Está en la página 1de 21

GOBIERNO DE MENDOZA Gobernacin

Comit de Informacin Pblica

Decreto n ! "#$%&''(Re)ol*cin n ! +,

Objetivos de Control para la Informacin y Tecnologas Relacionadas


Control Ob-ecti.e) for Information and related /ec0nolo12 3CObI/4

Resumen Ejecutivo
Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) relacionada. n esta sociedad glo!al (donde la informacin via"a a travs del #ci!erespacio# sin las restricciones de tiempo, distancia y velocidad) esta criticalidad emerge de$ la creciente dependencia en informacin y en los sistemas %ue proporcionan dic&a informacin
la creciente vulnera!ilidad y un amplio espectro de amenazas, tales como las

#ci!er amenazas# y la guerra de informacin (information warfare). la escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin' el potencial %ue tienen las tecnologas para cam!iar radicalmente las organizaciones y las pr(cticas de negocio, crear nuevas oportunidades y reducir costos )ara muc&as organizaciones, la informacin y la tecnologa %ue la soporta, representan los activos mas valiosos de la empresa. s m(s, en nuestro competitivo y r(pidamente cam!iante am!iente actual, la gerencia &a incrementado sus expectativas relacionadas con la entrega de servicios de TI. *erdaderamente, la informacin y los sistemas de informacin son #penetrantes# en las organizaciones (desde la plataforma del usuario &asta las redes locales o amplias, cliente servidor y e%uipos Mainframe. )or lo tanto, la administracin re%uiere niveles de servicio %ue presenten incrementos en calidad, en funcionalidad y en facilidad de uso, as como un me"oramiento continuo y una disminucin de los tiempos de entrega) al tiempo %ue demanda %ue esto se realice a un costo m(s !a"o. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nueva tecnologa. )or lo tanto, la administracin de!e tener una apreciacin por, y un entendimiento !(sico de los riesgos y limitantes del empleo de la tecnologa de informacin para proporcionar una direccin efectiva y controles adecuados. +,!IT ayuda a salvar las !rec&as existentes entre riesgos de negocio, necesidades de control y aspectos tcnicos. )roporciona #pr(cticas sanas# a travs de un -arco .eferencial de dominios y procesos y presenta actividades en una estructura mane"a!le y lgica. /as prcticas sanas de +,!IT representan el

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

consenso de los expertos (le ayudar(n a optimizar la inversin en informacin, pero a0n m(s importante, representan a%uello so!re lo usted ser( "uzgado si las cosas salen mal. /as organizaciones de!en cumplir con re%uerimientos de calidad, de reportes fiduciarios y de seguridad, tanto para su informacin, como para sus activos. /a administracin de!er( o!tener un !alance adecuado en el empleo de sus recursos disponi!les, los cuales incluyen$ personal, instalaciones, tecnologa, sistemas de aplicacin y datos. )ara cumplir con esta responsa!ilidad, as como para alcanzar sus expectativas, la administracin de!er( esta!lecer un sistema adecuado de control interno. )or lo tanto, este sistema o marco referencial de!er( existir para proporcionar soporte a los procesos de negocio y de!e ser preciso en la forma en la %ue cada actividad individual de control satisface los re%uerimientos de informacin y puede impactar a los recursos de TI. l impacto en los recursos de TI es enfatizado en el -arco .eferencial de +,!IT con"untamente a los re%uerimientos de informacin del negocio %ue de!en ser alcanzados$ efectividad, eficiencia, confidencialidad, integridad, disponi!ilidad, cumplimiento y confia!ilidad. l control, %ue incluye polticas, estructuras, pr(cticas y procedimientos organizacionales, es responsa!ilidad de la administracin. /a administracin, mediante este gobierno corporativo (corporate governance), de!e asegurar %ue la de!ida diligencia sea e"ercitada por todos los individuos involucrados en la administracin, empleo, dise1o, desarrollo, mantenimiento u operacin de sistemas de informacin. Un ,!"etivo de +ontrol en TI es una definicin del resultado o propsito %ue se desea alcanzar implementando procedimientos de control especficos dentro de una actividad de TI. /a orientacin a negocios es el tema principal de +,!IT. sta dise1ado no solo para ser utilizado por usuarios y auditores, sino %ue en forma m(s importante, esta dise1ado para ser utilizado como una lista de verificacin ( check list) detallada para los propietarios de los procesos de negocio. n forma incremental, las pr(cticas de negocio re%uieren de una mayor delegacin y otorgamiento de autoridad (Empowerment) de los due1os de procesos para %ue estos posean total responsa!ilidad de todos los aspectos relacionados con dic&os procesos de negocio. n forma particular, esto incluye el proporcionar controles adecuados. l -arco .eferencial de +,!IT proporciona &erramientas al propietario de procesos de negocio %ue facilitan el cumplimiento de esta responsa!ilidad. l -arco .eferencial comienza con una premisa simple y pr(ctica$
on el fin de proporcionar la informacin que la empresa necesita para alcanzar sus ob!etivos, los recursos de "# deben ser administrados por un con!unto de procesos de "# agrupados en forma natural.

+ontin0a con un con"unto de 23 ,!"etivos de +ontrol de alto nivel, uno para cada uno de los )rocesos de TI, agrupados en cuatro dominios$ planeacin 4 organizacin, ad%uisicin 4 implementacin, entrega (de servicio) y monitoreo. sta estructura cu!re todos los aspectos de informacin y de la tecnologa %ue la soporta. 5irigiendo estos 23 ,!"etivos de +ontrol de alto nivel, el propietario de procesos de negocio podr( asegurar %ue se proporciona un sistema de control adecuado para el am!iente de tecnologa de informacin. 6dicionalmente, correspondiendo a cada uno de los 23 o!"etivos de control de alto nivel, existe una gua de auditora o de aseguramiento %ue permite la revisin de los procesos de TI

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

contra los 278 o!"etivos detallados de control recomendados por +,!IT para proporcionar a la 9erencia la certeza de su cumplimiento y:o una recomendacin para su me"ora. +,!IT contiene un con"unto de &erramientas de implementacin %ue proporciona lecciones aprendidas por empresas %ue r(pida y exitosamente aplicaron +,!IT en sus am!ientes de tra!a"o. Incluye un .esumen "ecutivo para el entendimiento y la sensi!ilizacin de la alta gerencia so!re los principios y conceptos fundamentales de +,!IT. /a gua de implementacin cuenta con dos 0tiles &erramientas (5iagnstico de ;ensi!ilizacin 9erencial < Management Awareness Diagnostic y 5iagnstico de +ontrol en TI < IT Control Diagnostic <) para proporcionar asistencia en el an(lisis del am!iente de control en una organizacin. l -arco .eferencial +,!IT otorga especial importancia al impacto so!re los recursos de TI, as como a los re%uerimientos de negocios en cuanto a efectividad, eficiencia, confidencialidad, integridad, disponi!ilidad, cumplimiento y confia!ilidad %ue de!en ser satisfec&os. 6dem(s, el -arco .eferencial proporciona definiciones para los re%uerimientos de negocio %ue son derivados de o!"etivos de control superiores en lo referente a calidad, seguridad y reportes fiduciarios en tanto se relacionen con Tecnologa de Informacin. /a administracin de una empresa re%uiere de pr(cticas generalmente aplica!les y aceptadas de control y go!ierno en TI para medir en forma comparativa ( Benchmark) tanto su am!iente de TI existente, como su am!iente planeado. +,!IT es una &erramienta %ue permite a los gerentes comunicarse y salvar la !rec&a existente entre los re%uerimientos de control, aspectos tcnicos y riesgos de negocio. +,!IT &a!ilita el desarrollo de una poltica clara y de !uenas pr(cticas de control de TI a travs de organizaciones, a nivel mundial. l o!"etivo de +,!IT es proporcionar estos o!"etivos de control, dentro del marco referencial definido, y o!tener la apro!acin y el apoyo de las entidades comerciales, gu!ernamentales y profesionales en todo el mundo. Por lo tanto, CObIT esta orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de riesgos asociados con tecnologa de informacin y con tecnologas relacionadas.

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

O !"TI#O$ de %"&OCIO

CobIT

Informacin < fectividad < ficiencia < +onfidencialidad < Integridad < 5isponi!ilidad < +umplimiento < +onfia!ilidad

Monitoreo -= -onitorear los procesos -8 valuar lo adecuado del control Interno -2 ,!tener aseguramiento independiente -3 )roveer auditora independiente

$laneacin y %rganizacin ),= 5efinir un )lan stratgico de TI ),8 5efinir la 6r%uitectura de Informacin ),2 5eterminar la direccin tecnolgica ),3 5efinir la ,rganizacin y .elaciones de TI ),? -ane"ar la Inversin en TI ),@ +omunicar las directrices gerenciales ),A 6dministrar .ecursos >umanos ),B 6segurar el cumplir .e%uerimientos xternos ),C valuar .iesgos ),=7 6dministrar proyectos ),== 6dministrar +alidad


'ecursos de TI < 5atos < 6plicaciones < Tecnologa < Instalaciones < .ecurso >umano

&ervicios y &oporte 5;= 5efinir niveles de servicio 5;8 6dministrar ;ervicios de Terceros 5;2 6dministrar 5esempe1o y +alidad 5;3 6segurar ;ervicio +ontinuo 5;? 9arantizar la ;eguridad de ;istemas 5;@ Identificar y 6signar +ostos 5;A +apacitar Usuarios 5;B 6sistir a los +lientes de TI 5;C 6dministrar la +onfiguracin 5;=7 6dministrar )ro!lemas e Incidentes 5;== 6dministrar 5atos 5;=8 6dministrar Instalaciones 5;=2 6dministrar ,peraciones

'dquisicin e #mplementacin 6I= Identificar ;oluciones 6I8 6d%uisicin y -antener ;oftDare de 6plicacin 6I2 6d%uirir y -antener 6r%uitectura de TI 6I3 5esarrollar y -antener )rocedimientos relacionados con TI 6I? Instalar y 6creditar ;istemas 6I@ 6dministrar +am!ios

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

!ntecedentes
(esarrollo del Producto CObIT C bIT &a sido desarrollado como un est(ndar generalmente aplica!le y aceptado para las !uenas pr(cticas de seguridad y control en Tecnologa de Informacin (TI). <CObIT es la herramienta inno)adora para el gobierno de TI (!overnance" Trmino aplicado para definir un control total)*. C bIT se fundamenta en los ,!"etivos de +ontrol existentes de la Information #$stems A%&it an& Control 'o%n&ation (I;6+E), me"orados a partir de est(ndares internacionales tcnicos, profesionales, regulatorios y especficos para la industria, tanto existentes como en surgimiento. /os ,!"etivos de +ontrol resultantes &an sido desarrollados para su aplicacin en sistemas de informacin en toda la empresa. l trmino +generalmente aplicables y aceptados+ es utilizado explcitamente en el mismo sentido %ue los )rincipios de +onta!ilidad 9eneralmente 6ceptados ()+96 o 966) por sus siglas en ingls). )ara propsitos del proyecto, +buenas prcticas+ significa consenso por parte de los expertos. ste est(ndar es relativamente pe%ue1o en tama1o, con el fin de ser pr(ctico y responder, en la medida de lo posi!le, a las necesidades de negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas tcnicas de TI adoptadas en una organizacin. l proporcionar indicadores de desempe1o (normas, reglas, etc.), &a sido identificado como prioridad para las me"oras futuras %ue se realizar(n al marco referencial. l desarrollo de C bIT &a trado como resultado la pu!licacin del -arco .eferencial general y de los ,!"etivos de +ontrol detallados, y le seguir(n actividades educativas. stas actividades asegurar(n el uso general de los resultados del )royecto de Investigacin +,!IT. ;e determin %ue las me"oras a los ob(etivos &e control originales de!era consistir en$
el desarrollo de un marco referencial para control en TI como fundamento para los ob,eti)os de control en TI y como una gua para la in)estigacin consistente en auditora y control de TI una alineacin del marco referencial general y de los ob,eti)os de control indi)iduales, con estndares y regulaciones internacionales e.istentes de hecho y de derecho- y una re)isin crtica de las diferentes acti)idades y tareas que conforman los dominios de control en TI y, cuando fuese posible, la especificacin de indicadores de desempe/o rele)antes 0normas, reglas, etc.1 y una re)isin crtica y actuali2acin de las guas actuales para desarrollo de auditoras de sistemas de informacin.

;in excluir ning0n otro est(ndar aceptado en el campo del control de sistemas de informacin %ue pudiera emitirse durante la investigacin, las fuentes &an sido identificadas inicialmente como$
"stndares T3cnicos de I;,, 5IE6+T, etc. Cdigos de Conducta emitidos por el +ouncil of urope, , +5, I;6+6, etc.'

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

Criterios de Calificacin para sistemas y procesos de TI$ IT; +, I;,C777, ;)I+ , IicFIT, etc.' "stndares Profesionales para control interno y auditora$ reporte +,;,, 96,, IE6+, II6, I;6+6, est(ndares +)6, etc.' Prcticas y requerimientos de la Industria de foros industriales ( ;E, =3) y plataformas patrocinadas por el go!ierno (IG69, HI;T, 5TI)' y %ue)os requerimientos especficos de la industria de la !anca y manufactura de TI.

(efinicion del producto CObIT l desarrollo de +,!IT &a resultado en la pu!licacin de$ un (esumen )!ecutivo el cual, adicionalmente a esta seccin de antecedentes, consiste en un ;ntesis "ecutiva (%ue proporciona a la alta gerencia entendimiento y conciencia so!re los conceptos clave y principios de +,!IT) y el Marco )eferencial (el cual proporciona a la alta gerencia un entendimiento m(s detallado de los conceptos clave y principios de +,!IT e identifica los cuatro dominios de +,!IT y los correspondientes 23 procesos de TI)' el Marco (eferencial %ue descri!e en detalle los 23 o!"etivos de control de alto nivel e identifica los re%uerimientos de negocio para la informacin y los recursos de TI %ue son impactados en forma primaria por cada o!"etivo de control' %b!etivos de ontrol, los cuales contienen declaraciones de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de 278 o!"etivos de control detallados y especficos a travs de los 23 procesos de TI' *uas de 'uditora, las cuales contienen los pasos de auditora correspondientes a cada uno de los 23 o!"etivos de control de TI de alto nivel para proporcionar asistencia a los auditores de sistemas en la revisin de los procesos de TI con respecto a los 278 o!"etivos detallados de control recomendados para proporcionar a la gerencia certeza o una recomendaciones de me"oramiento' un on!unto de +erramientas de #mplementacin, el cual proporciona lecciones aprendidas por organizaciones %ue &an aplicado +,!IT r(pida y exitosamente en sus am!ientes de tra!a"o. l +on"unto de >erramientas de Implementacin incluye la #*ntesis E(ec%tiva, proporcionando a la alta gerencia conciencia y entendimiento de +,!IT. Tam!in incluye una gua de implementacin con dos 0tiles &erramientas < 5iagnstico de la +onciencia de la 9erencia ( Management Awareness Diagnostic ) y el 5iagnstico de +ontrol de TI (IT Control Diagnostic) < para proporcionar asistencia en el an(lisis del am!iente de control en TI de una organizacin. Tam!in se incluyen varios casos de estudio %ue detallan como organizaciones en todo el mundo &an implementado +,!IT exitosamente. 6dicionalmente, se incluyen respuestas a las 8? preguntas mas frecuentes acerca de +,!IT y varias presentaciones para distintos niveles "er(r%uicos y audiencias dentro de las organizaciones.

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

")olucion del producto CObIT +,!IT evolucionar( a travs de los a1os y ser( el fundamento de investigaciones futuras. )or lo tanto, se generar( un familia de productos +,!IT y al ocurrir esto, las tareas y actividades %ue sirven como la estructura para organizar los ,!"etivos de +ontrol de TI, ser(n refinadas posteriormente, tam!in ser( revisado el !alance entre los dominios y los procesos a la luz de los cam!ios en la industria. Una temprana adicin significativa visualizada para la familia de productos +,!IT, es el desarrollo de las 9uas de 9erenciales ( Management !%i&elines) %ue incluyen Eactores +rticos de xito, Indicadores +lave de 5esempe1o y -edidas +omparativas (Benchmarks). sta adicin proporcionar( &erramientas a la gerencia para evaluar el am!iente de TI de su organizacin con respecto a los 23 ,!"etivos de +ontrol de alto nivel de +,!IT. /os Eactores +rticos de xito identificar(n los aspectos o acciones m(s importantes para la administracin y poder as tomar dic&as aciones o considerar los aspectos para lograr control so!re sus procesos de TI. /os Indicadores +lave de 5esempe1o proporcionar(n medidas de xito %ue permitan conocer a la gerencia si un proceso de TI esta alcanzando los re%uerimientos de negocio. /a -edidas +omparativas definir(n niveles de madurez %ue pueden ser utilizadas por la gerencia para$ (=) determinar el nivel actual de madurez de la empresa' (8) determinar el nivel de madurez %ue desea lograr, como una funcin de sus riesgos y o!"etivos' y (2) proporcionar una !ase de comparacin de sus pr(cticas de control de TI contra empresas similares o normas de la industria. sta adicin proporcionar( &erramientas a la gerencia para evaluar el am!iente de TI de su organizacin con respecto a los 23 ,!"etivos de +ontrol de alto nivel de +,!IT. /as investigaciones y pu!licaciones &an sido posi!le gracias a contri!uciones de Unysis, Unitec& ;ystems, Inc., -I; Training Institute, Iergo, /td., y +oopers 4 /y!rand. l Eorum uropeo de ;eguridad ( uropean ;ecurity Eorum J ;EJ) ama!lemente puso a disposicin material para el proyecto. ,tras donaciones fueron reci!idas de captulos miem!ros de I;6+6 de todo el mundo.

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

El "arco Referencial de CObIT


"stableciendo la "scena
/6 H + ;I565 5 +,HT.,/ H T +H,/,9I6 5 IHE,.-6+I,H n a1os

recientes, &a sido cada vez m(s evidente para los legisladores, usuarios y proveedores de servicios la necesidad de un -arco .eferencial para la seguridad y el control de tecnologa de informacin (TI). Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) relacionada. n esta sociedad glo!al (donde la informacin via"a a travs del #ci!erespacio# sin las restricciones de tiempo, distancia y velocidad) esta criticalidad emerge de$ la creciente dependencia en informacin y en los sistemas %ue proporcionan dic&a informacin la creciente vulnera!ilidad y un amplio espectro de amenazas, tales como las #ci!er amenazas# y la guerra de informacin (Information warfare) la escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin' y el potencial %ue tienen las tecnologas para cam!iar radicalmente las organizaciones y las pr(cticas de negocio, crear nuevas oportunidades y reducir costos )ara muc&as organizaciones, la informacin y la tecnologa %ue la soporta, representan los activos mas valiosos de la empresa. *erdaderamente, la informacin y los sistemas de informacin son #penetrantes# en las organizaciones (desde la plataforma del usuario &asta las redes locales o amplias, cliente servidor y e%uipos -ainframe. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nueva tecnologa. )or lo tanto, la administracin de!e tener una apreciacin por, y un entendimiento !(sico de los riesgos y limitantes del empleo de la tecnologa de informacin para proporcionar una direccin efectiva y controles adecuados. 4a administracin de!e decidir la inversin razona!le en seguridad y control en TI y cmo lograr un !alance entre riesgos e inversiones en control en un am!iente de TI frecuentemente impredeci!le. /a administracin necesita un -arco .eferencial de pr(cticas de seguridad y control de TI generalmente aceptadas para medir comparativamente su am!iente de TI, tanto el existente como el planeado. xiste una creciente necesidad entre los U;U6.I,; en cuanto a la seguridad en los servicios TI, a travs de la acreditacin y la auditora de servicios de TI proporcionados internamente o por terceras partes, %ue aseguren la existencia de controles adecuados. 6ctualmente, sin em!argo, es confusa la implementacin de !uenos controles de TI en sistemas de negocios por parte de entidades comerciales, entidades sin fines de lucro o entidades gu!ernamentales. sta confusin proviene de los diferentes mtodos de evaluacin, tales como IT; +, T+; +, evaluaciones I;,C777, nuevas evaluaciones de control interno +,;,, etc. +omo resultado, los usuarios necesitan una !ase general a ser esta!lecida como primer paso.

'

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

Erecuentemente, los 6U5IT,. ; &an tomado el liderazgo en estos esfuerzos internacionales de estandarizacin, de!ido a %ue ellos enfrentan continuamente la necesidad de sustentar y apoyar frente a la 9erencia su opinin acerca de los controles internos. ;in contar con un marco referencial, sta se convierte en una tarea demasiado complicada. sto &a sido mostrado en varios estudios recientes acerca de la manera en la %ue los auditores eval0an situaciones comple"as de seguridad y control en TI, estudios %ue fueron dados a conocer casi simult(neamente en diferentes partes del mundo. Incluso, la administracin consulta cada vez m(s a los auditores para %ue la asesoren en forma proactiva en lo referente a asuntos de seguridad y control de TI. "l ambiente de negocios5 competencia, cambio 6 costos /a competencia glo!al es ya un &ec&o. /as organizaciones se reestructuran con el fin de perfeccionar sus operaciones y al mismo tiempo aprovec&ar los avances en tecnologa de sistemas de informacin para me"orar su posicin competitiva. /a reingeniera en los negocios, las reestructuraciones, el o%tso%rcing, las organizaciones &orizontales y el procesamiento distri!uido son cam!ios %ue impactan la manera en la %ue operan tanto los negocios como las entidades gu!ernamentales. stos cam!ios &an tenido y continuar(n teniendo, profundas implicaciones para la administracin y las estructuras de control operacional dentro de las organizaciones en todo el mundo. /a especial atencin prestada a la o!tencin de venta"as competitivas y a la economa implica una dependencia creciente en la computacin como el componente m(s importante en la estrategia de la mayora de las organizaciones. /a automatizacin de las funciones organizacionales, por su naturaleza, dicta la incorporacin de mecanismos de control m(s poderosos en las computadoras y en las redes, tanto los !asados en &ardDare como los !asados en softDare. 6dem(s, las caractersticas estructurales fundamentales de estos controles est(n evolucionando al mismo paso %ue las tecnologas de computacin y las redes. ;i los administradores, los especialistas en sistemas de informacin y los auditores desean en realidad ser capaces de cumplir con sus tareas en forma efectiva dentro de un marco contextual de cam!ios acelerados, de!er(n aumentar y me"orar sus &a!ilidades tan r(pidamente como lo demandan la tecnologa y el am!iente. 5e!emos comprender la tecnologa de controles involucrada y su naturaleza cam!iante si deseamos emitir y e"ercer "uicios razona!les y prudentes al evaluar las pr(cticas de control %ue se encuentran en los negocios tpicos o en las organizaciones gu!ernamentales. 'espuesta a las necesidades n vista de estos continuos cam!ios, el desarrollo de este -arco .eferencial de o!"etivos de control para TI, con"untamente con una investigacin continua aplicada a controles de TI !asada en este marco referencial, constituyen el fundamento para el progreso efectivo en el campo de los controles de sistemas de informacin. )or otro lado, &emos sido testigos del desarrollo y pu!licacin de modelos de control generales de negocios como +,;, KCommittee of #ponsoring rganisations of the Trea&wa$ Commisssion Internal Control+Integrate& 'ramework, -../L en los U6, +ad!ury en el .eino Unido y +o+o en +anad( y

"$

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

Ming en ;ud(frica. )or otro lado, existe un n0mero importante de modelos de control m(s enfocados al nivel de tecnologa de informacin. 6lgunos !uenos e"emplos de esta 0ltima categora son el &ecurity ode of onduct del 5TI (Department of Tra&e an& In&%str$, .eino Unido) y el &ecurity +andboo, de HI;T (0ational Instit%te of #tan&ar&s an& Technolog$, U6). ;in em!argo, estos modelos de control con orientacin especfica no proporcionan un modelo de control completo y utiliza!le so!re tecnologa de informacin como soporte para los procesos de negocio. l propsito de C bIT es el cu!rir este vaco proporcionando una !ase %ue est estrec&amente ligada a los o!"etivos de negocio, al mismo tiempo %ue se enfoca a la tecnologa de informacin. Un enfo%ue &acia los re%uerimientos de negocio en cuanto a controles para tecnologa de informacin y la aplicacin de nuevos modelos de control y est(ndares internacionales relacionados, &icieron evolucionar los ,!"etivos de +ontrol y pasar de una &erramienta de auditora, a C bIT, %ue es una &erramienta para la administracin. CObIT es, por lo tanto, la herramienta inno)adora para el gobierno de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI. )or lo tanto, el o!"etivo principal del proyecto C bIT es el desarrollo de polticas claras y !uenas pr(cticas para la seguridad y el control de Tecnologa de Informacin, con el fin de o!tener la apro!acin y el apoyo de las entidades comerciales, gu!ernamentales y profesionales en todo el mundo. /a meta del proyecto es el desarrollar estos o!"etivos de control principalmente a partir de la perspectiva de los o!"etivos y necesidades de la empresa. sto concuerda con la perspectiva +,;,, %ue constituye el primer y me"or marco referencial para la administracin en cuanto a controles internos. )osteriormente, los o!"etivos de control fueron desarrollados a partir de la perspectiva de los o!"etivos de auditora (certificacin de informacin financiera, certificacin de medidas de control interno, eficiencia y efectividad, etc.) 7udiencia5 administracion, usuarios 6 auditores +,!IT esta dise1ado para ser utilizado por tres audiencias distintas$ 7dministracin5 )ara ayudarlos a lograr un !alance entre los riesgos y las inversiones en control en un am!iente de tecnologa de informacin frecuentemente impredeci!le. 8suarios5 )ara o!tener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa de informacin proporcionados internamente o por terceras partes. 7uditores de sistemas de informacin5 )ara dar soporte a las opiniones mostradas a la administracin so!re los controles internos. 6dem(s de responder a las necesidades de la audiencia inmediata de la 6lta 9erencia, a los auditores y a los profesionales dedicados al control y seguridad, +,!IT puede ser utilizado dentro de las empresas por el propietario de procesos de

""

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

negocio en su responsa!ilidad de control so!re los aspectos de informacin del proceso, y por todos a%ullos responsa!les de TI en la empresa. Orientacin a ob,eti)os de negocio /os ,!"etivos de +ontrol muestran una relacin clara y distintiva con los o!"etivos de negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditora. /os ,!"etivos de +ontrol est(n definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios. n dominios y procesos identificados, se identifica tam!in un o!"etivo de control de alto nivel para documentar el enlace con los o!"etivos del negocio. ;e proporcionan consideraciones y guas para definir e implementar el ,!"etivo de +ontrol de TI. /a clasificacin de los dominios a los %ue se aplican los o!"etivos de control de alto nivel (dominios y procesos)' una indicacin de los re%uerimientos de negocio para la informacin en ese dominio, as como los recursos de TI %ue reci!en un impacto primario por parte del o!"etivo del control, forman con"untamente el marco .eferencial +,!IT. l marco referencial toma como !ase las actividades de investigacin %ue &an identificado 23 o!"etivos de alto nivel y 278 o!"etivos detallados de control. l -arco .eferencial fue mostrado a la industria de TI y a los profesionales dedicados a la auditora para a!rir la posi!ilidad a revisiones, dudas y comentarios. /as ideas o!tenidas fueron incorporadas en forma apropiada. (efiniciones )ara propsitos de este proyecto, se proporcionan las siguientes definiciones. /a definicin de #+ontrol# est( adaptada del reporte C # 1Committee of #ponsoring rganisations of the Trea&wa$ Commission" Internal Control+Integrate& 'ramework, =CC8 y la definicin para #,!"etivo de +ontrol de TI# &a sido adaptada del reporte ;6+ (#$stems A%&itabilit$ an& Control )eport)" The Instit%te of Internal A%&itors )esearch 'o%n&ation, =CC= y =CC3. Control /as polticas, procedimientos, pr(cticas y se define como estructuras organizacionales dise1adas para garantizar razona!lemente %ue los o!"etivos del negocio ser(n alcanzados y %ue eventos no desea!les ser(n prevenidos o detectados y corregidos. Ob,eti)o de control en TI Una definicin del resultado o propsito %ue se se define como desea alcanzar implementando procedimientos de control en una actividad de TI particular.

"8

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

Principios del "arco Referencial


xisten dos clases distintas de modelos de control disponi!les actualmente, a%ullos de la clase del #modelo de control de negocios# (por e"emplo +,;,) y los #modelos m(s enfocados a TI# (por e"emplo, 5TI). C bIT intenta cu!rir la !rec&a %ue existe entre los dos. 5e!ido a esto, +,!IT se posiciona como una &erramienta m(s completa para la 6dministracin y para operar a un nivel superior %ue los est(ndares de tecnologa para la administracin de sistemas de informacin. Por lo tanto, CObIT es el modelo para el gobierno de TI. l concepto fundamental del marco referencial +,!IT se refiere a %ue el enfo%ue del control en TI se lleva a ca!o visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin com!inada de recursos relacionados con la Tecnologa de Informacin %ue de!en ser administrados por procesos de TI. 'equerimientos de negocio

Procesos de TI


'ecursos de TI

)ara satisfacer los o!"etivos del negocio, la informacin necesita concordar con ciertos criterios a los %ue +,!IT &ace referencia como re2%erimientos &e negocio para la informaci3n. 6l esta!lecer la lista de re%uerimientos, C bIT com!ina los principios contenidos en los modelos referenciales existentes y conocidos$ 'equerimientos de calidad +alidad +osto ntrega (de servicio) 'equerimientos 9iduciarios fectividad 4 eficiencia de operaciones 0CO$O1 +onfia!ilidad de la informacin +umplimiento de las leyes 4 regulaciones 'equerimientos de $eguridad +onfidencialidad Integridad 5isponi!ilidad

/a +alidad &a sido considerada principalmente por su aspecto NnegativoN (no fallas, confia!le, etc.), lo cual tam!in se encuentra contenido en gran medida en los criterios de Integridad. /os aspectos positivos pero menos tangi!les de la calidad

"9

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

(estilo, atractivo, #ver y sentir <look an& feel#, desempe1o m(s all( de las expectativas, etc.) no fueron, por un tiempo, considerados desde un punto de vista de ,!"etivos de +ontrol de TI. /a premisa se refiere a %ue la primera prioridad de!er( estar dirigida al mane"o apropiado de los riesgos al compararlos contra las oportunidades. l aspecto utiliza!le de la +alidad est( cu!ierto por los criterios de efectividad. ;e consider %ue el aspecto de entrega (de servicio) de la +alidad se traslapa con el aspecto de disponi!ilidad correspondiente a los re%uerimientos de seguridad y tam!in en alguna medida, con la efectividad y la eficiencia. Einalmente, el +osto es tam!in considerado %ue %ueda cu!ierto por ficiencia. )ara los re%uerimientos fiduciarios, +,!IT no intent reinventar le rueda <se utilizaron las definiciones de +,;, para la efectividad y eficiencia de operaciones, confia!ilidad de informacin y cumplimiento con leyes y regulaciones<. ;in em!argo, confia!ilidad de informacin fue ampliada para incluir toda la informacin <no solo informacin financiera. +on respecto a los aspectos de seguridad, +,!IT identific la confidencialidad, integridad y disponi!ilidad como los elementos clave, fue descu!ierto %ue estos mismos tres elementos son utilizados a nivel mundial para descri!ir los re%uerimientos de seguridad. +omenzando el an(lisis a partir de los re%uerimientos de +alidad, Eiduciarios y de ;eguridad m(s amplios, se extra"eron siete categoras distintas, ciertamente superpuestas. 6 continuacin se muestran las definiciones de tra!a"o de +,!IT$ "fecti)idad ;e refiere a %ue la informacin relevante sea pertinente para el proceso del negocio, as como a %ue su entrega sea oportuna,correcta, consistente y de manera utiliza!le. "ficiencia ;e refiere a la provisin de informacin a travs de la utilizacin ptima (m(s productiva y econmica) de recursos. Confidencialidad ;e refiere a la proteccin de informacin sensi!le contra divulgacin no autorizada. Integridad ;e refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. (isponibilidad ;e refiere a la disponi!ilidad de la informacin cuando sta es re%uerida por el proceso de negocio a&ora y en el futuro. Tam!in se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Cumplimiento ;e refiere al cumplimiento de a%uellas leyes, regulaciones y acuerdos contractuales a los %ue el proceso de negocios est( su"eto, por e"emplo, criterios de negocio impuestos externamente. Confiabilidad de la informacin. ;e refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para e"ercer sus responsa!ilidades de reportes financieros y de cumplimiento.

",

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

/os recursos de TI identificados en +o!IT pueden identificarse:definirse como se muestra a continuacin$ (atos /os elementos de datos en su m(s amplio sentido, (por e"emplo, externos e internos), estructurados y no estructurados, gr(ficos, sonido, etc. 7plicaciones ;e entiende como sistemas de aplicacin la suma de procedimientos manuales y programados. Tecnologa /a tecnologa cu!re &ardDare, softDare, sistemas operativos, sistemas de administracin de !ases de datos, redes, multimedia, etc. Instalaciones .ecursos para alo"ar y dar soporte a los sistemas de informacin. Personal >a!ilidades del personal, conocimiento, conciencia y productividad para planear, organizar, ad%uirir, entregar, soportar y monitorear servicios y sistemas de informacin. l dinero o capital no es considerado como un recurso para la clasificacin de o!"etivos de control para TI de!ido a %ue puede definirse como la inversin en cual%uiera de los recursos mencionados anteriormente y podra causar confusin con los re%uerimientos de auditora financiera. l -arco referencial no menciona, en forma especfica para todos los casos, la documentacin de todos los aspectos OmaterialesP importantes relacionados con un proceso de TI particular. +omo parte de las !uenas pr(cticas, la documentacin es considerada esencial para un !uen control y, por lo tanto, la falta de documentacin podra ser la causa de revisiones y an(lisis futuros de controles de compensacin en cual%uier (rea especfica en revisin. ,tra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se descri!e a continuacin$

")entos ,!"etivos de negocio ,portunidades de negocio .e%uerimientos externos .egulacin .iesgos

T"C%O4O&:7 I%$T747CIO%"$ &"%T"

Informa cin

mensa"e entrada

;istemas de 6plicacin 5atos

servicio salida

fectividad ficiencia +onfidencialidad Integridad 5isponi!ilidad +umplimiento +onfia!ilidad

/a informacin %ue los procesos de negocio necesitan es proporcionada a travs del empleo de recursos de TI. +on el fin de asegurar %ue los re%uerimientos de negociio para al informacinson satisfec&os,de!en definirs, implementarse y monitorearse medidas de control adecuadaspara estos recursos.

"+

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

Q+mo pueden entonces las empresas estar satisfec&as respecto de la informacin o!tenida presente las caractersticas %ue nececitanR s a%u donde se re%uiere un sano marco referencial de ,!"etivos de +ontrol para TI. l diagrama mostrado ilustra este concepto.

Procesos del %egocio

/o %ue se o!tiene

/o %ue se necesita

Criterios
fectividad ficiencia +onfidencialidad Integridad 5isponi!ilidad +umplimiento +onfia!ilidad

Informacin

'ecursos de TI
5atos 6plicaciones Tecnologa Instalaciones .ecurso >umano

oncuerdan ;

l marco referencial conta de ,!"etivos de +ontrol de TI de alto nivel y de una estructura general para su clasificacin y presentacin. /a teora su!yacente para la clasificacin seleccionadada se refiere a %ue existen, en esencia, tres niveles de actividades de TI al considerar la admistracin de sus recursos. +omenzando por la !ase, encontramos las actividades y las tareas necesarias para encontrar un resu1tado medi!le. /as actividades cuentan con un concepto de ciclo de vida, mientras son cosideras m(s discretas. 6lgunos e"emplo de esta categora son las actividadesde desarrollo de sistemas, administracin de la configuracin y mane"o de cam!ios. /a segunda categora incluye tareasllevadas a ca!o como soporte para la planeacin estratgica de TI, evaluacin de riesgos, planeacin de la calidad, administracin de la capacidad y el desempe1o. /os procesos se definen entonces en un nivel superior como una serie de actividades o tareas con"untas con OcortesP naturales (de control). 6l nivel m(s alto, los pocesos son agrupados de manera natural en dominios. ;u agrupamiento natural es confirmado frecuentementecomo dominios de

"%

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

responsa!ilad en una estructura organizacional, y est( en lnea con el ciclo administrativo o ciclo de vida aplica!le a los procesos de TI.

(ominios

Procesos

7cti)idades

)or lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos estratgicos$ (=) recursos de TI, (8) re%uerimientos de negocio para la informacin y (2) procesos de TI. stos puntos de vista diferentes permiten al marco referencial ser accedido eficientemente. )or e"emplo, los gerentes de la empresa pueden interesarse en un enfo%ue de calidad, seguridad o fiduciario (traducido por el marco referencial en siete re%uerimientos de informacin especficos). Un 9erente de TI puede desear considerar recursos de TI por los cuales es responsa!le. )ropietarios de procesos, especialistas de TI y usuarios pueden tener un inters en procesos particulares. /os auditores podr(n desear enfocar el marco referencial desde un punto de vista de co!ertura de control.

":

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

+on lo anterior como marco de referencia, los dominios son identificados utilizando las pala!ras %ue la gerencia utilizara en las actividades cotidianas de la organizacin <y no la O"erga ((argon)P del auditor<. )or lo tanto, cuatro grandes dominios son identificados$ planeacin y organizacin, ad%uisicin e implementacin' entrega y soporte y monitoreo. /as definiciones para los dominios mencionados son las siguientes$ Planeacin y Organi2acin ste dominio cu!re la estrategia y las t(cticas y se refiere a la identificacin de la forma en %ue la tecnologa de informacin puede contri!uir de la me"or manera al logro de los o!"etivos del negocio. 6dem(s, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Einalmente, de!er(n esta!lecerse una organizacin y una infraestructura tecnolgica apropiadas.

7dquisicin e Implementacin )ara llevar a ca!o la estrategia de TI, las soluciones de TI de!en ser identificadas, desarrolladas o ad%uiridas, as como implementadas e integradas dentro del proceso del negocio. 6dem(s, este dominio cu!re los cam!ios y el mantenimiento realizados a sistemas existentes. "ntrega y $oporte n este dominio se &ace referencia a la entrega de los servicios re%ueridos, %ue a!arca desde las operaciones tradicionales &asta el entrenamiento, pasando por seguridad y aspectos de continuidad. +on el fin de proveer servicios, de!er(n esta!lecerse los procesos de soporte necesarios. Este &ominio incl%$e el procesamiento &e los &atos por sistemas &e aplicaci3n, frec%entemente clasifica&os como controles &e aplicaci3n"

<onitoreo Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los re%uerimientos de control. n resumen, los .ecursos de TI necesitan ser administrados por un con"unto de procesos agrupados en forma natural, con el fin de proporcionar la informacin %ue la empresa necesita para alcanzar sus o!"etivos. l diagrama de p(gina 3 ilustra este concepto.

"#

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

5e!e tomarse en cuenta %ue estos procesos pueden ser aplicados a diferentes niveles dentro de una organizacin. )or e"emplo, algunos de estos procesos ser(n aplicados al nivel corporativo, otros al nivel de la funcin de servicios de informacin, otros al nivel del propietario de los procesos de negocio. Tam!in de!e ser tomado en cuenta %ue el criterio de efectividad de los procesos %ue planean o entregan soluciones a los re%uerimientos de negocio, cu!rir(n algunas veces los criterios de disponi!ilidad, integridad y confidencialidad <en la pr(ctica, se &an convertido en re%uerimientos del negocio. )or e"emplo, el proceso de Oidentificar soluciones automatizadasP de!er( ser efectivo en el cumplimiento de re%uerimientos de disponi!ilidad, integridad y confidencialidad. .esulta claro %ue las medidas de control no satisfar(n necesariamente los diferentes re%uerimientos de informacin del negocio en la misma medida. ;e lleva a ca!o una clasificacin dentro del marco referencial CobIT !asada en rigurosos informes y o!servaciones de procesos por parte de investigadores, expertos y revisores con las estrictas definiciones determinadas previamente. Primario es el grado al cual el o!"etivo de control definido impacta directamente el re%uerimiento de informacin de inters. $ecundario es el grado al cual el o!"etivo de control definido satisface 0nicamente de forma indirecta o en menor medida el re%uerimiento de informacin de inters. lanco (vaco) podra aplicarse' sin em!argo, los re%uerimientos son satisfec&os m(s apropiadamente por otro criterio en este proceso y:o por otro proceso. ;imilarmente, todos las medidas de control no necesariamente tendr(n impacto en los diferentes recursos de TI a un mismo nivel. )or lo tanto, el -arco .eferencial de +,!IT indica especficamente la aplica!ilidad de los recursos de TI %ue son administrados en forma especfica por el proceso !a"o consideracin (no por a%uellos %ue simplemente toman parte en el proceso). sta clasificacin es &ec&a dentro el -arco .eferencial de +,!IT !asado en el mismo proceso riguroso de informacin proporcionada por los investigadores, expertos y revisores, utilizando las definiciones estrictas indicadas previamente.

"'

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

Tabla Resumen
Criterios de Informacin (ominio +onfidencialidad 5isponi!ilidad +umplimiento +onfia!ilidad 'ecursos de TI ;istemas Informacin .ecursos >umanos

Instalaciones

fectividad

Tecnologa

Integridad

ficiencia

)roceso

),= ),8 ),2 ),3 ),? ),@ ),A ),B ),C ),=7 ),==

Planeacin y Organi2acin 5efinir un )lan stratgico de TI 5efinir la 6r%uitectura de Informacin 5eterminar la direccin tecnolgica 5efinir la ,rganizacin y .elaciones de TI -ane"ar la Inversin en TI +omunicar las directrices gerenciales 6dministrar .ecursos >umanos 6segurar el cumplir .e%uerimientos xternos valuar .iesgos 6dministrar proyectos 6dministrar +alidad 7dquisicin e Implementacin Identificar ;oluciones 6d%uisicin y -antener ;oftDare de 6plicacin 6d%uirir y -antener 6r%uitectura de TI 5esarrollar y -antener )rocedimientos relacionados con TI Instalar y 6creditar ;istemas 6dministrar +am!ios $er)icios y $oporte 5efinir niveles de servicio 6dministrar ;ervicios de Terceros 6dministrar 5esempe1o y +apacidad 6segurar ;ervicio +ontinuo 9arantizar la ;eguridad de ;istemas Identificar y 6signar +ostos +apacitar Usuarios 6sistir a los +lientes de TI 6dministrar la +onfiguracin 6dministrar )ro!lemas e Incidentes 6dministrar 5atos 6dministrar Instalaciones 6dministrar ,peraciones <onitoreo -onitorear los procesos valuar lo adecuado del control Interno ,!tener aseguramiento independiente )roveer auditora independiente

) ) ) ) ) ) ) ) ; ) )

; ; ; ; ; ; ) ; )

) ; ; ) ) ) ; ; ) ) ) ;

6I= 6I8 6I2 6I3 6I? 6I@

) ) ) ) ) )

; ) ) ) )

; ; ; ; ; ; ; ; ; ) ) ;

5;= 5;8 5;2 5;3 5;? 5;@ 5;A 5;B 5;C 5;=7 5;== 5;=8 5;=2

) ) ) )

) ; ; ; ; ; ) ; ; ; ; ; ) ; ; ) ) ) ; ; ; ) ) ) ; ) ) ; ; ) ) ; ) ) ) ) ) ) ; ;

-= -8 -2 -3

) ) ) )

; ) ) )

; ; ; ;

; ; ; ;

; ; ; ;

; ; ; ;

; ; ; ;

8$

5atos

Decreto n ! "#$%&''(Re)ol*cin n ! +,(Gobierno de Mendo5a(Com I P C O b I T Objetivos de Control para la Informacin P blica y Tecnologas Relacionadas 6*ente! 777 i)aca or1

8"