Académique Documents
Professionnel Documents
Culture Documents
COBIT
MARCO REFERENCIAL
3a Edicin
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos
de control en tecnologa de informacin con autoridad, actualizados,
de carcter internacional y aceptados generalmente para el uso cotidiano
de gerentes de empresas y auditores.
IT GOVERNANCE INSTITUTE 1
ARGENTINA MARCO REFERENCIAL
LIECHTENSTEIN
ARUBA LITUANIA
AUSTRALIA
AUSTRIA
INFORMATION SYSTEMS AUDIT AND LUXEMBURGO
MALASIA
BAHAMAS MALTA
BAHRAIN CONTROL ASSOCIATION MALAWI
BANGLEDESH MXICO
BARBADOS PASES BAJOS
BLGICA Una sola Fuente Internacional para los Controles NUEVA GUINEA
BERMUDA de la Tecnologa de Informacin NUEVA ZELANDA
BOLIVIA NIGERIA
BOSTSWANA Information Systems Audit and Control su programa de educacin profesional NORUEGA
BRASIL Association es una organizacin global OMN
ofrece conferencias tcnicas y
BRUENI PAKISTN
lder de profesionales que representa a administrativas en cinco continentes,
CANAD PANAM
CHILE individuos en ms de 100 pases y as como seminarios en todo el mundo PER
CHINA comprende todos los niveles de la para ayudar a los profesionistas de FILIPINAS
COLOMBIA tecnologa de informacin Direccin todas partes a recibir educacin POLONIA
COSTA RICA PORTUGAL
ejecutiva, gerencia media y practicantes. contina de alta calidad.
CROATA QATAR
CURAZAO La Asociacin est nicamente posesionada su rea de publicidad tcnica
RUSIA
CYPRUS para cubrir el papel de generador central proporciona materiales de desarrollo SAIPAN
REPBLICA CHECA que armoniza los estndares de las profesional y referencias con el fin de ARABIA SAUDITA
DINAMARCA prcticas de control de TI a nivel mundial. aumentar su distinguida seleccin de ESCOCIA
REPBLICA DOMI- SEYCHELLES
NICANA
Sus alianzas estratgicas con otros grupos programas y servicios.
SINGAPUR
ECUADOR dentro del mbito profesional financiero, REP. ESLOVACA
EGIPTO contable, de auditora y de TI aseguran a La Information Systems Audit and Control ESLOVENIA
ESTONIA los dueos del proceso del negocio un nivel Association se cre en 1969 para cubrir las SUDFRICA
ISLAS FAEROE ESPAA
sin paralelo de integracin y compromiso. necesidades nicas, diversas y de alta
FINLANDIA SRI LANKA
tecnologa en el naciente campo de la TI.
FRANCIA
ALEMANIA
Programas y Servicios de En una industria donde el progreso se mide
ST. KITTS
ST. LUCIA
GHANA la Asociacin en nanosegundos, ISACA se ha movido gil SUECIA
GRECIA Los Programas y Servicios de la Asociacin y velozmente para satisfacer las necesidades SUIZA
GUAM SIRIA
han ganado prestigio al establecer los de la comunidad de negocios
GUATEMALA TAIWAN
niveles ms altos de excelencia en internacionales y de la profesin de
HONDURAS TANZANIA
HONG KONG certificacin, estndares, educacin controles de la TI. TASMANIA
HUNGRA profesional y publicidad tcnica. TAILANDIA
ISLANDIA su programa de certificacin (el Para ms Informacin TRINIDAD & TO-
INDIA Para recibir informacin adicional, puede BAGO
Auditor de Sistemas de Informacin
INDONESIA TURQUA
Certificado) es la nica designacin llamar al (+1.847.253.1545), enviar un e-
IRLANDA UGANDA
ISRAEL global en toda la comunidad de mail a (research@isaca.org) o visitar los EMIRATOS ARAB
ITALIA control y auditora de la TI. siguentes sitios web: UNIDOS
IVORY COAST REINO UNIDO
JAMAICA sus actividades estndar establecen la
ESTADOS UNI-
base de calidad mediante la cual otras www.itgovernance.org
JAPN DOS
JORDN actividades de control y auditora de TI www.isaca.org URUGUAY
KENYA VENEZUELA
se miden.
COREA VIETNAM
KUWAIT GALES
LATVIA YEMEN
LEBANON ZAMBIA
ZIMBABWE
2 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
Lmite de Responsabilidad
Reconocimientos 4
La Information Systems Audit and Control AssociationISACA- y
Resumen Ejecutivo 5 el IT Governance Institute ITGI- (los propietarios) han creado esta
publicacin titulada COBIT: Objetivos de Control para la
Informacin y las Tecnologas Relacionadas (el trabajo)
El Marco Referencial de COBIT 9 principalmente como un recurso educativo para los profesionales
dedicados a las actividades de control. Los Propietarios declaran que
Los Principios del Marco Referencial 14 no responden o garantizan que el uso que se le de al Trabajo
asegurar un resultado exitoso. No deber considerarse que el
Trabajo incluye toda la informacin, los procedimientos o las
Historia y Antecedentes de COBIT 20 pruebas apropiadas o excluye otra informacin, procedimientos y
pruebas que estn razonablemente dirigidas a la obtencin de los
Tabla Resumen 22 mismos resultados. Para determinar la conveniencia de cualquier
informacin, procedimiento o prueba especfica, los expertos en
control debern aplicar su propio juicio profesional a las
Principios de los Objetivos de Control 23 circunstancias especficas presentadas por los sistemas o por el
ambiente de tecnologa de informacin en particular.
Relaciones de Objetivos de Control
Esta edicin de COBIT fue traducida al idioma espaol por Gustavo
Dominios, Procesos y Objetivos de Control 25 Adolfo Sols Montes, Lucio Augusto Molina Focazzio, Johann Tello
Meryk y Roco Torres Surez, (los traductores). Los traductores
Objetivos de Control asumen la responsabilidad exclusiva por la actualizacin y por la
fidelidad de la traduccin. La Information Systems Audit and
Planeacin y Organizacin 26 Control Association (ISACA) y el IT Governance Institute (ITGI)
Adquisicin e Implementacin 37 declaran que no responden por la actualizacin, totalidad, o por la
calidad de la traduccin. En ningn evento ISACA/ITGI ser
Entrega de Servicios y Soporte 43
responsable ante un individuo u organizacin por los daos causados
Monitoreo 56 en relacin con la edicin del lenguaje, cualquier actualizacin,
modificacin, localizacin o traduccin.
Apndice I
Acuerdo de Licencia de uso (disclosure)
Directrices Gerenciales del Gobierno de IT 63 Copyright 1996, 1998, 2000, de la Information Systems Audit and
Control Foundation (ISACF). La reproduccin para fines
Apndice II comerciales no est permitida sin el previo consentimiento por
escrito de la ISACF. Se otorga permiso para reproducir el Resumen
Ejecutivo, el Marco Referencial, los Objetivos de Control, las
Descripcin del Proyecto COBIT 67 Directrices Gerenciales y el Conjunto de Herramientas de
Implementacin para uso interno no comercial, incluyendo
Apndice III almacenamiento en medios de recuperacin de datos y transmisin
en cualquier medio, incluyendo electrnico, mecnico, grabado u
Material de Referencia Primaria 68 otro medio. Todas las copias del Resumen Ejecutivo, el Marco
Referencial, los Objetivos de Control, las Directrices Gerenciales y
el Conjunto de Herramientas de Implementacin deben incluir el
Apndice IV siguiente reconocimiento y leyenda de derechos de autor:
Copyright 1996, 1998, 2000 Information Systems Audit and
Glosario de Trminos Originales 71 Control Foundation. Reimpreso con la autorizacin de la
Information Systems Audit and Control Foundation, y el IT
Governance Institute.
Information Systems Audit and Control Foundation
IT Governance Institute Las Guas/Directrices de Auditora no pueden ser usadas, copiadas,
3701 Algonquin Road, Suite 1010 reproducidas, almacenadas, modificadas en un sistema de
Rolling Meadows, Illinois 60008 USA. recuperacin de datos o transmitido en ninguna forma ni por ningn
Telfono: 1+847.253.1525 medio (electrnico, mecnico, fotocopiado, grabado u otro medio)
Fax: 1+847.253.1443 sin la previa autorizacin por escrito de la ISACF. Sin embargo, las
E-mail: research@isaca.org Directrices de Auditora pueden ser usadas con fines no comerciales
Web sites: www.isaca.org internos nicamente. Excepto por lo indicado, no se otorga ningn
www.itgi.org otro derecho o permiso relacionado con esta obra. Todos los
derechos de esta obra son reservados.
ISBN 1-893209-98-9 (Marco Referencial, Espaol)
ISBN 1-933284-02-1 (Paquete completo de los 6 libros y CD)
Impreso en los Estados Unidos de Amrica
IT GOVERNANCE INSTITUTE 3
MARCO REFERENCIAL
RECONOCIMIENTOS
RONALD SAULL, GREAT-WEST LIFE ASSURANCE, LONDON LIFE AND INVESTORS GROUP, CANADA
Agradecimientos Especiales a los Captulos de ISACA del rea de la Capital Nacional y al de Boston por su con-
tribucin a los Objetivos de Control de COBIT
Agradecimientos Especiales a los miembros de la Mesa Directiva de la Information Systems Audit and Control
Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, encabezados por el
Presidente Internacional Paul Williams, por su contnuo y firme apoyo al COBIT
4 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
RESUMEN EJECUTIVO
Un elemento crtico para el xito y la supervivencia de relacionados con TI est siendo entendido como un
las organizaciones, es la administracin efectiva de la aspecto clave en el gobierno o direccin empresarial.
informacin y de la Tecnologa de Informacin (TI)
Dentro del Gobierno Empresarial, el Gobierno /
Relacionada. En esta sociedad global (donde la
Gobernabilidad de TI2 se est volviendo mas y mas
informacin viaja a travs del ciberespacio sin las
importante y est definido como una estructura de
restricciones de tiempo, distancia y velocidad) esta
relaciones y procesos para dirigir y controlar a la
criticidad emerge de:
empresa con el fin que sta pueda cumplir sus metas
z La creciente dependencia en informacin y en los
dando valor agregado mientras balancea sus riesgos
sistemas que proporcionan dicha informacin
versus el retorno sobre TI y sus procesos. El Gobierno
z La creciente vulnerabilidad y un amplio espectro de
de TI es parte integral del xito de la Gerencia de la
amenazas, tales como las ciber amenazas y la
Empresa al asegurar mejoras medibles, eficientes y
guerra de informacin1
efectivas de los procesos relacionados de la empresa. El
z La escala y el costo de las inversiones actuales y
Gobierno de TI provee las estructuras que unen los
futuras en informacin y en tecnologa de
procesos de TI, los recursos de TI y la informacin con
informacin; y
las estrategias y los objetivos de la empresa. Adems, el
z El potencial que tienen las tecnologas para cambiar
Gobierno de TI integra e institucionaliza buenas (o
radicalmente las organizaciones y las prcticas de
mejores) prcticas de planeacin y organizacin,
negocio, crear nuevas oportunidades y reducir
adquisicin e implementacin, entrega de servicios y
costos
soporte y monitorea el desempeo de TI para asegurar
Para muchas organizaciones, la informacin y la que la informacin de la empresa y las tecnologas
tecnologa que la soporta, representan los activos mas relacionadas soportan sus objetivos del negocio. El
valiosos de la empresa. Es ms, en nuestro competitivo Gobierno de TI conduce a la empresa a tomar total
y rpidamente cambiante ambiente actual, la Gerencia ventaja de su informacin logrando con esto maximizar
ha incrementado sus expectativas relacionadas con la sus beneficios, capitalizar sus oportunidades y obtener
entrega de servicios de TI. Por lo tanto, la ventaja competitiva
Administracin requiere niveles de servicio que
GOBIERNO DE TI
presenten incrementos en calidad, en funcionalidad y en
facilidad de uso, as como un mejoramiento continuo y Una estructura de relaciones y procesos para dirigir
una disminucin de los tiempos de entrega; al tiempo y controlar la empresa con el objeto de alcanzar los
que demanda que esto se realice a un costo ms bajo. objetivos de la empresa y aadir valor mientras se
balancean los riesgos versus el retorno sobre TI y sus
Muchas organizaciones reconocen los beneficios
procesos.
potenciales que la tecnologa puede proporcionar. Las
organizaciones exitosas, sin embargo, tambin Las organizaciones deben cumplir con requerimientos
comprenden y administran los riesgos asociados con de calidad, fiduciarios y de seguridad, tanto para su
la implementacin de nuevas tecnologas. informacin, como para sus activos. La Administracin
deber adems optimizar el empleo de sus recursos
Hay numerosos cambios en TI y en su ambiente de
disponibles, los cuales incluyen: personal, instalaciones,
operacin que enfatiza la necesidad de un mejor manejo
tecnologa, sistemas de aplicacin y datos. Para cumplir
relacionado con los riesgos de TI. La dependencia en la
con esta responsabilidad, as como para alcanzar sus
informacin electrnica y en los sistemas de TI son
esenciales para soportar los procesos crticos del
negocio. Adicionalmente, el ambiente regulatorio
demanda control estricto sobre la informacin. Esto a su
1 Guerra de informacin (information warfare)
2
Gobierno de TI (IT Governance) Governance es un tr-
vez conduce a un incremento de los desastres en los
mino que representa el sistema de control o administra-
sistemas de informacin y al incremento del fraude cin que establece la alta gerencia para asegurar el logro
electrnico. La Administracin de los riesgos de los objetivos de una Organizacin.
IT GOVERNANCE INSTITUTE 5
MARCO REFERENCIAL
objetivos, la Administracin debe entender el estado de total responsabilidad de todos los aspectos relacionados
sus propios sistemas de TI y decidir el nivel de con dichos procesos de negocio. En particular, esto
seguridad y control que deben proveer estos sistemas. incluye el proporcionar controles adecuados.
Los Objetivos de Control para la Informacin y las El Marco de Referencia de COBIT proporciona, al
Tecnologas Relacionadas (COBIT), ahora en esta propietario de procesos de negocio, herramientas que
tercera edicin, ayuda a satisfacer las mltiples facilitan el cumplimiento de esta responsabilidad. El
necesidades de la Administracin estableciendo un Marco de Referencia comienza con una premisa simple
puente entre los riesgos del negocio, los controles y prctica:
necesarios y los aspectos tcnicos. Provee buenas
Con el fin de proporcionar la informacin que la
prcticas a travs de un dominio y el marco referencial
empresa necesita para alcanzar sus objetivos, los
de los procesos y presenta actividades en una estructura
recursos de TI deben ser administrados por un
manejable y lgica. Las Buenas prcticas de COBIT
conjunto de procesos de TI agrupados en forma
rene el consenso de expertos - quienes ayudarn a
natural.
optimizar la inversin de la informacin y
proporcionarn un mecanismo de medicin que El Marco de Referencia contina con un conjunto de 34
permitir juzgar cuando las actividades van por el Objetivos de Control de alto nivel, uno para cada uno de
camino equivocado. los Procesos de TI, agrupados en cuatro dominios:
Planeacin y Organizacin, Adquisicin e
La Administracin debe asegurar que los sistemas de
Implementacin, Entrega de servicios y Soporte y
control interno o el marco referencial estn funcionando
Monitoreo. Esta estructura cubre todos los aspectos de
y soportan los procesos del negocio y debe tener
informacin y de tecnologa que la soporta.
claridad sobre la forma como cada actividad individual
Administrando adecuadamente estos 34 Objetivos de
de control satisface los requerimientos de informacin e
Control de alto nivel, el propietario de procesos de
impacta los recursos de TI. El impacto sobre los
negocio podr asegurar que se proporciona un sistema
recursos de TI son resaltados en el Marco de Referencia
de control adecuado para el ambiente de tecnologa de
de COBIT junto con los requerimientos del negocio que
informacin.
deben ser alcanzados: eficiencia, efectividad,
confidencialidad, integridad, disponibilidad, El Marco de Referencia de COBIT provee adems una
cumplimiento y confiabilidad de la informacin. El gua o lista de verificacin para el Gobierno de TI. El
control, que incluye polticas, estructuras, prcticas y Gobierno de TI proporciona las estructuras que
procedimientos organizacionales, es responsabilidad de encadenan los procesos de TI, los recursos de TI y la
la administracin. informacin con los objetivos y las estrategias de la
empresa. El Gobierno de TI integra de una forma
La administracin, mediante este gobierno corporativo,
ptima el desempeo de la Planeacin y Organizacin,
debe asegurar que todos los individuos involucrados en
la Adquisicin e Implementacin, la Entrega de
la administracin, uso, diseo, desarrollo,
Servicios y Soporte y el Monitoreo. El Gobierno de TI
mantenimiento u operacin de sistemas de informacin
facilita que la empresa obtenga total ventaja de su
acten con la debida diligencia.
informacin y as mismo maximiza sus beneficios,
Un Objetivo de Control en TI es una definicin del capitalizando sus oportunidades y obteniendo ventaja
resultado o propsito que se desea alcanzar competitiva
implementando procedimientos de control especficos
Adicionalmente, correspondiendo a cada uno de los 34
dentro de una actividad de TI.
objetivos de control de alto nivel, existe una Gua o
La orientacin al negocio es el tema principal de directriz de Auditora o de aseguramiento que permite
COBIT. Est diseado no solo para ser utilizado por la revisin de los procesos de TI contra los 318
usuarios y auditores, sino que, lo ms importante, esta objetivos detallados de control recomendados por
diseado para ser utilizado por los propietarios de los COBIT para proporcionar a la Gerencia la certeza de su
procesos de negocio como una gua clara y entendible. cumplimiento y/o sugerencias para su mejoramiento.
A medida que ascendemos, las prcticas de negocio
requieren de una mayor delegacin y empoderamiento3
3
de los dueos de los procesos para que estos tengan Empoderamiento (empowerment)
6 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
Las Guas o Directrices Gerenciales de COBIT, En los prximos aos las Directivas de las
desarrolladas recientemente, ayudan a la Gerencia a Organizaciones necesitarn demostrar que estn
cumplir de una forma mas efectiva con las logrando incrementar sus niveles de seguridad y
necesidades y requerimientos del Gobierno de TI. Las control. COBIT es una herramienta que ayuda a los
Directrices son acciones genricas orientadas a Directivos a colocar un puente entre los
proveer a la Administracin la direccin para requerimientos de control, los aspectos tcnicos y los
mantener bajo control la informacin de la empresa y riesgos del negocio y adicionalmente informa a los
sus procesos relacionados, para monitorear el logro de accionistas o dueos de la empresa el nivel de control
las metas organizacionales, para monitorear el alcanzado. COBIT habilita el desarrollo de una poltica
desempeo de cada proceso de TI y para llevar a cabo clara y de buenas prcticas de control de TI a travs de
un benchmarking de los logros organizacionales. las organizaciones, a nivel mundial.
Especficamente COBIT provee Modelos de Madurez Por lo tanto, COBIT est diseado para ser la
para el control sobre los procesos de TI de tal forma herramienta de gobierno de TI que ayude al
que la Administracin puede ubicarse en el punto entendimiento y a la administracin de los riesgos
donde la organizacin est hoy, donde est en relacin as como de los beneficios asociados con la
con los mejores de su clase en su industria y con los informacin y sus tecnologas relacionadas.
estndares internacionales y as mismo determinar a
donde quiere llegar; Factores Crticos de xito
(Critical Success Factors), que definen o determina
cuales son las mas importantes directrices que deben
ser consideradas por la Administracin para lograr
control sobre y dentro de los procesos de TI.
Indicadores Claves del logro / Objetivos o de
Resultados (Key Goal Indicators) los cuales definen
los mecanismos de medicin que indicarn a la
Gerenciadespus del hecho si un proceso de TI ha
satisfecho los requerimientos del negocio; y los
Indicadores Clave de desempeo (Key
Performance Indicators) los cuales son indicadores
primarios que definen la medida para conocer qu tan
bien se est ejecutando el proceso de TI frente o
comparado contra el objetivo que se busca.
Las Directrices Gerenciales de COBIT son genricas y son
acciones orientadas al propsito de responder los
siguientes tipos de preguntas gerenciales: Qu tan lejos
debemos ir y se justifica el costo respecto al beneficio
obtenido? Cules son los indicadores de buen
desempeo? Cules son los factores crticos de xito?
Cules son los riesgos de no lograr nuestros objetivos?
Qu hacen otros? Cmo nos podemos medir y
comparar?
COBIT contiene adicionalmente un Conjunto de
Herramientas de Implementacin que proporciona
lecciones aprendidas por empresas que rpida y
exitosamente aplicaron COBIT en sus ambientes de
trabajo. Incluye dos herramientas particularmente
tiles - Diagnstico de Sensibilizacin Gerencial
(Management Awareness Diagnostic) y Diagnstico
de Control en TI (IT Control Diagnostic) - para
proporcionar asistencia en el anlisis del ambiente de
control de TI en una organizacin.
IT GOVERNANCE INSTITUTE 7
MARCO REFERENCIAL
8 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
IT GOVERNANCE INSTITUTE 9
MARCO REFERENCIAL
10 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y administrar las actividades de TI para alcanzar un
balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades
mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se
estn desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organizacin contra las
mejores practicas industriales y los modelos internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices
Gerenciales de COBIT en las cuales se han identificado Factores Crticos de Exito especficos, Indicadores Claves por Objetivo e
Indicadores Clave de Desempeo y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apdice I.
IT GOVERNANCE INSTITUTE 11
MARCO REFERENCIAL
12 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
DEFINICIONES GENERALES
Para propsitos de este proyecto, se proporcionan las
siguientes definiciones. La definicin de Control est
adaptada del reporte COSO [Committee of Sponsoring
Organisations of the Treadway Commission. Internal
Control-Integrated Framework, 1992 y la definicin
para Objetivo de Control de TI ha sido adaptada del
reporte SAC (Systems Auditability and Control Report,
The Institute of Internal Auditors Research Foundation,
1991 y 1994).
IT GOVERNANCE INSTITUTE 13
MARCO REFERENCIAL
Existen dos clases distintas de modelos de control Requerimientos Efectividad y eficiencia de las
actualmente disponibles, aqullos de la clase del Fiduciarios operaciones
modelo de control de negocios (por ejemplo COSO) (COSO)
Confiabilidad de la informacin
y los modelos ms enfocados a TI (por ejemplo, Cumplimiento de las leyes y
DTI). COBIT intenta cubrir la brecha que existe entre regulaciones
los dos. Debido a esto, COBIT se posiciona como una
herramienta ms completa para la Administracin y Confidencialidad
para operar a un nivel superior a los estndares de Requerimientos Integridad
de Seguridad
tecnologa para la administracin de sistemas de Disponibilidad
informacin.. Por lo tanto, COBIT es el modelo para
el gobierno de TI! La Calidad ha sido considerada principalmente por su
aspecto negativo (ausencia de fallas, confiabilidad,
El concepto fundamental del Marco Referencial de etc.), lo cual tambin se encuentra contenido en gran
COBIT se refiere a que el enfoque del control en TI se medida en los criterios de Integridad. Los aspectos
lleva a cabo visualizando la informacin necesaria positivos, pero menos tangibles, de la calidad (estilo,
para dar soporte a los procesos de negocio y atractivo, ver y sentir, desempeo ms all de las
considerando a la informacin como el resultado de la expectativas, etc.) no fueron, por un tiempo,
aplicacin combinada de recursos relacionados con la considerados desde un punto de vista de Objetivos de
Tecnologa de Informacin que deben ser Control de TI. La premisa se refiere a que la primera
administrados por procesos de TI. prioridad deber estar dirigida al manejo apropiado de
los riesgos al compararlos contra las oportunidades. El
Para satisfacer los objetivos del negocio, la aspecto utilizable de la Calidad est cubierto por los
informacin necesita concordar con ciertos criterios a criterios de efectividad. Se consider que el aspecto de
los que COBIT hace referencia como requerimientos de entrega o distribucin del servicio, de la Calidad se
negocio para la informacin. Al establecer la lista de traslapa con el aspecto de disponibilidad
requerimientos, COBIT combina los principios correspondiente a los requerimientos de seguridad y
contenidos en los modelos referenciales existentes y tambin en alguna medida, con la efectividad y la
conocidos: eficiencia. Finalmente, el Costo tambin es
considerado, siendo cubierto por la Eficiencia.
14 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
Cumplimiento
Se refiere al cumplimiento de Otra forma de ver la relacin de los recursos de TI con
aquellas leyes, regulaciones y respecto a la entrega de servicios se describe a
acuerdos contractuales a los que el continuacin:
proceso de negocios est sujeto, por
ejemplo, criterios de negocio
impuestos externamente.
IT GOVERNANCE INSTITUTE 15
MARCO REFERENCIAL
El dinero o capital no se tuvo en cuenta como un recurso Con el fin de asegurar que los requerimientos de
para la clasificacin de objetivos de control para TI negocio para la informacin son satisfechos, deben
debido a que puede considerarse como la inversin en definirse, implementarse y monitorearse medidas
cualquiera de los recursos mencionados anteriormente. de control adecuadas para estos recursos.
Es importante hacer notar tambin que el Marco
Referencial no menciona, en forma especfica para Cmo pueden entonces las empresas estar satisfechas
todos los casos, la documentacin de todos los aspectos respecto a que la informacin obtenida presente las
materiales importantes relacionados con un proceso caractersticas que necesitan? Es aqu donde se requiere
de TI particular. Como parte de las buenas prcticas, la de un sano marco referencial de Objetivos de Control
documentacin es considerada esencial para un buen para TI. El diagrama mostrado a continuacin ilustra
control y, por lo tanto, la falta de documentacin podra este concepto.
ser la causa de revisiones y anlisis futuros de controles
de compensacin en cualquier rea especfica en
revisin.
16 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
4 Jerga (jargon)
IT GOVERNANCE INSTITUTE 17
MARCO REFERENCIAL
del proceso del negocio. Adems, convertido en requerimientos del negocio. Por
este dominio cubre los cambios y el ejemplo, el proceso de identificar soluciones tiene
mantenimiento realizados a que ser efectivo en proveer requerimientos de
sistemas existentes, para asegurar disponibilidad, integridad y Confidencialidad.
que el ciclo de vida es contnuo
para esos sistemas Es claro que todas las medidas de control no
necesariamente satisfarn los diferentes
Entrega
Entrega yy
En este dominio se hace referencia requerimientos del negocio para la informacin en el
soporte
soporte a la entrega o distribucin de los mismo grado.
servicios requeridos, que abarca
desde las operaciones tradicionales Primario es el grado en el cual se definen
hasta el entrenamiento, pasando por objetivos de control que impactan
la seguridad en los sistemas y la directamente los criterios de infor-
continuidad de las operaciones as macin considerados
como aspectos sobre z Secundario es el grado en el cual se definen
entrenamiento. Con el fin de objetivos de control que solo
proveer servicios, debern satisfacen una extensin pequea o
establecerse los procesos de soporte satisfacen indirectamente al
necesarios. Este dominio incluye el criterio de informacin
procesamiento de los datos el cual considerado.
es ejecutado por los sistemas de z En blanco podra ser aplicable. Sin embargo
aplicacin, frecuentemente los requerimientos son satisfechos
clasificados como controles de de una forma mas apropiada por
aplicacin. otro criterio en este proceso y/o en
otro proceso.
Todos los procesos necesitan ser
Monitoreo evaluados regularmente a travs del En forma similar, todas las medidas de control no
tiempo para verificar su calidad y necesariamente impactarn a los diferentes recursos
suficiencia en cuanto a los de TI en el mismo grado. Por consiguiente, el Marco
requerimientos de control. Este de Referencia de COBIT indica especficamente la
dominio tambin advierte a la aplicabilidad de los recursos de TI que son
Administracin sobre la necesidad especficamente administrados por el proceso bajo
de asegurar procesos de control consideracin (no solamente los que toman parte en
independientes, los cuales son el proceso) . Esta clasificacin se realiza con el
provistos por auditoras internas y Marco de Referencia de COBIT, basado sobre un
externas u obtenidas de fuentes riguroso proceso de recoleccin de ideas
alternativas. proporcionadas por investigadores, expertos y
revisores, usando estrictas definiciones previamente
Es importante tener en cuenta que estos procesos de TI indicadas.
pueden ser aplicados en diferentes niveles de la
organizacin. Por ejemplo, algunos de los procesos En resumen, con el fin de proveer la informacin que
sern aplicados al nivel de la empresa, otros al nivel la organizacin necesita para lograr sus objetivos, el
de la funcin de TI, otros al nivel del propietario de los Gobierno de TI debe ser entrenado por la
procesos del negocio, etc. organizacin para asegurar que los recursos de TI
sern administrados por una coleccin de procesos
Debe notarse adems, que el criterio de efectividad en de TI agrupados naturalmente. El siguiente diagrama
los procesos que planean o distribuyen soluciones para ilustra este concepto.
los requerimientos del negocio cubrir algunas veces
los criterios de disponibilidad, integridad y
confidencialidad en la prctica, stos se han
18 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
IT GOVERNANCE INSTITUTE 19
MARCO REFERENCIAL
La tercera edicin de COBIT es la mas reciente versin de Estndares Tcnicos de ISO, EDIFACT, etc.
los Objetivos de Control para la informacin y sus Cdigos de Conducta emitidos por el Council of
tecnologas relacionadas, que fue liberado primero por la Europe, OECD, ISACA, etc.;
Information Systems Audit and Control Foundation Criterios de Calificacin para sistemas y procesos de
(ISACF) en 1996. La 2da edicin que refleja un TI: ITSEC, ISO9000, SPICE, TickIT, Common
incremento en el nmero de documentos fuente, una Criteria, etc.;
revisin en el alto nivel y objetivos de control detallados y Estndares Profesionales para control interno y
la adicin del Conjunto de herramientas de auditora: reporte COSO, IFAC, IIA, ISACA, GAO,
Implementacin fue publicado en 1998. La 3a edicin PCIE, CICA, AICPA, etc.;
marca el ingreso de un nuevo editor para COBIT: El Prcticas y requerimientos de la Industria de foros
Instituto de Gobierno5 de TI (IT Governance Institute). industriales (ESF, 14) y plataformas patrocinadas por el
gobierno (IBAG, NIST, DTI); y
Nuevos requerimientos especficos de la industria de
El Instituto de Gobierno de TI fue formado por la la banca, Comercio Electrnico y manufactura de TI.
Information Systems Audit and Control Association
(ISACA) y su Fundacin asociada en 1998 para avanzar en (Ver Apndice II, Descripcin del Proyecto COBIT;
el entendimiento y la adopcin de principios de gobierno Apndice III Material de Referencia Primaria de
de TI. Con la adicin de las Directrices Gerenciales en la COBIT y Apndice IV, Glosario de Trminos )
3a edicin de COBIT y su expansin y mayor cubrimiento
sobre el Gobierno de TI, el Instituto de Gobierno de TI
adquiri un rol de liderazgo en el desarrollo de la
publicacin.
20 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
IT GOVERNANCE INSTITUTE 21
MARCO REFERENCIAL
OBJETIVOS DE CONTROL
TABLA RESUMEN
La siguiente tabla proporciona una indicacin, por proceso y dominio de TI, de cules criterios de
informacin son impactados por los objetivos de alto nivel, as como una indicacin de cules
recursos de TI son aplicables.
22 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
COBIT, tal como aparece en esta ltima versin de los Mientras que el Marco de Referencia de COBIT enfoca
Objetivos de Control refleja los compromisos de controles a alto nivel para cada proceso, los Objetivos
ISACA para engrandecer y mantener el cuerpo comn de Control se enfocan sobre objetivos de control
del conocimiento requerido para soportar la profesin detallados y especficos asociados a cada proceso de
de auditora y control de los sistemas de informacin TI. Por cada uno de los 34 procesos de TI del marco
referencial, hay desde tres hasta 30 objetivos de
El Marco de Referencia de COBIT ha sido limitado a control detallados, para un total de 318.
objetivos de control de alto nivel en forma de
necesidades de negocio dentro de un proceso de TI Los Objetivos de Control se alinean para cubrir todo el
particular, cuyo logro es posible a travs del Marco referencial con objetivos de control detallados
establecimiento de controles, para el cual deben con base en 41 fuentes primarias que comprenden
considerarse controles potenciales aplicables. estndares y regulaciones internacionales de TI, de
facto y de jure. Contiene sentencias de los resultados
deseados o propsitos a ser alcanzados mediante la
El control de implementacin de procedimientos de control
especficos en una actividad de TI, de esta manera
provee polticas claras y buenas prcticas para los
Proceso de TI Que satisface controles de TI a travs de la industria, alrededor del
mundo.
Requerimiento de Es habilitado por
Negocio Los Objetivos de Control estn dirigidos a la
Administracin y al staff de TI, a las funciones de
Declaracin de control y auditora y lo mas importante, a los
Control Considerando
propietarios de los procesos del negocio. Los
Objetivos de Control proporcionan un trabajo, que es
Prcticas de un documento de escritorio para esos individuos. Se
Control
identifican definiciones precisas y claras para un
mnimo conjunto de controles con el fin de asegurar la
efectividad, eficiencia y economa de la utilizacin de
los recursos. Objetivos de control detallados son
Los Objetivos de Control de TI han sido organizados identificados para cada proceso, como los controles
por proceso/actividad y tambin se han mnimos necesarios . Esos controles sern analizados
proporcionados ayudas de navegacin no solamente por los profesionales de control para verificar su
para facilitar la entrada a partir de cualquier punto de suficiencia.
vista estratgico como se explic anteriormente, sino
tambin para facilitar enfoques combinados o globales, Los Objetivos de Control permiten el traslado de los
tales como instalacin/implementacin de un proceso, conceptos presentados en el Marco de Referencia
responsabilidades gerenciales globales para un hacia controles especficos aplicables a cada proceso
proceso y utilizacin de recursos de TI por un proceso. de TI.
IT GOVERNANCE INSTITUTE 23
MARCO REFERENCIAL
AYUDAS DE NAVEGACIN
di grid dad
co lim d
bi to
ad
a
co icie d
nf ien
en ia
m lid
li
ef ida
lid
a
in cia
nf nc
cu nibi
tiv
ia
ec
p
te
o
id
La seccin de los Objetivos de Control contienen
sp
ef
objetivos de control detallados para cada uno de los 34
S P
procesos de TI. A la izquierda de cada pgina, se
presenta el objetivo de control de alto nivel. El indicador Planeacin &
del dominio (PO para Planeacin y Organizacin, AI Organizacin
da nes
in olo s
al ga
e
te cion
de la presentacin de los objetivos de control de alto
io
ap nte
s
to
ac
a
ge
nivel. Se proporciona una ayuda de navegacin para cada
cn
lic
st
una de las tres dimensiones del Marco de Referencia de
COBITprocesos, recursos de TI y criterios de
informacin.
Planeacin &
Organizacin
Monitoreo
co lim d
bi to
ad
a
co icie d
on ad
nf ien
en ia
m lid
li
ef ida
cu ibi
tiv
ia
p
te
id
sp
ef
s
to
ac
a
ge
cn
st
24 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
OBJETIVOS DE CONTROL
DE ALTO NIVEL
IT GOVERNANCE INSTITUTE 25
MARCO REFERENCIAL
PO1
di gri dad
Planeacin &
co lim ad
bi to
ad
co cie d
nf ien
id ncia
p id
li
ef ida
lid
sp da
Organizacin
in c ia
i l
cu nib
tiv
en
ia
ec
te
o
i
m
ef
nf
Adquisicin &
P S Implementacin
y toma en consideracin:
g
io
ap ente
st
26 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
PLANEACION Y ORGANIZACION
PO2
di gri dad
Planeacin &
co lim ad
bi to
ad
co cie d
nf ien
id cia
p id
li
ef vida
lid
Organizacin
sp da
in c ia
i l
n
cu nib
en
ti
ia
ec
te
o
i
m
ef
nf
Adquisicin &
P S S S Implementacin
y toma en consideracin:
g
io
ap ente
s
to
a
cn
al
g
lic
st
IT GOVERNANCE INSTITUTE 27
MARCO REFERENCIAL
PO3
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
p id
li
ef ida
lid
sp da
in c ia
i l
Adquisicin &
cu nib
tiv
en
ia
Implementacin
ec
te
o
i
m
ef
nf
P S Entrega &
Soporte
y toma en consideracin:
g
io
ap ente
futuro (roadmaps)
to
a
cn
st
28 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
PO4
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
Adquisicin &
cu nib
tiv
en
ia
Implementacin
ec
p
te
o
i
ef
nf
P S Entrega &
Soporte
y toma en consideracin:
ac a
e
g
io
ap ente
s
to
clave
a
cn
al
lic
g
IT GOVERNANCE INSTITUTE 29
MARCO REFERENCIAL
PO5
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
p id
li
ef ida
lid
sp da
in c ia
i l
Adquisicin &
cu nib
tiv
en
ia
Implementacin
ec
te
o
i
m
ef
nf
P P S Entrega &
Soporte
y toma en consideracin:
alternativas de financiamiento
Claros responsables del presupuesto
Control sobre los gastos actuales
justificacin de costos y concientizacin
sobre el costo total de la propiedad
justificacin del beneficio y
contabilizacin de todos los beneficios
obtenidos 3 3 3 3
Ciclo de vida del software de aplicacin y
da nes
in olo s
de la tecnologa
ac a
e
te cion
g
io
ap ente
de la empresa
al
g
lic
st
Anlisis de impacto
30 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
PO6
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
p id
li
ef ida
lid
sp da
in c ia
i l
Adquisicin &
cu nib
tiv
en
ia
Implementacin
ec
te
o
i
m
ef
nf
P S Entrega &
Soporte
y toma en consideracin:
Ejemplos de liderazgo
ac a
e
te cion
g
io
ap ente
cn
st
IT GOVERNANCE INSTITUTE 31
MARCO REFERENCIAL
PO7
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co ficie ad
nf ien
id ncia
m ilid
li
lid
sp da
in c ia
id
Adquisicin &
cu nib
tiv
en
ia
Implementacin
ec
p
te
o
e
ef
nf
P P Entrega &
Soporte
y toma en consideracin:
reclutamiento y promocin
Entrenamiento y requerimientos de
calificaciones
desarrollo de conciencia
entrenamiento cruzado y rotacin de puestos
Procedimientos para contratacin, veto y
despidos 3
evaluacin objetiva y medible del desempeo
da nes
in olo s
io
ap ente
de mercado
to
ac
a
st
externos
Plan de sucesin para posiciones clave
32 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
PO8
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
Adquisicin &
cu nib
tiv
en
ia
Implementacin
ec
p
te
o
i
ef
nf
P P S Entrega &
Soporte
y toma en consideracin:
g
io
ap ente
s
to
a
cn
al
g
lic
st
IT GOVERNANCE INSTITUTE 33
MARCO REFERENCIAL
PO9
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
p id
li
ef ida
lid
sp da
in c ia
i l
Adquisicin &
cu nib
tiv
en
ia
Implementacin
ec
te
o
i
m
ef
nf
P S P P P S S Entrega &
Soporte
Control sobre el proceso de TI de:
y toma en consideracin:
g
io
ap ente
cn
st
riesgos
metodologa de anlisis de riesgos
Plan de accin contra los riesgos
Volver a realiza anlisis oportunos
34 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
PO10
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
p id
li
ef ida
lid
sp da
in c ia
i l
Adquisicin &
cu nib
tiv
en
ia
Implementacin
ec
te
o
i
m
ef
nf
P P Entrega &
Soporte
y toma en consideracin:
g
io
ap ente
s
to
IT GOVERNANCE INSTITUTE 35
MARCO REFERENCIAL
PO11
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
p id
li
ef ida
lid
sp da
in c ia
i l
Adquisicin &
cu nib
tiv
en
ia
Implementacin
ec
te
o
i
m
ef
nf
P P P S Entrega &
Soporte
y toma en consideracin:
g
io
ap ente
s
to
aseguramiento de calidad
st
36 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
AI1
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
p id
li
ef ida
lid
sp da
Adquisicin &
in c ia
i l
cu nib
tiv
en
Implementacin
ia
ec
te
o
i
m
ef
nf
P S Entrega &
Soporte
y toma en consideracin:
g
io
ap ente
alternativas, etc)
to
a
cn
st
aceptacin y sostenimiento
Cumplimiento con la arquitectura de informacin
Costoefectividad de la seguridad y los controles
Responsabilidades de los proveedores
IT GOVERNANCE INSTITUTE 37
MARCO REFERENCIAL
AI2
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
p id
li
ef ida
lid
sp da
Adquisicin &
in c ia
i l
cu nib
tiv
en
Implementacin
ia
ec
te
o
i
m
ef
nf
P P S S S Entrega &
Soporte
y toma en consideracin:
Interfase usuario-maquina
ac a
e
te cion
g
io
ap ente
Personalizacin de paquetes
to
a
cn
al
g
lic
st
38 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
AI3
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
p id
li
ef ida
lid
sp da
Adquisicin &
in c ia
i l
cu nib
tiv
en
Implementacin
ia
ec
te
o
i
m
ef
nf
P P S Entrega &
Soporte
y toma en consideracin:
g
io
ap ente
internos y externos
to
a
cn
st
proveedor
Administracin de cambios
Costo total de propiedad
Seguridad del software del sistema
IT GOVERNANCE INSTITUTE 39
MARCO REFERENCIAL
AI4
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
p id
li
ef ida
lid
sp da
Adquisicin &
in c ia
i l
cu nib
tiv
en
Implementacin
ia
ec
te
o
i
m
ef
nf
P P S S S Entrega &
Soporte
y toma en consideracin:
Administracin de cambios
ac a
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st
40 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
AI5
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
p id
li
ef ida
lid
sp da
Adquisicin &
in c ia
i l
cu nib
tiv
en
Implementacin
ia
ec
te
o
i
m
ef
nf
P S S Entrega &
Soporte
Control sobre el proceso de TI de:
y toma en consideracin:
Entrenamiento del usuario y personal de
operaciones de TI
Conversin de datos
Una prueba ambiental reflejando al
ambiente real
Acreditacin
revisiones post implementacin y
retroalimentacin
Participacin del usuario final en las
3 3 3 3 3
pruebas
Planes continuos de mejoramiento de
da nes
in olo s
ac a
e
te cion
calidad
g
io
ap ente
s
to
IT GOVERNANCE INSTITUTE 41
MARCO REFERENCIAL
AI6
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
p id
li
ef ida
lid
sp da
Adquisicin &
in c ia
i l
cu nib
tiv
en
Implementacin
ia
ec
te
o
i
m
ef
nf
P P P P S Entrega &
Soporte
y toma en consideracin:
identificacin de cambios
procedimientos de categorizacin,
priorizacin y emergencia
Anlisis de impacto
autorizacin de cambios
Administracin de la liberacin del cambio 3 3 3 3 3
distribucin de software
da nes
in olo s
g
io
ap ente
Administracin de la configuracin
to
a
cn
st
42 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
DS1
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
Adquisicin &
p id
li
ef ida
lid
sp da
in c ia
i l
Implementacin
cu nib
tiv
en
ia
ec
te
o
i
m
ef
nf
P P S S S S S Entrega &
Soporte
y toma en consideracin:
servicio requerido
ac a
e
te cion
g
io
ap ente
Monitoreo y reporte
to
a
cn
al
g
lic
st
IT GOVERNANCE INSTITUTE 43
MARCO REFERENCIAL
DS2
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
p id
li
ef ida
lid
sp da
in c ia
i l
cu nib
tiv
en
ia
Adquisicin &
ec
te
o
i
Implementacin
ef
nf
P P S S S S S
Entrega &
Control sobre el proceso de TI de: Soporte
y toma en consideracin:
externa
io
ap ente
s
to
st
niveles de servicio
44 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
DS3
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
Adquisicin &
m ilid
li
ef ida
lid
sp da
in c ia
Implementacin
cu nib
tiv
en
ia
ec
p
te
o
i
ef
nf
P P S Entrega &
Soporte
y toma en consideracin:
requerimientos de disponibilidad y
desempeo
monitoreo y reporte automatizado
herramientas de modelado
administracin de capacidad
disponibilidad de recursos 3 3 3
Cambios en precio-rendimiento del
da nes
in olo s
hardware y software
ac a
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st
IT GOVERNANCE INSTITUTE 45
MARCO REFERENCIAL
DS4
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
Adquisicin &
p id
li
ef ida
lid
sp da
in c ia
i l
Implementacin
cu nib
tiv
en
ia
ec
te
o
i
m
ef
nf
P S P Entrega &
Soporte
y toma en consideracin:
g
io
ap ente
cn
st
46 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
DS5
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
Adquisicin &
p id
li
ef ida
lid
sp da
in c ia
i l
Implementacin
cu nib
tiv
en
ia
ec
te
o
i
m
ef
nf
P P S S S Entrega &
Soporte
Control sobre el proceso de TI de:
y toma en consideracin:
Requerimientos de privacidad y
confidencialidad
Autorizacin, autenticacin y control de
acceso
identificacin de usuarios y perfiles de
autorizacin
Necesidad de saber y necesidad de tener
(need-to-know and need-to-have) 3 3 3 3 3
administracin de llaves criptogrficas
da nes
in olo s
g
io
ap ente
cn
Firewalls
al
g
lic
st
IT GOVERNANCE INSTITUTE 47
MARCO REFERENCIAL
DS6
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
Adquisicin &
p id
li
ef ida
lid
sp da
in c ia
i l
Implementacin
cu nib
tiv
en
ia
ec
te
o
i
m
ef
nf
P P Entrega &
Soporte
y toma en consideracin:
Benchmarking externo
ac a
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st
48 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
DS7
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
Adquisicin &
p id
li
ef ida
lid
sp da
in c ia
i l
Implementacin
cu nib
tiv
en
ia
ec
te
o
i
m
ef
nf
P S Entrega &
Soporte
y toma en consideracin:
Plan de entrenamiento
Inventario de habilidades
Campaas de concientizacin
Tcnicas de concientizacin
Uso de nuevas tecnologas y mtodos de
entrenamiento
Productividad del personal
Desarrollo de una base de conocimientos 3
da nes
in olo s
ac a
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st
IT GOVERNANCE INSTITUTE 49
MARCO REFERENCIAL
DS8
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
Adquisicin &
p id
li
ef ida
lid
sp da
in c ia
i l
Implementacin
cu nib
tiv
en
ia
ec
te
o
i
m
ef
nf
P P Entrega &
Soporte
y toma en consideracin:
g
io
ap ente
s
to
a
cn
al
g
lic
st
50 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
DS9
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
Adquisicin &
p id
li
ef ida
lid
sp da
in c ia
i l
Implementacin
cu nib
tiv
en
ia
ec
te
o
i
m
ef
nf
P S S Entrega &
Soporte
y toma en consideracin:
registro de activos
administracin de cambios en la
configuracin
chequeo de software no autorizado
controles de almacenamiento de software
Integracin e interrelacin de hardware y 3 3 3
software
da nes
in olo s
g
io
ap ente
s
to
a
cn
al
g
lic
st
IT GOVERNANCE INSTITUTE 51
MARCO REFERENCIAL
DS10
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
Adquisicin &
p id
li
ef ida
lid
sp da
in c ia
i l
Implementacin
cu nib
tiv
en
ia
ec
te
o
i
m
ef
nf
P P S Entrega &
Soporte
y toma en consideracin:
g
io
ap ente
cambios
al
g
lic
st
52 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
DS11
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
Adquisicin &
p id
li
ef ida
lid
sp da
in c ia
i l
Implementacin
cu nib
tiv
en
ia
ec
te
o
i
m
ef
nf
P P Entrega &
Soporte
y toma en consideracin:
diseo de formatos
controles sobre documentos fuente
controles de entrada, procesamiento y salida
identificacin, movimiento y administracin de
la librera de medios
Recuperacin y almacenamiento de datos
autenticacin e integridad
propiedad de datos 3
polticas de administracin de datos
da nes
in olo s
g
io
ap ente
representacin de datos
to
a
cn
st
plataformas
requisitos legales y regulatorios
IT GOVERNANCE INSTITUTE 53
MARCO REFERENCIAL
DS12
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
Adquisicin &
p id
li
ef ida
lid
sp da
in c ia
i l
Implementacin
cu nib
tiv
en
ia
ec
te
o
i
m
ef
nf
P P Entrega &
Soporte
y toma en consideracin:
acceso a instalaciones
identificacin del sitio (instalacin)
seguridad fsica
Polticas de inspeccin y escalamiento
Plan de continuidad de negocios y
administracin de crisis 3
salud y seguridad del personal
da nes
in olo s
g
io
ap ente
cn
Monitoreo automatizado
al
g
lic
st
54 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
DS13
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
Adquisicin &
p id
li
ef ida
lid
sp da
in c ia
i l
Implementacin
cu nib
tiv
en
ia
ec
te
o
i
m
ef
nf
P P S S Entrega &
Soporte
Control sobre el proceso de TI de:
y toma en consideracin:
Mantenimiento preventivo
te cion
g
io
ap ente
s
to
Operaciones automatizadas
st
IT GOVERNANCE INSTITUTE 55
MARCO REFERENCIAL
M1
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
Adquisicin &
p id
li
ef ida
lid
sp da
in c ia
i l
Implementacin
cu nib
tiv
en
ia
ec
te
o
i
m
ef
nf
Entrega &
P P S S S S S Soporte
y toma en consideracin:
Benchmarking externo
ac a
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st
56 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
M2
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
Adquisicin &
m ilid
li
ef ida
lid
sp da
in c ia
Implementacin
cu nib
tiv
en
ia
ec
p
te
o
i
ef
nf
Entrega &
P P S S S S S Soporte
y toma en consideracin:
g
io
ap ente
s
to
a
cn
al
g
lic
st
6
Comparacin con mejores prcticas (benchmarks)
IT GOVERNANCE INSTITUTE 57
MARCO REFERENCIAL
M3
Planeacin &
di gri dad
co lim ad
Organizacin
bi to
ad
co cie d
nf ien
id ncia
p id
li
ef ida
lid
sp da
in c ia
i l
cu nib
tiv
en
ia
ec
te
o
i
Adquisicin &
ef
nf
Implementacin
P P S S S S S
Entrega &
Soporte
Control sobre el proceso de TI de:
y toma en consideracin:
certificaciones / acreditaciones
independientes
evaluaciones independientes de efectividad
aseguramiento independiente sobre
cumplimiento de requerimientos legales y
regulatorios
aseguramiento independiente del
cumplimiento de compromisos
contractuales
revisiones y benchmarking a proveedores 3 3 3 3 3
externos de servicios
da nes
in olo s
g
io
ap ente
aseguramiento de desempeo
to
a
st
58 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
M4
Planeacin &
Organizacin
di gri dad
co lim ad
bi to
ad
co cie d
nf ien
id ncia
Adquisicin &
p id
li
ef ida
lid
sp da
in c ia
i l
Implementacin
cu nib
tiv
en
ia
ec
te
o
i
m
ef
nf
Entrega &
P P S S S P S Soporte
y toma en consideracin:
independencia de auditora
involucramiento proactivo de la auditora
ejecucin de auditoras por parte de
personal calificado
aclaracin de resultados y
recomendaciones
actividades de seguimiento
Evaluacin del impacto de las 3 3 3 3 3
recomendaciones de la auditoria (costos,
da nes
in olo s
beneficios, y riesgos)
ac a
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st
IT GOVERNANCE INSTITUTE 59
MARCO REFERENCIAL
60 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
APENDICES
IT GOVERNANCE INSTITUTE 61
MARCO REFERENCIAL
62 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
Las siguientes Directrices Gerenciales y el Modelo de Madurez identifican los Factores Crticos de xito
(Critical Success Factors CSFs), los Indicadires Claves de objetivos/resultados (Key Goal Indicators
KGIs), Indicadores Claves de Desempeo (Key Performance IndicatorsKPIs) para la Gobernabilidad de TI.
Primero, la Gobernabilidad de TI se define articulando las necesidades del negocio. A continuacin, los
criterios de informacin relacionados con la Gobernabilidad de TI son identificados. Las necesidades del
negocio son medidas por los Indicadores Claves de Resultados - KGIs - y organizados por sentencias de control
apoyado por todos los recursos de TI. El resultado de las sentencias de control organizadas son medidas por los
Indicadores Clave de desempeo - KPIs los cuales consideran los Factores crticos de xito - CSFs.
El modelo de madurez se utiliza para evaluar el nivel de la organizacin para cumplir con lo establecido por la
Gobernabilidad de TIdesde el mas bajo nivel donde no existe, pasando por un estado inicial /adhoc,
ascendiendo a otro repetible pero intuitivo, luego a otro con procesos definidos, a otro administrado y medido y
llegando al nivel optimista que es el mas alto nivel. Para llegar al nivel de madurez optimista para la
Gobernabilidad de TI, una organizacin debe estar al menos en el nivel optimizado del dominio de Monitoreo y
al menos estar en el nivel de medir y administrar los dems dominios.
(Ver las Directrices Gerenciales de COBIT para una completa discusin del uso de esas herramientas)
IT GOVERNANCE INSTITUTE 63
MARCO REFERENCIAL
64 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
IT GOVERNANCE INSTITUTE 65
MARCO REFERENCIAL
66 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
IT GOVERNANCE INSTITUTE 67
MARCO REFERENCIAL
COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - Integrated
Framework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994.
OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of
Information, Paris, 1992.
DTI Code of Practice for Information Security Management: Department of Trade and Industry and British
Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995.
ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance
Standards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of
software, Switzerland, 1991.
An Introduction to Computer Security: The NIST Handbook: National Institute of Standards and Technology,
U.S. Department of Commerce. Washington, DC, 1995.
ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines
developed by the Central Computer and Telecommunications Agency (CCTA), London, 1989.
IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials
Group on Information Security, advising the European Commission) Brussels, Belgium, 1994.
NSW Premiers Office Statements of Best Practices and Planning Information Management and Techniques:
Statements of Best Practice #1 through #6. premier's Department New South Wales, Government of New South
Wales, Australia, 1990 through 1994.
Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data
Processing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998.
EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph
Series #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994.
PCIE (president's Council on Integrity and Efficiency) Model Framework: A Model Framework for
Management Over Automated Information Systems. Prepared jointly by the president's Council on Management
Improvement and the president's Council on Integrity and Efficiency, Washington, DC, 1987.
Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by
the Chuo Audit Corporation, Tokyo, August 1994.
CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified
Information Systems Auditor Job Analysis Study", Rolling Meadows, IL, 1994.
68 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
CICA Computer Control Guidelines: Canadian Institute of Chartered Accountants, Toronto, 1986.
IFAC International Guidelines for Managing Security of Information and Communications: International
Federation of Accountants, New York, NY, 1997.
Standards for Internal Control in the U.S. Federal Government: U.S. General Accounting Office, Washington,
DC, 1983.
Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NBS Special
Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington,
DC, 1988.
Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants,
Denmark, 1994.
SPICE: Software Process Improvement and Capability Determination. A standard on software process
improvement, British Standards Institution, London, 1995.
DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute
International. Guideline for Business Continuity Planners, St. Louis, MO, 1997.
IIA, SAC Systems Audibility and Control: Institute of Internal Auditors Research Foundation, Systems
Audibility and Control Report, Alamonte Springs, FL, 1991, 1994.
IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research
Foundation, Alamonte Springs, FL, 1997.
E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996.
C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, NY, 1997.
ISO IEC JTC1/SC27 Information Technology - Security: International Organisation for Standardisation (ISO)
Technical Committee on Information Technology Security, Switzerland, 1998.
ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical
Committee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992.
ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services:
International Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services,
Draft, Switzerland, 1997.
IT GOVERNANCE INSTITUTE 69
MARCO REFERENCIAL
CCEB 96/011, Common Criteria for Information Technology Security Evaluation: Common Criteria
Implementation Board, Alignment and comparison of existing European, US and Canadian IT Security Criteria,
Draft, Washington, DC, 1997.
Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987.
TickIT: Guide to Software Quality Management System Construction and Certification. British Department of
Trade and Industry (DTI), London, 1994
ESF Baseline Control - Communications: European Security Forum, London. Communications Network
Security, September 1991; Baseline Controls for Local Area Networks, September, 1994.
ESF Baseline Control - Microcomputers: European Security Forum, London. Baseline Controls Microcomputers
Attached to Network, June 1990.
Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information
Systems Audit and Control Foundation), Rolling Meadows, IL, 1992.
Guide for Developing Security Plans for Information Technology: NIST Special Publication 800-18, National
Institute for Standards and Technology, US Department of Commerce, Washington, DC 1998
Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office,
Washington, DC, 1999.
BS7799-Information Security Management: British Standards Institute, London, 1999.
CICA Information Technology Control Guidelines, 3er Edition: Canadian Institute of Chartered Accountants,
Toronto, 1998
ISO/IEC TR 1335-n Guidelines for the Management of IT Security, (GMITS) Parts 1-5: International
Organisation for Standardisation, Switzerland, 1998.
AICPA/CICA SystrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute of
Certified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999.
70 IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
AICPA Instituto Americano de Contadores Pblicos Certificado. (American Institute of Certified Public
Accountants)
CCEB Criterios comunes para seguridad en tecnologa de informacin. (Common Criteria for
Information Technology Security)
DTI Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of
the United Kingdom)
ESF Foro Europeo de Seguridad (European Security Forum), cooperacin de 70+ multinacionales
europeas principalmente con el propsito de investigar problemas de seguridad y control
comunes de TI.
GAO Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office)
IBAG Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group), representantes de la
industria que asesoran al Comit Infosec. Este Comit est compuesto por funcionarios de los
gobiernos de la Comunidad Europea y asesora a la Comisin Europea sobre cuestiones de
seguridad de TI.
IT GOVERNANCE INSTITUTE 71
MARCO REFERENCIAL
INFOSEC Comit Consultivo para la Comisin Europea en Materia de Seguridad TI. (Advisory Committee
for IT Security Matters to the European Commission)
ISACA Asociacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit
and Control Foundation)
ISACF Fundacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit
and Control Foundation)
NBS Departamento Nacional de Estndares de los Estados Unidos (National Bureau of Standards of
the U.S.)
NIST (antes NBS) Instituto Nacional de Estndares y Tecnologa. (National Institute of Standards
and Technology), con base en Washington D.C.
NSW Nueva Gales del Sur, Australia. (New South Wales, Australia)
Objetivo de Una sentencia o declaracin del resultado deseado o propsito a ser alcanzado mediante la
impleControl mentacin de procedimientos de control en una actividad particular de TI
72 IT GOVERNANCE INSTITUTE