AUDITORIA EN INFORMATICA

METODOS DE CONTROL EN TI

Control Interno y Auditoría

El Proceso de Auditoría según ISO 12207 (i)

PROCESOS PRINCIPALES ADQUISICIÓN SUMINISTRO DESARROLLO CALIDAD EXPLOTACIÓN

PROCESOS DE SOPORTE DOCUMENTACIÓN GESTIÓN DE CONFIGURACIÓN ASEGURAMIENTO DE VERIFICACIÓN VALIDACIÓN REVISIÓN CONJUNTA AUDITORÍA RESOLUCION DE PROBLEMAS

MANTENIMIENTO

PROCESOS DE LA ORGANIZACIÓN GESTIÓN MEJORA INFRAESTRUCTURA FORMACIÓN

El Proceso de Auditoría según ISO (ii) • Según la norma ISO 12207. • Intervienen dos participantes: la parte auditora y la parte auditada. el Proceso de Auditoría del Software (PAS) es uno de los procesos de soporte. • Se define como el proceso para determinar el cumplimiento con los requerimientos. . – Retirada. • Debe ser realizado por personas autorizadas con el propósito de mantener una valoración independiente de los productos y procesos del software. • La norma ISO 14764 determina que el PAS da soporte en las siguientes actividades del PMS (Proceso de Mantenimiento del Software): – Aceptación/Revisión del Mantenimiento. – Migración. los planes o los contratos.

– El personal auditor no tendrá responsabilidad directa sobre los productos software y actividades auditados.El Proceso de Auditoría según ISO (iii) • Consta de dos actividades: – Implementación del Proceso. infraestructura. software y herramientas). hardware. y – Auditoría. – Todos los recursos necesarios para realizar la auditoría deberán ser acordados por las partes (incluyendo personal de apoyo. • Durante la Implementación del Proceso se realizan las siguientes tareas: – Se efectúan auditorías de los hitos predeterminados en el plan del proyecto. . locales.

. – Después de completar una auditoría. y criterios de entrada y salida para la auditoría. alcance y procedimientos de la auditoría. – Los problemas descubiertos durante las auditorías se registrarán y se pasarán al Proceso de Resolución de Problemas.El Proceso de Auditoría según ISO (iv) … – Para cada auditoría las partes deberán acordar siguientes puntos: agenda. – Las partes deberán acordar el resultado de la auditoría y cualquier responsabilidad y criterio de cierre. productos software ( y resultados de alguna actividad ) que serán revisados. los resultados se documentarán y se proporcionarán a la parte auditada.

– La revisión de aceptación y los requerimientos de prueba prescritos por la documentación son adecuados para la aceptación de los productos software. etc. .El Proceso de Auditoría según ISO (v) • La actividad de auditoría propiamente dicha consta de una única tarea tendiente a garantizar que: – Los elementos software (código.) reflejan la documentación de diseño. – Los datos de prueba cumplen con la especificación.

– La documentación de usuario cumple los estándares especificados. – Los costes y calendarios se ajustan a los planes establecidos. planes y contratos aplicables. – Las actividades han sido conducidas de acuerdo con los requerimientos.El Proceso de Auditoría según ISO (vi) – Los productos software fueron suficientemente probados y sus especificaciones cumplidas. . – Los informes de pruebas son correctos y las discrepancias entre resultados actuales y esperados han sido resueltas.

COBIT : Modelo de Gestión de TI .

DEFINICIÓN Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de la Información y Tecnologías relacionadas) .

DEFINICIÓN COBIT es un modelo de gestión y control de TI. con el objetivo de consensuar: •los riesgos del negocio •las necesidades de control •y los aspectos tecnológicos. mediante la entrega de buenas prácticas aplicables a una estructura lógica de procesos y actividades .

como por auditores. a ser utilizados en el desarrollo habitual de las operaciones tanto por gerentes del negocio.MISIÓN “Investigar. desarrollar. publicitar y promover un actualizado. confiable e internacionalmente aceptado conjunto de Objetivos para el control de TI.” .

CARACTERÍSTICAS   Orientado al negocio Alineado con estándares y regulaciones “de facto” (COSO. ISACA. IFAC. AICPA) Íntegro (basado en una revisión crítica y analítica de las tareas y actividades en TI) Flexible   . IIA.

•Nivel de inversiones en tecnología .Razones que llevan a considerar implantar un modelo de gestión de TI •Dependencia creciente del negocio frente a la información •La Tecnología soporta casi la totalidad de los procesos del negocio •Los desarrollos constantes en TI y en las prácticas de negocio •La responsabilidad por el uso de la tecnología se extiende en la organización •Los cambios más importantes se realizan pero igual continúa la presión hacia el cambio.

NTPs) .Razones que llevan a considerar implantar un modelo de gestión de TI •Constante aumento de vulnerabilidades y un amplio espectro de amenazas. crear nuevas oportunidades de negocios y reducir los costos •Incremento de la necesidad de contar con un modelo adecuado de gobernabilidad corporativa (“corporate governance”) •Nuevas normativas (Sarbanes-Oxley act. •Potencial de TI para efectuar cambios profundos en las organizaciones. comunicación 2003/179.

• Los sistemas de información están orientados a los procesos y por tanto su auditoría se debe adaptar a estos conceptos. a efectos de auditoría. están subdivididos en actividades y tareas más simples. • Es la principal propuesta metodológica realizada a nivel internacional para abordar la Auditoría de Sistemas de Información. • Propuesta por la ISACF (Information Systems Audit and Control Foundation). • Supone un paso muy importante al considerar que. • La filosofía de CobiT asimila los principios de reingeniería de empresas (BPR) y divide las funciones que ha de realizar un sistema de información en procesos que.La Metodología CobiT • Control Objectives for Information and Related Technologies. . aunque ciertos procesos se realicen de forma manual y otros mediante el uso de la informática. a su vez. el sistema de información de una organización es UNICO.

La Metodología CobiT . y por todos aquéllos con responsabilidades en el campo de las TI en las empresas. – Auditores de Sistemas de Información: • Para dar soporte a las opiniones mostradas a los Gestores sobre los controles internos. – Usuarios: • Para obtener una garantía en cuanto a la seguridad y control de los servicios de TI proporcionados internamente o por terceras partes.Audiencia • CobiT esta diseñado para ser utilizado por tres audiencias distintas: – Gestores: • Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de Tecnologías de la Información (TI) frecuentemente impredecible. • También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso. .

se basa en que el control en TI se logra obteniendo la información necesaria para apoyar los requerimientos ó procesos del negocio.PRINCIPIOS DE COBIT Requerimientos del negocio Procesos de TI Recursos de TI El concepto o enfoque del marco COBIT. y considerando la información como resultado de la aplicación combinada de recursos de TI que necesitan ser administrados por procesos de TI .

la información necesita satisfacer ciertos criterios: – Requerimientos de Calidad: • Calidad • Coste • Entrega (servicio) – Requerimientos Fiduciarios: • Efectividad y eficiencia de las operaciones • Fiabilidad de la información • Cumplimiento de leyes y normas – Requerimientos de Seguridad: • Confidencialidad • Integridad • Disponibilidad .La Metodología CobiT .Fundamentos (ii) • Para alcanzar los requerimientos de negocio.

Requerimientos de la Información para el Negocio Para satisfacer los objetivos del negocio la información debe cumplir con criterios que COBIT extrae de los más reconocidos modelos: Requerimientos de calidad (ISO 9000-3) {  Calidad  Costo  Entrega .

naranja y otros)  Disponibilidad  Integridad  Confidencialidad .Requerimientos fiduciarios (Informe COSO) { {  Eficacia y eficiencia  Confiabilidad de la información  Cumplimiento de leyes y reglamentaciones Requerimientos de seguridad (libro rojo.

correcta. se identifican las siguientes siete categorías: Eficacia: se refiere a la relevancia y pertinencia de la información para el proceso de negocio y a su entrega en forma oportuna. consistente y útil.Requerimientos de la Información para el Negocio Partiendo de estos tres requerimientos ó criterios amplios. Eficiencia: . se vincula con la provisión de información mediante el uso óptimo (el más productivo y económico) de los recursos.

en el presente y en el futuro. contra su divulgación no autorizada. También se asocia con la protección de los recursos necesarios y las capacidades asociadas. Disponibilidad: se relaciona con el hecho de que la información se encuentre disponible cuando la necesite el proceso de negocio. . Integridad: se vincula con la exactitud y la totalidad de la información. así como también con su validez de acuerdo con los valores y las expectativas de negocio.Confidencialidad: se refiere a la protección de la información crítica.

. los criterios de negocio impuestos a nivel externo. para que la gerencia maneje la entidad y ejerza sus responsabilidades de presentación de informes financieros y de cumplimiento. Confiabilidad de la información: se vincula con la provisión de la información adecuada.Cumplimiento: se refiere al cumplimiento de las leyes. vale decir. reglamentaciones y disposiciones contractuales a las que está sujeto el proceso de negocio.

gráficos. etc. . internos y externos. sonidos. es decir. para alcanzar los objetivos del negocio son los siguientes : Datos: objetos en su sentido más amplio. identificados en COBIT.RECURSOS DE TI Los recursos de TI. estructurados y no estructurados. Sistemas de aplicación: se entiende por tales la suma de los procedimientos manuales y programados.

Tecnología: la tecnología abarca el hardware, los sistemas operativos, los sistemas de administración de bases de datos, las redes, los multimedios, etc. Instalaciones: recursos diversos utilizados para alojar y dar soporte a los sistemas de información Personas: habilidades, aptitudes, conocimientos y productividad del personal para planificar, organizar, adquirir, entregar, brindar soporte y monitorear los sistemas y servicios de información.

PROCESOS DE TI
“Los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos”.

PROCESOS DE TI
Dominios Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional Conjuntos o series de actividades unidas con delimitación o cortes de control. Acciones requeridas para lograr un resultado medible. Las actividades tienen un ciclo de vida mientras que las tareas son discretas.

Procesos

Actividades o tareas

PROCESOS DE TI Los procesos se agrupan en cuatro grandes dominios: Planeación y Organización (Planning and Organization) Adquisición e implementación (Acquisition and Implementation) Prestación de Servicios y Soporte (Delivery and Support) Seguimiento (monitoring) .

comunicar y administrar la realización de la visión estratégica desde distintas perspectivas. debe existir una correcta organización e infraestructura tecnológica. es preciso planificar.PROCESOS DE TI Las definiciones de los cuatro dominios identificados para la clasificación de alto nivel son: Planificación y Organización Este dominio abarca aspectos estratégicos y tácticos y se vincula con la identificación de la forma en que la tecnología de información puede contribuir más adecuadamente con el logro de los objetivos del negocio. Además. . Por último.

desarrollarse o adquirirse soluciones de Ti y luego implantarse e integrarse en el proceso de negocio. deben identificarse. . Además. este dominio abarca los cambios y el mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.PROCESOS DE TI Adquisición e Implementación Para realizar la estrategia de Ti.

Para prestar los servicios. . que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitación.PROCESOS DE TI Entrega y Soporte En este dominio nos ocupamos de la entrega o prestación efectiva de los servicios requeridos. deben establecerse los procesos de soporte necesarios. a menudo clasificados como controles de aplicaciones. Este dominio incluye el procesamiento real de los datos por los sistemas de aplicación.

De este modo. . a medida que trascurre el tiempo para determinar su calidad y el cumplimiento de los requerimientos de control. este dominio corresponde al seguimiento de la gerencia sobre los procesos de control de la organización y la garantía independiente provista por la auditoria interna y externa u obtenida de fuentes alternativas.PROCESOS DE TI Monitoreo Es preciso evaluar regularmente todos los procesos de TI.

PROCESOS DE TI Se definen 34 objetivos de control generales (OCGs). uno para cada uno de los procesos de las TI Planeación y Organización Adquisición e Implementación Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios .

PROCESOS DE TI Servicios y Soporte Definición del nivel de servicio Administración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditoría independiente Seguimiento .

DEFINICIÓN DE CONTROL EN COBIT Las políticas. procedimientos prácticas y estructuras organizacionales diseñadas para proveer una razonable confiabilidad de que los objetivos del negocio serán alcanzados y que los eventos indeseables serán prevenidos o detectados y corregidos .

procedimientos o técnicas de control (el Como) en determinada actividad de tecnología de la información COBIT explicita cada objetivo del control a nivel de actividades Los 34 OCGs propuestos se concretan en 302 objetivos de control detallados (OCDs). .DEFINICIÓN DE OBJETIVO DE CONTROL EN COBIT Es la declaración del resultado deseable o el propósito a lograr (el Que) mediante la implantación de recomendaciones.

Estructura (iii) Las tres dimensiones conceptuales de CobiT .La metodología CobiT .

COBIT: Estructura conceptual Se puede enfocar desde tres puntos de vista : Criterios de Información Dominios Procesos de TI Procesos Actividades Personas Sistemas Aplicativos Tecnología Instalaciones Datos .

Europa y Australia .Proyecto COBIT •Steering Comittee representantes de distintos ámbitos •Coordinación ISACAF •Grupos de investigación USA.

EL PRODUCTO COBIT 3ra EDICIÓN Resumen Ejecutivo Herramientas de implementación Marco ReferencialEsquema Objetivos de Alto Nivel Lineamientos Gerenciales Objetivos de Control Detallados Guías de Auditoría Modelos de Madurez Factores Críticos de Éxito Indicadores Clave de Rendimiento Indicadores Clave de Logros .

.

“Explicación del método” Control Objectives -.“Como implementar el método” .“Controles mínimos” Audit Guidelines -.ELEMENTOS    • •  Executive Summary – “Presentación del método” Framework -.“Como medir la performance” Implementation Guide -.“Como auditar” Management Guidelines -.

ESTRUCTURA EVENTOS Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulación Riesgos INFORMACIÓN Datos Applicaciones Tecnología Instalaciones Recursos Humanos Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad .

Cumplimiento. Instalaciones. Confiabilidad Planeación y Organización Recursos de TI Definición del nivel de servicio Admistración del servicio de terceros Administración de la capacidad y el desempeño Asegurar el servicio continuo Garantizar la seguridad del sistema Identificación y asignación de costos Capacitación de usuarios Soporte a los clientes de TI Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de Instalaciones Administración de Operaciones Datos. Confidencialidad. Integridad. Eficiencia.Objetivos del Negocio Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento inndependiente Proveer una auditoría independiente CobiT Definir un plan estratégico de TI Definir la arquitectura de información Determinar la dirección tecnológica Definir la organización y relaciones de TI Manejo de la inversión en TI Comunicación de la directrices Gerenciales Administración del Recurso Humano Asegurar el cumplir requerimientos externos Evaluación de Riesgos Administración de Proyectos Administración de Calidad Req. Disponibilidad. Aplicaciones Tecnología. Recurso Humano Adquisición e Implementación Servicios y Soporte Identificación de soluciones Adquisición y mantenimiento de SW aplicativo Adquisición y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalación y Acreditación de sistemas Administración de Cambios . Información Seguimiento Efectividad.

MARCO DE REFERENCIA Lo que usted Obtiene Procesos del Negocio Lo que Usted Necesita Criterios Información Recursos de TI Datos Aplicaciones Tecnología Instalaciones Recurso Humano Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Concuerdan .

MARCO DE REFERENCIA El control de Procesos de TI que satisfacen Requerimientos de negocios se habilitan por Objetivos De control Prácticas De Control Diagrama de cascada .

ASISTENTE DE NAVEGACIÓN Planificación y Organización Adquisición e Implementación Entrega y Soporte Monitoreo S P Vínculo entre Procesos. Recursos y Criterios El contol de los Procesos de TI que satisface los Criterios de información Requerimientos de Negocio es habilitado por las Declaraciones de Control considerando las Procesos de TI Recursos de TI Prácticas de Control Tres posiciones ventajosas .

difusión o modificaciones no autorizadas. firewalls. detección y protección de virus. autenticación. uso de perfiles e identificaciones. manejo de incidentes. P P S S S . etc. daño o pérdida Entrega y soporte Monitoreo Es posible por: controles de acceso lógico que aseguren que el acceso a sistemas. datos y programas se encuentra restringido a usuarios autorizados Considerando: autorización.OBJETIVOS DE CONTROL DE ALTO NIVEL: DS5 El control sobre el proceso de: administrar la seguridad de los sistemas Organización y planeación Adquisición e implementación Satisface los requerimientos del negocio: salvaguardar información contra uso.

Detección y Corrección de Software "Malicioso” •Identificación y administración de asignación de derechos •Reportes de Violación y de Actividades de Seguridad •Manejo de Incidentes •Arquitectura de Fire Walls y conexión a redes públicas •Protección de Valores Electrónicos . Autenticación y Acceso •Seguridad de Acceso a Datos en Línea •Administración de Cuentas de Usuario •Revisión Gerencial de Cuentas de Usuario •Confianza en Contrapartes •Autorización de transacciones •No negación •Sendero Seguro •Control de Usuarios sobre Cuentas de Usuario •Vigilancia de Seguridad •Clasificación de Datos •Protección de funciones de seguridad •Administración de Llaves Criptográficas •Prevención.Actividades de Control •Administrar Medidas de Seguridad •Reacreditación •Identificación.

Las cinco formas de utilizar COBIT Como una herramienta de comunicación Como una herramienta de organización Como una consenso herramienta para estructurar Como una herramienta de autoevaluación de TI Como una herramienta para determinar el alcance de la tarea de auditoría .

COBIT PERMITE •Posibilidad de aplicar las prácticas en un amplio espectro de sistemas de información. independientemente de la tecnología empleada •Cumplimiento de las generalmente aplicables y aceptadas prácticas para el control de TI •Aumentar el valor de la empresa •Gestión orientada hacia el enfoque de dueños de procesos •Alineación de objetivos de TI con objetivos del negocio •Utilización eficiente y eficaz de los recursos de TI •Gestión medible y auditable .

CAPACITACIÓN Y ENTRENAMIENTO •ADAPTACIÓN A LA ORGANIZACIÓN •FIJAR ROLES Y RESPONSABILIDADES •SER COMPLEMENTADA CON OTROS MODELOS QUE ME PERMITAN CONTAR CON UN GOBIERNO CORPORATIVO ADECUADO .COBIT NECESITA •CONCIENTIZACIÓN.

.

COBIT .

• Además.Dominio: Planificación y organización • Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio. la consecución de la visión estratégica necesita ser planeada. comunicada y administrada desde diferentes perspectivas. .

DOMINIO: Planificación y Organización Proceso: 1 Proceso: 2 Definición de un plan estratégico de TI Definición de la arquitectura de la información Proceso: 3 Proceso: 4 Proceso: 5 Proceso: 6 Determinación de la dirección tecnológica Definición de la organización y el relacionamiento en TI Administración de la inversión en TI Comunicación de los objetivos y directivas de la gerencia .

DOMINIO: Planificación y Organización Proceso: 7 Proceso: 8 Proceso: 9 Administración de los recursos humanos Aseguramiento del cumplimiento de los requerimientos externos Evaluación de riesgos Proceso: 10 Proceso: 11 Administración de proyectos Administración de la calidad .

se deberá evaluar los sistemas existentes en términos de: nivel de automatización de negocio. la alta gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas generales de la organización. costo y fortalezas y debilidades.Dominio: Planificación y organización • PO1 Definición de un plan Estratégico – Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos de TI de negocio. se deberá asegurar que se establezca un proceso para modificar oportunamente y con precisión el plan a largo plazo de tecnología de información con el fin de adaptar los cambios al plan a largo plazo de la organización y los cambios en las condiciones de la TI – Estudios de factibilidad oportunos. complejidad. – La definición de objetivos de negocio y necesidades de TI. – Los cambios organizacionales. con el propósito de determinar el nivel de soporte que reciben los requerimientos del negocio de los sistemas existentes. funcionalidad. estabilidad. – El inventario de soluciones tecnológicas e infraestructura actual. para que se puedan obtener resultados efectivos . para asegurar sus logros futuros.

• PO1 Definición de un plan Estratégico Dominio: Planificación y organización .

– El diccionario de datos. tomando en consideración: – La documentación deberá conservar consistencia con las necesidades permitiendo a los responsables llevar a cabo sus tareas eficiente y oportunamente. asegurándose que se definan los sistemas apropiados para optimizar la utilización de esta información. el cual incorporara las reglas de sintaxis de datos de la organización y deberá ser continuamente actualizado. – La propiedad de la información y la clasificación de severidad con el que se establecerá un marco de referencia de clasificación general relativo a la ubicación de datos en clases de información. a través de la creación y mantenimiento de un modelo de información de negocio.Dominio: Planificación y organización • PO2 Definición de la Arquitectura de Información – Objetivo: Satisfacer los requerimientos de negocio. organizando de la mejor manera posible los sistemas de información. .

Dominio: Planificación y organización • PO2 Definición de la Arquitectura de Información .

– Planes de adquisición. capacidad de adecuación y evolución de la infraestructura). redundancia. a través de la creación y mantenimiento de un plan de infraestructura tecnológica. – El monitoreo de desarrollos tecnológicos que serán tomados en consideración durante el desarrollo y mantenimiento del plan de infraestructura tecnológica. tomando en consideración: – La capacidad de adecuación y evolución de la infraestructura actual. .Dominio: Planificación y organización • PO3 Determinación de la dirección tecnológica – Objetivo: Aprovechar al máximo de la tecnología disponible o tecnología emergente. dirección tecnológica y estrategias de migración. – Las contingencias (por ejemplo. que deberá concordar con los planes a largo y corto plazo de tecnología de información y debiendo abarcar aspectos tales como arquitectura de sistemas. los cuales deberán reflejar las necesidades identificadas en el plan de infraestructura tecnológica. resistencia. con lo que se evaluará sistemáticamente el plan de infraestructura tecnológica. satisfaciendo los requerimientos de negocio.

Dominio: Planificación y organización • PO3 Determinación de la dirección tecnológica .

– Supervisión – Segregación de funciones – Los roles y responsabilidades.Dominio: Planificación y organización • PO4 Definición de la organización y de las relaciones de TI – Objetivo: Prestación de servicios de TI – El comité de dirección el cual se encargara de vigilar la función de servicios de información y sus actividades. – La descripción de puestos – Los niveles de asignación de personal – El personal clave .

Dominio: Planificación y organización • PO4 Definición de la organización y de las relaciones de TI .

.Dominio: Planificación y organización • PO5 Manejo de la inversión – Objetivo: tiene como finalidad la satisfacción de los requerimientos de negocio. asegurando el financiamiento y el control de desembolsos de recursos financieros.

Dominio: Planificación y organización
• PO6 Comunicación de la dirección y aspiraciones de la gerencia
– Objetivo: Asegurar el conocimiento y comprensión de los usuarios sobre las aspiraciones del alto nivel

Dominio: Planificación y organización
• PO7 Administración de recursos humanos
– Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los requerimientos de negocio, a través de técnicas sólidas para administración de personal.

Dominio: Planificación y organización
• PO8 Asegurar el cumplimiento con los requerimientos Externos
– Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales – Para ello se realiza una identificación y análisis de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos

tomando medidas económicas para mitigar los riesgos .Dominio: Planificación y organización • PO9 Evaluación de riesgos – Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI – Para ello se logra la participación de la propia organización en la identificación de riesgos de TI y en el análisis de impacto.

• PO10 Administración de proyectos Dominio: Planificación y organización – Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversión – Para ello se realiza una identificación y priorización de los proyectos en línea con el plan operacional por parte de la misma organización. Además. la organización deberá adoptar y aplicar sólidas técnicas de administración de proyectos para cada proyecto emprendido .

DOMINIO: Adquisición e Implantación Proceso: 12 Proceso: 13 Identificación de soluciones Adquisición y mantenimiento de software de aplicación Proceso: 14 Proceso: 15 Proceso: 16 Proceso: 17 Adquisición y mantenimiento de la infraestructura tecnológica Desarrollo y mantenimiento de procedimientos de TI Instalación y certificación de sistemas Administración de cambios .

.Dominio: Adquisición e implementación • Para llevar a cabo la estrategia de TI. Además. desarrolladas o adquiridas. este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. así como implementadas e integradas dentro del proceso del negocio. las soluciones de Ti deben ser identificadas.

• AI1 Identificación de Soluciones Automatizadas Dominio: Adquisición e implementación – Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario – Para ello se realiza un análisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios .

Dominio: Adquisición e implementación • AI2 Adquisición y mantenimiento del software aplicativo – Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio. – Para ello se definen declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación estructurada con entregables claros .

la provisión de mantenimiento preventivo de hardware y la instalación. seguridad y control del software del sistema .• AI3 Adquisición y mantenimiento de la infraestructura tecnológica Dominio: Adquisición e implementación – Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios – Para ello se realizara una evaluación del desempeño del hardware y software.

requerimientos de servicio y material de entrenamiento . – Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios.• AI4 Desarrollo y mantenimiento de procedimientos Dominio: Adquisición e implementación – Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas.

• AI5 Instalación y aceptación de los sistemas Dominio: Adquisición e implementación – Objetivo: Verificar y confirmar que la solución sea adecuada para el propósito deseado – Para ello se realiza una migración de instalación. conversión y plan de aceptaciones adecuadamente formalizadas .

Dominio: Adquisición e implementación • AI6 Administración de los cambios – Objetivo: Minimizar la probabilidad de interrupciones. implementación y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual . – Esto se hace posible a través de un sistema de administración que permita el análisis. alteraciones no autorizadas y errores.

DOMINIO: Entrega y Soporte Proceso: 18 Proceso: 19 Definición de los niveles del servicio Administración de los servicios prestados por terceros Proceso: 20 Proceso: 21 Proceso: 22 Administración de la capacidad y del desempeño del sistema Aseguramiento de la continuidad del servicio Establecimiento de pautas para la seguridad de los sistemas Proceso: 23 Identificación e imputación de costos .

DOMINIO: Entrega y Soporte Proceso: 24 Proceso: 25 Educación y capacitación de los usuarios Asistencia y asesoramiento a los clientes de TI Proceso: 26 Proceso: 27 Proceso: 28 Proceso: 29 Proceso: 30 Administración de la configuración Administración de problemas e incidentes Administración de datos Administración de instalaciones Administración de las operaciones .

Dominio: Prestación y soporte • Procesos – Ds1 Definición de niveles de servicio – Ds2 Administración de servicios prestados por terceros – Ds3 Administración de desempeño y capacidad – Ds4 Asegurar el Servicio Continuo – Ds5 Garantizar la seguridad de sistemas – Ds6 Educación y entrenamiento de usuarios – Ds7 Identificación y asignación de costos – Ds8 Apoyo y asistencia a los clientes de TI – Ds9 Administración de la configuración – Ds10 Administración de Problemas – Ds11 Administración de Datos – Ds12 Administración de las instalaciones – Ds13 Administración de la operación .

• Este dominio incluye el procesamiento de los datos por sistemas de aplicación. deberán establecerse los procesos de soporte necesarios. pasando por seguridad y aspectos de continuidad. . frecuentemente clasificados como controles de aplicación. que abarca desde las operaciones tradicionales hasta el entrenamiento.Dominio: Prestación y soporte • En este dominio se hace referencia a la entrega de los servicios requeridos. Con el fin de proveer servicios.

Dominio: Prestación y soporte • Ds1 Definición de niveles de servicio – Objetivo: Establecer una comprensión común del nivel de servicio requerido – Para ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeño contra los cuales se medirá la cantidad y la calidad del servicio .

con respecto a las políticas de la organización . en cuanto a su efectividad y suficiencia. que cumplan y continúen satisfaciendo los requerimientos – Para ello se establecen medidas de control dirigidas a la revisión y monitoreo de contratos y procedimientos existentes.Dominio: Prestación y soporte • Ds2 Administración de servicios prestados por terceros – Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estén claramente definidas.

manejo y demanda de recursos .Dominio: Prestación y soporte • Ds3 Administración de desempeño y capacidad – Objetivo: Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado. – Para ello se realizan controles de manejo de capacidad y desempeño que recopilen datos y reporten acerca del manejo de cargas de trabajo. tamaño de aplicaciones.

que esté alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio .Dominio: Prestación y soporte • Ds4 Asegurar el Servicio Continuo – Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en caso de interrupciones – Para ello se tiene un plan de continuidad probado y funcional.

divulgación. modificación. datos y programas está restringido a usuarios autorizados .Dominio: Prestación y soporte • Ds5 Garantizar la seguridad de sistemas – Objetivo: salvaguardar la información contra uso no autorizados. daño o pérdida – Para ello se realizan controles de acceso lógico que aseguren que el acceso a sistemas.

.Dominio: Prestación y soporte • Ds6 Educación y entrenamiento de usuarios – Objetivo: Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados – Para ello se realiza un plan completo de entrenamiento y desarrollo.

• Ds7 Identificación y asignación de costos Dominio: Prestación y soporte – Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI – Para ello se realiza un sistema de contabilidad de costos que asegure que éstos sean registrados. calculados y asignados a los niveles de detalle requeridos .

Dominio: Prestación y soporte • Ds8 Apoyo y asistencia a los clientes de TI – Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente – Para ello se realiza un Buró de ayuda que proporcione soporte y asesoría de primera línea .

• Ds9 Administración de la configuración Dominio: Prestación y soporte – Objetivo: Dar cuenta de todos los componentes de TI. prevenir alteraciones no autorizadas. verificar la existencia física y proporcionar una base para el sano manejo de cambios – Para ello se realizan controles que identifiquen y registren todos los activos de TI así como su localización física y un programa regular de verificación que confirme su existencia .

• Ds10 Administración de Problemas Dominio: Prestación y soporte – Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder. además de un conjunto de procedimientos de escalamiento de problemas para resolver de la manera más eficiente los problemas identificados . – Para ello se necesita un sistema de manejo de problemas que registre y dé seguimiento a todos los incidentes.

– Lo cual se logra a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI .Dominio: Prestación y soporte • Ds11 Administración de Datos – Objetivo: Asegurar que los datos permanezcan completos. salida y almacenamiento. actualización. precisos y válidos durante su entrada.

polvo. . calor excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad física.• Ds12 Administración de las instalaciones Dominio: Prestación y soporte – Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego.

• Ds13 Administración de la operación Dominio: Prestación y soporte – Objetivo: Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo regularmente y de una manera ordenada – Esto se logra a través de una calendarización de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades .

DOMINIO: Monitoreo Proceso: 31 Proceso: 32 Proceso: 33 Proceso: 34 Monitoreo de los procesos Evaluación de la adecuación del control interno Obtención de aseguramiento independiente Provisión de auditoría independiente .

integridad y confidencialidad. el ámbito de este dominio. Este es. precisamente.Dominio: Monitoreo • Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. .

Dominio: Monitoreo • Procesos – M1 Monitoreo del Proceso – M2 Evaluar lo adecuado del Control Interno – M3 Obtención de Aseguramiento Independiente – M4 Proveer Auditoria Independiente .

Dominio: Monitoreo • M1 Monitoreo del Proceso – Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. . Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeño gerenciales y la implementación de sistemas de soporte así como la atención regular a los reportes emitidos.

reconciliaciones y otras acciones rutinarias.. comparaciones. – Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a través de actividades administrativas y de supervisión. evaluar su efectividad y emitir reportes sobre ellos en forma regular.• M2 Evaluar lo adecuado del Control Interno – Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI. Dominio: Monitoreo .

– Para ello la gerencia deberá establecer los estatutos para la función de auditoria. destacando en este documento la responsabilidad. lo que se logra con el uso de auditorias independientes desarrolladas a intervalos regulares de tiempo. autoridad y obligaciones de la auditoria .• M4 Proveer Auditoria Independiente Dominio: Monitoreo – Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prácticas de su implementación.

la estructura conceptual se puede enfocar desde tres puntos de vista: – Los criterios empresariales que deben satisfacer la información – Los recursos de las TI – Los procesos de TI Las tres dimensiones conceptuales de COBIT .• En resumen.

FIN .

Sign up to vote on this title
UsefulNot useful

Master Your Semester with Scribd & The New York Times

Special offer for students: Only $4.99/month.

Master Your Semester with a Special Offer from Scribd & The New York Times

Cancel anytime.