COBIT

P
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
2%-(7,926 '( &21752/

$EULO GH GD (GLFLyQ
@vvqry8vp9vrpvqr8
&2%,7
2%,U
yhDshvTr6qvhq8yAqhv
Traduccin al espaol por Gustavo A. Sols Montes, CISA
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.
D
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
3 5 8
Lmite de Responsabilidad La Information Systems Audit and Control Foundation y los patrocinadores de COBIT: Objetivos de Control para la Informacin y Tecnologas afines, han diseado este producto principalmente como una fuente de instruccin para los profesionales dedicados a las actividades de control. La Information Systems Audit and Control Foundation y los patrocinadores no declaran que el uso de este producto asegurar un resultado exitoso. No deber considerarse que este producto incluye todos los procedimientos o pruebas apropiados o que excluye otros procedimientos y pruebas que estn razonablemente dirigidos hacia la obtencin de los mismos resultados. Para determinar la conveniencia de cualquier prueba o procedimiento especfico, los expertos en control debern aplicar su propio juicio profesional a las circunstancias de control especiales presentadas por cada entorno de sistemas en particular.
Reconocimientos Resumen Ejecutivo Antecedentes El Marco Referencial de COBIT Estableciendo la escena Los Principios del Marco Referencial Gua para la utilizacin del Marco Referencial y los Objetivos de Control Principios de los Objetivos de Control Tabla Resumen Relaciones de Objetivos de Control Dominios, Procesos y Objetivos de Control Objetivos de Control Planeacin y Organizacin Adquisicin e Implementacin Entrega de Servicios y Soporte Monitoreo Apndice I Descripcin del Proyecto COBIT Apndice II Material de Referencia Primaria Apndice III Glosario de Terminos Originales
10 13 18 20
Acuerdo de Licencia (disclosure)
21
22
29 56 73 105
Copyright 1996, 1998 de la Information Systems Audit and Control Foundation (ISACF). La reproduccin para fines comerciales no est permitida sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el Marco Referencial y los Objetivos de Control para uso interno no comercial, incluyendo almacenamiento en medios de recuperacin de datos y transmisin en cualquier medio, incluyendo electrnico, mecnico, grabado u otro medio. Todas las copias del Resumen Ejecutivo, el Marco Referencial y los Objetivos de Control deben incluir el siguiente reconocimiento y leyenda de derechos de autor: Copyright 1996, 1998 Information Systems Audit and Control Foundation, reimpreso con la autorizacin de la Information Systems Audit and Control Foundation. Ningn otro derecho o permiso relacionado con esta obra es otorgado. Las Directrices de Auditora y el conjunto de herramientas de implementacin no pueden ser reproducidos, almacenados en un sistema de recuperacin de datos o transmitido en ninguna forma ni por ningn medio electrnico, mecnico, fotocopiado, grabado u otro medio- sin la previa autorizacin por escrito de la ISACF. Excepto por lo indicado, no se otorga ningn otro derecho o permiso relacionado con esta obra. Traducido al espaol de COBIT 2da Edicin: Objetivos de Control para la Informacin y Tecnologas afines por Gustavo A. Sols Montes, CISA con el permiso de la Information Systems Audit and Control Foundation (ISACF). Esta traduccin no fue revisada por la ISACF, por lo tanto, no garantiza la fidelidad y/o exactitud de la misma. Si desea obtener mayor informacin sobre ISACF, visite su web site en www.isaca.org. Information Systems Audit and Control Foundation 3701 Algonquin Road, Suite 1010 Rolling Meadows, Illinois 60008 USA. Telfono: 1+847.253.1525 Fax: 1+847.253.1443 E-mail: research@isaca.org Web site: www.isaca.org ISBN 0-9629440-5-X (Control Objectives, English)
114
116
119
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
S
5,1&,3$/(6Q$75,2&,1$'25(6 '(/$825325$&,1$I,9(/ H81'5$/
(&212&,0,(1726
PATROCINADORES DE LOS ASOCIADOS DE LA CORPORACIN
Fellesdata a/s, Norway NoviT a/s, Norway
PRINCIPALES CAPTULOS DE ISACA PATROCINADORES

Benelux National Capital Area New York Metropolitan Norway Toronto
CAPTULOS DE ISACA ASOCIADOS PATROCINADORES

Adelaide Atlanta Auckland Austin Bangkok Brisbane Canberra Central Arkansas Central Indiana Central Maryland Central New York Denver Detroit Finland Greater Hartford Hawaii Houston Hudson Valley Indonesia London Los Angeles Middle Tennessee Minnesota New England New Jersey New Mexico North Alabama North Texas Northeast Ohio Northern United Kingdom Philadelphia Pittsburgh Puget Sound Research Triangle Sacramento San Diego Santiago de Chile Seoul South Texas St. Louis Sweden Tokyo Tulsa Victoria Virginia Wellington Winnipeg
CONTRIBUCIONES INDIVIDUALES
Bill Bartgis John Beveridge William Bialkowski Alllen Bragan Maryanne S. Canant Michael Donahue John Lainhart
6xvhHh
Teresa McCauley Robert G. Parker Daniel Ramos Deepak Sarup Lily Shue Patrick Stachtchenko Kevin Weston
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
"
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
EL EQUIPO DEL PROYECTO

Erik Guldentops, S.W.I.F.T. S.C., Belgium Eddy Schuermans, Coopers & Lybrand, Belgium Thomas Lamm, ISACF, USA
ANALISTAS EXPERTOS USA

Prof. Ulric J. Gelinas, Bentley College John Hayes, Price Waterhouse LLP Greg Hedges, Arthur Andersen & Co., S.C. Dave Kent, Price Waterhouse LLP Tom Kothe, Ernst & Young LLP John Lainhart, Inspector General, U.S. House of Representatives, USA Robert Roussey, University of Southern California
COMIT QUE DIRIGE EL PROYECTO

Erik Guldentops, S.W.I.F.T. S.C., Belgium John Beveridge, State Auditors Office, Massachusetts, USA Prof. Dr. Bart De Schutter, Vrije Universiteit Brussels, Chairman BRT Belgium Gary Hardy, Arthur Andersen, United Kingdom John Lainhart, Inspector General, U.S. House of Representatives, USA Akira Matsuo, Chuo Audit Corporation, Japan Eddy Schuermans, Coopers & Lybrand, Belgium Paul Williams, Arthur Andersen, United Kingdom Thomas Lamm, ISACF, USA
CALIDAD GARANTIZADA
Gary Austin, GAO Chris Bagot, NATO Rick Beatty, California Federal Bank Peter De Koninck, Coopers & Lybrand Balencia Dozier, Manufacturers Bank Doris Gin, Arthur Andersen & Co., LLP A.I. Heijkamp, Computercentrum VSB Max Huijbers, Rijkscomputercentrum Peter Maertens, NATO Bill Pepper, Zergo, Ltd. Mark Stanley, Santa Barbara Bank Tjerk Terpstra, Inter Access Mark Wheeler, Farmers Insurance Carla Williams, Executive Consultants AGRADECIMIENTO ESPECIAL a los miembros de la Mesa directiva de la Information Systems Audit and Control Association, y los Fideicomisarios de la Information Systems Audit and Control Foundation por su continuo y firme apoyo a la familia de productos de COBIT
INVESTIGADORES
Vrije Universiteit Amsterdam, The Netherlands Prof. M.E. Van Biene-Hershey Ren Barlage, RB Consultants California Polytechnic University, USA Prof. Dan Manson, Lead Researcher
ANALISTAS EXPERTOS EUROPA

Chris Bagot, NATO Ren Barlage, RB Consultants Prof. Dr. Henri Beker, Zergo, Ltd. John Beveridge, ISACA Past President Erik Guldentops, S.W.I.F.T. S.C. Gary Hardy, Arthur Andersen Eddy Schuermans, Coopers & Lybrand Alan Stanley, European Security Forum Danny Van Riel, Johnson & Johnson Bram Vandenberg, Ernst & Young
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
S
(680(1@-(&87,92
ferencial de dominios y procesos y presenta actividades en una estructura manejable y lgica. Las prcticas sanas de COBIT representan el consenso de los expertos (le ayudarn a optimizar la inversin en informacin, pero an ms importante, representan aquello sobre lo usted ser juzgado si las cosas salen mal. as organizaciones deben cumplir con requerimientos de calidad, de reportes fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La administracin deber obtener un balance adecuado en el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir con esta responsabilidad, as como para alcanzar sus expectativas, la administracin deber establecer un sistema adecuado de control interno. Por lo tanto, este sistema o marco referencial deber existir para proporcionar soporte a los procesos de negocio y debe ser preciso en la forma en la que cada actividad individual de control satisface los requerimientos de informacin y puede impactar a los recursos de TI. El impacto en los recursos de TI es enfatizado en el Marco Referencial de COBIT conjuntamente a los requerimientos de informacin del negocio que deben ser alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin. La administracin, mediante este gobierno corporativo2, debe asegurar que la debida diligencia sea ejercitada por todos los individuos involucrados en la administracin, empleo, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin. Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una actividad de TI.
n elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticalidad emerge de: l la creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin l la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de informacin1 l la escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin; y l el potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa. Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de TI. Verdaderamente, la informacin y los sistemas de informacin son penetrantes en las organizaciones (desde la plataforma del usuario hasta las redes locales o amplias, cliente servidor y equipos Mainframe. Por lo tanto, la administracin requiere niveles de servicio que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, as como un mejoramiento continuo y una disminucin de los tiempos de entrega) al tiempo que demanda que esto se realice a un costo ms bajo. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nueva tecnologa. Por lo tanto, la administracin debe tener una apreciacin por, y un entendimiento bsico de los riesgos y limitantes del empleo de la tecnologa de informacin para proporcionar una direccin efectiva y controles adecuados. COBIT ayuda a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos tcnicos. Proporciona prcticas sanas a travs de un Marco ReD
a orientacin a negocios es el tema principal de COBIT. Esta diseado no solo para ser utilizado
Brhqrvshpvyvshvhshr
Gobierno corporativo (corporate governance): Governance es un trmino que representa el sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.
P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
Adems, el Marco Referencial proporciona definiciones para los requerimientos de negocio que son derivados de objetivos de control superiores en lo referente a calidad, seguridad y reportes fiduciarios en tanto se relacionen con Tecnologa de Informacin. a administracin de una empresa requiere de prcticas generalmente aplicables y aceptadas de control y gobierno en TI para medir en forma comparativa7 tanto su ambiente de TI existente, como su ambiente planeado. COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos tcnicos y riesgos de negocio. COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de TI a travs de organizaciones, a nivel mundial. El objetivo de COBIT es proporcionar estos objetivos de control, dentro del marco referencial definido, y obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. Por lo tanto, COBIT est orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de riesgos asociados con tecnologa de informacin y con tecnologas relacionadas.
por usuarios y auditores, sino que en forma ms importante, esta diseado para ser utilizado como una lista de verificacin3 detallada para los propietarios de los procesos de negocio. En forma incremental, las prcticas de negocio requieren de una mayor delegacin y apoderamiento4 de los dueos de procesos para que estos posean total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En forma particular, esto incluye el proporcionar controles adecuados. El Marco Referencial de COBIT proporciona herramientas al propietario de procesos de negocio que facilitan el cumplimiento de esta responsabilidad. El Marco Referencial comienza con una premisa simple y prctica: Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural. ontina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: planeacin & organizacin, adquisicin & implementacin, entrega (de servicio) y monitoreo. Esta estructura cubre todos los aspectos de informacin y de la tecnologa que la soporta. Dirigiendo estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin. Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una gua de auditora o de aseguramiento que permite la revisin de los procesos de TI contra los 302 objetivos detallados de control recomendados por COBIT para proporcionar a la Gerencia la certeza de su cumplimiento y/o una recomendacin para su mejora. COBIT contiene un conjunto de herramientas de implementacin que proporciona lecciones aprendidas por empresas que rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo. Incluye un Resumen Ejecutivo para el entendimiento y la sensibilizacin de la alta gerencia sobre los principios y conceptos fundamentales de COBIT. La gua de implementacin cuenta con dos tiles herramientas (Diagnstico de Sensibilizacin Gerencial5 y Diagnstico de Control en TI6 ) para proporcionar asistencia en el anlisis del ambiente de control en una organizacin. El Marco Referencial COBIT otorga especial importancia al impacto sobre los recursos de TI, as como a los requerimientos de negocios en cuanto a efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad que deben ser satisfechos.
D
3 4 5
6 7
Lista de verificacin (check list) Apoderamiento (empowerment) Diagnstico de Sensibilizacin Gerencial (management awareness diagnostic) Diagnstico de Control en TI (IT control diagnostic) Medir en forma comparativa (benchmark)
P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
52&(626'(DU'(82%,U9(),1,'269(1752'(G26 88$752920,126
OBJEIVOS DE NEGOCIO OBJETIVOS DE NEGOCIO
PO1
COBIT
M1 Monitorear los procesos M2 Evaluar lo adecuado del control Interno M3 Obtener aseguramiento independiente M4 Proporcionar auditora independiente
DIAPSH68DPI
Definir un Plan Estratgico de Tecnologa de Informacin Definir la Arquitectura de Informacin Determinar la direccin tecnolgica Definir la Organizacin y de las Relaciones de TI PO5 Manejar la Inversin en Tecnologa de Informacin PO6 Comunicar la direccin y aspiraciones de la gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento de Requerimientos Externos PO9 Evaluar Riesgos PO10 Administrar proyectos PO11 Administrar Calidad PO2 PO3 PO4
efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad
HPIDUPS@P S@8VSTPT9@UD
QG6I@68DPI` PSB6IDa68DPI
datos sistemas de aplicacin tecnologa instalaciones gente
69RVDTD8DPI@ @IUS@B6` TPQPSU@ DHQG@H@IU68DPI
DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13
Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeo y Capacidad Asegurar Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a los Usuarios Apoyar y Asistir a los Clientes de TI Administrar la Configuracin Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones
AI1 Identificar Soluciones AI2 Adquirir y Mantener Software de Aplicacin AI3 Adquirir y Mantener Arquitectura de Tecnologa AI4 Desarrollar y Mantener Procedimientos relacionados con TI AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
&
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
6
17(&('(17(6
DESARROLLO DEL PRODUCTO COBIT

COBIT ha sido desarrollado como un estndar generalmente aplicable y aceptado para las buenas prcticas de seguridad y control en Tecnologa de Informacin (TI). COBIT es la herramienta innovadora para el gobierno8 de TI -. COBIT se fundamenta en los Objetivos de Control existentes de la Information Systems Audit and Control Foundation (ISACF), mejorados a partir de estndares internacionales tcnicos, profesionales, regulatorios y especficos para la industria, tanto existentes como en surgimiento. Los Objetivos de Control resultantes han sido desarrollados para su aplicacin en sistemas de informacin en toda la empresa. El trmino generalmente aplicables y aceptados es utilizado explcitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas en ingls). Para propsitos del proyecto, buenas prcticas significa consenso por parte de los expertos. Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y responder, en la medida de lo posible, a las necesidades de negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas tcnicas de TI adoptadas en una organizacin. El proporcionar indicadores de desempeo (normas, reglas, etc.), ha sido identificado como prioridad para las mejoras futuras que se realizarn al marco referencial. El desarrollo de COBIT ha trado como resultado la publicacin del Marco Referencial general y de los Objetivos de Control detallados, y le seguirn actividades educativas. Estas actividades asegurarn el uso general de los resultados del Proyecto de Investigacin COBIT. Se determin que las mejoras a los objetivos de control originales deberan consistir en:
una revisin crtica y actualizacin de las guas actuales para desarrollo de auditoras de sistemas de informacin
Sin excluir ningn otro estndar aceptado en el campo del control de sistemas de informacin que pudiera emitirse durante la investigacin, las fuentes han sido identificadas inicialmente como: Estndares Tcnicos de ISO, EDIFACT, etc. Cdigos de Conducta emitidos por el Council of Europe, OECD, ISACA, etc.; Criterios de Calificacin para sistemas y procesos de TI: ITSEC, ISO9000, SPICE, TickIT, etc.; Estndares Profesionales para control interno y auditora: reporte COSO, GAO, IFAC, IIA, ISACA, estndares CPA, etc.; Prcticas y requerimientos de la Industria de foros industriales (ESF, 14) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI); y Nuevos requerimientos especficos de la industria de la banca y manufactura de TI. (Ver Apndice III Glosario de Trminos para definiciones de siglas)
DEFINICIN DEL PRODUCTO COBIT

El desarrollo de COBIT ha resultado en la publicaci de: l un Resumen Ejecutivo el cual, adicionalmente a esta seccin de antecedentes, consiste en una Sntesis Ejecutiva (que proporciona a la alta gerencia entendimiento y conciencia sobre los conceptos clave y principios de COBIT) y el Marco Referencial (el cual proporciona a la alta gerencia un entendimiento ms detallado de los conceptos clave y principios de COBIT e identifica los cuatro dominios de COBIT y los correspondientes 34 procesos de TI); l el Marco Referencial que describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la informacin y los recursos de TI que son impactados en forma primaria por cada objetivo de control; l Objetivos de Control, los cuales contienen declaraciones de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de 302 objetivos de control detallados y especficos a travs de los 34 procesos de TI;
el desarrollo de un marco referencial para control en TI como fundamento para los objetivos de control en TI y como una gua para la investigacin consistente en auditora y control de TI; una alineacin del marco referencial general y de los objetivos de control individuales, con estndares y regulaciones internacionales existentes de hecho y de derecho; y una revisin crtica de las diferentes actividades y tareas que conforman los dominios de control en TI y, cuando fuese posible, la especificacin de indicadores de desempeo relevantes (normas, reglas, etc.) y
Gobierno (governance): sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.
%-(79,26'(821752/
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
'
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
(3) proporcionar una base de comparacin de sus prcticas de control de TI contra empresas similares o normas de la industria. Esta adicin proporcionar herramientas a la gerencia para evaluar el ambiente de TI de su organizacin con respecto a los 34 Objetivos de Control de alto nivel de COBIT. Las investigaciones y publicaciones han sido posibles gracias a contribuciones de Unysis, Unitech Systems, Inc., MIS Training Institute, Zergo, Ltd., y Coopers & Lybrand. El Forum Europeo de Seguridad (European Security Forum ESF-) amablemente puso a disposicin material para el proyecto. Otras donaciones fueron recibidas de captulos miembros de ISACA de todo el mundo.
Directrices de Auditora, las cuales contienen los pasos de auditora correspondientes a cada uno de los 34 objetivos de control de TI de alto nivel para proporcionar asistencia a los auditores de sistemas en la revisin de los procesos de TI con respecto a los 302 objetivos detallados de control recomendados para proporcionar a la gerencia certeza o una recomendaciones de mejoramiento; un Conjunto de Herramientas de Implementacin, el cual proporciona lecciones aprendidas por organizaciones que han aplicado COBIT rpida y exitosamente en sus ambientes de trabajo.
El Conjunto de Herramientas de Implementacin incluye la Sntesis Ejecutiva, proporcionando a la alta gerencia conciencia y entendimiento de COBIT. Tambin incluye una gua de implementacin con dos tiles herramientas Diagnstico de la Conciencia de la Gerencia9 y el Diagnstico de Control de TI10 - para proporcionar asistencia en el anlisis del ambiente de control en TI de una organizacin. Tambin se incluyen varios casos de estudio que detallan cmo organizaciones en todo el mundo han implementado COBIT exitosamente. Adicionalmente, se incluyen respuestas a las 25 preguntas mas frecuentes acerca de COBIT y varias presentaciones para distintos niveles jerrquicos y audiencias dentro de las organizaciones. EVOLUCIN DEL PRODUCTO COBIT COBIT evolucionar a travs de los aos y ser el fundamento de investigaciones futuras. Por lo tanto, se generar una familia de productos COBIT y al ocurrir esto, las tareas y actividades que sirven como la estructura para organizar los Objetivos de Control de TI, sern refinadas posteriormente, tambin ser revisado el balance entre los dominios y los procesos a la luz de los cambios en la industria. Una temprana adicin significativa visualizada para la familia de productos COBIT, es el desarrollo de las Guas de Gerenciales11 que incluyen Factores Crticos de Exito, Indicadores Clave de Desempeo y Medidas Comparativas12. Esta adicin proporcionar herramientas a la gerencia para evaluar el ambiente de TI de su organizacin con respecto a los 34 Objetivos de Control de alto nivel de COBIT. Los Factores Crticos de Exito identificarn los aspectos o acciones ms importantes para la administracin y poder as tomar dichas acciones o considerar los aspectos para lograr control sobre sus procesos de TI. Los Indicadores Clave de Desempeo proporcionarn medidas de xito que permitan conocer a la gerencia si un proceso de TI esta alcanzando los requerimientos de negocio. La Medidas Comparativas definirn niveles de madurez que pueden ser utilizadas por la gerencia para: (1) determinar el nivel actual de madurez de la empresa; (2) determinar el nivel de madurez que desea lograr, como una funcin de sus riesgos y objetivos; y
D
TVH6SDP9@GPT @Y@8VUDWPT
Familia de Productos COBIT
8PIEVIUP9@C@SS6HD@IU6T9@DHQG@H@IU68DI
Thqry@rpv Wvvyqry@rpv
H68SPS@A@S@I8D6G iwrvqrpyqr hyvry
@qvqry8h A6RT QrrhpvyqrQrQv BvhqrDyrrhpvy
Qthhqryh8pvrpvh 9vhtvpqr8yqrUD
BVD6TB@S@I8D6GT
P7E@UDWPT9@U6GG69PT 9@8PIUSPG
9DS@8USD8@T9@ 6V9DUPSD6
Ahpr8tvp qryev 8yvvrqry QvpvhyrDqvphqr
Hrqvqh8hhvh
10 11 12
Diagnstico de la Conciencia de la Gerencia (management awareness diagnostic) Diagnstico de Control de TI (IT control diagnostic) Guas gerenciales (management guidelines ) Medidas comparativas (benchmarks)
%-(79,26'(821752/
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
@ H
$5&2S()(5(1&,$/'(82%,U
@
67$%/(&,(1'2/$@6&(1$
G6I@8@TD9699@8PIUSPG@IU@8 IPGPBD69@DIAPSH68DPI
En aos recientes, ha sido cada vez ms evidente para los legisladores, usuarios y proveedores de servicios la necesidad de un Marco Referencial para la seguridad y el control de tecnologa de informacin (TI). Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticalidad emerge de:
entre riesgos e inversiones en control en un ambiente de TI frecuentemente impredecible. La administracin necesita un Marco Referencial de prcticas de seguridad y control de TI generalmente aceptadas para medir comparativamente su ambiente de TI, tanto el existente como el planeado. Existe una creciente necesidad entre los USUARIOS en cuanto a la seguridad en los servicios TI, a travs de la acreditacin y la auditora de servicios de TI proporcionados internamente o por terceras partes, que aseguren la existencia de controles adecuados. Actualmente, sin embargo, es confusa la implementacin de buenos controles de TI en sistemas de negocios por parte de entidades comerciales, entidades sin fines de lucro o entidades gubernamentales. Esta confusin proviene de los diferentes mtodos de evaluacin, tales como ITSEC, TCSEC, evaluaciones ISO9000, nuevas evaluaciones de control interno COSO, etc. Como resultado, los usuarios necesitan una base general a ser establecida como primer paso. Frecuentemente, los AUDITORES han tomado el liderazgo en estos esfuerzos internacionales de estandarizacin, debido a que ellos enfrentan continuamente la necesidad de sustentar y apoyar frente a la Gerencia su opinin acerca de los controles internos. Sin contar con un marco referencial, sta se convierte en una tarea demasiado complicada. Esto ha sido mostrado en varios estudios recientes acerca de la manera en la que los auditores evalan situaciones complejas de seguridad y control en TI, estudios que fueron dados a conocer casi simultneamente en diferentes partes del mundo. Incluso, la administracin consulta cada vez ms a los auditores para que la asesoren en forma proactiva en lo referente a asuntos de seguridad y control de TI.
@G6H7D@IU@9@I@BP8DPT) 8PHQ@U@I8D686H7DP8PTUPT
l la creciente dependencia en informacin y en los

sistemas que proporcionan dicha informacin
l la creciente vulnerabilidad y un amplio espectro de

amenazas, tales como las ciber amenazas y la guerra de informacin
l la escala y el costo de las inversiones actuales y

futuras en informacin y en tecnologa de informacin; y
l el potencial que tienen las tecnologas para cambiar

radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa. Verdaderamente, la informacin y los sistemas de informacin son penetrantes en las organizaciones (desde la plataforma del usuario hasta las redes locales o amplias, cliente servidor y equipos Mainframe. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nueva tecnologa. Por lo tanto, la administracin debe tener una apreciacin por, y un entendimiento bsico de los riesgos y limitantes del empleo de la tecnologa de informacin para proporcionar una direccin efectiva y controles adecuados La administracin debe decidir la inversin razonable en seguridad y control en TI y cmo lograr un balance
D
La competencia global es ya un hecho. Las organizaciones se reestructuran con el fin de perfeccionar sus operaciones y al mismo tiempo aprovechar los avances en tecnologa de sistemas de informacin para mejorar su posicin competitiva. La reingeniera en los nego13
Guerra de informacin (information warfare)

P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
categora son el Security Code of Conduct del DTI (Department of Trade and Industry, Reino Unido) y el Security Handbook de NIST (National Institute of Standards and Technology, EUA). Sin embargo, estos modelos de control con orientacin especfica no proporcionan un modelo de control completo y utilizable sobre tecnologa de informacin como soporte para los procesos de negocio. El propsito de COBIT es el cubrir este vaco proporcionando una base que est estrechamente ligada a los objetivos de negocio, al mismo tiempo que se enfoca a la tecnologa de informacin. Un enfoque hacia los requerimientos de negocio en cuanto a controles para tecnologa de informacin y la aplicacin de nuevos modelos de control y estndares internacionales relacionados, hicieron evolucionar los Objetivos de Control y pasar de una herramienta de auditora, a COBIT, que es una herramienta para la administracin. COBIT es, por lo tanto, la herramienta innovadora para el gobierno de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI. Por lo tanto, el objetivo principal del proyecto COBIT es el desarrollo de polticas claras y buenas prcticas para la seguridad y el control de Tecnologa de Informacin, con el fin de obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. La meta del proyecto es el desarrollar estos objetivos de control principalmente a partir de la perspectiva de los objetivos y necesidades de la empresa. Esto concuerda con la perspectiva COSO, que constituye el primer y mejor marco referencial para la administracin en cuanto a controles internos. Posteriormente, los objetivos de control fueron desarrollados a partir de la perspectiva de los objetivos de auditora (certificacin de informacin financiera, certificacin de medidas de control interno, eficiencia y efectividad, etc.)
6V9D@I8D6)69HDIDTUS68DPIVTV6 SDPT6V9DUPS@T
cios, las reestructuraciones, el outsourcing, las organizaciones horizontales y el procesamiento distribuido son cambios que impactan la manera en la que operan tanto los negocios como las entidades gubernamentales. Estos cambios han tenido y continuarn teniendo, profundas implicaciones para la administracin y las estructuras de control operacional dentro de las organizaciones en todo el mundo. La especial atencin prestada a la obtencin de ventajas competitivas y a la economa implica una dependencia creciente en la computacin como el componente ms importante en la estrategia de la mayora de las organizaciones. La automatizacin de las funciones organizacionales, por su naturaleza, dicta la incorporacin de mecanismos de control ms poderosos en las computadoras y en las redes, tanto los basados en hardware como los basados en software. Adems, las caractersticas estructurales fundamentales de estos controles estn evolucionando al mismo paso que las tecnologas de computacin y las redes. Si los administradores, los especialistas en sistemas de informacin y los auditores desean en realidad ser capaces de cumplir con sus tareas en forma efectiva dentro de un marco contextual de cambios acelerados, debern aumentar y mejorar sus habilidades tan rpidamente como lo demandan la tecnologa y el ambiente. Debemos comprender la tecnologa de controles involucrada y su naturaleza cambiante si deseamos emitir y ejercer juicios razonables y prudentes al evaluar las prcticas de control que se encuentran en los negocios tpicos o en las organizaciones gubernamentales.
S@TQV@TU66G6TI@8@TD969@T
En vista de estos continuos cambios, el desarrollo de este Marco Referencial de objetivos de control para TI, conjuntamente con una investigacin continua aplicada a controles de TI basada en este marco referencial, constituyen el fundamento para el progreso efectivo en el campo de los controles de sistemas de informacin. Por otro lado, hemos sido testigos del desarrollo y publicacin de modelos de control generales de negocios como COSO [Committee of Sponsoring Organisations of the Treadway Commisssion Internal ControlIntegrated Framework, 1992] en los EUA, Cadbury en el Reino Unido y CoCo en Canad y King en Sudfrica. Por otro lado, existe un nmero importante de modelos de control ms enfocados al nivel de tecnologa de informacin. Algunos buenos ejemplos de esta ltima
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
COBIT est diseado para ser utilizado por tres audiencias distintas: ADMINISTRACION: Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnologa de informacin frecuentemente impredecible.
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
DEFINICIONES Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La definicin de Control est adaptada del reporte COSO [Committee of Sponsoring Organisations of the Treadway Commission. Internal Control-Integrated Framework, 1992 y la definicin para Objetivo de Control de TI ha sido adaptada del reporte SAC (Systems Auditability and Control Report). The Institute of Internal Auditors Research Foundation, 1991 y 1994.
Control se Control se define como define como
USUARIOS: Para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa de informacin proporcionados internamente o por terceras partes. AUDITORES DE SISTEMAS DE INFORMACION: Para dar soporte a las opiniones mostradas a la administracin sobre los controles internos. Adems de responder a las necesidades de la audiencia inmediata de la Alta Gerencia, a los auditores y a los profesionales dedicados al control y seguridad, COBIT puede ser utilizado dentro de las empresas por el propietario de procesos de negocio en su responsabilidad de control sobre los aspectos de informacin del proceso, y por todos aqullos responsables de TI en la empresa.
Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos Una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular.
ORIENTACIN A OBJETIVOS DE NEGOCIO Los Objetivos de Control muestran una relacin clara y distintiva con los objetivos de negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditora. Los Objetivos de Control estn definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios. En dominios y procesos identificados, se identifica tambin un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Se proporcionan consideraciones y guas para definir e implementar el Objetivo de Control de TI. La clasificacin de los dominios a los que se aplican los objetivos de control de alto nivel (dominios y procesos); una indicacin de los requerimientos de negocio para la informacin en ese dominio, as como los recursos de TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamente el marco Referencial COBIT. El marco referencial toma como base las actividades de investigacin que han identificado 34 objetivos de alto nivel y 302 objetivos detallados de control. El Marco Referencial fue mostrado a la industria de TI y a los profesionales dedicados a la auditora para abrir la posibilidad a revisiones, dudas y comentarios. Las ideas obtenidas fueron incorporadas en forma apropiada.
Objetivo de Objetivo de control en TI control en TI se define se define como como
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
LOS PRINCIPIOS DEL MARCO REFERENCIAL

Existen dos clases distintas de modelos de control disponibles actualmente, aqullos de la clase del modelo de control de negocios (por ejemplo COSO) y los modelos ms enfocados a TI (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la Administracin y para operar a un nivel superior que los estndares de tecnologa para la administracin de sistemas de informacin.. Por lo tanto, COBIT es el modelo para el gobierno de TI. El concepto fundamental del marco referencial COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que deben ser administrados por procesos de TI.
Requerimientos Fiduciarios (COSO)
Efectividad & eficiencia de operaciones Confiabilidad de la informacin Cumplimiento de las leyes & regulaciones Confidencialidad Integridad Disponibilidad
Requerimientos de Seguridad
Requerimientos de Negocio
La Calidad ha sido considerada principalmente por su aspecto negativo (no fallas, confiable, etc.), lo cual tambin se encuentra contenido en gran medida en los criterios de Integridad. Los aspectos positivos pero menos tangibles de la calidad (estilo, atractivo, ver y sentir14, desempeo ms all de las expectativas, etc.) no fueron, por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La premisa se refiere a que la primera prioridad deber estar dirigida al manejo apropiado de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la Calidad est cubierto por los criterios de efectividad. Se consider que el aspecto de entrega (de servicio) de la Calidad se traslapa con el aspecto de disponibilidad correspondiente a los requerimientos de seguridad y tambin en alguna medida, con la efectividad y la eficiencia. Finalmente, el Costo es tambin considerado que queda cubierto por Eficiencia. Para los requerimientos fiduciarios, COBIT no intent reinventar la rueda se utilizaron las definiciones de COSO para la efectividad y eficiencia de operaciones, confiabilidad de informacin y cumplimiento con leyes y regulaciones. Sin embargo, confiabilidad de informacin fue ampliada para incluir toda la informacin no slo informacin financiera. Con respecto a los aspectos de seguridad, CobiT identific la confidencialidad, integridad y disponibilidad como los elementos clave, fue descubierto que estos mismos tres elementos son utilizados a nivel mundial para describir los requerimientos de seguridad. Comenzando el anlisis a partir de los requerimientos de Calidad, Fiduciarios y de Seguridad ms amplios, se
14
Procesos de TI Recursos de TI
Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos criterios a los que COBIT hace referencia como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos: Calidad Requerimientos de Costo Calidad Entrega (de servicio)
Ver y Sentir (look and feel)

P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
"
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
Aplicaciones
extrajeron siete categoras distintas, ciertamente superpuestas. A continuacin se muestran las definiciones de trabajo de COBIT:
Efectividad
Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados. La tecnologa cubre hardware, software, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. Recursos para alojar y dar soporte a los sistemas de informacin. Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin.
Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente. Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.
Tecnologa
Instalaciones
Eficiencia
Personal
Confidencialidad
Integridad
El dinero o capital no fue considerado como un recurso para la clasificacin de objetivos de control para TI debido a que puede definirse como la inversin en cualquiera de los recursos mencionados anteriormente y podra causar confusin con los requerimientos de auditora financiera. El Marco referencial no menciona, en forma especfica para todos los casos, la documentacin de todos los aspectos materiales importantes relacionados con un proceso de TI particular. Como parte de las buenas prcticas, la documentacin es considerada esencial para un buen control y, por lo tanto, la falta de documentacin podra ser la causa de revisiones y anlisis futuros de controles de compensacin en cualquier rea especfica en revisin. Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se describe a continuacin:
(YHQWRV
Piwrvqrrtpv Pvqhqrqrrtpv Srrvvrrr Srtyhpvr Svrt
Disponibildad
Cumplimiento
Confiabilidad de la Informacin
Datos Datos
Sistemas de Aplicacin Sistemas de Aplicacin
,QIRUPDFLyQ
servicio salida
@srpvvqhq @svpvrpvh 8svqrpvhyvqhq D rtvqhq 9vvivyvqhq 8yvvr
mensaje entrada
TECNOLOGIA
INSTALACIONES GENTE
8svhivyvqhq
Los recursos de TI identificados en COBIT pueden explicarse/definirse como se muestra a continuacin:

Datos
Los elementos de datos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc.
#
La informacin que los procesos de negocio necesitan es proporcionada a travs del empleo de recursos de TI. Con el fin de asegurar que los requerimientos de negocio para la informacin son satisfechos, deben definirse
vyrrhrvrhrrqvqhqrp
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
Dominios
yhqrphqhhhrrp
Cmo pueden entonces las empresas estar satisfechas respecto a que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de un sano marco referencial de Objetivos de Control para TI. El diagrama mostrado a continuacin ilustra este concepto.
PROCESOS DE NEGOCIO
Criterios
Procesos
Actividades
INFORMACION
RECURSOS DE TI
8prqh4
Dominios
Los procesos se definen entonces en un nivel superior como una serie de actividades o tareas conjuntas con cortes naturales (de control). Al nivel ms alto, los procesos son agrupados de manera natural en dominios. Su agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad en una estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de vida aplicable a los procesos de TI.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
Procesos de TI
Procesos
Actividades
Sistemas de Aplicacin Tecnologa
Gente
s so ur c Re
$
P
%-(79,26'(821752/
Instalaciones Datos
de TI
El marco referencial consta de Objetivos de Control de TI de alto nivel y de una estructura general para su clasificacin y presentacin. La teora subyacente para la clasificacin seleccionada se refiere a que existen, en esencia, tres niveles de actividades de TI al considerar la administracin de sus recursos. Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras que las tareas son consideradas ms discretas. El concepto de ciclo de vida cuenta tpicamente con requerimientos de control diferentes a los de actividades discretas. Algunos ejemplos de esta categora son las actividades de desarrollo de sistemas, administracin de la configuracin y manejo de cambios. La segunda categora incluye tareas llevadas a cabo como soporte para la planeacin estratgica de TI, evaluacin de riesgos, planeacin de la calidad, administracin de la capacidad y el desempeo.
Por lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos estratgicos: (1) recursos de TI, (2) requerimientos de negocio para la informacin y (3) procesos de TI. Estos puntos de vista diferentes permiten al marco referencial ser accedido eficientemente. Por ejemplo, los gerentes de la empresa pueden interesarse en un enfoque de calidad, seguridad o fiduciario (traducido por el marco referencial en siete requerimientos de informacin especficos). Un Gerente de TI puede desear considerar recursos de TI por los cuales es responsable. Propietarios de procesos, especialistas de TI y usuarios pueden tener un inters en procesos particulares. Los auditores podrn desear enfocar el marco referencial desde un punto de vista de cobertura de control. Estos tres puntos estratgicos son descritos en el Cubo COBIT que se muestra a continuacin:
Criterios de informacin
s d d rio ida i da ur cia l g du Ca Se Fi
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
En resumen, los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos. El siguiente diagrama ilustra este concepto:
P7E@UDWPT9@I@BP8DP OBJEIVOS DE NEGOCIO
Con lo anterior como marco de referencia, los dominios son identificados utilizando las palabras que la gerencia utilizara en las actividades cotidianas de la organizacin y no la jerga15 del auditor -. Por lo tanto, cuatro grandes dominios son identificados: planeacin y organizacin, adquisicin e implementacin; entrega y soporte y monitoreo. Las definiciones para los dominios mencionados son las siguientes:
Planeacin y organizacin
PO1
Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas. Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad.Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin. Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
%
COBIT
M1 Monitorear los procesos M2 Evaluar lo adecuado del control Interno M3 Obtener aseguramiento independiente M4 Proporcionar auditora independiente
DIAPSH68DPI
Definir un Plan Estratgico de Tecnologa de Informacin Definir la Arquitectura de Informacin Determinar la direccin tecnolgica Definir la Organizacin y de las Relaciones de TI PO5 Manejar la Inversin en Tecnologa de Informacin PO6 Comunicar la direccin y aspiraciones de la gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento de Requerimientos Externos PO9 Evaluar Riesgos PO10 Administrar proyectos PO11 Administrar Calidad PO2 PO3 PO4
HPIDUPS@P S@8VSTPT9@UD
QG6I@68DPI` PSB6IDa68DPI
69RVDTD8DPI@ @IUS@B6` TPQPSU@ DHQG@H@IU68DPI
Adquiscin e implementacin
DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13
Definir Niveles de Servicio Administrar Servicios prestados por Terceros Administrar Desempeo y Capacidad Asegurar Servicio Continuo Garantizar la Seguridad de Sistemas Identificar y Asignar Costos Educar y Entrenar a los Usuarios Apoyar y Asistir a los Clientes de TI Administrar la Configuracin Administrar Problemas e Incidentes Administrar Datos Administrar Instalaciones Administrar Operaciones
AI1 Identificar Soluciones AI2 Adquirir y Mantener Software de Aplicacin AI3 Adquirir y Mantener Arquitectura de Tecnologa AI4 Desarrollar y Mantener Procedimientos relacionados con TI AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios
Entrega y Entrega y soporte soporte
Debe tomarse en cuenta que estos procesos pueden ser aplicados a diferentes niveles dentro de una organizacin. Por ejemplo, algunos de estos procesos sern aplicados al nivel corporativo, otros al nivel de la funcin de servicios de informacin, otros al nivel del propietario de los procesos de negocio.
Tambin debe ser tomado en cuenta que el criterio de efectividad de los procesos que planean o entregan soluciones a los requerimientos de negocio, cubrirn algunas veces los criterios de disponibilidad, integridad y confidencialidad. en la prctica, se han convertido en requerimientos del negocio. Por ejemplo, el proceso de identificar soluciones automatizadas deber ser efectivo en el cumplimiento de requerimientos de disponibilidad, integridad y confidencialidad.
$
Monitoreo
-HUJDMDUJRQ
P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
Resulta claro que las medidas de control no satisfarn necesariamente los diferentes requerimientos de informacin del negocio en la misma medida. Se lleva a cabo una clasificacin dentro del marco referencial COBIT basada en rigurosos informes y observaciones de procesos por parte de investigadores, expertos y revisores con las estrictas definiciones determinadas previamente.
Primario
es el grado al cual el objetivo de control definido impacta directamente el requerimiento de informacin de inters. es el grado al cual el objetivo de control definido satisface nicamente de forma indirecta o en menor medida el requerimiento de informacin de inters. podra aplicarse; sin embargo, los requerimientos son satisfechos ms apropiadamente por otro criterio en este proceso y/o por otro proceso.
Secundario
Blanco (vaco)
Similarmente, todas las medidas de control no necesariamente tendrn impacto en los diferentes recursos de TI a un mismo nivel. Por lo tanto, el Marco Referencial de COBIT indica especficamente la aplicabilidad de los recursos de TI que son administrados en forma especfica por el proceso bajo consideracin (no por aquellos que simplemente toman parte en el proceso). Esta clasificacin es hecha dentro el Marco Referencial de COBIT basado en el mismo proceso riguroso de informacin proporcionada por los investigadores, expertos y revisores, utilizando las definiciones estrictas indicadas previamente.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
&
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
GIA PARA LA UTILIZACIN DEL MARCO REFERENCIAL Y LOS OBJETIVOS DE CONTROL COBIT
PERSPECTIVAS DIFERENTES; ENFOQUES DIFERENTES
El marco referencial conceptual puede ser enfocado desde tres puntos estratgicos: 1) recursos de TI, 2) requerimientos de negocio para la informacin y 3) procesos de TI. Estos puntos de vista diferentes permiten al marco referencial ser accedido eficientemente. Por ejemplo, los gerentes de la empresa pueden interesarse en un enfoque de calidad, seguridad o fiduciario (traducido por el marco referencial en siete requerimientos de informacin especficos). Un Gerente de TI puede desear considerar recursos de TI por los cuales es responsable. Propietarios de procesos, especialistas de TI y usuarios pueden tener un inters en procesos particulares. Los auditores podrn desear enfocar el marco referencial desde un punto de vista de cobertura de control.
MARCO REFERENCIAL COBIT

El marco referencial COBIT ha sido limitado a objetivos de control de alto nivel en forma de necesidades de negocio dentro de un proceso de TI particular, cuyo logro es posible a travs de un establecimiento de controles, para el cual deben considerarse controles aplicables potenciales. Los Objetivos de Control de TI han sido organizados por proceso/actividad, pero tambin se han proporcionados ayudas de navegacin no solamente para facilitar la entrada a partir de cualquier punto de vista estratgico como se explic anteriormente, sino tambin para facilitar enfoques combinados o globales, tales como instalacin/implementacin de un proceso, responsabilidades gerenciales globales para un proceso y utilizacin de recursos de TI por un proceso. Tambin deber tomarse en cuenta que los Objetivos de Control COBIT han sido definidos en una manera genrica, por ejemplo, sin depender de la plataforma tcnica, aceptando el hecho de que algunos ambientes de tecnologa especiales pueden requerir una cobertura separada para objetivos de control.
Criterios de informacin
Sistemas de Aplicacin
Instalaciones Datos
rio ad cia lid du Ca Fi

Dominios
d ida ur g Se
Tecnologa
El control de
Proceso de TI
Que satisface
Requerimiento de Negocio
Procesos de TI
Es habilitado por
Declaracin de Considerando Control
Procesos
Gente
Actividades
os rs cu Re
de
TI
Prcticas de Control
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
'
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
ef ec t iv ef ida co i c i e d nf n i d ci a en ci in te ali di grid dad sp o ad cu nibi li m p da co l i m d nf i en ia bi to lid ad
AYUDAS DE NAVEGACIN
Para facilitar el empleo eficiente de los objetivos de control como soporte a los diferentes puntos de vista, se proporcionan algunas ayudas de navegacin como parte de la presentacin de los objetivos de control de alto nivel. Se proporciona una ayuda de navegacin para cada una de las tres dimensiones del marco referencial COBIT procesos, recursos y criterios -
P
Planeacin & Organizacin
8vrvqr Dshpvy
Adquisicin & Implementacin
9vv 9rUD
UD Srp
Entrega & Soporte
Monitoreo
Urqrvpvy
PP
ge ap nte li c a te cion cn e in o lo s st al g a ac io da nes to s
Los dominios son identificados ubicando la siguiente figura en la esquina superior derecha de cada pgina en la seccin de Objetivos de Control, agrandando y haciendo ms visible el dominio bajo revisin.
Entrega & Soporte
Monitoreo
La clave para el criterio de informacin ser proporcionado la esquina superior izquierda en la seccin de Objetivos de Control mediante la siguiente mini matriz, la cual identificar cul criterio y en qu grado (primario o secundario) es aplicable a cada Objetivo de Control de TI de alto nivel.
Una segunda mini matriz en la esquina inferior derecha en la seccin de Objetivos de Control identifica los recursos de TI que son administrados en forma especfica por el proceso bajo consideracin - no aquellos que simplemente toman parte en el proceso -. Por ejemplo, el proceso administracin de informacin se concentra particularmente en la integridad y confiabilidad de los recursos de datos, mientras que disponibilidad y confidencialidad son primariamente proporcionadas por los procesos que administran los recursos que utilizan los datos (Ej. Aplicaciones y tecnologa).
D
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
ge ap nte li c a te cion cn e in o lo s st al g a ac io da nes to s

(
P
ef ec t iv ef ida co i c i e d nf i d ncia en i n ci a te li di grid dad sp ad o cu nibi li m p da co l i m d ie nf i a nto bi lid ad
PP
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
Q
5,1&,3,26'(/26P%-(7,926'(821752/
hhrypyqrUDrqhyhvqvhhv ryqvhy GPiwrvqr8yriqvvtvqhyh trrpvhhyrhyqryrvpvqrvs hpvypyrspvrqrhqvthy ivhrhyvrhvqrypr qrrtpvGPiwrvqr8y pvhqprqrhihwqrrpv vhhrhrhTrrrhqrsvv pvrrpvhpyhhqrpwtv qrpyrhhhrthyhrsvphpvhyhrsv pvrpvhyhrpthryhvyvhpvyqrrp QhhphqhprrvqrvsvphPiwrv qr8yqrhyyhqpypyrtv rrprvhrphrrhiyrpvq hryypyrrphsvpvrpvhri rhyhqhrysrvhyrpy@vr "!iwrvqrpyqrhyyhqr pvhhvvyqrhyyhqhiryhryhpvr qvvpriwrvqrpy GPiwrvqr8yrvryhhqp pvyqrypprrrhqrryHhp qrSrsrrpvhrpyrrrptsvphyvph iyrhhphqhprqrUD
8P7DUprrrhryh~yvhrvy qrPiwrvqr8yrsyrwhrypv pvqrDT68Arwhhrrry prp~qrppvvrrrvqh hhhyhhpvvqhqqrhqvthpyqr vrhqrvshpvy6tpryHhpqr Srsrrpvhqr8P7DU8P7DUAhrxr rprhrsphqhpyrqrhyvry hhphqhpr@yqprqrPiwrv qr8yrpprhriwrvqrhyyh qqrpyrrptsvphpvhqpphqh qryprqrUDQhhphqhqry "#prqrUDqryHhpqrSrsrrpvhrv rqrrh"Piwrvqr8yqrhyyh qGPiwrvqr8yhyvrhryHhp qrSrsrrpvhtrrhypyPiwrvqr8 yqrhyyhqhhvqr"%srrvhvh rprqryriqhrvrhpvhyr qrurpuqrqrrpuyhrtyhpvrryh pvhqhpUD@rpvrryhryhpvyqry ryhqyvqrrhqrqrrh hyphhrhhpqryhvyrrhpvyqr prqvvrqrpyrrptsvpqrqr hhpvvqhqqrUDqrrhhrh pvhhytvphpyhhhrwipvph
16
Mejor prctia (best practice)

P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
!
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
U
$%/$S(680(1
Ghvtvrrhiyhpvhhvqvphpvy prqvvqrUDqrpiyrpvrv qrvshpvyvrrvhpqryiwrv
qrhyvryhtphvqvphpvyqrpiyr rpqrUDhyvphiyr
Criterios de Informacin
Recursos de TI
DOMINIO Planeacin y Organizacin PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 P010 PO11 AI1 AI2 AI3 AI4 AI5 AI6 DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 M1 M2 M3 M4
PROCESO
Definir un plan estratgico de sistemas Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y sus relaciones Administrar las inversiones (en TI) Comunicar la direccin y objetivos de la gerencia Administrar los recursos humanos Asegurar el apego a disposiciones externas Evaluar riesgos Administrar proyectos Administrar calidad Identificar soluciones de automatizacin Adquirir y mantener software de aplicacin Adquirir y mantener la arquitectura tecnolgica Desarrollar y mantener procedimientos Instalar y acreditar sistemas de informacin Administrar cambios Definir niveles de servicio Administrar servicios de terceros Administrar desempeo y capacidad Asegurar continuidad de servicio Garantizar la seguridad de sistemas Identificar y asignar costos Educar y capacitar a usuarios Apoyar y orientar a clientes Administrar la configuracin Administrar problemas e incidentes Administrar la informacin Administrar las instalaciones Administrar la operacin Monitorear el proceso Evaluar lo adecuado del control interno Obtener aseguramiento independiente Proporcionar auditora independiente
P P P P P P P P S P P P P P P P P P P P P
Adquisicin e Implementacin
Entrega de servicios y Soporte
P S S S S S P S S S S S P S S P P P S S S P P P S P P S S P P S P P P P P P S S P P P P S P P P S S S S S S S S S S S S S S S S S S S S
Monitoreo
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
ef ec ef tivi ic da co ienc d n ia in fide te n di grid cial s p a id c u on d ad m ibi co plim lida nf ie d ia n bi to li r reec dad cuu r sisi rsso stst oss ee tete mm ahu cncn as s m d in in ololo de eano st s og g ina s p da aaltacaaia forlic d al mac c toto io io aci s s nen in ses n
S S S S S S P S P
P S S P P P S S P P P S S P P P P
S S S S S S S S S P P S
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
(/$&,21(6'(P%-(7,926'(821752/ 920,1,26Q52&(626<P%-(7,926'(821752/
S
PLANEACIN Y ORGANIZACIN
1.0 Definicin de un Plan Estratgico de Tecnologa de Informacin 1.1 Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo 1.2 Plan a largo plazo de Tecnologa de Informacin 1.3 Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura 1.4 Cambios al Plan a largo plazo de Tecnologa de Informacin 1.5 Planeacin a corto plazo para la funcin de Servicios de Informacin 1.6 Evaluacin de sistemas existentes 2.0 Definicin de la Arquitectura de Informacin 2.1 Modelo de la Arquitectura de Informacin 2.2 Diccionario de Datos y Reglas de sinta de datos de la corporacin 2.3 Esquema de Clasificacin de Datos 2.4 Niveles de Seguridad 3.0 Determinacin de la direccin tecnolgica 3.1 Planeacin de la Infraestructura Tecnolgica 3.2 Monitoreo de Tendencias y Regulaciones Futuras 3.3 Contingencias en la Infraestructura Tecnolgica 3.4 Planes de Adquisicin de Hardware y Software 3.5 Estndares de Tecnologa 4.0 Definicin de la Organizacin y de las Relaciones de TI 4.1 Comit de planeacin o direccin de la funcin de servicios de informacin 4.2 Ubicacin de los servicios de informacin en la organizacin 4.3 Revisin de Logros Organizacionales 4.4 Funciones y Responsabilidades 4.5 Responsabilidad del aseguramiento de calidad 4.6 Responsabilidad de la seguridad lgica y fsica
D
4.7 4.8 4.9 4.10 4.11 4.12 4.13 4.14 4.15
Propiedad y Custodia Propiedad de Datos y Sistemas Supervisin Segregacin de Funciones Asignacin de Personal para Tecnologa de Informacin Descripcin de Puestos para el Personal de la Funcin de TI Personal clave de TI Procedimientos para personal por contrato Relaciones
5.0 Manejo de la Inversin en Tecnologa de Informacin 5.1 Presupuesto Operativo Anual para la Funcin de Servicio de informacin 5.2 Monitoreo de Costo - Beneficio 5.3 Justificacin de Costo - Beneficio 6.0 Comunicacin de la direccin y aspiraciones de la gerencia 6.1 Ambiente positivo de control de la informacin 6.2 Responsabilidad de la Gerencia en cuanto a Polticas 6.3 Comunicacin de las Polticas de la Organizacin 6.4 Recursos para la implementacin de Polticas 6.5 Mantenimiento de Polticas 6.6 Cumplimiento de Polticas, Procedimientos y Estndares 6.7 Compromiso con la Calidad 6.8 Poltica sobre el Marco de Referencia para la Seguridad y el Control Interno 6.9 Derechos de propiedad intelectual 6.10 Polticas Especficas 6.11 Comunicacin de Conciencia de Seguridad en TI 7.0 Administracin de Recursos Humanos 7.1 Reclutamiento y Promocin de Personal 7.2 Personal Calificado 7.3 Entrenamiento de Personal 7.4 Entrenamiento Cruzado o Respaldo de Personal
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
!!
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
y Procedimientos de la Funcin de Servicios de Informacin Metodologa del Ciclo de Vida de Desarrollo de Sistemas Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas Coordinacin y Comunicacin Marco de Referencia de Adquisicin y Mantenimiento para la Infraestructura de Tecnologa Relaciones con Terceras Partes como Implementadores Estndares para la Documentacin de Programas Estndares para Pruebas de Programas Estndares para Pruebas de Sistemas Pruebas Piloto/En Paralelo Documentacin de las Pruebas del Sistema Evaluacin del Aseguramiento de la Cali dad sobre el Cumplimiento de Estndar de Desarrollo Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Funcin de Servicios de Informacin Mtricas de Calidad Reportes de Revisiones de Aseguramiento de la Calidad
7.5 7.6 7.7
Procedimientos de Acreditacin17 de Personal Evaluacin de Desempeo de los Empleados Cambios de Puesto y Despidos
11.5 11.6
8.0 Aseguramiento del Cumplimiento de Requerimientos Externos 8.1 Revisin de Requerimientos Externos 8.2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos 8.3 Cumplimiento de los Estndares de Seguridad y Ergonoma 8.4 Privacidad, Propiedad Intelectual y Flujo de Datos 8.5 Comercio Electrnico 8.6 Cumplimiento con Contratos de Seguros 9.0 Evaluacin de Riesgos 9.1 Evaluacin de Riesgos del Negocio 9.2 Enfoque de Evaluacin de Riesgos 9.3 Identificacin de Riesgos 9.4 Medicin de Riesgos 9.5 Plan de Accin contra Riesgos 9.6 Aceptacin de Riesgos 10.0 Administracin de proyectos 10.1 Marco de Referencia para la Administracin de Proyectos 10.2 Participacin del Departamento Usuario en la Iniciacin de Proyectos 10.3 Miembros y Responsabilidades del Equipo del Proyecto 10.4 Definicin del Proyecto 10.5 Aprobacin del Proyecto 10.6 Aprobacin de las Fases del Proyecto 10.7 Plan Maestro del Proyecto 10.8 Plan de Aseguramiento de la Calidad de Sistemas 10.9 Planeacin de Mtodos de Aseguramiento 10.10 Administracin Formal de Riesgos de Proyectos 10.11 Plan de Prueba 10.12 Plan de Entrenamiento 10.13 Plan de Revisin Post Implementacin 11.0 Administracin de Calidad 11.1 Plan General de Calidad 11.2 Enfoque de Aseguramiento de Calidad 11.3 Planeacin del Aseguramiento de Calidad 11.4 Revisin de Aseguramiento de Calidad sobre el Cumplimiento de Estndares
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
11.7 11.8 11.9
11.10 11.11 11.12 11.13 11.14 11.15 11.16
11.17
11.18 11.19
ADQUISICIN E IMPLEMENTACIN
1.0 Identificacin de Soluciones 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 1.10 1.11 1.12
17
Definicin de Requerimientos de Informacin Formulacin de Acciones Alternativas Formulacin de Estrategias de Adquisicin. Requerimientos de Servicios de Terceros Estudio de Factibilidad Tecnolgica Estudio de Factibilidad Econmica Arquitectura de Informacin Reporte de Anlisis de Riesgos Controles de Seguridad Econmicos Diseo de Pistas de Auditora Ergonoma Seleccin de Software de Sistema
Acreditacin (clearance)
P
!"
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
vicios Operacionales Manual de Procedimientos para Usuario Manual de Operacin Material de Entrenamiento
1.13 Control de Abastecimiento 1.14 Adquisicin de Productos de Software 1.15 Mantenimiento de Software de Terceras Partes 1.16 Contratos de Programacin de Aplicaciones 1.17 Aceptacin de Instalaciones 1.18 Aceptacin de Tecnologa 2.0 Adquisicin y Mantenimiento de Software de Aplicacin 2.1 Mtodos de Diseo 2.2 Cambios Significativos a Sistemas Actuales 2.3 Aprobacin del Diseo 2.4 Definicin y Documentacin de Requerimientos de Archivos 2.5 Especificaciones de Programas 2.6 Diseo para la Recopilacin de Datos Fuente 2.7 Definicin y Documentacin de Requerimientos de Entrada de Datos 2.8 Definicin de Interfases 2.9 Interfases Usuario-Mquina 2.10 Definicin y Documentacin de Requerimientos de Procesamiento 2.11 Definicin y Documentacin de Requerimientos de Salida de Datos 2.12 Controlabilidad 2.13 Disponibilidad como Factor Clave de Diseo 2.14 Estipulacin de Integridad de TI en programas de software de aplicaciones 2.15 Pruebas de Software de Aplicacin 2.16 Materiales de Consulta y Soporte para Usuario 2.17 Reevaluacin del Diseo del Sistema 3.0 Adquisicin y Mantenimiento de Arquitectura de Tecnologa 3.1 Evaluacin de Nuevo Hardware y Software 3.2 Mantenimiento Preventivo para Hardware 3.3 Seguridad del Software del Sistema 3.4 Instalacin del Software del Sistema 3.5 Mantenimiento del Software del Sistema 3.6 Controles para Cambios del Sofware del Sistema 4.0 Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnologa de Informacin 4.1 Futuros Requerimientos y Niveles de SerD
4.2 4.3 4.4
5.0 Instalacin y Acreditacin de Sistemas 5.1 Entrenamiento 5.2 Adecuacin del Desempeo del Software de Aplicacin 5.3 Conversin 5.4 Pruebas de Cambios 5.5 Criterios y Desempeo de Pruebas en Paralelo/Piloto 5.6 Prueba de Aceptacin Final 5.7 Pruebas y Acreditacin de Seguridad 5.8 Prueba Operacional 5.9 Promocin a Produccin 5.10 Evaluacin de la Satisfaccin de los Requerimientos del Usuario 5.11 Revisin Gerencial Post - Implementacin 6.0 Administracin de Cambios 6.1 Inicio y Control de Requisiciones de Cambio 6.2 Evaluacin del Impacto 6.3 Control de Cambios 6.4 Documentacin y Procedimientos 6.5 Mantenimiento Autorizado 6.6 Poltica de Liberacin de Software 6.7 Distribucin de Software
ENTREGA DE SERVICIOS Y SOPORTE

1.0 Definicin de Niveles de Servicio 1.1 Marco de Referencia para el Convenio de Nivel de Servicio 1.2 Aspectos sobre los Acuerdos de Nivel de Servicio 1.3 Procedimientos de Ejecucin 1.4 Monitoreo y Reporte 1.5 Revisin de Convenios y Contratos de Nivel de Servicio 1.6 Elementos sujetos a Cargo 1.7 Programa de Mejoramiento del Servicio 2.0 Administracin de Servicios prestados por Terceros 2.1 Interfases con Proveedores 2.2 Relaciones de Dueos 2.3 Contratos con Terceros 2.4 Calificaciones de terceros 2.5 Contratos con Outsourcing 2.6 Continuidad de Servicios
!#
P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
cin y Derechos de Acceso Reportes de Violacin y de Actividades de Seguridad Manejo de Incidentes Re-acreditacin Confianza en Contrapartes Autorizacin de Transacciones No Rechazo Sendero Seguro Proteccin de funciones de seguridad Administracin de Llave Criptogrfica Prevencin, Deteccin y Correccin de Software Malicioso Arquitecturas de FireWalls y conexin a redes pblicas Proteccin de Valores Electrnicos
2.7 2.8
Relaciones de Seguridad Monitoreo
5.10 5.11 5.12 5.13 5.14 5.15 5.16 5.17 5.18 5.19 5.20 5.21
3.0 Administracin de Desempeo y Capacidad 3.1 Requerimientos de Disponibilidad y Desempeo 3.2 Plan de Disponibilidad 3.3 Monitoreo y Reporte 3.4 Herramientas de Modelado 3.5 Manejo de Desempeo Proactivo 3.6 Pronstico de Carga de Trabajo 3.7 Administracin de Capacidad de Recursos 3.8 Disponibilidad de Recursos 3.9 Calendarizacin de recursos 4.0 Aseguramiento de Servicio Continuo 4.1 Marco de Referencia de Continuidad de Tecnologa de Informacin 4.2 Estrategia y Filosofa de Continuidad de Tecnologa de Informacin 4.3 Contenido del Plan de Continuidad de Tecnologa de Informacin 4.4 Minimizacin de requerimientos de Continuidad de Tecnologa de Informacin 4.5 Mantenimiento del Plan de Continuidad de Tecnologa de Informacin 4.6 Pruebas del Plan de Continuidad de Tecnologa de Informacin 4.7 Capacitacin sobre el Plan de Continuidad de Tecnologa de Informacin 4.8 Distribucin del Plan de Continuidad de Tecnologa de Informacin 4.9 Procedimientos de Respaldo de Procesamiento para Departamentos Usuarios 4.10 Recursos crticos de Tecnologa de Informacin 4.11 Centro de Cmputo y Hardware de respaldo 4.12 Procedimientos de Refinamiento del Plan de Continuidad de TI18 5.0 Garantizar la Seguridad de Sistemas 5.1 Administrar Medidas de Seguridad 5.2 Identificacin, Autenticacin y Acceso 5.3 Seguridad de Acceso a Datos en Lnea 5.4 Administracin de Cuentas de Usuario 5.5 Revisin Gerencial de Cuentas de Usuario 5.6 Control de Usuarios sobre Cuentas de Usuario 5.7 Vigilancia de Seguridad 5.8 Clasificacin de Datos 5.9 Administracin Centralizada de IdentificaD
6.0 Identificacin y Asignacin de Costos 6.1 Elementos Sujetos a Cargo 6.2 Procedimientos de Costeo 6.3 Procedimientos de Cargo y Facturacin a Usuarios 7.0 Educacin y Entrenamiento de Usuarios 7.1 Identificacin de Necesidades de Entrenamiento 7.2 Organizacin de Entrenamiento 7.3 Entrenamiento sobre Principios y Conciencia de Seguridad 8.0 Apoyo y Asistencia a los Clientes de Tecnologa de Informacin 8.1 Bur de Ayuda 8.2 Registro de Preguntas del Usuario 8.3 Escalamiento de Preguntas del Cliente 8.4 Monitoreo de Atencin a Clientes 8.5 Anlisis y Reporte de Tendencias 9.0 Administracin de la Configuracin 9.1 Registro de la Configuracin 9.2 Base de la Configuracin 9.3 Registro de Estatus 9.4 Control de la Configuracin 9.5 Software no Autorizado 9.6 Almacenamiento de Software
'
SrsvhvrqryQyhqr8vvqhqqrUD
h)prqvvrrtvqhhrhyh hphyvhryQyh
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
!$
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
12.0 Administracin de Instalaciones 12.1 Seguridad Fsica 12.2 Discrecin de las Instalaciones de Tecnologa de Informacin 12.3 Escolta de Visitantes 12.4 Salud y Seguridad del Personal 12.5 Proteccin contra Factores Ambientales 12.6 Suministro Ininterrumpido de Energa 13.0 Administracin de Operaciones 13.1 Manual de procedimientos de Operacin e Instrucciones 13.2 Documentacin del Proceso de Inicio y de Otras Operaciones 13.3 Calendarizacin de Trabajos 13.4 Salidas de la Calendarizacin de Trabajos Estndar 13.5 Continuidad de Procesamiento 13.6 Bitcoras de Operacin 13.7 Operaciones Remotas
10.0 Administracin de Problemas e Incidentes 10.1 Sistema de Administracin de Problemas 10.2 Escalamiento de Problemas 10.3 Seguimiento de Problemas y Pistas de Auditora 11.0 Administracin de Datos 11.1 Procedimientos de Preparacin de Datos 11.2 Procedimientos de Autorizacin de Documentos Fuente 11.3 Recopilacin de Datos de Documentos Fuente 11.4 Manejo de Errores de Documentos Fuente 11.5 Retencin de Documentos Fuente 11.6 Procedimientos de Autorizacin de Entrada de Datos 11.7 Chequeos de Exactitud, Suficiencia y Autorizacin 11.8 Manejo de Errores en la Entrada de Datos 11.9 Integridad de Procesamiento de Datos 11.10 Validacin y Edicin de Procesamiento de Datos 11.11 Manejo de Error en el Procesamiento de Datos 11.12 Manejo y Retencin de Salida de Datos 11.13 Distribucin de Salida de Datos 11.14 Balanceo y Conciliacin de Datos de Salida 11.15 Revisin de Salida de Datos y Manejo de Errores 11.16 Provisiones de Seguridad para Reportes de Salida 11.17 Proteccin de Informacin Sensible durante transmisin y transporte 11.18 Proteccin de Informacin Crtica a ser Desechada 11.19 Administracin de Almacenamiento 11.20 Perodos de Retencin y Trminos de Almacenamiento 11.21 Sistema de Administracin de la Librera de Medios 11.22 Responsabilidades de la Administracin de la Librera de Medios 11.23 Respaldo y Restauracin 11.24 Funciones de Respaldo 11.25 Almacenamiento de Respaldo 11.26 Archivo 11.27 Proteccin de Mensajes Sensitivos 11.28 Autenticacin e Integridad 11.29 Integridad de Transacciones Electrnicas 11.30 Integridad Continua de Datos Almacenados
D
MONITOREO
1.0 Monitoreo del Proceso 1.1 Recoleccin de Datos de Monitoreo 1.2 Evaluacin de Desempeo 1.3 Evaluacin de la Satisfaccin de Clientes 1.4 Reportes Gerenciales 2.0 Evaluar lo adecuado del Control Interno 2.1 Monitoreo de Control Interno 2.2 Operacin oportuna del Control Interno 2.3 Reporte sobre el Nivel de Control Interno 2.4 Seguridad de operacin y aseguramiento de Control Interno
3.0 Obtencin de Aseguramiento Independiente 3.1 Certificacin / Acreditacin Independiente de Control y Seguridad de los servicios de TI 3.2 Certificacin / Acreditacin Independiente de Control y Seguridad de proveedores externos de servicios 3.3 Evaluacin Independiente de la Efectividad de los Servicios de TI 3.4 Evaluacin Independiente de la Efectividad de proveedores externos de servicios 3.5 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales 3.6 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatoP
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
!%
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
rios y compromisos contractuales de proveedores externos de servicios 3.7 Competencia de la Funcin de Aseguramiento Independiente 3.8 Participacin Proactiva de Auditora 4.0 Proveer Auditora Independiente 4.1 Estatutos de Auditora 4.2 Independencia 4.3 Etica y Estndares Profesionales 4.4 Competencia 4.5 Planeacin 4.6 Desempeo del Trabajo de Auditora 4.7 Reporte 4.8 Actividades de Seguimiento
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
!&
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
GPTP7E@UDWPT9@8PIUSPG
En las pginas siguientes se individualizan objetivos de control detallados para cada uno de los 34 procesos dentro de una funcin de Tecnologa de Informacin. En la pgina de la izquierda se encuentra el Objetivo de Control de alto nivel duplicado del Marco de Referencia para asegurar consistencia en todos los productos COBIT y para facilitar el entendimiento. El indicador de Dominio (PO para Planeacin y Organizacin, AI para Adquisicin e Implementacin, DS para Entrega y Soporte y M para Monitoreo) se muestra en la esquina superior derecha. El proceso es entonces descrito. Tambin se muestran los indicadores de importancia primaria y secundaria. Adicionalmente, se lista la informacin descriptiva del Marco de Referencia. Y los recursos de TI gastados son mostrados va un diagrama. En la pgina de la derecha y en algunas ocasiones llevados hasta las siguientes pginas, se encuentran los objetivos de control detallados para cada proceso. Se muestra una descripcin de dicho objetivo de control detallado. Para mantener el formato de lados izquierdo y derecho se requieren algunas pginas en blanco. Se desarrollan objetivos de control detallados para cada uno de los 34 procesos.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
!'
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
OBJETIVOS DE CONTROL DE ALTO NIVEL

PLANEACION Y ORGANIZACION
PO1
ef ec tiv ef ida co icie d nf id ncia en i n ci a te li di gri dad sp da o d cu nibi m lid co plim ad nf ien ia b i to lid ad
Control sobre el proceso de TI de: Definicin de un plan Estratgico de Tecnologa de Informacin que satisface los requerimientos de negocio de: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos de TI de negocio, as como para asegurar sus logros futuros. se hace posible a travs de: un proceso de planeacin estratgica emprendido en intervalos regulares dando lugar a planes a largo plazo. Los planes a largo plazo debern ser traducidos peridicamente en planes operacionales estableciendo metas claras y concretas a corto plazo: y toma en consideracin:

Entrega & Soporte
Monitoreo
21
Vigilancia tecnolgica (technology watch)

P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
!(
g ap ente lic a te cion cn e in olo s st al ga ac io da nes to s

%-(79,26'(821752/
definicin de objetivos de negocio y necesidades de TI inventario de soluciones tecnolgicas e infraestructura actual servicios de vigilancia tecnolgica21 cambios organizacionales estudios de factibilidad oportunos evaluacin de sistemas existentes
P P P P P
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
1.4 Cambios al Plan a largo plazo de Tecnologa de Informacin OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que se establezca un proceso para modificar oportunamente y con precisin el plan a largo plazo de tecnologa de informacin con el fin de adaptar los cambios al plan a largo plazo de la organizacin y los cambios en las condiciones de la tecnologa de informacin. 1.5 Planeacin a corto plazo para la Funcin de Servicios de Informacin OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que el plan a largo plazo de tecnologa de informacin sea traducido regularmente en planes a corto plazo de tecnologa de informacin. Estos planes a corto plazo debern asegurar que se asignen los recursos apropiados de la funcin de servicios de tecnologa de informacin con una base consistente con el plan a largo plazo de tecnologa de informacin. Los planes a corto plazo debern ser reevaluados y modificados peridicamente segn se considere necesario respondiendo a las condiciones de cambios en el negocio y en la tecnologa de informacin. La realizacin oportuna de estudios de factibilidad deber asegurar que la ejecucin de los planes a corto plazo sea iniciada adecuadamente. 1.6 Evaluacin de Sistemas Existentes OBJETIVO DE CONTROL En forma previa al desarrollo o modificacin del Plan Estratgico de TI, la Gerencia de servicios de informacin debe evaluar los sistemas existentes en trminos de: nivel de automatizacin de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el propsito de determinar el nivel de soporte que reciben los requerimientos del negocio de los sistemas existentes.
1.
DEFINICIN DE UN PLAN ESTRATGICO DE TECNOLOGA DE INFORMACIN
1.1 Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo. OBJETIVO DE CONTROL La alta gerencia ser la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misin y las metas de la organizacin. A este respecto, la alta gerencia deber asegurar que los problemas de tecnologa de informacin, as como las oportunidades, sean evaluados adecuadamente y reflejados en los planes a largo y corto plazo de la organizacin. 1.2 Plan a largo plazo de Tecnologa de Informacin OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin ser responsable de desarrollar regularmente planes a largo plazo de tecnologa de informacin que apoyen el logro de la misin y las metas generales de la organizacin. De la misma manera, la Gerencia deber implementar un proceso de planeacin a largo plazo, adoptar un enfoque estructurado y determinar la estructura para el plan. 1.3 Plan a largo plazo de Tecnologa de Informacin Enfoque y Estructura OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber establecer y aplicar un enfoque estructurado al proceso de planeacin a largo plazo. Esto deber traer como resultado un plan de alta calidad que cubra las preguntas bsicas de qu, quin y cundo. Los aspectos que necesitan ser tomados en cuenta y ser cubiertos adecuadamente durante el proceso de planeacin son el modelo de organizacin y sus cambios, la distribucin geogrfica, la evolucin tecnolgica, los costos, los requerimientos legales y regulatorios, requerimientos de terceras partes o del mercado, el horizonte de planeacin, reingeniera de procesos del negocio, la asignacin de personal, la designacin de fuentes internas o externas, etc. El plan mismo deber hacer referencia a otros planes tales como el plan de calidad de la organizacin y el plan de manejo de riesgos de informacin.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
"
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

PO2
ef ec ti ef vida co icie d nf n id cia en i n ci a te li di gri dad sp da o d cu nibi m lid p co lim ad nf ien ia b i to lid ad
Control sobre el proceso de TI de: Definicin de la Arquitectura de Informacin que satisface los requerimientos de negocio de: organizar de la mejor manera los sistemas de informacin se hace posible a travs de: la creacin y mantenimiento de un modelo de informacin de negocios y asegurando que se definan sistemas apropiados para optimizar la utilizacin de esta informacin y toma en consideracin:

Entrega & Soporte
Monitoreo
documentacin diccionario de datos reglas de sintaxis de datos propiedad de la informacin y clasificacin de severidad22
P
22
Severidad (criticality)
P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
"
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
DEFINICIN DE LA ARQUITECTURA DE INFORMACIN

OBJETIVO DE CONTROL La informacin deber conservar consistencia con las necesidades y deber ser identificada, capturada y comunicada en una forma y dentro de perodos de tiempo que permitan a los responsables llevar a cabo sus tareas eficiente y oportunamente. Asimismo, la funcin de sistemas de informacin deber crear y actualizar regularmente un modelo de arquitectura de informacin, abarcando el modelo de datos corporativo y los sistemas de informacin asociados. El modelo de arquitectura de informacin deber conservar consistencia con el plan a largo plazo de tecnologa de informacin.
2.1 Modelo de la Arquitectura de Informacin
2.2 Diccionario de Datos y Reglas de Sintaxis de Datos de la Corporacin OBJETIVO DE CONTROL La funcin de servicios de informacin deber asegurar la creacin y la continua actualizacin de un diccionario de datos corporativo que incorpore las reglas de sintaxis de datos de la organizacin. 2.3 Esquema de Clasificacin de Datos OBJETIVO DE CONTROL Deber establecerse un marco de referencia de clasificacin general relativo a la ubicacin de datos en clases de informacin (por ejemplo, categoras de seguridad), as como a la asignacin de propiedad. Las reglas de acceso para las clases debern definirse apropiadamente. 2.4 Niveles de Seguridad OBJETIVO DE CONTROL La Gerencia deber definir, implementar y mantener niveles de seguridad para cada una de las clasificaciones de datos identificadas con un nivel superior al de "no requiere proteccin". Estos niveles de seguridad debern representar el conjunto de medidas de seguridad y de control apropiado (mnimo) para cada una de las clasificaciones.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
"!
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

PO3

ef ec tiv ef ida co icie d nf id ncia en i n ci a te li di gri dad sp da o d cu nibi m lid p co lim ad nf ien ia b i to lid ad
Entrega & Soporte
Control sobre el proceso de TI de:

Monitoreo
determinacin de la direccin tecnolgica que satisface los requerimientos de negocio de: aprovechar la tecnologa disponible o tecnologa emergente se hace posible a travs de: la creacin y mantenimiento de un plan de infraestructura tecnolgica y toma en consideracin:

capacidad de adecuacin y evolucin de la infraestructura actual monitoreo de desarrollos tecnolgicos contingencias planes de adquisicin
P P
g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s
D
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
""
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
DETERMINACIN DE LA DIRECCIN
TECNOLGICA
3.1 Planeacin de la Infraestructura Tecnolgica OBJETIVO DE CONTROL La funcin de servicios de informacin deber crear y actualizar regularmente un plan de infraestructura tecnolgica que concuerde con los planes a largo y corto plazo de tecnologa de informacin. Dicho plan deber abarcar aspectos tales como arquitectura de sistemas, direccin tecnolgica y estrategias de migracin. 3.2 Monitoreo de Tendencias y Regulaciones Futuras OBJETIVO DE CONTROL La funcin de servicios de informacin deber asegurar el continuo monitoreo de tendencias futuras y condiciones regulatorias, de tal manera que estos factores puedan ser tomados en consideracin durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica. 3.3 Contingencias en la Infraestructura Tecnolgica OBJETIVO DE CONTROL El plan de infraestructura tecnolgica deber ser evaluado sistemticamente en cuanto a aspectos de contingencia (por ejemplo, redundancia, resistencia23, capacidad de adecuacin y evolucin de la infraestructura). 3.4 Planes de Adquisicin de Hardware y Software OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que los planes de adquisicin de hardware y software sean establecidos y que reflejen las necesidades identificadas en el plan de infraestructura tecnolgica.
3.5 Estndares de Tecnologa OBJETIVO DE CONTROL Tomando como base el plan de infraestructura tecnolgica, la Gerencia deber definir normas de tecnologa con la finalidad de fomentar la estandarizacin.
D
23
Resistencia (resilience): ndice de resistencia al choque de un material

P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
"#
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

PO4

ef ec tiv ef ida co icie d nf id ncia en i n ci a te lid di gri ad sp da o d cu nib ilid m p co lim ad nf ien ia b i to lid ad
Entrega & Soporte

Monitoreo
definicin de la organizacin y de las relaciones de TI que satisface los requerimientos de negocio de: prestacin de servicios de TI se hace posible a travs de: una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas y toma en consideracin:

1)250$7,21T<67(0668',7$1'821752/A281'$7,21
"$

P
comit de direccin responsabilidades a nivel de alta gerencia o del consejo propiedad, custodia supervisin segregacin de funciones roles y responsabilidades descripcin de puestos niveles de asignacin de personal personal clave
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
cuentemente, debern organizarse y emprenderse campaas regulares para aumentar la conciencia y la disciplina. 4.5 Responsabilidad del aseguramiento de la calidad OBJETIVO DE CONTROL La Gerencia deber asignar la responsabilidad de la ejecucin de la funcin de aseguramiento de calidad a miembros del personal de la funcin de servicios de informacin y asegurar que existan sistemas de aseguramiento de calidad apropiados, controles y experiencia en comunicacin dentro del grupo de aseguramiento de calidad de la funcin de servicios de informacin. La ubicacin de la funcin dentro del rea de servicios de informacin, las responsabilidades y el tamao del grupo de aseguramiento de calidad debern satisfacer los requerimientos de la empresa. 4.6 Responsabilidad de la Seguridad Lgica y Fsica OBJETIVO DE CONTROL La Gerencia deber asignar formalmente la responsabilidad de la seguridad lgica y fsica de los activos de informacin de la organizacin a un Gerente de seguridad de la informacin, quien reportar a la alta gerencia. Como mnimo, la responsabilidad de la Gerencia de seguridad deber establecerse a todos los niveles de la organizacin para manejar los problemas generales de seguridad en la organizacin. En caso necesario, debern asignarse responsabilidades gerenciales de seguridad adicionales a niveles especficos con el fin de resolver los problemas de seguridad relacionados con ellos. 4.7 Propiedad y Custodia OBJETIVO DE CONTROL La Gerencia deber crear una estructura para designar formalmente a los propietarios y custodios de los datos. Sus funciones y responsabilidades debern estar claramente definidas. 4.8 Propiedad de Datos y Sistemas OBJETIVO DE CONTROL La Gerencia deber asegurar que todos los activos de informacin (sistemas y datos) cuenten con un propietario asignado que tome decisiones
P
DEFINICIN DE LA ORGANIZACIN Y DE LAS RELACIONES DE TI
4.1 Comit de planeacin o direccin de la funcin de servicios de informacin OBJETIVO DE CONTROL La alta gerencia de la organizacin deber designar un comit de planeacin o direccin para vigilar la funcin de servicios de informacin y sus actividades. Entre los miembros del comit debern encontrarse representantes de la alta gerencia, de la gerencia usuaria y de la funcin de servicios de informacin. El comit deber reunirse regularmente y reportar a la alta gerencia. 4.2 Ubicacin de los servicios de informacin en la organizacin OBJETIVO DE CONTROL Al ubicar la funcin de servicios de informacin en la estructura organizacional general, la alta gerencia deber asegurar la existencia de autoridad, actitud crtica e independencia por parte del departamento usuario con un grado tal que sea posible garantizar soluciones de tecnologa de informacin efectivas y progreso suficiente al implementarlas, as como establecer una relacin de sociedad con la alta Gerencia para incrementar la capacidad de previsin, la comprensin y las habilidades para identificar y resolver problemas de tecnologa de informacin. 4.3 Revisin de Logros Organizacionales OBJETIVO DE CONTROL Deber establecerse un marco de referencia con el propsito de revisar que la estructura organizacional cumpla continuamente con los objetivos y se adapte a las cambiantes circunstancias. 4.4 Funciones y Responsabilidades OBJETIVO DE CONTROL La Gerencia deber asegurar que todo el personal en la organizacin conozca sus funciones y responsabilidades en relacin con los sistemas de informacin. Todo el personal deber contar con la autoridad suficiente para llevar a cabo las funciones y responsabilidades que le hayan sido asignadas. Todos debern estar conscientes de que tienen una cierta responsabilidad con respecto a la seguridad y al control interno. ConseD
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
"%
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
ciente de personal competente de tecnologa de informacin. Los requerimientos de asignacin de personal debern ser evaluados por lo menos anualmente o al presentarse cambios mayores en el negocio, en el ambiente operacional o de tecnologa de informacin. Deber actuarse oportunamente tomando como base los resultados de las evaluaciones para asegurar una asignacin de personal adecuada en el presente y en el futuro. 4.12 Descripcin de Puestos para el Personal de la Funcin de Servicios de Informacin OBJETIVO DE CONTROL La Gerencia deber asegurar que las descripciones de los puestos para el personal de la funcin de servicios de informacin sean establecidos y actualizados regularmente. Estas descripciones de puestos debern delinear claramente tanto la responsabilidad como la autoridad, incluir las definiciones de las habilidades y la experiencia necesarias para el puesto, y ser adecuadas para su utilizacin en evaluaciones de desempeo. 4.13 Personal Clave de TI OBJETIVO DE CONTROL La Gerencia deber definir e identificar al personal clave de tecnologa de informacin. 4.14 Procedimientos para personal por contrato OBJETIVO DE CONTROL La Gerencia deber definir e implementar procedimientos relevantes para controlar las actividades de consultores y dems personal externo contratado por la funcin de servicios de informacin para asegurar la proteccin de los activos de informacin de la organizacin. 4.15 Relaciones OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber llevar a cabo las acciones necesarias para establecer y mantener una coordinacin, una comunicacin y un enlace ptimos entre la funcin de servicios de informacin y dems elementos interesados dentro y fuera de la funcin de servicios de informacin (usuarios, proveedores, oficiales de seguridad, Gerentes).
sobre la clasificacin y los derechos de acceso. Los propietarios del sistema normalmente delegarn la custodia diaria al grupo de liberacin/ operacin de sistemas y las responsabilidades de seguridad a un administrador de la seguridad. Los Propietarios, sin embargo, permanecern como responsables del mantenimiento de medidas de seguridad apropiadas. 4.9 Supervisin OBJETIVO DE CONTROL La alta gerencia deber implementar prcticas de supervisin adecuadas en la organizacin de servicios de informacin para asegurar que las funciones y responsabilidades sean llevadas a cabo apropiadamente, para evaluar si todo el personal cuenta con suficiente autoridad y recursos para llevar a cabo sus tareas y responsabilidades, y para revisar de manera general los indicadores clave de desempeo. 4.10 Segregacin de Funciones OBJETIVO DE CONTROL La alta gerencia deber implementar una divisin de funciones y responsabilidades que excluya la posibilidad de que un solo individuo resuelva un proceso crtico. La Gerencia deber asegurar tambin que el personal lleve a cabo nicamente aquellas tareas estipuladas para sus respectivos puestos. En particular, deber mantenerse una segregacin de funciones entre las siguientes funciones:
l l l l l l l l l
uso de sistemas de informacin; entrada de datos; operacin de cmputo; administracin de redes; administracin de sistemas; desarrollo y mantenimiento de sistemas administracin de cambios administracin de seguridad; y auditora de seguridad
4.11 Asignacin de Personal para Tecnologa de Informacin OBJETIVO DE CONTROL Las evaluaciones de los requerimientos de asignacin de personal debern llevarse a cabo regularmente para asegurar que la funcin de servicios de informacin cuente con un nmero sufiD
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
"&
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

PO5

Entrega & Soporte

Monitoreo
Manejo de la inversin que satisface los requerimientos de negocio de: asegurar el financiamiento y el control de desembolsos de recursos financieros se hace posible a travs de: presupuestos peridicos sobre inversiones y operacin establecidos y aprobados por el negocio y toma en consideracin:

alternativas de financiamiento control del gasto real justificacin de costos justificacin del beneficio
P P P P
D
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
"'
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
MANEJO DE LA INVERSIN EN TECNOLOGA DE INFORMACIN
5.1 Presupuesto Operativo Anual para la Funcin de Servicios de Informacin OBJETIVO DE CONTROL La alta gerencia deber implementar un proceso de definicin de presupuestos para asegurar que un presupuesto operativo anual para la funcin de Servicios de Informacin sea establecido y aprobado en lnea con los planes a largo y corto plazo de la organizacin, as como con los planes a largo y corto plazo de tecnologa de informacin. Debern investigarse alternativas de financiamiento. 5.2 Monitoreo de Costo - Beneficios OBJETIVO DE CONTROL La Gerencia deber establecer un proceso de monitoreo de costos que compare los costos reales contra los presupuestados. Aun ms, los posibles beneficios derivados de la actividad de tecnologa de informacin debern ser identificados y reportados. En cuanto al monitoreo de costos, la fuente de las cifras reales deber tomar como base el sistema de contabilidad de la organizacin, mismo que deber registrar, procesar y reportar rutinariamente los costos asociados con las actividades de la funcin de servicios de informacin. Por lo que toca a monitoreo de beneficios, se debern definir indicadores de medicin de desempeo de alto nivel y ser reportados y revisados regularmente para asegurar su adecuacin. 5.3 Justificacin de Costo - Beneficio OBJETIVO DE CONTROL Deber establecerse un control gerencial que garantice que la prestacin de servicios por parte de la funcin de servicios de informacin se justifique en cuanto a costos y se encuentre en lnea con la industria. Los beneficios derivados de las actividades de tecnologa de informacin debern ser analizados en forma similar.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
"(
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

PO6

Entrega & Soporte

Monitoreo
comunicacin de la direccin y aspiraciones de la gerencia que satisface los requerimientos de negocio de: asegurar el conocimiento y comprensin del usuario sobre dichas aspiraciones se hace posible a travs de: polticas establecidas y transmitidas a la comunidad de usuarios; adems, se necesita estndares para traducir las opciones estratgicas en reglas de usuario prcticas y utilizables y toma en consideracin:

cdigo de tica / conducta directrices tecnolgicas cumplimiento compromiso con la calidad polticas de seguridad polticas de control interno
P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
#
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
para adecuarse a las condiciones cambiantes. Las polticas debern ser reevaluadas, por lo menos anualmente o al momento de presentarse cambios significativos en el ambiente operacional o del negocio, para evaluar que sean convenientes y apropiadas y debern ser modificadas en caso necesario. La Gerencia deber proporcionar un marco de referencia y un proceso para las revisiones peridicas y la aprobacin de estndares, polticas, directrices y procedimientos. 6.6 Cumplimiento de Polticas, Procedimientos y Estndares OBJETIVO DE CONTROL La Gerencia deber asegurar que se establezcan procedimientos apropiados para determinar si el personal comprende los procedimientos y polticas implementados, y que ste cumple con dichas polticas y procedimientos. El cumplimiento de las reglas de tica, seguridad y estndares de control interno deber ser establecido por la Alta Gerencia y promoverse a travs del ejemplo. 6.7 Compromiso con la Calidad OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber definir, documentar y mantener una filosofa de calidad, as como polticas y objetivos que sean consistentes con la filosofa y las polticas de la corporacin a este respecto. La filosofa de calidad, las polticas y los objetivos debern ser comprendidos, implementados y mantenidos a todos los niveles de la funcin de servicios de informacin. 6.8 Poltica sobre el Marco de Referencia para la Seguridad y el Control Interno OBJETIVO DE CONTROL La Gerencia deber asumir la responsabilidad total del desarrollo y mantenimiento de una poltica sobre el marco de referencia, que establezca el enfoque general de la organizacin en cuanto a seguridad y control interno. La poltica deber cumplir con los objetivos generales del negocio y estar dirigida a la minimizacin de riesgos a travs de medidas preventivas, identificacin oportuna de irregularidades, limitacin de prdidas y recuperacin oportuna. Estas medidas debern basarse en anlisis costo-beneficio y deber prio#
P
COMUNICACIN DE LA DIRECCIN Y
ASPIRACIONES DE LA GERENCIA
6.1 Ambiente Positivo de Control de la Informacin OBJETIVO DE CONTROL La Gerencia deber crear un marco de referencia y un programa de previsin que fomente un ambiente de control positivo a travs de toda la organizacin al aplicar elementos tales como: integridad, valores ticos, competencia del empleado, filosofa y estilo operativo de la Gerencia, responsabilidad, atencin y direccin proporcionadas por el Consejo Directivo. Deber ponerse especial atencin a los aspectos relacionados con tecnologa de informacin. 6.2 Responsabilidad de la Gerencia en cuanto a Polticas OBJETIVO DE CONTROL La Gerencia deber asumir la responsabilidad completa de la formulacin, el desarrollo, la documentacin, la promulgacin y el control de polticas que cubran metas y directrices generales. Debern llevarse a cabo revisiones regulares de las polticas para asegurar su conveniencia. La complejidad de las polticas y los procedimientos escritos debern estar siempre en proporcin con el tamao de la organizacin y el estilo gerencial. 6.3 Comunicacin de las Polticas de la Organizacin OBJETIVO DE CONTROL La Gerencia deber asegurar que las polticas organizacionales sean comunicadas y comprendidas por todos los niveles de la organizacin. 6.4 Recursos para la implementacin de Polticas OBJETIVO DE CONTROL Posterior a la comunicacin, la Gerencia deber destinar recursos para la implementacin de sus polticas. La Gerencia deber tambin monitorear la duracin de la implementacin de sus polticas. 6.5 Mantenimiento de Polticas OBJETIVO DE CONTROL Las polticas debern ser ajustadas regularmente
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
rizarse. Adems, la alta gerencia deber asegurar que esta poltica de seguridad de alto nivel y de control interno especifique el propsito y los objetivos, la estructura gerencial, el alcance dentro de la organizacin, la definicin y asignacin de responsabilidades para su implementacin a todos los niveles y la definicin de multas y de acciones disciplinarias asociadas con la falta de cumplimiento con las polticas de seguridad y control interno. 6.9 Derechos de propiedad intelectual OBJETIVO DE CONTROL La gerencia deber proveer e implementar una poltica por escrito sobre derechos de propiedad intelectual, que cubra el desarrollo de software, tanto interno como contratado a externos. 6.10 Polticas para Situaciones Especficas OBJETIVO DE CONTROL Debern ponerse en prctica medidas que aseguren el establecimiento de polticas para situaciones especficas con el fin de documentar las decisiones gerenciales con respecto al tratamiento de actividades, aplicaciones, sistemas o tecnologas particulares.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
#!
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

PO7

Entrega & Soporte

Monitoreo
administracin de recursos humanos que satisface los requerimientos de negocio de: maximizar las contribuciones del personal a los procesos de TI se hace posible a travs de: tcnicas slidas para administracin de personal y toma en consideracin:

reclutamiento y promocin requerimientos de calificaciones capacitacin desarrollo de conciencia entrenamiento cruzado procedimientos de acreditacin evaluacin objetiva y medible del desempeo
P
D
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
#"
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
7.5 Procedimientos de Acreditacin24 de Personal OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que su personal se sujete a una revisin o acreditacin de seguridad antes de ser contratado, transferido o promovido, dependiendo de lo delicado o sensible del puesto. Un empleado que no haya pasado por este procedimiento de revisin o acreditacin al ser contratado por primera vez, no deber ser colocado en un puesto delicado hasta que ste haya obtenido la acreditacin de seguridad. 7.6 Evaluacin de Desempeo de los Empleados OBJETIVO DE CONTROL La Gerencia deber implementar un proceso de evaluacin de desempeo de los empleados y asegurar que dicha evaluacin sea llevada a cabo regularmente segn los estndares establecidos y las responsabilidades especficas del puesto. Los empleados debern recibir asesora sobre su desempeo o su conducta cuando esto sea apropiado. 7.7 Cambios de Puesto y Despidos OBJETIVO DE CONTROL La Gerencia deber asegurar que se tomen acciones oportunas y apropiadas con respecto a cambios de puesto y despidos, de tal manera que los controles internos y la seguridad no se vean perjudicados por estos eventos.
ADMINISTRACIN DE RECURSOS HUMANOS
7.1 Reclutamiento y Promocin de Personal OBJETIVO DE CONTROL La Gerencia deber implementar y evaluar regularmente los procesos necesarios para asegurar que las prcticas de reclutamiento y promocin de personal tengan como base criterios objetivos y consideren factores como la educacin, la experiencia y la responsabilidad. Estos procesos debern estar en lnea con las polticas y procedimientos generales de la organizacin a este respecto. 7.2 Personal Calificado OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber verificar regularmente que el personal que lleva a cabo tareas especficas est calificado tomando como base una educacin, entrenamiento y/ o experiencia apropiados, segn se requiera. La Gerencia deber alentar al personal para que participe como miembro, en organizaciones profesionales. 7.3 Entrenamiento de Personal OBJETIVO DE CONTROL La Gerencia deber asegurar que los empleados reciban orientacin al ser contratados, as como entrenamiento y capacitacin constantes con la finalidad de conservar los conocimientos, habilidades, destrezas y conciencia de seguridad al nivel requerido, para la ejecucin efectiva de sus tareas. Los programas de educacin y entrenamiento dirigidos a incrementar los niveles de habilidad tcnica y administrativa del personal debern ser revisados regularmente. 7.4 Entrenamiento Cruzado o Respaldo de personal OBJETIVO DE CONTROL La Gerencia deber proporcionar un entrenamiento cruzado o contar con suficiente personal de respaldo con la finalidad de solucionar posibles ausencias. El personal encargado de puestos delicados deber tomar vacaciones ininterrumpidas con una duracin suficiente como para probar la habilidad de la organizacin para manejar casos de ausencia y detectar actividades fraudulentas.
!#
6prqvhpvypyrhhpr
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
##
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

PO8

Entrega & Soporte

Monitoreo
aseguramiento del cumplimiento de requerimientos externos que satisface los requerimientos de negocio de: cumplir con obligaciones legales, regulatorias y contractuales se hace posible a travs de: la identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, y llevando a cabo las medidas apropiadas para cumplir con ellos y toma en consideracin:

1)250$7,21T<67(0668',7$1'821752/A281'$7,21
#$

P
leyes, regulaciones, contratos monitoreo de evoluciones legales y regulatorios revisiones regulares en cuanto a cambios bsqueda de asistencia legal y modificaciones seguridad y ergonoma privacidad propiedad intelectual flujo de datos
P P
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
8.5 Comercio Electrnico OBJETIVO DE CONTROL La Gerencia deber asegurar que se establezcan contratos formales para determinar acuerdos entre socios comerciales sobre procesos de comunicacin, as como sobre estndares de mensajes de transaccin, seguridad y almacenamiento de datos. Cuando se realicen operaciones de intercambio en Internet, la gerencia deber imponer adecuados controles para asegurar el cumplimiento de leyes locales y costumbres en un mbito mundial. 8.6 Cumplimiento con los Contratos de Seguros OBJETIVO DE CONTROL La Gerencia deber asegurar la identificacin y el continuo cumplimiento de los requerimientos de los contratos de seguros.
ASEGURAMIENTO DE CUMPLIMIENTO DE REQUERIMIENTOS EXTERNOS

OBJETIVO DE CONTROL La organizacin deber establecer y mantener procedimientos para la revisin de requerimientos externos y para la coordinacin de estas actividades. La investigacin continua deber determinar los requerimientos externos aplicables en la organizacin. Debern revisarse los requerimientos legales, gubernamentales o cualquier otro requerimiento externo relacionado con las prcticas y controles de tecnologa de informacin. La Gerencia deber tambin evaluar el impacto de cualquier relacin externa en las necesidades generales de informacin de la organizacin, incluyendo la determinacin del grado al cual las estrategias de la funcin de servicios de informacin deben soportar o cumplir con los requerimientos de terceros.
8.1 Revisin de Requerimientos Externos
8.2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos OBJETIVO DE CONTROL Las prcticas organizacionales debern asegurar que se lleven a cabo oportunamente las acciones correctivas apropiadas para garantizar el cumplimiento de los requerimientos externos. Adems, debern establecerse y mantenerse procedimientos adecuados que aseguren el cumplimiento continuo. A este respecto la Gerencia deber solicitar apoyo legal en caso necesario. 8.3 Cumplimiento de Seguridad y Ergonoma OBJETIVO DE CONTROL La Gerencia deber asegurar el cumplimiento de los estndares ergonmicos y de seguridad en el ambiente de trabajo de los usuarios y el personal de la funcin de servicios de informacin. 8.4 Privacidad, propiedad intelectual y flujos de datos y Flujo de Datos OBJETIVO DE CONTROL La Gerencia deber asegurar el cumplimiento de las regulaciones sobre privacidad o confidencialidad, propiedad intelectual, flujo de datos externos25 y criptografa aplicables a las prcticas de tecnologa de informacin de la organizacin.
D
!$
@rhiqr
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
#%
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

PO9

Entrega & Soporte

Monitoreo
evaluacin de riesgos que satisface los requerimientos de negocio de: asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de servicios de TI se hace posible a travs de: la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, tomando medidas econmicas para mitigar los riesgos y toma en consideracin:
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
#&

P
diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de seguridad, de continuidad, regulatorios, etc.) alcance: global o de sistemas especficos actualizacin de evaluacin de riegos metodologa de evaluacin de riesgos medicin de riesgos cualitativos y/o cuantitativos plan de accin de riesgos
P P P P P
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
DE
EVALUACIN
RIESGOS
9.5 Plan de Accin contra Riesgos OBJETIVO DE CONTROL El enfoque de evaluacin de riesgos deber proporcionar la definicin de un plan de accin contra riesgos para asegurar que existan controles y medidas de seguridad econmicas que mitiguen los riesgos en forma continua. 9.6 Aceptacin de Riesgos OBJETIVO DE CONTROL El enfoque de la evaluacin de riesgos deber asegurar la aceptacin formal del riesgo residual, dependiendo de la identificacin y la medicin del riesgo, de la poltica organizacional, de la incertidumbre incorporada al enfoque de evaluacin de riesgos y de qu tan econmico resulte implementar protecciones y controles. El riesgo residual deber compensarse con una cobertura de seguro adecuada.
9.1 Evaluacin de Riesgos del Negocio OBJETIVO DE CONTROL La Gerencia deber establecer un marco de referencia de evaluacin sistemtica de riesgos. Este marco de referencia deber incorporar una evaluacin regular de los riesgos de informacin relevantes para el logro de los objetivos del negocio, formando una base para determinar la manera en la que los riesgos deben ser manejados a un nivel aceptable. El proceso deber proporcionar evaluaciones de riesgos tanto a un nivel global como a niveles especficos del sistema (para nuevos proyectos y para casos recurrentes) y deber asegurar actualizaciones regulares a la informacin sobre evaluacin de riesgos utilizando los resultados de auditoras, inspecciones e incidentes identificados. 9.2 Enfoque de Evaluacin de Riesgos OBJETIVO DE CONTROL La Gerencia deber establecer un enfoque general para la evaluacin de riesgos que defina el alcance y los lmites, la metodologa a ser adoptada para las evaluaciones de riesgos, las responsabilidades y las habilidades requeridas. La calidad de las evaluaciones de riesgos deber estar asegurada por un mtodo estructurado y por asesores expertos en riesgos. 9.3 Identificacin de Riesgos OBJETIVO DE CONTROL La evaluacin de riesgos deber enfocarse al examen de los elementos esenciales de riesgo, tales como activos, amenazas, elementos vulnerables, protecciones, consecuencias y probabilidad de amenaza. 9.4 Medicin de Riesgos OBJETIVO DE CONTROL El enfoque de la evaluacin de riesgos deber asegurar que el anlisis de la informacin de identificacin de riesgos genere como resultado una medida cuantitativa y/o cualitativa del riesgo al cual est expuesta el rea examinada. Asimismo, deber evaluarse la capacidad de aceptacin de riesgos de la organizacin.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
#'
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

PO10

Entrega & Soporte

Monitoreo
administracin de proyectos que satisface los requerimientos de negocio de: establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversin se hace posible a travs de: identificacin y priorizacin de los proyectos en lnea con el plan operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido y toma en consideracin:

1)250$7,21T<67(0668',7$1'821752/A281'$7,21
#(

P
la propiedad de los proyectos el involucramiento de los usuarios la estructuracin jerrquica de tareas y los puntos de revisin asignacin de responsabilidades aprobacin de fases y proyecto presupuestos de costos y horas hombre planes y metodologa de aseguramiento de calidad
P P P P
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
para cada proyecto propuesto, la alta gerencia de la organizacin revise los reportes de los estudios de factibilidad relevantes como una base para fundamentar la decisin de proceder con el proyecto. 10.6 Aprobacin de las Fases del Proyecto OBJETIVO DE CONTROL El marco de referencia de administracin de proyectos de la organizacin deber disponer que los Gerentes designados para las funciones del usuario y de los servicios de informacin aprueben el trabajo realizado en cada fase del ciclo antes de iniciar los trabajos de la siguiente fase. 10.7 Plan Maestro del Proyecto OBJETIVO DE CONTROL La Gerencia deber asegurar que, para cada proyecto aprobado, se cree un plan maestro adecuado que mantenga el control del proyecto a travs de todo su desarrollo e incluya un mtodo de monitoreo del tiempo y los costos incurridos durante su vida. 10.8 Plan de Aseguramiento de la Calidad de Sistemas OBJETIVO DE CONTROL La Gerencia deber asegurar que la implementacin de un sistema nuevo o modificado incluya la preparacin de un plan de calidad que sea integrado posteriormente al plan maestro del proyecto y que sea formalmente revisado y acordado por todas las partes interesadas. 10.9 Planeacin de Mtodos de Aseguramiento OBJETIVO DE CONTROL Las tareas de aseguramiento debern ser definidas durante la fase de planeacin del marco de referencia de administracin de proyectos. Las tareas de aseguramiento debern apoyar la acreditacin de sistemas nuevos o modificados y garantizar que los controles internos y los dispositivos de seguridad cumplan con los requerimientos necesarios.
10 ADMINISTRACIN DE PROYECTOS
10.1 Marco de Referencia para la Administracin de Proyectos OBJETIVO DE CONTROL La Gerencia deber establecer un marco de referencia general para la administracin de proyectos que defina el alcance y los lmites del mismo, as como la metodologa de administracin de proyectos a ser adoptada y aplicada para cada proyecto emprendido. La metodologa deber cubrir, como mnimo, la asignacin de responsabilidades, la determinacin de tareas, la realizacin de presupuestos de tiempo y recursos, los avances, los puntos de revisin y las aprobaciones. 10.2 Participacin del Departamento Usuario en la Iniciacin de Proyectos OBJETIVO DE CONTROL El marco de referencia de la administracin de proyectos de la organizacin deber fomentar la participacin del departamento usuario afectado en la definicin y autorizacin de cualquier proyecto de desarrollo, implementacin o modificacin. 10.3 Miembros y Responsabilidades del Equipo del Proyecto OBJETIVO DE CONTROL El marco de referencia de administracin de proyectos de la organizacin deber especificar las bases para asignar a los miembros del personal al proyecto y definir las responsabilidades y autoridades de los miembros del equipo del proyecto. 10.4 Definicin del Proyecto OBJETIVO DE CONTROL El marco de referencia de administracin de proyectos de la organizacin deber generar la creacin de un estatuto claro por escrito que defina la naturaleza y el alcance de cada proyecto de implementacin antes de que los trabajos del mismo sean iniciados. 10.5 Aprobacin del Proyecto OBJETIVO DE CONTROL El marco de referencia de administracin de proyectos de la organizacin deber asegurar que,
D
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
$
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
10.10 Administracin Formal de Riesgos de Proyectos OBJETIVO DE CONTROL La Gerencia deber implementar un programa de administracin formal de riesgos de proyectos para eliminar o minimizar los riesgos asociados con proyectos individuales (por ejemplo, identificacin y control de reas o eventos que tengan el potencial de causar cambios no deseados). 10.11 Plan de Prueba OBJETIVO DE CONTROL El marco de referencia de administracin de proyectos de la organizacin deber requerir la creacin de un plan de pruebas para cada proyecto de desarrollo, implementacin y modificacin. 10.12 Plan de Entrenamiento OBJETIVO DE CONTROL El marco de referencia de administracin de proyectos de la organizacin deber requerir la creacin de un plan de entrenamiento para cada proyecto de desarrollo, implementacin y modificacin. 10.13 Plan de Revisin Post - Implementacin OBJETIVO DE CONTROL El marco de referencia de administracin de proyectos de la organizacin deber disponer que, como parte integral de las actividades del equipo del proyecto, se desarrolle un plan de revisin post - implementacin para cada sistema de informacin nuevo o modificado, con la finalidad de determinar si el proyecto ha generado los beneficios planeados.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

PO11

Entrega & Soporte

Monitoreo
Administracin de calidad que satisface los requerimientos de negocio de: satisfacer los requerimientos del cliente se hace posible a travs de: la planeacin, implementacin y mantenimiento de estndares y sistemas de administracin de calidad por parte de la organizacin y toma en consideracin:

1)250$7,21T<67(0668',7$1'821752/A281'$7,21
$!

P
estructura del plan de calidad responsabilidades de aseguramiento de la calidad metodologa del ciclo de vida de desarrollo de sistemas pruebas y documentacin de sistemas y programas revisiones y reporte de aseguramiento de calidad
P P P P
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
macin y adoptar una metodologa del ciclo de vida de desarrollo de sistemas que rija el proceso de desarrollo, adquisicin, implementacin y mantenimiento de sistemas de informacin computarizados y tecnologa afn. La metodologa del ciclo de vida de desarrollo de sistemas elegida deber ser la apropiada para los sistemas a ser desarrollados, adquiridos, implementados y mantenidos. 11.6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual OBJETIVO DE CONTROL En el caso de requerirse cambios mayores a la tecnologa actual, la Gerencia deber asegurar el cumplimiento de la metodologa del ciclo de vida de desarrollo de sistemas, como en el caso de adquisicin de nueva tecnologa. 11.7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas OBJETIVO DE CONTROL La alta gerencia deber implementar una revisin peridica de su metodologa del ciclo de vida de desarrollo de sistemas para asegurar que incluya tcnicas y procedimientos actuales generalmente aceptados. 11.8 Coordinacin y Comunicacin OBJETIVO DE CONTROL La Gerencia deber establecer un proceso para asegurar la coordinacin y comunicacin estrecha entre los clientes de la funcin de servicios de informacin y los implementadores de sistemas. Este proceso deber ocasionar que los mtodos estructurados que utilicen la metodologa del ciclo de vida de desarrollo de sistemas aseguren la provisin de soluciones de tecnologa de informacin de calidad que satisfagan las demandas de negocio. La Gerencia deber promover una organizacin que se caracterice por la estrecha cooperacin y comunicacin a lo largo del ciclo de vida de desarrollo de sistemas.
11 ADMINISTRACIN DE CALIDAD
11.1 Plan General de Calidad OBJETIVO DE CONTROL La alta gerencia deber desarrollar y mantener regularmente un plan general de calidad basado en los planes organizacionales y de tecnologa de informacin a largo plazo. El plan deber promover la filosofa de mejora continua y contestar a las preguntas bsicas de qu, quin y cmo. 11.2 Enfoque de Aseguramiento de Calidad OBJETIVO DE CONTROL La Gerencia deber establecer un enfoque estndar con respecto al aseguramiento de calidad, que cubra tanto las actividades de aseguramiento de calidad generales como las especficas de un proyecto. El enfoque deber determinar el (los) tipo(s) de actividades de aseguramiento de calidad (tales como revisiones, auditoras, inspecciones, etc.) que deben realizarse para alcanzar los objetivos del plan general de calidad. Asimismo deber requerir una revisin especfica de aseguramiento de calidad. 11.3 Planeacin del Aseguramiento de Calidad OBJETIVO DE CONTROL La Gerencia deber implementar un proceso de planeacin de aseguramiento de calidad para determinar el alcance y la duracin de las actividades de aseguramiento de calidad. 11.4 Revisin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares y Procedimientos de la Funcin de Servicios de Informacin OBJETIVO DE CONTROL La Gerencia deber asegurar que las responsabilidades asignadas al personal de aseguramiento de calidad incluyan una revisin del cumplimiento general de los estndares y procedimientos de la funcin de servicios de informacin. 11.5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas OBJETIVO DE CONTROL La alta gerencia de la organizacin deber definir e implementar estndares de sistemas de infor1)250$7,21T<67(0668',7$1'821752/A281'$7,21
$"
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
cada proyecto de desarrollo o modificacin de sistemas de informacin. 11.13 Estndares para Pruebas de Sistemas OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe proporcionar estndares que cubran los requerimientos de pruebas, verificacin, documentacin y retencin para probar el sistema total, como parte de cada proyecto de desarrollo o modificacin de sistemas de informacin. 11.14 Pruebas Piloto/En Paralelo OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe definir las condiciones bajo las cuales debern conducirse las pruebas piloto o en paralelo de sistemas nuevos y/o actuales. 11.15 Documentacin de las Pruebas del Sistema OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe disponer, como parte de cualquier proyecto de desarrollo, implementacin o modificacin de sistemas de informacin, que se conserve la documentacin de los resultados de las pruebas del sistema. 11.16 Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares de Desarrollo OBJETIVO DE CONTROL El enfoque de aseguramiento de calidad de la organizacin deber requerir que una revisin post - implementacin de un sistema de informacin operacional evale si el equipo encargado del proyecto, cumpli con las estipulaciones de la metodologa del ciclo de vida de desarrollo de sistemas.
11.9 Marco de Referencia de Adquisicin y Mantenimiento para la Infraestructura de Tecnologa OBJETIVO DE CONTROL Deber establecerse un marco de referencia general referente a la adquisicin y mantenimiento de la infraestructura de tecnologa. Los diferentes pasos que deben ser seguidos con respecto a la infraestructura de tecnologa (tales como adquisicin; programacin, documentacin y pruebas; establecimiento de parmetros; mantenimiento y aplicacin de correcciones) debern estar regidos por y mantenerse en lnea con el marco de referencia para la adquisicin y mantenimiento de la infraestructura de tecnologa. 11.10 Relaciones con Terceras Partes como Implementadores OBJETIVO DE CONTROL La Gerencia deber implementar un proceso para asegurar las buenas relaciones de trabajo con terceras partes como implementadores externos. Dicho proceso deber disponer que el usuario y el implementador estn de acuerdo sobre los criterios de aceptacin, el manejo de cambios, los problemas durante el desarrollo, las funciones de los usuarios, las instalaciones, las herramientas, el software, los estndares y los procedimientos. 11.11 Estndares para la Documentacin de Programas OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas deber incorporar estndares para la documentacin de programas que hayan sido impuestos y comunicados al personal interesado. La metodologa deber asegurar que la documentacin creada durante el desarrollo del sistema de informacin o de los proyectos de modificacin coincida con estos estndares. 11.12 Estndares para Pruebas de Programas OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe proporcionar estndares que cubran los requerimientos de pruebas, verificacin, documentacin y retencin para probar las unidades de software y los programas agregados26, creados como parte de
D
26
Agregados (aggredgated)
P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
$#
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
11.17 Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Funcin de Servicios de Informacin OBJETIVO DE CONTROL El enfoque de aseguramiento de calidad deber incluir una revisin de hasta qu punto los sistemas particulares y las actividades de desarrollo de aplicaciones han alcanzado los objetivos de la funcin de servicios de informacin. 11.18 Mtricas de calidad OBJETIVO DE CONTROL La gerencia deber definir y utilizar mtricas para medir los resultados de actividades, evaluando si las metas de calidad han sido alcanzadas. 11.19 Reportes de Revisiones de Aseguramiento de Calidad OBJETIVO DE CONTROL Los reportes de revisiones de aseguramiento de calidad debern ser preparados y enviados a la Gerencia de los departamentos usuarios y de la funcin de servicios de informacin.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
$$
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

ADQUISICION E IMPLEMENTACION
AI1

Entrega & Soporte

Monitoreo
Identificacin de soluciones que satisface los requerimientos de negocio de: asegurar el mejor enfoque para cumplir con los requerimientos del usuario se hace posible a travs de: un anlisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios y toma en consideracin:

1)250$7,21T<67(0668',7$1'821752/A281'$7,21
$%

P
definicin de requerimientos de informacin estudios de factibilidad ( de costobeneficio, alternativas, etc) arquitectura de informacin seguridad con relacin de costo-beneficio favorable pistas de auditora contratacin de terceros aceptacin de instalaciones y tecnologa
P P P
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
DE
IDENTIFICACIN
SOLUCIONES
1.1 Definicin de Requerimientos de Informacin OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que los requerimientos del negocio ya satisfechos por el sistema actual y a ser satisfechos por el sistema nuevo propuesto o modificado (software, datos e infraestructura), estn claramente definidos antes de aprobar cualquier proyecto de desarrollo, implementacin o modificacin. La metodologa del ciclo de vida de desarrollo de sistemas deber exigir que los requerimientos de las soluciones funcionales y operacionales sean especificados, incluyendo desempeo, proteccin, confiabilidad, compatibilidad, seguridad y legislacin. 1.2 Formulacin de Acciones Alternativas OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe proveer el anlisis de las acciones alternativas que debern satisfacer los requerimientos del negocio, establecidos para un sistema nuevo o modificado. 1.3 Formulacin de Estrategias de Adquisicin OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe estipular un plan de estrategia de adquisicin, definiendo si el software ser adquirido del mostrador27, desarrollados internamente, a travs de contratacin o mediante una combinacin de estos. 1.4 Requerimientos de Servicios de Terceros OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe estipular la evaluacin de requerimientos y las especificaciones para una Solicitud de Propuesta28 cuando se negocie con un proveedor de servicios externo. 1.5 Estudio de Factibilidad Tecnolgica OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe estipular un
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
examen de factibilidad tecnolgica de cada alternativa con la finalidad de satisfacer los requerimientos de negocio establecidos para el desarrollo de un proyecto propuesto de cualquier sistema nuevo o modificado. 1.6 Estudio de Factibilidad Econmica OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe generar, en cada proyecto de desarrollo, implementacin y modificacin de sistemas de informacin propuesto, el anlisis de los costos y beneficios asociados con cada alternativa considerada para satisfacer los requerimientos del negocio establecidos. 1.7 Arquitectura de Informacin OBJETIVO DE CONTROL La Gerencia deber asegurar que se tome en consideracin el modelo de datos de la empresa al definir las soluciones y analizar la factibilidad de las mismas. 1.8 Reporte de Anlisis de Riesgos OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar, en cada proyecto de desarrollo, implementacin y modificacin de sistemas de informacin propuesto, el anlisis y la documentacin de las amenazas a la seguridad, puntos de impacto y debilidad y protecciones factibles de seguridad y control interno, con la finalidad de reducir o eliminar el riesgo identificado. Esto deber llevarse a cabo en lnea con el marco de referencia general de evaluacin de riesgos.
27
Del anaquel (off-the-shelf): se dice de productos de software terminados que pueden adquirirse directamente de un proveedor o distribuidor. 28 Solicitud de propuesta (request for proposal, RFP): invitacin que se extiende a proveedores para que presenten una propuesta.
!(
@pyvpprssrpvr
$&
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
1.14 Adquisicin de Productos de Software OBJETIVO DE CONTROL La adquisicin de productos de software deber seguir las polticas de adquisicin de la organizacin. 1.15 Mantenimiento de Software de Terceras Partes OBJETIVO DE CONTROL La Gerencia deber asegurar que, para el software con licencia adquirido a terceras partes, los proveedores cuenten con los procedimientos apropiados para validar, proteger y mantener los derechos de integridad de los productos de software. Deber tomarse en consideracin el soporte del producto en cualquier acuerdo de mantenimiento relacionado con el producto entregado. 1.16 Contratos de Programacin de Aplicaciones OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que los servicios de programacin contratados estn justificados con una solicitud de servicios por escrito por parte de un miembro designado de la funcin de servicios de informacin. El contrato deber estipular que el software, la documentacin y otros elementos entregables30 estn sujetos a pruebas y revisiones antes de ser aceptados. Adems, deber asegurar que los productos finales terminados por los servicios de programacin contratados sean revisados y probados de acuerdo con los estndares definidos por el grupo de aseguramiento de calidad de la funcin de servicios de informacin y otras partes interesadas (como usuarios, administradores de proyecto, etc.) antes de pagar por el trabajo y aprobar el producto final. Las pruebas que debern ser incluidas en las especificaciones del contrato debern consistir en pruebas del sistema, pruebas de integracin, pruebas de hardware y componentes, pruebas de procedimientos, pruebas de carga y estrs, pruebas de afinacin y desempeo, pruebas de regresin, pruebas de aceptacin del usuario y, finalmente, pruebas piloto del sistema total, con la finalidad de evitar fallas no esperadas del mismo.
30
1.9 Controles de Seguridad Econmicos29 OBJETIVO DE CONTROL La Gerencia deber asegurar que los costos y beneficios de seguridad sean examinados cuidadosamente en trminos monetarios y no monetarios, para garantizar que los costos de los controles no excedan a los beneficios. La decisin requerir la firma de aprobacin formal de la Gerencia. 1.10 Diseo de Pistas de Auditora OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que existan mecanismos adecuados para pistas de auditora o que dichos mecanismos puedan ser desarrollados para la solucin identificada y seleccionada. Los mecanismos debern proporcionar la capacidad de proteger datos sensitivos (ej. identificacin de usuarios contra divulgacin o mal uso) 1.11 Ergonoma OBJETIVO DE CONTROL La Gerencia deber asegurar que los proyectos de desarrollo, implementacin y cambios emprendidos por la funcin de servicios de informacin, tomen en consideracin los aspectos ergonmicos asociados con la introduccin de soluciones automatizadas. 1.12 Seleccin del Software del Sistema OBJETIVO DE CONTROL La Gerencia deber asegurar que la funcin de servicios de informacin cumpla con un procedimiento estndar para identificar todos los programas de software potenciales que debern satisfacer sus requerimientos operacionales. 1.13 Control de Abastecimiento OBJETIVO DE CONTROL La Gerencia deber desarrollar e implementar un enfoque central de abastecimientos que describa un conjunto comn de procedimientos y estndares a ser seguidos en la adquisicin de hardware, software y servicios relacionados con la tecnologa de informacin. Los productos debern ser revisados y probados antes de su utilizacin y pago.
D
Entregable (deliverable): un producto formal que es entregado como parte final de un proceso de trabajo.
P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
$'
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
1.17 Aceptacin de Instalaciones OBJETIVO DE CONTROL La Gerencia deber asegurar que, dentro del contrato con el proveedor, se acuerde un plan de aceptacin para las instalaciones a ser proporcionadas, el cual defina los procedimientos y criterios de aceptacin. Adems, debern llevarse a cabo pruebas de aceptacin para garantizar que el acomodo31 y el medio cumplan con los requerimientos especificados en el contrato. 1.18 Aceptacin de Tecnologa OBJETIVO DE CONTROL La Gerencia deber asegurar que, dentro del contrato con el proveedor, se acuerde un plan de aceptacin para la tecnologa especfica a ser proporcionada, el cual defina los procedimientos y criterios de aceptacin. Adems, las pruebas de aceptacin establecidas en el plan, debern incluir inspeccin, pruebas de funcionalidad y seguimiento de cargas de trabajo.
"
6pqhppqhv
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
$(
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

AI2

Entrega & Soporte

Monitoreo
adquisicin y mantenimiento de software de aplicacin que satisface los requerimientos de negocio de: proporcionar funciones automatizadas que soporten efectivamente al negocio se hace posible a travs de: la definicin de declaraciones especficas sobre requerimientos funcionales y operacionales y una implementacin estructurada con entregables claros y toma en consideracin:

1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%

P
requerimientos de usuarios requerimientos de archivo, entrada, proceso y salida interface usuario mquina personalizacin de paquetes pruebas funcionales controles de aplicacin y requerimientos funcionales documentacin
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
2.5 Especificaciones de Programas OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir la preparacin de especificaciones detalladas por escrito, de los programas para cada proyecto de desarrollo o modificacin de sistemas de informacin. Adems, la metodologa deber garantizar que las especificaciones de los programas correspondan a las especificaciones del diseo del sistema. 2.6 Diseo para la Recopilacin32 de Datos Fuente OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir la especificacin de mecanismos adecuados, para la recopilacin y entrada de datos para cada proyecto de desarrollo y modificacin de sistemas de informacin. 2.7 Definicin y Documentacin de Requerimientos de Entrada de Datos OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir que existan mecanismos adecuados para definir y documentar los requerimientos de entrada de datos para cada proyecto de desarrollo o modificacin de sistemas de informacin. 2.8 Definicin de Interfases OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe estipular que se especifiquen, diseen y documenten apropiadamente todas las interfases internas y externas.
ADQUISICIN Y MANTENIMIENTO DE SOFTWARE DE APLICACIN

OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe estipular que sean aplicados a tcnicas y procedimientos apropiados, incluyendo una estrecha relacin con los usuarios del sistema, en la creacin de las especificaciones de diseo para cada nuevo proyecto de desarrollo de sistemas de informacin, y verificar las especificaciones del diseo contra los requerimientos del usuario.
2.1 Mtodos de Diseo
2.2 Cambios Significativos a Sistemas Actuales OBJETIVO DE CONTROL La Gerencia deber asegurar que, en caso de presentarse la necesidad de realizar modificaciones significativas a los sistemas actuales, se siga un proceso de desarrollo similar al utilizado en el desarrollo de sistemas nuevos. 2.3 Aprobacin del Diseo OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin requerir que las especificaciones de diseo para todos los proyectos de desarrollo y modificacin de sistemas de informacin, sean revisados y aprobados por la Gerencia, por los departamentos usuarios afectados y por la alta gerencia de la organizacin, cuando esto sea pertinente. 2.4 Definicin y Documentacin de Requerimientos de Archivos OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar la aplicacin de un procedimiento apropiado para la definicin y documentacin del formato de los archivos para cada proyecto de desarrollo y modificacin de sistemas de informacin. Este procedimiento deber garantizar el respeto a las reglas de diccionario de datos.
32
Recopilacin (collection): relevar, recabar o renuir informacin.

P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
2.13 Disponibilidad como Factor Clave de Diseo OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que la disponibilidad sea considerada en el proceso de diseo de nuevos o modificados sistemas de informacin en la fase ms temprana posible. La disponibilidad debe ser analizada y, en caso necesario, incrementada a travs de mejoras de mantenimiento y confiabilidad. 2.14 Consideraciones de Integridad de Tecnologa para Software de Programas de Aplicacin OBJETIVO DE CONTROL La organizacin deber establecer procedimientos para asegurar, cuando esto aplique, que los programas de aplicacin contengan estipulaciones que verifiquen rutinariamente las tareas realizadas por el software, para apoyar el aseguramiento de la integridad de los datos y el cual haga posible la restauracin de la integridad a travs de procedimientos de recuperacin en reversa34 u otros medios. 2.15 Pruebas de Software de Aplicacin OBJETIVO DE CONTROL Debern aplicarse pruebas unitarias, pruebas de aplicacin, pruebas de integracin y pruebas de carga y estrs35, de acuerdo con el plan de prueba del proyecto y con los estndares de pruebas establecidos antes de ser aprobado por el usuario. Se debern aplicar adecuadas medidas de seguridad para prevenir divulgacin de informacin sensitiva durante las pruebas.
2.9 Interfase Usuario-Mquina OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar el desarrollo de una interfase entre el usuario y la mquina fcil de utilizar y que sea capaz de autodocumentarse (por medio de funciones de ayuda en lnea). 2.10 Definicin y Documentacin de Requerimientos de Procesamiento OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir que existan mecanismos adecuados para definir y documentar los requerimientos de procesamiento para cada proyecto de desarrollo o modificacin de sistemas de informacin. 2.11 Definicin y Documentacin de Requerimientos de Salida de Datos OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir que existan mecanismos adecuados para definir y documentar los requerimientos de salida de datos para cada proyecto de desarrollo o modificacin de sistemas de informacin 2.12 Controlabilidad OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir que se especifiquen mecanismos adecuados, para garantizar que se identifiquen los requerimientos de seguridad y control internos para cada proyecto de desarrollo o modificacin de sistemas de informacin. La metodologa deber asegurar adems que los sistemas de informacin estn diseados para incluir controles de aplicacin que garanticen que los datos de entrada y salida estn completos, as como su precisin, oportunidad33 y autorizacin. Deber llevarse a cabo una evaluacin de sensibilidad durante el inicio del desarrollo o modificacin del sistema. Los aspectos bsicos de seguridad y control interno de un sistema a ser desarrollado o modificado debern ser evaluados junto con el diseo conceptual del mismo, con el fin de integrar los conceptos de seguridad en el diseo tan pronto como sea posible.
33 34
Oportunidad (timeliness) En reversa (rollback): estrategia de recuperacin de bases de datos que se utiliza para restaurar un estado previo de los datas 35 Carga y estrs (load and stress)
P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%!
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
2.16 Materiales de Consulta y Soporte para Usuarios OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que se preparen manuales de referencia y soporte para usuarios adecuados (preferiblemente en formato electrnico) como parte de cada proyecto de desarrollo o modificacin de sistemas de informacin 2.17 Reevaluacin del Diseo del Sistema OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que el diseo del sistema sea reevaluado siempre que ocurran discrepancias tcnicas y/o lgicas durante el desarrollo o mantenimiento del sistema.
33 34
Oportunidad (timeliness) En reversa (rollback): estrategia de recuperacin de bases de datos que se utiliza para restaurar un estado previo de los datas 35 Carga y estrs (load and stress)
D
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%"
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

AI3

Entrega & Soporte

Monitoreo
adquisicin y mantenimiento de arquitectura de software que satisface los requerimientos de negocio de: proporcionar las plataformas apropiadas para soportar aplicaciones de negocios se hace posible a travs de: la evaluacin del desempeo de hardware y software, la provisin de mantenimiento preventivo de hardware y la instalacin, seguridad y control del software del sistema y toma en consideracin:

evaluacin de tecnologa mantenimiento preventivo de hardware seguridad del software de sistema, instalacin, mantenimiento y control sobre cambios
P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%#
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
3.6 Controles para Cambios del Software del Sistema OBJETIVO DE CONTROL Debern implementarse procedimientos para asegurar que las modificaciones realizadas al software del sistema sean controladas de acuerdo con los procedimientos de administracin de cambios de la organizacin.
ADQUISICIN Y MANTENIMIENTO DE ARQUITECTURA DE TECNOLOGA

OBJETIVO DE CONTROL Debern establecerse procedimientos para evaluar el impacto de nuevo hardware y software sobre el rendimiento del sistema en general.
3.1 Evaluacin de Nuevo Hardware y Software
3.2 Mantenimiento Preventivo para Hardware OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber calendarizar el mantenimiento rutinario y peridico del hardware con el fin de reducir la frecuencia y el impacto de fallas de rendimiento. 3.3 Seguridad del Software del Sistema OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que la instalacin del software del sistema no arriesgue la seguridad de los datos y programas ya almacenados en el mismo. Deber ponerse gran atencin a la instalacin y mantenimiento de los parmetros del software del sistema. 3.4 Instalacin del Software del Sistema OBJETIVO DE CONTROL Debern implementarse procedimientos para asegurar que el software del sistema sea instalado de acuerdo al marco de referencia de adquisicin y mantenimiento de infraestructura de tecnologa. Las pruebas debern ser llevadas a cabo antes de autorizarse su utilizacin en ambiente de produccin. 3.5 Mantenimiento del Software del Sistema OBJETIVO DE CONTROL Debern implementarse procedimientos para asegurar que el software del sistema sea mantenido de acuerdo al marco de referencia de adquisicin y mantenimiento para infraestructura de tecnologa.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%$
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

AI4

Entrega & Soporte

Monitoreo
desarrollo y mantenimiento de procedimientos relacionados con tecnologa de informacin que satisface los requerimientos de negocio de: asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas se hace posible a travs de: un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de servicio y material de entrenamiento y toma en consideracin:

procedimientos y controles de usuarios procedimientos y controles operacionales materiales de entrenamiento
P P P P
D
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%%
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
DESARROLLO Y MANTENIMIENTO DE PROCEDIMIENTOS RELACIONADOS CON TECNOLOGA DE INFORMACIN
4.1 Requerimientos Operacionales y Niveles de Servicios Futuros OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar la definicin oportuna de requerimientos operacionales y niveles de servicios futuros. 4.2 Manual de Procedimientos para Usuario OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que se preparen y actualicen manuales adecuados de procedimientos para los usuarios como parte de cada proyecto de desarrollo o modificacin de sistemas de informacin. 4.3 Manual de Operaciones OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que se prepare y se mantenga actualizado un manual de operaciones adecuado como parte de cada proyecto de desarrollo o modificacin de sistemas de informacin. 4.4 Material de Entrenamiento OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar que se desarrollen materiales de entrenamiento adecuados como parte de cualquier proyecto de desarrollo, implementacin o modificacin de sistemas de informacin. Estos materiales debern enfocarse al uso del sistema en la prctica diaria.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%&
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

AI5

Entrega & Soporte

Monitoreo
instalacin y acreditacin de sistemas que satisface los requerimientos de negocio de: verificar y confirmar que la solucin sea adecuada para el propsito deseado se hace posible a travs de: la realizacin de una migracin de instalacin, conversin y plan de aceptacin adecuadamente formalizados y toma en consideracin:

capacitacin conversin / carga de datos pruebas especficas acreditacin revisiones post implementacin
P P P P P
D
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%'
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
5.5 Criterios y Desempeo de Pruebas en Paralelo/Piloto OBJETIVO DE CONTROL Deben establecerse procedimientos para asegurar que las pruebas piloto o en paralelo sean llevadas a cabo de acuerdo con un plan preestablecido y que los criterios para la terminacin del proceso de pruebas sean especificados con anterioridad. 5.6 Prueba de Aceptacin Final OBJETIVO DE CONTROL Los procedimientos debern asegurar, como parte de las pruebas de aceptacin final o de aseguramiento de calidad de sistemas de informacin nuevos o modificados, una evaluacin y aprobacin formal de los resultados de las pruebas por parte de la Gerencia de los departamentos usuarios afectados y de la funcin de servicios de informacin. Las pruebas deben cubrir todos los componentes del sistema de informacin (software de aplicacin, instalaciones, tecnologa, procedimientos de usuarios). 5.7 Pruebas y Acreditacin de Seguridad OBJETIVO DE CONTROL La Gerencia deber definir e implementar procedimientos para asegurar que la Gerencia de operaciones y la Gerencia usuaria aceptan formalmente los resultados de las pruebas y el nivel de seguridad para los sistemas, junto con el riesgo residual existente. 5.8 Prueba Operacional OBJETIVO DE CONTROL La Gerencia deber asegurar que, antes de poner el sistema en operacin, el usuario o custodio designado (la parte designada para correr el sistema en nombre del usuario), valide su operacin como un producto completo, bajo condiciones similares a las del ambiente de aplicacin y en la manera en la que el sistema ser operado en un ambiente de produccin.
INSTALACIN Y ACREDITACIN DE SISTEMAS
5.1 Entrenamiento OBJETIVO DE CONTROL El personal de los departamentos usuarios afectados y el grupo de operaciones de la funcin de servicios de informacin debern estar entrenados de acuerdo al plan de entrenamiento definido y los materiales relacionados, como parte de cualquier proyecto de desarrollo, implementacin o modificacin de sistemas de informacin. 5.2 Adecuacin36 del Desempeo del Software de Aplicacin OBJETIVO DE CONTROL La medicin (optimizacin) del desempeo del software de aplicacin deber establecerse como una parte integral de la metodologa del ciclo de vida de desarrollo de sistemas de la organizacin para predecir los recursos requeridos para operar software nuevo o significativamente modificado. 5.3 Conversin OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe asegurar, como parte de cada proyecto de desarrollo, implementacin o modificacin de sistemas de informacin, que los elementos necesarios del sistema anterior sean convertidos al sistema nuevo de acuerdo con el plan preestablecido. 5.4 Pruebas de Cambios OBJETIVO DE CONTROL La Gerencia deber asegurar que los cambios sean probados por un grupo de prueba independiente (distinto al de los desarrolladores) de acuerdo con la evaluacin de impacto y recursos en un ambiente de prueba separado antes de comenzar su uso en el ambiente de operacin regular. Tambin debern desarrollarse planes de respaldo externo37. Las pruebas de aceptacin debern llevarse a cabo en un ambiente representativo del ambiente operacional futuro (por ejemplo, condiciones similares de seguridad, controles internos, cargas de trabajo, etc.)
"%
6qrphpvyvvt)hvthyhqvrvy
hhxhhqrphq
"&
Srhyqrrihpx
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%(
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
5.9 Paso a Produccin OBJETIVO DE CONTROL La Gerencia deber definir e implementar procedimientos formales para controlar la entrega38 del sistema de desarrollo a pruebas y a operacin. Los ambientes respectivos debern separarse y protegerse apropiadamente. 5.10 Evaluacin de la Satisfaccin de los Requerimientos del Usuario OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir que se realice una revisin post - implementacin de los requerimientos operacionales del sistema de informacin (por ejemplo, capacidad, desempeo de procesamiento39 a travs del sistema etc.) con el fin de evaluar si las necesidades del usuario estn siendo satisfechas por el mismo. 5.11 Revisin Gerencial Post - Implementacin OBJETIVO DE CONTROL La metodologa del ciclo de vida de desarrollo de sistemas de la organizacin debe requerir que una revisin post - implementacin del sistema de informacin operacional evale y reporte si el sistema proporcion los beneficios esperados de la manera ms econmica.
"'
@rthuhqr)hhqryvrhqr
hivrrqrrihhyhivrrqrqppvy
"(
9rrrxqrprhvrutu
phhpvqhqqrprhvrqrqhqrv rhqrvshvy
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
&
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

AI6

Entrega & Soporte

Monitoreo
administracin de cambios que satisface los requerimientos de negocio de: minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores se hace posible a travs de: un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual y toma en consideracin:

1)250$7,21T<67(0668',7$1'821752/A281'$7,21
&

P
identificacin de cambios procedimientos de categorizacin, priorizacin y emergencia evaluacin del impacto autorizacin de cambios manejo de liberacin distribucin de software
P P P P P
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
6.6 Poltica de Liberacin de Software OBJETIVO DE CONTROL La Gerencia deber garantizar que la liberacin de software est regida por procedimientos formales asegurando aprobacin, empaque40, pruebas de regresin, entrega, etc. 6.7 Distribucin de Software OBJETIVO DE CONTROL Debern establecerse medidas de control especficas para asegurar la distribucin del elemento de software correcto al lugar correcto, con integridad y de manera oportuna con pistas de auditora adecuadas.
ADMINISTRACIN DE CAMBIOS
OBJETIVO DE CONTROL La Gerencia deber asegurar que todas las requisiciones de cambios tanto internos como por parte de proveedores estn estandarizados y sujetos a procedimientos formales de administracin de cambios. Las solicitudes debern categorizarse, priorizarse y establecerse procedimientos especficos para manejar asuntos urgentes. Los solicitantes de cambios deben permanecer informados acerca del estatus de su solicitud.
6.1 Inicio y Control de Requisiciones de Cambio
6.2 Evaluacin del Impacto OBJETIVO DE CONTROL Deber establecerse un procedimiento para asegurar que todas las requisiciones de cambio sean evaluadas en una forma estructurada en cuanto a todos los posibles impactos sobre el sistema operacional y su funcionalidad. 6.3 Control de Cambios OBJETIVO DE CONTROL La Gerencia deber asegurar que la administracin de cambios, as como el control y la distribucin de software sean integrados apropiadamente en un sistema completo de administracin de configuracin. 6.4 Documentacin y Procedimientos OBJETIVO DE CONTROL El procedimiento de cambios deber asegurar que, siempre que se implementen modificaciones a un sistema, la documentacin y procedimientos relacionados sean actualizados de manera correspondiente. 6.5 Mantenimiento Autorizado OBJETIVO DE CONTROL La Gerencia deber asegurar que el personal de mantenimiento tenga asignaciones especficas y que su trabajo sea monitoreado apropiadamente. Adems, sus derechos de acceso al sistema debern ser controlados para evitar riesgos de accesos no autorizados a los sistemas automatizados.
#
@hrhpxhtvt
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
&!
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

DS1
Entrega & Soporte

Monitoreo
Definicin de niveles de servicio que satisface los requerimientos de negocio de: establecer una comprensin comn del nivel de servicio requerido se hace posible a travs de: el establecimiento de convenios de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio y toma en consideracin:

convenios formales definicin de responsabilidades tiempos y volmenes de respuesta dependencias cargos garantas de integridad convenios de confidencialidad
P P P P P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
&"
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
convenios de confidencialidad) entre todas las partes involucradas sean establecidas, coordinadas, mantenidas y comunicadas a todos los departamentos afectados. 1.4 Monitoreo y Reporte OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber designar a un Gerente de nivel de servicio que sea responsable de monitorear y reportar los alcances de los criterios de desempeo del servicio especificado y todos los problemas encontrados durante el procesamiento. Las estadsticas de monitoreo debern ser analizadas oportunamente. Debern tomarse acciones correctivas apropiadas e investigarse las fallas. 1.5 Revisin de Convenios y Contratos de Nivel de Servicio OBJETIVO DE CONTROL La Gerencia deber implementar un proceso de revisin regular de los convenios de nivel de servicio y de los contratos de proveedores de servicios como terceras partes. 1.6 Elementos sujetos a Cargo OBJETIVO DE CONTROL Debern incluirse provisiones para elementos sujetos a cargo en los acuerdos de niveles de servicio para hacer posible comparaciones y decisiones de niveles de servicio contra su costo. 1.7 Programa de Mejoramiento del Servicio OBJETIVO DE CONTROL La Gerencia deber implementar un proceso para asegurar que los usuarios y los Gerentes de nivel de servicio concuerden regularmente en un programa de mejoramiento del servicio con el fin de dar seguimiento a mejoras al nivel de servicio cuyo costo est justificado.
DEFINICIN DE NIVELES DE SERVICIO
1.1 Marco de Referencia para el Convenio de Nivel de Servicio OBJETIVO DE CONTROL La alta gerencia deber establecer un marco de referencia en donde presente la definicin de los convenios sobre niveles formales de servicio y determine el contenido mnimo: disponibilidad, confiabilidad, desempeo, capacidad de crecimiento, niveles de soporte proporcionados al usuario, plan de contingencia/Recuperacin, nivel mnimo aceptable de funcionalidad del sistema satisfactoriamente liberado, restricciones (lmites en la cantidad de trabajo), cargos por servicio, instalaciones de impresin central (disponibilidad), distribucin de impresin central y procedimientos de cambio. Los usuarios y la funcin de servicios de informacin debern contar con un convenio escrito que describa el nivel de servicio en trminos cualitativos y cuantitativos. El convenio definir las responsabilidades de ambas partes. La funcin de servicios de informacin deber prestar la calidad y la cantidad de servicios ofrecida y los usuarios debern ajustar los servicios solicitados a los lmites acordados. 1.2 Aspectos sobre los Convenios de Nivel de Servicio OBJETIVO DE CONTROL Deber lograrse un acuerdo explcito sobre los aspectos que el convenio de nivel de servicios deber tener. El convenio de nivel de servicio deber cubrir por lo menos los siguientes aspectos: disponibilidad, confiabilidad, desempeo, capacidad de crecimiento, niveles de soporte proporcionados a los usuarios, plan de contingencia/ Recuperacin, nivel mnimo aceptable de funcionalidad del sistema satisfactoriamente liberado, restricciones (lmites en la cantidad de trabajo), cargos por servicio, instalaciones de impresin central (disponibilidad), distribucin de impresin central y procedimientos de cambios 1.3 Procedimientos de Desempeo OBJETIVO DE CONTROL Debern definirse procedimientos que aseguren que la manera y responsabilidades sobre las relaciones que rigen el desempeo (por ejemplo,
D
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
&#
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

DS2
Entrega & Soporte

Monitoreo
administracin de servicios prestados por terceros que satisface los requerimientos de negocio de: asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas, que cumplan y continen satisfaciendo los requerimientos se hace posible a travs de: medidas de control dirigidas a la revisin y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la organizacin y toma en consideracin:

acuerdos de servicio con terceras partes acuerdos de confidencialidad requerimientos legales regulatorios monitoreo de la entrega de servicio
P P P P P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
&$
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
2.6 Continuidad de Servicios OBJETIVO DE CONTROL Con respecto al aseguramiento de la continuidad de los servicios, la gerencia deber considerar el riesgo de negocios relacionado con la participacin de terceros en trminos de incertidumbre legal y con el concepto de inters sobre la continuidad45 y negociar contratos en depsito46. 2.7 Relaciones de Seguridad OBJETIVO DE CONTROL Con respecto a las relaciones con los proveedores de servicios como terceras partes, la Gerencia deber asegurar que los acuerdos de seguridad (por ejemplo, los acuerdos de no - revelacin) sean identificados, declarados explcitamente y acordados, que stos concuerden con los estndares de negocios universales y estn en lnea con los requerimientos legales y regulatorios, incluyendo obligaciones. 2.8 Monitoreo OBJETIVO DE CONTROL La Gerencia deber establecer un proceso continuo de monitoreo sobre la prestacin de servicio de terceros, con el fin de asegurar el cumplimiento de los acuerdos del contrato.
ADMINISTRACIN DE SERVICIOS PRES41 TADOS POR TERCEROS

OBJETIVO DE CONTROL La Gerencia deber asegurar que todos los servicios prestados por terceros sean propiamente identificados y que las interfaces tcnicas y organizacionales con los proveedores sean documentadas.
2.1 Interfases con Proveedores
2.2 Relaciones de Dueos42 Objetivos de Control La Gerencia de la organizacin del cliente deber designar un dueo que sea responsable de asegurar la calidad de las relaciones con terceros. 2.3 Contratos con Terceros OBJETIVO DE CONTROL La gerencia debe definir procedimientos especficos para asegurar que un contrato formal sea definido y acordado para cada relacin de servicio con un proveedor. 2.4 Calificacin de Terceros OBJETIVO DE CONTROL La gerencia debe asegurar en forma previa a su seleccin, que los terceros potenciales cuentan con las calificaciones adecuadas a travs de una evaluacin de su capacidad para proporcionar los servicios requeridos43. 2.5 Contratos con Fuentes Externas44 OBJETIVO DE CONTROL Debern definirse procedimientos organizacionales especficos para asegurar que el contrato entre la organizacin y el proveedor de la administracin de instalaciones est basado en niveles de procesamiento requeridos, seguridad, monitoreo y requerimientos de contingencia, as como en otras estipulaciones segn sea apropiado.
# #! #" ## #$
#%
Terceros (third party) Dueos (owners) Capacidad de proporcionar el servicio (due dilligence) Fuentes externas (outsourcers) Concepto de inters sobre la continuidad (going concern concept) Contrato en depsito (scrow contract) contratos que se celebran para garantizar la continuidad del servicio aun cuando el proveedor no pueda proporcionarlo.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
&%
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

DS3
Entrega & Soporte

Monitoreo
administracin de desempeo y capacidad que satisface los requerimientos de negocio de: asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado se hace posible a travs de: controles de manejo de capacidad y desempeo que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos y toma en consideracin:

1)250$7,21T<67(0668',7$1'821752/A281'$7,21
&&

P
requerimientos de disponibilidad y desempeo monitoreo y reporte herramientas de modelado administracin de capacidad disponibilidad de recursos
P P P
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
de que stos afecten el desempeo del sistema. Debern llevarse a cabo anlisis de las fallas e irregularidades del sistema en cuanto a frecuencia, grado del impacto y magnitud del dao. 3.6 Pronstico de Carga de Trabajo OBJETIVO DE CONTROL Debern establecerse controles para asegurar que se preparen pronsticos de carga de trabajo con el fin de identificar tendencias y proporcionar la informacin necesaria para el plan de capacidad47. 3.7 Administracin de Capacidad de Recursos OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber establecer un proceso de planeacin para la revisin del desempeo y capacidad del hardware con el fin de asegurar que siempre exista una capacidad justificable econmicamente para procesar las cargas de trabajo acordadas y para proporcionar la cantidad y calidad de desempeo requeridas, prescritas en los acuerdos de nivel de servicio. El plan de capacidad deber cubrir escenarios mltiples. 3.8 Disponibilidad de Recursos OBJETIVO DE CONTROL La gerencia deber prevenir que se pierda la disponibilidad de los recursos, mediante la implementacin de mecanismos de tolerancia de fallas, mecanismos de asignacin equitativa de recursos y la definicin de prioridades de tareas. 3.9 Calendarizacin de Recursos OBJETIVO DE CONTROL La Gerencia deber asegurar la adquisicin oportuna de la capacidad requerida, tomando en cuenta aspectos como resistencia, contingencia, cargas de trabajo y planes de almacenamiento.
ADMINISTRACIN DE DESEMPEO Y CAPACIDAD
3.1 Requerimientos de Disponibilidad y Desempeo OBJETIVO DE CONTROL El proceso de administracin deber asegurar que las necesidades de negocio con respecto a disponibilidad y desempeo de los servicios de informacin sean identificados y convertidas en requerimientos y trminos de disponibilidad. 3.2 Plan de Disponibilidad OBJETIVO DE CONTROL La Gerencia deber asegurar el establecimiento de un plan de disponibilidad para alcanzar, monitorear y controlar la disponibilidad de los servicios de informacin. 3.3 Monitoreo y Reporte OBJETIVO DE CONTROL La Gerencia deber implementar un proceso que asegure que el desempeo de los recursos de tecnologa de informacin sea continuamente monitoreado y que las excepciones sean reportadas de manera oportuna y completa. 3.4 Herramientas de Modelado OBJETIVO DE CONTROL La gerencia deber asegurar que se utilicen las herramientas de modelado apropiadas para producir un modelo del sistema actual, calibrado y ajustado segn la carga de trabajo real y que sea preciso dentro de los niveles de carga recomendados. Las herramientas de modelado debern utilizarse para apoyar el pronstico de los requerimientos de capacidad, confiabilidad de la configuracin, desempeo y disponibilidad. Debern llevarse a cabo investigaciones tcnicas profundas sobre el hardware de los sistemas y debern incluirse pronsticos acerca de futuras tecnologas. 3.5 Manejo Proactivo del Desempeo OBJETIVO DE CONTROL El proceso de administracin del desempeo deber incluir la capacidad de pronstico para permitir que los problemas sean solucionados antes
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
#&
Qyhqrphhpvqhqphhpvyhvt
&'
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

DS4
Entrega & Soporte

Monitoreo
garantizar la seguridad de sistemas que satisface los requerimientos de negocio de: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en caso de interrupciones se hace posible a travs de: teniendo un plan de continuidad probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio y toma en consideracin:

clasificacin de severidad plan documentado procedimientos alternativos respaldo y recuperacin pruebas y entrenamiento sistemticos y regulares
P P P P P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
&(
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
l Informacin crtica sobre grupos de continuidad, personal afectado, clientes, proveedores, autoridades pblicas y medios de comunicacin.
4.4 Minimizacin de requerimientos de Continuidad de Tecnologa de Informacin. OBJETIVO DE CONTROL La Gerencia de servicios de informacin deber establecer procedimientos y guas para minimizar los requerimientos de continuidad con respecto a personal, instalaciones, hardware, software, equipo, formatos, consumibles y mobiliario. 4.5 Mantenimiento Plan de Continuidad de Tecnologa de Informacin OBJETIVO DE CONTROL La Gerencia de servicios de informacin deber proveer procedimientos de control de cambios para asegurar que el plan de continuidad se mantiene actualizado y refleja requerimientos de negocio actuales. Esto requiere de procedimientos de mantenimiento del plan de continuidad alineados con el cambio, la administracin y los procedimientos de recursos humanos. 4.6 Pruebas del Plan de Continuidad de Tecnologa de Informacin OBJETIVO DE CONTROL Para contar con un Plan efectivo de Continuidad, la gerencia necesita evaluar su adecuacin de manera regular; esto requiere una preparacin cuidadosa, documentacin, reporte de los resultados de las pruebas e implementar un plan de accin de acuerdo con los resultados.
ASEGURAR LA CONTINUIDAD DEL SER-
VICIO 4.1 Marco de Referencia de Continuidad de Tecnologa de informacin
OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber crear un marco de referencia de continuidad que defina los roles, responsabilidades, el enfoque basado en riesgo /la metodologa a seguir y las reglas y la estructura para documentar el plan, as como los procedimientos de aprobacin. 4.2 Estrategia y Filosofa de Continuidad de Tecnologa de Informacin OBJETIVO DE CONTROL La Gerencia deber garantizar que el Plan de continuidad de tecnologa de informacin se encuentra en lnea con el plan general de continuidad de la empresa para asegurar consistencia. An ms, el plan de continuidad de TI debe tomar en consideracin el plan a mediano y largo plazo de tecnologa de informacin, con el fin de asegurar consistencia. 4.3 Contenido del Plan de Continuidad de Tecnologa de Informacin OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que se desarrolle un plan escrito conteniendo lo siguiente:
l Guas sobre la utilizacin del Plan de Continuidad; l Procedimientos de emergencia para asegurar la integridad de todo el personal afectado; l Procedimientos de respuesta definidos para regresar al negocio al estado en que se encontraba antes del incidente o desastre; l Procedimientos para salvaguardar y reconstruir las instalaciones; l Procedimientos de coordinacin con las autoridades pblicas; l Procedimientos de comunicacin con los interesados: empleados, clientes clave, proveedores crticos, accionistas y gerencia; y
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
'
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
alternativa final. En caso de aplicar, deber establecerse un contrato formal para este tipo de servicios. 4.12 Procedimiento de refinamiento del Plan de Continuidad OBJETIVO DE CONTROL Dada una exitosa reanudacin de la funcin de servicios de informacin despus de un desastre, la gerencia de servicios de informacin deber establecer procedimientos para evaluar lo adecuado del plan y actualizarlo de acuerdo con los resultados de dicha evaluacin.
4.7 Capacitacin sobre el Plan de Continuidad de Tecnologa de Informacin OBJETIVO DE CONTROL La metodologa de Continuidad para desastres deber asegurar que todas las partes interesadas reciban sesiones de entrenamiento regulares con respecto a los procedimientos a ser seguidos en caso de un incidente o un desastre. 4.8 Distribucin del Plan de Continuidad de Tecnologa de Informacin OBJETIVO DE CONTROL Debido a la naturaleza sensitiva de la informacin del plan de continuidad, dicha informacin deber ser distribuida solo a personal autorizado y mantenerse bajo adecuadas medidas de seguridad para evitar su divulgacin. Consecuentemente, algunas secciones del plan debern ser distribuidas solo a las personas cuyas actividades hagan necesario conocer dicha informacin. 4.9 Procedimientos de respaldo de procesamiento para Departamentos usuarios OBJETIVO DE CONTROL La metodologa de continuidad deber asegurar que los departamentos usuarios establezcan procedimientos alternativos de procesamiento, que puedan ser utilizados hasta que la funcin de servicios de informacin sea capaz de restaurar completamente sus servicios despus de un evento o un desastre. 4.10 Recursos Crticos de Tecnologa de Informacin OBJETIVO DE CONTROL El plan de continuidad deber identificar los programas de aplicacin, servicios de terceros, sistemas operativos, personal, insumos, archivos de datos que resultan crticos as como los tiempos necesarios para la recuperacin despus de que se presenta un desastre. 4.11 Centro de cmputo48 y Hardware de Respaldo OBJETIVO DE CONTROL La Gerencia deber asegurar que la metodologa de continuidad incorpora la identificacin de alternativas relativas al centro de cmputo y al hardware de respaldo, as como una seleccin
D
#'
8rqrpyvr
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
'
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

DS5
Entrega & Soporte

Monitoreo
garantizar la seguridad de sistemas que satisface los requerimientos de negocio de: salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdida se hace posible a travs de: controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados y toma en consideracin:

1)250$7,21T<67(0668',7$1'821752/A281'$7,21
'!

P
autorizacin autenticacin acceso perfiles e identificacin de usuarios administracin de llaves criptogrficas manejo, reporte y seguimiento de incidentes Prevencin y deteccin de virus Firewalls
P P P P P
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
acordes con la poltica de seguridad que garantiza el control de la seguridad de acceso, tomando como base las necesidades individuales demostradas de visualizar, agregar, modificar o eliminar datos. 5.4 Administracin de Cuentas de Usuario OBJETIVO DE CONTROL La Gerencia deber establecer procedimientos para asegurar acciones oportunas relacionadas con la requisicin, establecimiento, emisin, suspensin y suspensin de cuentas de usuario. Deber incluirse un procedimiento de aprobacin formal que indique el propietario de los datos o del sistema que otorga los privilegios de acceso. 5.5 Revisin Gerencial de Cuentas de Usuario OBJETIVO DE CONTROL La Gerencia deber contar con un proceso de control establecido para revisar y confirmar peridicamente los derechos de acceso. 5.6 Control de Usuarios sobre Cuentas de Usuario OBJETIVO DE CONTROL Los usuarios debern controlar en forma sistemtica la actividad de su(s) propia(s) cuenta(s). Tambin se debern establecer mecanismos de informacin para permitirles supervisar la actividad normal, as como alertarlos oportunamente sobre actividades inusuales. 5.7 Vigilancia de Seguridad OBJETIVO DE CONTROL La administracin de seguridad de la funcin de servicios de informacin debe asegurar que la actividad de seguridad sea registrada y que cualquier indicacin sobre una inminente violacin de seguridad sea notificada inmediatamente al administrador y que las acciones consecuentes sean tomadas en forma automtica.
GARANTIZAR LA SEGURIDAD DE SISTEMAS

OBJETIVO DE CONTROL La seguridad en Tecnologa de Informacin deber ser administrada de tal forma que las medidas de seguridad se encuentren en lnea con los requerimientos de negocio. Esto incluye:
5.1 Administrar Medidas de Seguridad
l traducir informacin sobre evaluacin de riesgos a los planes de seguridad de tecnologa; l implementar el plan de seguridad de tecnologa de informacin; l actualizar el plan de seguridad de tecnologa de informacin para reflejar cambios en la configuracin de tecnologa; l evaluar el impacto de solicitudes de cambio en la seguridad de tecnologa de informacin; l monitorear la implementacin del plan de seguridad de tecnologa de informacin; y l alinear los procedimientos de seguridad de tecnologa de informacin a otras polticas y procedimientos
5.2 Identificacin, Autenticacin y Acceso OBJETIVO DE CONTROL El acceso lgico y el uso de los recursos de TI deber restringirse a travs de la instrumentacin de un mecanismo adecuado de autenticacin de usuarios identificados y recursos asociados con las reglas de acceso. Dicho mecanismo deber evitar que personal no autorizado, conexiones telefnicas de marcado49 y otros puertos de entrada del sistema (redes) tengan acceso a los recursos de cmputo, de igual forma deber minimizar la necesidad de firmas de entrada50 mltiples a ser utilizadas por usuarios autorizados. Asimismo debern establecerse procedimientos para conservar la efectividad de los mecanismos de autenticacin y acceso (por ejemplo, cambios peridicos de contraseas o passwords). 5.3 Seguridad de Acceso a Datos en Lnea OBJETIVO DE CONTROL En un ambiente de tecnologa de informacin en lnea, la Gerencia de la funcin de servicios de informacin deber implementar procedimientos
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
#( $
Hhphqqvhy Avhqrrhqhvt
'"
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
5.12 Reacreditacin OBJETIVO DE CONTROL La Gerencia deber asegurar que se lleve a cabo peridicamente una reacreditacin de seguridad por ejemplo, a travs de equipos de personal tcnico tigre52 con el fin de conservar al da el nivel de seguridad aprobado formalmente y la aceptacin del riesgo residual. 5.13 Confianza en Contrapartes OBJETIVO DE CONTROL Las polticas organizacionales debern asegurar que se instrumenten prcticas de control para verificar la autenticidad de las contrapartes que proporcionan instrucciones o transacciones electrnicas. Esto puede lograrse mediante el intercambio confiable de passwords, dispositivos de seguridad53 o llaves criptogrficas. 5.14 Autorizacin de transacciones OBJETIVO DE CONTROL Las polticas organizacionales debern asegurar que, en donde sea apropiado, sean instrumentados controles para proporcionar autenticidad de transacciones. Esto requiere el empleo de tcnicas criptogrficas para firmar y verificar tran-
5.8 Clasificacin deDatos OBJETIVO DE CONTROL La Gerencia deber asegurar que todos los datos son clasificados en trminos de sensitividad, mediante una decisin explcita y formal del dueo de los datos de acuerdo con el esquema de clasificacin. An los datos que requieran no proteccin debern contar con una decisin formal que les asigne dicha clasificacin. 5.9 Clasificacin de Datos OBJETIVO DE CONTROL Deben existir controles para asegurar que la identificacin y los derechos de acceso de los usuarios, as como la identidad del sistema y la propiedad de los datos, son establecidos y administrados de forma nica y centralizada, para obtener consistencia y eficiencia de un control global de acceso. 5.10 Reportes de Violacin y de Actividades de Seguridad OBJETIVO DE CONTROL La administracin de la funcin de servicios de informacin deber asegurar que las violaciones y la actividad de seguridad sean registradas, reportadas, revisadas y escaladas apropiadamente en forma regular para identificar y resolver incidentes que involucren actividades no autorizadas. El acceso lgico a la informacin sobre el registro de recursos de cmputo51 (seguridad y otros registros) deber otorgarse tomando como base el principio de menor privilegio (necesidad de saber). 5.11 Manejo de Incidentes OBJETIVO DE CONTROL La Gerencia deber implementar la capacidad de manejar incidentes de seguridad computacional, dar atencin a dichos incidentes mediante el establecimiento de una plataforma centralizada con suficiente experiencia y equipada con instalaciones de comunicacin rpidas y seguras. Debern establecerse las responsabilidades y los procedimientos de manejo de incidentes para asegurar una respuesta apropiada, efectiva y oportuna a los incidentes de seguridad.
Srtvqrrpqrpy
hpphivyv
$"
@vvtrUvtrrh)rtqrr
hyppvphyphyryrhvthhihwqrrvsv phpvyqrrtvqhqrhvhyhpvy@h ihwpvrvvphrrrhphrsh vpytvhhhqrvyhyhrqvqhqrrtv qhqrhiyrpvqhhhihyhvrsrpvvqhqqr yhvhrvqrvsvphyhirhyrhiyrr rvrhrpvy
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
'#
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
partes interesadas a travs de un listado de revocacin de certificados o mecanismos similares. 5.19 Prevencin, Deteccin y Correccin de Software Malicioso OBJETIVO DE CONTROL Con respecto al software malicioso, tal como los virus computacionales o Caballos de Troya, la Gerencia deber establecer un marco de referencia de adecuadas medidas de control preventivas, detectivas y correctivas. 5.20 Arquitectura de Fire Walls y conexin a redes pblicas OBJETIVO DE CONTROL Si existe conexin con Internet u otras redes pblicas en la organizacin. Se deber contar con sistemas Fire Wall adecuados para proteger en contra de negacin de servicios y cualquier acceso no autorizado a los recursos internos; deber controlar en ambos sentidos cualquier flujo de administracin de infraestructura y de aplicaciones y deber proteger en contra de negacin o ataques de servicio. 5.21 Proteccin de Valores Electrnicos OBJETIVO DE CONTROL La Gerencia debe proteger consistentemente la integridad de todas las tarjetas o dispositivos fsicos similares, que son utilizados para autenticacin o almacenamiento de informacin financiera u otra informacin sensitiva, tomando en consideracin las instalaciones relacionadas, dispositivos, empleados y mtodos de validacin utilizados.
sacciones. 5.15 No negacin OBJETIVO DE CONTROL Las polticas organizacionales debern asegurar que, en donde sea apropiado, las transacciones no puedan ser negadas por ninguna de las partes y que se instrumenten controles para proporcionar no negacin (non repudiation) de origen o destino, prueba de envo (proof of submission), y recibo de transacciones. Esto puede ser implementado a travs de firmas digitales, registro de tiempos y terceros confiables. 5.16 Sendero Seguro OBJETIVO DE CONTROL Las polticas organizacionales debern asegurar que la informacin de transacciones sensitivas es enviada y recibida exclusivamente a travs de canales o senderos seguros (trusted paths). La informacin sensitiva incluye: informacin sobre administracin de seguridad, datos de transacciones sensitivas, passwords y llaves criptogrficas. Para lograr esto, se pueden establecer canales confiables mediante el encriptamiento entre usuarios, entre usuarios y sistemas y entre sistemas. 5.17 Proteccin de funciones de seguridad OBJETIVO DE CONTROL Todo el hardware y software relacionado con seguridad debe encontrarse permanentemente protegido contra intromisiones para proteger su integridad y contra divulgacin de sus claves secretas. Adicionalmente, la organizacin deber mantener discrecin sobre el diseo de su seguridad, pero no basar la seguridad en mantener el diseo como secreto. 5.18 Administracin de Llaves Criptogrficas OBJETIVO DE CONTROL La Gerencia deber definir e implementar procedimientos y protocolos a ser utilizados en la generacin, distribucin, certificacin, almacenamiento, entrada, utilizacin y archivo de llaves criptogrficas con el fin de asegurar la proteccin de las mismas contra modificaciones y divulgacin no autorizada. Si una llave se encuentra comprometida (en riesgo), la gerencia deber asegurarse de que esta informacin se hace llegar a todas las
D
$"
9vvvxr
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
'$
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

DS6
Entrega & Soporte

Monitoreo
identificacin y asignacin de costos que satisface los requerimientos de negocio de: asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI se hace posible a travs de: un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos y toma en consideracin:

recursos identificables y medibles procedimientos y polticas de cargo tarifas
P P P P P
D
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
'%
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
IDENTIFICACIN Y ASIGNACIN DE COSTOS

OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que los elementos sujetos a cargo sean identificables, medibles y predecibles para los usuarios. Los usuarios debern ser capaces de controlar el uso de los servicios de informacin y de los niveles de facturacin asociados.
6.1 Elementos Sujetos a Cargo54
6.2 Procedimientos de Costeo OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber definir e implementar procedimientos de costeo para proporcionar informacin gerencial acerca del costo de prestar servicios de informacin, asegurando al mismo tiempo la economa. Las variaciones entre los costos pronosticados y los reales debern ser analizadas adecuadamente y reportados, con el fin de facilitar el monitoreo de los mismos. Adems, la alta gerencia deber evaluar peridicamente los resultados de los procedimientos de contabilidad de costos de la funcin de servicios de informacin, a la luz de los otros sistemas de medicin financiera de la organizacin. 6.3 Procedimientos de Cargo54 y Facturacin a Usuarios OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber definir y utilizar procedimientos de cargo y facturacin. Esta deber mantener procedimientos de cargo y facturacin que fomenten el uso apropiado de los recursos de cmputo y aseguren el trato justo de los departamentos usuarios y sus necesidades. El monto cargado deber reflejar los costos asociados con la prestacin de servicios.
$#
8htpuhtrihpx
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
'&
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

DS7
Entrega & Soporte

Monitoreo
educacin y entrenamiento de usuarios que satisface los requerimientos de negocio de: asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades involucrados se hace posible a travs de: un plan completo de entrenamiento y desarrollo y toma en consideracin:

curriculum de entrenamiento campaas de concientizacin tcnicas de concientizacin
P
D
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
''
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
EDUCACIN Y ENTRENAMIENTO DE USUARIOS
7.1 Identificacin de Necesidades de Entrenamiento OBJETIVO DE CONTROL En lnea con el plan a largo plazo, la Gerencia deber establecer y mantener procedimientos para identificar y documentar las necesidades de entrenamiento de todo el personal que haga uso de los servicios de informacin. Deber establecerse un curriculum de entrenamiento para cada grupo de empleados. 7.2 Organizacin del Entrenamiento OBJETIVO DE CONTROL Tomando como base las necesidades identificadas, la Gerencia deber definir los grupos objetivo, identificar y asignar entrenadores y organizar oportunamente las sesiones de entrenamiento. Asimismo, debern investigarse las alternativas de entrenamiento (Localidad interna o externa, entrenadores internos o externos, etc.). 7.3 Entrenamiento sobre Principios y Conciencia de Seguridad OBJETIVO DE CONTROL Todo el personal deber estar capacitado y entrenado en los principios de seguridad de sistemas. La alta gerencia deber proporcionar un programa de educacin y entrenamiento que incluya: conducta tica de la funcin de servicios de informacin, prcticas de seguridad para proteger de una manera segura contra daos que afecten la disponibilidad, la confidencialidad la integridad y el desempeo de las tareas.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
'(
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

DS8
P Control sobre el proceso de TI de:
Entrega & Soporte
Monitoreo
Apoyo y asistencia a los clientes de TI que satisface los requerimientos de negocio de: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente se hace posible a travs de: un Bur de ayuda que proporcione soporte y asesora de primera lnea y toma en consideracin:

consultas de usuarios y respuesta a problemas monitoreo de consultas y despacho anlisis y reporte de tendencias
P P
55 56
Bur de ayuda (help desk) Despacho (clearance)

(
P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
APOYO Y ASISTENCIA A LOS CLIENTES DE TECNOLOGA DE INFORMACIN

OBJETIVO DE CONTROL Deber establecerse un soporte para usuarios dentro de una funcin de bur de ayuda. Las personas responsables de llevar a cabo esta funcin debern interactuar estrechamente con el personal de manejo de problemas.
8.1 Bur de Ayuda
8.2 Registro de Preguntas del Usuario OBJETIVO DE CONTROL Debern establecerse procedimientos para asegurar que todas las preguntas de los clientes sean registradas adecuadamente por el bur de ayuda. 8.3 Escalamiento de Preguntas del Cliente OBJETIVO DE CONTROL Los procedimientos del bur de ayuda debern asegurar que las preguntas de los clientes que no puedan ser resueltas inmediatamente sean reasignadas apropiadamente dentro de la funcin de servicios de informacin hasta el nivel adecuado para atenderlas. 8.4 Monitoreo de Atencin a Clientes OBJETIVO DE CONTROL La Gerencia deber establecer procedimientos para monitorear oportunamente la atencin a las preguntas de los clientes. Las preguntas que permanezcan pendientes por largo tiempo debern ser investigadas y atendidas. 8.5 Anlisis y Reporte de Tendencias OBJETIVO DE CONTROL Debern establecerse procedimientos que aseguren el reporte adecuado de las preguntas de los clientes y su solucin, de los tiempos de respuesta y la identificacin de tendencias. Los reportes debern ser analizados y sus resultados debern ser atendidos adecuadamente.
55
Bur de ayuda (help desk)

%-(79,26'(821752/
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

DS9
Entrega & Soporte

Monitoreo
Administracin de la configuracin que satisface los requerimientos de negocio de: dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de cambios se hace posible a travs de: controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia y toma en consideracin:

registro de activos administracin de cambios en la configuracin chequeo de software no autorizado controles de almacenamiento de software
P P P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
(!
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
9.6 Almacenamiento de Software OBJETIVO DE CONTROL Deber definirse un rea de almacenamiento de archivos (biblioteca) para todos los elementos de software vlidos en las fases apropiadas del ciclo de vida de desarrollo de sistemas. Estas reas debern estar separadas unas de otras y de las reas de almacenamiento de archivos de desarrollo, pruebas y produccin.
ADMINISTRACIN DE LA CONFIGURACIN
9.1 Registro de la Configuracin OBJETIVO DE CONTROL Debern establecerse procedimientos para asegurar que sean registrados nicamente elementos de configuracin autorizados e identificables en el inventario, al momento de la adquisicin. Por otra parte, debern establecerse procedimientos para dar seguimiento a los cambios en la configuracin (nuevo elemento, cambio de estatus de desarrollo a prototipo). El registro en bitcoras y el control debern ser una parte integrada del sistema de registro de configuracin, incluyendo revisiones de registros modificados. 9.2 Configuracin Base OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurarse de que exista una configuracin base de elementos como punto de verificacin al cual regresar despus de las modificaciones. 9.3 Registro de Estatus OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que los registros de configuracin reflejen el estatus real de todos los elementos de la configuracin incluyendo la historia de los cambios. 9.4 Control de la Configuracin OBJETIVO DE CONTROL Los procedimientos debern asegurar que la existencia y consistencia del registro de la configuracin de la funcin de servicios de informacin sean revisadas peridicamente. 9.5 Software no Autorizado OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber revisar peridicamente la existencia de software no autorizado en las computadoras personales de la organizacin.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
("
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

DS10
Entrega & Soporte

Monitoreo
administracin de problemas e incidentes que satisface los requerimientos de negocio de: asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir cualquier recurrencia se hace posible a travs de: un sistema de manejo de problemas que registre y d seguimiento a todos los incidentes y toma en consideracin:

suficientes pistas de auditora de problemas y soluciones resolucin oportuna de problemas reportados procedimientos de escalamiento reportes de incidentes
P P P P P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
(#
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
10 ADMINISTRACIN DE PROBLEMAS E INCIDENTES
10.1 Sistema de Administracin de Problemas OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber definir e implementar un sistema de administracin de problemas para asegurar que todos los eventos operacionales que no formen parte de la operacin estndar (incidentes, problemas y errores) sean registrados, analizados y resueltos oportunamente. Debern emitirse reportes de incidentes en el caso de problemas significativos. 10.2 Escalamiento de Problemas OBJETIVO DE CONTROL La Gerencia deber definir e implementar procedimientos de escalamiento de problemas para asegurar que los problemas identificados sean resueltos oportunamente de la manera ms eficiente. Estos procedimientos debern asegurar que las prioridades sean establecidas apropiadamente. Los procedimientos tambin debern documentar el procedimiento de escalamiento para la activacin del plan de continuidad de tecnologa de informacin. 10.3 Seguimiento de Problemas y Pistas de Auditora OBJETIVO DE CONTROL El sistema de administracin de problemas deber proporcionar elementos adecuados para pistas de auditora que permitan el seguimiento de las causas a partir de un incidente (por ejemplo, liberacin de paquetes o implementacin de cambios urgentes) y viceversa. Deber trabajar estrechamente con la administracin de cambios, la administracin de disponibilidad y la administracin de configuracin.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
($
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

DS11
Entrega & Soporte

Monitoreo
Administracin de datos que satisface los requerimientos de negocio de: asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin y almacenamiento se hace posible a travs de: una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI y toma en consideracin:

1)250$7,21T<67(0668',7$1'821752/A281'$7,21
(%

P
diseo de formatos controles de documentos fuente controles de entrada controles de procesamiento controles de salida identificacin, movimiento y administracin de la librera de medios administracin de almacenamiento y respaldo de medios autenticacin e integridad
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
11.6 Procedimientos de Autorizacin de Entrada de Datos OBJETIVO DE CONTROL La organizacin deber establecer procedimientos apropiados para asegurar que la entrada de datos sea llevada a cabo nicamente por personal autorizado. 11.7 Chequeos de Exactitud, Suficiencia y Autorizacin OBJETIVO DE CONTROL Los datos sobre transacciones, capturados para su procesamiento (generados por personas, por sistemas o entradas de interfase) debern estar sujetos a una variedad de controles para verificar su exactitud, suficiencia y validez. Asimismo, debern establecerse procedimientos para asegurar que los datos de entrada sean validados y editados tan cerca del punto de origen como sea posible. 11.8 Manejo de Errores en la Entrada de Datos OBJETIVO DE CONTROL La organizacin deber establecer procedimientos para la correccin y reenvo de datos que hayan sido capturados errneamente. 11.9 Integridad de Procesamiento de Datos OBJETIVO DE CONTROL La organizacin deber establecer procedimientos para el procesamiento de datos que aseguren que la segregacin de funciones sea mantenida y que el trabajo realizado sea verificado rutinariamente. Los procedimientos debern asegurar que se establezcan controles de actualizacin adecuados como totales de control "corrida a corrida" y controles de actualizacin de archivos maestros. 11.10 Validacin y Edicin de Procesamiento de Datos OBJETIVO DE CONTROL La organizacin deber establecer procedimientos para asegurar que la validacin, autenticacin y edicin del procesamiento sean llevadas a cabo tan cerca del punto de origen como sea posible. Cuando se utilicen sistemas de Inteligencia Artificial, dichos sistemas sern ubicaP
11 ADMINISTRACIN DE DATOS
11.1 Procedimientos de Preparacin de Datos OBJETIVO DE CONTROL La Gerencia deber establecer procedimientos de preparacin de datos a ser seguidos por los departamentos usuarios. En este contexto, el diseo de formas de entrada de datos deber ayudar a minimizar los errores y las omisiones. Durante la creacin de los datos, los procedimientos de manejo de errores debern asegurar razonablemente que los errores y las irregularidades sean detectados, reportados y corregidos. 11.2 Procedimientos de Autorizacin de Documentos Fuente OBJETIVO DE CONTROL La Gerencia deber asegurar que los documentos fuente sean preparados apropiadamente por personal autorizado que acta dentro de su autoridad, y que se establezca una separacin de funciones adecuada con respecto al origen y aprobacin de documentos fuente. 11.3 Recopilacin de Datos de Documentos Fuente OBJETIVO DE CONTROL Los procedimientos de la organizacin debern asegurar que todos los documentos fuente autorizados estn completos, sean precisos, registrados apropiadamente y transmitidos oportunamente para la entrada de datos. 11.4 Manejo de errores de documentos fuente OBJETIVO DE CONTROL Los procedimientos de manejo de errores durante la creacin de datos debern asegurar razonablemente que los errores y las irregularidades sean detectados, reportados y corregidos. 11.5 Retencin de Documentos Fuente OBJETIVO DE CONTROL Debern establecerse procedimientos para asegurar que la organizacin pueda retener o reproducir los documentos fuente originales durante un perodo de tiempo razonable para facilitar la recuperacin o reconstruccin de datos, as como para satisfacer requerimientos legales.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
(&
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
11.16 Provisiones de Seguridad para Reportes de Salida OBJETIVO DE CONTROL La organizacin deber establecer procedimientos para garantizar que la seguridad de los reportes de datos de salida sea mantenida para todos aquellos reportes que estn por distribuirse, as como para todos aqullos que ya hayan sido distribuidos a los usuarios. 11.17 Proteccin de Informacin Sensible durante transmisin y transporte OBJETIVO DE CONTROL La Gerencia deber asegurar que durante la transmisin y transporte de informacin sensible, se proporcione una adecuada proteccin contra acceso o modificacin no autorizada, as como contra envos a direcciones errneas. 11.18 Proteccin de Informacin Crtica a Ser Desechada OBJETIVO DE CONTROL La Gerencia deber definir e implementar procedimientos para impedir la divulgacin indebida o el desecho de informacin delicada de la organizacin. Tales procedimientos debern garantizar que ninguna informacin marcada como borrada o desechada, pueda ser accedida por personas internas o externas a la organizacin. 11.19 Administracin de Almacenamiento OBJETIVO DE CONTROL Debern desarrollarse procedimientos para el almacenamiento de datos que consideren requerimientos de recuperacin, de economa y las polticas de seguridad.
dos en una infraestructura de control interactiva con operadores humanos para asegurar que las decisiones vitales son aprobadas. 11.11 Manejo de Errores en el Procesamiento de Datos OBJETIVO DE CONTROL La organizacin deber establecer procedimientos de manejo de errores en el procesamiento de datos que permitan la identificacin de transacciones errneas sin que stas sean procesadas y sin interrumpir el procesamiento de otras transacciones vlidas. 11.12 Manejo y Retencin de Datos de Salida OBJETIVO DE CONTROL La organizacin deber establecer procedimientos para el manejo y la retencin de datos de salida de sus programas de aplicacin de tecnologa de informacin. En caso de que instrumentos negociables (ej. tarjetas de valor58) sean los receptores de la salida, se deber poner cuidado especial en prevenir usos inadecuados. 11.13 Distribucin de Datos de Salida OBJETIVO DE CONTROL La organizacin deber establecer y comunicar procedimientos escritos para la distribucin de datos de salida de tecnologa de informacin. 11.14 Balanceo y Conciliacin de Datos de Salida OBJETIVO DE CONTROL La organizacin deber establecer procedimientos para asegurar que los datos de salida sean balanceados rutinariamente con los totales de control relevantes. Debern existir pistas de auditora para facilitar el seguimiento del procesamiento de transacciones y la conciliacin de los datos con problema. 11.15 Revisin de Datos de Salida y Manejo de Errores OBJETIVO DE CONTROL La Gerencia de la organizacin deber establecer procedimientos para asegurar que la precisin de los reportes de los datos de salida sea revisada por el proveedor y por los usuarios relevantes. Asimismo, debern establecerse procedimientos para controlar los errores contenidos en los datos de salida.
D
58
Tarjetas de valor (valor cards): tarjetas que pueden almacenar valor, talcomo los monederos electrnicos.
%-(79,26'(821752/
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
('
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
11.24 Funciones de Respaldo OBJETIVO DE CONTROL Debern establecerse procedimientos para asegurar que los respaldos sean realizados de acuerdo con la estrategia de respaldo definida, y que su utilidad sea verificada regularmente. 11.25 Almacenamiento de Respaldos OBJETIVO DE CONTROL Los procedimientos de respaldo para los medios relacionados con tecnologa de informacin debern incluir el almacenamiento apropiado de los archivos de datos, del software y de la documentacin relacionada, tanto dentro como fuera de las instalaciones. Los respaldos debern ser almacenados con seguridad y las instalaciones de almacenamiento debern ser revisadas peridicamente con respecto a la seguridad de acceso fsico y la seguridad de los archivos de datos y otros elementos. 11.26 Archivo OBJETIVO DE CONTROL La Gerencia deber implementar una poltica y procedimientos para asegurar que el archivo cumple con requerimientos legales y de negocio y que se encuentra debidamente protegido y registrado adecuadamente. 11.27 Proteccin de Mensajes Sensitivos OBJETIVO DE CONTROL Con respecto a la transmisin de datos a travs de Internet u otra red pblica, la Gerencia deber definir e implementar procedimientos y protocolos para ser utilizados para el aseguramiento de la integridad, confidencialidad y no negacin de mensajes sensitivos. 11.28 Autenticacin e Integridad OBJETIVO DE CONTROL Previamente a que alguna accin crtica sea tomada sobre informacin originada fuera de la Organizacin que se reciba va telfono, correo de voz, documentos (en papel), fax o correo electrnico, se deber verificar adecuadamente la autenticidad e integridad de dicha informacin.
11.20 Perodos de Retencin y Trminos de Almacenamiento OBJETIVO DE CONTROL Debern definirse los perodos de retencin y los trminos de almacenamiento para documentos, datos, programas, reportes y mensajes (de entrada y de salida), as como los datos (claves, certificados) utilizados para su encriptamiento y autenticacin. 11.21 Sistema de Administracin de la Librera de Medios OBJETIVO DE CONTROL La funcin de servicios de informacin deber establecer procedimientos para asegurar que el contenido de su librera de medios sea inventariado sistemticamente, que cualquier discrepancia revelada por un inventario fsico sea solucionada oportunamente y que se lleven a cabo las medidas necesarias para mantener la integridad de los medios magnticos almacenados en la librera. 11.22 Responsabilidades de la Administracin de la Librera de Medios OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber establecer procedimientos de administracin para proteger el contenido de la librera de medios. Debern definirse estndares para la identificacin externa de medios magnticos y el control de su movimiento y almacenamiento fsico para soportar su seguimiento y registro. Las responsabilidades sobre el manejo de la libreras de medios (cintas magnticas, cartuchos, discos y diskettes) debern ser asignadas a miembros especficos del personal de servicios de informacin. 11.23 Respaldo y Restauracin OBJETIVO DE CONTROL La Gerencia deber implementar una estrategia apropiada de respaldo y restauracin para asegurar que sta incluya una revisin de los requerimientos del negocio, as como el desarrollo, implementacin, prueba y documentacin del plan de recuperacin. Se debern establecer procedimientos para asegurar que los respaldos satisfagan los requerimientos mencionados anteriormente.
D
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
((
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
11.29 Integridad de Transacciones Electrnicas OBJETIVO DE CONTROL Tomando en consideracin que las fronteras tradicionales de tiempo y de geografa son menos precisas y confiables, la Gerencia deber definir e implementar apropiados procedimientos y prcticas para transacciones electrnicas que sean sensitivas y crticas para la Organizacin, asegurando la integridad y autenticidad de:
l atomicidad (unidad de trabajo indivisible, todas sus acciones tienen xito o todas ellas fallan) l consistencia (si la transaccin no logra alcanzar un estado final estable, deber regresar al sistema a su estado inicial); l aislamiento (el comportamiento de una transaccin no es afectado por otras transacciones que se ejecutan concurrentemente); y l durabilidad (los efectos de una transaccin son permanentes despus que concluye su proceso59, los cambios que origina deben sobrevivir fallas de sistema)
11.30 Integridad Continua de Datos Almacenados OBJETIVO DE CONTROL La Gerencia deber asegurar que la integridad y lo adecuado de los datos mantenidos en archivos y otros medios (ej. tarjetas electrnicas) se verifique peridicamente. Atencin especfica deber darse a dispositivos60 de valor, archivos de referencia61 y archivos que contengan informacin privada.
59
60 61
Concluye su proceso (commits): se dice de una transaccin que actualiza los datos que maneja al concluir su proceso. Dispositivos (tokens) Archivos de referencia (reference files)
P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21

%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

DS12
Entrega & Soporte

Monitoreo
Administracin de instalaciones que satisface los requerimientos de negocio de: proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra peligros naturales o fallas humanas se hace posible a travs de: la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado y toma en consideracin:

acceso a instalaciones identificacin del centro de cmputo seguridad fsica salud y seguridad del personal proteccin contra amenazas ambientales
P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
12.5 Proteccin contra Factores Ambientales OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que se establezcan y mantengan las suficientes medidas para la proteccin contra los factores ambientales (por ejemplo, fuego, polvo, electricidad, calor o humedad excesivos). Debern instalarse equipo y dispositivos especializados para monitorear y controlar el ambiente. 12.6 Suministro Ininterrumpido de Energa OBJETIVO DE CONTROL La Gerencia deber evaluar regularmente la necesidad de generadores y bateras de suministro ininterrumpido de energa para las aplicaciones crticas de tecnologa de informacin, con el fin de asegurarse contra fallas y fluctuaciones de energa. Cuando sea justificable, deber instalarse el equipo ms apropiado.
12 ADMINISTRACIN DE INSTALACIONES
12.1 Seguridad Fsica OBJETIVO DE CONTROL Debern establecerse apropiadas medidas de seguridad fsica y control de acceso para las instalaciones de tecnologa de informacin de acuerdo con la poltica de seguridad general, incluyendo el uso de dispositivos de informacin fuera de las instalaciones. El acceso deber restringirse a las personas que hayan sido autorizadas a contar con dicho acceso. 12.2 Discrecin62 de las Instalaciones de Tecnologa de Informacin OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que se lleve un bajo perfil discrecin y que la identificacin fsica de las instalaciones relacionadas con sus operaciones de tecnologa de informacin sea limitada. 12.3 Escolta de Visitantes OBJETIVO DE CONTROL Debern establecerse procedimientos apropiados que aseguren que las personas que no formen parte del grupo de operaciones de la funcin de servicios de informacin sean escoltadas por algn miembro de ese grupo cuando deban entrar a las instalaciones de cmputo. Deber mantenerse y revisarse regularmente una bitcora de visitantes. 12.4 Salud y Seguridad del Personal OBJETIVO DE CONTROL Debern establecerse y mantenerse prcticas de salud y seguridad en lnea con las leyes y regulaciones internacionales, nacionales, regionales, estatales y locales.
62
Discrecin (low profile)

P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
!
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

DS13
Entrega & Soporte

Monitoreo
administracin de operaciones que satisface los requerimientos de negocio de: asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada se hace posible a travs de: una calendarizacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades y toma en consideracin:

1)250$7,21T<67(0668',7$1'821752/A281'$7,21
"

P
manual de procedimiento de operaciones documentacin de procedimientos de arranque administracin de servicios de red calendarizacin de personal y cargas de trabajo proceso de cambio de turno registro de eventos de sistemas
P P
P P
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
13.5 Continuidad de Procesamiento OBJETIVO DE CONTROL Los procedimientos debern requerir continuidad de procesamiento durante los cambios de turno de operadores mediante la existencia de un paso o entrega formal de actividades, actualizaciones y reportes de estatus sobre las responsabilidades actuales. 13.6 Bitcoras de Operacin OBJETIVO DE CONTROL Los controles de la Gerencia debern garantizar que se est almacenando suficiente informacin cronolgica en bitcoras de operaciones para permitir la reconstruccin, la revisin y el examen oportunos de las secuencias de tiempo de procesamiento y otras actividades que lo rodean y soportan. 13.7 Operaciones Remotas OBJETIVO DE CONTROL Para las operaciones remotas, debern existir procedimientos especficos que aseguren que la conexin y desconexin de los enlaces con la(s) instalacin(es) remota(s) sean identificadas e implementadas.
13 ADMINISTRACIN DE OPERACIONES
13.1 Manual de procedimientos de Operacin e Instrucciones OBJETIVO DE CONTROL La funcin de servicios de informacin deber establecer y documentar procedimientos estndar para las operaciones de tecnologa de informacin (incluyendo operaciones de red). Todas las soluciones y plataformas de tecnologa de informacin establecidas debern ser operadas utilizando estos procedimientos, los cuales debern ser revisados peridicamente para asegurar su efectividad y cumplimiento. 13.2 Documentacin del Proceso de Inicio y de Otras Operaciones OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que el personal de operaciones est adecuadamente familiarizado y se sienta seguro con las tareas del proceso de inicio y con otras operaciones al tenerlas documentadas y al ser stas probadas y ajustadas peridicamente segn se requiera. 13.3 Calendarizacin de Trabajos63 OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que la calendarizacin continua de trabajos, procesos y tareas sea organizada en la secuencia ms eficiente, maximizando el proceso y la utilizacin, con el fin de alcanzar los objetivos establecidos en los convenios de nivel de servicio. Las caledarizaciones iniciales as como los cambios a estas caledarizaciones debern ser autorizados apropiadamente. 13.4 Salidas64 de la Calendarizacin de Trabajos Estndar OBJETIVO DE CONTROL Debern establecerse procedimientos para identificar, investigar y aprobar las salidas de calendarizacin de trabajos estndar.
63 64
Trabajos (jobs) Salidas (departures)

P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
#
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

MONITOREO
M1
Entrega & Soporte
Control sobre el proceso de TI de: Monitoreo monitoreo del proceso que satisface los requerimientos de negocio de: asegurar el logro de los objetivos establecidos para los procesos de TI se hace posible a travs de: la definicin por parte de la gerencia de reportes e indicadores de desempeo gerenciales, la implementacin de sistemas de soporte as como la atencin regular a los reportes emitidos y toma en consideracin:

indicadores clave de desempeo factores crticos de xito evaluacin de la satisfaccin de clientes reportes gerenciales
P P P P P
D
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
$
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
MONITOREO DEL PROCESO

OBJETIVO DE CONTROL Para los procesos de tecnologa de informacin y de control interno, la Gerencia deber asegurar que se definan indicadores de desempeo relevantes (ej. comparaciones externas) tanto para actividades internas como las proporcionadas por terceros y que se recolecten datos para la creacin de reportes relevantes de desempeo y reportes de excepcin relacionados con estos indicadores.
1.1 Recoleccin de Datos de Monitoreo
1.2 Evaluacin de Desempeo OBJETIVO DE CONTROL Los servicios a ser proporcionados por la funcin de servicios de informacin debern ser medidos (indicadores clave de desempeo y/o factores crticos de xito) y comparados con los niveles objetivo. Las evaluaciones a la funcin de servicios de informacin debern ser desarrolladas en forma continua. 1.3 Evaluacin de la satisfaccin de Clientes OBJETIVO DE CONTROL A intervalos regulares, la Gerencia deber efectuar mediciones de la satisfaccin de los clientes con respecto a los servicios proporcionados por la funcin de servicios de informacin, con la intencin de identificar deficiencias en los niveles de servicio y establecer objetivos de mejoramiento.
1.4 Reportes Gerenciales OBJETIVO DE CONTROL Debern proporcionarse reportes gerenciales para ser revisados por la alta gerencia en cuanto al avance de la organizacin hacia las metas identificadas. Con base en la revisin, la Gerencia deber iniciar y controlar las acciones pertinentes.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

MONITOREO
M2
Entrega & Soporte
Control sobre el proceso de TI de: Monitoreo Evaluar lo adecuado del control interno que satisface los requerimientos de negocio de: asegurar el logro de los objetivos de control interno establecidos para los procesos de TI se hace posible a travs de: el compromiso de la Gerencia de monitorear los controles internos, evaluar su efectividad y emitir reportes sobre ellos en forma regular y toma en consideracin:

monitoreo permanente de control interno comparacin con mejores prcticas reportes de errores y excepciones autoevaluaciones reportes gerenciales
P P P P P
65
Comparacin con mejores prcticas (benchmarks)

&
P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
EVALUAR LO ADECUADO DEL CONTROL INTERNO

OBJETIVO DE CONTROL La Gerencia deber monitorear la efectividad de los controles internos en el curso normal de las operaciones a travs de actividades administrativas y de supervisin, comparaciones, reconciliaciones y otras acciones rutinarias. Las desviaciones debern evocar anlisis y acciones correctivas.
2.1 Monitoreo de Control Interno
2.2 Operacin Oportuna de Controles Internos OBJETIVO DE CONTROL La confiabilidad en los controles internos requiere que los controles operen rpidamente para resaltar errores e inconsistencias y que stos sean corregidos antes de que impacten a la produccin y a la prestacin de servicios. La informacin relacionada con los errores, inconsistencias y excepciones deber ser conservada y reportada sistemticamente a la Gerencia. 2.3 Reporte sobre el Nivel de Control Interno OBJETIVO DE CONTROL La Gerencia deber reportar informacin sobre niveles de control interno y excepciones a las partes afectadas para asegurar la efectividad continua de su sistema de control interno. Debern llevarse a cabo acciones para identificar qu informacin es requerida a un nivel particular de toma de decisiones. 2.4 Seguridad de Operacin y Aseguramiento de Control Interno OBJETIVO DE CONTROL La garanta de seguridad operacional y el aseguramiento de control interno debern ser establecidos a travs de una autoauditora o de una auditora independiente para examinar si la seguridad y los controles internos se encuentran operando de acuerdo con los requerimientos de seguridad y control interno establecidos o implcitos. Las actividades de monitoreo continuo por parte de la Gerencia debern revisar la existencia de puntos vulnerables y problemas de seguridad.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
'
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

MONITOREO
M3
S
Entrega & Soporte
Control sobre el proceso de TI de: obtencin de aseguramiento independiente
Monitoreo que satisface los requerimientos de negocio de: incrementar los niveles de confianza entre la organizacin, clientes y proveedores externos se hace posible a travs de: revisiones de aseguramiento independientes llevadas al cabo en intervalos regulares y toma en consideracin:

1)250$7,21T<67(0668',7$1'821752/A281'$7,21
(

P
certificaciones / acreditaciones independientes evaluaciones independientes de efectividad aseguramiento independiente sobre cumplimiento de requerimientos legales y regulatorios aseguramiento independiente de cumplimiento de compromisos contractuales revisiones a proveedores externos de servicios aseguramiento de desempeo por personal calificado involucramiento proactivo de auditora
P P P P P
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
3.5 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales OBJETIVO DE CONTROL La Gerencia deber obtener un aseguramiento independiente sobre el cumplimiento de la funcin de servicios de tecnologa de informacin con respecto a requerimientos regulatorios y compromisos contractuales en forma cclica rutinaria. 3.6 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales de proveedores externos de servicios OBJETIVO DE CONTROL La Gerencia deber obtener un aseguramiento independiente sobre el cumplimiento de proveedores externos de servicios de tecnologa de informacin con respecto a requerimientos regulatorios y compromisos contractuales en forma cclica rutinaria. 3.7 Competencia de la Funcin de Aseguramiento Independiente OBJETIVO DE CONTROL La Gerencia deber asegurarse de que la funcin de aseguramiento independiente posee competencia tcnica, habilidades y conocimiento necesario para desempear dicha funcin en una forma efectiva, eficiente y econmica. 3.8 Participacin Proactiva de Auditora OBJETIVO DE CONTROL La Gerencia de Tecnologa de Informacin deber buscar la participacin de auditora en una forma proactiva, antes de finalizar soluciones de servicio de tecnologa de informacin.
OBTENCIN DE ASEGURAMIENTO INDEPENDIENTE
3.1 Certificacin / Acreditacin Independiente de Control y Seguridad de los servicios de TI OBJETIVO DE CONTROL La Gerencia deber obtener una certificacin o acreditacin independiente de seguridad y control interno antes de implementar nuevos servicios de tecnologa de informacin que resulten crticos y obtener re-certificaciones o reacreditaciones de estas actividades en forma una cclica rutinaria despus de haber hecho la implementacin. 3.2 Certificacin / Acreditacin Independiente de Control y Seguridad de proveedores externos de servicios OBJETIVO DE CONTROL La Gerencia deber obtener una certificacin o acreditacin independiente de seguridad y control interno antes de utilizar proveedores de servicios de tecnologa de informacin y obtener recertificaciones o re-acreditaciones de estas actividades en forma cclica rutinaria. 3.3 Evaluacin Independiente de la Efectividad de los Servicios de TI OBJETIVO DE CONTROL La Gerencia deber obtener una evaluacin independiente sobre la efectividad de los servicios de tecnologa de informacin en forma cclica rutinaria. 3.4 Evaluacin Independiente de la Efectividad de proveedores externos de servicios OBJETIVO DE CONTROL La Gerencia deber obtener una evaluacin independiente sobre la efectividad de los proveedores de servicios de tecnologa de informacin en forma cclica rutinaria.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6

MONITOREO
M4
Entrega & Soporte
Control sobre el proceso de TI de: Monitoreo proveer auditora independiente que satisface los requerimientos de negocio de: incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas se hace posible a travs de: auditoras independientes desarrolladas en intervalos regulares y toma en consideracin:

independencia de auditora involucramiento proactivo de auditora ejecucin de auditoras por parte de personal calificado aclaracin de resultados y recomendaciones actividades de seguimiento
P P P P P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
rios para desempear dichas revisiones en forma efectiva, eficiente y econmica. La Gerencia deber asegurar que el personal asignado68 a tareas de auditora de sistemas de informacin, mantiene su nivel de competencia tcnica mediante un programa adecuado de educacin profesional continua. 4.5 Planeacin OBJETIVO DE CONTROL La alta gerencia deber establecer un plan de auditora para garantizar que se obtenga un aseguramiento regular e independiente con respecto a la efectividad, eficiencia y economa de la seguridad y de los procedimientos de control interno, as como de la habilidad de la Gerencia para controlar las actividades de la funcin de servicios de informacin. Dentro de este plan la Gerencia deber determinar las prioridades relacionadas con la obtencin de aseguramiento independiente. Los auditores debern planear el trabajo de auditora para alcanzar los objetivos de auditora y cumplir con los estndares profesionales correspondientes. 4.6 Ejecucin del Trabajo de Auditora OBJETIVO DE CONTROL Las auditoras debern ser supervisadas apropiadamente para proporcionar certeza de que los objetivos de auditora estn siendo alcanzados y que los estndares profesionales de auditora que sean aplicables estn siendo observados. Los auditores debern asegurarse de obtener evidencia suficiente, confiable, relevante y til para alcanzar los objetivos de auditora de forma efectiva. Los hallazgos y conclusiones de auditora deben estar soportadas por un anlisis apropiado y una correcta interpretacin de esta evidencia.
PROVEER AUDITORA INDEPENDIENTE

66
4.1 Estatutos de Auditora OBJETIVO DE CONTROL La alta gerencia de la organizacin deber establecer los estatutos para la funcin de auditora. Este documento deber establecer la responsabilidad, autoridad y obligaciones de la funcin de auditora. Asimismo este documento deber ser revisado peridicamente para asegurar que se mantengan la independencia, autoridad y responsabilidad de la funcin de auditora. 4.2 Independencia OBJETIVO DE CONTROL El auditor deber ser independiente del auditado tanto en actitud como en apariencia (real y percibida). Los auditores no debern estar relacionados con la seccin o departamento que est siendo auditado, y en la medida de lo posible, deber tambin ser independiente de la propia empresa. De esta manera, la funcin de auditora deber ser suficientemente independiente del rea auditada para concluir una auditora en forma objetiva. 4.3 Etica y Estndares Profesionales OBJETIVO DE CONTROL La funcin de auditora deber asegurar el cumplimiento de los cdigos aplicables de tica profesional (ej. Cdigo de Etica de la Information Systems Audit and Control Association) y estndares de auditora (ej. Estndares de la Information Systems Audit and Control Association) en todo lo que lleve a cabo. El debido cuidado profesional deber observarse en todos los aspectos del trabajo de auditora, incluyendo el respeto de estndares aplicables sobre auditora y tecnologa de informacin. 4.4 Competencia OBJETIVO DE CONTROL La Gerencia deber asegurar que los auditores responsables de las revisiones de las actividades de la funcin de servicios de informacin de la organizacin, sean tcnicamente competentes y cuentan en forma general con las habilidades y conocimientos (ej. dominios de CISA68) necesaD
66 67
68
Estatutos (charter) CISA: es un acrnimo para el titulo de Certified Information Systems Auditor (auditor certificado de sistemas de informacin). Personal asignado (staff)
P
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
4.7 Reporte OBJETIVO DE CONTROL La funcin de auditora de la organizacin deber proporcionar un reporte en un formato adecuado, para todo el personal interesado una vez concluida su revisin. El reporte de auditora deber mostrar los objetivos de la auditora, el perodo de cobertura y la naturaleza y extensin de trabajo de auditora realizado. El reporte deber identificar a la Organizacin, los destinatarios del informe y cualquier restriccin en su circulacin. El reporte de auditora deber tambin mostrar los hallazgos, conclusiones y recomendaciones relacionadas con el trabajo de auditora llevado a cabo, as como cualquier salvedad o comentario que el auditor tenga con respecto a la auditora. 4.8 Actividades de Seguimiento OBJETIVO DE CONTROL La resolucin acerca de los comentarios sobre la auditora depende de la Gerencia. Los auditores debern solicitar y evaluar informacin pertinente sobre hallazgos, conclusiones y recomendaciones previos para determinar si las acciones apropiadas han sido implementadas de manera oportuna.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
"
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
APNDICE I DESCRIPCIN DEL PROYECTO COBIT

ORGANIZACION & RESPONSABILIDADES El proyecto ha sido supervisado por un Comit de Direccin formado por representantes internacionales de la academia, industria, gobierno y la profesin de auditora. La direccin global del proyecto fue proporcionada por el Consejo Directivo de ISACA. El Comit de Direccin de Proyectos intervino en el desarrollo del Marco Referencial ("Framework") COBIT y en la aplicacin de los resultados de investigacin. Se establecieron grupos de trabajo internacionales con el propsito de asegurar la calidad y contar con una revisin experta de la investigacin provisional y los elementos entregables del desarrollo del proyecto.
Director del Proyecto Erik Guldentops *
Director del Proyecto Eddy Schuermans *
COMITE DE DIRECCION John Beveridge Bart De Shutter Gary Hardy John Lainhart Thomas Lamm Akira Matsuo Paul Williams
* = Equipo del Proyecto
Europa
EUA
Australia
Investigacin Acadmica Aseguramiento de Calidad de Captulo Local Grupo Experto Regional
Investigacin Acadmica Aseguramiento de Calidad de Captulo Local Grupo Experto Regional
Investigacin de Benchmark Aseguramiento de Calidad de Captulo Local
Equipo Internacional de Expertos
INVESTIGACION La investigacin incluy la recoleccin y el anlisis de fuentes identificadas y fue llevada a cabo por equipos de investigacin en Europa (Free University of Amsterdam), Estados Unidos (California Polytechnic University) y Australia (University of New South Wales). Los equipos de investigacin fueron provistos de personal con representantes acadmicos y profesionales. Despus de la recoleccin y el anlisis, los investigadores enfrentaron el reto de examinar cada campo, procesar con detenimiento y sugerir nuevos objetivos de control aplica1)250$7,21T<67(0668',7$1'821752/A281'$7,21
bles a cada proceso de tecnologa de informacin particular. Se les atribuy a los investigadores la responsabilidad de la compilacin, revisin, evaluacin e incorporacin apropiadas de los estndares tcnicos internacionales, cdigos de conducta, estndares de calidad, estndares profesionales en las auditoras, prcticas y requerimientos industriales y requerimientos de industrias especficos, en cuanto a su relacin con el marco de referencia y con objetivos de control individuales. Sus esfuerzos produjeron ms de 300 objetivos de control nuevos y actualizados para poner a la consideracin de los revisores de calidad y de los grupos expertos.
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
Revisin de Expertos Europa
Corriente Europea de Investigacin Bsica
AC
Prueba de Consolidacin de Investigacin
Corriente de EUA de Investigacin Bsica
AC
Consolidacin de Hallazgos de Expertos
Objetivos de Control Mejorados
Corriente de Investigacin de Benchmark de Australia
AC
Revisin de Expertos EUA BD COBIT BD COBIT
Producto Actual
La consolidacin de los resultados fue llevada a cabo primordialmente por el Equipo de Proyectos, compuesto por el Director de Proyectos, el Gerente de Proyectos y el Director de Investigaciones de ISACF. ENFOQUE Y MATERIAL FUENTE Siguiendo el desarrollo del marco referencial llevado a cabo por el Comit de Direccin, probado y actualizado por los Grupos Expertos, cada uno de los grupos de investigacin llev a cabo una comparacin individual de los Objetivos de Control con cada uno de los docu-
mentos y estndares identificados. La intencin no era llevar a cabo un anlisis global de todo el material ni un redesarrollo de los Objetivos de Control desde el principio. Se trataba ms bien de un proceso de comparacin y actualizacin. El resultado de esta investigacin fue una lista de coincidencias primarias (en los Objetivos de Control, pero no en el material de comparacin) y de coincidencias secundarias (en el material de comparacin, pero no en los Objetivos de Control).
ITIL
ISO
DTI
ISACF COBIT
Reporte de coincidencias
Inconsistencias primarias Inconsistencias secundarias
Modificaciones recomendadas
OECD ITSEC
D
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
APNDICE II - MATERIAL DE REFERENCIA PRIMARIA

Nota del traductor: Debido a que el contenido de este apndice se compone principalmente de nombres propios de instituciones y publicaciones, dichos nombres han sido respetados mantenindolos en ingls.
COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - Integrated Framework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994. OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of Information, Paris, 1992. DTI Code of Practice for Information Security Management: Department of Trade and Industry and British Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995. ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance Standards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of software, Switzerland, 1991. NIST Security Handbook: National Institute of Standards and Technology, U.S. Department of Commerce. An Introduction to Computer Security: The NIST Handbook, Washington, DC, 1995. ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines developed by the Central Computer and Telecommunications Agency (CCTA), London, 1989. IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials Group on Information Security, advising the European Commission) Brussels, Belgium, 1994. NSW Premiers Office Statements of Best Practices and Planning Information Management and Techniques: Statements of Best Practice #1 through #6. premiers Department New South Wales, Government of New South Wales, Australia, 1990 through 1994. Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data Processing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998. EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph Series #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994. PCIE (presidents Council on Integrity and Efficiency) Model Framework: A Model Framework for Management Over Automated Information Systems. Prepared jointly by the presidents Council on Management Improvement and the presidents Council on Integrity and Efficiency, Washington, DC, 1987. Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by the Chuo Audit Corporation, Tokyo, August 1994. Control Objectives Controls in an Information Systems Environment: Control Guidelines and Audit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Fourth Edition, Rolling Meadows, IL, 1992. CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified Information Systems Auditor Job Analysis Study", Rolling Meadows, IL, 1994.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
CICA Computer Control Guidelines: Canadian Institute of Chartered Accountants, Toronto, 1986. IFAC International Guidelines for Managing Security of Information and Communications: International Federation of Accountants, New York, NY, 1997. IFAC International Guidelines on Information Technology Management - Managing Information Technology Planning for Business Impact (Draft): International Federation of Accountants, New York, NY, 1998. Standards for Internal Control in the U.S. Federal Government: U.S. General Accounting Office, Washington, DC, 1983. Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NBS Special Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington, DC, 1988. Government Auditing Standards: U. S. General Accounting Office, Washington, DC, 1994. Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants, Denmark, 1994. SPICE: Software Process Improvement and Capability Determination. A standard on software process improvement, British Standards Institution, London, 1995. DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute International. Guideline for Business Continuity Planners, St. Louis, MO, 1997. IIA, SAC Systems Audibility and Control: Institute of Internal Auditors Research Foundation, Systems Audibility and Control Report, Alamonte Springs, FL, 1991, 1994. IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research Foundation, Alamonte Springs, FL, 1997. E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996. C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, NY, 1997. ISO IEC JTC1/SC27 Information Technology - Security: International Organisation for Standardisation (ISO) Technical Committee on Information Technology Security, Switzerland, 1998. ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical Committee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992. ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services: International Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services, Draft, Switzerland, 1997.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
&
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
CCEB 96/011, Common Criteria for Information Technology Security Evaluation: Common Criteria Implementation Board, Alignment and comparison of existing European, US and Canadian IT Security Criteria, Draft, Washington, DC, 1997. Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987. TickIT: Guide to Software Quality Management System Construction and Certification. British Department of Trade and Industry (DTI), London, 1994 ESF Baseline Control - Communications: European Security Forum, London. Communications Network Security, September 1991; Baseline Controls for Local Area Networks, September, 1994. ESF Baseline Control - Microcomputers: European Security Forum, London. Baseline Controls Microcomputers Attached to Network, June 1990. Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation), Rolling Meadows, IL, 1992.
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
'
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
APNDICE III - GLOSARIO DE TERMINOS ORIGINALES

AICPA Instituto Americano de Contadores Pblicos Certificado. (American Institute of Certified Public Accountants) Criterios comunes para seguridad en tecnologa de informacin. (Common Criteria for Information Technology Security) Instituto Canadiense de Contadores. (Canadian Institute of Chartered Accountants) Auditor Certificado de Sistemas de Informacin. (Certified Information Systems Auditor) Polticas, procedimientos, prcticas y estructuras organizacionales, diseados para proporcionar una seguridad razonable de que los objetivos del negocio sern alcanzados y que eventos no deseados sern prevenidos o detectados y corregidos. Comit de Organizaciones Patrocinadoras de la Comisin de Intercambio. "Tradeway" (Committee of Sponsoring Organisations of the Tradeway Commission). Instituto Internacional de Recuperacin de Desastres. (Disaster Recovery Institute International) Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of the United Kingdom) Intercambio Electrnico de Datos para la Administracin, el Comercio y la Industria (Electronic Data Interchange for Administration, Commerce and Trade) Fundacin de Auditores de Procesamiento Electrnico de Datos (Electronic Data Processing Auditors Foundation), ahora ISACF. Foro Europeo de Seguridad (European Security Forum), cooperacin de 70+ multinacionales europeas principalmente con el propsito de investigar problemas de seguridad y control comunes de TI. Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office) Instituto Internacional de Integridad de Informacin. (International Information Integrity Institute), asociacin similar a ESF, con metas similares, pero con base principalmente en los Estados Unidos y dirigida por el Instituto de Investigaciones de Stanford (Stanford Research Institute) Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group), representantes de la industria que asesoran al Comit Infosec. Este Comit est compuesto por funcionarios de los gobiernos de la Comunidad Europea y asesora a la Comisin Europea sobre cuestiones de seguridad de TI. Federacin Internacional de Contadores. (International Federation of Accountants) Instituto de Auditores Internos. (Institute of Internal Auditors)
CCEB
CICA CISA Control
COSO
DRI DTI
EDIFACT
EDPAF
ESF
GAO I4
IBAG
IFAC IIA
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
%-(79,26'(821752/
%-(7,926'(821752/3$5$/$D1)250$&,1<U(&12/2*$6$),1(6
Comit Consultivo para la Comisin Europea en Materia de Seguridad TI. (Advisory Committee for IT Security Matters to the European Commission) Asociacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit and Control Foundation) Fundacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit and Control Foundation) Organizacin de Estndares Internacionales. (International Standards Organisation) (con oficinas en Gnova, Suiza) Estndares de manejo y aseguramiento de la calidad definidos por ISO. Biblioteca de Infraestructura de Tecnologa de Informacin. (Information Technology Infrastructure Library) Criterios de Evaluacin de Seguridad de Tecnologa de Informacin (Information Technology Security Evaluation Criteria). Combinacin de los criterios de Francia, Alemania, Holanda y Reino Unido, soportadas consecuentemente por la Comisin Europea (ver tambin TCSEC, el equivalente en los Estados Unidos). Departamento Nacional de Estndares de los Estados Unidos (National Bureau of Standards of the U.S.) (antes NBS) Instituto Nacional de Estndares y Tecnologa. (National Institute of Standards and Technology), con base en Washington D.C. Nueva Gales del Sur, Australia. (New South Wales, Australia) Declaracin del resultado deseado o propsito a ser alcanzado al implementar procedimientos de control en una actividad particular de TI. Organizacin para la Cooperacin y el Desarrollo Econmico. (Organisation for Economic Cooperation and Development) Fundacin de Software Pblico (Open Software Foundation) Consejo Presidencial de Integridad y Eficiencia. (Presidents Council on Integrity and Efficiency) Criterios de Evaluacin de Sistemas Computarizados Confiables. (Trusted Computer System Evaluation Criteria), conocido tambin como "The Orange Book". Criterios de evaluacin de seguridad para sistemas computarizados definidos originalmente por el Departamento de Defensa de los Estados Unidos. Ver tambin ITSEC, el equivalente europeo. Gua para la Construccin y Certificacin de Sistemas de Administracin de Calidad. (Guide to Software Quality Management System Construction and Certification)
INFOSEC
ISACA
ISACF
ISO
ISO9000 ITIL
ITSEC
NBS
NIST
NSW Objetivo de Control de TI OECD
OSF PCIE
TCSEC
TickIT
1)250$7,21T<67(0668',7$1'821752/A281'$7,21
!
%-(79,26'(821752/

COBIT

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

COBIT

Cargado por

Copyright:

Formatos disponibles

P

2%-(7,926 '( &21752/

Traduccin al espaol por Gustavo A. Sols Montes, CISA

Acuerdo de Licencia (disclosure)

5,1&,3$/(6Q$75,2&,1$'25(6 '(/$825325$&,1$I,9(/ H81'5$/

PRINCIPALES CAPTULOS DE ISACA PATROCINADORES

CAPTULOS DE ISACA ASOCIADOS PATROCINADORES

EL EQUIPO DEL PROYECTO

ANALISTAS EXPERTOS USA

COMIT QUE DIRIGE EL PROYECTO

ANALISTAS EXPERTOS EUROPA

efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad

datos sistemas de aplicacin tecnologa instalaciones gente

69RVDTD8DPI@ @IUS@B6` TPQPSU@ DHQG@H@IU68DPI

DESARROLLO DEL PRODUCTO COBIT

DEFINICIN DEL PRODUCTO COBIT

Familia de Productos COBIT

H68SPS@A@S@I8D6G iwrvqrpyqr hyvry

@qvqry8h A6RT QrrhpvyqrQrQv BvhqrDyrrhpvy

Ahpr8tvp qryev 8yvvrqry QvpvhyrDqvphqr

l la creciente dependencia en informacin y en los

l la creciente vulnerabilidad y un amplio espectro de

l la escala y el costo de las inversiones actuales y

l el potencial que tienen las tecnologas para cambiar

Guerra de informacin (information warfare)

Objetivo de Objetivo de control en TI control en TI se define se define como como

LOS PRINCIPIOS DEL MARCO REFERENCIAL

Ver y Sentir (look and feel)

Los recursos de TI identificados en COBIT pueden explicarse/definirse como se muestra a continuacin:

efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad

Sistemas de Aplicacin Tecnologa

s d d rio ida i da ur cia l g du Ca Se Fi

efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad

datos sistemas de aplicacin tecnologa instalaciones gente

69RVDTD8DPI@ @IUS@B6` TPQPSU@ DHQG@H@IU68DPI

Entrega y Entrega y soporte soporte

MARCO REFERENCIAL COBIT

rio ad cia lid du Ca Fi

Adquisicin & Implementacin

Entrega & Soporte

Planeacin & Organizacin

Adquisicin & Implementacin

Entrega & Soporte

ge ap nte li c a te cion cn e in o lo s st al g a ac io da nes to s

ef ec t iv ef ida co i c i e d nf i d ncia en i n ci a te li di grid dad sp ad o cu nibi li m p da co l i m d ie nf i a nto bi lid ad

Mejor prctia (best practice)

Ghvtvrrhiyhpvhhvqvphpvy prqvvqrUDqrpiyrpvrv qrvshpvyvrrvhpqryiwrv

Entrega de servicios y Soporte

4.7 4.8 4.9 4.10 4.11 4.12 4.13 4.14 4.15

7.5 7.6 7.7

11.7 11.8 11.9

11.10 11.11 11.12 11.13 11.14 11.15 11.16

4.2 4.3 4.4

ENTREGA DE SERVICIOS Y SOPORTE

Relaciones de Seguridad Monitoreo

OBJETIVOS DE CONTROL DE ALTO NIVEL

Planeacin & Organizacin

Adquisicin & Implementacin

Entrega & Soporte

Vigilancia tecnolgica (technology watch)

g ap ente lic a te cion cn e in olo s st al ga ac io da nes to s

DEFINICIN DE UN PLAN ESTRATGICO DE TECNOLOGA DE INFORMACIN

OBJETIVOS DE CONTROL DE ALTO NIVEL

Planeacin & Organizacin

Ghvtvrrhiyhpvhhvqvphpvy prqvvqrUDqrpiyrpvrv qrvshpvyvrrvhpqryiwrv