organizarse
y emprenderse campaas regulares para aumentar la conciencia y la disciplina.
4.5 Responsabilidad del Aseguramiento de Calidad
OBJETIVO DE CONTROL
La Gerencia deber asignar la responsabilidad de
la ejecucin de la funcin de aseguramiento de
calidad a miembros del personal de la funcin de
servicios de informacin y asegurar que existan
sistemas de aseguramiento de calidad apropiados, controles y experiencia en comunicaciones
dentro del grupo de aseguramiento de calidad de
la funcin de servicios de informacin. La ubicacin de la funcin dentro del rea de servicios de
informacin, las responsabilidades y el tamao
del grupo de aseguramiento de calidad debern
satisfacer los requerimientos de la empresa.
4.6 Responsabilidad de la Seguridad Lgica y Fsica
OBJETIVO DE CONTROL
La Gerencia deber asignar formalmente la responsabilidad de la seguridad lgica y fsica de
los activos de informacin de la organizacin a
un Gerente de seguridad de la informacin, quien
reportar a la alta gerencia. Como mnimo, la
responsabilidad de la Gerencia de seguridad deber establecerse a todos los niveles de la organizacin para manejar los problemas generales de
seguridad en la organizacin. En caso necesario,
debern asignarse responsabilidades gerenciales
de seguridad adicionales a niveles especficos
con el fin de resolver los problemas de seguridad
relacionados con ellos.
4.7 Propiedad y Custodia
La Gerencia deber asegurar que todo el personal

en la organizacin conozca sus funciones y responsabilidades en relacin con los sistemas de
informacin. Todo el personal deber contar con
la autoridad suficiente para llevar a cabo las funciones y responsabilidades que le hayan sido
asignadas. Las funciones debern ser designadas
tomando en consideracin la segregacin apropiada de tareas. Ninguna persona en forma individual deber controlar todos los aspectos clave
de una transaccin o evento. Todos debern estar
OBJETIVO DE CONTROL
La Gerencia deber crear una estructura para designar formalmente a los propietarios y custodios
de los datos. Sus funciones y responsabilidades
debern estar claramente definidas.
4.8 Propiedad de Datos y Sistemas
OBJETIVO DE CONTROL
La Gerencia deber asegurar que todos los acti41
vos de informacin (sistemas y datos) cuenten
con un propietario asignado que tome decisiones
sobre la clasificacin y los derechos de acceso.
Los propietarios del sistema normalmente delegarn la custodia diaria al grupo de distribucin/
operacin de sistemas y las responsabilidades de
seguridad a un administrador de la seguridad.
Los Propietarios, sin embargo, permanecern
como responsables del mantenimiento de medidas de seguridad apropiadas.
4.9
Supervisin
4.12 Descripcin de Puestos de trabajo para el Personal de la Funcin de TI
OBJETIVO DE CONTROL
La alta gerencia deber implementar prcticas de
supervisin adecuadas en la organizacin de servicios de informacin para asegurar que las funciones y responsabilidades sean llevadas a cabo
apropiadamente, para evaluar si todo el personal
cuenta con suficiente autoridad y recursos para
llevar a cabo sus tareas y responsabilidades, y
para revisar de manera general los indicadores
clave de desempeo.
4.10 Segregacin de Funciones
OBJETIVO DE CONTROL
z
z
z
z
z
z
z
z
OBJETIVO DE CONTROL
La Gerencia deber asegurar que las descripciones de los puestos para el personal de TI sean
establecidos y actualizados regularmente. Estas
descripciones de puestos debern delinear claramente tanto la responsabilidad como la autoridad,
incluir las definiciones de las habilidades y la
experiencia necesarias para el puesto, y ser adecuadas para su utilizacin en evaluaciones de
desempeo.
4.13 Personal Clave de TI
La alta gerencia deber implementar una divisin

de roles y responsabilidades que excluya la posibilidad de que un solo individuo responda por un
proceso crtico. La Gerencia deber asegurar
tambin que el personal lleve a cabo nicamente
aquellas tareas estipuladas para sus respectivos
puestos. En particular, deber mantenerse una
segregacin de funciones entre las siguientes
funciones:
z
larmente para asegurar que la funcin de servicios de informacin cuente con un nmero suficiente de personal competente de tecnologa de
informacin. Los requerimientos de asignacin
de personal debern ser evaluados por lo menos
anualmente o al presentarse cambios mayores en
el negocio, en el ambiente operacional o de tecnologa de informacin. Deber actuarse oportunamente tomando como base los resultados de
las evaluaciones para asegurar una asignacin de
personal adecuada en el presente y en el futuro.
uso de sistemas de informacin;

entrada de datos;
operacin de cmputo;
administracin de redes;
administracin de sistemas;
desarrollo y mantenimiento de sistemas
administracin de cambios
administracin de seguridad; y
auditora a la seguridad
4.11 Asignacin de Personal de TI

OBJETIVO DE CONTROL
Las evaluaciones de los requerimientos de asignacin de personal debern llevarse a cabo reguIT GOVERNANCE INSTITUTE
OBJETIVO DE CONTROL
La Gerencia de TI deber definir e identificar al
personal clave de tecnologa de informacin.
4.14 Polticas y Procedimientos para Personal por
Contrato
OBJETIVO DE CONTROL
La Gerencia deber definir e implementar polticas y procedimientos relevantes para controlar
las actividades de consultores y dems personal
externo contratado por la funcin de TI para asegurar la proteccin de los activos de informacin
de la organizacin.
4.15 Relaciones
OBJETIVO DE CONTROL
La Gerencia de TI deber llevar a cabo las acciones necesarias para establecer y mantener una
coordinacin, comunicacin y un enlace ptimos
entre la funcin de TI y dems interesados dentro
y fuera de la funcin de servicios de informacin
(usuarios, proveedores, oficiales de seguridad,
administradores de riesgos).
42
PO5
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

Manejo o administracin de la inversin de TI
Monitoreo

asegurar el financiamiento y el control de desembolsos de recursos financieros
Inversin peridica y presupuestos operacionales establecidos y aprobados por el negocio
alternativas de financiamiento
Claros responsables del presupuesto
Control sobre los gastos actuales
justificacin de costos y concientizacin
sobre el costo total de la propiedad
justificacin del beneficio y contabilizacin de todos los beneficios obtenidos
Ciclo de vida del software de aplicacin y
de la tecnologa
Alineacin con las estrategias del negocio
de la empresa
Anlisis de impacto
Administracin de los activos
3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
43
5
MANEJO / ADMINISTRACIN DE LA INVERSIN EN TECNOLOGA DE INFORMACIN
5.1 Presupuesto Operativo Anual para la Funcin de

Servicios de Informacin
OBJETIVO DE CONTROL
La alta gerencia deber implementar un proceso de
asignacin de presupuestos para asegurar que un presupuesto operativo anual para TI sea establecido y
aprobado en lnea con los planes a largo y corto plazo
de la organizacin, as como con los planes a largo y
corto plazo de tecnologa de informacin. Debern
investigarse alternativas de financiamiento.
5.2 Monitoreo de Costo - Beneficios
OBJETIVO DE CONTROL
La Gerencia deber establecer un proceso de monitoreo de costos que compare los costos reales contra
los presupuestados. Aun ms, los posibles beneficios derivados de la actividad de tecnologa de informacin debern ser identificados y reportados. En
cuanto al monitoreo de costos, la fuente de las cifras
reales deber tomar como base el sistema de contabilidad de la organizacin, mismo que deber registrar,
procesar y reportar rutinariamente los costos asociados con las actividades de la funcin de servicios de
informacin. En lo referente al monitoreo de los beneficios, se debern definir indicadores de medicin
de desempeo de alto nivel y ser reportados y revisados regularmente para asegurar que son adecuados.
5.3 Justificacin de Costo - Beneficio
OBJETIVO DE CONTROL
Deber establecerse un control gerencial que garantice que los servicios que presta la funcin de TI presenten un costo justificado y se encuentren en lnea
con la industria. Los beneficios derivados de las actividades de tecnologa de informacin debern ser
analizados en forma similar.
44
PO6
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

comunicacin de los objetivos y aspiraciones de la gerencia
Monitoreo

asegurar que el usuario sea conciente y comprenda dichas aspiraciones
polticas establecidas y transmitidas a la comunidad de
usuarios; adems, se necesitan estndares para traducir
las opciones estratgicas en reglas de usuario prcticas
y utilizables
Misin claramente articulada

Directivas tecnolgicas vinculadas con aspiraciones de negocios
Cdigo de tica / conducta
Compromiso con la calidad
Polticas de seguridad y control interno
Practicas de seguridad y control interno
Ejemplos de liderazgo
Programacin continua de comunicaciones
Proveer guas y verificar su cumplimiento
3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
45
6
COMUNICACIN DE LOS OBJETIVOS Y

ASPIRACIONES DE LA GERENCIA
6.1 Ambiente Positivo de Control de la Informacin
operaciones. La Gerencia deber tambin monitorear la duracin de la implementacin de sus

polticas.
6.5 Mantenimiento de Polticas
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Con el fin de proveer guas para el desempeo

apropiado, evitar tentaciones de acciones no ticas y crear disciplina donde se requiera, la Gerencia deber crear un marco de referencia y un
programa de concientizacin que fomente un
ambiente de control positivo a travs de toda la
organizacin. Estas actividades debern encauzarse hacia la integridad, los valores ticos, competencia del empleado, filosofa de la Gerencia,
estilo de operacin y registro. Se debe dar especial atencin a los aspectos relacionados con tecnologa de informacin incluyendo la seguridad
y el plan de continuidad del negocio.
Las polticas debern ser ajustadas regularmente

para adecuarse a las condiciones cambiantes.
Las polticas debern ser reevaluadas, por lo menos anualmente o al momento de presentarse
cambios significativos en el ambiente operacional o del negocio, para evaluar que sean convenientes y apropiadas y debern ser modificadas
en caso necesario. La Gerencia deber proporcionar un marco de referencia y un proceso para
las revisiones peridicas y la aprobacin de estndares, polticas, directrices y procedimientos.
6.2 Responsabilidad de la Gerencia sobre las Polticas

OBJETIVO DE CONTROL
La Gerencia deber asumir la responsabilidad
completa de la formulacin, el desarrollo, la documentacin, la promulgacin y el control de
polticas que cubran metas y directrices generales. Debern llevarse a cabo revisiones regulares
de las polticas para asegurar su conveniencia. La
complejidad de las polticas y los procedimientos
escritos debern estar siempre en proporcin con
el tamao de la organizacin y el estilo gerencial.
6.3 Comunicacin de las Polticas de la Organizacin
OBJETIVO DE CONTROL
La Gerencia deber asegurar que las polticas
organizacionales sean claramente comunicadas,
comprendidas y aceptadas por todos los niveles
de la organizacin. El proceso de comunicacin
debe estar soportado por un plan efectivo que
utilice diversos mecanismos de comunicacin.
6.4 Recursos para la implementacin de Polticas
OBJETIVO DE CONTROL
La Gerencia deber destinar recursos para la
implementacin de sus polticas y para asegurar
su cumplimiento, de tal manera que ellas se
construyan dentro y formen parte integral de las
6.6 Cumplimiento de Polticas, Procedimientos y

Estndares
OBJETIVO DE CONTROL
La Gerencia deber asegurar que se establezcan
procedimientos apropiados para determinar si el
personal comprende los procedimientos y polticas implementados, y que ste cumple con dichas polticas y procedimientos. El cumplimiento de las reglas de tica, seguridad y estndares
de control interno deber ser establecido por la
Alta Gerencia y promoverse a travs del ejemplo.
6.7 Compromiso con la Calidad
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber definir, documentar y mantener
una filosofa de calidad, as como polticas y objetivos que sean consistentes con la filosofa y
las polticas de la corporacin a este respecto.
La filosofa de calidad, las polticas y los objetivos debern ser comprendidos, implementados y
mantenidos a todos los niveles de la funcin de
servicios de informacin.
6.8 Poltica sobre el Marco de Referencia para la
Seguridad y el Control Interno
OBJETIVO DE CONTROL
La Gerencia deber asumir la responsabilidad
total del desarrollo y mantenimiento de una poltica sobre el marco de referencia, que establezca
46
el enfoque general de la organizacin en cuanto a
seguridad y control interno para establecer y mejorar la proteccin de los recursos de tecnologa
de informacin. La poltica deber cumplir con
los objetivos generales del negocio y estar dirigida a minimizar riesgos a travs de medidas preventivas, identificacin oportuna de irregularidades, limitacin de prdidas y recuperacin oportuna. Estas medidas debern basarse en anlisis
costo-beneficio y deber priorizarse. Adems, la
alta gerencia deber asegurar que esta poltica de
seguridad de alto nivel y de control interno especifique el propsito y los objetivos, la estructura
gerencial, el alcance dentro de la organizacin, la
definicin y asignacin de responsabilidades para
su implementacin a todos los niveles y la definicin de multas y de acciones disciplinarias asociadas con la falta de cumplimiento con las polticas de seguridad y control interno. Se debern
establecer criterios para la reevaluacin peridica
del marco de referencia con el objeto de soportar
responsablemente los cambios organizacionales y
los requerimientos tcnicos y ambientales.
Debe transmitir el mensaje en cuanto a que la

seguridad de TI es para el beneficio de toda la
organizacin, todos los empleados, y as mismo
todos son responsables de ella. El programa de
concientizacin en seguridad de TI debe estar
apoyado y representar el punto de vista de la gerencia.
6.9 Derechos de propiedad intelectual

OBJETIVO DE CONTROL
La gerencia deber proveer e implementar una
poltica por escrito sobre derechos de propiedad
intelectual, que cubra el desarrollo de software,
tanto interno como contratado a externos.
6.10 Polticas para Situaciones Especficas
OBJETIVO DE CONTROL
Debern ponerse en prctica medidas que aseguren el establecimiento de polticas para situaciones especficas con el fin de documentar las decisiones gerenciales con respecto al tratamiento de
actividades, aplicaciones, sistemas o tecnologas
particulares.
6.11 Comunicacin para educar y concientizar
(crear conciencia) sobre Seguridad de TI
OBJETIVO DE CONTROL
Un programa de concientizacin sobre seguridad
de TI debe comunicar las polticas de TI a cada
usuario de TI y asegurar el completo entendimiento de la importancia de la seguridad de TI.
47

PO7
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nib
i
m lid
p
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

administracin de recursos humanos
Monitoreo

Adquirir y mantener una fuerza de trabajo motivada y competente y maximizar las contribuciones del personal a los procesos de TI
prcticas de administracin de personal, sensatas,
justas y transparentes para reclutar, alinear, pensionar,
compensar, entrenar, promover y despedir
reclutamiento y promocin
Entrenamiento y requerimientos de calificaciones
desarrollo de conciencia
entrenamiento cruzado y rotacin de puestos
Procedimientos para contratacin, veto y despidos
evaluacin objetiva y medible del desempeo
responsabilidades sobre los cambios tcnicos y
de mercado
Balance apropiado de recursos internos y externos
Plan de sucesin para posiciones clave
g
a p e n te
lic
a
te cion
cn
e
in olo s
st
g
al
a c a
io
da nes
to
s
48
7
conciencia de seguridad al nivel requerido, para la

ejecucin efectiva de sus tareas. Los programas de
educacin y entrenamiento dirigidos a incrementar
los niveles de habilidad tcnica y administrativa del
personal debern ser revisados regularmente.
ADMINISTRACIN DE RECURSOS HUMANOS
7.1 Reclutamiento y Promocin de Personal

OBJETIVO DE CONTROL
La Gerencia deber implementar y evaluar regularmente los procesos necesarios para asegurar que las
prcticas de reclutamiento y promocin de personal
tengan como base criterios objetivos y consideren
factores como la educacin, la experiencia y la responsabilidad. Estos procesos debern estar en lnea
con las polticas y procedimientos generales de la
organizacin a este respecto, como son la contratacin, la orientacin, el entrenamiento, evaluacin,
asesora, promocin, compensacin y disciplina. La
administracin debe asegurar que el conocimiento y
las habilidades necesarias sean continuamente evaluadas y que la organizacin est en la capacidad de
obtener una fuerza de trabajo que tenga las habilidades para satisfacer los objetivos y metas de la organizacin
7.5 Entrenamiento Cruzado o Respaldo de personal

OBJETIVO DE CONTROL
La Gerencia deber proporcionar un suficiente entrenamiento cruzado o contar con personal de respaldo
para personal clave identificado, con la finalidad de
solucionar posibles ausencias. La Gerencia debe establecer planes de sucesin para todas las funciones
y posiciones claves El personal encargado de puestos sensitivos deber tomar vacaciones sin interrupciones y con una duracin suficiente como para probar la habilidad de la organizacin para manejar casos de ausencia y detectar actividades fraudulentas.
7.6 Procedimientos de Acreditacin de Personal
OBJETIVO DE CONTROL
La Gerencia de TI deber asegurar que su personal
se sujete a una revisin o acreditacin de seguridad
antes de ser contratado, transferido o promovido,
dependiendo de lo delicado o sensible del puesto.
Un empleado que no haya pasado por este procedimiento de revisin o acreditacin al ser contratado
por primera vez, no deber ser colocado en un puesto
delicado hasta que ste haya obtenido la acreditacin
de seguridad.
7.2 Personal Calificado

OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber verificar regularmente que el personal
que lleva a cabo tareas especficas est calificado
tomando como base una educacin, entrenamiento y/
o experiencia apropiados, segn se requiera. La Gerencia deber alentar al personal para que participe
como miembro, en organizaciones profesionales.
7.7 Evaluacin de Desempeo de los Empleados
7.3 Roles y Responsabilidades
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber implementar un proceso de evaluacin de desempeo de los empleados, reforzadas

con un efectivo sistema de recompensas que sea diseado para ayudar a los empleados a entender la
conexin entre su desempeo y el xito de la organizacin. La evaluacin debe ser realizada segn los
estndares establecidos y las responsabilidades especficas del puesto. Los empleados debern recibir
asesora sobre su desempeo o su conducta cuando
lo requiera.
La Gerencia debe definir claramente los roles y responsabilidades del personal, incluyendo los requisitos para adherirse a las polticas y procedimientos
establecidos por la gerencia, el cdigo de tica y las
prcticas profesionales. Los trminos y condiciones
de los cargos debe estrechar la responsabilidad de los
empleados por la seguridad de la informacin y el
control interno.
7.4 Entrenamiento de Personal
7.8
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los empleados reciban orientacin al ser contratados, as como entrenamiento y capacitacin constantes con la finalidad de
conservar los conocimientos, habilidades, destrezas y
Cambio y Terminacin de Trabajo

OBJETIVO DE CONTROL
La Gerencia debe asegurar que se tomen acciones
apropiadas y a tiempo en cuanto a cambios y terminacin de trabajo para que los controles internos y de
seguridad no se vean perjudicados por estos eventos.
49
PO8
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

aseguramiento del cumplimiento de requerimientos externos
Monitoreo

cumplir con obligaciones legales, regulatorias y contractuales
la identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, y realizando las medidas apropiadas para cumplir con ellos
leyes, regulaciones y contratos

monitoreo de desarrollos legales y regulatorios
Monitoreo regular sobre cumplimiento
seguridad y ergonoma
privacidad
propiedad intelectual
3 3
g
ap ente
l ic
a
te c i o n
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
50
8
ASEGURAMIENTO DE CUMPLIMIENTO
DE REQUERIMIENTOS EXTERNOS
8.1 Revisin de Requerimientos Externos

OBJETIVO DE CONTROL
La organizacin deber establecer y mantener
procedimientos para la revisin de requerimientos externos y para la coordinacin de estas actividades. La investigacin continua deber determinar los requerimientos externos aplicables en
la organizacin. Debern revisarse los requerimientos legales, gubernamentales o cualquier
otro requerimiento externo relacionado con las
prcticas y controles de tecnologa de informacin. La Gerencia deber tambin evaluar el impacto de cualquier relacin externa en las necesidades generales de informacin de la organizacin, incluyendo la determinacin del grado al
cual las estrategias de la funcin de servicios de
informacin deben soportar o cumplir con los
requerimientos de terceros.
8.5 Comercio Electrnico

OBJETIVO DE CONTROL
La Gerencia deber asegurar que se establezcan
contratos formales para que existan acuerdos entre socios comerciales sobre procesos de comunicacin, as como sobre estndares de mensajes
transaccionales, seguridad y almacenamiento de
datos. Cuando se realicen operaciones de intercambio en Internet, la gerencia deber imponer
adecuados controles para asegurar el cumplimiento de leyes locales y de clientes sobre bases
internacionales.
8.6 Cumplimiento con los Contratos de Seguros
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los requerimientos de contratos de seguros sean apropiadamente identificados y cumplidos continuamente.
8.2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos

OBJETIVO DE CONTROL
Las prcticas organizacionales debern asegurar
que se lleven a cabo oportunamente las acciones
correctivas apropiadas para garantizar el cumplimiento de los requerimientos externos. Adems,
debern establecerse y mantenerse procedimientos adecuados que aseguren el cumplimiento continuo. A este respecto la Gerencia deber solicitar apoyo legal en caso necesario.
8.3 Cumplimiento de Seguridad y Ergonoma
OBJETIVO DE CONTROL
La Gerencia deber asegurar el cumplimiento de
los estndares ergonmicos y de seguridad en el
ambiente de trabajo de los usuarios y el personal
de TI.
8.4 Privacidad, propiedad intelectual y Flujo de
Datos
OBJETIVO DE CONTROL
La Gerencia deber asegurar el cumplimiento de
las regulaciones sobre privacidad, propiedad intelectual, flujo de datos a entes externos y regulaciones criptografa aplicables a las prcticas de
tecnologa de informacin de la organizacin.
51
PO9
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

anlisis de riesgos
Monitoreo

Soportar las decisiones de la gerencia a travs del logro de los objetivos de TI y responder a las amenazas reduciendo su complejidad e
incrementando objetivamente e identificando factores importantes
de decisin.
la participacin de la propia organizacin en la identificacin
de riesgos de TI y en el anlisis de impacto, involucrando
funciones multidisciplinarias y tomando medidas costoefectivas para mitigar los riesgos
Administracin de riesgos de la propiedad y del

registro de las operaciones8
diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de seguridad, de continuidad, regulatorios, etc.)
3 3 3 3 3
Definir y comunicar un perfil tolerable de riesgos
Anlisis de las causas y sesiones de tormenta de
ideas sobre riesgos
Medicin cuantitativa y/o cualitativa de los riesgos
metodologa de anlisis de riesgos
Plan de accin contra los riesgos
8
Registro de las operaciones: Accountability
Volver a realiza anlisis oportunos
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
52
9
ANALISIS DE RIESGOS
9.1 Evaluacin de Riesgos del Negocio

OBJETIVO DE CONTROL
La Gerencia deber establecer un marco de referencia de evaluacin sistemtica de riesgos. Este
marco de referencia deber incorporar una evaluacin regular de los riesgos de informacin
relevantes para el logro de los objetivos del negocio, formando una base para determinar la manera en la que los riesgos deben ser manejados a
un nivel aceptable. El proceso deber proporcionar evaluaciones de riesgos tanto a un nivel global como a niveles especficos del sistema, para
nuevos proyectos y para casos recurrentes y con
participacin multidisciplinaria. La Administracin deber asegurar que se realicen reevaluaciones y que la informacin sobre evaluacin de
riesgos sea actualizada como resultado de auditoras, inspecciones e incidentes identificados.
9.2 Enfoque de Evaluacin de Riesgos
OBJETIVO DE CONTROL
La Gerencia deber establecer un enfoque general para la evaluacin de riesgos que defina el
alcance y los lmites, la metodologa a ser adoptada para las evaluaciones de riesgos, las responsabilidades y las habilidades requeridas. La Gerencia debe adelantar la identificacin de soluciones para la mitigacin de riesgos e involucrarse en la identificacin de vulnerabilidades. Especialistas de seguridad deben realizar identificacin de amenazas y especialistas de TI deben
dirigir la seleccin de controles. La calidad de las
evaluaciones de riesgos deber estar asegurada
por un mtodo estructurado y por asesores expertos en riesgos.
9.3
Identificacin de Riesgos
OBJETIVO DE CONTROL
sumos de las tormentas de ideas de la Gerencia,

de planeacin estratgica, auditoras anteriores y
otros anlisis. El anlisis de riesgos debe considerar el negocio, regulaciones, aspectos legales,
tecnologa, comercio entre socios y riesgos del
recurso humano.
9.4 Medicin de Riesgos
OBJETIVO DE CONTROL
El enfoque de la evaluacin de riesgos deber
asegurar que la informacin del anlisis de la
identificacin de riesgos genere como resultado
una medida cuantitativa y/o cualitativa del riesgo
al cual est expuesta el rea examinada. Asimismo, deber evaluarse la capacidad de aceptacin
de riesgos de la organizacin.
9.5 Plan de Accin contra Riesgos
OBJETIVO DE CONTROL
El enfoque de evaluacin de riesgos deber proporcionar la definicin de un plan de accin
contra riesgos para asegurar que el costo
efectividad de los controles y las medidas de seguridad mitiguen los riesgos en forma continua.
El plan de accin contra los riesgos debe identificar la estrategia de riesgos en trminos de evitar,
mitigar o aceptar el riesgo.
9.6 Aceptacin de Riesgos
OBJETIVO DE CONTROL
El enfoque de la evaluacin de riesgos deber
asegurar la aceptacin formal del riesgo residual,
dependiendo de la identificacin y la medicin
del riesgo, de la poltica organizacional, de la
incertidumbre incorporada al enfoque de evaluacin de riesgos y el costo-efectividad de la implementacin de protecciones y controles. El
riesgo residual deber compensarse con una cobertura de seguro adecuada, compromisos de negociacin contractual y autoaseguramiento.
La evaluacin de riesgos deber enfocarse al

examen de los elementos esenciales de riesgo y
las relaciones causa/efecto entre ellos. Los elementos esenciales de riesgo incluyen activos tangibles e intangibles, valor de los activos, amenazas, vulnerabilidades, protecciones, consecuencias y probabilidad de amenaza. El proceso de
identificacin de riesgos debe incluir una clasificacin cualitativa y, donde sea apropiado, clasificacin cuantitativa de riesgos y debe obtener inIT GOVERNANCE INSTITUTE
53
9.7 Seleccin de Garantas o Protecciones
OBJETIVO DE CONTROL
Mientras se logra un sistema de controles y garantas razonable, apropiado y proporcional, controles con el mas alto retorno de inversin (ROI return of investment) y aquellos que provean
ganancia rpida deben recibir la primera prioridad. El sistema de control necesita adems balancear las medidas de prevencin, deteccin,
correccin y recuperacin. Adicionalmente, la
Gerencia necesita comunicar el propsito de las
medidas de control, manejar el conflicto y monitorear continuamente la efectividad de las medidas de control.
9.8 Compromiso con el Anlisis de Riesgos
OBJETIVO DE CONTROL
La Gerencia deber motivar el anlisis de riesgos
como una herramienta importante para proveer
informacin para el diseo e implementacin de
controles internos, en la definicin del plan estratgico de tecnologa de informacin y en los mecanismos de evaluacin y monitoreo.
54
PO10
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

administracin de proyectos
Monitoreo

establecer prioridades y entregar servicios oportunamente y de
acuerdo al presupuesto de inversin
La organizacin identificando y priorizando proyectos en lnea con el plan operacional y la adopcin y aplicacin de tcnicas de administracin de proyectos para cada proyecto emprendido
El patrocinio que la gerencia de negocios debe dar a

los proyectos
Administracin de programas
Capacidad para el manejo de proyectos
Involucramiento del usuario
Divisin de tareas, definicin de puntos de control y
aprobacin de fases
Distribucin de responsabilidades
Rastreo riguroso de puntos de control y entregables
Costos y presupuestos de mano de obra, balance de
recursos internos y externos
Planes y mtodos de aseguramiento de calidad
Programa y anlisis de riesgos del proyecto
Transicin de desarrollo a operacin
3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
55
10 ADMINISTRACIN DE PROYECTOS
10.1 Marco de Referencia para la Administracin
de Proyectos
OBJETIVO DE CONTROL
La Gerencia deber establecer un marco de referencia general para la administracin de proyectos que defina el alcance y los lmites del mismo,
as como la metodologa de administracin de
proyectos a ser adoptada y aplicada para cada
proyecto emprendido. La metodologa deber
cubrir, como mnimo, la asignacin de responsabilidades, la determinacin de tareas, la elaboracin de presupuestos de tiempo y recursos, los
avances, los puntos de revisin y las aprobaciones.
10.2 Participacin del Departamento Usuario en la
Iniciacin de Proyectos
OBJETIVO DE CONTROL
El marco de referencia de la administracin de
proyectos de la organizacin deber fomentar la
participacin del departamento usuario afectado
en la definicin y autorizacin de cualquier proyecto de desarrollo, implementacin o modificacin.
10.3 Miembros y Responsabilidades del Equipo del
Proyecto
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber especificar las
bases para asignar a los miembros del personal al
proyecto y definir las responsabilidades y autoridades de los miembros del equipo del proyecto.
10.4 Definicin del Proyecto
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber generar la creacin de un estatuto claro y por escrito que defina
la naturaleza y el alcance de cada proyecto de
implementacin antes de que los trabajos del
mismo empiecen.
10.5 Aprobacin del Proyecto
alta gerencia de la organizacin revise los reportes de los estudios de factibilidad relevantes para
cada proyecto propuesto, como una base para
fundamentar la decisin de proceder con el proyecto.
10.6 Aprobacin de las Fases del Proyecto
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber disponer que
los Gerentes designados en representacin de las
funciones del usuario y de los servicios de TI
aprueben el trabajo realizado en cada fase del
ciclo antes de iniciar los trabajos de la siguiente
fase.
10.7 Plan Maestro del Proyecto
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, para cada
proyecto aprobado, se cree un plan maestro
adecuado para mantener el control del proyecto
a travs de todo su desarrollo e incluya un mtodo de monitoreo del tiempo y los costos incurridos durante su vida. El contenido del plan del
proyecto debe contener objetivos, recursos y
responsabilidades requeridos y debe proveer
informacin que permita a la Gerencia medir el
progreso del proyecto.
10.8 Plan de Aseguramiento de la Calidad del Sistema
OBJETIVO DE CONTROL
La Gerencia deber asegurar que la implementacin de un sistema nuevo o la modificacin de
otro incluya la preparacin de un plan de calidad
que sea integrado posteriormente al plan maestro
del proyecto y que sea formalmente revisado y
acordado por todas las partes interesadas.
10.9 Planeacin de Mtodos de Aseguramiento
OBJETIVO DE CONTROL
Las tareas de aseguramiento debern ser definidas durante la fase de planeacin del marco de
referencia de administracin de proyectos. Las
tareas de aseguramiento debern apoyar la acre-
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber asegurar que la
56
ditacin de sistemas nuevos o modificados y garantizar que los controles internos y los dispositivos de seguridad cumplan con los requerimientos necesarios.
10.10 Administracin Formal de Riesgos de Proyectos
OBJETIVO DE CONTROL
La Gerencia deber implementar un programa de
administracin formal de riesgos de proyectos
para eliminar o minimizar los riesgos asociados
con proyectos individuales (por ejemplo, identificacin y control de reas o eventos que tengan
la posibilidad de causar cambios no deseados).
10.11 Plan de Prueba
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber requerir la creacin de un plan de pruebas para cada proyecto de
desarrollo, implementacin y modificacin.
10.12 Plan de Entrenamiento
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber requerir la creacin de un plan de entrenamiento para cada proyecto de desarrollo, implementacin y modificacin.
10.13 Plan de Revisin Post - Implementacin
OBJETIVO DE CONTROL
El marco de referencia de administracin de proyectos de la organizacin deber disponer que,
como parte integral de las actividades del equipo
del proyecto, se desarrolle un plan de revisin
post - implementacin para cada sistema de informacin nuevo o modificado, con la finalidad
de determinar si el proyecto ha generado los beneficios planeados.
57
PO11
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

Administracin de la calidad
Monitoreo

satisfacer los requerimientos del cliente de TI
la planeacin, implementacin y mantenimiento de estndares
de administracin de calidad y sistemas provistos para las distintas fases de desarrollo, claros entregables y responsabilidades explcitas
Establecimiento de una cultura de calidad

Planes de calidad
responsabilidades de aseguramiento de la calidad
Practicas de control de calidad
metodologa del ciclo de vida de desarrollo de sistemas
pruebas y documentacin de sistemas y programas
revisiones y reporte de aseguramiento de calidad
Entrenamiento e involucramiento del usuario final y
del personal de aseguramiento de calidad
Desarrollo de una base de conocimiento de aseguramiento de calidad
Benchmarking contra las normas de la industria
3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
58
11 ADMINISTRACIN DE LA CALIDAD
11.1 Plan General de Calidad
OBJETIVO DE CONTROL
La alta gerencia deber desarrollar y mantener
regularmente un plan general de calidad basado
en los planes organizacionales y de tecnologa de
informacin a largo plazo. El plan deber promover la filosofa de mejora continua y contestar
a las preguntas bsicas de qu, quin y cmo.
11.2 Enfoque de Aseguramiento de Calidad
OBJETIVO DE CONTROL
La Gerencia deber establecer un enfoque estndar con respecto al aseguramiento de calidad,
que cubra tanto las actividades de aseguramiento
de calidad generales como las especficas de un
proyecto. El enfoque deber determinar el (los)
tipo(s) de actividades de aseguramiento de calidad (tales como revisiones, auditoras, inspecciones, etc.) que deben realizarse para alcanzar los
objetivos del plan general de calidad. Asimismo
deber requerir una revisin especfica de aseguramiento de calidad.
11.3 Planeacin del Aseguramiento de Calidad
OBJETIVO DE CONTROL
proceso de desarrollo, adquisicin, implementacin y mantenimiento de sistemas de informacin computarizados y tecnologas relacionadas.
La metodologa del ciclo de vida de desarrollo de
sistemas elegida deber ser la apropiada para los
sistemas a ser desarrollados, adquiridos, implementados y mantenidos.
11.6 Metodologa del Ciclo de Vida de Desarrollo
de Sistemas para Cambios Mayores a la Tecnologa Actual
OBJETIVO DE CONTROL
En el caso de requerirse cambios mayores a la
tecnologa actual, como en el caso de adquisicin
de nueva tecnologa, la Gerencia deber asegurar
el cumplimiento de la metodologa del ciclo de
vida de desarrollo de sistemas, .
11.7 Actualizacin de la Metodologa del Ciclo de
Vida de Desarrollo de Sistemas
OBJETIVO DE CONTROL
La alta gerencia deber implementar una revisin
peridica de su metodologa del ciclo de vida de
desarrollo de sistemas para asegurar que incluya
tcnicas y procedimientos actuales generalmente
aceptados.
11.8 Coordinacin y Comunicacin
La Gerencia deber implementar un proceso de

planeacin de aseguramiento de calidad para determinar el alcance y la duracin de las actividades de aseguramiento de calidad.
11.4 Revisin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares y Procedimientos de TI
OBJETIVO DE CONTROL
La Gerencia deber asegurar que las responsabilidades asignadas al personal de aseguramiento de
calidad incluyan una revisin del cumplimiento
general de los estndares y procedimientos de TI.
11.5 Metodologa del Ciclo de Vida de Desarrollo
de Sistemas
OBJETIVO DE CONTROL
La alta gerencia de la organizacin deber definir
e implementar estndares de sistemas de informacin y adoptar una metodologa del ciclo de
vida de desarrollo de sistemas que gobierne el
OBJETIVO DE CONTROL
La Gerencia deber establecer un proceso para
asegurar la coordinacin y comunicacin estrecha entre los clientes de la funcin TI y los implementadores de sistemas. Este proceso deber
ocasionar que los mtodos estructurados que utilice la metodologa del ciclo de vida de desarrollo de sistemas aseguren la provisin de soluciones de tecnologa de informacin de calidad que
satisfagan las demandas de negocio. La Gerencia deber promover una organizacin que se
caracterice por la estrecha cooperacin y comunicacin a lo largo del ciclo de vida de desarrollo
de sistemas.
11.9 Marco de Referencia de Adquisicin y Mantenimiento para la Infraestructura de
Tecnologa
OBJETIVO DE CONTROL
Deber establecerse un marco de referencia general referente a la adquisicin y mantenimiento
59
de la infraestructura de tecnologa. Los diferentes pasos que deben ser seguidos con respecto a
la infraestructura de tecnologa (tales como adquisicin; programacin, documentacin y
pruebas; establecimiento de parmetros; mantenimiento y aplicacin de correcciones) debern
estar regidos por y mantenerse en lnea con el
marco de referencia para la adquisicin y mantenimiento de la infraestructura de tecnologa.
11.10 Relaciones con Terceras Partes como Implementadores
OBJETIVO DE CONTROL
La Gerencia deber crear un proceso para asegurar las buenas relaciones de trabajo con los
implementadores externos que pertenezcan a
terceras partes. Dicho proceso deber disponer
que el usuario y el implementador estn de
acuerdo sobre los criterios de aceptacin, el manejo de cambios, los problemas durante el desarrollo, las funciones de los usuarios, las instalaciones, las herramientas, el software, los estndares y los procedimientos.
11.13 Estndares para Pruebas de Sistemas

OBJETIVO DE CONTROL
La metodologa del ciclo de vida de desarrollo
de sistemas de la organizacin debe proporcionar estndares que cubran los requerimientos de
pruebas, verificacin, documentacin y retencin para la prueba total del sistema, como parte
de cada proyecto de desarrollo o modificacin
de sistemas de informacin.
11.14 Pruebas Piloto/En Paralelo
OBJETIVO DE CONTROL
de sistemas de la organizacin debe definir las
condiciones bajo las cuales debern conducirse
las pruebas piloto o en paralelo de sistemas nuevos y/o actuales.
11.15 Documentacin de las Pruebas del Sistema
OBJETIVO DE CONTROL
de sistemas de la organizacin debe disponer,
como parte de cualquier proyecto de desarrollo,
implementacin o modificacin de sistemas de
informacin, que se conserve la documentacin
de los resultados de las pruebas del sistema.
11.11 Estndares para la Documentacin de Programas

OBJETIVO DE CONTROL
de sistemas deber incorporar estndares para la
documentacin de programas que hayan sido
comunicados y ratificados al personal interesado. La metodologa deber asegurar que la documentacin creada durante el desarrollo del
sistema de informacin o durante la modificacin de los proyectos coincida con estos estndares.
11.16 Evaluacin del Aseguramiento de la Calidad

sobre el Cumplimiento de Estndares de Desarrollo
OBJETIVO DE CONTROL
El enfoque de aseguramiento de calidad de la
organizacin deber requerir que una revisin
post - implementacin de un sistema de informacin operacional evale si el equipo encargado del proyecto, cumpli con las estipulaciones
de la metodologa del ciclo de vida de desarrollo de sistemas.
11.12 Estndares para Pruebas de Programas

OBJETIVO DE CONTROL
de sistemas de la organizacin debe proporcionar estndares que cubran los requerimientos de
pruebas, verificacin, documentacin y retencin para probar las unidades de software y los
programas agregados9, creados como parte de
cada proyecto de desarrollo o modificacin de
sistemas de informacin.
Agregados (aggregated)
60
11.17 Revisin del Aseguramiento de Calidad sobre
el Logro de los Objetivos de TI
OBJETIVO DE CONTROL
El enfoque de aseguramiento de calidad deber
incluir una revisin de hasta qu punto los sistemas particulares y las actividades de desarrollo de aplicaciones han alcanzado los objetivos
de la funcin de servicios de informacin.
11.18 Mtricas de calidad
OBJETIVO DE CONTROL
La gerencia deber definir y utilizar mtricas
para medir los resultados de actividades, evaluando si las metas de calidad han sido alcanzadas.
11.19 Reportes de Revisiones de Aseguramiento de
Calidad
OBJETIVO DE CONTROL
Los reportes de revisiones de aseguramiento de
calidad debern ser preparados y enviados a la
Gerencia de los departamentos usuarios y de la
funcin de servicios de informacin (TI).
61
(AI)
ADQUISICION E IMPLEMENTACIN
62
ADQUISICION E IMPLEMENTACION
AI1
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

Identificacin de soluciones automatizadas
Monitoreo

asegurar un efectivo y eficiente enfoque para satisfacer los requerimientos del usuario
Una objetiva y clara identificacin y anlisis de oportunidades
alternativas comparadas contra los requerimientos de los
usuarios
Conocimientos de soluciones disponibles en el mercado

Metodologas de Adquisicin e implementacin
Involucramiento del usuario en el proceso de compra
Alineamiento con las estrategias de la empresa y de
TI
definicin de requerimientos de informacin
estudios de factibilidad ( de costo-beneficio, alternativas, etc)
Requerimientos de funcionalidad, operatividad,
aceptacin y sostenimiento
Cumplimiento con la arquitectura de informacin
Costo - efectividad de la seguridad y los controles
Responsabilidades de los proveedores
3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
63
1
IDENTIFICACIN
DE
no.
SOLUCIONES AU-
TOMATIZADAS
1.5 Estudio de Factibilidad Tecnolgica
1.1 Definicin de Requerimientos de Informacin
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
sistemas de la organizacin debe asegurar que
los requerimientos del negocio ya satisfechos por
el sistema actual y a ser satisfechos por el sistema nuevo propuesto o modificado (software, datos e infraestructura), estn claramente definidos
antes de aprobar cualquier proyecto de desarrollo, implementacin o modificacin. La metodologa del ciclo de vida de desarrollo de sistemas
deber exigir que los requerimientos de las soluciones funcionales y operacionales sean especificados, incluyendo desempeo, proteccin, confiabilidad, compatibilidad, seguridad y legislacin.

sistemas de la organizacin debe estipular un
examen de factibilidad tecnolgica de cada alternativa con la finalidad de satisfacer los requerimientos de negocio establecidos para el desarrollo de un proyecto propuesto de cualquier sistema nuevo o modificado.
1.6 Estudio de Factibilidad Econmica
OBJETIVO DE CONTROL
sistemas de la organizacin debe generar, en cada proyecto de desarrollo, implementacin y modificacin de sistemas de informacin propuesto,
el anlisis de los costos y beneficios asociados
con cada alternativa considerada para satisfacer
los requerimientos del negocio establecidos.
1.2 Formulacin de Acciones Alternativas

OBJETIVO DE CONTROL
sistemas de la organizacin debe proveer el anlisis de las acciones alternativas que debern satisfacer los requerimientos del negocio, establecidos para un sistema nuevo o modificado.
1.7
Arquitectura de Informacin
OBJETIVO DE CONTROL
La Gerencia deber asegurar que se tome en consideracin el modelo de datos de la empresa al
definir las soluciones y analizar la factibilidad de
las mismas.
1.3 Formulacin de Estrategias de Adquisicin
1.8 Reporte de Anlisis de Riesgos
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La adquisicin, desarrollo y mantenimiento de

sistemas de informacin debe ser considerada en
el contexto de la tecnologa de informacin de la
organizacin y en sus planes a largo y corto plazo. La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe estipular
un plan de estrategia de adquisicin del software,
definiendo si el software ser adquirido del anaquel10, desarrollados internamente, a travs de
contratacin, por mejoramiento del software existente o mediante una combinacin de estos.

sistemas de la organizacin debe asegurar, en
cada proyecto de desarrollo, implementacin y
modificacin de sistemas de informacin propuesto, el anlisis y la documentacin de las
amenazas a la seguridad, puntos de impacto y
debilidad y protecciones factibles de seguridad y
control interno, con la finalidad de reducir o eliminar el riesgo identificado. Esto deber llevarse a cabo en lnea con el marco de referencia general de evaluacin de riesgos.
1.4 Requerimientos de Servicios de Terceros

OBJETIVO DE CONTROL
sistemas de la organizacin debe estipular la evaluacin de requerimientos y las especificaciones
para una RFP (Solicitud de Propuesta)11 cuando
se negocie con un proveedor de servicios exterIT GOVERNANCE INSTITUTE
10
Del anaquel (off-the-shelf): se dice de productos de software terminados que pueden adquirirse directamente de un
proveedor o distribuidor.
11
Solicitud de propuesta (request for proposal, RFP): invitacin que se extiende a proveedores para que presenten
una propuesta.Trminos de referencia
64
1.9 Costo - efectivo de los controles de Seguridad
1.13 Control de Abastecimiento
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los costos y

beneficios de seguridad sean examinados cuidadosamente en trminos monetarios y no monetarios, para garantizar que los costos de los controles no excedan a los beneficios. La decisin requerir la firma de aprobacin formal de la Gerencia. Todos los requerimientos de seguridad
debern ser identificados en la fase de requerimientos de un proyecto y justificados, acordados
y documentados como parte del caso total del
negocio para un sistema de informacin. Los requerimientos de seguridad para la administracin
de la continuidad del negocio deben ser definidos
para asegurar que la activacin planeada, la recuperacin y la reactivacin de procesos son soportadas por la solucin propuesta.
La Gerencia deber desarrollar e implementar un

enfoque central de abastecimientos que describa un
conjunto comn de procedimientos y estndares a
ser seguidos en la adquisicin de hardware, software
y servicios relacionados con la tecnologa de informacin. Los productos debern ser revisados y probados antes de su utilizacin y pago.
1.10 Diseo de Pistas de Auditora
1.14 Adquisicin de Productos de Software

OBJETIVO DE CONTROL
La adquisicin de productos de software deber
seguir las polticas de adquisicin de la organizacin.
1.15 Mantenimiento de Software de Terceras Partes
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, para el software con licencia adquirido a terceras partes, los
proveedores cuenten con los procedimientos
apropiados para validar, proteger y mantener los
derechos de integridad de los productos de software. Deber tomarse en consideracin el soporte del producto en cualquier acuerdo de mantenimiento relacionado con el producto entregado.
OBJETIVO DE CONTROL
existan mecanismos adecuados para que las pistas de auditora estn disponibles o que dichos
mecanismos puedan ser desarrollados para la
solucin identificada y seleccionada. Los mecanismos debern proporcionar la capacidad de
proteger datos sensitivos (ej. identificacin de
usuarios -user IDs- contra divulgacin o mal
uso)
1.16 Contratos de Programacin de Aplicaciones

OBJETIVO DE CONTROL
los servicios de programacin contratados estn
justificados con una solicitud de servicios por
escrito elaborada por un miembro designado de
la funcin de servicios de informacin. El contrato deber estipular que el software, la documentacin y otros elementos entregables12 estn
sujetos a pruebas y revisiones antes de ser aceptados. Adems, deber asegurar que los productos finales incluidos en el contrato de servicios
de programacin sean revisados y probados de
acuerdo con los estndares definidos por el grupo
de aseguramiento de calidad de la funcin de
servicios de informacin y otras partes interesa-
1.11 Ergonoma
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los proyectos
de desarrollo, implementacin y cambios emprendidos por la funcin de TI, tomen en consideracin los aspectos ergonmicos asociados con
la introduccin de soluciones automatizadas.
1.12 Seleccin del Software del Sistema
OBJETIVO DE CONTROL
La Gerencia deber asegurar que la funcin de
servicios de informacin cumpla con un procedimiento estndar para identificar todos los programas de software potenciales que debern satisfacer sus requerimientos operacionales.
12
Entregable (deliverable): un producto formal que es entregado como parte final de un proceso o trabajo.
65
das (como usuarios, administradores de proyecto,
etc.) antes de pagar por el trabajo y aprobar el
producto final. Las pruebas que debern ser incluidas en las especificaciones del contrato debern consistir en pruebas del sistema, pruebas de
integracin, pruebas de hardware y componentes,
pruebas de procedimientos, pruebas de carga y
estrs, pruebas de afinacin y desempeo, pruebas de regresin, pruebas de aceptacin del usuario y, finalmente, pruebas piloto del sistema total, con la finalidad de evitar fallas no esperadas
del mismo.
1.17 Aceptacin de Instalaciones
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, dentro del contrato con el proveedor, se acuerde un plan de
aceptacin para las instalaciones que se proporcionarn, el cual defina los procedimientos y criterios de aceptacin. Adems, debern llevarse a
cabo pruebas de aceptacin para garantizar que
la instalacin y el medio ambiente cumplan con
los requerimientos especificados en el contrato.
1.18 Aceptacin de Tecnologa
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, dentro del contrato con el proveedor, se acuerde un plan de
aceptacin para la tecnologa especfica a ser
proporcionada, el cual defina los procedimientos
y criterios de aceptacin. Adems, las pruebas
de aceptacin establecidas en el plan, debern
incluir inspeccin, pruebas de funcionalidad y
seguimiento de cargas de trabajo.
66
AI2
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

adquisicin y mantenimiento del software de aplicacin
Monitoreo

proporcionar funciones automatizadas que soporten efectivamente los procesos del negocio
la definicin de declaraciones especficas sobre requerimientos funcionales y operacionales y una implementacin estructurada con entregables claros
pruebas funcionales y de aceptacin

controles de aplicacin y requerimientos
de seguridad
Requerimientos de documentacin
Ciclo de vida del software de aplicacin
Arquitectura en la informacin empresarial
Metodologa para el ciclo de vida de desarrollo del sistema
Interfase usuario-maquina
Personalizacin de paquetes
3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
67
2
ADQUISICIN Y MANTENIMIENTO DEL

SOFTWARE DE APLICACIN
2.5
OBJETIVO DE CONTROL
2.1 Mtodos de Diseo

sistemas de la organizacin debe requerir la preparacin de especificaciones detalladas por escrito, de los programas para cada proyecto de desarrollo o modificacin de sistemas de informacin. Adems, la metodologa deber garantizar
que las especificaciones de los programas correspondan a las especificaciones del diseo del sistema.
OBJETIVO DE CONTROL
sistemas de la organizacin debe estipular que se
apliquen tcnicas y procedimientos apropiados,
incluyendo una estrecha relacin con los usuarios del sistema, en la creacin de las especificaciones de diseo para cada nuevo proyecto de
desarrollo de sistemas de informacin, verificando las especificaciones del diseo contra los requerimientos del usuario.
2.6 Diseo para la Recopilacin13 de Datos Fuente

OBJETIVO DE CONTROL
2.2 Cambios Significativos a Sistemas Actuales

sistemas de la organizacin debe requerir la especificacin de mecanismos adecuados, para la
recopilacin y entrada de datos para cada proyecto de desarrollo o modificacin de sistemas de
informacin.
OBJETIVO DE CONTROL
La Gerencia deber asegurar que, en caso de presentarse la necesidad de realizar modificaciones
significativas a los sistemas actuales, se siga un
proceso de desarrollo similar al utilizado en el
desarrollo de sistemas nuevos.
2.3
Aprobacin del Diseo
Especificaciones de Programas
2.7 Definicin y Documentacin de Requerimientos de Entrada de Datos

OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
sistemas de la organizacin requerir que las especificaciones de diseo para todos los proyectos
de desarrollo y modificacin de sistemas de informacin, sean revisados y aprobados por la
Gerencia, por los departamentos usuarios afectados y por la alta gerencia de la organizacin,
cuando esto sea pertinente.

sistemas de la organizacin debe requerir que
existan mecanismos adecuados para definir y
documentar los requerimientos de entrada de datos para cada proyecto de desarrollo o modificacin de sistemas de informacin.
2.8 Definicin de Interfases
OBJETIVO DE CONTROL
2.4 Definicin y Documentacin de Requerimientos de Archivos

sistemas de la organizacin debe estipular que se
especifiquen, diseen y documenten apropiadamente todas las interfases internas y externas.
OBJETIVO DE CONTROL
sistemas de la organizacin debe asegurar la aplicacin de un procedimiento apropiado para la
definicin y documentacin del formato de los
archivos para cada proyecto de desarrollo y modificacin de sistemas de informacin. Este procedimiento deber garantizar el respeto a las reglas de diccionario de datos.
13
Recopilacin (collection): recabar o reunir informacin.
68
2.13 Disponibilidad como Factor Clave de Diseo
2.9 Interfase Usuario-Mquina

OBJETIVO DE CONTROL
OBJETIVO DE CONTROL

sistemas de la organizacin debe asegurar el desarrollo de una interfase entre el usuario y la mquina fcil
de utilizar y que sea capaz de autodocumentarse (por
medio de funciones de ayuda en lnea).

sistemas de la organizacin debe asegurar que la disponibilidad sea considerada en el proceso de diseo
de nuevos o modificados sistemas de informacin en
la fase ms temprana posible. La disponibilidad debe ser analizada y, en caso necesario, incrementada a
travs de mejoras de mantenimiento y confiabilidad.
2.10 Definicin y Documentacin de Requerimientos de Procesamiento
2.14 Consideraciones de Integridad de TI para el

Software de Programas de Aplicacin
OBJETIVO DE CONTROL
documentar los requerimientos de procesamiento
para cada proyecto de desarrollo o modificacin
de sistemas de informacin.
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para asegurar, cuando esto aplique, que los
programas de aplicacin contengan instrucciones
que verifiquen rutinariamente las tareas realizadas por el software, para apoyar el aseguramiento de la integridad de los datos y el cual haga posible la restauracin de la integridad a travs de
procedimientos de recuperacin en reversa14 u
otros medios.
2.11 Definicin y Documentacin de Requerimientos de Salida de Datos

OBJETIVO DE CONTROL
documentar los requerimientos de salida de datos
para cada proyecto de desarrollo o modificacin
de sistemas de informacin
2.15 Pruebas de Software de Aplicacin

OBJETIVO DE CONTROL
Debern aplicarse pruebas unitarias, pruebas de
aplicacin, pruebas de integracin y pruebas de
carga y estrs, de acuerdo con el plan de prueba
del proyecto y con los estndares de pruebas establecidos antes de ser aprobado por el usuario.
Se debern aplicar adecuadas medidas de seguridad para prevenir divulgacin de informacin
sensitiva durante las pruebas.
2.12 Controlabilidad
OBJETIVO DE CONTROL
sistemas de la organizacin debe requerir que se especifiquen mecanismos adecuados, para garantizar
que se identifiquen los requerimientos de seguridad y
control internos para cada proyecto de desarrollo o
modificacin de sistemas de informacin. La metodologa deber asegurar adems que los sistemas de
informacin estn diseados para incluir controles de
aplicacin que garanticen que los datos de entrada y
salida estn completos, sean precisos, oportunos y
autorizados. Deber llevarse a cabo una evaluacin
de sensibilidad durante el inicio del desarrollo o modificacin del sistema. Los aspectos bsicos de seguridad y control interno de un sistema a ser desarrollado o modificado debern ser evaluados junto con el
diseo conceptual del mismo, con el fin de integrar
los conceptos de seguridad en el diseo, tan pronto
como sea posible.
2.16 Materiales de Consulta y Soporte para Usuarios

OBJETIVO DE CONTROL
sistemas de la organizacin debe asegurar que se
preparen manuales de referencia y soporte adecuados
para los usuarios (preferiblemente en formato electrnico) como parte de cada proyecto de desarrollo o
modificacin de sistemas de informacin
14
En reversa (rollback): estrategia de recuperacin de bases

de datos que se utiliza para restaurar un estado previo de
los datos
69
2.17 Reevaluacin del Diseo del Sistema
OBJETIVO DE CONTROL
sistemas de la organizacin debe asegurar que el
diseo del sistema sea reevaluado siempre que
ocurran discrepancias tcnicas y/o lgicas durante el desarrollo o mantenimiento del sistema.
70
AI3
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

adquisicin y mantenimiento de la infraestructura tecnolgica
Monitoreo

proporcionar las plataformas apropiadas para soportar las aplicaciones de negocios
la juiciosa adquisicin de hardware y software, estandarizacin del software, anlisis del rendimiento del
hardware y de software y la administracin consistente
del sistema
Cumplimiento con las direcciones y estndares de la infraestructura tecnolgica

evaluacin de tecnologa
Instalacin, mantenimiento y control de
cambios
Actualizacin, conversin y planes de migracin
Uso de infraestructuras y/o recursos internos y externos
Responsabilidades y relaciones del proveedor
Administracin de cambios
Costo total de propiedad
Seguridad del software del sistema
3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
71
3
ADQUISICIN Y MANTENIMIENTO DE
INFRAESTRUCTURA TECNOLOGICA
3.1 Evaluacin de Nuevo Hardware y Software

OBJETIVO DE CONTROL
Criterios de seleccin de hardware y software
debern basarse en especificaciones funcionales
para el nuevo sistema o para el que se va a modificar y se deben identificar los requerimientos
mandatorios y opcionales. Debern establecerse
procedimientos para evaluar el impacto de nuevo
hardware y software sobre el rendimiento del
sistema en general.
3.2 Mantenimiento Preventivo para Hardware
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber agendar o programar el mantenimiento rutinario y peridico del hardware con el
fin de reducir la frecuencia y el impacto de fallas
de rendimiento.
3.3 Seguridad del Software del Sistema
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que la instalacin del
software del sistema no arriesgue la seguridad de
los datos y programas ya almacenados en el mismo. Deber prestarse gran atencin a la instalacin y mantenimiento de los parmetros del software del sistema.
3.4
3.5 Mantenimiento del Software del Sistema

OBJETIVO DE CONTROL
Debern implementarse procedimientos para asegurar que el software del sistema sea mantenido
de acuerdo al marco de referencia de adquisicin
y mantenimiento para infraestructura de tecnologa.
3.6 Controles para Cambios del Software del Sistema
OBJETIVO DE CONTROL
Debern implementarse procedimientos para asegurar que las modificaciones realizadas al software del sistema sean controladas de acuerdo
con los procedimientos de administracin de
cambios de la organizacin.
3.7 Uso y monitoreo de los utilitarios (utilities) del
sistema
OBJETIVO DE CONTROL
Polticas y tcnicas deben ser implementadas para usar, monitorear y evaluar el uso de los utilitarios del sistema. Las responsabilidades por el uso
de utilitarios de software sensitivo deben estar
claramente definidas y entendidas por los
desarrolladores y el uso de los utilitarios debe
ser monitoreado y registrado.
Instalacin del Software del Sistema

OBJETIVO DE CONTROL
Debern implementarse procedimientos para asegurar que el software del sistema sea instalado de
acuerdo al marco de referencia de adquisicin y
mantenimiento de infraestructura de tecnologa.
Las pruebas debern ser llevadas a cabo antes de
autorizarse su utilizacin en ambiente de produccin. Un grupo independiente de usuarios y
desarrolladores debe controlar el traslado de programas y datos entre las libreras.
72
AI4
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

Desarrollo y mantenimiento de Procedimientos
Monitoreo

asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas
un enfoque estructurado del desarrollo de manuales de
procedimientos para las operaciones y para los usuarios, requerimientos de servicio y material de entrenamiento
Rediseo de los procesos de negocios

Tratamiento de procedimientos como cualquier otra tecnologa disponible
Desarrollo a tiempo
procedimientos y controles de usuarios
procedimientos y controles operacionales
materiales de entrenamiento
Administracin de cambios
3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
73
4
DESARROLLO Y MANTENIMIENTO DE
PROCEDIMIENTOS
4.1 Requerimientos Operacionales y Niveles de

Servicios
OBJETIVO DE CONTROL
sistemas de la organizacin debe asegurar la definicin oportuna de requerimientos operacionales y niveles de servicio.
4.2 Manual de Procedimientos para Usuario
OBJETIVO DE CONTROL
preparen y actualicen manuales adecuados de
procedimientos para los usuarios como parte de
cada proyecto de desarrollo o modificacin de
sistemas de informacin.
4.3 Manual de Operaciones
OBJETIVO DE CONTROL
prepare y se mantenga actualizado un manual de
operaciones adecuado como parte de cada proyecto de desarrollo o modificacin de sistemas
de informacin.
4.4 Material de Entrenamiento
OBJETIVO DE CONTROL
desarrollen materiales de entrenamiento adecuados como parte de cualquier proyecto de desarrollo, implementacin o modificacin de sistemas
de informacin. Estos materiales debern enfocarse al uso del sistema en la prctica diaria.
74
AI5
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

instalacin y acreditacin de sistemas
Monitoreo

verificar y confirmar que la solucin sea adecuada para el propsito deseado
la realizacin de una migracin de instalacin, conversin y plan de aceptacin adecuadamente formalizados
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
Entrenamiento del usuario y personal de
operaciones de TI
Conversin de datos
Una prueba ambiental reflejando al ambiente real
Acreditacin
revisiones post implementacin y retroalimentacin
Participacin del usuario final en las pruebas
Planes continuos de mejoramiento de calidad
Requerimientos de continuidad del negocio
Medicin de capacidad y desempeo a travs del sistema
Acuerdos y criterios de aceptacin
75
5
INSTALACIN Y ACREDITACIN DE SIS-
5.5 Conversin de Datos
TEMAS
OBJETIVO DE CONTROL
5.1 Entrenamiento
La Gerencia debe requerir que el plan de conversin de datos este preparado, definiendo los mtodos de recoleccin y verificacin de los datos
que sern convertidos e identificando y resolviendo cualquier error encontrado durante la
conversin. Las pruebas a ser desarrolladas incluyen la comparacin, del archivo original, y el
convertido, revisin de la compatibilidad de los
datos transformados con el nuevo sistema, revisin de los archivos maestros despus de la conversin para asegurar la precisin de los datos de
los archivo maestros y as asegurar que las transacciones realizadas actualicen tanto a los archivos maestros antiguos como los nuevos durante
el periodo entre la conversin inicial y la implementacin final. Una verificacin detallada de
los procesos iniciales del nuevo sistema deben
ser desarrollados para confirmar una implementacin exitosa. La gerencia debe asegurar que la
responsabilidad de la transformacin exitosa de
datos recaiga sobre los propietarios del sistema.
OBJETIVO DE CONTROL
El personal de los departamentos usuarios afectados y el grupo de operaciones de la funcin de
servicios de informacin debern estar entrenados de acuerdo al plan de entrenamiento definido
y los materiales relacionados, como parte de
cualquier proyecto de desarrollo, implementacin o modificacin de sistemas de informacin.
5.2 Dimensionamiento15 del Desempeo del Software de Aplicacin
OBJETIVO DE CONTROL
El dimensionamiento (optimizacin) del desempeo del software de aplicacin deber establecerse como una parte integral de la metodologa
del ciclo de vida de desarrollo de sistemas de la
organizacin para predecir los recursos requeridos para operar software nuevo o significativamente modificado.
5.6 Planes y estrategias de prueba
5.3 Plan de implementacin
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Un plan de implementacin debe ser preparado,
revisado y aprobado por partes relevantes y debe
ser usado para medir el progreso. El plan de implementacin debe estar direccionado hacia la
preparacin del sitio, adquisicin e instalacin de
equipos, entrenamiento del usuario, instalacin
de cambios al software operativo, implementacin de procedimientos operativos y conversin..
5.4
Los planes y las estrategias de prueba deben estar preparadas y autorizadas por el propietario
del sistema y por la gerencia de TI.
5.7
Pruebas a Cambios
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los cambios
sean probados por un grupo de prueba independiente (distinto al de los desarrolladores) de
acuerdo con la evaluacin de impacto y recursos
en un ambiente de prueba separado antes de comenzar su uso en el ambiente de operacin regular. Tambin debern desarrollarse planes de respaldo externo16. Las pruebas de aceptacin debern llevarse a cabo en un ambiente representativo
del ambiente operacional futuro (por ejemplo,
condiciones similares de seguridad, controles
internos, cargas de trabajo, etc.)
Conversin del Sistema

OBJETIVO DE CONTROL
sistemas de la organizacin debe asegurar, como
parte de cada proyecto de desarrollo, implementacin o modificacin de sistemas de informacin, que los elementos necesarios del sistema
anterior sean convertidos al sistema nuevo de
acuerdo con el plan preestablecido.
Dimensionamiento (sizing): asignar la dimensin o tamaa adecuado.

16 Respaldo externo (back-out)
15
76
5.8 Criterios y Desempeo de Pruebas en Paralelo/Piloto
5.12
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber definir e implementar procedimientos formales para controlar la entrega
del sistema de desarrollo a pruebas y a operacin. La Gerencia debe solicitar que se obtenga
la autorizacin del propietario del sistema antes
que el nuevo sistema sea trasladado a produccin y antes que el sistema viejo sea descontinuado. El nuevo sistema ser sucesivamente
operado durante los ciclos de produccin diaria, mensual y trimestral. Los ambientes respectivos debern separarse y protegerse apropiadamente.
Deben establecerse procedimientos para asegurar

que las pruebas piloto o en paralelo sean llevadas
a cabo de acuerdo con un plan preestablecido y
que los criterios para la terminacin del proceso
de pruebas sean especificados con anterioridad.
5.9 Prueba de Aceptacin Final
OBJETIVO DE CONTROL
Los procedimientos debern asegurar, como parte de las pruebas de aceptacin final o de aseguramiento de calidad de sistemas de informacin
nuevos o modificados, una evaluacin y aprobacin formal de los resultados de las pruebas por
parte de la Gerencia de los departamentos usuarios afectados y de TI. Las pruebas deben cubrir
todos los componentes del sistema de informacin (software de aplicacin, instalaciones, tecnologa, procedimientos de usuarios).
5.13 Evaluacin del Cumplimiento de los Requerimientos del Usuario

OBJETIVO DE CONTROL
de sistemas de la organizacin debe requerir
que se realice una revisin post - implementacin de los requerimientos operacionales del
sistema de informacin (por ejemplo, capacidad, desempeo de procesamiento a travs del
sistema etc.) con el fin de evaluar si las necesidades del usuario estn siendo satisfechas por
el sistema.
5.10 Pruebas y Acreditacin de Seguridad

OBJETIVO DE CONTROL
La Gerencia deber definir e implementar procedimientos para asegurar que la Gerencia de operaciones y la Gerencia usuaria acepten formalmente los resultados de las pruebas y el nivel de
seguridad para los sistemas, junto con el riesgo
residual existente. Esos procedimientos deben
reflejar los roles y responsabilidades acordados
entre el usuario final, desarrollo de sistemas, administracin de red y del personal de operaciones
del sistema, considerando los aspectos de segregacin de cuentas, supervisin y control.
Paso o promocin a Produccin
5.14 Revisin Gerencial Post - Implementacin

OBJETIVO DE CONTROL
de sistemas de la organizacin debe requerir
que una revisin post - implementacin del sistema de informacin operacional evale y reporte si el sistema proporcion los beneficios
esperados de la manera ms econmica.
5.11 Prueba Operacional

OBJETIVO DE CONTROL
La Gerencia deber asegurar que, antes de poner
el sistema en operacin, el usuario o custodio
designado (la parte designada para correr el sistema en nombre del usuario), valide su operacin
como un producto completo, bajo condiciones
similares a las del ambiente de aplicacin y de la
misma manera en que el sistema ser operado en
un ambiente de produccin.
Entrega (handover): traspaso del sistema de un

ambiente de pruebas al ambiente de produccin.
39 Desempeo de procesamiento (throughput)
capacidad de procesamiento de datos de un sistema de informatin.
38
77
AI6
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

Monitoreo
administracin de cambios
minimizar la probabilidad de interrupciones, alteraciones no
autorizadas y errores
un sistema de administracin que permita el anlisis,
implementacin y seguimiento de todos los cambios
requeridos y llevados a cabo a la infraestructura de TI
actual
identificacin de cambios
procedimientos de categorizacin, priorizacin y emergencia
Anlisis de impacto
autorizacin de cambios
Administracin de la liberacin del cambio
distribucin de software
Uso de herramientas automatizadas
Administracin de la configuracin
Rediseo del proceso del negocio
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
78
6
ADMINISTRACIN DE CAMBIOS
6.5 Documentacin y Procedimientos

OBJETIVO DE CONTROL
6.1 Inicio y Control de Solicitudes de Cambio
El procedimiento de cambios deber asegurar

que, siempre que se implementen modificaciones
a un sistema, la documentacin y procedimientos
relacionados sean actualizados de manera correspondiente.
OBJETIVO DE CONTROL
La Gerencia deber asegurar que todas las solicitudes de cambios tanto internos como por parte
de proveedores estn estandarizados y sujetos a
procedimientos formales de administracin de
cambios. Las solicitudes debern categorizarse y
priorizarse y se deben establecer procedimientos
especficos para manejar cambios urgentes. Los
solicitantes de los cambios deben permanecer
informados acerca del estatus de su solicitud.
6.6 Mantenimiento Autorizado

OBJETIVO DE CONTROL
La Gerencia de TI deber asegurar que el personal de mantenimiento tenga asignaciones especficas y que su trabajo sea monitoreado apropiadamente. Adems, sus derechos de acceso al
sistema debern ser controlados para evitar riesgos de accesos no autorizados a los sistemas automatizados.
6.2 Anlisis de Impacto

OBJETIVO DE CONTROL
Deber establecerse un procedimiento para asegurar que todas las solicitudes de cambio sean
evaluadas en una forma estructurada que considere todos los posibles impactos que el cambio
pueda ocasionar sobre el sistema operacional y
su funcionalidad.
6.7 Poltica de Liberacin de Software

OBJETIVO DE CONTROL
La Gerencia de TI deber garantizar que la liberacin de software est regida por procedimientos formales asegurando aprobacin, empaque17,
pruebas de regresin, entrega, etc.
6.3 Control de Cambios

OBJETIVO DE CONTROL
La Gerencia de TI deber asegurar que la administracin de cambios, as como el control y la
distribucin de software sean integrados apropiadamente en un sistema completo de administracin de configuracin. El sistema utilizado para
monitorear los cambios a los sistemas de aplicacin debe ser automtico para soportar el registro
y seguimiento de los cambios realizados a grandes y complejos sistemas de informacin.
6.8 Distribucin de Software

OBJETIVO DE CONTROL
Debern establecerse medidas de control especficas para asegurar la distribucin del elemento
de software correcto al lugar correcto, con integridad y de manera oportuna y con adecuadas
pistas de auditora.
6.4 Cambios de Emergencia

OBJETIVO DE CONTROL
La gerencia de TI debe establecer parmetros
definiendo cambios de emergencia y procedimientos para controlar estos cambios cuando
ellos traspasan los procesos normales de anlisis
de prioridades de la gerencia para su implementacin. Los cambios de emergencia deben ser
registrados y autorizados por la gerencia de TI
antes de su implementacin.
17
Empaque (packaging) programas, reglas y documentacin asociada a un sistema o producto de

software
79
(DS)
80
DS1
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

Definicin y administracin de niveles de servicio
Monitoreo

establecer un entendimiento comn del nivel de servicio requerido
el establecimiento de acuerdos de niveles de servicio
que formalicen los criterios de desempeo contra los
cuales se medir la cantidad y la calidad del servicio
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
Acuerdos o convenios formales

definicin de responsabilidades
tiempos y volmenes de respuesta
cargos
garantas de integridad
Acuerdos de confidencialidad
Criterio de satisfaccin del cliente
Anlisis costo-beneficio de los niveles de
servicio requerido
Monitoreo y reporte
81
1
DEFINICIN Y ADMINISTRACIN DE NIVELES DE SERVICIO
1.1 Marco de Referencia para el Acuerdo de Niveles de Servicio

OBJETIVO DE CONTROL
relaciones que rigen el desempeo (por ejemplo,

acuerdos de confidencialidad) entre todas las
partes involucradas sean establecidas, coordinadas, mantenidas y comunicadas a todos los departamentos afectados.
1.4 Monitoreo y Reporte
La alta gerencia deber establecer un marco de

referencia en donde presente la definicin de
acuerdos de niveles de servicio formales y determine el contenido mnimo: disponibilidad, confiabilidad, desempeo, capacidad de crecimiento,
niveles de soporte proporcionados al usuario,
plan de contingencia/Recuperacin, nivel mnimo aceptable de funcionalidad del sistema satisfactoriamente liberado, restricciones (lmites en
la cantidad de trabajo), cargos por servicio, instalaciones de impresin central (disponibilidad),
distribucin de impresin central y procedimientos de cambio. Los usuarios y la funcin de servicios de informacin debern contar con un
convenio escrito que describa el nivel de servicio
en trminos cualitativos y cuantitativos. El convenio definir las responsabilidades de ambas
partes. La funcin de servicios de informacin
deber prestar la calidad y la cantidad de servicios ofrecida y los usuarios debern ajustar los
servicios solicitados a los lmites acordados.
1.2 Aspectos sobre los Acuerdos de Nivel de Servicio
OBJETIVO DE CONTROL
Deber lograrse un acuerdo explcito sobre los
aspectos que el convenio de nivel de servicios
deber tener. El convenio de nivel de servicio
deber cubrir por lo menos los siguientes aspectos: disponibilidad, confiabilidad, desempeo,
capacidad de crecimiento, niveles de soporte proporcionados a los usuarios, plan de contingencia/
Recuperacin, nivel mnimo aceptable de funcionalidad del sistema satisfactoriamente liberado,
restricciones (lmites en la cantidad de trabajo),
cargos por servicio, instalaciones de impresin
central (disponibilidad), distribucin de impresin central y procedimientos de cambios
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber designar a un Gerente de nivel de
servicio que sea responsable de monitorear y reportar los alcances de los criterios de desempeo
del servicio especificado y todos los problemas
encontrados durante el procesamiento. Las estadsticas de monitoreo debern ser analizadas
oportunamente. Debern tomarse acciones correctivas apropiadas e investigarse las fallas.
1.5 Revisin de Acuerdos y Contratos de Nivel de
Servicio
OBJETIVO DE CONTROL
La Gerencia deber implementar un proceso de
revisin regular de los convenios de nivel de servicio y de los contratos de proveedores de servicios como terceras partes.
1.6 Elementos sujetos a Cargo
OBJETIVO DE CONTROL
Debern incluirse provisiones para elementos
sujetos a cargo en los acuerdos de niveles de servicio para hacer posible las comparaciones y decisiones de niveles de servicio contra su costo.
1.7 Programa de Mejoramiento del Servicio
OBJETIVO DE CONTROL
La Gerencia deber implementar un proceso para
asegurar que los usuarios y los Gerentes de nivel
de servicio concuerden regularmente en un programa de mejoramiento del servicio con el fin de
dar seguimiento a mejoras al nivel de servicio
cuyo costo est justificado.
1.3 Procedimientos de Desempeo

OBJETIVO DE CONTROL
Debern definirse procedimientos que aseguren
que la forma y las responsabilidades sobre las
82
ef
ec
ti v
ef ida
c o ic ie d
nf
id nc ia
en
in c ia
te
li
di gr i dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
n f ien
ia
b i to
lid
ad
DS2
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
administracin de servicios prestados por terceros

Monitoreo
asegurar que los roles y responsabilidades de las terceras partes

estn claramente definidas y que cumplan y continen satisfaciendo los requerimientos
medidas de control dirigidas a la revisin y monitoreo
de acuerdos/contratos y procedimientos existentes, en
cuanto a su efectividad y cumplimiento, con respecto a
las polticas de la organizacin
Acuerdos de servicio con terceras partes

Administracin de contrato
Acuerdos de confidencialidad
Requerimientos legales y regulatorios
Monitoreo y reporte de la entrega de servicio
Anlisis de riesgos de la empresa y de TI
Ejecucin de recompensas y sanciones
Contabilidad organizacional interna y externa
Anlisis de costos y variaciones en los niveles de servicio
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
83
2
ADMINISTRACIN DE SERVICIOS PRESTADOS POR TERCEROS
2.6 Continuidad de Servicios
2.1 Interfases con Proveedores
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Con respecto al aseguramiento de la continuidad

de los servicios, la gerencia deber considerar el
riesgo de negocios relacionado con la participacin de terceros en trminos de incertidumbre
legal y con el concepto de inters sobre la continuidad18 y negociar contratos de depsito19 en
garanta donde sea apropiado
La Gerencia deber asegurar que todos los servicios prestados por terceros sean propiamente
identificados y que las interfaces tcnicas y organizacionales con los proveedores sean documentadas.
2.2 Relaciones con los Propietarios (usuarios dueos)
2.7 Relaciones con la Seguridad
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia de la organizacin del cliente deber

establecer relaciones con un dueo que sea responsable de asegurar la calidad de las relaciones
con terceros.
Con respecto a las relaciones con los proveedores de servicios como terceras partes, la Gerencia
deber asegurar que los acuerdos de seguridad
(por ejemplo, los acuerdos de confidencialidad)
sean identificados, declarados explcitamente y
acordados, que stos concuerden con los estndares de negocios universales y estn en lnea con
los requerimientos legales y regulatorios, incluyendo obligaciones.
2.3 Contratos con Terceros

OBJETIVO DE CONTROL
La gerencia debe definir procedimientos especficos para asegurar que un contrato formal sea
definido y acordado para cada relacin de servicio con un proveedor antes que el trabajo comience.
2.8 Monitoreo
OBJETIVO DE CONTROL
La Gerencia deber establecer un proceso continuo de monitoreo sobre la prestacin de servicio
de terceros, con el fin de asegurar el cumplimiento de los acuerdos del contrato.
2.4 Calificacin de Terceros

OBJETIVO DE CONTROL
La gerencia debe asegurar en forma previa a su
seleccin, que los terceros potenciales cuentan
con las calificaciones adecuadas a travs de una
evaluacin de su capacidad para proporcionar los
servicios requeridos (due diligence).
2.5 Contratos de Outsourcing
OBJETIVO DE CONTROL
Debern definirse procedimientos organizacionales especficos para asegurar que el contrato entre la organizacin y el proveedor de la administracin de instalaciones est basado en niveles de
procesamiento requeridos, seguridad, monitoreo
y requerimientos de contingencia, as como en
otras estipulaciones segn sea apropiado.
18
Concepto de inters sobre la continuidad (going concern concept)

19 Contrato en depsito (scrow contract) contratos que se
celebran para garantizar la continuidad del servicio aun
cuando el proveedor no pueda proporcionarlo.
84
DS3
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

administracin de desempeo y capacidad
Monitoreo

asegurar que la capacidad adecuada est disponible y que se
est haciendo el mejor uso de ella para alcanzar el desempeo
deseado
Recoleccin de datos, anlisis y reporte del rendimiento de los recursos, aplicacin de mediciones y demanda de cargas de trabajo
requerimientos de disponibilidad y desempeo

monitoreo y reporte automatizado
herramientas de modelado
administracin de capacidad
disponibilidad de recursos
Cambios en precio-rendimiento del hardware y software
3 3 3
g
ap ente
l ic
a
te c i o n
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
85
3
de que stos afecten el desempeo del sistema.

Debern llevarse a cabo anlisis de las fallas e
irregularidades del sistema en cuanto a frecuencia, grado del impacto y magnitud del dao.
ADMINISTRACIN DE DESEMPEO Y
CAPACIDAD
3.1 Requerimientos de Disponibilidad y Desempeo

OBJETIVO DE CONTROL
3.6 Pronstico de Carga de Trabajo

OBJETIVO DE CONTROL
El proceso de administracin deber asegurar

que las necesidades del negocio con respecto a
disponibilidad y desempeo de los servicios de
informacin sean identificados y convertidas en
requerimientos y trminos de disponibilidad.
3.2 Plan de Disponibilidad
Debern establecerse controles para asegurar que

se preparen pronsticos de carga de trabajo con
el fin de identificar tendencias y proporcionar la
informacin necesaria para el plan de capacidad20.
3.7 Administracin de Capacidad de Recursos
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deber asegurar el establecimiento

de un plan de disponibilidad para alcanzar, monitorear y controlar la disponibilidad de los servicios de informacin.
La Gerencia de la funcin de servicios de informacin deber establecer un proceso de planeacin para la revisin del desempeo y capacidad
del hardware con el fin de asegurar que siempre
exista una capacidad justificable econmicamente para procesar las cargas de trabajo acordadas y
para proporcionar la cantidad y calidad de
desempeo requeridas, prescritas en los acuerdos
de nivel de servicio. El plan de capacidad deber
cubrir escenarios mltiples.
3.3 Monitoreo y Reporte

OBJETIVO DE CONTROL
La Gerencia deber implementar un proceso que
asegure que el desempeo de los recursos de tecnologa de informacin sea continuamente monitoreado y que las excepciones sean reportadas de
manera oportuna y completa.
3.8 Disponibilidad de Recursos

OBJETIVO DE CONTROL
3.4 Herramientas de Modelado
Cuando se identifiquen como recursos de alta

disponibilidad, la gerencia deber prevenir que
estos recursos no estn disponibles, mediante la
implementacin de mecanismos de tolerancia de
fallas, mecanismos de asignacin equitativa de
recursos y la definicin de prioridades de tareas.
OBJETIVO DE CONTROL
La gerencia deber asegurar que se utilicen las
herramientas de modelado apropiadas para producir un modelo del sistema actual, calibrado y
ajustado segn la carga de trabajo real y que sea
preciso dentro de los niveles de carga recomendados. Las herramientas de modelado debern
utilizarse para apoyar el pronstico de los requerimientos de capacidad, confiabilidad de la configuracin, desempeo y disponibilidad. Debern
llevarse a cabo investigaciones tcnicas profundas sobre el hardware de los sistemas y debern
incluirse pronsticos acerca de futuras tecnologas.
3.9 Programacin21 de Recursos

OBJETIVO DE CONTROL
La Gerencia deber asegurar la adquisicin oportuna de la capacidad requerida, tomando en
cuenta aspectos como resistencia, contingencia,
cargas de trabajo y planes de almacenamiento.
3.5 Manejo Proactivo del Desempeo

OBJETIVO DE CONTROL
El proceso de administracin del desempeo deber incluir la capacidad de pronstico para permitir que los problemas sean solucionados antes
Planeacin de la capacidad (capacity planning)

21 Schedule (programacin )
20
86
DS4
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

Monitoreo
asegurar el servicio continuo

Asegurar que los servicios de TI estn disponibles cuando se
requieran y asegurar el impacto mnimo en el negocio en el
evento que se presente una interrupcin mayor
tener un plan de continuidad de TI probado y funcional,
que est alineado con el plan de continuidad del negocio y
relacionado con los requerimientos de negocio
clasificacin de criticidad (severidad)

Procedimientos alternativos
respaldo y recuperacin
pruebas y entrenamiento sistemticos y regulares
Monitoreo y procesos de escalamiento
Responsabilidades organizacionales internas y
externas
Activacin de la continuidad del negocio, vuelta
atrs (fallback) y plan de reactivacin
Actividades de administracin de riesgos
Anlisis de puntos nicos de falla
Administracin de problemas
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
87
4
ASEGURAR EL SERVICIO CONTINUO

4.1 Marco de Referencia de Continuidad de Tecnologa de informacin
OBJETIVO DE CONTROL
La Gerencia de TI, en cooperacin con los propietarios de los procesos del negocio, deber
crear un marco de referencia de continuidad que
defina los roles, responsabilidades, el enfoque/
metodologa basada en riesgo a seguir y las reglas y la estructura para documentar el plan de
continuidad, as como los procedimientos de
aprobacin.
4.2 Estrategia y Filosofa del Plan de Continuidad
de TI
OBJETIVO DE CONTROL
La Gerencia deber garantizar que el Plan de
continuidad de tecnologa de informacin se encuentra en lnea con el plan general de continuidad de la empresa para asegurar consistencia.
An ms, el plan de continuidad de TI debe tomar en consideracin el plan a mediano y largo
plazo de tecnologa de informacin, con el fin de
asegurar consistencia.
4.3 Contenido del Plan de Continuidad de TI
Informacin crtica sobre grupos de continuidad, personal afectado, clientes, proveedores,

autoridades pblicas y medios de comunicacin.
4.4 Reduccin de requerimientos de Continuidad

de Tecnologa de Informacin.
OBJETIVO DE CONTROL
La Gerencia de servicios de informacin deber
establecer procedimientos y guas para minimizar los requerimientos de continuidad con respecto a personal, instalaciones, hardware, software, equipo, formatos, consumibles y mobiliario.
4.5 Mantenimiento del Plan de Continuidad de
OBJETIVO DE CONTROL
La Gerencia de TI deber proveer procedimientos
de control de cambios para asegurar que el plan
de continuidad se mantiene actualizado y refleja
requerimientos de negocio actuales. Esto requiere
de procedimientos de mantenimiento del plan de
continuidad alineados con el cambio, la administracin y los procedimientos de recursos humanos.
4.6 Pruebas del Plan de Continuidad de TI
OBJETIVO DE CONTROL
La Gerencia de TI deber asegurar que se
desarrolle un plan escrito conteniendo lo siguiente:
z
Guas sobre la utilizacin del Plan de Continuidad;
Procedimientos de emergencia para asegurar

la integridad de todo el personal afectado;
Procedimientos de respuesta definidos para

regresar al negocio al estado en que se encontraba antes del incidente o desastre;
Procedimientos para salvaguardar y reconstruir las instalaciones;
Procedimientos de coordinacin con las autoridades pblicas;
Procedimientos de comunicacin con los socios y dems interesados: empleados, clientes

clave, proveedores crticos, accionistas y gerencia; y
OBJETIVO DE CONTROL
Para contar con un Plan efectivo de Continuidad,
la gerencia necesita evaluar su adecuacin de manera regular o cuando se presenten cambios mayores en el negocio o en la infraestructura de TI;
esto requiere una preparacin cuidadosa, documentacin, reporte de los resultados de las pruebas e implementar un plan de accin de acuerdo
con los resultados.
4.7 Entrenamiento sobre el Plan de Continuidad
de Tecnologa de Informacin
OBJETIVO DE CONTROL
La metodologa de Continuidad ante desastres
deber asegurar que todas las partes interesadas
reciban sesiones de entrenamiento regulares con
respecto a los procedimientos a ser seguidos en
caso de un incidente o un desastre.
88
4.8 Distribucin del Plan de Continuidad de TI
OBJETIVO DE CONTROL
4.12 Almacenamiento de respaldo en el sitio alterno

(Off-site)
OBJETIVO DE CONTROL
Debido a la naturaleza sensitiva de la informacin del plan de continuidad, dicha informacin

deber ser distribuida solo a personal autorizado
y mantenerse bajo adecuadas medidas de seguridad para evitar su divulgacin. Consecuentemente, algunas secciones del plan debern ser distribuidas solo a las personas cuyas actividades
hagan necesario conocer dicha informacin.
El almacenamiento externo de copias de respaldo, documentacin y otros recursos tecnolgicos

de informacin, catalogados como crticos, debe
ser establecido para soportar el plan de recuperacin y continuidad del negocio. Los propietarios
de los procesos del negocio y el personal de la
funcin de TI deben involucrarse en determinar
que recursos de respaldo deben ser almacenados
en el sitio alterno23. La instalacin de almacenamiento externo debe contar con medidas ambientales para los medios y otros recursos almacenados; y debe tener un nivel de seguridad suficiente, que permita proteger los recursos de respaldo
contra accesos no autorizados, robo o dao. La
Gerencia de TI debe asegurar que los acuerdos/
contratos del sitio alterno son peridicamente
analizados, al menos una vez al ao, para garantizar que ofrezca seguridad y proteccin ambiental.
4.9 Procedimientos de respaldo de procesamiento

alternativo para Departamentos usuarios
OBJETIVO DE CONTROL
La metodologa de continuidad deber asegurar
que los departamentos usuarios establezcan procedimientos alternativos de procesamiento, que
puedan ser utilizados hasta que la funcin de servicios de informacin sea capaz de restaurar
completamente sus servicios despus de un evento o un desastre.
4.10 Recursos Crticos de Tecnologa de Informacin
4.13 Procedimiento de afinamiento24 del Plan de

Continuidad
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
El plan de continuidad deber identificar los programas de aplicacin, servicios de terceros, sistemas operativos, personal, insumos, archivos de
datos que resultan crticos as como los tiempos
necesarios para la recuperacin despus de que
se presenta un desastre. Los datos y las operaciones crticas deben ser identificadas, documentadas, priorizadas y aprobadas por los dueos de
los procesos del negocio en cooperacin con la
Gerencia de TI.
Dada una exitosa reanudacin de la funcin de TI

despus de un desastre, la gerencia de servicios
de informacin deber establecer procedimientos
para evaluar lo adecuado del plan y actualizarlo
de acuerdo con los resultados de dicha evaluacin.
4.11 Sitio22 y Hardware de Respaldo

OBJETIVO DE CONTROL
La Gerencia deber asegurar que la metodologa
de continuidad incorpora la identificacin de alternativas relativas al sitio y al hardware de respaldo, as como una seleccin alternativa final.
En caso de aplicar, deber establecerse un contrato formal para este tipo de servicios.
22
23
24
Sitio de Respaldo (Back-up Site)

Sitio Alterno (Off-Site)
Afinamiento (Wrap-up)
89
DS5
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

garantizar la seguridad de los sistemas
Monitoreo

salvaguardar la informacin contra uso no autorizado, divulgacin
o revelacin, modificacin, dao o prdida
controles de acceso lgico que aseguren que el acceso a
sistemas, datos y programas est restringido a usuarios
autorizados
Requerimientos de privacidad y confidencialidad

Autorizacin, autenticacin y control de acceso
identificacin de usuarios y perfiles de autorizacin
Necesidad de saber y necesidad de tener
(need-to-know and need-to-have)
administracin de llaves criptogrficas
manejo, reporte y seguimiento de incidentes
Prevencin y deteccin de virus
Firewalls
Administracin centralizada de seguridad
Entrenamiento a los usuarios
Herramientas para monitoreo del cumplimiento, pruebas de intrusin y reportes
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
90
duales demostradas de visualizar, agregar, modificar o eliminar datos.
5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
5.1 Administrar Medidas de Seguridad
5.4 Administracin de Cuentas de Usuario
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La seguridad en TI deber ser administrada de tal

forma que las medidas de seguridad se encuentren en lnea con los requerimientos de negocio.
Esto incluye:
La Gerencia deber establecer procedimientos

para asegurar acciones oportunas relacionadas
con la solicitud, establecimiento, emisin, suspensin y cierre de cuentas de usuario. Deber
incluirse un procedimiento de aprobacin formal
que indique el propietario de los datos o del sistema que otorga los privilegios de acceso. La
seguridad de acceso a terceros debe definirse
contractualmente teniendo en cuenta requerimientos de administracin y no revelacin. Los
acuerdos de outsourcing deben considerar los
riesgos, los controles sobre seguridad y los procedimientos para los sistemas de informacin y
las redes en el contrato que se establece entre las
partes.
Trasladar informacin sobre evaluacin de

riesgos a los planes de seguridad de TI;
Implementar el plan de seguridad de TI;
Actualizar el plan de seguridad de TI para

reflejar cambios en la configuracin de TI;
Evaluar el impacto de las solicitudes de cambio en la seguridad de TI;
Monitorear la implementacin del plan de

seguridad de TI; y
Alinear los procedimientos de seguridad de TI

a otras polticas y procedimientos
5.5 Revisin Gerencial de Cuentas de Usuario

OBJETIVO DE CONTROL
La Gerencia deber contar con un proceso de
control establecido para revisar y confirmar peridicamente los derechos de acceso. Se debe
llevar a cabo la comparacin peridica entre los
recursos y los registros de las cuentas para reducir el riesgo de errores, fraudes, alteracin no
autorizada o accidental.
5.2 Identificacin, Autenticacin y Acceso

OBJETIVO DE CONTROL
El acceso lgico y el uso de los recursos de TI
deber restringirse a travs de la implementacin
de mecanismos adecuados de identificacin, autenticacin y autorizacin relacionando los usuarios y los recursos con las reglas de acceso. Dicho mecanismo deber evitar que personal no
autorizado, conexiones telefnicas por marcado25
y otros puertos de entrada al sistema (redes) tengan acceso a los recursos de cmputo, de igual
forma deber minimizar la necesidad de autorizar usuarios para usar mltiples sign-ons. Asimismo debern establecerse procedimientos para
conservar la efectividad de los mecanismos de
autenticacin y acceso (por ejemplo, cambios
peridicos de contraseas o passwords).
5.6 Control de Usuarios sobre Cuentas de Usuario

OBJETIVO DE CONTROL
Los usuarios debern controlar en forma sistemtica la actividad de su(s) propia(s) cuenta(s).
Tambin se debern establecer mecanismos de
informacin para permitirles supervisar la actividad normal, as como alertarlos oportunamente
sobre actividades inusuales.
5.7 Vigilancia de Seguridad
OBJETIVO DE CONTROL
5.3 Seguridad de Acceso a Datos en Lnea
La administracin de seguridad de TI debe asegurar que la actividad de seguridad sea registrada

y que cualquier indicacin sobre una inminente
violacin de seguridad sea notificada inmediatamente a todos aquellos que puedan verse afecta-
OBJETIVO DE CONTROL
En un ambiente de tecnologa de informacin en
lnea, la Gerencia de TI deber implementar procedimientos acordes con la poltica de seguridad
que garantiza el control de la seguridad de acceso, tomando como base las necesidades indivi25
Marcado por lnea telefnica (dial up)
91
registro26 de recursos de cmputo (seguridad y
otros logs) deber otorgarse tomando como base
el principio de menor privilegio o necesidad de
saber.
dos, tanto interna como externamente y se debe

actuar de una manera oportuna.
5.8 Clasificacin de Datos
OBJETIVO DE CONTROL
5.11 Manejo de Incidentes
La Gerencia deber implementar procedimientos

para asegurar que todos los datos son clasificados
en trminos de sensitividad, mediante una decisin explcita y formal del dueo de los datos de
acuerdo con el esquema de clasificacin de datos.
An los datos que no requeren proteccin debern contar con una decisin formal que les
asigne dicha clasificacin. Los dueos deben determinar la ubicacin o disposicin de sus datos y
determinar quienes pueden compartir los datos
aun si y cuando los programas y archivos sean
mantenidos, archivados o borrados. Debe quedar
evidencia de la aprobacin del dueo y de la disposicin del dato. Se deben definir polticas para
soportar la reclasificacin de la informacin, basados sobre cambios en la sensitividad. El esquema de clasificacin debe incluir criterios para
administrar el intercambio de informacin entre
organizaciones, teniendo en cuenta tanto la seguridad y el cumplimiento como la legislacin relevante.
5.9 Administracin de Derechos de Acceso e Identificacin Centralizada
OBJETIVO DE CONTROL
La Gerencia deber implementar la capacidad de
manejar incidentes de seguridad computacional,
dar atencin a dichos incidentes mediante el establecimiento de una plataforma centralizada con
suficiente experiencia y equipada con instalaciones de comunicacin rpidas y seguras. Debern
establecerse las responsabilidades y los procedimientos de manejo de incidentes para asegurar
una respuesta apropiada, efectiva y oportuna a
los incidentes de seguridad.
5.12 Reacreditacin
OBJETIVO DE CONTROL
La Gerencia deber asegurar que se lleve a cabo
peridicamente una reacreditacin de seguridad
(por ejemplo, a travs de equipos de personal
tcnico tigre27) con el fin de mantener actualizado el nivel de seguridad aprobado formalmente
y la aceptacin del riesgo residual.
5.13 Confianza en Contrapartes
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Deben existir controles para asegurar que la identificacin y los derechos de acceso de los usuarios, as como la identidad del sistema y la propiedad de los datos, son establecidos y administrados de forma nica y centralizada, para obtener consistencia y eficiencia de un control de acceso global.
Las polticas organizacionales debern asegurar

que se implementen prcticas de control para
verificar la autenticidad de las contrapartes que
proporcionan instrucciones o transacciones electrnicas. Esto puede lograrse mediante el intercambio confiable de passwords, tokens o llaves
criptogrficas.
5.10 Reportes de Violacin y de Actividades de Seguridad

OBJETIVO DE CONTROL
26
La administracin de la funcin de servicios de

informacin deber asegurar que las violaciones
y la actividad de seguridad sean registradas, reportadas, revisadas y escaladas apropiadamente
en forma regular para identificar y resolver incidentes que involucren actividades no autorizadas. El acceso lgico a la informacin sobre el
27
Registro (accountability)
Equipo tigre (Tiger team): es un grupo de personal tcnico al cual se le asignan trabajos de verificacin de seguridad en una instalacin. Estos
trabajos consisten tipicamente en actuar en forma
incgnita y tratar de violar las medidas de seguridad establecidas para probar la efectividad de las
mismas e identificar las reas vulnerables que requieren atencin.
92
5.14 Autorizacin de transacciones
5.18 Administracin de Llaves Criptogrficas
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL

que, en donde sea apropiado, se implementen
controles para proporcionar autenticidad a las
transacciones y establecer la validez de la identificacin solicitada por el usuario ante el sistema.
Esto requiere el empleo de tcnicas criptogrficas
para firmar y verificar transacciones.
La Gerencia deber definir e implementar procedimientos y protocolos a ser utilizados en la generacin, cambio, revocacin, destruccin, distribucin, certificacin, almacenamiento, entrada, utilizacin y archivo de llaves criptogrficas con el fin
de asegurar la proteccin de las mismas contra
modificaciones y divulgacin no autorizada. Si
una llave se encuentra comprometida (en riesgo),
la gerencia deber asegurarse de que esta informacin se hace llegar a todas las partes interesadas a
travs de una lista de revocacin de certificados o
mecanismos similares.
5.15 No negacin o no rechazo

OBJETIVO DE CONTROL
que, en donde sea apropiado, las transacciones no
puedan ser negadas por ninguna de las partes participantes en la operacin y que se implementen
controles para que no se pueda negar el origen o
destino de la transaccin y que se pueda probar
que se envi y recibi la transaccin. Esto puede
lograrse a travs de firmas digitales, registro de
tiempos y terceros confiables, y adicionalmente
con polticas apropiadas que tengan en cuenta los
requerimientos regulatorios relevantes.
5.16 Sendero Seguro
OBJETIVO DE CONTROL
que la informacin de transacciones sensitivas es
enviada y recibida exclusivamente a travs de
canales o senderos seguros (trusted paths). La
informacin sensitiva incluye: informacin sobre
administracin de seguridad, datos de transacciones sensitivas, passwords y llaves criptogrficas.
Para lograr esto, se pueden establecer canales
confiables utilizando encripcin entre usuarios,
entre usuarios y sistemas y entre sistemas.
5.17 Proteccin de las funciones de seguridad
OBJETIVO DE CONTROL
Todo el hardware y software relacionado con seguridad debe encontrarse permanentemente protegido contra intromisiones para proteger su integridad y contra divulgacin de sus claves secretas. Adicionalmente, la organizacin deber mantener discrecin sobre el diseo de su seguridad,
pero no basar la seguridad en mantener el diseo
como secreto.
5.19 Prevencin, Deteccin y Correccin de Software Malicioso

OBJETIVO DE CONTROL
Con respecto al software malicioso, tal como los
virus computacionales o Caballos de Troya, la
Gerencia deber establecer un marco de referencia de adecuadas medidas de control preventivas,
detectivas y correctivas y responder y reportar su
presencia. Las Gerencias de TI y de negocios
deben asegurar que se establezcan procedimientos a travs de toda la organizacin para proteger
los sistemas de informacin contra virus computacionales. Los procedimientos deben incorporar
proteccin contra virus, deteccin, respuesta ante
su presencia y reporte.
5.20 Arquitectura de Firewalls y conexin a redes
pblicas
OBJETIVO DE CONTROL
La organizacin deber contar con Firewall adecuados para proteger contra negacin de servicios
y cualquier acceso no autorizado a los recursos
internos si existe conexin con Internet u otras
redes pblicas; se deber controlar en ambos sentidos cualquier aplicacin y el flujo de administracin de infraestructura y se deber proteger
contra ataques de negacin del servicio.
93
5.21 Proteccin de Valores Electrnicos
OBJETIVO DE CONTROL
La Gerencia debe proteger la integridad continuada de todas las tarjetas o mecanismos de seguridad fsica similares, utilizadas para autenticacin o almacenamiento de informacin financiera o sensitiva tomando en consideracin las instalaciones o equipos relacionados, los dispositivos, los empleados y los mtodos de validacin
utilizados.
94
DS6
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

identificacin y asignacin de costos
Monitoreo

asegurar un conocimiento correcto de los costos atribuibles a
los servicios de TI
un sistema de contabilidad de costos que asegure que
stos sean registrados, calculados y asignados a los
niveles de detalle requeridos y al apropiado servicio
ofrecido
Recursos identificables y medibles

Procedimientos y polticas de cargo
Tarifas de cargo y procesos de reversin de
cargos.
Conexin a acuerdo de niveles de servicio
Reporte automatizado
Verificacin de comprensin de beneficios
Benchmarking externo
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
95
6
IDENTIFICACIN Y ASIGNACIN DE
COSTOS
6.1 Elementos Sujetos a Cargo o Cobro por su

Uso
OBJETIVO DE CONTROL
La Gerencia de TI, en coordinacin con la alta
Gerencia, deber asegurar que los elementos sujetos a cargo sean identificables, medibles y predecibles para los usuarios. Los usuarios debern
ser capaces de controlar el uso de los servicios de
informacin y de los niveles de facturacin asociados.
6.2 Procedimientos de Costeo
OBJETIVO DE CONTROL
La Gerencia de TI deber definir e implementar
procedimientos de costeo para proporcionar informacin gerencial acerca del costo de prestar
servicios de informacin, asegurando al mismo
tiempo la economa. Las variaciones entre los
costos pronosticados y los reales debern ser
analizadas adecuadamente y reportados, con el
fin de facilitar el monitoreo de los mismos. Adems, la alta gerencia deber evaluar peridicamente los resultados de los procedimientos de
contabilidad de costos de la funcin de servicios
de informacin, a la luz de los otros sistemas de
medicin financiera de la organizacin.
6.3 Procedimientos de Reversin de Cargos y Facturacin a Usuarios
OBJETIVO DE CONTROL
La Gerencia de TI deber definir y utilizar procedimientos de reversin de cargos y facturacin.
Esta deber mantener procedimientos de reversin de cargos y facturacin que fomenten el uso
apropiado de los recursos de cmputo y aseguren
el trato justo de los departamentos usuarios y de
sus necesidades. El monto cargado deber reflejar los costos asociados con los servicios prestados.
96
DS7
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

educacin y entrenamiento de usuarios
Monitoreo

asegurar que los usuarios estn haciendo un uso efectivo de la
tecnologa y sean conscientes de los riesgos y responsabilidades involucrados
un plan completo de entrenamiento y desarrollo
Plan de entrenamiento
Inventario de habilidades
Campaas de concientizacin
Tcnicas de concientizacin
Uso de nuevas tecnologas y mtodos de
entrenamiento
Productividad del personal
Desarrollo de una base de conocimientos
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
97
7
EDUCACIN Y ENTRENAMIENTO DE
USUARIOS
7.1 Identificacin de Necesidades de Entrenamiento

OBJETIVO DE CONTROL
En lnea con el plan a largo plazo, la Gerencia
deber establecer y mantener procedimientos
para identificar y documentar las necesidades de
entrenamiento de todo el personal que haga uso
de los servicios de informacin. Deber establecerse un plan de entrenamiento para cada grupo
de empleados.
7.2 Organizacin del Entrenamiento
OBJETIVO DE CONTROL
Tomando como base las necesidades identificadas, la Gerencia deber definir los grupos objetivo, identificando y asignando entrenadores y organizando oportunamente las sesiones de entrenamiento. Asimismo, debern investigarse las
alternativas de entrenamiento (Localidad interna
o externa, entrenadores internos o externos, etc.).
7.3 Entrenamiento sobre Principios y Conciencia
de Seguridad
OBJETIVO DE CONTROL
Todo el personal deber estar capacitado y entrenado en los principios de seguridad de sistemas,
incluyendo actualizaciones peridicas con especial atencin en concientizacin sobre seguridad
y manejo de incidentes. La alta gerencia deber
proporcionar un programa de educacin y entrenamiento que incluya: conducta tica de la funcin de TI, prcticas de seguridad para proteger
de una manera segura contra daos que afecten
la disponibilidad, la confidencialidad la integridad y el desempeo de las tareas.
98
DS8
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

Apoyo y asistencia a los clientes de TI
Monitoreo

asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente
un help desk, o mesa de control y ayuda, que proporcione soporte y asesora de primera lnea
consultas de los clientes y respuesta a problemas

monitoreo de consultas y respuestas
anlisis y reporte de tendencias
Desarrollo de una base de conocimientos
Anlisis de las causas
Escalamiento y seguimiento de problemas
3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
99
8
APOYO Y ASISTENCIA A LOS CLIENTES

DE TECNOLOGA DE INFORMACIN
8.1
Help Desk
OBJETIVO DE CONTROL
Deber establecerse un soporte para usuarios
dentro de una funcin de Help Desk o Mesa de
Control y Ayuda. Las personas responsables de
llevar a cabo esta funcin debern interactuar
estrechamente con el personal de administracin
de problemas.
8.2 Registro de Consultas de los Usuario

OBJETIVO DE CONTROL
Debern establecerse procedimientos para asegurar que todas las consultas de los clientes sean
registradas adecuadamente por el Help desk.
8.3 Escalamiento de Consultas del Cliente
OBJETIVO DE CONTROL
Los procedimientos del help desk debern asegurar que las consultas de los clientes que no puedan ser resueltas inmediatamente sean reasignadas apropiadamente dentro de la funcin de servicios de informacin escalando hasta el nivel
adecuado para atenderlas.
8.4 Monitoreo de Atencin a Clientes
OBJETIVO DE CONTROL
La Gerencia deber establecer procedimientos
para monitorear oportunamente la atencin a las
consultas de los clientes. Las consultas que permanezcan pendientes por largo tiempo debern
ser investigadas y atendidas.
8.5 Anlisis y Reporte de Tendencias
OBJETIVO DE CONTROL
Debern establecerse procedimientos que aseguren el reporte adecuado de las consultas de los
clientes y su solucin, de los tiempos de respuesta y la identificacin de tendencias. Los reportes
debern ser analizados y sus resultados debern
ser atendidos adecuadamente.
100
DS9
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

Administracin de la configuracin
Monitoreo

dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar
una base para la sana administracin del cambio
controles que identifiquen y registren todos los activos
de TI as como su localizacin fsica y un programa
regular de verificacin que confirme su existencia
registro de activos
administracin de cambios en la configuracin
chequeo de software no autorizado
controles de almacenamiento de software
Integracin e interrelacin de hardware y
software
Uso de herramientas automatizadas
3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
101
9
ADMINISTRACIN DE LA CONFIGURACIN
9.1 Registro de la Configuracin

OBJETIVO DE CONTROL
Debern establecerse procedimientos para asegurar que sean registrados nicamente los elementos de configuracin autorizados e identificables
en el inventario, luego de la adquisicin. Esos
procedimientos debern proveer adicionalmente
informacin de la eliminacin autorizada y la
consecuente venta de los elementos de la configuracin. Por otra parte, debern establecerse
procedimientos para dar seguimiento a los cambios en la configuracin (nuevo elemento, cambio de estatus de desarrollo a prototipo). El registro en bitcoras y el control debern ser una
parte integrada del registro de configuracin del
sistema, incluyendo revisiones de registros modificados.
9.2 Configuracin Base
y no licenciado. La organizacin deber usar

software de deteccin y eliminacin de virus. La
Gerencia de TI deber revisar peridicamente la
existencia de software no autorizado en las computadoras personales de la organizacin. Se deber verificar peridicamente si se est cumpliendo con los requisitos de contratos de licencia de software y de hardware
9.6 Almacenamiento de Software
OBJETIVO DE CONTROL
Deber definirse un rea de almacenamiento de
archivos (biblioteca o librera) para todos los elementos de software vlidos en las fases apropiadas del ciclo de vida de desarrollo de sistemas.
Estas reas debern estar separadas de otras y de
las reas de almacenamiento de archivos de desarrollo, pruebas y produccin.
9.7 Procedimientos Administrativos de la Configuracin
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia de TI deber asegurarse de que exista una configuracin base de elementos como
punto de verificacin al cual regresar despus de
las modificaciones.
9.3 Registro de Estatus
OBJETIVO DE CONTROL
La Gerencia de TI deber asegurar que los registros de la configuracin reflejen el estatus real de
todos los elementos de la configuracin incluyendo la historia de los cambios.
9.4 Control de la Configuracin
OBJETIVO DE CONTROL
Los procedimientos debern asegurar que la
existencia y consistencia del registro de la configuracin de la funcin de TI sean revisadas peridicamente.
Se debern establecer procedimientos administrativos de la configuracin para asegurar que se

hayan identificado debidamente y se mantengan
los componentes crticos de los recursos de TI de
la organizacin. Deber haber un proceso integrado por el cual se midan las exigencias actuales y futuras de procesamiento y que provean
insumos al proceso de adquisiciones de recursos
de tecnologa de la informacin.
9.8 Registro o contabilizacin del Software
OBJETIVO DE CONTROL
El software deber ser etiquetado, inventariado y
debidamente licenciado. Se deber usar un software para administracin de bibliotecas para producir rastros de auditora de los cambios a los
programas y para mantener informacin sobre el
nmero de versin del programa, informacin
sobre fecha de creacin y copias de versiones
anteriores.
9.5 Software no Autorizado

OBJETIVO DE CONTROL
Se debern desarrollar y hacer cumplir polticas
claras que restrinjan el uso de software personal
102
DS10
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

administracin de problemas e incidentes
Monitoreo

asegurar que los problemas e incidentes sean resueltos y que
sus causas sean investigadas para prevenir cualquier recurrencia
un sistema de administracin de problemas que registre y d seguimiento a todos los incidentes
pistas de auditora de problemas y soluciones

resolucin oportuna de problemas reportados
procedimientos de escalamiento
reportes de incidentes
accesibilidad a la informacin de la configuracin
responsabilidades del proveedor
coordinacin con la administracin de
cambios
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
103
10 ADMINISTRACIN DE PROBLEMAS E INCIDENTES
10.1 Sistema de Administracin de Problemas

OBJETIVO DE CONTROL
La Gerencia de TI deber definir e implementar
un sistema de administracin de problemas para
asegurar que todos los eventos operacionales que
no formen parte de la operacin estndar
(incidentes, problemas y errores) sean registrados, analizados y resueltos oportunamente. Los
procedimientos de cambios de emergencia a programas se deben probar, documentar, aprobar y
reportar prontamente. Debern emitirse reportes
de incidentes en caso de problemas significativos.
10.2 Escalamiento de Problemas
OBJETIVO DE CONTROL
La Gerencia deber definir e implementar procedimientos de escalamiento de problemas para
asegurar que los problemas identificados sean
resueltos oportunamente de la manera ms eficiente. Estos procedimientos debern asegurar
que las prioridades sean establecidas apropiadamente. Los procedimientos tambin debern documentar el proceso de escalamiento para la activacin del plan de continuidad de TI.
10.4 Autorizaciones de Accesos Temporales y

de Emergencia
OBJETIVO DE CONTROL
Las autorizaciones de acceso temporal y de
emergencia debern ser documentadas en formularios estndar y mantenidas en archivo,
aprobadas por los gerentes apropiados, comunicadas de forma segura a la funcin de seguridad y las mismas debern terminarse automticamente despus de un perodo predeterminado.
10.5 Prioridades de Procesamiento de Emergencia
OBJETIVO DE CONTROL
La gerencia de TI debe establecer, documentar y aprobar mediante el uso de programas
adecuados las prioridades de procesamiento
de emergencia.
10.3 Seguimiento de Problemas y Pistas de Auditora

OBJETIVO DE CONTROL
El sistema de administracin de problemas deber proporcionar adecuadas pistas de auditora que
permitan el seguimiento de un incidente a partir
de sus causas (por ejemplo, liberacin de paquetes o implementacin de cambios urgentes) y
viceversa. Deber trabajar estrechamente con la
administracin de cambios, la administracin de
disponibilidad y la administracin de configuracin.
104
DS11
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

Monitoreo
Administracin de datos
asegurar que los datos permanezcan completos, precisos y vlidos
durante su entrada, actualizacin y almacenamiento
una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI
diseo de formatos
controles sobre documentos fuente
controles de entrada, procesamiento y salida
identificacin, movimiento y administracin de
la librera de medios
Recuperacin y almacenamiento de datos
autenticacin e integridad
propiedad de datos
polticas de administracin de datos
modelos de datos y estndares de representacin de datos
integracin y consistencia en todas las plataformas
requisitos legales y regulatorios
3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
105
11 ADMINISTRACIN DE DATOS
11.1 Procedimientos de Preparacin de Datos
OBJETIVO DE CONTROL
La Gerencia deber establecer procedimientos de
preparacin de datos que deben ser seguidos por
los departamentos usuarios. En este contexto, el
diseo de formas de entrada de datos deber ayudar a minimizar los errores y las omisiones. Durante la creacin de los datos, los procedimientos
de manejo de errores debern asegurar razonablemente que los errores y las irregularidades
sean detectados, reportados y corregidos.
11.2 Procedimientos de Autorizacin de Documentos Fuente
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los documentos
fuente sean preparados apropiadamente por personal autorizado que acta dentro de su autoridad, y que se establezca una separacin de funciones adecuada con respecto al origen y aprobacin de documentos fuente.
11.3 Recopilacin de Datos de Documentos Fuente
OBJETIVO DE CONTROL
Los procedimientos de la organizacin debern
asegurar que todos los documentos fuente autorizados estn completos, sean precisos, registrados
apropiadamente y transmitidos oportunamente
para su ingreso a proceso.
11.4 Manejo de errores de documentos fuente
OBJETIVO DE CONTROL
Los procedimientos de manejo de errores durante
la creacin de datos debern asegurar razonablemente que los errores y las irregularidades sean
detectados, reportados y corregidos.
11.5 Retencin de Documentos Fuente
OBJETIVO DE CONTROL
Debern establecerse procedimientos para asegurar que la organizacin pueda retener o reproducir los documentos fuente originales durante un
perodo de tiempo razonable para facilitar la recuperacin o reconstruccin de datos, as como
para satisfacer requerimientos legales.
11.6 Procedimientos de Autorizacin de Entrada de

Datos
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos apropiados para asegurar que la entrada de
datos sea llevada a cabo nicamente por personal
autorizado.
11.7 Chequeos de Exactitud, Suficiencia y Autorizacin
OBJETIVO DE CONTROL
Los datos de transacciones, ingresados para su
procesamiento (generados por personas, por sistemas o entradas de interfase) debern estar sujetos a una variedad de controles para verificar su
exactitud, suficiencia y validez. Asimismo, debern establecerse procedimientos para asegurar
que los datos de entrada sean validados y editados tan cerca del punto de origen como sea posible.
11.8 Manejo de Errores en la Entrada de Datos
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para la correccin y reenvo de datos que
hayan sido capturados errneamente.
11.9 Integridad de Procesamiento de Datos
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para el procesamiento de datos que aseguren
que la segregacin de funciones sea mantenida
y que el trabajo realizado sea verificado rutinariamente. Los procedimientos debern asegurar
que se establezcan controles de actualizacin
adecuados como totales de control "corrida a
corrida run to run-" y controles de actualizacin de archivos maestros.
11.10 Validacin y Edicin de Procesamiento de
Datos
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para asegurar que la validacin, autenticacin y edicin del procesamiento sean llevadas
a cabo tan cerca del punto de origen como sea
posible. Cuando se utilicen sistemas de Inteligencia Artificial, dichos sistemas sern ubica106
dos en una infraestructura de control interactiva
con operadores humanos para asegurar que las
decisiones vitales son aprobadas.
11.11 Manejo de Errores en el Procesamiento de
Datos
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para el manejo de errores en el procesamiento de datos que permitan la identificacin de
transacciones errneas sin que stas sean procesadas y sin interrumpir el procesamiento de
otras transacciones vlidas.
11.12 Manejo y Retencin de Datos de Salida
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para el manejo y la retencin de datos producidos por sus programas de aplicacin de TI.
En caso de que instrumentos negociables (ej.
Ttulos valores) sean los receptores de la salida,
se deber prestar especial cuidado en prevenir
usos inadecuados.
11.13 Distribucin de Datos Salidos de los Procesos
OBJETIVO DE CONTROL
La organizacin deber establecer y comunicar
procedimientos escritos para la distribucin de
datos de salida de tecnologa de informacin.
11.14 Balanceo y Conciliacin de Datos de Salida
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para asegurar que los datos de salida sean
balanceados rutinariamente con los totales de
control relevantes. Debern existir pistas de
auditora para facilitar el seguimiento del procesamiento de transacciones y la conciliacin de
datos con problema.
11.15 Revisin de Datos de Salida y Manejo de
Errores
OBJETIVO DE CONTROL
La Gerencia de la organizacin deber establecer
procedimientos para asegurar que la precisin de los
reportes de los datos de salida sea revisada por el
proveedor y por los usuarios responsables. Asimismo, debern establecerse procedimientos para controlar los errores contenidos en los datos de salida.
11.16 Provisiones de Seguridad para Reportes de

Salida
OBJETIVO DE CONTROL
La organizacin deber establecer procedimientos para garantizar que la seguridad de los reportes generados por los procesos sea mantenida para todos aquellos reportes que estn por
distribuirse, as como para todos aqullos que
ya hayan sido distribuidos a los usuarios.
11.17 Proteccin de Informacin Sensible durante
transmisin y transporte
OBJETIVO DE CONTROL
La Gerencia deber asegurar que durante la
transmisin y transporte de informacin sensible, se proporcione una adecuada proteccin
contra acceso o modificacin no autorizada, as
como contra envos a direcciones errneas.
11.18 Proteccin de Informacin Sensitiva Desechada
OBJETIVO DE CONTROL
La Gerencia deber definir e implementar procedimientos para impedir el acceso a la informacin sensitiva, al software de las computadoras, a los discos y otros equipos o medios cuando los mismos son desechados o transferidos a
otro uso. Tales procedimientos debern garantizar que ninguna informacin marcada como
borrada o desechada, pueda ser accedida
por personas internas o externas a la organizacin.
11.19 Administracin de Almacenamiento
OBJETIVO DE CONTROL
Debern desarrollarse procedimientos para el
almacenamiento de datos que consideren requerimientos de recuperacin, de economa y as
mismo tengan en cuenta las polticas de seguridad de la organizacin.
11.20 Perodos de Retencin y Trminos de Almacenamiento
OBJETIVO DE CONTROL
Debern definirse los perodos de retencin y
107
los trminos de almacenamiento para documentos, datos, programas, reportes y mensajes (de
entrada y de salida), as como los datos (claves,
certificados) utilizados para su encripcin y autenticacin.
11.21 Sistema de Administracin de la Librera de
Medios
OBJETIVO DE CONTROL
11.24 Funciones de Respaldo

OBJETIVO DE CONTROL
Debern establecerse procedimientos para asegurar que los respaldos sean realizados de
acuerdo con la estrategia de respaldo definida, y
que las copias de respaldo sean verificadas regularmente.
11.25 Almacenamiento de Respaldos

establecer procedimientos para asegurar que el
contenido de su librera de medios sea inventariado sistemticamente, que cualquier discrepancia revelada por un inventario fsico sea solucionada oportunamente y que se consideren
las medidas necesarias para mantener la integridad de los medios magnticos almacenados en
la librera.
11.22 Responsabilidades de la Administracin de la
Librera de Medios
OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber establecer procedimientos de
administracin para proteger el contenido de la
librera de medios. Debern definirse estndares
para la identificacin externa de medios magnticos y el control de su movimiento y almacenamiento fsico para soporte y registro. Las responsabilidades sobre el manejo de la libreras de
medios (cintas magnticas, cartuchos, discos y
disquetes) debern ser asignadas a miembros
especficos del personal de servicios de informacin.
11.23 Respaldo (Back-up) y Restauracin
OBJETIVO DE CONTROL
La Gerencia deber implementar una estrategia
apropiada de respaldo y recuperacin para asegurar que sta incluya una revisin de los requerimientos del negocio, as como el desarrollo, implementacin, prueba y documentacin del plan
de recuperacin. Se debern establecer procedimientos para asegurar que los respaldos satisfagan
los requerimientos mencionados anteriormente.
OBJETIVO DE CONTROL
Los procedimientos de respaldo para los medios
relacionados con tecnologa de informacin debern incluir el almacenamiento apropiado de
los archivos de datos, del software y de la documentacin relacionada, tanto dentro como fuera
de las instalaciones. Los respaldos debern ser
almacenados con seguridad y las instalaciones
de almacenamiento debern ser revisadas peridicamente con respecto a la seguridad de acceso
fsico y la seguridad de los archivos de datos y
otros elementos.
11.26 Archivo
OBJETIVO DE CONTROL
La Gerencia deber implementar una poltica y
procedimientos para asegurar que el archivo
cumple con requerimientos legales y de negocio
y que se encuentra debidamente protegido y su
informacin adecuadamente registrada.
11.27 Proteccin de Mensajes Sensitivos
OBJETIVO DE CONTROL
Con respecto a la transmisin de datos a travs
de Internet u otra red pblica, la Gerencia deber definir e implementar procedimientos y protocolos que deben ser utilizados para el aseguramiento de la integridad, confidencialidad y no
negacin/rechazo de mensajes sensitivos.
11.28 Autenticacin e Integridad
OBJETIVO DE CONTROL
Antes que alguna accin crtica sea tomada sobre informacin originada fuera de la Organizacin, que se reciba va telfono, correo de voz,
documentos (en papel), fax o correo electrnico,
se deber verificar adecuadamente la autenticidad e integridad de dicha informacin.
108
11.29 Integridad de Transacciones Electrnicas
OBJETIVO DE CONTROL
Tomando en consideracin que las fronteras
tradicionales de tiempo y de geografa son menos precisas y confiables, la Gerencia deber
definir e implementar apropiados procedimientos y prcticas para transacciones electrnicas
que sean sensitivas y crticas para la Organizacin, que permitan asegurar su integridad y autenticidad de:
z
atomicidad (unidad de trabajo indivisible,

todas sus acciones tienen xito o todas ellas
fallan)
consistencia (si la transaccin no logra alcanzar un estado final estable, deber regresar al sistema a su estado inicial);
aislamiento (el comportamiento de una transaccin no es afectado por otras transacciones que se ejecutan concurrentemente); y
durabilidad (los efectos de una transaccin

son permanentes despus que concluye su
proceso28, los cambios que origina deben
sobrevivir a fallas de sistema)
11.30 Integridad Continua de Datos Almacenados

OBJETIVO DE CONTROL
La Gerencia deber asegurar que la integridad y
lo adecuado de los datos mantenidos en archivos y otros medios (ej. tarjetas electrnicas) se
verifique peridicamente. Atencin especfica
deber darse a dispositivos de tokens29, archivos
de referencia y archivos que contengan informacin privada.
28
29
Concluye su proceso (commits): se dice de una

transaccin que actualiza los datos que procesa al
concluir su procesamiento.
Tokens: Dispositivos especiales que permiten el
clculo de claves en forma aleatoria. Utiliza semillas que cambian cada minuto.
109
DS12
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

Administracin de instalaciones (sitios donde se procesa informacin)
Monitoreo

proporcionar un ambiente fsico conveniente que proteja los
equipos y al personal de TI contra peligros naturales o fallas
humanas
la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para garantizar su adecuado funcionamiento
acceso a instalaciones
identificacin del sitio (instalacin)
seguridad fsica
Polticas de inspeccin y escalamiento
Plan de continuidad de negocios y administracin de crisis
salud y seguridad del personal
Polticas de mantenimiento preventivo
proteccin contra amenazas ambientales
Monitoreo automatizado
3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
110
12 ADMINISTRACIN DE INSTALACIONES30
12.4 Salud y Seguridad del Personal

OBJETIVO DE CONTROL
12.1 Seguridad Fsica
Debern establecerse y mantenerse prcticas de

salud y seguridad en lnea con las leyes y regulaciones internacionales, nacionales, regionales,
estatales y locales.
OBJETIVO DE CONTROL
Debern establecerse medidas apropiadas de seguridad fsica y medidas de control de acceso
para las instalaciones de tecnologa de informacin incluyendo el uso de dispositivos de informacin off-site en conformidad con la poltica
general de seguridad. La seguridad fsica y los
controles de acceso deben abarcar no slo el rea
que contenga el hardware del sistema sino tambin las ubicaciones del cableado usado para conectar elementos del sistema, servicios de soporte (como la energa elctrica), medios de respaldo y dems elementos requeridos para la operacin del sistema. El acceso deber restringirse a
las personas que hayan sido autorizadas. Cuando
los recursos de tecnologa de informacin estn
ubicados en reas pblicas, debern estar debidamente protegidos para impedir o para prevenir
prdidas o daos por robo o por vandalismo.
12.5 Proteccin contra Factores Ambientales

OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que se establezcan y
mantengan las suficientes medidas para la proteccin contra los factores ambientales (por
ejemplo, fuego, polvo, electricidad, calor o
humedad excesivos). Debern instalarse equipo
y dispositivos especializados para monitorear y
controlar el ambiente.
12.6 Suministro Ininterrumpido de Energa
OBJETIVO DE CONTROL
La Gerencia deber evaluar regularmente la necesidad de contar con generadores y bateras de
suministro ininterrumpido de energa (UPS) para
las aplicaciones crticas de tecnologa de informacin, con el fin de protegerse contra fallas y
fluctuaciones de energa. Cuando sea justificable, deber instalarse el equipo ms apropiado.
12.2 Discrecin31 sobre las Instalaciones de Tecnologa de Informacin

OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que se mantenga un bajo
perfil sobre la identificacin fsica de las instalaciones relacionadas con sus operaciones de tecnologa de informacin. La informacin sobre la
ubicacin del sitio debe ser limitada y mantenerse con la adecuada reserva.
12.3 Escolta de Visitantes
OBJETIVO DE CONTROL
Debern establecerse procedimientos apropiados
que aseguren que las personas que no formen
parte del grupo de operaciones de la funcin de
servicios de informacin sean escoltadas por algn miembro de ese grupo cuando deban entrar a
las instalaciones de cmputo. Deber mantenerse y revisarse regularmente una bitcora de visitantes.
30
31
Instalaciones (Facilities)
Discrecin (low profile)
111
DS13
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte

administracin de operaciones
Monitoreo

asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada
una programacin o planeacin de las actividades que sea
registrada y diligenciada con base en el cumplimiento de
todas las actividades
manual de procedimiento de operaciones

documentacin para el inicio de procesos
administracin de servicios de red
Programacin del personal y cargas de trabajo
proceso de cambio de turno
registro de eventos del sistema
Coordinacin con las reas de administracin
de cambios, disponibilidad y manejo continuo
de negocios
Mantenimiento preventivo
Acuerdos de niveles de servicio
Operaciones automatizadas
Registro, rastreo y escalamiento de incidentes
3 3
3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
112
13 ADMINISTRACIN DE OPERACIONES
13.5 Continuidad de Procesamiento

OBJETIVO DE CONTROL
13.1 Manual de Instrucciones y Procedimientos de

las Operaciones de Procesamiento
Los procedimientos debern requerir continuidad

de procesamiento durante los cambios de turno
de los operadores mediante la existencia de un
proceso de entrega formal de actividades, actualizacin del estado en que se encuentran los procesos y reporte sobre las responsabilidades actuales.
OBJETIVO DE CONTROL
La Gerencia de TI deber establecer y documentar procedimientos estndar para las operaciones
de tecnologa de informacin (incluyendo operaciones de red). Todas las soluciones y plataformas de tecnologa de informacin con que cuente
la empresa debern ser operadas utilizando estos
procedimientos, los cuales debern ser revisados
peridicamente para asegurar su efectividad y
cumplimiento.
13.6 Bitcoras de Operacin

OBJETIVO DE CONTROL
Los controles de la Gerencia debern garantizar
que se almacene en bitcoras suficiente informacin cronolgica de las operaciones para permitir
la reconstruccin, la revisin y el examen oportunos de las secuencias de tiempo de procesamiento y otras actividades que rodean y soportan
el procesamiento.
13.2 Documentacin del Proceso de Inicio y de

Otras Operaciones
OBJETIVO DE CONTROL
La Gerencia de TI deber asegurar que el personal de operaciones est adecuadamente familiarizado y sepa como ejecutar las tareas del proceso
de inicio y con otras operaciones con base en una
adecuada documentacin la cual debe ser peridicamente probada y ajustada, segn se requiera.
13.7 Custodia de Formularios Especiales y de Dispositivos de Salida

OBJETIVO DE CONTROL
La gerencia deber establecer seguridades fsicas
apropiadas para proteger los formularios especiales, como por ejemplo los instrumentos negociables, y los dispositivos sensitivos de salida, como
por ejemplo los cartuchos de firma tomando en
consideracin el apropiado registro de los recursos de tecnologa de informacin, formularios o
artculos que requieran proteccin adicional y
administracin de inventario.
13.3 Programacin de Trabajos

OBJETIVO DE CONTROL
La Gerencia de la funcin de servicios de informacin deber asegurar que la programacin
continua de trabajos, procesos y tareas sea organizada en la secuencia ms eficiente, maximizando el uso de recursos y su utilizacin, con el fin
de alcanzar los objetivos establecidos en los convenios de nivel de servicio. Las programaciones
iniciales as como los cambios a estas programaciones debern ser autorizados apropiadamente.
13.8 Operaciones Remotas

OBJETIVO DE CONTROL
Para las operaciones remotas, debern existir
procedimientos especficos que aseguren que la
conexin y desconexin de los enlaces con la(s)
instalacin(es) remota(s) sean identificadas e implementadas.
13.4 Desviaciones32 de la Programacin de Trabajos Estndar

OBJETIVO DE CONTROL
Debern establecerse procedimientos para identificar, investigar y aprobar la ejecucin de los
programas de trabajos estndar.
32
Desviaciones (departures)
113
(M)
MONITOREO
114
MONITOREO
M1
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
monitoreo del proceso

asegurar el logro de los objetivos establecidos para los procesos
de TI
la definicin de indicadores de desempeo gerenciales, el reporte oportuno y sistemtico del desempeo y
la oportuna accin sobre las desviaciones
Tarjetas de decisin (scorecards) con indicadores de desempeo y medicin de resultados

evaluacin de la satisfaccin de clientes
reportes gerenciales
Base de conocimientos del desempeo histrico
Benchmarking externo
3 3 3 3 3
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
115
1
MONITOREO DEL PROCESO
1.1 Recoleccin de Datos de Monitoreo

OBJETIVO DE CONTROL
Para los procesos de tecnologa de informacin y
de control interno, la Gerencia deber asegurar
que se definan indicadores de desempeo relevantes (ej. benchmarks) tanto para actividades
internas como las proporcionadas por terceros y
que se recolecten datos para la creacin de reportes con informacin gerencial y reportes de excepcin relacionados con estos indicadores. Los
controles deben tambin estar dirigidos a validar
la integridad y lo apropiado tanto de las medidas
e indicadores de desempeo organizacional como individuales.
1.2 Evaluacin de Desempeo
OBJETIVO DE CONTROL
Los servicios a ser proporcionados por la funcin
de servicios de informacin debern ser medidos
(indicadores clave de desempeo y/o factores
crticos de xito) y comparados con los niveles
esperados. Las evaluaciones a la funcin de servicios de informacin debern ser desarrolladas
en forma continua.
1.3 Evaluacin de la satisfaccin de Clientes
OBJETIVO DE CONTROL
A intervalos regulares, la Gerencia deber efectuar mediciones de la satisfaccin de los clientes
con respecto a los servicios proporcionados por
la funcin de servicios de informacin, con la
intencin de identificar deficiencias en los niveles de servicio y establecer objetivos de mejoramiento.
1.4 Reportes Gerenciales
OBJETIVO DE CONTROL
Debern proporcionarse reportes gerenciales para ser revisados por la alta gerencia en cuanto al
avance de la organizacin hacia las metas identificadas. Los reportes de estatus debern incluir
en qu medida se han logrado los objetivos planeados, se han obtenido productos, se han cumplido los objetivos de desempeo y se han mitigado los riesgos. Con base en la revisin, la Gerencia deber iniciar y controlar las acciones pertinentes.
116
MONITOREO
M2
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
co lim ad
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Control sobre el proceso de TI:
Entrega &
Soporte
Monitoreo
Evaluar lo adecuado del control interno

asegurar el logro de los objetivos de control interno establecidos para los procesos de TI
el compromiso de la Gerencia de monitorear los controles internos, evaluar su efectividad y emitir reportes
sobre ellos en forma regular
Responsabilidades para el control interno
Monitoreo del control interno en proceso
benchmarks33
reportes de errores y excepciones
autoevaluaciones
reportes gerenciales
Cumplimiento con los requerimientos legales y regulatorios
3 3 3 3 3
g
ap ente
l ic
a
te c i o n
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
33
Comparacin con mejores prcticas (benchmarks)

117
2
EVALUAR LO ADECUADO DEL CONTROL INTERNO
2.1 Monitoreo del Control Interno
establecidos o implcitos. Las actividades de

monitoreo continuo por parte de la Gerencia debern revisar la existencia de puntos vulnerables
y problemas de seguridad.
OBJETIVO DE CONTROL
La Gerencia deber monitorear la efectividad de
los controles internos en el curso normal de las
operaciones a travs de actividades administrativas y de supervisin, comparaciones, reconciliaciones y otras acciones rutinarias. Las desviaciones debern generar anlisis y acciones correctivas. Adems, las desviaciones debern ser comunicadas a la persona responsable de la funcin
y tambin, por lo menos, a un nivel de la gerencia por encima de esa persona. Las desviaciones
graves debern ser reportadas a la alta gerencia.
2.2 Operacin Oportuna de Controles Internos
OBJETIVO DE CONTROL
La confiabilidad en los controles internos requiere que los controles operen rpidamente para detectar errores e inconsistencias y que stos sean
corregidos antes de que impacten a la produccin
y a la prestacin de servicios. La informacin
relacionada con los errores, inconsistencias y
excepciones deber ser conservada y reportada
sistemticamente a la Gerencia.
2.3 Reporte sobre el Nivel de Control Interno
OBJETIVO DE CONTROL
La Gerencia deber reportar informacin sobre
los niveles de control interno y sobre las excepciones a las partes afectadas para asegurar la
efectividad continua de su sistema de control interno. Debern llevarse a cabo acciones para
identificar qu informacin es necesaria y a qu
nivel en particular para facilitar la toma de decisiones.
2.4 Seguridad de la Operacin y Aseguramiento
de Control Interno
OBJETIVO DE CONTROL
La seguridad en las operaciones y el aseguramiento de control interno debern ser establecidos y repetidos peridicamente a travs de una
autoanlisis o de una auditora independiente
para examinar si la seguridad y los controles internos se encuentran operando de acuerdo con
los requerimientos de seguridad y control interno
118
MONITOREO
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gr i dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
M3
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
obtencin de aseguramiento independiente

Monitoreo
incrementar los niveles de confianza entre la organizacin,
clientes y proveedores externos
revisiones de aseguramiento independientes llevadas a
cabo en intervalos regulares
certificaciones / acreditaciones independientes

evaluaciones independientes de efectividad
aseguramiento independiente sobre cumplimiento de requerimientos legales y regulatorios
aseguramiento independiente del cumplimiento de compromisos contractuales
revisiones y benchmarking a proveedores
externos de servicios
Revisin por personal calificado del aseguramiento de desempeo
involucramiento proactivo de la auditora
3 3 3 3 3
g
ap ente
l ic
a
te c i o n
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
119
3
OBTENCIN DE ASEGURAMIENTO INDEPENDIENTE
3.1 Certificacin / Acreditacin Independiente de

Control y Seguridad de los servicios de TI
OBJETIVO DE CONTROL
La Gerencia deber obtener una certificacin o
acreditacin independiente sobre la seguridad y
el control interno antes de implementar nuevos
servicios de tecnologa de informacin que resulten crticos y obtener re-certificaciones o reacreditaciones de estas actividades en forma cclica y rutinaria despus de haber hecho la implementacin.
3.2 Certificacin / Acreditacin Independiente de
Control y Seguridad de proveedores externos
de servicios
OBJETIVO DE CONTROL
La Gerencia deber obtener una certificacin o
acreditacin independiente de seguridad y control interno antes de utilizar proveedores de servicios de tecnologa de informacin y obtener recertificaciones o re-acreditaciones de estas actividades en forma cclica y rutinaria.
3.3 Evaluacin Independiente de la Efectividad de
los Servicios de TI
OBJETIVO DE CONTROL
La Gerencia deber obtener una evaluacin independiente sobre la efectividad de los servicios de
tecnologa de informacin en forma cclica y rutinaria.
3.4 Evaluacin Independiente de la Efectividad de
proveedores externos de servicios
OBJETIVO DE CONTROL
La Gerencia deber obtener una evaluacin independiente sobre la efectividad de los proveedores
de servicios de tecnologa de informacin en forma cclica y rutinaria.
3.5 Aseguramiento Independiente del Cumplimiento de leyes, requerimientos regulatorios y

compromisos contractuales
OBJETIVO DE CONTROL
La Gerencia deber obtener un aseguramiento
independiente sobre el cumplimiento de la funcin de servicios de tecnologa de informacin
con respecto a requerimientos regulatorios y legales y compromisos contractuales en forma cclica y rutinaria.
3.6 Aseguramiento Independiente del Cumplimiento de leyes, requerimientos regulatorios y
compromisos contractuales de proveedores
externos de servicios
OBJETIVO DE CONTROL
La Gerencia deber obtener un aseguramiento
independiente sobre el cumplimiento de proveedores externos de servicios de tecnologa de informacin con respecto a requerimientos regulatorios, leyes y compromisos contractuales en forma cclica y rutinaria.
3.7 Competencia de la Funcin de Aseguramiento
Independiente
OBJETIVO DE CONTROL
La Gerencia deber asegurarse de que la funcin
de aseguramiento independiente posea competencia tcnica, habilidades y conocimiento necesario para desempear dicha funcin en una forma efectiva, eficiente y econmica.
3.8 Participacin Proactiva de la Auditora
OBJETIVO DE CONTROL
La Gerencia de Tecnologa de Informacin deber buscar la participacin de la auditora en una
forma proactiva, antes de finalizar soluciones de
servicio de tecnologa de informacin.
120
MONITOREO
M4
Adquisicin &
Implementacin
ef
ec
ti v
ef ida
c o ic ie d
nf
id ncia
en
in c ia
te
li
di gri dad
s p da
o
d
c u nibi
m lid
p
a
c o lim d
nf ien
ia
b i to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
proveer auditora independiente

incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas
auditoras independientes desarrolladas a intervalos
regulares
independencia de auditora
involucramiento proactivo de la auditora
ejecucin de auditoras por parte de personal calificado
aclaracin de resultados y recomendaciones
actividades de seguimiento
Evaluacin del impacto de las recomendaciones de la auditoria (costos, beneficios, y
riesgos)
g
ap ente
lic
a
te c i o n
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
3 3 3 3 3
121
4
tener el CISA35) necesarios para desempear dichas revisiones en forma efectiva, eficiente y
econmica. La Gerencia deber asegurar que el
personal asignado a tareas de auditora de sistemas de informacin, mantiene su nivel de competencia tcnica mediante un programa adecuado de
educacin profesional continua.
PROVEER AUDITORA INDEPENDIENTE
4.1 Estatuto34 de Auditora

OBJETIVO DE CONTROL
La alta gerencia de la organizacin deber establecer el estatuto para la funcin de auditora.
Este documento deber establecer la responsabilidad, autoridad y obligaciones de la funcin de
auditora. Asimismo este documento deber ser
revisado peridicamente para asegurar que se
mantengan la independencia, autoridad y responsabilidad de la funcin de auditora.
4.5 Planeacin
OBJETIVO DE CONTROL
La alta gerencia deber establecer un plan de auditora para garantizar que se obtenga un aseguramiento regular e independiente con respecto a la
efectividad, eficiencia y economa de la seguridad y de los procedimientos de control interno,
as como de la habilidad de la Gerencia para controlar las actividades de la funcin de servicios de
informacin. Dentro de este plan la Gerencia
deber determinar las prioridades relacionadas
con la obtencin de aseguramiento independiente. Los auditores debern planear el trabajo de
auditora para alcanzar los objetivos de auditora
y cumplir con los estndares profesionales correspondientes.
4.2 Independencia
OBJETIVO DE CONTROL
El auditor deber ser independiente del auditado
tanto en actitud como en apariencia (real y percibida). Los auditores no debern estar relacionados con la seccin o departamento que est siendo auditado, y en la medida de lo posible, deber
tambin ser independiente de la propia empresa.
De esta manera, la funcin de auditora deber
ser suficientemente independiente del rea auditada para concluir una auditora en forma objetiva.
4.6 Ejecucin del Trabajo de Auditora

OBJETIVO DE CONTROL
4.3 Etica y Estndares Profesionales
Las auditoras debern ser supervisadas apropiadamente para proporcionar certeza de que los objetivos de auditora estn siendo alcanzados y que
los estndares profesionales de auditora que sean
aplicables estn siendo considerados. Los auditores debern asegurarse de obtener evidencia suficiente, confiable, relevante y til para alcanzar
los objetivos de auditora de forma efectiva. Los
hallazgos y conclusiones de auditora deben estar
soportadas por un anlisis apropiado y una correcta interpretacin de esta evidencia.
OBJETIVO DE CONTROL
La funcin de auditora deber asegurar el cumplimiento de los cdigos aplicables de tica profesional (ej. Cdigo de Etica de la Information
Systems Audit and Control Association) y estndares de auditora (ej. Estndares de la Information Systems Audit and Control Association) en
todo lo que el auditor lleve a cabo. El debido
cuidado profesional deber observarse en todos
los aspectos del trabajo de auditora, incluyendo
el respeto de estndares aplicables sobre auditora
y tecnologa de informacin.
4.7 Reporte
OBJETIVO DE CONTROL
4.4 Competencia
La funcin de auditora de la organizacin deber

entregar un reporte, en un formato adecuado, a
todo el personal interesado una vez concluida su
OBJETIVO DE CONTROL
La Gerencia deber asegurar que los auditores
responsables de las revisiones de las actividades
de la funcin de servicios de informacin de la
organizacin, sean tcnicamente competentes y
cuenten en forma general con las habilidades y
conocimientos (ej. dominios requeridos para obIT GOVERNANCE INSTITUTE
34
35
Estatuto (charter)
CISA: es un acrnimo para el titulo de Certified
Information Systems Auditor (auditor de sistemas
de informacin certificado).
122
revisin. El reporte de auditora deber mostrar
los objetivos de la auditora, el perodo de cobertura y la naturaleza y extensin de trabajo de auditora realizado. El reporte deber identificar la
Organizacin, los destinatarios del informe y
cualquier restriccin en su circulacin. El reporte
de auditora deber tambin mostrar los hallazgos, conclusiones y recomendaciones relacionadas con el trabajo de auditora llevado a cabo, as
como cualquier salvedad o comentario que el auditor tenga con respecto a la auditora.
4.8 Actividades de Seguimiento
OBJETIVO DE CONTROL
La resolucin y atencin de los comentarios sobre la auditora depende de la Gerencia. Los auditores debern solicitar y evaluar la relacionada
con los hallazgos, conclusiones y recomendaciones de auditoras anteriores para determinar si las
acciones apropiadas han sido implementadas de
manera oportuna.
123
APENDICES
124
APENDICE I
DIRECTRICES GERENCIALES DE GOBIERNO /
GOBERNABILIDAD DE TI
Las siguientes Directrices Gerenciales y el Modelo de Madurez identifican los Factores Crticos de xito
(Critical Success Factors CSFs), los Indicadires Claves de objetivos/resultados (Key Goal Indicators
KGIs), Indicadores Claves de Desempeo (Key Performance IndicatorsKPIs) para la Gobernabilidad de TI.
Primero, la Gobernabilidad de TI se define articulando las necesidades del negocio. A continuacin, los criterios de informacin relacionados con la Gobernabilidad de TI son identificados. Las necesidades del negocio
son medidas por los Indicadores Claves de Resultados - KGIs - y organizados por sentencias de control apoyado por todos los recursos de TI. El resultado de las sentencias de control organizadas son medidas por los Indicadores Clave de desempeo - KPIs los cuales consideran los Factores crticos de xito - CSFs.
El modelo de madurez se utiliza para evaluar el nivel de la organizacin para cumplir con lo establecido por la
Gobernabilidad de TIdesde el mas bajo nivel donde no existe, pasando por un estado inicial /adhoc, ascendiendo a otro repetible pero intuitivo, luego a otro con procesos definidos, a otro administrado y medido y llegando al nivel optimista que es el mas alto nivel. Para llegar al nivel de madurez optimista para la Gobernabilidad de TI, una organizacin debe estar al menos en el nivel optimizado del dominio de Monitoreo y al menos
estar en el nivel de medir y administrar los dems dominios.
(Ver las Directrices Gerenciales de Cobit para una completa discusin del uso de esas herramientas)
125
APENDICE I DIRECTRICES GERENCIALES DELGOBIERNO/GOBERNABILIDAD DE
TI
Gobierno sobre la tecnologa de informacin y los
procesos con las metas del negocio para aadir valor,
mientras se balancean los riesgos y el retorno
Asegurar la entrega de informacin al Negocio el

cual establece los Criterios de Informacin requeridos y es medido por Indicadores Clave de
Resultados/Logros
Criterios de Informacin
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Se hace posible a travs de la creacin y

mantenimiento de un sistema de procesos y
controles apropiados para el negocio, el
cual dirige y monitorea el valor del negocio
proporcionado por TI
Considera Factores Crticos de xito
que tiene en cuenta todos los Recursos
de TI y es medido por Indicadores Clave de Desempeo
Las actividades del gobierno de TI son integradas dentro del proceso de gobierno de la empresa y las conductas de liderazgo
El gobierno de TI se enfoca en los objetivos y
metas de la empresa, en las iniciativas estratgicas y el uso de tecnologa para mejorar el negocio, con base en la disponibilidad de recursos y
capacidades suficientes para soportar las demandas del negocio.
Las actividades del Gobierno de TI estn definidas sobre propsitos claros, documentados e implementados, basados en las necesidades de la
empresa y con responsabilidades concretas.
Las prcticas gerenciales son implementadas
para incrementar la eficiencia y el uso ptimo de
los recursos as como incrementar la efectividad
de los procesos de TI.
Se establecen prcticas organizacionales para:
evitar descuidos; una cultura/ ambiente de control; anlisis de riesgos como prctica estndar;
grado de adherencia a estndares establecidos;
monitoreo y seguimiento a los riesgos y a las
deficiencias de control.
Se definen prcticas de control para evitar el
Recursos de TI
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
Indicadores Clave de Resultados / Logros

KGIs
Factores Crticos de xito - CSFs

z
incumplimiento o mal uso de controles internos.

Hay integracin e interoperabilidad transparente
de los procesos de TI mas complejos como podran ser: problemas, cambios y administracin
de la configuracin.
Se establece un comit de auditora para designar y supervisar un auditor independiente enfocado sobre TI cuando dirige la ejecucin de planes de auditora y revisa los resultados de las
auditoras y revisiones de terceros.
z
z
z
z
z
z
z
z
z
z
Incrementar el desempeo y la administracin

de costos
Mejorar el retorno de la inversin sobre las mayores inversiones de TI
Mejorar el tiempo de comercializacin
Incrementar la calidad, la innovacin y la administracin de riesgos
Procesos del negocio apropiadamente integrados
y estandartizados
Bsqueda de nuevos clientes y satisfacer los
existentes
Disponibilidad de apropiado ancho de banda,
poder de cmputo y mecanismos para la entrega
de servicios de TI
Satisfacer los requerimientos y las expectativas
de los clientes de los procesos con base en un
presupuesto y a tiempo
Cumplir con las leyes, regulaciones, estndares
de la industria y compromisos contractuales.
Transparencia en los riesgos asumidos y cumplimiento con el acuerdo del perfil de riesgo organizacional.
Comparaciones mediante Benchmarking sobre
el nivel de madurez de TI
Creacin de nuevos canales de distribucin y
entrega de servicios
126
do de los procesos relacionados de la empresa.
No hay procesos de anlisis estndar. El monitoreo de TI est implementado en una forma reactiva a incidentes que han causado algunas prdidas
o apuros a la organizacin.
I - DIRECTRICES GERENCIALES
DEL GOBIERNO DE TI
Indicadores Clave de Desempeo - KPIs
z
z
z
z
z
z
z
z
Mejorar los procesos de costo-eficiencia de TI

(costos versus entregables o servicios)
Incrementare el nmero de planes de accin de
TI para las iniciativas de mejoramiento de procesos
Incrementar la utilizacin de la infraestructura
de TI
Incrementar la satisfaccin de los socios y accionistas (encuestas y nmero de reclamaciones).
Incrementar la productividad de los funcionarios
de TI (nmero de entregables) y su moral
(encuesta)
Incrementar la disponibilidad de conocimiento e
informacin para administrar la empresa.
Incrementar las relaciones entre el gobierno de
la empresa y el gobierno de TI
Incrementar el desempeo mediante mediciones
utilizando tarjetas de medicin (Balanced Scorecards).
Modelo de Madurez del Gobierno de TI

El Gobierno sobre la tecnologa de informacin es un
proceso que tiene como finalidad proveer valor agregado al negocio mientras balancea riesgos versus
retorno.
0 No existe. Hay una completa falta de cualquier
proceso de gobierno de TI identificable. La organizacin no ha reconocido aun que hay aspectos
que deben ser identificados y por lo tanto no hay
comunicacin al respecto.
1 Inicial / Ad Hoc36. Hay evidencia de que la organizacin ha reconocido que existen aspectos del
gobierno de TI que deben ser considerados. Hay,
sin embargo, procesos no estandarizados, pero en
su lugar, hay procedimientos ad hoc aplicados
sobre un caso individual o sobre bases de caso a
caso37. El enfoque Gerencial es catico y hay una
espordica e inconsistente comunicacin sobre
aspectos y enfoques que deban ser considerados.
Puede haber algn reconocimiento para utilizar el
valor de TI en el desempeo orientado al resulta-
2 Repetible pero Intuitiva. Hay una conciencia

global sobre los aspectos del gobierno de TI. Las
actividades del gobierno de TI y los indicadores
de desempeo estn en desarrollo, incluyendo la
planeacin de TI y los procesos de entrega y monitoreo. Como parte de los esfuerzos, las actividades del gobierno de TI estn formalmente establecidas dentro del proceso de administracin del
cambio con el involucramiento activo de la alta
gerencia. Procesos seleccionados de TI son identificados para mejorar y/o controlar el ncleo de
los procesos de la empresa, son efectivamente
planeados y monitoreados como si fueran inversiones y son derivados en el contexto de un marco de referencia de la arquitectura de TI. La gerencia ha identificado los mtodos y tcnicas bsicos de anlisis y medicin del gobierno de TI,
sin embargo, el proceso no ha sido adoptado a
travs la organizacin. No hay entrenamiento y
comunicacin sobre los estndares de gobernabilidad y las responsabilidades son dejadas a los
individuos. Los individuos direccionan los procesos de gobernabilidad como si no fueran procesos
y proyectos de TI. Las herramientas de gobernabilidad son limitadas, escogidas e implementadas
para lograr mtricas de gobernabilidad pero puede que no se usen en toda su capacidad debido a
la falta de experiencia en su funcionalidad.
3 Procesos Definidos. La necesidad de actuar con
respecto al gobierno de TI es entendida y aceptada. Se desarrolla un grupo bsico de indicadores
de Gobierno de TI, donde el encadenamiento entre medidas de ingresos y controladores de
desempeo es definido, documentado e integrado
dentro de la planeacin operacional y estratgica .
Los procedimientos han sido estandarizados, documentados e implementados. La Gerencia ha
comunicado los procedimientos estandarizados y
se establece un entrenamiento informal. Los indicadores de desempeo sobre las actividades de
gobernabilidad de TI son registrados y monitoreados generando mejoras a todo lo largo de la
36
37
Ad Hoc: porque s, por costumbre

case-by-case basis: Bases de caso a caso
127
empresa. Aunque medidos, los procedimientos no
son sofisticados pero son la formalizacin de
prcticas existentes. Las herramientas estn estandarizadas, utilizando tcnicas disponibles y
modernas. La idea de utilizar tarjetas de medicin
que balancean el negocio y TI son adoptadas por
la organizacin. Esto, sin embargo, deja que el
individuo, de acuerdo con su entrenamiento, siga
y aplique los estndares. El anlisis de causa
efecto es ocasionalmente aplicado. La mayora de
los procesos son monitoreados sobre mtricas
(bases), pero cualquier desviacin, debido a que
generalmente se basa en las iniciativas de los individuos, probablemente no seran detectadas por
la Gerencia. De todas maneras, el registro total
del desempeo de los procesos claves es realizado y la gerencia es recompensada basada en mediciones clave de desempeo.
4 Administrado y Medible. Hay un completo entendimiento de los aspectos de Gobierno de TI a
todos los niveles de la organizacin, soportado
por un entrenamiento formal. Hay un claro entendimiento de quien es el cliente y sus responsabilidades estn definidas y monitoreadas a travs de
acuerdos de nivel de servicio. Las responsabilidades son claras y el proceso de propiedad est
establecido. Los procesos de TI estn alineados
con el negocio y con la estrategia de TI. El mejoramiento de los procesos de TI est basado primariamente sobre un entendimiento cuantitativo
y por ello es posible monitorear y medir el cumplimiento con procesos y con mtrica de procesos. Todos los responsables o propietarios de los
procesos son advertidos sobre los riesgos, la importancia de TI y las oportunidades que TI puede
ofrecer. La Gerencia ha definido una tolerancia
bajo la cual los procesos deben operar. Se toman
acciones en la mayora, pero no en todos los casos, donde parece que los procesos no estn operando efectiva o eficientemente. Los procesos se
mejoran ocasionalmente y se refuerzan las mejores prcticas internas. Se estandariza el uso de
anlisis causa-efectos. Hay un limitado, primario
y tctico uso de la tecnologa, basado en tcnicas
de madurez y reforzado con herramientas estndar. Hay involucramiento de todos los expertos
internos requeridos. El gobierno de TI involucra
los procesos a todo lo ancho de la empresa. Las
actividades del gobierno de TI estn llegando a
integrarse con los procesos de gobierno de la emIT GOVERNANCE INSTITUTE
presa.
5 Optimizado. En esta fase hay un entendimiento
avanzado y hacia futuro de los aspectos y soluciones del gobierno de TI. El entrenamiento y las
comunicaciones son soportadas por conceptos y
tcnicas de vanguardia. Los procesos han sido
refinados a un nivel de mejores prcticas externas
basadas sobre resultados de mejoramiento contnuo y modelos de madurez con otras organizaciones. La implementacin de esas polticas han permitido a la organizacin, a la gente y a los procesos que se adapten rpidamente y por completo a
los requerimientos de gobierno de TI. Todos los
problemas y desviaciones son analizados de raz
y con base en ese anlisis se identifican e inician
acciones eficientes y oportunas. La Tecnologa de
Informacin es utilizada de una manera extensiva
y optimizada para automatizar el flujo de trabajo
y proporcionar herramientas para mejorar la calidad y la efectividad. Los riesgos y el retorno de
los procesos de TI son definidos, balanceados y
comunicados a travs de toda la empresa. Se
aprovechan expertos externos y se utilizan benchmarks como guas. El monitoreo y el autoanlisis de riesgos y las comunicaciones acerca
de las expectativas del gobierno influencian la
organizacin y hay un ptimo uso de la tecnologa para soportar la medicin, el anlisis, las comunicaciones y el entrenamiento. El gobierno de
la empresa y el gobierno de TI estn estratgicamente conectados empujando a los recursos
humanos y financieros a incrementar la ventaja
competitiva de la empresa.
128
APNDICE II DESCRIPCIN DEL PROYECTO COBIT

El proyecto continua siendo supervisado por un Comit de Direccin formado por representantes internacionales de la academia, industria, gobierno y la profesin de auditora. El Comit de Direccin del Proyecto intervino en el desarrollo del Marco Referencial
("Framework") COBIT y en la aplicacin de los resultados de la investigacin. Se establecieron grupos de
trabajo internacionales con el propsito de asegurar la
calidad y contar con una revisin experta de la investigacin y los elementos entregables del desarrollo del
proyecto. El IT Governance Institute proporcion toda la
direccin del proyecto.
INVESTIGACION Y ENFOQUE PARA EL DESARROLLO INICIAL
Empezando con el Marco Referencial de Cobit, definido
en la primera edicin, la aplicacin de estndares y directrices internacionales y la investigacin dentro de mejores
prcticas ha permitido el desarrollo de los Objetivos de
Control. Las Guas o Directrices de Auditora fueron
desarrolladas a continuacin para analizar si esos objetivos
de control son apropiadamente implementados.
La investigacin de la primera y segunda edicin incluy
la recoleccin y el anlisis de fuentes identificadas y fue
llevada a cabo por equipos de investigacin en Europa
(Free University of Amsterdam), Estados Unidos
(California Polytechnic University) y Australia (University
of New South Wales). Los equipos de investigacin fueron
encargados de la compilacin, revisin, anlisis y apropiada incorporacin de estndares tcnicos internacionales,
cdigos de conducta, estndares de calidad, estndares
profesionales en prcticas y requerimientos de la auditora
y de la industria, en cuanto a su relacin con el Marco de
Referencia y con los Objetivos de Control individuales.
Despus de la coleccin y anlisis los investigadores fueron encargados de examinar cada dominio y cada proceso
en profundidad y sugerir nuevos o modificados objetivos
de control aplicables a los procesos particulares de TI. La
Consolidacin de los resultados fue llevada a cabo por el
Comit de Direccin de Cobit y por el Director de Investigaciones de ISACF.
INVESTIGACION Y ENFOQUE PARA LA 3a EDICION
El proyecto de la 3a edicin de Cobit consisti en desarrollar las Directrices Gerenciales y actualizar la 2a
Edicin de Cobit basado en nuevas y revisadas referencias internacionales.
Adicionalmente, el Marco de Referencia de Cobit fue

revisado y mejorado para soportar el incremento de
controles gerenciales, introducir gerencia de desempeo
y tambin desarrollar el Gobierno de TI. Con el fin de
proporcionarle a la gerencia una aplicacin del Marco
de Referencia para que pueda analizar y efectuar cambios para la implementacin de controles y el mejoramiento sobre la informacin y las tecnologas relacionadas, as como medir el desempeo, las Directrices
Gerenciales incluyen Modelos de Madurez, Factores
Crticos de xito, Indicadores Clave de Logros/
resultados e Indicadores Clave de Desempeo relacionados con los Objetivos de Control.
Las Directrices Gerenciales fueron desarrolladas para
ser utilizadas por un grupo de 40 expertos de todo el
mundo, pertenecientes a la industria, la academia, el
gobierno y profesionales en control y seguridad de TI.
Esos expertos participaron en talleres de trabajo guiados por facilitadores profesionales que utilizaron guas
definidas por el Comit de Direccin del Proyecto Cobit. Los talleres fueron fuertemente apoyados por el
Gartner Group y PricewaterhouseCoopers, quienes no
solo proporcionaron liderazgo de pensamiento sino que
tambin enviaron varios de sus expertos en control, gerencia del desempeo y seguridad de la informacin.
Los resultados de los talleres generaron los borradores
de los Modelos de Madurez, los Factores Crticos de
xito, los Indicadores Clave de Logros y los Indicadores Clave de Desempeo para cada uno de los 34 objetivos de control de alto nivel. El aseguramiento de calidad de los entregables iniciales fue dirigido por el Comit de Direccin del Proyecto y el resultado de este
trabajo fue colocado a disposicin en la web site de
ISACA. El documento de las Directrices Gerenciales
fue finalmente preparado para ofrecer un nuevo grupo
de herramientas orientadas a la gerencia, mientras que
ofreca integracin y consistencia con el Marco de Referencia de Cobit.
La actualizacin de los Objetivos de Control, basada en
nuevos y revisados estndares internacionales fue conducida por miembros de los Captulos de ISACA, bajo
la coordinacin de los miembros del Comit de Direccin de Cobit. La intencin no fue llevar a cabo un
anlisis global de todo el material o volver a desarrollar
los Objetivo de Control, sino generar un proceso de
actualizacin incremental.
129
El resultado del desarrollo de las Directrices Gerenciales fue utilizado para revisar el Marco de Referencia de Cobit, especialmente en lo que tiene que ver
con las consideraciones, objetivos y sentencias que
configuran los objetivos de control de alto nivel.
130
APNDICE III - MATERIAL DE REFERENCIA PRIMARIA
Nota del traductor: Debido a que el contenido de este apndice se compone principalmente de nombres propios de instituciones
y publicaciones, dichos nombres han sido respetados mantenindolos en ingls.
COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - Integrated Framework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994.
OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of Information, Paris, 1992.
DTI Code of Practice for Information Security Management: Department of Trade and Industry and British
Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995.
ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance Standards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of software, Switzerland, 1991.
An Introduction to Computer Security: The NIST Handbook: National Institute of Standards and Technology,
U.S. Department of Commerce. Washington, DC, 1995.
ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines developed by the Central Computer and Telecommunications Agency (CCTA), London, 1989.
IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials
Group on Information Security, advising the European Commission) Brussels, Belgium, 1994.
NSW Premiers Office Statements of Best Practices and Planning Information Management and Techniques:
Statements of Best Practice #1 through #6. premier's Department New South Wales, Government of New South
Wales, Australia, 1990 through 1994.
Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data Processing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998.
EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph Series #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994.
PCIE (president's Council on Integrity and Efficiency) Model Framework: A Model Framework for Management Over Automated Information Systems. Prepared jointly by the president's Council on Management Improvement and the president's Council on Integrity and Efficiency, Washington, DC, 1987.
Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by
the Chuo Audit Corporation, Tokyo, August 1994.
CONTROL OBJECTIVES Controls in an Information Systems Environment: Control Guidelines and Audit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Fourth
Edition, Rolling Meadows, IL, 1992.
CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified Information Systems Auditor Job Analysis Study", Rolling Meadows, IL, 1994.
131
CICA Computer Control Guidelines: Canadian Institute of Chartered Accountants, Toronto, 1986.
IFAC International Guidelines for Managing Security of Information and Communications: International
Federation of Accountants, New York, NY, 1997.
IFAC International Guidelines on Information Technology Management - Managing Information Technology Planning for Business Impact (Draft): International Federation of Accountants, New York, NY, 1998.
Standards for Internal Control in the U.S. Federal Government: U.S. General Accounting Office, Washington,
DC, 1983.
Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NBS Special
Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington,
DC, 1988.
Government Auditing Standards: U. S. General Accounting Office, Washington, DC, 1994.
Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants, Denmark, 1994.
SPICE: Software Process Improvement and Capability Determination. A standard on software process improvement, British Standards Institution, London, 1995.
DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute International. Guideline for Business Continuity Planners, St. Louis, MO, 1997.
IIA, SAC Systems Audibility and Control: Institute of Internal Auditors Research Foundation, Systems Audibility and Control Report, Alamonte Springs, FL, 1991, 1994.
IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research Foundation, Alamonte Springs, FL, 1997.
E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996.
C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, NY, 1997.
ISO IEC JTC1/SC27 Information Technology - Security: International Organisation for Standardisation (ISO)
Technical Committee on Information Technology Security, Switzerland, 1998.
ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical Committee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992.
ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services: International Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services, Draft,
Switzerland, 1997.
132
CCEB 96/011, Common Criteria for Information Technology Security Evaluation: Common Criteria Implementation Board, Alignment and comparison of existing European, US and Canadian IT Security Criteria, Draft,
Washington, DC, 1997.
Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987.
TickIT: Guide to Software Quality Management System Construction and Certification. British Department of
Trade and Industry (DTI), London, 1994
ESF Baseline Control - Communications: European Security Forum, London. Communications Network Security, September 1991; Baseline Controls for Local Area Networks, September, 1994.
ESF Baseline Control - Microcomputers: European Security Forum, London. Baseline Controls Microcomputers
Attached to Network, June 1990.
Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Rolling Meadows, IL, 1992.
Guide for Developing Security Plans for Information Technology: NIST Special Publication 800-18, National
Institute for Standards and Technology, US Department of Commerce, Washington, DC 1998
Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office, Washington, DC, 1999.
BS7799-Information Security Management: British Standards Institute, London, 1999.
CICA Information Technology Control Guidelines, 3er Edition: Canadian Institute of Chartered Accountants,
Toronto, 1998
ISO/IEC TR 1335-n Guidelines for the Management of IT Security, (GMITS) Parts 1-5: International Organisation for Standardisation, Switzerland, 1998.
AICPA/CICA SystrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute of
Certified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999.
133
APNDICE IV - GLOSARIO DE TERMINOS
AICPA
Instituto Americano de Contadores Pblicos Certificado. (American Institute of Certified Public

Accountants)
CCEB
Criterios comunes para seguridad en tecnologa de informacin. (Common Criteria for

Information Technology Security)
CICA
Instituto Canadiense de Contadores. (Canadian Institute of Chartered Accountants)
CISA
Auditor Certificado de Sistemas de Informacin. (Certified Information Systems Auditor)
Control
Polticas, procedimientos, prcticas y estructuras organizacionales, diseados para proporcionar

una seguridad razonable de que los objetivos del negocio sern alcanzados y que eventos no
deseados sern prevenidos o detectados y corregidos.
COSO
Comit de Organizaciones Patrocinadoras de la Comisin de Intercambio.

"Tradeway" (Committee of Sponsoring Organisations of the Tradeway Commission).
DRI
Instituto Internacional de Recuperacin de Desastres. (Disaster Recovery Institute International)
DTI
Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of
the United Kingdom)
EDIFACT
Intercambio Electrnico de Datos para la Administracin, el Comercio y la Industria (Electronic

Data Interchange for Administration, Commerce and Trade)
EDPAF
Fundacin de Auditores de Procesamiento Electrnico de Datos (Electronic Data Processing

Auditors Foundation), ahora ISACF.
ESF
Foro Europeo de Seguridad (European Security Forum), cooperacin de 70+ multinacionales

europeas principalmente con el propsito de investigar problemas de seguridad y control
comunes de TI.
GAO
Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office)
I4
Instituto Internacional de Integridad de Informacin. (International Information Integrity

Institute), asociacin similar a ESF, con metas similares, pero con base principalmente en los
Estados Unidos y dirigida por el Instituto de Investigaciones de Stanford (Stanford Research
Institute)
IBAG
Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group), representantes de la

industria que asesoran al Comit Infosec. Este Comit est compuesto por funcionarios de los
gobiernos de la Comunidad Europea y asesora a la Comisin Europea sobre cuestiones de seguridad de TI.
IFAC
Federacin Internacional de Contadores. (International Federation of Accountants)
IIA
Instituto de Auditores Internos. (Institute of Internal Auditors)
134
INFOSEC
Comit Consultivo para la Comisin Europea en Materia de Seguridad TI. (Advisory Committee
for IT Security Matters to the European Commission)
ISACA
Asociacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit

and Control Foundation)
ISACF
Fundacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit

and Control Foundation)
ISO
Organizacin de Estndares Internacionales. (International Standards Organisation) (con oficinas en Gnova, Suiza)
ISO9000
Estndares de manejo y aseguramiento de la calidad definidos por ISO.
ITIL
Biblioteca de Infraestructura de Tecnologa de Informacin. (Information Technology Infrastructure Library)
ITSEC
Criterios de Evaluacin de Seguridad de Tecnologa de Informacin (Information Technology

Security Evaluation Criteria). Combinacin de los criterios de Francia, Alemania, Holanda y Reino Unido, soportadas consecuentemente por la Comisin Europea (ver tambin TCSEC, el
equivalente en los Estados Unidos).
NBS
Departamento Nacional de Estndares de los Estados Unidos (National Bureau of Standards of

the U.S.)
NIST
(antes NBS)
Instituto Nacional de Estndares y Tecnologa. (National Institute of Standards
and Technology), con base en Washington D.C.
NSW
Nueva Gales del Sur, Australia. (New South Wales, Australia)
Objetivo de
Control
Una sentencia o declaracin del resultado deseado o propsito a ser alcanzado mediante la implementacin de procedimientos de control en una actividad particular de TI
OECD
Organizacin para la Cooperacin y el Desarrollo Econmico. (Organisation for Economic Cooperation and Development)
OSF
Fundacin de Software Pblico (Open Software Foundation)
PCIE
Consejo Presidencial de Integridad y Eficiencia. (Presidents Council on Integrity and Efficiency)
SPICE
Mejoramiento del Proceso de Software y Determinacin de la Capacidad (Software Process Improvement and Capability Determination) - un estndar pare el mejoramiento del proceso de
software
Criterios de Evaluacin de Sistemas Computarizados Confiables. (Trusted Computer System
Evaluation Criteria), conocido tambin como "The Orange Book". Criterios de evaluacin de
seguridad para sistemas computarizados definidos originalmente por el Departamento de Defensa de los Estados Unidos. Ver tambin ITSEC, el equivalente europeo.
TCSEC
TickIT
Gua para la Construccin y Certificacin de Sistemas de Administracin de Calidad. (Guide to

Software Quality Management System Construction and Certification)
135

A - COBIT-Objetivos de Control - 3 Edicion PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

A - COBIT-Objetivos de Control - 3 Edicion PDF

Transféré par

Droits d'auteur :

Formats disponibles

OBJETIVOS DE CONTROL

INFORMATION SYSTEMS AUDIT AND

su programa de educacin profesional

Association es una organizacin global

ofrece conferencias tcnicas y adminis-

lder de profesionales que representa a

trativas en cinco continentes, as como

individuos en ms de 100 pases y compren-

seminarios en todo el mundo para

de todos los niveles de la tecnologa de

ayudar a los profesionistas de todas

informacin Direccin ejecutiva, geren-

partes a recibir educacin contina de

cia media y practicantes. La Asociacin

su rea de publicidad tcnica propor-

papel de generador central que armoniza

ciona materiales de desarrollo profe-

los estndares de las prcticas de control

sional y referencias con el fin de au-

de TI a nivel mundial. Sus alianzas estrat-

mentar su distinguida seleccin de

gicas con otros grupos dentro del mbito

profesional financiero, contable, de auditora y de TI aseguran a los dueos del proce-

La Information Systems Audit and Control

so del negocio un nivel sin paralelo de inte-

Association se cre en 1969 para cubrir las

necesidades nicas, diversas y de alta tecno-

loga en el naciente campo de la TI. En una

sus actividades estndar establecen la

actividades de control y auditora de TI

El Marco Referencial de COBIT

Los Principios del Marco Referencial

Historia y Antecedentes del COBIT

Principios de los Objetivos de Control

Relaciones de Objetivos de Control

Copyright 1996, 1998, 2000, de la Information Systems Audit and

COMIT DIRECTIVO DE COBIT

MARK STANLEY, SUN AMERICA INC., USA

siendo entendido como un aspecto clave en el gobierno

Guerra de informacin (information warfare)

Especficamente COBIT provee Modelos de Madurez

Por lo tanto, COBIT est diseado para ser la

PROCESOS DE TI DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS DE COBIT

Definir un Plan Estratgico de

Definir Niveles de Servicio

AI1 Identificar Soluciones

EL MARCO REFERENCIAL DE COBIT

Las actividades de la empresa requieren informacin de las actividades de TI con el fin de

Las empresas son gobernadas por buenas (o

TI est alineado con el

de Control originales de la Information Systems Audit

Las polticas, procedimientos, prcticas y estructuras organizacionales

LOS PRINCIPIOS DEL MARCO DE REFERENCIA

Efectividad y eficiencia de las

La Calidad ha sido considerada principalmente por su

Se refiere a que la informacin relevante sea pertinente para el proceso

Los recursos de TI identificados en COBIT pueden explicarse/definirse como se muestra a continuacin:

Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica)

Se refiere a la proteccin de informacin sensible contra divulgacin

Se refiere a la precisin y suficiencia de la informacin, as como a su

Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos

Se entiende como sistemas de aplicacin la suma de procedimientos

Otra forma de ver la relacin de los recursos de TI con