Asclases IV 0

AUDITORIA EN INFORMATICA
METODOS DE CONTROL Y
GESTION EN TI
Justificacin
Aumento de
la
vulnerabilidad
Automatizacin
de los procesos
y prestacin de
servicios
Beneficios
para alcanzar
los objetivos
Recursos
TICs
Aumento de
la
productividad
Informacin
como recurso
estratgico
Magnitud de
los costos e
inversiones
TIC
Fuente: Rodrguez (2006)
La productividad de cualquier organizacin depende del funcionamiento

ininterrumpido de los sistemas TIC, transformando a todo el entorno en
un proceso crtico adicional (Rodrguez, 2006:3).
Evidencias
1
El crecimiento del acceso a Internet y de usuarios conectados

incrementa la posibilidad de concrecin de amenazas informticas.
Crecimiento de la informacin disponible de empresas y sus

empleados en redes sociales Ingeniera Social.
Mensajes de e-mail que contienen attachments que explotan

vulnerabilidades en las aplicaciones instaladas por los usuarios.
Robo de credenciales o captura ilegal de datos.
Acceso a redes empresariales a travs de cdigos maliciosos

diseados para obtener informacin sensitiva.
En el 2009 los sectores financiero, proveedores de servicios TIC,

comercios, seguros, comunidad de Internet, empresas de
telecomunicaciones y el gobierno han sido los ms vulnerables ante
las amenazas informticas.
En el 2009 Symantec identific 240 millones de programas maliciosos,

un aumento del 100% con respecto al 2008.
Fuente: Symantec (2010).
Evidencias
8
En el 2010 hubo 286 millones de nuevas ciberamenazas.
Junto con las redes sociales otra rea de peligro en el espacio mvil
(Smartphones).
10
Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el

mundo, como Estados Unidos, UK o Espaa, han mostrado la
preocupacin que tienen ante ataques que puedan afectar a la
economa del pas o incluso a otras reas, tales como las
denominadas infraestructuras crticas. Tambin este ao 2009 vimos
un ataque lanzado a diferentes pginas web de Estados Unidos y
Corea del Sur.
Previsin de tendencias de amenazas informticas para 2010 Fuente: www.cxocommunity.com
11
Cuidar a las empresas en esos momentos no es labor fcil. Los

ataques son incesantes (al menos 10,000 amenazas circulan en la red
cada minuto), y cada ao causan prdidas por ms de 650,000
millones de dlares, dice el grupo Crime-Research.org.
El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com
Fuente: Symantec (2010) e ITESPRESSO.ES (2010)..
Se requiere contar con una efectiva administracin de

los RIESGOS asociados con las TIC
Rol Bsico de la Funcin de Auditora Informtica
Supervisin de los CONTROLES IMPLEMENTADOS

y determinacin de su eficiencia
Fuente: Rodrguez (2006)
Factores que propician la Auditora

Informtica
Leyes gubernamentales.
Polticas internas de la empresa.
Necesidad de controlar el uso de equipos
computacionales.
Altos costos debido a errores.
Prdida de informacin y de capacidades
de procesamiento de datos, aumentando as la
posibilidad
de
toma
de
decisiones
incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad y
confidencialidad de las transacciones de la
organizacin.
Objetivos generales de la Auditora en

Informtica
Asegurar la integridad, confidencialidad
y confiabilidad de la informacin.
Minimizar existencias de riesgos en el
uso de Tecnologa de informacin
Conocer la situacin actual del rea
informtica para lograr los objetivos.
Seguridad,
utilidad,
confianza,
privacidad y disponibilidad en el
ambiente informtico, as como tambin
seguridad del personal, los datos, el
hardware, el software y las instalaciones.
Auditoria de Sistemas de Barcelona (2004)
Objetivos generales de la Auditora en

Informtica
Incrementar la satisfaccin de los
usuarios de los sistemas informticos.
Capacitacin y educacin sobre
controles en los Sistemas de
Informacin.
Buscar una mejor relacin costobeneficio de los sistemas automticos y
tomar decisiones en cuanto a
inversiones para la tecnologa de
informacin.
Auditoria de Sistemas de Barcelona (2004)
Riesgo Informtico
La Organizacin Internacional de
Normalizacin (ISO) define riesgo
tecnolgico (Guas para la Gestin de
la Seguridad) como:
La probabilidad de que una amenaza
se materialice de acuerdo al nivel de
vulnerabilidad existente de un activo,
generando un impacto especfico, el
cual puede estar representado por
prdidas y daos.
SENA,
LEONARDO
Y
SIMN
M.
TENZER.
2004.
Introduccin
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
al
Riesgo
Informtico.
Fuente:
Amenaza
Acciones
que
pueden
ocasionar
consecuencias
negativas
en
la
plataforma informtica disponible: fallas,
ingresos no autorizados a las reas de
computo, virus, uso inadecuado de
activos
informticos,
desastres
ambientales (terremotos, inundaciones),
incendios, accesos ilegales a los
sistemas, fallas elctricas.
Pueden ser de tipo lgico o fsico.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo

Informtico.Fuente:
Vulnerabilidad
Condiciones inherentes a los
activos o presentes en su entorno
que facilitan que las amenazas
se materialicen.
Se manifiestan como debilidades o
carencias: falta de conocimiento
del
usuario,
tecnologa
inadecuada,
fallas
en
la
transmisin,
inexistencia
de
antivirus, entre otros.
SENA, LEONARDO Y SIMN M.

TENZER. 2004. Introduccin
al
Riesgo
Informtico.
Fuente:
Impacto
Consecuencias de la ocurrencia
de
las
distintas
amenazas:
financieras o no financieras.
Perdida de dinero, deterioro de la

imagen de la empresa, reduccin
de eficiencia, fallas operativas a
corto o largo plazo, prdida de
vidas humanas, etc.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico.

Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Administracin de Riesgos
Luego de efectuar el anlisis de riesgo-impacto, el
ciclo de administracin de riesgo finaliza con la
determinacin de las acciones a seguir respecto:
Controlar el riesgo fortaleciendo los controles
existentes o agregar nuevos controles.
Eliminar el riesgo.
Compartir el riesgo mediante acuerdos
contractuales traspasando el riesgo a un tercero
(Ejemplo: seguro, outsourcing de informtica).
Aceptar el riesgo, determinando el nivel de
exposicin.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico.
Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Y...Qu es el control interno?

Es un proceso, mediante el cual la
administracin, los directivos y/o la alta
gerencia
le
proporcionan
a
sus
actividades, un grado razonable de
confianza, que le garantice la consecucin
de sus objetivos, tomando en cuenta: la
eficacia y eficiencia de las operaciones,
fiabilidad de la informacin financiera y
cumplimiento de las leyes y normas
aplicables, con la finalidad de dotar a la
organizacin
medidas
preventivas,
deteccin y correccin de errores, fallos y
fraudes o sabotajes
CONTROL INTERNO. DEFINICIN Y TIPOS
Cualquier actividad o accin realizada

manual
y/o
automticamente
para
prevenir, corregir errores o irregularidades
que puedan afectar el funcionamiento de
un sistema para conseguir sus objetivos.
La tipologa tradicional de los controles informticos es:
Bajo Nivel de
Vulnerabilidad?
Dao a los
equipos, datos
o informacin
Concrecin
de la
Amenaza
Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
(Daos intencionales o no)
Objetivos: Desafo,
ganancia financiera/poltica,
dao
Causa Fsica (Natural o no)
Confidencialidad
Integridad
Disponibilidad
Prdida de
Dinero
Clientes
Imagen de la Empresa
Disuasivos
Tratar de evitar el
Cuando
fallan los
hecho
preventivos para
tratar de conocer
cuanto antes el
evento
Preventivos
Amenaza o
Riesgo
Operatividad
Plataforma Informtica
Vuelta a la
normalidad cuando
se han producido
incidencias
Tmin
Detectivo
Correctivo
Control Interno y Auditora
Entorno y Objetivos de Control

Control
Se define como las polticas, procedimientos, prcticas e infraestructuras
organizativas, diseadas para garantizar razonablemente, que los objetivos de
negocio se llevarn a cabo, y que las incidencias no deseadas se pueden prevenir o
detectar y corregir. (COSO 1992)
Objetivo de control de TI
Se define como el propsito o resultado que se desea alcanzar, mediante la
implantacin de procedimientos de control para una actividad de TI especfica.
Normas de Auditora Informtica

disponibles
Gua de auditoria del

COSO (Committee of Sponsoring
sistema de gestin de
seguridad de la informacin
Organizations of the Treadway
Commission, EEUU 1992).

ITIL (Information Technology
Infrastructure Library, Inglaterra 1990).
ISO/IEC 27001:2006 (International
Organization for
Standardization/International
Electrotechnical Commission, Inglaterra
2000).
Modelo
de evaluacin
del Objectives for
COBIT
(Control
Marco referencial que evala
control
interno
en
los
Information and el
Related
procesoTechnology
de gestin deIT,
los
sistemas, funciones,
EEUU 1998). Servicios de tecnologa de
procesos o actividades en
forma ntegra.
informacin y de la
infraestructura tecnologa.
COBIT :
Modelo de
Gestin de TI
Referencia Bibliogrfica
IT GOVERNANCE
INSTITUTE. 2006. COBIT
4.0. Fuente: www.isaca.org
Information Systems Audit and Control Association
Fundada en 1969, ISACA patrocina conferencias
internacionales, publica la revista ISACA Journal y
desarrolla estndares internacionales en control y auditoria
de sistemas de informacin. Tambin administra la respetada
certificacin a nivel mundial como Auditor de Sistemas de
Informacin.
DEFINICIN
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnologa de la
Informacin y Tecnologas relacionadas)
DEFINICIN
COBIT es un modelo de gestin y control de TI,
con el objetivo de consensuar:
los riesgos del negocio
las necesidades de control
y los aspectos tecnolgicos,
mediante la entrega de buenas prcticas aplicables
a una estructura lgica de procesos y actividades
MISIN
Investigar, desarrollar, publicitar y promover un
actualizado, confiable e internacionalmente
aceptado conjunto de Objetivos para el control
de TI, a ser utilizados en el desarrollo habitual
de las operaciones tanto por gerentes del
negocio, como por auditores.
CONCEPTOS BSICOS
ISACA - 95 paises 20.000 miembros
COBIT
Investigacin: E.U-Europa-Australia-Japn
Representatividad
Consolidacin y armonizacin 18 estndares
COSO (Committe Of Sponsoring Org. of the Treadway Commission)

OECD (Organizarion for Economic Cooperation and Development)
ISO 9003 (International Standars Organization)
NIST
(National Institute of Standars and Technology)
DTI
(Departament of Trade and Industry of the U.K)
ITSEC (Information Technology Security Evaluation Criteria - Europa)
TCSEC (Trusted Computer Evaluacin Criteria - Orange Book- E.U)
IIA SAC (Institute of Internal Auditors - Systems Auditability and Control)
IS Auditing Standars Japn
CARACTERSTICAS
Orientado al negocio
Alineado con estndares y regulaciones de

facto (COSO, IFAC, IIA, ISACA, AICPA)
ntegro (basado en una revisin crtica y

analtica de las tareas y actividades en TI)
Flexible
Razones que llevan a considerar

implantar un modelo de gestin de TI
Dependencia creciente del negocio frente a la
informacin
La Tecnologa soporta casi la totalidad de los
procesos del negocio
Los desarrollos constantes en TI y en las
prcticas de negocio
La responsabilidad por el uso de la tecnologa
se extiende en la organizacin
Los cambios ms importantes se realizan
pero igual contina la presin hacia el cambio.
Nivel de inversiones en tecnologa ..
Razones que llevan a considerar implantar

un modelo de gestin de TI
Constante aumento de vulnerabilidades y un
amplio espectro de amenazas.
Potencial de TI para efectuar cambios
profundos en las organizaciones, crear
nuevas oportunidades de negocios y reducir
los costos
Incremento de la necesidad de contar con un
modelo adecuado de gobernabilidad
corporativa (corporate governance)
Nuevas normativas (Sarbanes-Oxley act,
comunicacin 2003/179, NTPs)
Marco de Trabajo de Control COBIT

Para que la TI tenga xito en satisfacer los requerimientos
del negocio, la direccin debe implantar un sistema de
control interno o un marco de trabajo.
El marco de trabajo de control COBIT contribuye a estas
necesidades de la siguiente manera:
Estableciendo un vnculo con los requerimientos del
negocio.
Organizando las actividades de TI en un modelo de
procesos generalmente aceptado.
Identificando los principales recursos de TI utilizados.
Definiendo los objetivos de control gerencial a ser
considerados.
CONCEPTOS BSICOS
Proveer un marco nico reconocido a nivel mundial de

las mejores prcticas de control y seguridad de TI.
Objetivos
Consolidar y armonizar estndares originados en

diferentes paises desarrollados.
Concientizar a la comunidad sobre importancia del

control y la auditora de TI.
Enlaza los objetivos y estrategias de los negocios con

la estructura de control de la TI, como factor crtico de
xito
Beneficios
Aplica a todo tipo de organizaciones independiente de

sus plataformas de TI
Ratifica la importancia de la informacin, como uno de
los recursos ms valiosos de toda organizacin exitosa
Las mejores prcticas de TI se han vuelto

significativas debido a un nmero de factores:
Directores de negocio y consejos directivos que demandan
un mayor retorno de la inversin en TI.
Preocupacin por el creciente nivel de gasto en TI.
La necesidad de satisfacer requerimientos regulatorios
para controles de TI en reas como privacidad y reportes
financieros y en sectores especficos como el financiero,
farmacutico y de atencin a la salud.
..

significativas debido a mltiples factores :
La seleccin de proveedores de servicio y el manejo de
Outsourcing y de Adquisicin de servicios
Riesgos crecientemente complejos de la TI como la
seguridad de redes
Iniciativas de gobierno de TI que incluyen la adopcin de
marcos de referencia de control y de mejores prcticas
para ayudar a monitorear y mejorar las actividades crticas
de TI, aumentar el valor del negocio y reducir los riesgos de
ste.
..

significativas debido a mltiples factores :
La necesidad de optimizar costos siguiendo, siempre que
sea posible, un enfoque estandarizado en lugar de
enfoques desarrollados especialmente.
La madurez creciente y la consecuente aceptacin de
marcos de trabajo respetados tales como COBIT, ITIL, ISO
27001 (17799), ISO 9001, entre otros.
La necesidad de las empresas de valorar su desempeo
en comparacin con estndares generalmente aceptados y
con respecto a su competencia (Benchmarking)
Marcos de Referencia de Administracin de TI

Las organizaciones debern considerar y usar una variedad de modelos, estndares
y mejores practicas de TI por lo tanto asegrese de que entiende esto con el fin de
considerar como pueden usarse juntos, con COBIT actuando como consolidador
COSO
COBIT
QUE
ISO 9000
ISO 27000
(17799)
ITIL
CAMPO DE COBERTURA
COMO
Administracin de TI - Directrices
Directrices
Gobierno Corporativo
Balanced Scorecard
Gobierno de TI
Estndares de mejores prcticas
Procesos y Procedimientos
CONFORMIDAD
Basilea II, SarbanesOxley Act, etc
DESEMPEO:
Metas del negocio
COSO
COBIT
ISO
9001:2000
Procedimientos
de QA
ISO
27000
ISO
20000
Principios
de
Seguridad
ITIL
La Metodologa CobiT
Control Objectives for Information and Related Technologies.
Propuesta por la ISACF (Information Systems Audit and Control
Foundation).
Es la principal propuesta metodolgica realizada a nivel internacional
para abordar la Auditora de Sistemas de Informacin.
Supone un paso muy importante al considerar que, a efectos de
auditora, el sistema de informacin de una organizacin es UNICO,
aunque ciertos procesos se realicen de forma manual y otros mediante
el uso de la informtica.
La filosofa de CobiT asimila los principios de reingeniera de
empresas (BPR) y divide las funciones que ha de realizar un sistema
de informacin en procesos que, a su vez, estn subdivididos en
actividades y tareas ms simples.
Los sistemas de informacin estn orientados a los procesos y por
tanto su auditora se debe adaptar a estos conceptos.
CONCEPTOS BSICOS
Modelo CobiT
Origen
ALTA
GERENCIA
LEGISLADORES / REGULADORES
USUARIOS PRESTADORES
DE SERVICIOS
MARCO UNICO
REFERENCIA
PRACTICAS
SEGURIDAD
Y CONTROL
INVERSION CONTROL TI
BALANCE RIESGO/CONTROL
BASE BENCHMARKING
ACREDITACON CONTROL
/SEGURIDAD POR AUDITORES O
TERCEROS
CONFUSIN ESTANDARES
DESGASTE
OPINION V.S.
ALTA GCIA.
CONSULTORES EN
CONTROL/SEG.
TI
AUDITORES
USUARIOS
DE
TI
REGLA DE ORO DE COBIT
A fin, de proveer la informacin

que la organizacin requiere
para lograr sus objetivos, los
recursos de TI deben ser
administrados por un conjunto
de procesos, agrupados de
forma adecuada y normalmente
aceptada.
POR QU COBIT?
La Tecnologa se ve como un
costo, no hay una terminologa
comn con el negocio, y se
recorta el presupuesto en la
seguridad, ya que la falta de
difusion de normas y buenas
prcticas que ayuden a generar
conciencia de los riesgos
mantiene la quimera del :
A mi no me va pasar..
POR QU COBIT?
Gobierno de Tecnologa de Informacin
El rol de la Direccin
La Direccin, a travs de su Gobierno

Corporativo debe garantizar la debida
diligencia por parte de todos los
individuos involucrados en la
administracin, uso, diseo,
desarrollo, mantenimiento u
operacin de los sistemas de
informacin.
POR QU COBIT?
QUINES NECESITAN REGLAS DE JUEGO DEFINIDAS
Los Mandos Gerenciales para saber que

deben exigir, como medir los resultados y
cuales son sus responsabilidades en esos
temas.
Balancear el riesgo y la inversin en control
de un ambiente a menudo impredecible
El Auditor para sustentar sus opiniones

sobre los riesgos y la adecuacin de la
tecnologa a las mejores prcticas. Ser
asesores proactivos del negocio
..
POR QU COBIT?
QUINES NECESITAN REGLAS DE JUEGO DEFINIDAS
El rea usuaria para saber que puede

pedir a TI y qu se le va a exigir sobre el
control de los procesos del negocio.
Son los interesados en saber si los
recursos de TI se utilizan adecuadamente
y les ayudan a alcanzar sus objetivos
El Gerente de Tecnologa para definir un

acuerdo de servicios y justificar su
inversin
Los Organismos estatales de control, para

saber que es lo mnimo que pueden
exigir.
ORIENTACIN DE COBIT
ENFOCADO EN EL NEGOCIO, ORIENTADO
A PROCESO, BASADO EN CONTROLES Y
DIRIGIDO POR MEDIDAS.
Su orientacin hacia el negocio consiste en

vincular objetivos de negocio con objetivos de TI,
facilitar mtricas y modelos de madurez para
medir su xito, e identificar las responsabilidades
asociadas del negocio y los propietarios de los
procesos de TI.
PRINCIPIOS DE COBIT
Requerimientos
del negocio
Procesos de TI
Recursos de TI
El concepto o enfoque del marco COBIT, se basa en que el

control en TI se logra obteniendo la informacin necesaria
para apoyar los requerimientos procesos del negocio, y
considerando la informacin como resultado de la aplicacin
combinada de recursos de TI que necesitan ser administrados
por procesos de TI
MARCO DE REFERENCIA
Lo que usted
Obtiene
Procesos del
Negocio
Lo que Usted
Necesita
Criterios
Informacin
Recursos de TI
Datos
Aplicaciones
Tecnologa
Instalaciones
Recurso Humano
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Concuerdan
COBIT: Estructura conceptual

Se puede enfocar desde tres puntos de vista :
Procesos de TI
Dominios
Procesos
Actividades
Personas
Sistemas Aplicativos
Tecnologa
Instalaciones
Datos
Criterios de Informacin
Requerimientos de la
Informacin para el Negocio
Para satisfacer los objetivos del negocio la
informacin debe cumplir con criterios que COBIT
extrae de los ms reconocidos modelos:
Requerimientos de
calidad (ISO 9000-3)
Calidad
Costo
Entrega
Requerimientos
fiduciarios (Informe
COSO)
Eficacia y eficiencia
Confiabilidad de la informacin
Cumplimiento de leyes y
reglamentaciones
Disponibilidad
Integridad
Confidencialidad
Requerimientos de
seguridad (libro rojo,
naranja y otros)
Requerimientos de la
Informacin para el Negocio
Partiendo de estos tres requerimientos criterios amplios, se
identifican las siguientes siete categoras:
Eficacia:
se refiere a la relevancia y pertinencia de

la informacin para el proceso de negocio
y a su entrega en forma oportuna,
correcta, consistente y til.
Eficiencia:
se vincula con la provisin de

informacin mediante el uso ptimo (el
ms productivo y econmico) de los
recursos.
Confidencialidad: se refiere a la proteccin de la

informacin crtica, contra su divulgacin
no autorizada.
Integridad:
se vincula con la exactitud y la totalidad

de la informacin, as como tambin con su
validez de acuerdo con los valores y las
expectativas de negocio.
Disponibilidad:
se relaciona con el hecho de que la

informacin se encuentre disponible
cuando la necesite el proceso de negocio,
en el presente y en el futuro.
Tambin se asocia con la proteccin de los
recursos necesarios y las capacidades
asociadas.
Cumplimiento: se refiere al cumplimiento de las leyes,

reglamentaciones y disposiciones
contractuales a las que est sujeto el
proceso de negocio, vale decir, los
criterios de negocio impuestos a
nivel externo.
Confiabilidad de
la informacin: se vincula con la provisin de la
informacin adecuada, para que la
gerencia maneje la entidad y ejerza sus
responsabilidades de presentacin de
informes financieros y de cumplimiento.
RECURSOS DE TI
Los recursos de TI, identificados en COBIT, para
alcanzar los objetivos del negocio son los siguientes :
Datos: objetos en su sentido ms amplio, es decir,
internos y externos, estructurados
y
no
estructurados, grficos, sonidos, etc.
Sistemas de aplicacin:
se entiende por tales la
suma de los procedimientos manuales y
programados.
Tecnologa:
la tecnologa abarca el hardware,
los sistemas operativos, los sistemas de
administracin de bases de datos, las redes, los
multimedios, etc.
Instalaciones: recursos diversos utilizados para
alojar y dar soporte a los sistemas de informacin
Personas: habilidades, aptitudes, conocimientos
y
productividad del personal para planificar,
organizar, adquirir, entregar, brindar soporte y
monitorear los sistemas y servicios de informacin.
PROCESOS DE TI
Los recursos de las Tecnologas de la
Informacin (TI) se han de gestionar
mediante un conjunto de procesos agrupados
de forma natural para que proporcionen la
informacin que la empresa necesita para
alcanzar sus objetivos.
PROCESOS DE TI
Dominios
Procesos
Actividades
o tareas
Agrupacin natural de procesos,

normalmente corresponden a una
responsabilidad organizacional
dentro del ciclo de vida de procesos
TI
Conjuntos o series de actividades
unidas con delimitacin o cortes de
control.
Acciones requeridas para lograr un
resultado medible. Las actividades
tienen un ciclo de vida mientras que
las tareas son discretas.
Levantamiento de procesos actuales

Recursos
de TI
Datos
Sistemas de
Aplicacin
Infraestructura
Tecnolgica
Instalaciones
Fsicas
Recursos humanos
Procesos de
trabajo
Planeacin y organizacin
Adquisicin e
implantacin de soluciones
Entrega de servicio y
soporte
Monitoreo
Criterios
de Informacin
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Levantamiento de procesos actuales

Recursos
de TI
Recursos
de TI
Procesos de
trabajo
Objetivos de Control
Factores Crticos de xito
Indicadores de Resultados
Indicadores de Desempeo
Criterios
de Informacin
EL MODELO DEL MARCO DE TRABAJO DE COBIT

Administracin, Control, Alineacin y Monitoreo de Cobit.
OBJETIVOS DE NEGOCIO
Drivers de Gobernabilidad
Gente
Infraestructura
Informacin
Aplicaciones
Resultados de Negocio
Criterios de
Informacin
Recursos
de TI
Indicadores clave
de Rendimiento
Procesos de TI
Objetivos de TI
Procesos
de TI
Indicadores clave
de Objetivos
Objetivos de
Control de Alto
Nivel
El marco de trabajo
COBIT, relaciona los
requerimientos
de
informacin
y
de
gobierno a los objetivos
de la funcin de servicio
de TI.
El modelo de procesos
COBIT permite que las
actividades de TI y los
recursos
que
los
soportan
sean
administrados
y
controlados,
basados
en los objetivos de
control de COBIT, y
alineados
y
monitoreados usando
las mtricas KGI y KPI
de COBIT
COBIT
OBJETIVOS DEL NEGOCIO
COBIT
Estructura
del Modelo
Dominios de
Control
en T I
INFORMACION
MONITOREO
EFECTIVIDAD
EFICIENCIA
CONFIDENCIALIDAD
INTEG RIDAD
DISPONIBILIDAD
CUMPLIM IENTO LEG AL
CONFIABILIDAD
PLANEACION Y
ORG ANIZACION
RECURSOS DE TI
DATOS
APLICATIVOS
TECNOLOGIA
FACILIDADES
PERSONAS
ENTREG A Y
SOPORTE
ADQUISICION E
IM PLEM ENTACION
NEGOCIO
Requerimientos
Informacin
Los
Objetivos
de
COBIT
Herramientas
paraControl
ayudar
a brindan
asignar
buenas
prcticas amedir
travs
de un marco
de
responsabilidades,
el desempeo,
llevar
TICS
Vs.
PROCESOS
trabajo
dominios y procesos,
y presenta
las
a cabode benchmarks
() Las
directrices
actividades
en una
estructura
manejable
ayudan a brindar
respuestas
a preguntas
de lay
lgica.
Representan
consenso
de expertos.
administracin:
Queltan
lejos podemos
llegar
Enfocadas
fuertemente
controljustifica
y menos
Medidos
para controlar
la TI?, yen
elel costo
el
por Ayudan
en
la ejecucin.
a optimizarde las
beneficio?
Cules
son los indicadores
un
inversiones
facilitadas
por la son
TI, asegurarn
la
Auditados
buen desempeo?
Cules
las prcticas
ahacen
travs
entrega
del servicio
una medida
administrativas
clave ya brindarn
aplicar? Qu
de
contra
la cual medimos
juzgar cuando
las cosas (IT
no
otros? Cmo
y comparamos?
vayan
bien (IT
Governance
Instituye,
Ejecutados
a 2006).
Governance
Institute,
2006).
Controlados
por
Objetivos de
Control
travs de
Indicadores
de
Desempeo
Indicadores
Meta
Modelo de Madurez
Metas de
Actividades
Directrices
de
Auditora
Prcticas de
Control
Traduccin
Implementacin
CobiT: enfoque e implementacin

Resumen Ejecutivo
Herramientas de
implementacin
Marco Referencial-Esquema
Objetivos de Alto Nivel
Lineamientos
Gerenciales
Modelos de
Madurez
Detallados
Factores Crticos
de xito
Resumen Ejecutivo
Casos de Estudio
Preguntas Frecuentes
Presentaciones Power Point
Guas de Implementacin
Diagnstico Conciencia Administrativa
Diagnstico Control de TI
Guas de
Auditora
Indicadores
Clave de
Rendimiento
Prcticas de
Control
Indicadores
Clave de Logros
COBIT
Aplicacin
del modelo
GERENCIA - UNIDADES DE NEGOCIO - TI

EVALUACION
Dominios
TI (4)
ADMINISTRATIVA
Objetivos de
control (318)
Procesos/
Actividades
(34)
EVALUACION
22
Guas Auditoria
De TI (34)
AUDITORIA
PERSONALIZACIN DE LAS GUIAS

EJECUCIN DE LA AUDITORIA
2
1:Nivel Control General 2:Nivel Detallado Control 3:Nivel Detallado Auditora
PROCESOS DE TI
Los procesos se agrupan en cuatro grandes
dominios:
Planeacin y Organizacin
(Planning and Organization)
Adquisicin e implementacin
(Acquisition and Implementation)
Prestacin de Servicios y Soporte
(Delivery and Support)
Seguimiento
(monitoring)
PROCESOS DE TI
Las definiciones de los cuatro dominios identificados para la
clasificacin de alto nivel son:
Planificacin Este dominio abarca aspectos estratgicos y
y
tcticos y se vincula con la identificacin de la
Organizacin forma en que la TI puede contribuir ms
adecuadamente con el logro de los objetivos del
negocio.
Es preciso planificar, comunicar y administrar
la realizacin de la visin estratgica desde
distintas perspectivas.
Debe existir una correcta organizacin e
infraestructura tecnolgica.
Para gobernar efectivamente TI, es importante

determinar las actividades y los riesgos que
requieren ser administrados.
PLANEAR Y ORGANIZAR
Cubre los siguientes cuestionamientos tpicos de la gerencia:
Estn alineadas las estrategias de TI y del negocio?
La empresa est alcanzando un uso ptimo de sus recursos?
Entienden todas las personas dentro de la organizacin los
objetivos de TI?
Se entienden y administran los riesgos de TI?
Es apropiada la calidad de los sistemas de TI para las
necesidades del negocio?
PROCESOS DE TI
Adquisicin e
Implementacin
Para realizar la estrategia de Ti, deben

identificarse, desarrollarse o adquirirse
soluciones de Ti y luego implantarse e
integrarse en el proceso de negocio.
Este dominio abarca los cambios y el
mantenimiento de los sistemas existentes
para garantizar la natural continuidad
del ciclo de vida para estos sistemas.

ADQUIRIR E IMPLEMENTAR
Adems para garantizar que las soluciones sigan cubre los
siguientes cuestionamientos de la gerencia:
Los nuevos proyectos generan
satisfagan las necesidades?
soluciones
que
Los nuevos proyectos son entregados a tiempo y dentro

del presupuesto?
Trabajarn adecuadamente los nuevos sistemas una
vez sean implementados?
Los cambios afectarn las operaciones actuales del
negocio?
PROCESOS DE TI
Entrega y En este dominio nos ocupamos de la entrega o
Soporte
prestacin efectiva de los servicios requeridos, que
comprenden desde las operaciones tradicionales
sobre aspectos de seguridad y continuidad hasta la
capacitacin.
Para prestar los servicios, deben establecerse los
procesos de soporte necesarios.
Este dominio incluye el procesamiento real de los
datos por los sistemas de aplicacin, a menudo
clasificados como controles de aplicaciones.

requieren ser administrados. DOMINIO 3
ENTREGAR Y DAR SOPORTE
Aclara las siguientes preguntas de la gerencia:
Se estn entregando los servicios de TI de
acuerdo con las prioridades del negocio?
Estn optimizados los costos de TI?
Es capaz la fuerza de trabajo de utilizar los
sistemas de TI de manera productiva y segura?
Estn implantadas de forma adecuada la
confidencialidad,
la
integridad
y
la
disponibilidad?
PROCESOS DE TI
Monitoreo
y
evaluacin
Es preciso evaluar regularmente todos los

procesos de TI, a medida que trascurre el
tiempo para determinar su calidad
y el
cumplimiento de los requerimientos de control.
Este dominio corresponde al seguimiento de la
gerencia sobre los procesos de control de la
organizacin y la garanta independiente
provista por la auditoria interna y externa u
obtenida de fuentes alternativas.

MONITOREAR Y EVALUAR
Abarca las siguientes preguntas de la gerencia:
Se mide el desempeo de TI para detectar los
problemas antes de que sea demasiado tarde?
La Gerencia garantiza que los controles
internos son efectivos y eficientes?
Puede vincularse el desempeo de lo que TI ha
realizado con las metas del negocio?
Se miden y reportan los riesgos, el control, el
cumplimiento y el desempeo?
DEFINICIN DE OBJETIVO DE
CONTROL EN COBIT
Es la declaracin del resultado deseable o el
propsito a lograr (el Que) mediante la
implantacin de recomendaciones, procedimientos o
tcnicas de control (el Como) en determinada
actividad de tecnologa de la informacin
COBIT explicita cada objetivo del control a nivel de
actividades Los 34 OCGs propuestos se concretan en 302
objetivos de control detallados (OCDs).
DEFINICIN DE CONTROL EN
COBIT
Las polticas, procedimientos prcticas y
estructuras organizacionales diseadas para
proveer una razonable confiabilidad de que los
objetivos del negocio sern alcanzados y que
los eventos indeseables sern prevenidos o
detectados y corregidos
PROCESOS DE TI
Se definen 34 objetivos de control generales (OCGs), uno para cada
uno de los procesos de las TI
Planeacin y
Organizacin
Adquisicin e
Implementacin
Definir un plan estratgico de TI

Definir la arquitectura de informacin
Determinar la direccin tecnolgica
Definir la organizacin y relaciones de TI
Manejo de la inversin en TI
Comunicacin de la directrices Gerenciales
Administracin del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluacin de Riesgos
Administracin de Proyectos
Administracin de Calidad
Identificacin de soluciones
Adquisicin y mantenimiento de SW aplicativo
Adquisicin y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalacin y Acreditacin de sistemas
Administracin de Cambios
PROCESOS DE TI
Servicios y
Soporte
Seguimiento
Definicin del nivel de servicio

Administracin del servicio de terceros
Administracin de la capacidad y el desempeo
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificacin y asignacin de costos
Capacitacin de usuarios
Soporte a los clientes de TI
Administracin de la configuracin
Administracin de problemas e incidentes
Administracin de datos
Administracin de Instalaciones
Administracin de Operaciones
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditora independiente
ELEMENTOS
Executive Summary Presentacin del mtodo

Framework -- Explicacin del mtodo
Control Objectives -- Controles mnimos
Audit Guidelines -- Como auditar
Management Guidelines -- Como medir la performance
Implementation Guide -- Como implementar el mtodo
ESTRUCTURA
INFORMACIN
EVENTOS
Objetivos de
negocio
Oportunidades de
negocio
Requerimientos
externos
Regulacin
Riesgos
Datos
Applicaciones
Tecnologa
Instalaciones
Recursos Humanos
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Objetivos del
Negocio
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento inndependiente
Proveer una auditora independiente
CobiT
Definir un plan estratgico de TI

Definir la arquitectura de informacin
Determinar la direccin tecnolgica
Definir la organizacin y relaciones de TI
Manejo de la inversin en TI
Comunicacin de la directrices Gerenciales
Administracin del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluacin de Riesgos
Administracin de Proyectos
Administracin de Calidad
Req. Informacin
Seguimiento
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad,
Cumplimiento, Confiabilidad
Planeacin y
Organizacin
Recursos de TI
Definicin del nivel de servicio
Admistracin del servicio de terceros
Administracin de la capacidad y el
desempeo
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificacin y asignacin de costos
Capacitacin de usuarios
Soporte a los clientes de TI
Administracin de problemas e incidentes
Administracin de Instalaciones
Administracin de Operaciones
Datos, Aplicaciones
Tecnologa, Instalaciones,
Recurso Humano
Servicios y
Soporte
Adquisicin e
Implementacin
Identificacin de soluciones
Adquisicin y mantenimiento de SW aplicativo
Adquisicin y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalacin y Acreditacin de sistemas
Administracin de Cambios
MARCO DE REFERENCIA
El control de
Procesos de TI
que satisfacen
Requerimientos
de negocios
se habilitan por
Objetivos
De control
Prcticas
De Control
Diagrama de cascada
ASISTENTE DE NAVEGACIN
Planificacin y
Organizacin
Vnculo entre Procesos,

Recursos y Criterios
Procesos de TI
que satisface los
Procesos
de TI
Recursos
de TI
Tres posiciones ventajosas
Entrega y
Soporte
Monitoreo
El contol de los
Criterios de
informacin
Adquisicin e
Implementacin
Requerimientos
de Negocio
es habilitado por las
Declaraciones
de Control
considerando las
Prcticas
de Control
OBJETIVOS DE CONTROL DE ALTO

NIVEL: DS5
El control sobre el proceso de:
Organizacin y
planeacin
administrar la seguridad de los

sistemas
Adquisicin e
implementacin
Entrega y
soporte
Satisface los requerimientos del negocio:

salvaguardar informacin contra uso, difusin o modificaciones
no autorizadas, dao o prdida
Monitoreo
Es posible por:
controles de acceso lgico que aseguren que el acceso a
sistemas, datos y programas se encuentra restringido a
usuarios autorizados
Considerando:
P P S S S
autorizacin, autenticacin, uso de perfiles e

identificaciones, firewalls, deteccin y proteccin de
virus, manejo de incidentes, etc.
Actividades de Control
Administrar Medidas de Seguridad
Reacreditacin
Identificacin, Autenticacin y Acceso
Confianza en Contrapartes
Seguridad de Acceso a Datos en Lnea
Autorizacin de transacciones
Administracin de Cuentas de Usuario
No negacin
Revisin Gerencial de Cuentas de Usuario
Sendero Seguro
Control de Usuarios sobre Cuentas de

Usuario
Proteccin de funciones de seguridad
Vigilancia de Seguridad
Administracin de Llaves Criptogrficas
Clasificacin de Datos
Prevencin, Deteccin y Correccin de

Software "Malicioso
Identificacin y administracin de
asignacin de derechos
Arquitectura de Fire Walls y conexin a

redes pblicas
Reportes de Violacin y de Actividades de

Seguridad
Proteccin de Valores Electrnicos
Manejo de Incidentes
Ejemplo: Supongamos la siguiente situacin

Procedimientos
de Seleccin del
Software
Establecimiento
inadecuado de los
requerimientos
funcionales
Se detectan fallas
en la puesta en
marcha del sistema
automatizado
Debido a las fallas

los usuarios se
resisten a utilizar el
sistema
Evaluacin del cumplimiento

de los objetivos de control
basados en la Norma COBIT
DOMINIO?
Objetivos de
Control
(PO) Planear y
Organizar
(AI1) Identificar
soluciones
automatizadas
(ME) Monitorear
y Evaluar
(AI2) Adquirir y
mantener software
(ES) Entregar y
dar soporte
(AI3) Adquirir y
mantener
infraestructura TIC
(AI) Adquirir e
Implementar
(AI4) Facilitar
operacin y uso
AI1 Identificar soluciones automatizadas

AI1.1 Definicin y mantenimiento de los requerimientos tcnicos y
funcionales del negocio.
Identificar, dar prioridades, especificar y acordar los requerimientos
de negocio funcionales y tcnicos.
Definir los criterios de aceptacin de los requerimientos. Estas
iniciativas deben incluir todos los cambios requeridos dada la
naturaleza del negocio, de los procesos, de las aptitudes y
habilidades del personal, su estructura organizacional y la
tecnologa de apoyo.
Establecer procesos para garantizar y administrar la integridad,
exactitud y la validez de los requerimientos del negocio, como
base para el control de la adquisicin y el desarrollo continuo de
sistemas.
AI1.2 Reporte de anlisis de riesgos

Identificar, documentar y analizar los riesgos asociados con los procesos
del negocio como parte de los procesos organizacionales para el
desarrollo de los requerimientos. Los riesgos incluyen las amenazas a la
integridad, seguridad, disponibilidad y privacidad de los datos, as
como el cumplimiento de las leyes y reglamentos.
AI1.3 Estudio de factibilidad y formulacin de cursos de accin
alternativos
Desarrollar un estudio de factibilidad que examine la posibilidad de
implantar los requerimientos.
AI1.4 Requerimientos, decisin de factibilidad y aprobacin.
El patrocinador del negocio aprueba y autoriza los requisitos de negocio,
tanto funcionales como tcnicos, y los reportes del estudio de factibilidad
en las etapas clave predeterminadas. Cada autorizacin va despus de
la terminacin de las revisiones de calidad.
Modelo de Madurez
Escala de medicin creciente a partir de 0 (No existente) hasta 5
(Optimizado) para la evaluacin de los procesos a partir de los objetivos
de control (IT Governance Institute, 2006).
No Existente
Inicial
Repetible
Definido
Administrado
Optimizado
Estado Actual de la empresa
0 No se aplican procesos administrativos en lo absoluto

1 Los procesos son ad-hoc y desorganizados
Promedio de la Industria
2 Los procesos siguen un patrn regular

3 Los procesos se documentan y se comunican
Objetivo de la empresa
4 Los procesos se monitorean y se miden

5 Las buenas prcticas se siguen y se automatizan
Las cinco formas de utilizar COBIT

Como una herramienta de comunicacin
Como una herramienta de organizacin
Como una
consenso
herramienta
para
estructurar
Como una herramienta de autoevaluacin de TI

Como una herramienta para determinar el
alcance de la tarea de auditora
COBIT PERMITE
Posibilidad de aplicar las prcticas en un amplio espectro de
sistemas de informacin, independientemente de la tecnologa
empleada
Cumplimiento de las generalmente aplicables y aceptadas
prcticas para el control de TI
Aumentar el valor de la empresa
Gestin orientada hacia el enfoque de dueos de procesos
Alineacin de objetivos de TI con objetivos del negocio
Utilizacin eficiente y eficaz de los recursos de TI
Gestin medible y auditable
COBIT NECESITA
CONCIENTIZACIN, CAPACITACIN Y
ENTRENAMIENTO
ADAPTACIN A LA ORGANIZACIN
FIJAR ROLES Y RESPONSABILIDADES
SER COMPLEMENTADA CON OTROS
MODELOS QUE PERMITAN CONTAR
CON UN GOBIERNO CORPORATIVO
ADECUADO
AI1
AI2
AI3
AI4
AI5
AI6
PERSONAS
DATOS
Adquisicin e
Implementacin
FACILIDADES
Navegacin
(Matriz)
TECNOCLOGA
DOMINIO AI:
APLICACIONES
COBIT
EFECTIVIDAD
EFICIENCIA
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
CUMPLIMIENTO
CONFIABILIDAD
PROCESOS
Identificar soluciones
de IT
P S
Adquirir y mantener
software aplicativo
Adquirir y mantener
arquitectura tecnolgica
Desarrollar y mantener
procedimientos de IT
Instalar y acreditar
sistemas
Administrar los cambios
P P
P P
P P
S S
P P
P P
S S
S S
CRITERIOS
RECURSOS
PRODUCTOS DE COBIT
INTERRELACIN DE LOS COMPONENTES DE COBIT

Negocio
Requerimientos
Informacin
Procesos de TI
Objetivos
de Control
Para resultados
Implementado
con
Indicadores
Clave de
Desempeo
Indicadores
Clave de
Metas
Metas de
las Actividades
Modelo de
Madurez
Guas de
Auditora
Practicas
de Control
DEFINICIN DE PROCESOS DE TI
PO1: Definir el Plan estratgico de TI

La funcin de servicios de informacin debera
asegurar que hay planes a corto y largo plazo para
administrar y orientar todos los recursos de IT de la
organizacin. Estos planes deben ser actualizados de
manera correcta y oportuna para adecuarlos a los
cambios de las condiciones de la TI.
La evaluacin de los sistemas existentes debe
realizarse antes de desarrollar o modificar el plan
estratgico de TI. As mismo, la funcin de
administracin de los servicios de informacin debe
asegurar que el plan estratgico de TI es consistente
con los objetivos del negocio, y los planes a corto y
largo plazo de la organizacin.
OBJETIVOS DE CONTROL DE
TI - DETALLADOS
DOMINIO PO: Planeacin y Organizacin
PROCESO: PO1: Definir el Plan Estratgico de TI

Y tiene en consideracin:
Objetivos de Control - Detallados
1
La TI como
parte de los
planes a
corto/largo
plazo de la
empresa
Cambios
Enfoque
y
Plan a
al Plan a
estructura
largo
largo
del
Plan
a
plazo de largo plazo
plazo
la TI
de la TI
de la TI
Evaluacin objetivos de control detallados
Plan corto
plazo de
la funcin
de
servicios
de TI
AUDITORA DE SISTEMAS DE INFORMACIN
REAS DE REVISIN
Control sobre el proceso de TI de:

Definicin de un plan Estratgico de TI
PO1
que satisface los requerimientos del negocio de:

Lograr un balance ptimo entre las oportunidades de
tecnologa de informacin y los requerimientos del negocio
para TI, as como para asegurar sus logros futuros.
se hace posible a travs de:
un proceso de planeacin estratgica emprendido en

intervalos regulares dando lugar a planes a largo plazo.
Los planes a largo plazo debern ser traducidos
peridicamente en planes operacionales estableciendo
metas claras y concretas a corto plazo:
y toma en consideracin:
Estrategia del negocio de la empresa

Definicin de cmo TI soporta los objetivos de negocio
inventario de soluciones tecnolgicas e infraestructura actual
Monitoreo del mercado de tecnologa
Estudios de factibilidad oportunos y chequeos con la realidad
Anlisis de los sistemas existentes
Posicin de la empresa sobre riesgos, en el proceso de compra
Necesidades de la Admn. senior en el proceso de compra
REAS DE REVISIN
1. DEFINICIN DE UN PLAN ESTRATGICO DE TI

1.1 Tecnologa de Informacin como parte del Plan de la
Organizacin a corto y largo plazo.
OBJETIVO DE CONTROL
La alta gerencia ser la responsable de desarrollar e
implementar planes a largo y corto plazo que satisfagan la
misin y las metas de la organizacin.
La alta gerencia deber asegurar que los problemas de TI, as
como las oportunidades, sean evaluados adecuadamente y
reflejados en los planes a largo y corto plazo de la
organizacin. Se deben desarrollar planes de TI a largo y
corto plazo para ayudar a asegurar que el uso de la TI est
acorde con la misin y las estrategias de negocio de la
organizacin.
REAS DE REVISIN
1.2 Plan a largo plazo de TI

OBJETIVO DE CONTROL
La Gerencia de TI y los responsables del proceso de negocio
debern desarrollar regularmente planes
de TI a largo plazo , que apoyen el logro de la misin y las
metas generales de la organizacin.
El mtodo de planeacin deber incluir mecanismos para
solicitar informacin a los interesados internos y externos
ms importantes, que se ven afectados por los planes
estratgicos de TI.
De la misma manera, la Gerencia deber implementar un
proceso de planeacin a largo plazo, adoptar un enfoque
estructurado y determinar la estructura para el plan.
REAS DE REVISIN
1.3 Plan a largo plazo de TI - Enfoque y Estructura

OBJETIVO DE CONTROL
La Gerencia de TI y los responsables del negocio debern establecer y aplicar
un enfoque estructurado al proceso de planeacin a largo plazo; dando como
resultado un plan de alta calidad que cubra las preguntas bsicas de qu,
quin, cmo, cundo y por qu el proceso de planeacin de TI debe tomar en
cuenta los resultados del anlisis del riesgo, incluyendo los riesgos del
negocio, entorno, tecnologa y recursos humanos.
Los aspectos a ser cubiertos adecuadamente durante el proceso de
planeacin, incluyen el modelo de organizacin y sus cambios, la distribucin
geogrfica, la evolucin tecnolgica, los costos, los requerimientos legales y
regulatorios, requerimientos de terceras partes o del mercado, el horizonte de
planeacin, reingeniera de procesos del negocio, la asignacin de personal,
outsourcing, datos, sistemas de aplicacin y arquitecturas de la tecnologa.
Los planes de TI, de largo y corto alcance debern incorporar indicadores y
objetivos de desempeo. El plan mismo deber hacer referencia a otros
planes tales como el plan de calidad de la organizacin y el plan de manejo
de riesgos de informacin.
REAS DE REVISIN
1.4 Cambios al Plan a largo plazo de TI

OBJETIVO DE CONTROL
La gerencia de TI y los dueos del proceso del negocio
debern asegurar que se establezca un proceso con el fin de
adaptar los cambios al plan a largo plazo de la
organizacin y los cambios en las condiciones de la TI.
La gerencia central deber establecer una poltica que
requiera que se desarrollen y se mantengan planes de largo y
corto plazo de TI.
REAS DE REVISIN
1.5 Planeacin a corto plazo para la Funcin de TI

OBJETIVO DE CONTROL
La Gerencia de TI y los responsables del negocio
debern asegurar que el plan a largo plazo de TI se
traduzca regularmente en planes a corto plazo de TI.
Estos planes a corto plazo debern asegurar que se
asignen los recursos apropiados de la funcin de
servicios de TI con una base consistente con el plan a
largo plazo de TI.
Los planes a corto plazo debern ser reevaluados y
modificados peridicamente segn se considere necesario,
respondiendo a las condiciones de cambios en el negocio
y en TI.
La realizacin oportuna de estudios de factibilidad
(Proyectos informticos) deber asegurar que la ejecucin
de los planes a corto plazo, sea iniciada adecuadamente.
REAS DE REVISIN
1.6 Comunicacin de los Planes de TI

OBJETIVO DE CONTROL
La gerencia debe asegurar que los planes de largo y
de corto plazo de TI sean comunicados a los dueos
del proceso del negocio y a otras partes relevantes
en toda la organizacin.
1.7 Monitoreo y Evaluacin de los Planes de
Tecnologa de la Informacin
OBJETIVO DE CONTROL
La gerencia debe establecer procesos para captar y
reportar la retroalimentacin de los dueos y
usuarios del proceso del negocio respecto a la
calidad y utilidad de los planes de largo y de corto
plazo. La retroalimentacin obtenida debe ser
evaluada y considerada en la planeacin futura de la
tecnologa de la informacin.
REAS DE REVISIN
1.8 Evaluacin de los Sistemas Existentes

OBJETIVO DE CONTROL
Previo al desarrollo o modificacin del Plan
Estratgico o plan a largo plazo de TI, la Gerencia
de TI debe evaluar los sistemas existentes en
trminos de: nivel de automatizacin de negocio,
funcionalidad, estabilidad, complejidad, costo y
fortalezas y debilidades; con el propsito de
determinar el nivel de soporte que ofrecen los
sistemas existentes a los requerimientos del
negocio.
REAS DE REVISIN
PO2
Definicin de la Arquitectura de Informacin
que satisface los requerimientos de negocio de:
organizar de la mejor manera los sistemas de
informacin
la creacin y mantenimiento de un modelo de
informacin de negocios y asegurando que se definan
sistemas apropiados para optimizar la utilizacin de
esta informacin
Repositorio automatizado de datos y diccionario

reglas de sintaxis de datos
propiedad de la informacin y clasificacin con base
en criticidad /seguridad
un modelo de informacin que represente el negocio
Normas de arquitectura de informacin de la empresa
REAS DE REVISIN

PO3
determinacin de la direccin tecnolgica
aprovechar la tecnologa disponible y las que van apareciendo
en
el mercado para impulsar y posibilitar la estrategia del negocio.
la creacin y mantenimiento de un plan de infraestructura
tecnolgica que establece y administra expectativas claras
y realistas de lo que puede brindar la tecnologa en
trminos de productos, servicios y mecanismos de entrega
capacidad de la infraestructura actual
monitoreo de desarrollos tecnolgicos por la va de fuentes
confiables
realizacin de prueba de conceptos
riesgos, restricciones y oportunidades
planes de adquisicin
estrategia de migracin y mapas alternativos (roadmaps)
relaciones con los vendedores
reevaluacin independiente de la tecnologa
Cambios de precio /desempeo de hardware y de software
REAS DE REVISIN

PO4
definicin de la organizacin y de las relaciones de TI
prestacin de los servicios correctos de TI
una organizacin conveniente en nmero y habilidades, con
tareas y responsabilidades definidas y comunicadas,
acordes con el negocio y que facilita la estrategia y provee
una direccin efectiva y un control adecuado.
responsabilidades del nivel directivo sobre TI
direccin de la gerencia y supervisin de TI
Alineacin de TI con el negocio
participacin de TI en los procesos clave de decisin
flexibilidad organizacional
roles y responsabilidades claras
equilibrio entre supervisin y delegacin de autoridad
descripciones de puestos de trabajo
Niveles de asignacin de personal y personal clave
Ubicacin organizacional de las funciones de seguridad,
calidad y control interno
Segregacin de funciones
REAS DE REVISIN
PO5
Manejo o administracin de la inversin de TI
asegurar el financiamiento y el control de desembolsos de
recursos financieros
Inversin peridica y presupuestos operacionales
establecidos y aprobados por el negocio
alternativas de financiamiento
Claros responsables del presupuesto
Control sobre los gastos actuales
justificacin de costos y concienciacin sobre el costo total
de la propiedad
j u s ti f icacin del beneficio y contabilizacin de todos los
beneficios
obtenidos
Ciclo de vida del software de aplicacin y de la tecnologa
Alineacin con las estrategias del negocio de la empresa
Anlisis de impacto
Administracin de los activos
REAS DE REVISIN

PO6
comunicacin de los objetivos y aspiraciones de la
gerencia que satisface los requerimientos de
negocio de:
asegurar que el usuario sea consiente y comprenda
dichas aspiraciones
polticas establecidas y transmitidas a la comunidad
de usuarios; adems, se necesitan estndares para
traducirlas opciones estratgicas en reglas de usuario
prcticas y utilizables
Misin claramente articulada

Directivas tecnolgicas vinculadas con aspiraciones de negocios
Cdigo de tica / conducta
Compromiso con la calidad
Polticas de seguridad y control interno
Practicas de seguridad y control interno
Ejemplos de liderazgo
Programacin continua de comunicaciones
Proveer guas y verificar su cumplimiento
REAS DE REVISIN

PO7
administracin de recursos humanos
Adquirir y mantener una fuerza de trabajo motivada y
competente y maximizar las contribuciones del personal a los
procesos de TI
prcticas de administracin de personal, sensatas,justas y
transparentes para reclutar, alinear, pensionar, compensar,
entrenar, promover y despedir
reclutamiento y promocin
Entrenamiento y requerimientos de calificaciones
desarrollo de conciencia
entrenamiento cruzado y rotacin de puestos
Procedimientos para contratacin, veto y despidos
evaluacin objetiva y medible del desempeo
responsabilidades sobre los cambios tcnicos y de mercado
Balance apropiado de recursos internos y externos
Plan de sucesin para posiciones clave
REAS DE REVISIN
PO8
aseguramiento del cumplimiento de requerimientos
externos
cumplir con obligaciones legales, regulatorias y
contractuales
la identificacin y anlisis de los requerimientos
externos en cuanto a su impacto en TI, y realizando
las
medidas apropiadas para cumplir con ellos
leyes, regulaciones y contratos
monitoreo de desarrollos legales y regulatorios
Monitoreo regular sobre cumplimiento
seguridad y ergonoma
privacidad
propiedad intelectual
REAS DE REVISIN

PO9
anlisis de riesgos
Soportar las decisiones de la gerencia a travs del logro de los
objetivos de TI y responder a las amenazas reduciendo su
complejidad e incrementando objetivamente e identificando
factores importantes de decisin.
la participacin de la propia organizacin en la
identificacin de riesgos de TI y en el anlisis de impacto,
involucrando funciones multidisciplinarias y tomando
medidas efectivas en coste para mitigar los riesgos
Administracin de riesgos de la propiedad y del registro de las
operaciones
diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de
seguridad, de continuidad, regulatorios, etc.)
Definir y comunicar un perfil tolerable de riesgos
Anlisis de las causas y sesiones de tormenta de ideas sobre riesgos
Medicin cuantitativa y/o cualitativa de los riesgos
metodologa de anlisis de riesgos
Plan de accin contra los riesgos
Volver a realiza anlisis oportunos
REAS DE REVISIN

PO10
administracin de proyectos que satisface los
requerimientos de negocio de:
establecer prioridades y entregar servicios oportunamente y de
acuerdo al presupuesto de inversin
La organizacin identificando y priorizando proyectos en
lnea con el plan operacional y la adopcin y aplicacin de
tcnicas de administracin de proyectos para cada proyecto
emprendido
El patrocinio que la gerencia de negocios debe dar a los proyectos
Administracin de programas
Capacidad para el manejo de proyectos
Involucramiento del usuario
Divisin de tareas, puntos de control y aprobacin de fases
Distribucin de responsabilidades
Rastreo riguroso de puntos de control y entregables
Costos y presupuestos de mano de obra, balance de recursos internos
y externos
Planes y mtodos de aseguramiento de calidad
Programa y anlisis de riesgos del proyecto
Transicin de desarrollo a operacin
REAS DE REVISIN

PO11
Administracin de la calidad
satisfacer los requerimientos del cliente de TI
la planeacin, implementacin y mantenimiento de
estndares de administracin de calidad y sistemas
provistos para las distintas fases de desarrollo, claros
entregables y responsabilidades explcitas
Establecimiento de una cultura de calidad

Planes de calidad
responsabilidades de aseguramiento de la calidad
Practicas de control de calidad
metodologa del ciclo de vida de desarrollo de sistemas
pruebas y documentacin de sistemas y programas
revisiones y reporte de aseguramiento de calidad
Entrenamiento e involucramiento del usuario final y del
personal de aseguramiento de calidad
Desarrollo de una base de conocimiento de aseguramiento
de calidad
Benchmarking contra las normas de la industria
REAS DE REVISIN

AI1
Identificacin de soluciones automatizadas
asegurar un efectivo y eficiente enfoque para satisfacer los
requerimientos del usuario
Una objetiva y clara identificacin y anlisis de oportunidades
alternativas comparadas contra los requerimientos de los
usuarios
Conocimientos de soluciones disponibles en el mercado
Metodologas de Adquisicin e implementacin
Involucramiento del usuario en el proceso de compra
Alineamiento con las estrategias de la empresa y de TI
definicin de requerimientos de informacin
estudios de factibilidad ( de costo-beneficio, alternativas, etc)
Requerimientos de funcionalidad, operatividad, aceptacin y
sostenimiento
Cumplimiento con la arquitectura de informacin
Costo - efectividad de la seguridad y los controles
Responsabilidades de los proveedores
REAS DE REVISIN

AI2
Identificacin de soluciones automatizadas
asegurar un efectivo y eficiente enfoque para satisfacer
los requerimientos del usuario
Una objetiva y clara identificacin y anlisis de
oportunidades alternativas comparadas contra los
requerimientos de los usuarios
Conocimientos de soluciones disponibles en el mercado
Metodologas de Adquisicin e implementacin
Involucramiento del usuario en el proceso de compra
Alineamiento con las estrategias de la empresa y de TI
definicin de requerimientos de informacin
estudios de factibilidad ( de costo-beneficio, alternativas, etc)
Requerimientos de funcionalidad, operatividad, aceptacin y
sostenimiento
Cumplimiento con la arquitectura de informacin
Costo - efectividad de la seguridad y los controles
Responsabilidades de los proveedores
REAS DE REVISIN

DS1
Definicin y administracin de niveles de servicio
establecer un entendimiento comn del nivel de servicio
requerido
el establecimiento de acuerdos de niveles de servicio
que formalicen los criterios de desempeo contra los
cuales se medir la cantidad y la calidad del servicio
Acuerdos o convenios formales
definicin de responsabilidades
tiempos y volmenes de respuesta
cargos
garantas de integridad
Acuerdos de confidencialidad
Criterio de satisfaccin del cliente
Anlisis costo-beneficio de los niveles de servicio
requerido
Monitoreo y reporte
REAS DE REVISIN

DS2
administracin de servicios prestados por terceros
asegurar que los roles y responsabilidades de las
terceras partes estn claramente definidas y que
cumplan y continen satisfaciendo los requerimientos

medidas de control dirigidas a la revisin y monitoreo de
acuerdos/ contratos y procedimientos existentes, en cuanto
a su efectividad y cumplimiento, con respecto a las polticas
de la organizacin
Acuerdos de servicio con terceras partes
Administracin de contrato
Acuerdos de confidencialidad
Requerimientos legales y regulatorios
Monitoreo y reporte de la entrega de servicio
Anlisis de riesgos de la empresa y de TI
Ejecucin de recompensas y sanciones
Contabilidad organizacional interna y externa
Anlisis de costos y variaciones en los niveles de servicio
REAS DE REVISIN
DS3
administracin de desempeo y capacidad
asegurar que la capacidad adecuada est disponible y
que se est haciendo el mejor uso de ella para alcanzar
el desempeo deseado
Recoleccin de datos, anlisis y reporte del
rendimiento de los recursos, aplicacin de mediciones
y demanda de cargas de trabajo
requerimientos de disponibilidad y desempeo
monitoreo y reporte automatizado
herramientas de modelado
administracin de capacidad
disponibilidad de recursos
Cambios en precio-rendimiento del hardware y
software
REAS DE REVISIN

DS4
asegurar el servicio continuo
Asegurar que los servicios de TI estn disponibles cuando se
requieran y asegurar el impacto mnimo en el negocio en el
evento que se presente una interrupcin mayor
tener un plan de continuidad de TI probado y funcional,
que est alineado con el plan de continuidad del negocio y
relacionado con los requerimientos de negocio
clasificacin de criticidad (severidad)
Procedimientos alternativos
respaldo y recuperacin
pruebas y entrenamiento sistemticos y regulares
Monitoreo y procesos de escalamiento
Responsabilidades organizacionales internas y externas
Activacin de la continuidad del negocio, vuelta atrs
(fallback) y plan de reactivacin
Actividades de administracin de riesgos
Anlisis de puntos nicos de falla
Administracin de problemas
REAS DE REVISIN

DS5
garantizar la seguridad de los sistemas
salvaguardar la informacin contra uso no autorizado,
divulgacin o revelacin, modificacin, dao o prdida
controles de acceso lgico que aseguren que el acceso a
sistemas, datos y programas est restringido a usuarios
autorizados
Requerimientos de privacidad y confidencialidad
Autorizacin, autenticacin y control de acceso
identificacin de usuarios y perfiles de autorizacin
Necesidad de saber y necesidad de tener
administracin de llaves criptogrficas
manejo, reporte y seguimiento de incidentes
Prevencin y deteccin de virus
Firewalls
Administracin centralizada de seguridad
Entrenamiento a los usuarios
Herramientas para monitoreo del cumplimiento, pruebas de
intrusin y reportes
REAS DE REVISIN

DS6
identificacin y asignacin de costos
asegurar un conocimiento correcto de los costos
atribuibles a los servicios de TI
un sistema de contabilidad de costos que asegure
que stos sean registrados, calculados y asignados a
los niveles de detalle requeridos y al apropiado
servicio ofrecido
Recursos identificables y medibles
Procedimientos y polticas de cargo
Tarifas de cargo y procesos de reversin de
cargos.
Conexin a acuerdo de niveles de servicio
Reporte automatizado
Verificacin de comprensin de beneficios
Benchmarking externo
REAS DE REVISIN

DS7
educacin y entrenamiento de usuarios
asegurar que los usuarios estn haciendo un uso efectivo
de la tecnologa y sean conscientes de los riesgos y
responsabilidades involucrados
un plan completo de entrenamiento y desarrollo
Plan de entrenamiento
Inventario de habilidades
Campaas de concientizacin
Tcnicas de concientizacin
Uso de nuevas tecnologas y mtodos de
entrenamiento
Productividad del personal
Desarrollo de una base de conocimientos
REAS DE REVISIN

DS8
Apoyo y asistencia a los clientes de TI
asegurar que cualquier problema experimentado por los
usuarios sea atendido apropiadamente
un help desk, o mesa de control y ayuda, que
proporcione soporte y asesora de primera lnea
consultas de los clientes y respuesta a
problemas
monitoreo de consultas y respuestas
anlisis y reporte de tendencias
Desarrollo de una base de conocimientos
Anlisis de las causas
Escalamiento y seguimiento de problemas
REAS DE REVISIN

DS9
dar cuenta de todos los componentes de TI, prevenir
alteraciones no autorizadas, verificar la existencia fsica y
proporcionar una base para la sana administracin del
cambio
controles que identifiquen y registren todos los
activos de TI as como su localizacin fsica y un
programa regular de verificacin que confirme su
existencia
registro de activos
administracin de cambios en la configuracin
chequeo de software no autorizado
controles de almacenamiento de software
Integracin e interrelacin de hardware y
software
Uso de herramientas automatizadas
REAS DE REVISIN

DS10
administracin de problemas e incidentes
asegurar que los problemas e incidentes sean resueltos y
que sus causas sean investigadas para prevenir cualquier
recurrencia
un sistema de administracin de problemas que
registre y d seguimiento a todos los incidentes
pistas de auditora de problemas y soluciones

resolucin oportuna de problemas reportados
procedimientos de escalamiento
reportes de incidentes
accesibilidad a la informacin de la configuracin
responsabilidades del proveedor
coordinacin con la administracin de cambios
REAS DE REVISIN

DS11
asegurar que los datos permanezcan completos, precisos y
vlidos durante su entrada, actualizacin y almacenamiento
una combinacin efectiva de controles generales y de
aplicacin sobre las operaciones de TI
diseo de formatos
controles sobre documentos fuente
controles de entrada, procesamiento y salida
identificacin, movimiento y administracin de la librera de
medios
Recuperacin y almacenamiento de datos
autenticacin e integridad
propiedad de datos
polticas de administracin de datos
modelos de datos y estndares de representacin de datos
integracin y consistencia en todas las plataformas
requisitos legales y regulatorios
REAS DE REVISIN

DS12
Administracin de instalaciones (sitios donde se procesa
informacin)
proporcionar un ambiente fsico conveniente que proteja
los equipos y al personal de TI contra peligros naturales
o fallas humanas
la instalacin de controles fsicos y ambientales adecuados
que sean revisados regularmente para garantizar su
adecuado funcionamiento
acceso a instalaciones
identificacin del sitio (instalacin)
seguridad fsica
Polticas de inspeccin y escalamiento
Plan de continuidad de negocios y administracin de crisis
salud y seguridad del personal
Polticas de mantenimiento preventivo
proteccin contra amenazas ambientales
Monitoreo automatizado
REAS DE REVISIN

DS13
administracin de operaciones
asegurar que las funciones importantes de soporte de TI estn
siendo llevadas a cabo regularmente y de una manera
ordenada
una programacin o planeacin de las actividades que sea
registrada y diligenciada con base en el cumplimiento de
todas las actividades
manual de procedimiento de operaciones
documentacin para el inicio de procesos
administracin de servicios de red
Programacin del personal y cargas de trabajo
proceso de cambio de turno
registro de eventos del sistema
Coordinacin con las reas de administracin de cambios,
disponibilidad y manejo continuo de negocios
Mantenimiento preventivo
Acuerdos de niveles de servicio
Operaciones automatizadas
Registro, rastreo y escalamiento de incidentes
REAS DE REVISIN

M1
monitoreo del proceso
asegurar el logro de los objetivos establecidos para los
procesos de TI
la definicin de indicadores de desempeo
gerenciales, el reporte oportuno y sistemtico del
desempeo y la oportuna accin sobre las
desviaciones
Tarjetas de decisin (scorecards) con indicadores de
desempeo y medicin de resultados
evaluacin de la satisfaccin de clientes
reportes gerenciales
Base de conocimientos del desempeo histrico
Benchmarking externo
REAS DE REVISIN
Control sobre el proceso de TI:

M2
Evaluar lo adecuado del control interno
asegurar el logro de los objetivos de control interno
establecidos para los procesos de TI
el compromiso de la Gerencia de monitorear los
controles internos, evaluar su efectividad y emitir
reportes sobre ellos en forma regular
Responsabilidades para el control interno
Monitoreo del control interno en proceso
benchmarks
reportes de errores y excepciones
autoevaluaciones
reportes gerenciales
Cumplimiento con los requerimientos legales y
regulatorios
REAS DE REVISIN

M3
obtencin de aseguramiento independiente
incrementar los niveles de confianza entre la organizacin,
clientes y proveedores externos
revisiones de aseguramiento independientes llevadas a
cabo en intervalos regulares
certificaciones / acreditaciones independientes
evaluaciones independientes de efectividad
aseguramiento independiente sobre cumplimiento de
requerimientos legales y regulatorios
aseguramiento independiente del cumplimiento de
compromisos contractuales
revisiones y benchmarking a proveedores externos de
servicios
Revisin por personal calificado del aseguramiento de
desempeo
involucramiento proactivo de la auditora
REAS DE REVISIN

M4
proveer auditora independiente
incrementar los niveles de confianza y beneficiarse de
recomendaciones basadas en mejores prcticas
auditoras independientes desarrolladas a intervalos
regulares
independencia de auditora
involucramiento proactivo de la auditora

ejecucin de auditoras por parte de personal
calificado
aclaracin de resultados y recomendaciones
actividades de seguimiento
Evaluacin del impacto de las recomendaciones de la
auditoria (costos, beneficios, y riesgos)
CPC. Eduardo Miranda Valdivia
REAS DE REVISIN
REAS DE REVISIN
INDICE
Introduccin
Marco de referencia
Directrices de auditora
Directrices gerenciales
Gua para la implementacin
REAS DE REVISIN
Directrices de Auditora
1 Directriz genrica
34 Directrices orientadas a procesos
REAS DE REVISIN
REAS DE REVISIN
Directriz
Genrica
de
Auditora
REAS DE REVISIN
REAS DE REVISIN
1) OBTENCIN DE UN ENTENDIMIENTO
Los pasos de auditora que se deben realizar para
documentar las actividades que generan inconvenientes a los
objetivos de control, as como tambin identificar las
medidas/procedimientos de control establecidas.
Entrevistar al personal administrativo y de staff apropiado
para lograr la comprensin de:
Los requerimientos del negocio y los riesgos asociados
La estructura organizacional
Los roles y responsabilidades
Polticas y procedimientos
Leyes y regulaciones
Las medidas de control establecidas
La actividad de reporte a la administracin (estatus,
desempeo, acciones)
Documentar el proceso relacionado con los recursos de TI que

se ven especialmente afectados por el proceso bajo revisin.
Confirmar el entendimiento del proceso bajo revisin, los
Indicadores Clave de Desempeo (KPI) del proceso, las implicaciones de
control, por ejemplo, mediante una revisin paso a paso del proceso.
REAS DE REVISIN
2) EVALUACIN DE LOS CONTROLES

Los pasos de auditora a ejecutar en la evaluacin de la
eficacia de las medidas de control establecidas o el grado en
el que se logra el objetivo de control. Bsicamente, decidir
qu se va a probar, si se va a probar y cmo se va a
probar.
Evaluar la conveniencia de las medidas de control para el
proceso bajo revisin mediante la consideracin de los
criterios identificados
y las prcticas estndares de la industria, los Factores
Crticos de xito (CSF) de las medidas de control y la
aplicacin del juicio profesional de auditor.
Existen procesos documentados
Existen resultados apropiados
La responsabilidad y el registro de las operaciones son
claros y efectivos
Existen controles compensatorios, en donde es
necesario
Concluir el grado en que se cumple el objetivo de control.
REAS DE REVISIN
3) VALORACIN DEL CUMPLIMIENTO

Los pasos de auditora a realizar para asegurar que las
medidas de control establecidas estn funcionando como
es debido, de
manera consistente y continua, y concluir sobre la
conveniencia del ambiente de control.
Obtener evidencia directa o indirecta de puntos/perodos
seleccionados para asegurarse que se ha cumplido con
los procedimientos durante el perodo de revisin,
utilizando evidencia tanto directa como indirecta.
Realizar una revisin limitada de la suficiencia de los
resultados del proceso.
Determinar el nivel de pruebas sustantivas y trabajo
adicional necesarios para asegurar que el proceso de TI
es adecuado.
REAS DE REVISIN
4) JUSTIFICAR/COMPROBAR EL RIESGO
Los pasos de auditora a realizar para justificar el riesgo
de que no se cumpla el objetivo de control mediante el
uso de tcnicas
analticas y/o consultas a fuentes alternativas. El
objetivo es respaldar la opinin e impresionar a la
administracin para que tome accin. Los auditores
tienen que ser creativos para encontrar y presentar esta
informacin que con frecuencia es sensible y
confidencial.
Documentar las debilidades de control y las amenazas y
vulnerabilidades resultantes.
Identificar y documentar el impacto real y potencial; por
ejemplo, mediante el anlisis de causa-efecto.
Brindar informacin comparativa; por ejemplo, mediante
benchmarks.
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
Son un punto de inicio para identificar
tareas asociadas con determinados
objetivos de control de proceso.
CPC. Eduardo Miranda Valdivia
REAS DE REVISIN
REAS DE REVISIN
PO 1 DEFINIR UN PLAN ESTRATGICO DE TI

Objetivos de control
1.- TI como parte del Plan a largo y corto plazo
2.- Plan a largo plazo de TI
3.- Plan a largo plazo de TI - Enfoque y Estructura
4.- Cambios al Plan a largo plazo de TI
5.- Planeacin a corto plazo para la Funcin de
Servicios de Informacin
6.- Comunicacin de los planes de TI
7.- Monitoreo y evaluacin de los planes de TI
8.- Evaluacin de los sistemas existentes
REAS DE REVISIN
Obtener un entendimiento a travs de:

Entrevistas:
Director General (Chief Executive Officer)

Director de Operaciones (Chief Operations Officer)
Director de Finanzas (Chief Financial Officer)
Director de TI (Chief Information Officer)
Miembros del comit de planeacin/direccin de la
funcin de servicios de informacin.
Gerencia de TI y personal de apoyo de RRHH
Obteniendo:
Polticas y procedimientos inherentes al proceso de

planeacin.
Roles y responsabilidades del equipo de Direccin
Objetivos de la Organizacin a largo y corto plazo
Objetivos de TI a largo y corto plazo
Reportes y minutas de seguimiento de las reuniones del
comit de Planeacin/Direccin
REAS DE REVISIN
Evaluar los controles:

Considerando si:
Las polticas y procedimientos de negocios de la funcin de

servicios de informacin siguen un enfoque de planeacin
estructurado. Se ha establecido una metodologa para
formular y modificar los planes y que cubre, como mnimo:
misin y las metas de la organizacin
iniciativas de tecnologa de informacin para soportar la
misin y las metas de la organizacin
oportunidades para las iniciativas de tecnologa de
informacin
estudios de factibilidad de las iniciativas de tecnologa de
informacin
evaluacin de los riesgos de las iniciativas de tecnologa de
informacin
inversin ptima de las inversiones en tecnologa de informacin
actuales y futuras
reingeniera de las iniciativas de tecnologa de informacin para
reflejar los cambios en la misin y las metas de la organizacin
evaluacin de las estrategias alternativas para las aplicaciones de
datos, tecnologa y organizacin
REAS DE REVISIN
Los cambios organizacionales, la evolucin tecnolgica,

los requerimientos regulatorios, la reingeniera de los
procesos de negocios, el in-sourcing y el outsourcing, las
reas de apoyo, etc. estn siendo consideradas y
dirigidas adecuadamente en el proceso de planeacin.
Existen planes de tecnologa de informacin a corto y
largo plazo, estn actualizados, estn dirigidos
adecuadamente a toda la empresa, su misin y funciones
clave de negocios.
Los proyectos de TI estn soportados por la
documentacin apropiada segn lo definido en la
metodologa de planeacin de
tecnologa de informacin.
Existen puntos de revisin para asegurar que los
objetivos de tecnologa de informacin y los planes a
corto y largo plazo
continan satisfaciendo los objetivos y los planes a corto
y largo plazo de la organizacin.
REAS DE REVISIN
Los propietarios de procesos y la Gerencia llevan a cabo

revisiones y aprobaciones formales a los planes de TI.
El plan de tecnologa de informacin evala los sistemas
de informacin existentes en trminos del grado de
automatizacin, funcionalidad, estabilidad, complejidad,
costos, fortalezas y debilidades del negocio.
La ausencia de planeacin a largo plazo para los sistemas
de informacin y la estructura que lo soporta resulta en
sistemas que no soportan los objetivos de la empresa ni
los procesos del negocio, o no proveen integridad,
seguridad y control apropiados.
REAS DE REVISIN
Evaluar la suficiencia:
Probando que:
Las minutas de las reuniones del comit de Planeacin de la
funcin de servicios de informacin reflejan el proceso de
planeacin.
Los entregables de la metodologa de planeacin existen
segn lo indicado.
Se incluyen iniciativas de tecnologa de informacin
relevantes en los planes a corto y largo plazos de la funcin
de servicios de informacin (por ejemplo, cambios de
hardware, planeacin de capacidad, arquitectura de
informacin, desarrollo u obtencin de nuevos sistemas,
planeacin de recuperacin en caso de desastre, instalacin
de plataformas para nuevos procesamientos, etc.).
Las iniciativas de tecnologa de informacin soportan la
investigacin, el entrenamiento, la asignacin de personal,
las instalaciones, el hardware y el software.
REAS DE REVISIN
Evaluar la suficiencia:
Probando que:
Se han identificado las implicaciones tcnicas para las
iniciativas de tecnologa de informacin
Se ha tomado en consideracin la optimizacin de las
inversiones de tecnologa de informacin actuales y futuras
Los planes a corto y largo plazo de tecnologa de
informacin son consistentes con los planes a corto y largo
plazo de la organizacin, as como con los requerimientos
de sta.
Se han modificado los planes para reflejar condiciones
cambiantes.
Los planes a largo plazo de tecnologa de informacin son
traducidos peridicamente en planes a corto plazo.
Existen tareas para implementar los planes.
REAS DE REVISIN
Comprobar el riesgo de los objetivos de control no cumplidos:

Llevando a cabo:
Mediciones ("Benchmarking") de planes estratgicos de
tecnologa de informacin contra organizaciones
similares o apropiados estndares internacionales
reconocidos como buenas prcticas de la industria.
Una revisin detallada de los planes de TI para asegurar
que las iniciativas de tecnologa de informacin reflejen
la misin y las metas de la organizacin.
Una revisin detallada de los planes de TI para
determinar si, como parte de las soluciones de
tecnologa de informacin contenidas en los planes, se
han identificado reas dbiles dentro de la organizacin
que requieren ser mejoradas.
REAS DE REVISIN
Comprobar el riesgo de los objetivos de control no

cumplidos:
Identificando:
Fallas en la tecnologa de informacin para satisfacer la
misin y las metas de la organizacin.
Fallas en la tecnologa de informacin para concordar
con los planes a corto y largo plazo.
Fallas en los proyectos de TI para satisfacer los planes a
corto plazo.
Fallas en la tecnologa de informacin para satisfacer
lineamientos de costos y tiempos.
Oportunidades de negocios no aprovechadas.
Oportunidades no aprovechadas por TI.
REAS DE REVISIN
INDICE
Introduccin
Marco de referencia
Gua para la implementacin
REAS DE REVISIN
REAS DE REVISIN
Factores crticos de xito
REAS DE REVISIN
Indicadores clave de desempeo (KPI)
REAS DE REVISIN
Indicadores clave de objetivos (KGI)

El control de
Proceso de TI
KGI (goal/objetivo)
Que satisface
Req. de
negocio
Es habilitado por
Declaracin
indicadores medibles
de control
considerando
del proceso para conseguir
Prcticas
de control
su objetivo
f(Req. Del negocio de la cascada )
Influenciados por los criterios de informacin
primarios y secundarios
Una fuente potencial puede encontrarse en la seccin
sustanciar el riesgo de las directrices de auditora
de COBIT
REAS DE REVISIN
Genricas y orientadas a la accin

Con el proposition de
Perfilar el control de TI qu es importante?
Conciencia dnde est el riesgo?
Benchmarking qu hacen los dems?
Soportar la toma de decisiones y supervisin
Indicadores claves de desempeo para
procesos TI
Factores crticos de xito de los controles
Alternativas de implementacin de los
controles
REAS DE REVISIN
Directriz de Proceso Genrico

Gobierno sobre la tecnologa de informacin y los procesos con las
metas del negocio para aadir valor, mientras se balancean los
riesgos y el retorno
Asegurar la entrega de informacin al Negocio el cual establece
los Criterios de Informacin requeridos y es medido por
Indicadores Clave de Resultados/Logros
Se hace posible a travs de la creacin y mantenimiento de
un sistema de procesos y controles apropiados para el
negocio, el cual dirige y monitorea el valor del negocio
proporcionado por TI
Considera Factores Crticos de xito que tiene en
cuenta todos los Recursos de TI y es medido por
Indicadores Clave de Desempeo
REAS DE REVISIN
Modelos de madurez para autoevaluacin
REAS DE REVISIN
DIMENSIONES DEL MODELO DE MADUREZ

Entendimiento y conocimiento de los riesgos y de los
problemas de control
Capacitacin y comunicacin aplicadas a los problemas
Proceso y prcticas que son implementados
Tcnicas y automatizacin para hacer los procesos ms
efectivos y eficientes
Grado de cumplimiento de la poltica interna, las leyes y
las reglamentaciones
Tipo y grado de pericia empleada.
REAS DE REVISIN

- Las actividades del gobierno de TI son integradas dentro del
proceso de gobierno de la empresa y las conductas de
liderazgo
- El gobierno de TI se enfoca en los objetivos y metas de la
empresa, en las iniciativas estratgicas y el uso de tecnologa
para mejorar el negocio, con base en la disponibilidad de
recursos y capacidades suficientes para soportar las demandas
del negocio
Las actividades del Gobierno de TI estn definidas sobre
propsitos claros, documentados e implementados, basados en
las necesidades de la empresa y con responsabilidades
concretas.
- Las prcticas gerenciales son implementadas para incrementar
la eficiencia y el uso ptimo de los recursos as como
incrementar la efectividad de los procesos de TI.
REAS DE REVISIN

- Se establecen prcticas organizacionales para: evitar descuidos;
una cultura/ambiente de control; anlisis de riesgos como
prctica estndar; grado de adherencia a estndares
establecidos; monitoreo y seguimiento a los riesgos y a las
deficiencias de control.
- Se definen prcticas de control para evitar el incumplimiento o
mal uso de controles internos.
- Hay integracin e interoperabilidad transparente de los procesos
de TI mas complejos como podran ser: problemas, cambios y
administracin de la configuracin.
- Se establece un comit de auditora para designar y supervisar
un auditor independiente enfocado sobre TI cuando dirige la
ejecucin de planes de auditora y revisa los resultados de las
auditoras y revisiones de terceros.
REAS DE REVISIN
Indicadores clave de objetivo

- Incrementar el desempeo y la administracin de costos
- Mejorar el retorno de la inversin sobre las mayores inversiones de TI
-Mejorar el tiempo de comercializacin
-Incrementar la calidad, la innovacin y la administracin de riesgos
- Procesos del negocio apropiadamente integrados y estandarizados
- Bsqueda de nuevos clientes y satisfacer los existentes
- Disponibilidad de apropiado ancho de banda, poder de cmputo y
mecanismos para la entrega de servicios de TI
- Satisfacer los requerimientos y las expectativas de los clientes de los
procesos con base en un presupuesto y a tiempo
- Cumplir con las leyes, regulaciones, estndares de la industria y
compromisos contractuales.
- Transparencia en los riesgos asumidos y cumplimiento con el acuerdo del
perfil de riesgo organizacional.
- Comparaciones mediante Benchmarking sobre el nivel de madurez de TI
- Creacin de nuevos canales de distribucin y entrega de servicios
REAS DE REVISIN
Indicadores clave de desempeo

- Mejorar los procesos de costo-eficiencia de TI
(costos versus entregables o servicios)
- Incrementar el nmero de planes de accin de TI para las
iniciativas de mejora de procesos
- Incrementar la utilizacin de la infraestructura de TI
- Incrementar la satisfaccin de los socios y accionistas
(encuestas y nmero de reclamaciones).
- Incrementar la productividad de los funcionarios de TI (nmero
de entregables) y su moral (encuesta)
- Incrementar la disponibilidad de conocimiento e informacin
para administrar la empresa.
- Incrementar las relaciones entre el gobierno de la empresa y
el gobierno de TI
- Incrementar el desempeo mediante mediciones utilizando
tarjetas de medicin (Balanced Scorecards)
REAS DE REVISIN
PO1 Planeacin y Organizacin

Definir un Plan Estratgico de Tecnologa de
Informacin
El Control sobre el proceso de TI de Definir un Plan Estratgico de TI
con el objetivo del negocio de
lograr un equilibrio ptimo de oportunidades de tecnologa de la
informacin y de los requerimientos de TI del negocio as como tambin
asegurar su cumplimiento posterior
Asegura la entrega de informacin al negocio que satisface los
Criterios de Informacin requeridos y se mide por los Indicadores
Clave de Objetivo
Es posibilitado por un proceso de planeacin estratgica
emprendido a intervalos regulares dando lugar a planes a largo
plazo; los planes a largo plazo deben ser traducidos
peridicamente en planes operativos que fijan metas a corto
plazo claras y concretas
Considera los Factores Crticos de xito que apalancan
Recursos de TI especficos y se mide por medio de los
Indicadores Clave de Desempeo.
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
REAS DE REVISIN
PO1 Modelo de Madurez

El control sobre el proceso de TI de Definir un Plan
Estratgico de TI con el objetivo del negocio de
alcanzar un balance ptimo de oportunidades de tecnologa
de la informacin y requerimientos de TI del negocio as como
tambin asegurando su posterior cumplimiento
0 Inexistente. No se realiza la planeacin estratgica de TI.
La administracin no est conciente de que la planeacin
estratgica de TI es necesaria para apoyar los objetivos del
negocio.
REAS DE REVISIN
1 Inicial /Ad hoc La administracin de TI est conciente de la

necesidad de planeacin estratgica de TI, pero no se ha
instalado un proceso estructurado de decisin. La planeacin
estratgica de TI se realiza con base a la necesidad en
respuesta a un requerimiento especfico del negocio y los
resultados son por lo tanto espordicos e inconsistentes. La
planeacin estratgica de TI es discutida ocasionalmente en
las reuniones de administracin de TI, pero no en las
reuniones de administracin del negocio. La correspondencia
con los requerimientos del negocio, las aplicaciones y la
tecnologa ocurren de manera reactiva, impulsadas por ofertas
de los vendedores, en lugar de ser por una estrategia en toda
la organizacin. La posicin estratgica de riesgo es
identificada informalmente en cada proyecto.
REAS DE REVISIN
2 Repetible pero Intuitiva La planeacin estratgica de TI es

entendida por la administracin de TI, pero no est documentada.
La planeacin estratgica de TI es realizada por la administracin
de TI, pero slo es compartida con la administracin del negocio
en la medida en que se necesita.
La actualizacin del plan estratgico de TI se lleva a cabo slo en
respuesta a solicitudes de la administracin y no hay un proceso
proactivo para identificar los desarrollos de TI y del negocio que
requieren actualizaciones del plan. Las decisiones estratgicas son
impulsadas por proyecto, sin consistencia con una estrategia
general de la organizacin. Los riesgos y los beneficios de usuario
de las principales decisiones estratgicas estn siendo
reconocidos, pero su definicin es intuitiva.
REAS DE REVISIN
3 Proceso Definido Una poltica define cundo y cmo realizar

la planeacin estratgica de TI. La planeacin estratgica de TI
sigue un mtodo estructurado que est documentado y que es
conocido por todos los miembros del personal. El proceso de
planeacin de TI es razonablemente adecuado y asegura que la
planeacin apropiada probablemente se realice. Sin embargo, se
da discrecin a los administradores individuales respecto a la
implementacin del proceso y no hay procedimientos para
examinar el proceso regularmente. La estrategia general de TI
incluye una definicin consistente de riesgos que la organizacin
est dispuesta a correr como un innovador o seguidor. Las
estrategias financiera, tcnica y de recursos humanos de TI
impulsan cada vez ms la adquisicin de nuevos productos y
tecnologas.
REAS DE REVISIN
4. Administrado y Medible La planeacin estratgica de TI es una

prctica estndar y la administracin sealara las excepciones. La
planeacin estratgica de TI es una funcin definida de la
administracin con responsabilidades a nivel de alta gerencia. Con
respecto al proceso de planeacin estratgica de TI, la administracin
puede monitorearla, tomar decisiones inteligentes con base en sta y
medir su efectividad. Tanto la planeacin a corto como a largo plazo se
realiza y cae en cascada a la organizacin hacindose
actualizaciones a medida que se necesitan. La estrategia de TI y la
estrategia de toda la organizacin se estn volviendo cada vez ms
coordinadas resolviendo procesos de negocio y capacidades de valor
agregado y apalancando el uso de aplicaciones y de tecnologas a
travs de reingeniera del proceso de negocio. Hay un proceso bien
definido para balancear los recursos internos y externos requeridos en
el desarrollo y en las operaciones del sistema. Benchmarking frente a
normas y competidores de la industria se est volviendo cada vez ms
formalizada.
REAS DE REVISIN
5. Optimizado La planeacin estratgica de TI, es un proceso

documentado, viviente, es constantemente considerado en la determinacin
del objetivo del negocio y tiene como resultado un valor discernible de
negocio a travs de inversiones en TI. Constantemente se estn
actualizando las consideraciones de riesgo y de valor agregado en el
proceso de planeacin estratgica de TI. Hay una funcin de planeacin
estratgica de TI que es integral con la funcin de planeacin del negocio.
Se desarrollan planes realistas de TI a largo plazo y los mismos estn
siendo constantemente actualizados para que reflejen la tecnologa
cambiante y los desarrollos relacionados con el negocio. Los planes de corto
plazo de TI contienen hitos de tareas de proyectos y productos que son
constantemente monitoreados y actualizados, a medidas que ocurren
cambios. El establecimiento de Benchmarking frente a normas de la
industria bien entendidas y confiables es un proceso bien definido y est
integrado con el proceso de formulacin de estrategias. La organizacin de
TI identifica y respalda nuevos desarrollos de la tecnologa para impulsar la
creacin de nuevas capacidades de negocios y para mejorar la ventaja
competitiva de la organizacin.
NECESIDAD DE RESPUESTA A
LOS RETOS DE TI
Los 7 retos:
Qu no se interrumpa el servicio
Qu aporte valor
Administrar los costos
Dominar la complejidad
Alineacin con el Negocio
Cumplimiento de Regulaciones
Seguridad.
BUEN GOBIERNO DE TI
Principios, participantes, mbito, ventajas
Los 4 principios:
Dirigir y controlar
Con responsabilidad
Con imputabilidad (Accountability)
Mediante actividades (Procesos)
NECESIDAD DE RESPUESTA A
LOS RETOS DE TI
Los participantes (stakeholders):

Internos
Externos
BUEN GOBIERNO DE TI
Las 5 reas:
Alineacin estratgica
Aportacin de Valor
Gestin de Riesgos
Gestin de Recursos
Medidas de Rendimiento
BUEN GOBIERNO DE TI
Las 5 ventajas:
Confianza de la Alta Direccin
TI es co-responsable al negocio
Retorno de Inversin Superior
Servicios ms confiables
Mayor transparencia
MARCOS DE BUEN GOBIERNO

Y DE TI
Las 5 caractersticas generales de un buen
marco:
Enfocado al Negocio
Orientado a Procesos
Generalmente aceptado
Utilice un lenguaje comn
Cumpla con los requisitos regulatorios
COBIT: Gobierno de TI de las Empresas (GEIT)

Evolucin del Alcance
Gobierno Corporativo de TI
Gobierno de TI
Val IT 2.0
Administracin
(2008)
Control
Risk IT
(2009)
Auditora
COBIT1
1996
COBIT2
1998
COBIT3
2000
COBIT4.0/4.1 COBIT 5
2005/7
2012
Un Marco Empresarial de ISACA, www.isaca.org/cobit

Source: COBIT 5 Introduction Presentation 2012 ISACA All rights reserved
Gobierno Corporativo de TI
ISO/IEC 38500: 2008
Gobierno Corporativo de Tecnologa

de Informacin
1.1 Alcance
Este estndar establece los principios rectores para directores de
organizaciones (incluyendo propietarios, miembros del consejo,
directores, socios, ejecutivos de alto nivel, o similar) sobre el uso
eficaz, eficiente y aceptable de la tecnologa de la informacin
(TI) dentro de sus organizaciones.
Esta norma se aplica a la gestin de los procesos de gestin
(toma de decisiones) relativas a los servicios de informacin y
comunicacin utilizados por una organizacin. Estos procesos
pueden ser controlados por especialistas en TI dentro de la
organizacin o de los proveedores de servicios externos, o por
unidades de negocio dentro de la organizacin.
Gobierno Corporativo de TI (cont.)

ISO/IEC 38500: 2008

de Informacin
2.1 Principios
2.1.1 Principio 1: Responsabilidad
2.1.2 Principio 2: Estrategia
2.1.3 Principio 3: Adquisicin
2.1.4 Principio 4: Desempeo
2.1.5 Principio 5: Conformidad
2.1.6 Principio 6: Comportamiento Humano
Gobierno Corporativo de TI (cont.)

ISO/IEC 38500: 2008

de Informacin
2.2 Modelo
Los administradores deben gobernar las TI a travs de tres tareas
principales:
a) Evaluar el uso actual y futuro de TI.
b) Preparacin directa y la aplicacin de planes y polticas para
garantizar que el uso de las TI cumple con los objetivos de
negocio.
c) Monitorear la conformidad de las polticas, y el desempeo
contra los planes.
COBIT 5
COBIT 5 en Resumen
COBIT 5 rene a los cinco principios
que permiten a la empresa de construir
una gobernabilidad efectiva y un marco
de gestin basado en un conjunto
holstico de siete facilitadores que
optimiza la informacin y la inversin en
tecnologa y el uso para el beneficio de
las partes interesadas.
El marco COBIT 5
En pocas palabras, COBIT 5 ayuda a las empresas a crear
valor ptimo de TI mediante el mantenimiento de un
equilibrio entre la obtencin de beneficios y la optimizacin
de los niveles de riesgo y el uso de los recursos.
COBIT 5 permite que la informacin y la tecnologa
relacionada para ser gobernado y administrado de manera
integral para el conjunto de la empresa, teniendo en el
pleno de extremo a extremo del negocio y reas
funcionales de responsabilidad, teniendo en cuenta los
intereses relacionados con la TI de grupos de inters
internos y externos.
Los principios y los facilitadores de COBIT 5 son de
carcter genrico y til para las empresas de todos los
tamaos, ya sea comercial, sin fines de lucro o en el sector
pblico.
Los Principios de COBIT 5

1. Satisfacer
las
necesidades
de las partes
interesadas
5. Separar el
Gobierno de la
Administracin
2. Cubrir la
Organizacin de
forma integral
Principios
de COBIT 5
4. Habilitar
un enfoque
holistico
3. Aplicar un
solo marco
integrado
Source: COBIT 5, figure 2. 2012 ISACA All rights reserved.
Habilitadores de COBIT 5
3. Estructuras
Organizacionales
2. Procesos
4. Cultura, tica
y Comportamiento
1. Principios, Polticas y Marcos
5. Informacin
6. Servicios,
Infraestructura
y Aplicaciones
7. Personas,
Habilidades y
Competencias
RECURSOS
Source: COBIT 5, figure 12. 2012 ISACA All rights reserved.
COBIT 5
Marcos de Referencia de Administracin de TI

Las organizaciones debern considerar y usar una variedad de modelos, estndares
y mejores practicas de TI por lo tanto asegrese de que entiende esto con el fin de
considerar como pueden usarse juntos, con COBIT actuando como consolidador
COSO
COBIT
QUE
ISO 9000
ISO 27001
ITIL
CAMPO DE COBERTURA
COMO
Administracin de TI - Directrices
Directrices
Gobierno Corporativo
Balanced Scorecard
Gobierno de TI
Estndares de mejores prcticas
Procesos y Procedimientos
CONFORMIDAD
Basilea II, SarbanesOxley Act, etc
DESEMPEO:
Metas del negocio
COSO
COBIT
ISO
9001:2000
Procedimientos
de QA
ISO
27001
ISO
20000
Principios
de
Seguridad
ITIL
Administracin de TI - Relaciones
ITIL
Estandariza procesos con un claro enfoque a la
Gestin del Servicio Entregables.
ISO 27001 (17799)
Normativa estndar de SEGURIDAD DE LA
INFORMACIN
COBIT
Proporciona un enlace claro entre los
Requerimientos del Gobierno de TI, los Procesos
de TI y los Controles de TI
ITIL
Estandariza procesos con un claro enfoque a
la Gestin del Servicio Entregables.
ITIL 10 procesos,
1.
2.
3.
4.
5.
Gestin
Gestin
Gestin
Gestin
Gestin
de
de
de
de
de
Procesos de soporte
la Configuracin (Configuration Management).
Incidencias (Incident Management).Service Desk
Problemas (Problem Management).
Cambios (Change Management).
la Distribucin (Release Management).
Procesos de entrega de servicios

6. Gestin de la Capacidad (Capacity Management).
7. Gestin de la Disponibilidad (Availability Management).
8. Gestin de la Continuidad (Continuity Management).
9. Gestin Financiera (Financial Management).
10. Gestin del Nivel de Servicio (Service Level Management).
ISO 27001 (17799)

Normativa estandard de SEGURIDAD DE LA
INFORMACIN
1. Poltica de Seguridad
2. Organizacin de Seguridad
3. Clasificacin y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Fsica y Ambiental
6. Gestin de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
COBIT
Proporciona un Enlace Claro entre los Requerimientos del
Gobierno de TI, los Procesos de TI y los Controles de TI
OBJETIVOS DEL NEGOCIO
OBJETIVOS DE GOBIERNO
ME1
ME2
ME3
ME4
Monitorear y Evaluar el
desempeo de TI.
Monitorear y Evaluar el control
interno.
Garantizar el cumplimiento
regulatorio.
Proveer Gobierno de TI.
PO1
PO2
MARCO DE
REFERENCIA
C O B I T
INFORMACION
Integridad
Eficiencia
Efectividad
Cumplimiento
Disponibilidad
Confidencialidad
Confiabilidad
DS1
Definir y administrar niveles de

servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y
capacidad.
DS4 Asegurar continuidad de servicio.
DS5 Garantizar la seguridad de
sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y capacitar usuarios.
DS8 Administrar servicios de apoyo e
incidentes.
DS9 Administrar la configuracin.
DS10 Administrar problemas.
DS11 Administrar datos.
DS12 Administrar el ambiente fsico.
DS13 Administrar operaciones.
PLANEACIN
Y
ORGANIZACIN
MONITOREAR
Y
EVALUAR
Definir un plan estratgico de TI.

Definir la arquitectura de
informacin.
PO3 Determinar la direccin
tecnolgica.
PO4 Definir los procesos de TI, la
organizacin y sus relaciones.
PO5 Administrar las inversiones en TI.
PO6 Comunicar la direccin y objetivos
de la gerencia.
PO7 Administrar los recursos humanos
de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de
TI.
PO10 Administrar proyectos.
RECURSOS
DE
TI
Aplicaciones
Informacin
Infraestructura
Personas
ENTREGA
Y
SOPORTE
AI1
AI2
ADQUISICIN
E
IMPLEMENTACIN
AI3
AI4
AI5
AI6
AI7
Identificar soluciones de
automatizacin.
Adquirir y mantener software de
aplicacin.
Adquirir y mantener la
infraestructura tecnolgica.
Permitir la operacin y uso.
Obtener recursos de TI.
Administrar cambios.
Instalar y acreditar soluciones y
cambios.
COBIT, ITIL e ISO 27001 son normativas

valiosas para el crecimiento y xito de una
organizacin por las siguientes razones:
- Los directivos y responsables empresariales exigen
mejores beneficios de las inversiones en TI.
- Las organizaciones se enfrentan a riesgos
relacionados con las TI, tales como la seguridad de
la red.
- Las mejores prcticas ayudan a cumplir los
requisitos reglamentarios de los controles de las TI
en reas como la confidencialidad y la preparacin
de informes financieros.
- Las organizaciones pueden optimizar sus costes
siguiendo enfoques normalizados.
Como las normas trabajan conjuntamente
- Las mejores prcticas ayudan a las

organizaciones a evaluar su rendimiento en
comparacin con normas aceptadas
generalmente.
- Utilizando COBIT como un marco de control
general para la gestin de las TI, e ITIL e ISO
27001 proporcionan procesos normalizados
pormenorizados.
Los 34 procesos de TI de COBIT y los
objetivos de control de alto nivel se mapean
en secciones de ITIL y de ISO 27001.

Asclases IV 0

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Asclases IV 0

Cargado por

Copyright:

Formatos disponibles

AUDITORIA EN INFORMATICA

La productividad de cualquier organizacin depende del funcionamiento

El crecimiento del acceso a Internet y de usuarios conectados

Crecimiento de la informacin disponible de empresas y sus

Mensajes de e-mail que contienen attachments que explotan

Robo de credenciales o captura ilegal de datos.

Acceso a redes empresariales a travs de cdigos maliciosos

En el 2009 los sectores financiero, proveedores de servicios TIC,

En el 2009 Symantec identific 240 millones de programas maliciosos,

Fuente: Symantec (2010).

En el 2010 hubo 286 millones de nuevas ciberamenazas.

Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el

Cuidar a las empresas en esos momentos no es labor fcil. Los

Fuente: Symantec (2010) e ITESPRESSO.ES (2010)..

Se requiere contar con una efectiva administracin de

Rol Bsico de la Funcin de Auditora Informtica

Supervisin de los CONTROLES IMPLEMENTADOS

Fuente: Rodrguez (2006)

Factores que propician la Auditora

Objetivos generales de la Auditora en

Auditoria de Sistemas de Barcelona (2004)

Objetivos generales de la Auditora en

SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo

SENA, LEONARDO Y SIMN M.

Perdida de dinero, deterioro de la

SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico.

Y...Qu es el control interno?

CONTROL INTERNO. DEFINICIN Y TIPOS

Cualquier actividad o accin realizada

La tipologa tradicional de los controles informticos es:

Control Interno y Auditora

Entorno y Objetivos de Control

Normas de Auditora Informtica

Gua de auditoria del

Commission, EEUU 1992).

Consolidacin y armonizacin 18 estndares

COSO (Committe Of Sponsoring Org. of the Treadway Commission)

Alineado con estndares y regulaciones de

ntegro (basado en una revisin crtica y

Razones que llevan a considerar

Razones que llevan a considerar implantar

Marco de Trabajo de Control COBIT

Proveer un marco nico reconocido a nivel mundial de

Consolidar y armonizar estndares originados en

Concientizar a la comunidad sobre importancia del

Enlaza los objetivos y estrategias de los negocios con

Aplica a todo tipo de organizaciones independiente de

Ratifica la importancia de la informacin, como uno de

los recursos ms valiosos de toda organizacin exitosa

Las mejores prcticas de TI se han vuelto

Las mejores prcticas de TI se han vuelto

Las mejores prcticas de TI se han vuelto

Marcos de Referencia de Administracin de TI

Estndares de mejores prcticas

REGLA DE ORO DE COBIT

A fin, de proveer la informacin

La Direccin, a travs de su Gobierno

Los Mandos Gerenciales para saber que

El Auditor para sustentar sus opiniones

El rea usuaria para saber que puede

El Gerente de Tecnologa para definir un

Los Organismos estatales de control, para

Su orientacin hacia el negocio consiste en

El concepto o enfoque del marco COBIT, se basa en que el