Cobit2antecedeshistoria2 110626112855 Phpapp01

Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
COBIT
GOVERNANCE,
CONTROL and AUDIT
for INFORMATION and
RELATED TECHNOLOGY
Planificacin y Gestin de
Sistemas de Informacin
TRABAJO DE TEORA
(Direccin: Francisco Ruiz Gonzlez)
Roberto Sobrinos Snchez
Escuela Superior de Informtica de Ciudad Real
Universidad de Castilla La Mancha
1 de Ma!o de 1
Te Co!it "rame#or$ %o!erto So!rinos Snce&

'( )ndice
"# $%R&'('######################################################################################################### $)ina 1
1# I*(ICE ############################################################################################################## $)ina +
+# I*&R%(UCCI,*############################################################################################### $)ina -
-# 'U(I&%R.'####################################################################################################### $)ina /
-#1# 'uditor0a# Concepto############################################################################### $)ina /
-#+# Clases de auditor0a################################################################################ $)ina /
-#-# 1unciones de control interno ! auditor0a informtica############################## $)ina 2
-#-#1# Control interno informtico ######################################################## $)ina 2
-#-#+# 'uditor0a informtica################################################################## $)ina 2
-#/# Sistemas de control interno informtico################################################# $)ina 3
-#/#1# (efinici4n ! tipos de controles internos ##################################### $)ina 3
-#/#+# Implantaci4n de un sistema de controles internos ##################### $)ina 3
-#2# Metodolo)0as de control interno5 se)uridad ! auditor0a informtica ####### $)ina 11
-#2#1# Conceptos fundamentales######################################################### $)ina 11
-#2#+# Metodolo)0as de evaluaci4n de sistemas ################################## $)ina 1/
-#2#-# Las metodolo)0as de auditor0a informtica ################################ $)ina 16
-#2#/# Control interno informtico# Sus m7todos ! procedimientos#
Las herramientas de control###################################################### $)ina 1
-#8# 'spectos finales #################################################################################### $)ina +1
-#3# Lecturas recomendadas ######################################################################## $)ina +1
/# &9E C%:I& 1R'ME;%R<############################################################################### $)ina ++
/#1# 1unci4n bsica ! orientaci4n del C%:I&################################################ $)ina ++
/#+# 9istoria ! evoluci4n del C%:I&############################################################## $)ina +-
/#-# (esarrollo ! componentes del C%:I&#################################################### $)ina +/
/#/# El marco referencial del C%:I& =C%:I& 1rame>or?@ ############################ $)ina +8
/#2# Los principios del marco referencial ###################################################### $)ina +
/#8 %bAetivos de control de marco referencial =&he C%:I& 1rame>or?@ ###### $)ina -
(ominio de $lanificaci4n B %r)anizaci4n ############################################ $)ina /"
(ominio de 'dCuisici4n B Implementaci4n########################################## $)ina /6
(ominio de Entre)a B Soporte############################################################ $)ina 2+
(ominio de Monitorizaci4n ################################################################## $)ina 81
/#3# Lecturas recomendadas ######################################################################## $)ina 8/
2# D%C':UL'RI%################################################################################################# $)ina 82
8# :I:LI%ER'1.'################################################################################################## $)ina 88
2

*( Introduccin
9o! en d0a5 uno de los aspectos ms importantes =! cr0ticos a la vez@ para el 7Fito ! la supervivencia
de cualCuier or)anizaci4n5 es la )esti4n efectiva de la informaci4n as0 como de las tecnolo)0as
relacionadas con ella =tecnolo)0as de la informaci4n &I@# En esta sociedad GinformatizadaH5 donde la
informaci4n viaAa a trav7s del ciberespacio sin nin)una restricci4n de tiempo5 distancia ! velocidadI esta
importancia ! criticacalidad sur)e de los si)uientes aspectosJ
aumento de la dependencia de la informaci4n5 as0 como de los sistemas Cue proporcionan
dicha informaci4nI
aumento de la vulnerabilidad5 as0 como un amplio espectro de amenazas =como las
amenazas del ciberespacio ! la lucha por la informaci4n@I
escala ! coste de las inversiones actuales ! futuras en informaci4n ! tecnolo)0as de la
informaci4nI
potencial de las tecnolo)0as para realizar cambios importantes en las or)anizaciones ! en
las prcticas de ne)ocio5 creando nuevas oportunidades ! reduciendo costes#
$ara muchas or)anizaciones5 la informaci4n ! las tecnolo)0as Cue las soportan representan su
medio o recurso ms valioso =de hecho5 muchas or)anizaciones reconocen los beneficios potenciales
Cue la tecnolo)0a puede aportar@# 'dems5 en los cada vez ms cambiantes ! competitivos entornos de
ne)ocio Cue eFisten en la actualidad5 la )esti4n ha aumentado las espectativas con respecto a las
funciones de liberizaci4n de las tecnolo)0as de la informaci4n# Derdaderamente5 la informaci4n ! los
sistemas de informaci4n estn adentrndose a lo lar)o ! ancho de las or)anizaciones =desde la
plataforma del usuario hasta las redes de area local ! ancha5 los sistemas clienteKservidor ! los )randes
mainframes o supercomputadores@# 's05 la )esti4n reCuiere de un aumento de la calidad5 funcionalidad !
facilidad de usoI disminu!endo a la vez los periodos de entre)aI ! meAorando continuamente los niveles
de servicio =con la eFi)encia de Cue esto se lleve a cabo con costes ms baAos@#
Las or)anizaciones deben cumplir con los reCuerimientos de calidad5 de informes fiduciarios ! de
se)uridad5 tanto para su informaci4n5 como para sus activos# La administraci4n deber obtener un
balance adecuado en el empleo de sus recursos disponibles5 los cuales inclu!enJ personal5 instalaciones5
tecnolo)0a5 sistemas de aplicaci4n ! datos# $ara cumplir con esta responsabilidad5 as0 como para
alcanzar sus eFpectativas5 la administraci4n deber establecer un sistema adecuado de control interno#
$or lo tanto5 este sistema o marco referencial deber eFistir para proporcionar soporte a los procesos de
ne)ocio ! debe ser preciso en la forma en la Cue cada actividad individual de control satisface los
reCuerimientos de informaci4n ! puede impactar a los recursos de &I# Este impacto en los recursos de &I
es enfatizado en el Marco Referencial de C%:I& conAuntamente a los reCuerimientos de informaci4n del
ne)ocio Cue deben ser alcanzadosJ efectividad5 eficiencia5 confidencialidad5 inte)ridad5 disponibilidad5
cumplimiento ! confiabilidad# El control5 Cue inclu!e pol0ticas5 estructuras5 prcticas ! procedimientos
or)anizacionales5 es responsabilidad de la administraci4n#
(e esta forma5 la )esti4n de la informaci4n necesita tener una apreciaci4n ! un entendimiento
bsico de los ries)os ! restricciones de las tecnolo)0as de la informaci4n5 en orden de proporcionar
directrices efectivas as0 como los controles adecuados5 es decir5 la realizaci4n de un proceso de revisi4n
! verificaci4n de la informaci4n ! de las tecnolo)0as Cue las soportan# &odo este procedimiento es lo Cue
se conoce como 'uditor0a Cue5 al estar aplicada sobre el uso ! maneAo de la informaci4n ! de sus
tecnolo)0as5 ser una 'uditor0a Informtica# The COBIT Framework es un conAunto de obAetivos de
control Cue a!udan =dando unas pautas de actuaci4n@ en la realizaci4n de una 'uditor0a Informtica#
'ntes de ver de Cu7 trata ! Cu7 elementos contiene este COBIT Framework, veremos en
profundidad Cue es eFactamente una 'uditor0a =Informtica en nuestro caso@ ! cuales son sus elementos
! pasos de actuaci4n#
3

+( ,uditor-a
3.1. AUDITORA. COC!"TO
Conceptualmente la auditor0a5 en )eneral5 es la actividad consistente en la emisi4n de una opini4n
profesional sobre si el obAeto sometido a anlisis presenta adecuadamente la realidad Cue pretende
refleAar !Ko cumple las condiciones Cue le han sido prescritas#
$odemos descomponer este concepto en los elementos fundamentales Cue a continuaci4n se
especificanJ
ContenidoJ una opini4n#
Condici4nJ profesional#
Lustificaci4nJ sustentada en determinados procedimientos#
1
%bAetoJ una determinada informaci4n obtenida en un cierto soporte#
1inalidadJ determinar si presenta adecuadamente la realidad o 7sta responde a las
eFpectativas Cue le son atribuidas5 es decir5 su fiabilidad#
En todo caso es una funci4n Cue se realiza a posteriori5 en relaci4n con actividades !a realizadas5
sobre las Cue ha! Cue emitir una opini4n#
3.#. C$A%!% D! AUDITORIA
Los dos Mltimos elementos =obAeto ! finalidad@ distin)uen de Cu7 clase o tipo de auditor0a se trata#
El obAeto sometido a estudio5 sea cual sea su soporte5 por una parte5 ! la finalidad con Cue se realiza el
estudio5 definen el tipo de auditor0a de Cue se trata# Las ms importantes =a t0tulo ilustrativo@ son las
si)uientesJ
1inancieraJ el obAeto de esta es revisar las cuentas anuales5 ! su finalidad es presentar la
realidad de dichas cuentas#
InformticaJ es la auditor0a Cue nosotros estudiaremos con ms detenimiento# Su obAeto es la
revisi4n de sistemas de aplicaci4n5 recursos informticos5 planes de contin)encia5 etc# La
finalidad es comprobar la operatividad =Cue esta sea eficiente@5 se)Mn las normas
establecidas#
Eesti4nJ su obAeto es la direcci4n5 ! su finalidad es comprobar la eficacia5 eficiencia !
economicidad#
CumplimientoJ el obAeto es comprobar las normas establecidas# La finalidad es ver Cue las
operaciones se adecuan a estas normas#
1
Procedimientos: La opinin pro!"iona#, !#!$!n%o !"!n&ia# '! #a a('i%or)a, "! (n'a$!n%a * +("%ii&a por $!'io '! (no"
pro&!'i$i!n%o" !"p!&)i&o" %!n'!n%!" a propor&ionar (na "!,(ri'a' ra-ona.#! '! #o /(! "! air$a0 Co$o !" na%(ra#, &a'a (na
'! #a" &#a"!" o %ipo" '! a('i%or)a po"!! "(" propio" pro&!'i$i!n%o" para a#&an-ar !# in pr!1i"%o, a2n &(an'o p(!'an !n $(&3o"
&a"o" &oin&i'ir0 E# a#&an&! '! #a a('i%or)a, &on&!p%o '! 1i%a# i$por%an&ia, no" 1i!n! 'a'o por #o" pro&!'i$i!n%o"0 La a$p#i%('
* pro(n'i'a' '! #o" pro&!'i$i!n%o" /(! "! ap#i/(!n no" '!in!n "( a#&an&!0
4

3.3. FUCIO!% D! COTRO$ IT!RO & AUDITORA IFOR'(TICA
-#-#1# Control Interno Informtico
El control interno informtico controla diariamente Cue todas las actividades de sistemas de
informaci4n sean realizadas cumpliendo los procedimientos5 estndares ! normas fiAados por la (irecci4n
de la %r)anizaci4n !Ko la (irecci4n de Informtica5 as0 como los reCuerimientos le)ales# La misi4n del
control interno informtico es ase)urarse de Cue las medidas Cue se obtienen de los mecanismos
implantados por cada responsable sean correctas ! vlidas#
El Control Interno Informtico suele ser un 4r)ano staff
+
de la (irecci4n del (epartamento de
Informtica ! est dotado de las personas ! medios materiales proporcionados a los cometidos Cue se le
encomienden# Como principales obAetivos del Control Interno Informtico5 podemos indicar los si)uientesJ
Controlar Cue todas las actividades se realizan cumpliendo los procedimientos ! normas
fiAados5 evaluar su bondad ! ase)urarse del cumplimiento de las normas le)ales#
'sesorar sobre el conocimiento de las normas#
Colaborar ! apo!ar el trabaAo de 'uditor0a Informtica5 as0 como de las auditor0as eFternas al
)rupo#
(efinir5 implantar ! eAecutar mecanismos ! controles para comprobar el lo)ro de los )rados
adecuados del servicio informtico5 lo cual no debe considerarse como Cue la implantaci4n
de los mecanismos de medida ! la responsabilidad del lo)ro de esos niveles se ubiCue
eFclusivamente en la funci4n de Control Interno5 sino Cue cada responsable de obAetivos !
recursos es responsable de esos niveles5 as0 como de la implantaci4n de los medios de
medida adecuados#
-#-#+# 'uditor0a Informtica
La auditor0a informtica es el proceso de reco)er5 a)rupar ! evaluar evidencias para determinar si
un sistema informatizado salva)uarda los activos5 mantiene la inte)ridad de los datos5 lleva a cabo
eficazmente los fines de la or)anizaci4n ! utiliza eficientemente los recursos# (e este modo la auditor0a
informtica sustenta ! confirma la consecuci4n de los obAetivos tradicionales de la auditor0a5 los cuales
sonJ
%bAetivos de protecci4n de activos e inte)ridad de datos#
%bAetivos de )esti4n Cue abarcan5 no solamente los de protecci4n de activos sino tambi7n los
de eficacia ! eficiencia#
El auditor evalMa ! comprueba en determinados momentos del tiempo los controles !
procedimientos informticos ms compleAos5 desarrollando ! aplicando t7cnicas mecanizadas de
auditor0a5 inclu!endo el uso del soft>are# En muchos casos5 !a no es posible verificar manualmente los
procedimientos informatizados Cue resumen5 calculan ! clasifican datos5 por lo Cue se deben emplear
soft>are de auditor0a ! otras t7cnicas asistidas por ordenador#
2
Staff: #o" p(!"%o" "%a '! (na or,ani-a&in, "on r,ano" '! apo*o /(! "(r,!n para 'i!r!n&iar #a" a&%i1i'a'!" '! #a #)n!a
5%o$a '! '!&i"ion!"6, * %i!n!n 'o" (n&ion!": a"!"ora$i!n%o, "(,!r!n&ia * ori!n%a&in para #a p#anii&a&in '! o.+!%i1o",
po#)%i&a" * pro&!'i$i!n%o"7 * #a r!a#i-a&in '! a&%i1i'a'!" '! "!r1i&io" para #a #)n!a &o$o !# !"%a.#!&i$i!n%o '! "i"%!$a" '!
&on%ra%a&in '!# p!r"ona# '! #)n!a0
8

El auditor es responsable de revisar e informar a la (irecci4n de la %r)anizaci4n sobre el diseNo !
el funcionamiento de los controles implantados ! sobre la fiabilidad de la informaci4n suministrada#
Se pueden establecer tres )rupos de funciones a realizar por un auditor informticoJ
$articipar en las revisiones durante ! despu7s del diseNo5 realizaci4n5 implantaci4n !
eFplotaci4n de aplicaciones informticas5 as0 como en las fases anlo)as de realizaci4n de
cambios importantes#
Revisar ! Auz)ar los controles implantados en los sistemas informticos para verificar su
adecuaci4n a las 4rdenes e instrucciones de la (irecci4n5 reCuisitos le)ales5 protecci4n de
confidencialidad ! cobertura ante errores ! fraudes#
Revisar ! Auz)ar el nivel de eficiencia5 utilidad5 fiabilidad ! se)uridad de los eCuipos e
informaci4n#
La 'uditor0a Informtica ! el Control Interno Informtico son campos anlo)os# (e hecho5 muchos
de los actuales responsables de control interno informtico recibieron formaci4n en se)uridad informtica
tras su paso por la formaci4n en auditor0a# *umerosos auditores se pasan al campo de control interno
debido a la similitud de los obAetivos profesionales de control ! auditor0a# $ese a Cue ambas fi)uras tienen
obAetivos comunes5 eFisten diferencias Cue conviene matizar# Deamos una tabla ilustrativa Cue muestra
las similitudes ! diferencias entre ambas disciplinasJ
CONTROL INTERNO INFORMTICO AUDITOR INFORMTICO
SIMILITUDES

$ersonal interno# Conocimientos especializados en &ecnolo)0a de la Informaci4n#
Derificaci4n del cumplimiento de controles internos5 normativa ! procedimientos establecidos por
la (irecci4n de Informtica ! la (irecci4n Eeneral para los sistemas de informaci4n#
DIFERENCIAS

'nlisis de los controles en el d0a a d0a#
Informa a la (irecci4n del (epartamento de
Informtica#
S4lo personal interno#
El alcance de sus funciones es Mnicamente
sobre el (epartamento de Informtica#
'nlisis de un momento informtico
determinado#
Informa a la (irecci4n Eeneral de la
%r)anizaci4n#
$ersonal interno !Ko eFterno#
&iene cobertura sobre todos los
componentes de los sistemas de informaci4n
de la %r)anizaci4n#

9
Tabla 1. Diferencias y similitudes del Control interno y la Auditora Inform!tica

3.). %I%T!'A% D! COTRO$ IT!RO IFOR'(TICO
-#/#1# (efinici4n ! tipos de controles internos
Se puede definir el control interno como OcualCuier actividad o acci4n realizada manual !Ko
automticamente para prevenir5 corre)ir errores o irre)ularidades Cue puedan afectar al funcionamiento
de un sistema para conse)uir sus obAetivos#
Los controles cuando se diseNen5 desarrollen e implanten han de ser al menos completos5 simples5
fiables5 revisables5 adecuados ! rentables# Respecto a esto Mltimo ser preciso analizar el costePries)o
de su implantaci4n#
Los controles internos Cue se utilizan en el entorno informtico continMan evolucionando ho! en d0a
a medida Cue los sistemas informticos se vuelven compleAos# Los pro)resos Cue se producen en la
tecnolo)0a de soportes f0sicos ! de soft>are han modificado de manera si)nificativa los procedimientos
Cue se emplean tradicionalmente para controlar los procesos de aplicaciones ! para )estionar los
sistemas de informaci4n#
$ara ase)urar la inte)ridad5 disponibilidad ! eficacia de los sistemas5 se reCuieren compleAos
mecanismos de control5 la ma!or0a de los cuales son automticos# Resulta interesante observar5 sin
embar)o5 Cue hasta en los sistemas clienteKservidor avanzados5 aunCue al)unos controles son
completamente automticos5 otros son completamente manuales5 ! muchos dependen de una
combinaci4n de elementos de soft>are ! de procedimientos#
9ist4ricamente5 los obAetivos de los controles informticos se han clasificado en las si)uientes
cate)or0asJ
Controles preventivosJ para tratar de evitar el hecho5 como un soft>are de se)uridad Cue
impida los accesos no autorizados al sistema#
Controles detectivosJ cuando fallan los preventivos5 para tratar de conocer cuanto antes el
evento# $or eAemplo5 el re)istro de intentos de acceso no autorizados5 el re)istro de la
actividad diaria para detectar errores u omisiones5 etc#
Controles correctivosJ facilitan la vuelta a la normalidad cuando se han producido incidencias#
$or eAemplo5 la recuperaci4n de un fichero daNado a partir de las copias de se)uridad#
-#/#+# Implantaci4n de un sistema de controles internos informticos
Los controles pueden implantarse a varios niveles diferentes# La evaluaci4n de los controles de la
&ecnolo)0a de la Informaci4n eFi)e analizar diversos elementos independientes# $or ello es importante
lle)ar a conocer bien la confi)uraci4n del sistema5 con el obAeto de identificar los elementos5 productos !
herramientas Cue eFisten para saber d4nde pueden implantarse los controles5 as0 como identificar
posibles ries)os# $ara lle)ar a conocer la confi)uraci4n del sistema es necesario documentar los detalles
de la red5 as0 como los distintos niveles de control ! elementos relacionadosJ
Entorno de redJ esCuema de la red5 descripci4n de la confi)uraci4n hard>are de
comunicaciones5 descripci4n del soft>are Cue se utiliza como acceso a las
telecomunicaciones5 control de red5 situaci4n )eneral de los ordenadores de entornos de base
Cue soportan aplicaciones cr0ticas ! consideraciones relativas a la se)uridad de la red#
:

Confi)uraci4n del ordenador baseJ confi)uraci4n del soporte f0sico5 entorno del sistema
operativo5 soft>are con particiones5 entornos =pruebas ! real@5 bibliotecas de pro)ramas !
conAunto de datos#
Entorno de aplicacionesJ procesos de transacciones5 sistemas de )esti4n de bases de datos !
entornos de procesos distribuidos#
$roductos ! herramientasJ soft>are para desarrollo de pro)ramas5 soft>are de )esti4n de
bibliotecas ! para operaciones automticas#
Se)uridad del ordenador baseJ identificar ! verificar usuarios5 control de acceso5 re)istro e
informaci4n5 inte)ridad del sistema5 controles de supervisi4n5 etc#
$ara la implantaci4n de un sistema de controles internos informticos habr Cue definir las
si)uientes caracter0sticasJ
Eesti4n de sistemas de informaci4nJ pol0ticas5 pautas ! normas t7cnicas Cue sirvan de base
para el diseNo ! la implantaci4n de los sistemas de informaci4n ! de los controles
correspondientes#
'dministraci4n de sistemasJ controles sobre la actividad de los centros de datos ! otras
funciones de apo!o al sistema5 inclu!endo la administraci4n de las redes#
Se)uridadJ inclu!e las tres clases de controles fundamentales implantados en el soft>are del
sistema5 como son la inte)ridad del sistema5 la confidencialidad =control de acceso@ ! la
disponibilidad#
Eesti4n del cambioJ separaci4n de las pruebas ! la producci4n a nivel de soft>are !
controles de procedimientos5 para la mi)raci4n de pro)ramas soft>are aprobados ! probados#
;
Fi"ura 1. Control Interno y Auditora

La implantaci4n de una pol0tica ! cultura sobre la se)uridad5 reCuiere Cue sea realizada por fases !
est7 respaldada por la (irecci4n# Cada funci4n Aue)a un papel importante en las distintas etapas Cue
son5 bsicamente5 las si)uientesJ
(irecci4n de *e)ocio o (irecci4n de Sistemas de Informaci4n =S#I#@J han de definir la pol0tica
!Ko directrices para los sistemas de informaci4n en base a las eFi)encias del ne)ocio5 Cue
podrn ser internas o eFternas#
(irecci4n de InformticaJ ha de definir las normas de funcionamiento del entorno informtico
! de cada una de las funciones de informtica mediante la creaci4n ! publicaci4n de
procedimientos5 estndares5 metodolo)0a ! normas5 aplicables a todas las reas de
informtica5 as0 como a los usuarios Cue establezcan el marco de funcionamiento#
Control Interno InformticoJ ha de definir los diferentes controles peri4dicos a realizar en cada
una de las funciones informticas5 de acuerdo al nivel de ries)o de cada una de ellas5 ! ser
diseNados conforme a los obAetivos de ne)ocio ! dentro del marco le)al aplicable# Estos se
plasmarn en los oportunos procedimientos de control interno ! podrn ser preventivos o de
detecci4n# Realizar peri4dicamente la revisi4n de los controles establecidos de Control
Interno Informtico5 informando de las desviaciones a la (irecci4n de Informtica ! su)iriendo
cuantos cambios crea convenientes en los controles# (eber5 adems5 transmitir
constantemente a toda la %r)anizaci4n de Informtica la cultura ! pol0ticas del ries)o
informtico#
<
Fi"ura #. Control Interno Inform!tico

'uditor internoKeFterno informticoJ ha de revisar los diferentes controles internos definidos
en cada una de las funciones informticas ! el cumplimiento de la normativa interna !
eFterna5 de acuerdo al nivel de ries)o ! conforme a los obAetivos definidos por la (irecci4n de
*e)ocio ! la (irecci4n de Informtica# Informar tambi7n a la 'lta (irecci4n5 de los hechos
observados ! al detectarse deficiencias o ausencias de controles recomendarn acciones
Cue minimicen los ries)os Cue pueden ori)inarse#
La creaci4n de un sistema de control informtico es una responsabilidad de la Eerencia ! un punto
destacable de la pol0tica en el entorno informtico#
' continuaci4n5 se indican al)unos controles internos para los sistemas de informaci4n5 a)rupados
por secciones funcionales5 ! Cue ser0an los Cue el Control Interno Informtico ! la 'uditor0a Informtica
deber0an verificar para determinar su cumplimiento ! validezJ
Controles )enerales or)anizativosJ en)loba una serie de elementos5 tales comoJ
$olticas.
$lanificaci%n &'lan estrat("ico de informaci%n, 'lan inform!tico, 'lan "eneral de
se"uridad y 'lan de emer"encia ante desastres).
*st!ndares.
$rocedimientos.
Or"ani+ar el de'artamento de inform!tica.
Descri'ci%n de las funciones y res'onsabilidades dentro del de'artamento.
$olticas de 'ersonal.
Ase"urar ,ue la direcci%n re-isa todos los informes de control y resuel-e las
e.ce'ciones ,ue ocurran.
Ase"urar ,ue e.iste una 'oltica de clasificaci%n de la informaci%n.
Desi"nar oficialmente la fi"ura del Control Interno Inform!tico y de la Auditora
Inform!tica.
Controles de desarrollo5 adCuisici4n ! mantenimiento de sistemas de informaci4nJ se utilizan
para Cue se puedan alcanzar la eficacia del sistema5 econom0a ! eficiencia5 inte)ridad de los
datos5 protecci4n de los recursos ! cumplimiento con las le!es ! re)ulaciones# Se compone
deJ
/etodolo"a del ciclo de -ida del desarrollo de
sistemas.
*.'lotaci%n y mantenimiento.
Controles de eFplotaci4n de sistemas de informaci4nJ consta deJ
$lanificaci%n y "esti%n de
recursos.
Controles 'ara usar de manera efecti-a los recursos en
ordenadores.
$rocedimientos de selecci%n del software del sistema, de instalaci%n, de
mantenimiento, de se"uridad y de control de cambios.
0e"uridad fsica y l%"ica.
1=

Controles en aplicacionesJ cada aplicaci4n debe llevar controles incorporados para )arantizar
la entrada5 actualizaci4n5 ! mantenimiento de los datosJ
Control de entrada de datos.
Controles de tratamiento de datos.
Controles de salida de datos.
Controles espec0ficos de ciertas tecnolo)0asJ
Controles en 0istemas de 1esti%n de Bases de
Datos.
Controles en inform!tica distribuida y
redes.
Controles sobre ordenadores 'ersonales y redes de !rea
local.
3.*. '!TODO$OGA% D! COTRO$ IT!RO+ %!GURIDAD & AUDITORA IFOR'(TICA
-#2#1# Conceptos fundamentales
En )eneral5 una metodolo)0a es un conAunto de m7todos Cue se si)uen en una investi)aci4n
cient0fica o en una eFposici4n doctrinal5 es decir5 Cue cualCuier proceso cient0fico debe estar suAeto a una
disciplina definida con anterioridad# En el campo de la informtica5 el cual ha sido siempre una materia
compleAa en todos sus aspectos5 se hace necesaria la utilizaci4n de metodolo)0as debido5 precisamente5
a esa dificultad# Estas metodolo)0as5 se aplican en la totalidad de mbitos de esta materia5 desde su
diseNo de in)enier0a hasta el desarrollo del soft>are5 ! como no5 la auditor0a de los sistemas de
informaci4n#
La metodolo)0a es necesaria para Cue un eCuipo de profesionales alcance un resultado
homo)7neo tal como si lo hiciera uno s4lo# $or ello5 resulta habitual el uso de metodolo)0as en las
empresas auditorasKconsultoras profesionales =desarrolladas por los ms eFpertos@ para conse)uir
resultados similares =homo)7neos@ en eCuipos de trabaAo diferentes =hetero)7neos@#
El uso de m7todos de auditor0a es casi paralelo al nacimiento de la informtica5 en la Cue eFisten
muchas disciplinas cu!o uso de las metodolo)0as constitu!e una prctica habitual# Una de ellas es la
se)uridad de los sistemas de informaci4n5 Cue si la definimos como la doctrina Cue trata de los ries)os
informticos o creados por la informtica5 entonces la auditor0a es una de las fi)uras involucradas en este
proceso de protecci4n ! preservaci4n de la informaci4n ! de sus medios de proceso# $or lo tanto5 el nivel
de se)uridad informtica en una entidad es un obAetivo a evaluar ! est directamente relacionado con la
calidad ! eficacia de un conAunto de acciones ! medidas5 destinadas a prote)er ! preservar la informaci4n
de dicha entidad ! sus medios de proceso#
Resumiendo5 la informtica crea unos ries)os informticos de los Cue ha! Cue prote)er ! preservar
a la entidad con un entramado de contramedidas5 ! la calidad ! la eficacia de las mismas es el obAetivo a
evaluar para poder identificar as0 sus puntos d7biles ! meAorarlos# Qsta5 es una de las funciones de los
auditores informticos5 por lo Cue debemos profundizar ms en este entramado de contramedidas para
ver Cu7 papel tienen las metodolo)0as ! los auditores en el mismo# $ara eFplicar este aspecto5 diremos
Cue cualCuier contramedida nace de la composici4n de varios factores =eFpresados en la Fi"ura 2@# &odos
los factores de la pirmide intervienen en la composici4n de una contramedidaJ
11

Deamos ms detalladamente cada uno de los elementos Cue conforman la contramedidaJ
La *ormativaJ debe definir de forma clara ! precisa todo lo Cue debe eFistir ! ser cumplido5 tanto
desde el punto de vista conceptual5 como prctico5 desde lo )eneral a lo particular# (ebe
inspirarse en estndares5 pol0ticas5 marco Aur0dico5 pol0ticas ! normas de empresa5 eFperiencia
! prctica profesional# (esarrollando la normativa5 debe alcanzarse el resto del O)rfico valorR
mostrado en la Fi"ura 2# Se puede dar el caso
en Cue una normativa ! su carcter disciplinado
sea el Mnico control de un ries)o = aunCue esto
no sea frecuente@#
La %r)anizaci4nJ la inte)ran personas con funciones espec0ficas ! con actuaciones concretas5
procedimientos definidos metodol4)icamente ! aprobados por la direcci4n de la empresa# Qste
es el aspecto ms importante5 dado Cue sin 7l5 nada es posible# Se pueden establecer controles
sin al)uno de los dems aspectos5 pero nunca sin personas5 !a Cue son 7stas las Cue
realizarn los procedimientos ! desarrollan los diversos planes =$lan de Se)uridad5 $lan de
Contin)encias5 'uditor0as5 etc@#
12
Fi"ura 2. Factores de la Contramedida

Las Metodolo)0asJ son necesarias para desarrollar cualCuier pro!ecto Cue nos propon)amos de
manera ordenada ! eficaz#
Los %bAetivos de ControlJ son los obAetivos a cumplir en el control de procesos# Este concepto
es el ms importante despu7s de Gla or)anizaci4nH5 ! solamente de un planteamiento correcto
de los mismos5 saldrn unos procedimientos eficaces ! realistas#
Los $rocedimientos de ControlJ son los procedimientos operativos de las distintas reas de la
empresa5 obtenidos con una metodolo)0a apropiada5 para la consecuci4n de uno o varios
obAetivos de control !5 por lo tanto5 deben estar documentados ! aprobados por la (irecci4n# La
tendencia habitual de los informticos es la de dar ms peso a la herramienta Cue al propio
control o contramedida5 pero no se debe olvidar Cue una herramienta nunca es soluci4n sino
una a!uda para conse)uir un control meAor# Sin la eFistencia de estos procedimientos5 las
herramientas de control son solamente una Gan7cdotaH#
La &ecnolo)0a de Se)uridadJ dentro de este nivel5 estn todos los elementos =hard>are !
soft>are@ Cue a!udan a controlar un ries)o informtico# En este concepto estn los cifradores5
autentificadores5 eCuipos denominados Gtolerantes al falloH5 las herramientas de control5 etc#
Las 9erramientas de ControlJ son elementos soft>are Cue permiten definir uno o varios
procedimientos de control para cumplir una normativa ! un obAetivo de control#
&odos estos factores estn relacionados entre s05 as0 como la calidad de cada uno con la de los
dems# Cuando se evalua el nivel de Se)uridad de Sistemas en una instituci4n5 se estn evaluando
todos estos factores =mencionados antes@5 ! se plantea un $lan de Se)uridad nuevo Cue meAore dichos
factores5 aunCue conforme va!amos realizando los distintos pro!ectos del plan5 no irn meAorando todos
por i)ual# 'l finalizar el plan se habr conse)uido una situaci4n nueva en la Cue el nivel de control sea
superior al anterior#
Llamaremos "lan ,e %e-uri,a, a una estrate)ia planificada de acciones ! pro!ectos Cue lleven a
un sistema de informaci4n ! sus centros de proceso de una situaci4n inicial determinada =! a meAorar@ a
una situaci4n meAorada#
En la Fi"ura 3 se eFpone la tendencia actual en la or)anizaci4n de la se)uridad de sistemas en la
empresa# $or una parte un comit7 Cue estar0a formado por el director de la estrate)ia ! de las pol0ticasI !
por otra parte5 el control interno ! la auditor0a informtica# La funci4n del control interno se ve involucrada
en la realizaci4n de los procedimientos de control5 ! es una labor del d0a a d0a#
La funci4n de la auditor0a informtica est centrada en la evaluaci4n de los distintos aspectos Cue
desi)ne su "lan Au,i.or5 con unas caracter0sticas de trabaAo Cue son las visitas concretas al centro5 con
obAetivos concretos !5 tras terminar su trabaAo5 la presentaci4n del informe de resultados#
13

Sueda pues por decir5 Cue ambas funciones deben ser independientes de la informtica5 dado Cue
por la disciplina laboral5 la labor de las dos funciones Cuedar0a mediatizada ! comprometida# Esto es lo
Cue se llama Rse)re)aci4n de funcionesR entre 7stas ! la informtica#
-#2#+#Metodolo)0as de evaluaci4n de sistemas
En el mundo de la se)uridad de sistemas5 se utilizan todas las metodolo)0as necesarias para
realizar un plan de
se)uridad adems
de las de auditor0a
informtica#
Las dos metodolo)0as de evaluaci4n de sistemas por antonomasia son las de 'nlisis de Ries)os
! las de 'uditor0a Informtica5 con dos enfoCues distintos# La auditor0a informtica s4lo identifica el nivel
de OeFposici4nR por la falta de controles5 mientras Cue el anlisis de ries)os facilita la Oevaluaci4nR de los
ries)os ! recomienda acciones en base al costePbeneficio de las mismas#
Deamos una serie de definiciones para profundizar en estas metodolo)0asJ
'menazaJ todo aCuello Cue se ve como posible fuente de peli)ro o catstrofe =!a sea persona
o cosa5 tal como robo de datos5 incendios5 sabotaAe5 falta de procedimientos de emer)encia5
divul)aci4n de datos5 aplicaciones mal diseNadas5 )astos incontrolados5 etc@#
14
Fi"ura 3. Or"ani+aci%n interna de la 0e"uridad Inform!tica

DulnerabilidadJ Situaci4n creada5 por la falta de uno o varios controles5 con la Cue la amenaza
pudiera acaecer ! as0 afectar al entorno informtico =como por eAemplo5 la falta de control de
acceso l4)ico5 la falta de control de versiones5 la ineFistencia de un control de soportes
ma)n7ticos5 etc@#
Ries)oJ probabilidad de Cue una amenaza lle)ue acaecer por una vulnerabilidad =como5 por
eAemplo5 los datos estad0sticos de cada evento de una base de datos de incidentes@#
EFposici4n o impactoJ es la evaluaci4n del efecto del ries)o =por eAemplo5 es frecuente evaluar
el impacto en t7rminos econ4micos5 aunCue no siempre lo es5 como vidas humanas5 ima)en
de la empresa5 honor5 defensa nacional5 etc@#
&odos los ries)os Cue se presentan podemosJ
Evitarlos =no construir un centro donde ha! peli)ro constante de
inundaciones@#
&ransferirlos =uso de un centro de clculo
contratado@#
Reducirlos =sistema de detecci4n ! eFtinci4n de
incendios@#
'sumirlos5 Cue es lo Cue se hace si no se controla el ries)o en
absoluto#
$ara los tres primeros5 se actMa si se establecen controles o contramedidas# &odas las
metodolo)0as eFistentes en se)uridad de sistemas van encaminadas a establecer ! meAorar un
entramado de contramedidas Cue )aranticen Cue la probabilidad de Cue las amenazas se materialicen en
hechos =por falta de control@ sea lo mas baAa posible o5 al menos5 Cue Cuede reducida de una forma
razonable en costoPbeneficio#
&odas las metodolo)0as eFistentes desarrolladas ! utilizadas en la auditor0a ! el control
informticos5 se pueden a)rupar en dos )randes familiasJ
CuantitativasJ basadas en un modelo matemtico num7rico Cue a!uda a la realizaci4n del
trabaAo#
CualitativasJ basadas en el criterio ! raciocinio humano capaz de definir un proceso de
trabaAo5 para seleccionar en base a la eFperiencia acumulada#
'e.o,olo-/as Cuan.i.a.i0as
Estan diseNadas para producir una lista de ries)os Cue pueden compararse entre s0 con facilidad
por tener asi)nados unos valores num7ricos# Estos valores en el caso de metodolo)0as de anlisis de
ries)os o de planes de contin)encias son datos de probabilidad de ocurrencia =ries)o@ de un evento Cue
se debe eFtraer de un re)istro de incidencias donde el nMmero de ellas sea suficientemente )rande# Esto
no pasa en la prctica5 ! se aproFima ese valor de forma subAetiva restando5 as05 ri)or cient0fico al clculo
=pero dado Cue el clculo se hace para a!udar a ele)ir el m7todo entre varias contramedidas podr0amos
aceptarlo#
En )eneral5 podemos observar con claridad dos )randes inconvenientes Cue presentan estas
metodolo)0as# $or una parte5 la debilidad de los datos de la probabilidad de ocurrencia por los pocos
re)istros ! la poca si)nificaci4n de los mismos a nivel mundialI ! por otro5 la imposibilidad o difilcutad de
evaluar econ4micamente todos los impactos Cue pueden acaecer frente a la ventaAa de poder usar un
modelo matemtico para el anlisis#
18

'e.o,olo-/as Cuali.a.i0as %u12e.i0as
Estn basadas en m7todos estad0sticos ! l4)ica difusa =humana5 no matemtica 1UTTU L%EIC@#
$recisan de la colaboraci4n de un profesional eFperimentado5 pero reCuieren menos recursos
humanosKtiempo Cue las metodolo)0as cuantitativas#
La tendencia de uso en la realidad5 es la mezcla de ambas# En la Tabla # se muestra el cuadro
comparativo de ambas metodolo)0asJ
Cuan.i.a.i0a Cuali.a.i0a %u12e.i0a

Enfoca pensamientos mediante el uso
de nMmeros#
1acilita la comparaci4n de vulneraP
bilidades mu! distintas#
$roporciona una cifra OAustificanteR para
cada contramedida#
EnfoCue lo amplio Cue se desee#
$lan de trabaAo fleFible ! reactivo#
Se concentra en la identificaci4n
de eventos#
Inclu!e factores intan)ibles#

"
R
O
%

C
O
T
R
A
%
Estimaci4n de probabilidad depende de
estad0sticas fiables ineFistentes#
Estimaci4n de las p7rdidas potenciales
s4lo si son valores cuantificables#
Metodolo)0as estndares#
(if0ciles de mantener o modificar#
(ependencia de un profesional#
(epende fuertemente de la habilidad !
calidad del personal involucrado#
$uede eFcluir ries)os si)nificantes
desconocidos#
Identificador de eventos reales ms claros
al no tener Cue aplicarles probabilidades
compleAas de calcular#
(ependencia de un profesional#

Las metodolo)0as usadas ms comunmente son las si)uientesJ
'e.o,olo-/as ,e Anlisis ,e Ries-os
Estn desarrolladas para la identificaci4n de la falta de controles ! el establecimiento de un plan de
contramedidas# En base a unos cuestionarios5 se identifican vulnerabilidades ! ries)os5 ! se evalMa el
impacto para ms tarde identificar las contramedidas ! el coste# La si)uiente etapa es la ms importante5
pues mediante un Aue)o de simulaci4n =Cue llamaremos GSue pasa s0V###H@ analizamos el efecto de las
distintas contramedidas en la disminuci4n de los ries)os analizados5 eli)iendo de esta manera un plan de
contramedidas =plan de se)uridad@ Cue compondr el informe final de la evaluaci4n#
El esCuema bsico de una metodolo)0a de anlisis de ries)os es5 en esencia5 el representado en
la Fi"ura 4#
19
Tabla #. Com'araci%n entre metodolo"as cuantitati-as y cualitati-as

"lan ,e Con.in-encias
El auditor
debe conocer
perfectamente los conceptos de un plan de contin)encias para poder auditarlo# El plan de contin)encias
! de recuperaci4n de ne)ocio es lo mismo5 pero no as0 el plan de restauraci4n interno# &ambi7n se
maneAan a veces los conceptos de plan de conti)encias informtico ! plan de contin)encias corporativo5
cu!os conceptos son s4lo de alcance# El corporativo cubre no s4lo la informtica5 sino todos los
departamentos de una entidad5 ! puede incluir tambi7n el informtico como un departamento ms#
1recuentemente5 se realiza el informtico#
El plan de contin)encias es una estrate)ia planificada constituida por un conAunto de recursos de
respaldo5 una or)anizaci4n de emer)encia ! unos procedimientos de actuaci4n5 encaminada a conse)uir
una restauraci4n pro)resiva ! )il de los servicios de ne)ocio afectados por una paralizaci4n total o
parcial de la capacidad operativa de la empresa# Esa estrate)ia5 materializada en un manual5 es el
resultado de todo un proceso de anlisis ! definiciones Cue es lo Cue d lu)ar a las metodolo)0as#
Es mu! importante tener en cuenta Cue el concepto a considerar es Ola continuidad en el ne)ocioRI
es decir5 estudiar todo lo Cue puede paralizar la actividad ! producir p7rdidas# &odo lo Cue no considere
este criterio no ser nunca un plan de contin)encias# Deamos cuales son las fases de un planJ
'nlisis ! (iseNoJ se estudia la problemtica5 las necesidades de recursos5 las alternativas de
respaldo5 ! se analiza el costeKbeneficio de las mismas# Qsta es la fase ms importante5
pudiendo lle)arse al final de la misma incluso a la conclusi4n de Cue no es viable o es mu!
costoso su se)uimiento#
(esarrollo del $lanJ esta fase ! la si)uiente son similares en todas las metodolo)0as# En ella
se desarrolla la estrate)ia seleccionada5 implantndose hasta el final todas las acciones
previstas# Se definen las distintas or)anizaciones de emer)encia ! se desarrollan los
procedimientos de actuaci4n )enerando5 as05 la documentaci4n del plan# Es en esta fase
cuando se analiza la vuelta a la normalidad5 dado Cue pasar de la situaci4n normal a la
alternativa debe concluirse con la reconstrucci4n de la situaci4n inicial antes de la
contin)encia5 ! esto es lo Cue no todas las metodolo)0as inclu!en#
1:
Fi"ura 4. *s,uema b!sico de una metodolo"a de an!lisis de ries"os

$ruebas ! MantenimientoJ en esta fase se definen las pruebas5 sus caracter0sticas ! sus
ciclos5 ! se realiza la primera prueba como comprobaci4n de todo el trabaAo realizado5 as0
como mentalizar al personal implicado#
9erramientasJ en este caso5 como en todas las metodolo)0as5 la herramienta es una
an7cdota5 ! lo importante es tener ! usar la metodolo)0a apropiada para desarrollar ms tarde
la herramienta Cue se necesite# &oda herramienta deber0a tener5 al menos5 los si)uientes
componentesJ base de datos relacional5 m4dulo de entrada de datos5 m4dulo de consultas5
procesador de teFtos5 )enerador de informes5 a!udas on5line5 hoAa de clculo5 )estor de
pro!ectos ! )enerador de )rficos#
-#2#-# Las metodolo)0as de auditor0a informtica
Las Mnicas metodolo)0as Cue podemos encontrar en la auditor0a informtica son dos familias
distintasJ las auditor0as de Controles Eenerales como producto estndar de las auditorias profesionales5
Cue son una homolo)aci4n de las mismas a nivel internacional5 ! las Metodolo)0as de los auditores
internos#
El obAetivo de las auditor0as de controles )enerales es Gdar una opini4n sobre la fiabilidad de los
datos del ordenador para la auditor0a financieraH# El resultado eFterno es un escueto informe como parte
del informe de auditor0a5 donde se destacan las vulnerabilidades encontradas# Estn basadas en
peCueNos cuestinarios estndares Cue dan como resultado informes mu! )eneralistas#
Deamos brebemente cuales son las partes bsicas de un plan auditor informticoJ
1unciones# Ubicaci4n de la fi)ura en el or)ani)rama de la
empresa
$rocedimientos para las distintas tareas de las auditor0as# Entre ellos estn el
procedimiento
de apertura5 el de entre)a ! discusi4n de debilidades5 entre)a de informe preliminar5 cierre de
auditor0a5 redacci4n de informe final5 etc#
&ipos de auditor0as Cue realiza# Metodolo)0as ! cuestionarios de las mismas# EFisten dos
tipos de auditor0a se)Mn su alcanceJ la Completa =Full@ de un rea ! la 'cci4n de Inspecci4n
Correctiva &Correcti-e Action 6e-iew o CA6@ Cue es la comprobaci4n de acciones correctivas
de auditor0as anteriores#
Sistema de evaluaci4n ! los distintos aspectos Cue evalMa# (eben definirse varios aspectos
a evaluar como el nivel de )esti4n econ4mica5 )esti4n de recursos humanos5 cumplimiento
de normas5 etc5 as0 como realizar una evaluaci4n )lobal de resumen para toda la auditor0a#
Esta evaluaci4n final nos servir para definir la fecha de repetici4n de la misma auditor0a en
el futuro5 se)Mn el nivel de eFposici4n Cue se le ha!a dado a este tipo de auditor0a en
cuesti4n#
*ivel de eFposici4n# Es un valor definido subAetivamente Cue permite definir la fecha de la
repetici4n de la misma auditor0a5 en base a la evaluaci4n final de la Mltima auditor0a realizada
sobre ese tema#
Lista de distribuci4n de informes#
Se)uimiento de las acciones correctoras#
1;

$lan CuinCuenal# &odas las reas a auditar deben corresponderse con cuestionarios
metodol4)icos ! deben repartirse en cuatro o cinco aNos de trabaAo# Esta planificaci4n5
adems de las repeticiones ! aNadido de las auditor0as no pro)ramadas Cue se estimen
oportunas5 deber componer anualmente el plan de trabaAo =anual@#
$lan de trabaAo anual# (eben estimarse tiempos de manera racional ! componer un
calendario Cue5 una vez terminado5 nos d7 un resultado de horas de trabaAo previstas !5 por
tanto5 de los recursos Cue se necesitarn#
Las metodolo)0as de auditor0a informtica son del tipo cualitativoKsubAetivo =podemos decir Cue son
las subAetivas por eFcelencia@# $or tanto5 estn basadas en profesionales de )ran nivel de eFperiencia !
formaci4n5 capaces de dictar recomendaciones t7cnicas5 operativas ! Aur0dicas5 Cue eFi)en una )ran
profesionalidad ! formaci4n continuada# Solo as0 esta funci4n se consolidar en las entidades5 esto es5
por el Orespeto profesionalR a los Cue eAercen la funci4n#
-#2#/ Control Interno Informtico# Sus m7todos ! procedimientos# Las herramientas de control#
9o! en d0a5 la tendencia )eneralizada es contemplar5 al lado de la fi)ura del auditor informtico5 la
de control interno informtico# &al es el caso de la or)anizaci4n internacional I.%.A.C.A. =Information
0ystems Audit and Control Association 'sociaci4n para la auditor0a ! control de los sistemas de
informaci4n@5 creadora de la norma CO3IT =tema de estudio de este informe@ ! Cue5 con anterioridad5 se
llam4 The *D$ Auditors Association I7C.+ inclu!endo en la actualidad las funciones de control
informtico adems de las de auditor0a#
$ese a su similitud5 podr0amos decir Cue eFisten claras diferencias entre las funciones del control
informtico ! las de la auditor0a informticaJ
El rea informtica monta los procesos informticos
se)uros#
El control interno monta los controles#
La auditor0a informtica evalMa el )rado de
control#
Las funciones bsicas del control interno informtico son las si)uientesJ
'dministraci4n de la se)uridad l4)ica#
1unciones de control dual con otros departamentos#
1unci4n normativa ! del cumplimiento del marco Aur0dico#
Responsable del desarrollo ! actualizaci4n del $lan de Contin)encias5 Manuales de
procedimientos5 etc#
(ictar normas de se)uridad informtica#
(efinir los procedimientos de control#
Control del Entorno de (esarrollo#
Controles de soportes ma)n7ticos se)Mn la clasificaci4n de la informaci4n#
Controles de soportes f0sicos#
Control de informaci4n comprometida o sensible#
Control de calidad del soft>are#
Control de calidad del servicio informtico#
Control de costes#
1<

Responsable de los departamentos de recursos humanos ! t7cnico#
Control ! maneAo de claves de cifrado#
Di)ilancia del cumplimiento de las normas ! controles#
Control de cambios ! versiones#
Control de paso de aplicaciones a eFplotaci4n#
Control de medidas de se)uridad f0sica o corporativa en la informtica#
Responsable de datos personales#
&odas estas funciones son un poco ambiciosas para desarrollarlas desde el instante inicial de la
implantaci4n de esta fi)ura5 pero no debemos perder el obAetivo de Cue el control informtico es el
componente de la Oactuaci4n se)uraR entre los usuarios5 la informtica ! el control interno5 todos ellos
auditados por la auditor0a informtica#
$ara obtener el entramado de contramedidas o controles compuesto por los factores Cue ve0amos
en la Fi"ura 25 debemos ir abordando pro!ectos usando distintas metodolo)0as5 tal como se observa en
la Fi"ura 85 Cue irn conformando ! meAorando el nMmero de controles#
2=
Fi"ura 8. Obtenci%n de los Controles

$as 4erra5ien.as ,e Con.rol
En la Mltima fase de la pirmide =Fi"ura 2@5 nos encontramos las herramientas de control# En la
tecnolo)0a de la se)uridad informtica Cue se ve envuelta en los controles5 eFiste tecnolo)0a hard>are
=como los cifradores@ ! soft>are# Las herramientas de control son elementos soft>are Cue por sus
caracter0sticas funcionales permiten vertebrar
-
un control de una manera ms actual ! ms automatizada#
Como se vi4 antes5 el control se define en todo un proceso metodol4)ico5 ! en un punto del mismo se
analiza si eFiste una herramienta Cue automatice o meAore el control para ms tarde definirlo con la
herramienta incluida5 ! al final documentar los procedimientos de las distintas reas involucradas para
Cue estas los cumplan ! sean auditados# Es decir5 comprar una herramienta sin ms ! ver Cu7 podemos
hacer con ella es un error profesional )rave Cue no conduce a nada5 comparable a trabaAar sin m7todo e
improvisando en cualCuier disciplina informtica#
Las herramientas de control =soft>are@ ms comunes sonJ
Se)uridad l4)ica del sistema#
Se)uridad l4)ica complementaria al sistema =desarrollado a
medida@#
Se)uridad l4)ica para entornos distribuidos#
Control de acceso f0sico# Control de
presencia#
Control de copias#
Eesti4n de copias#
Eesti4n de soportes ma)n7ticos#
Eesti4n ! control de impresi4n ! env0o de listados por
red#
Control de pro!ectos#
Control ! )esti4n de incidencias#
Control de cambios#
&odas estas herramientas estn inmersas en controles nacidos de unos obAetivos de control ! Cue
re)ularn la actuaci4n de las distintas reas involucradas#
3.6. A%"!CTO% FIA$!%
Son muchas5 pu7s5 las metodolo)0as Cue se pueden encontrar en el mundo de la auditor0a
informtica ! control interno# Como resumen5 se podr0a decir Cue la metodolo)0a es el fruto del nivel
profesional de cada uno ! de su visi4n de c4mo conse)uir un meAor resultado en el nivel de control de
cada entidad5 aunCue el nivel de control resultante debe ser similar#
$ero en realidad5 todas ellas son herramientas de trabaAo meAores o peores Cue a!udan a
conse)uir meAores resultados5 !a Cue las Mnicas herramientas verdaderas de la auditor0a ! el control
informtico son la Oactitud ! aptitudR5 Aunto con una postura vi)ilante ! una formaci4n continuada#
3.7. $!CTURA% R!CO'!DADA%
$iattini Delthuis5 Mario E#I (el $eso *avarro5 Emilio# 16# R'PM' OA9DITO6:A I7FO6/;TICA.
9n enfo,ue 'r!cticoR# EPM'ILJ ramaWarra?is#es
3

Vertebrar: 'ar &on"i"%!n&ia * !"%r(&%(ra in%!rna"7 'ar or,ani-a&in * &o3!"in0
21

.( Te C/0IT "rame#or$
).1. FUCI8 3(%ICA & ORI!TACI8 D!$ CO3IT.
El C%:I&5 es una herramienta de )obierno de las &ecnolo)0as de la Informaci4n Cue ha cambiado de
i)ual forma Cue lo ha hecho el trabaAo de los profesionales de &I# La IS'C15 or)anizaci4n creadora de esta
norma C%:I& =Information S!stems 'udit and Control 1oundation@ as0 como sus patrocinadores5 han
diseNado este producto principalmente como una fuente de instrucci4n para los profesionales dedicados
a las actividades de control# La defnici4n Cue nos ofrece el sumario eAecutivo del C%:I& =Control OB<eti-es
for Information and related Tecnolo"y Eobierno5 Control ! Revisi4n de la Informaci4n ! &ecnolo)0as
Relacionadas@ es la si)uienteJ
$a 5isin ,el CO3IT: 1uscar+ ,esarrollar+ 9u1licar : 9ro5o0er un au.ori.ario : ac.ualiza,o
con2un.o in.ernacional ,e o12e.i0os ,e con.rol ,e .ecnolo-/as ,e la in;or5acin+ -eneral5en.e
ace9.a,as+ 9ara el uso ,iario 9or 9ar.e ,e -es.ores ,e ne-ocio : au,i.ores.
(icho de una forma menos formal5 seNalaremos Cue el C%:I& a!uda a salvar las brechas
eFistentes entre los ries)os de ne)ocio5 necesidades de control ! aspectos t7cnicos# 'dems5
proporciona Xprcticas sanasX a trav7s de un Marco Referencial =Framework@ de dominios ! procesos5 !
presenta actividades en una estructura maneAable ! l4)ica# Las Oprcticas sanasR del C%:I& representan
el consenso de los eFpertos =a!udarn a los profesionales a optimizar la inversi4n en informaci4n5 pero
aMn ms importante5 representan aCuello sobre lo Cue sern Auz)ados si las cosas salen mal@#
El tema principal Cue trata el C%:I& es la orientaci4n a ne)ocios# Qste5 est diseNado no solo para
ser utilizado por usuarios ! auditores5 sino Cue en forma ms importante5 esta diseNado para ser utilizado
como una lista de verificaci4n detallada para los propietarios de los procesos de ne)ocio# (e forma
creciente5 las prcticas de ne)ocio comprenden la completa autorizaci4n de los procesos propios de
ne)ocio5 con lo Cue poseen una total responsabilidad para todos los aspectos de dichos procesos# La
norma C%:I&5 proporciona una herramienta para los procesos propios de ne)ocio Cue facilitan la
descar)a de esta responsabilidad# La norma parte con una simple ! pra)mtica premisaJ
En orden de proporcionar la informacin que la orani!acin nece"i#a para lle$ar
a ca%o "u" o%&e#i$o"' lo" requi"i#o" de la" #ecnolo(a" de la informacin
nece"i#an "er e"#ionado" por un con&un#o de proce"o" arupado" de forma
na#ural)
La norma continua con un conAunto de -/ obAetivos de control de alto nivel para cada uno de los
procesos de las tecnolo)0as de la informaci4n5 a)rupados en cuatro dominiosJ planificaci4n !
or)anizaci4n5 adCuisici4n e implementaci4n5 soporte de entre)a ! monitorizaci4n# Esta estructura5 abarca
todos los aspectos de la informaci4n ! de la tecnolo)0a Cue la mantiene# Mediante la direcci4n de estos
-/ obAetivos de control de alto nivel5 los procesos propios de ne)ocio pueden )arantizar la eFistencia de
un sistema de control adecuado para los entornos de las tecnolo)0as de la informaci4n# En suma5 cada
uno de los -/ obAetivos de control de alto nivel correspondiente5 es una directiva de revisi4n o se)uridad
para permitir la inspecci4n de los procesos de las tecnolo)0as de la informaci4n en contraste con los -"+
obAetivos de control detallados en el C%:I& para el suministro de una )esti4n de se)uridad5 as0 como de
un aviso para la meAora# La norma C%:I& contiene un conAunto de herramientas de implementaci4n el
cual aporta una serie de lecciones de aprendizaAe5 con las Cue las or)anizaciones podrn aplicar de
forma rpida ! satisfactoria esta norma a sus entornos de trabaAo#
22

En definitiva5 el C%:I& es una herramienta Cue permite a los )erentes comunicarse ! salvar la
brecha eFistente entre los reCuerimientos de control5 aspectos t7cnicos ! ries)os de ne)ocio# C%:I&
habilita el desarrollo de una pol0tica clara ! de buenas prcticas de control de &I5 a trav7s de
or)anizaciones a nivel mundial# El obAetivo del C%:I& es proporcionar estos obAetivos de control5 dentro
del marco referencial definido5 ! obtener la aprobaci4n ! el apo!o de las entidades comerciales5
)ubernamentales ! profesionales en todo el mundo# $or lo tanto5 C%:I& esta orientado a ser la
herramienta de )obierno de &I Cue a!ude al entendimiento ! a la administraci4n de ries)os asociados
con las tecnolo)0as de la informaci4n ! con las tecnolo)0as relacionadas#
).#. 4I%TORIA & !<O$UCI8 D!$ CO3IT.
El pro!ecto C%:I& se emprendi4 por primera vez en el aNo 125 con el fin de crear un ma!or
producto )lobal Cue pudiese tener un impacto duradero sobre el campo de visi4n de los ne)ocios5 as0
como sobre los controles de los sistemas de informaci4n implantados# La primera edici4n del C%:I&5 fu7
publicada en 18 ! fue vendida en 6 paises de todo el mundo# La se)unda edici4n =tema de estudio en
este informe@ publicada en 'bril de 165 desarrolla ! meAora lo Cue pose0a la anterior mediante la
incorporaci4n de un ma!or nMmero de documentos de referencia fundamentales5 nuevos ! revisados =de
forma detallada@ obAetivos de control de alto nivel5 intensificando las lineas maestras de auditor0a5
introduciendo un conAunto de herramientas de implementaci4n5 as0 como un C(PR%M completamente
or)anizado el cual contiene la totalidad de los contenidos de esta se)unda edici4n#
!0olucin ,el 9ro,uc.o CO3IT
El C%:I& evolucionar a trav7s de los aNos ! ser el fundamento de investi)aciones futuras5 por lo
Cue se )enerar una familia de productos C%:I&# 'l ocurrir esto5 las tareas ! actividades Cue sirven
como la estructura para or)anizar los %bAetivos de Control de &I5 sern refinadas posteriormente5 siendo
tambi7n revisado el balance entre los dominios ! los procesos a la luz de los cambios en la industria#
Una temprana adici4n si)nificativa visualizada para la familia de productos C%:I&5 es el desarrollo
de las Eu0as de Eerencia Cue inclu!en 1actores Cr0ticos de EFito5 Indicadores Clave de (esempeNo !
Medidas Comparativas# Los 1actores Cr0ticos de QFito5 identificarn los aspectos o acciones ms
importantes para la administraci4n ! poder tomar5 as05 dichas aciones o considerar los aspectos para
lo)rar control sobre sus procesos de &I# Los Indicadores Clave de (esempeNo proporcionarn medidas
de 7Fito Cue permitirn a la )erencia conocer si un proceso de &I esta alcanzando los reCuerimientos de
ne)ocio# La Medidas Comparativas definirn niveles de madurez Cue pueden ser utilizadas por la
)erencia paraJ determinar el nivel actual de madurez de la empresaI determinar el nivel de madurez Cue
se desea lo)rar5 como una funci4n de sus ries)os ! obAetivosI ! proporcionar una base de comparaci4n
de sus prcticas de control de &I contra empresas similares o normas de la industria# Esta adici4n5
proporcionar herramientas a la )erencia para evaluar el ambiente de &I de su or)anizaci4n con
respecto a los -/ %bAetivos de Control de alto nivel de C%:I&#
En definitiva5 la or)anizaci4n IS'C1 =creadora5 como !a se ha comentado5 de la norma@ espera Cue
el C%:I& sea adoptado por las comunidades de auditor0a ! ne)ocio como un estndar )eneralmente
aceptado para el control de las &ecnolo)0as de la Informaci4n#
23

).3. D!%ARRO$$O & CO'"O!T!% D!$ CO3IT.
C%:I& ha sido desarrollado como un estndar )eneralmente aplicable ! aceptado para las buenas
prcticas de se)uridad ! control en &ecnolo)0a de Informaci4n# El C%:I& es5 pues5 una herramienta
innovadora para el )obierno de las &ecnolo)0as de la Informaci4n#
El C%:I& se fundamenta en los %bAetivos de Control eFistentes de la Information S!stems 'udit and
Control 1oundation =IS'C1@5 meAorados a partir de estndares internacionales t7cnicos5 profesionales5
re)ulativos ! espec0ficos para la industria5 tanto los !a eFistentes como los Cue estn sur)iendo en la
actualidad# Los %bAetivos de Control resultantes han sido desarrollados para su aplicaci4n en sistemas de
informaci4n en toda la empresa# El t7rmino X)eneralmente aplicables ! aceptadosX es utilizado
eFpl0citamente en el mismo sentido Cue los $rincipios de Contabilidad Eeneralmente 'ceptados =$CE' o
E''$ por sus si)las en in)l7s@# $ara prop4sitos del pro!ecto5 Xbuenas prcticasX si)nifica consenso por
parte de los eFpertos#
Este estndar es relativamente peCueNo en tamaNo5 con el fin de ser prctico ! responder5 en la
medida de lo posible5 a las necesidades de ne)ocio5 manteniendo al mismo tiempo una independencia
con respecto a las plataformas t7cnicas de &I adoptadas en una or)anizaci4n# El proporcionar
indicadores de desempeNo =normas5 re)las5 etc#@5 ha sido identificado como prioridad para las meAoras
futuras Cue se realizarn al marco referencial#
El desarrollo de C%:I& ha tra0do como resultado la publicaci4n del Marco Referencial )eneral ! de los
%bAetivos de Control detallados5 ! le se)uirn actividades educativas# Estas actividades ase)urarn el
uso )eneral de los resultados del $ro!ecto de Investi)aci4n C%:I&#
Se determin4 Cue las meAoras a los obAetivos de control ori)inales deber0an consistir enJ
el desarrollo de un marco referencial para el control en tecnolo)0as de la informaci4n como
fundamento para los obAetivos de control en &I5 ! como una )u0a para la investi)aci4n
consistente en auditor0a ! control de las tecnolo)0as de la informaci4nI
una alineaci4n del marco referencial )eneral ! de los obAetivos de control individuales5 con
estndares ! re)ulaciones internacionales eFistentes de hecho ! de derechoI
! una revisi4n cr0tica de las diferentes actividades ! tareas Cue conforman los dominios de
control en tecnolo)0a de informaci4n !5 cuando fuese posible5 la especificaci4n de indicadores
de desempeNo relevantes =normas5 re)las5 etc#@5 as0 como una revisi4n cr0tica ! una
actualizaci4n de las )u0as actuales para el desarrollo de auditor0as de los sistemas de
informaci4n#
24

Co59onen.es ,el CO3IT #= !,icin
El desarrollo del C%:I& =+Y Edici4n@5 ha resultado en la publicaci4n de los si)uientes
componentesJ
28
Un Resumen EAecutivo =EFecutive Sumar!@5 el cual consiste en una
s0ntesis eAecutiva Cue proporciona a la alta )erencia entendimiento !
conciencia sobre los conceptos clave ! principios del C%:I&I
un Marco Referencial =1rame>or?@5 el cual proporciona a la alta
)erencia un entendimiento ms detallado de los conceptos clave !
principios del C%:I&5 e identifica los cuatro dominios de C%:I&
describiendo en detalle5 adems5 los -/ obAetivos de control de alto
nivel e identificando los reCuerimientos de ne)ocio para la informaci4n !
los recursos de las &ecnolo)0as de la Informaci4n Cue son impactados
en forma primaria por cada obAetivo de controlI
los %bAetivos de Control =Control %bAetives@5 los cuales contienen
declaraciones de los resultados deseados o prop4sitos a ser
alcanzados mediante la implementaci4n de -"+ obAetivos de control
detallados ! espec0ficos a trav7s de los -/ procesos de las
&ecnolo)0as de la Informaci4nI
las Eu0as de 'uditor0a ='udit Euidelines@5 las cuales contienen los
pasos de auditor0a correspondientes a cada uno de los -/ obAetivos de
control de &I de alto nivel para proporcionar asistencia a los auditores
de sistemas en la revisi4n de los procesos de &I con respecto a los -"+
obAetivos detallados de control recomendados para proporcionar a la
)erencia certeza o unas recomendaciones para meAorarI
un ConAunto de 9erramientas de Implementaci4n =Implementation &ool
Set@5 el cual proporciona las lecciones aprendidas por
or)anizaciones Cue han aplicado C%:I& rpida ! eFitosamente en sus
ambientes de trabaAo# Este conAunto de herramientas de
implementaci4n inclu!e la S0ntesis EAecutiva5 proporcionando a la alta
)erencia conciencia ! entendimiento del C%:I&# &ambi7n inclu!e una
)u0a de implementaci4n con dos Mtiles herramientasJ (ia)n4stico de la
Conciencia de la Eerencia ! el (ia)n4stico de Control de &I5 para
proporcionar asistencia en el anlisis del ambiente de control en &I de
una or)anizaci4n# &ambi7n se inclu!en varios casos de estudio Cue
detallan como or)anizaciones en todo el mundo han implementado
C%:I& eFitosamente# 'dicionalmente5 se inclu!en respuestas a las +2
pre)untas mas frecuentes acerca del C%:I&5 as0 como varias
presentaciones para distintos niveles AerrCuicos ! audiencias dentro de
las or)anizacionesI

).). !$ 'ARCO R!F!R!CIA$ D!$ CO3IT (CO3IT FRA'!>OR?).
$a necesi,a, ,e con.rol en
.ecnolo-/a ,e
in;or5acin
Como se coment4 en la introducci4n de este informe5 ho! en d0a uno de los aspectos ms
importantes para el 7Fito ! la supervivencia de cualCuier or)anizaci4n5 es la )esti4n efectiva de la
informaci4n as0 como de las tecnolo)0as relacionadas con ella =&I@# $or lo )eneral5 la administraci4n debe
decidir la inversi4n razonable en se)uridad ! control de estas tecnolo)0as de la Informaci4n ! c4mo lo)rar
un balance entre ries)os e inversiones en control en un ambiente de &I frecuentemente impredecible# La
administraci4n5 necesita un Marco Referencial de prcticas de se)uridad ! control de &I )eneralmente
aceptadas para medir comparativamente su ambiente de &I5 tanto el eFistente como el planeado#
EFiste una creciente necesidad entre los usuarios en cuanto a la se)uridad en los servicios de &I5 a
trav7s de la acreditaci4n ! la auditor0a de servicios de &I proporcionados internamente o por terceras
partes5 Cue ase)uren la eFistencia de controles adecuados# 'ctualmente5 sin embar)o5 es confusa la
implementaci4n de buenos controles de &I en sistemas de ne)ocios por parte de entidades comerciales5
entidades sin fines de lucro o entidades )ubernamentales# Esta confusi4n proviene de los diferentes
m7todos de evaluaci4n =tal como la evaluaci4n IS%"""@5 nuevas evaluaciones de control interno
C%S%
/
5 etc# Como resultado5 los usuarios necesitan una base )eneral para ser establecida como primer
paso#
1recuentemente5 los auditores han tomado el lideraz)o en estos esfuerzos internacionales de
estandarizaci4n5 debido a Cue ellos enfrentan continuamente la necesidad de sustentar ! apo!ar frente a la
Eerencia su opini4n acerca de los controles internos# Sin contar con un marco referencial5 7sta se convierte
en una tarea demasiado complicada# Esto ha sido mostrado en varios estudios recientes acerca de la
manera en la Cue los auditores evalMan situaciones compleAas de se)uridad ! control en &I5 estudios Cue
fueron dados a conocer casi simultneamente en diferentes partes del mundo# Incluso5 la administraci4n
consulta cada vez ms a los auditores para Cue le asesoren en forma proactiva en lo referente a asuntos de
se)uridad ! control de &I#
!l a51ien.e ,e ne-ocios: co59e.encia+ ca51io : cos.es
La competencia )lobal es !a un hecho# Las or)anizaciones se reestructuran con el fin de
perfeccionar sus operaciones ! al mismo tiempo aprovechar los avances en tecnolo)0a de sistemas de
informaci4n para meAorar su posici4n competitiva# La rein)enier0a en los ne)ocios5 las reestructuraciones5
el outsourcin)
2
5 las or)anizaciones horizontales ! el procesamiento distribuido son cambios Cue impactan
la manera en la Cue operan tanto los ne)ocios como las entidades
4
COSO: Co$$i%%!! o >pon"orin, Or,ani"a%ion" o %3! Tr!a'?a* Co$$i"""ion In%!rna# Con%ro#@In%!,ra%!' Fra$!?orA
8
Outsourcing: Con%ra%a&in ,#o.a# o par&ia# '! "!r1i&io" inor$B%i&o"0 >! %ra%a '! #a "(.&on%ra%a&in '! %o'o o '! par%! '!#
%ra.a+o inor$B%i&o $!'ian%! (n &on%ra%o &on (na !$pr!"a !C%!rna /(! "! in%!,ra !n #a !"%ra%!,ia '! #a !$pr!"a * .("&a 'i"!Dar
(na "o#(&in a #o" pro.#!$a" !Ci"%!n%!"
29
$or Mltimo5 se inclu!e un completo C(PR%M en el cual se puede
encontrar toda la informaci4n detallada en los manuales descritos
anteriormente#

)ubernamentales# Estos cambios han tenido ! continuarn teniendo5 profundas implicaciones para la
administraci4n ! las estructuras de control operacional dentro de las or)anizaciones en todo el mundo#
La especial atenci4n prestada a la obtenci4n de ventaAas competitivas ! a la econom0a5 implica una
dependencia creciente en la computaci4n como el componente ms importante en la estrate)ia de la
ma!or0a de las or)anizaciones# La automatizaci4n de las funciones or)anizacionales5 por su naturaleza5
dicta la incorporaci4n de mecanismos de control ms poderosos en las computadoras ! en las redes5
tanto los basados en hard>are como los basados en soft>are# 'dems5 las caracter0sticas estructurales
fundamentales de estos controles estn evolucionando al mismo paso Cue las tecnolo)0as de
computaci4n ! las redes#
Si los administradores5 los especialistas en sistemas de informaci4n ! los auditores desean en
realidad ser capaces de cumplir con sus tareas en forma efectiva dentro de un marco conteFtual de
cambios acelerados5 debern aumentar ! meAorar sus habilidades tan rpidamente como lo demandan la
tecnolo)0a ! el ambiente#
Es preciso5 pues5 comprender la tecnolo)0a de controles involucrada ! su naturaleza cambiante5 si se
desea emitir ! eAercer Auicios razonables ! prudentes al evaluar las prcticas de control Cue se
encuentran en los ne)ocios t0picos o en las or)anizaciones )ubernamentales#
Res9ues.a a las necesi,a,es
En vista de estos continuos cambios5 el desarrollo de este Marco Referencial de obAetivos de
control para &I5 conAuntamente con una investi)aci4n continua aplicada a controles de &I basada en este
marco referencial5 constitu!en el fundamento para el pro)reso efectivo en el campo de los controles de
sistemas de informaci4n#
$or otra parte5 hemos sido testi)os del desarrollo ! publicaci4n de modelos de control )enerales de
ne)ocios como CO0O en los Estados Unidos5 Cadbury en el Reino Unido5 CoCo en Canad ! =in" en
Sudfrica# $or otro lado5 eFiste un nMmero importante de modelos de control ms enfocados al nivel de
tecnolo)0a de informaci4n# 'l)unos buenos eAemplos de esta Mltima cate)or0a son el C%di"o de
0e"uridad de Conducta del (&I =(epartamento de Comercio e Industria5 Reino Unido@ ! el /anual de
0e"uridad del *IS& =Instituto *acional de Estndares ! &ecnolo)0a5 EEUU@# Sin embar)o5 estos modelos
de control con orientaci4n espec0fica5 no proporcionan un modelo de control completo ! utilizable sobre la
tecnolo)0a de informaci4n como soporte para los procesos de ne)ocio# El prop4sito de C%:I& es el cubrir
este vac0o proporcionando una base Cue est7 estrechamente li)ada a los obAetivos de ne)ocio5 al mismo
tiempo Cue se enfoca a la tecnolo)0a de informaci4n#
Un enfoCue hacia los reCuerimientos de ne)ocio en cuanto a controles para tecnolo)0a de
informaci4n ! la aplicaci4n de nuevos modelos de control ! estndares internacionales relacionados5
hicieron evolucionar los %bAetivos de Control ! pasar de una herramienta de auditor0a al C%:I&5 Cue es
una herramienta para la administraci4n# C%:I& es5 por lo tanto5 la herramienta innovadora para el
)obierno de &I Cue a!uda a la )erencia a comprender ! administrar los ries)os asociados con &I# $or lo
tanto5 la meta del pro!ecto es el desarrollar estos obAetivos de control principalmente a partir de la
perspectiva de los obAetivos ! necesidades de la empresa# Esto concuerda con la perspectiva CO0O5 Cue
constitu!e el primer ! meAor marco referencial para la administraci4n en cuanto a controles internos#
$osteriormente5 los obAetivos de control fueron desarrollados a partir de la perspectiva de los obAetivos de
auditor0a =certificaci4n de informaci4n financiera5 certificaci4n de medidas de control interno5 eficiencia !
efectividad5 etc#@
2:

Au,iencia: a,5inis.racin+ usuarios : au,i.ores
C%:I& esta diseNado para ser utilizado por tres audiencias distintasJ
AD/I7I0T6ACIO7>
$ara a!udarlos a lo)rar un balance entre los ries)os ! las inversiones en control en un ambiente
de tecnolo)0a de informaci4n frecuentemente impredecible#
909A6IO0>
$ara obtener una )arant0a en cuanto a la se)uridad ! controles de los servicios de tecnolo)0a
de informaci4n proporcionados internamente o por terceras partes#
A9DITO6*0 D* 0I0T*/A0 D* I7FO6/ACIO7>
$ara dar soporte a las opiniones mostradas a la administraci4n sobre los controles internos#
'dems de responder a las necesidades de la audiencia inmediata de la 'lta Eerencia5 a los
auditores ! a los profesionales dedicados al control ! se)uridad5 C%:I& puede ser utilizado dentro de las
empresas por el propietario de procesos de ne)ocio en su responsabilidad de control sobre los aspectos
de informaci4n del proceso5 ! por todos aCu7llos responsables de &I en la empresa#
Orien.acin a o12e.i0os ,e ne-ocio
Los %bAetivos de Control muestran una relaci4n clara ! distintiva con los obAetivos de ne)ocio con
el fin de apo!ar su uso en forma si)nificativa fuera de las fronteras de la comunidad de auditor0a# Los
%bAetivos de Control estn definidos con una orientaci4n a los procesos5 si)uiendo el principio de
rein)enier0a de ne)ocios# En dominios ! procesos identificados5 se identifica tambi7n un obAetivo de
control de alto nivel para documentar el enlace con los obAetivos del ne)ocio# Se proporcionan5 adems5
consideraciones ! )u0as para definir e implementar el %bAetivo de Control de &I#
La clasificaci4n de los dominios a los Cue se aplican los obAetivos de control de alto nivel =dominios
! procesos@I una indicaci4n de los reCuerimientos de ne)ocio para la informaci4n en ese dominio5 as0
como los recursos de &I Cue reciben un impacto primario por parte del obAetivo del control5 forman
conAuntamente el Marco Referencial C%:I&# El marco referencial toma como base las actividades de
investi)aci4n Cue han identificado -/ obAetivos de alto nivel ! -"+ obAetivos detallados de control# El
Marco Referencial fue mostrado a la industria de &I ! a los profesionales dedicados a la auditor0a para
abrir la posibilidad a revisiones5 dudas ! comentarios# Las ideas obtenidas fueron incorporadas en forma
apropiada#
De;iniciones
$ara prop4sitos de este pro!ecto5 se proporcionan una serie de definiciones# La definici4n de
XControlX est adaptada del reporte CO0O5 ! la definici4n para X%bAetivo de Control de &ecnolo)0as de la
Informaci4nX ha sido adaptada del reporte 0AC
8
#
9

SAC: >*"%!$" A('i%a.i#i%* an' Con%ro# R!por%
2;

Las pol0ticas5 procedimientos5 prcticas !
estructuras or)anizacionales diseNadas para
)arantizar razonablemente Cue los obAetivos del
ne)ocio sern alcanzados ! Cue
eventos no
deseables sern prevenidos o
detectados ! corre)idos#
Una definici4n del resultado o prop4sito Cue se
desea alcanzar implementando
procedimientos de
control en una actividad de &I particular#
).*. $O% "RICI"IO% D!$ 'ARCO R!F!R!CIA$.
EFisten dos clases distintas de modelos de control disponibles actualmente5 aCu7llos de la clase
del Omodelo de control de ne)ociosX =por eAemplo CO0O@ ! los Xmodelos ms enfocados a &IX =por
eAemplo5 DTI@# C%:I& intenta cubrir la brecha Cue eFiste entre los dos# (ebido a esto5 C%:I& se
posiciona como una herramienta ms completa para la 'dministraci4n ! para operar a un nivel superior
Cue los estndares de tecnolo)0a para la administraci4n de sistemas de informaci4n# $or lo tanto5 C%:I&
es el modelo para el )obierno de &I#
El concepto fundamental del marco referencial C%:I& se refiere a Cue el enfoCue del control en &I se
lleva a cabo visualizando la informaci4n necesaria para dar soporte a los procesos de ne)ocio !
considerando a la informaci4n como el resultado de la aplicaci4n combinada de recursos relacionados
con la &ecnolo)0a de Informaci4n Cue deben ser administrados por procesos de &I#
2<
Con.rol se
,e;ine co5o
O12e.i0o ,e
con.rol en TI
se ,e;ine co5o
Fi"ura ?

$ara satisfacer los obAetivos del ne)ocio5 la informaci4n necesita concordar con ciertos criterios a
los Cue C%:I& hace referencia como reCuerimientos de ne)ocio para la informaci4n# 'l establecer la lista
de reCuerimientos5 C%:I& combina los principios contenidos en los modelos referenciales eFistentes !
conocidosJ
Calidad
Coste
Entre)a =de servicio@
Efectividad ! eficiencia de operaciones
Confiabilidad de la informaci4n
Cumplimiento de las le!es ! re)ulaciones
Confidencialidad
Inte)ridad
(isponibilidad
La Calidad ha sido considerada principalmente por su aspecto Zne)ativoZ =sin fallos5 confiable5 etc#@5
lo cual tambi7n se encuentra contenido en )ran medida en los criterios de Inte)ridad# Los aspectos
positivos pero menos tan)ibles de la calidad =estilo5 atractivo5 Xver ! sentirX5 desempeNo ms all de las
eFpectativas5 etc#@ no fueron5 por un tiempo5 considerados desde un punto de vista de %bAetivos de
Control de &I# La premisa se refiere a Cue la primera prioridad deber estar diri)ida al maneAo apropiado
de los ries)os al compararlos contra las oportunidades# El aspecto utilizable de la Calidad est cubierto
por los criterios de efectividad# Se consider4 Cue el aspecto de entre)a =de servicio@ de la Calidad se
traslapa
3
con el aspecto de disponibilidad correspondiente a los reCuerimientos de se)uridad ! tambi7n
en al)una medida5 con la efectividad ! la eficiencia# 1inalmente5 el coste es tambi7n considerado Cue
Cueda cubierto por la eficiencia#
Re@ueri5ien.os ,e cali,a,
Re@ueri5ien.os Fi,uciarios
(CO%O)
Re@ueri5ien.os ,e
%e-uri,a,
:

traslapar: &(.rir %o%a# o par&ia#$!n%! (na &o"a
3=

$ara los reCuerimientos fiduciarios
6
5 C%:I& no intent4 Oreinventar le ruedaR# Se utilizaron las
definiciones de CO0O para la efectividad ! eficiencia de operaciones5 confiabilidad de informaci4n !
cumplimiento con le!es ! re)ulaciones# Sin embar)o5 la confiabilidad de informaci4n fue ampliada para
incluir toda la informaci4n =no s4lo informaci4n financiera@#
Con respecto a los aspectos de se)uridad5 C%:I& identific4 la confidencialidad5 inte)ridad !
disponibilidad como los elementos clave5 fue descubierto Cue estos mismos tres elementos son utilizados
a nivel mundial para describir los reCuerimientos de se)uridad#
Comenzando el anlisis a partir de los reCuerimientos de Calidad5 1iduciarios ! de Se)uridad ms
amplios5 se eFtraAeron siete cate)or0as distintas5 ciertamente superpuestas# ' continuaci4n se muestran
las definiciones de trabaAo de C%:I&J
Se refiere a Cue la informaci4n relevante sea pertinente para el
proceso del ne)ocio5 as0 como a Cue su entre)a sea oportuna5
correcta5 consistente ! de manera utilizable#
Se refiere a la provisi4n de informaci4n a trav7s de la utilizaci4n
4ptima =ms productiva ! econ4mica@ de recursos#
Se refiere a la protecci4n de informaci4n sensible contra divul)aci4n
no autorizada#
Se refiere a la precisi4n ! suficiencia de la informaci4n5 as0 como a
su validez de acuerdo con los valores ! eFpectativas del ne)ocio#
!;ec.i0i,a,
!;iciencia
Con;i,enciali,a,
In.e-ri,a,
;

iduciario: /(! '!p!n'! '!# &rE'i%o o &onian-a
31

Se refiere a la disponibilidad de la informaci4n cuando 7sta es
reCuerida por el proceso de ne)ocio ahora ! en el futuro# &ambi7n
se refiere a la salva)uarda de los recursos necesarios ! capacidades
asociadas#
Se refiere al cumplimiento de aCuellas le!es5 re)ulaciones !
acuerdos contractuales a los Cue el proceso de ne)ocio
est suAeto5 por eAemplo5 criterios de
ne)ocio impuestos eFternamente#
Se refiere a la provisi4n de
informaci4n apropiada para la
administraci4n con el fin de operar la entidad ! para eAercer sus
responsabilidades de reportes financieros ! de cumplimiento#
Los recursos de las tecnolo)0as de la informaci4n identificados en C%:I& pueden eFplicarse o
definirse como se muestra a continuaci4nJ
Los elementos de datos en su ms amplio sentido5 =por
eAemplo5 eFternos e internos@5 estructurados ! no
estructurados5 )rficos5 sonido5 etc#
Se entiende como sistemas de aplicaci4n la suma de
procedimientos manuales ! pro)ramados#
Dis9oni1ili,a,
Cu59li5ien.o
Con;ia1ili,a, ,e
la in;or5acin
Da.os
A9licaciones
32

La tecnolo)0a cubre hard>are5 soft>are5 sistemas
operativos5 sistemas de administraci4n de bases de datos5
redes5 multimedia5 etc#
Recursos para aloAar ! dar soporte a los sistemas de
Informaci4n#
9abilidades del personal5 conocimiento5 conciencia !
productividad para planear5
or)anizar5 adCuirir5 entre)ar5
soportar ! monitorizar servicios ! sistemas de
informaci4n#
El dinero o capital no fue considerado como un recurso para la clasificaci4n de obAetivos de control
para &I debido a Cue puede definirse como la inversi4n en cualCuiera de los recursos mencionados
anteriormente ! podr0a causar confusi4n con los reCuerimientos de auditor0a financiera#
El Marco referencial no menciona5 en forma espec0fica para todos los casos5 la documentaci4n de
todos los aspectos XmaterialesX importantes relacionados con un proceso de &I particular# Como parte de
las buenas prcticas5 la documentaci4n es considerada esencial para un buen control !5 por lo tanto5 la
falta de documentaci4n podr0a ser la causa de revisiones ! anlisis futuros de controles de compensaci4n
en cualCuier rea espec0fica en revisi4n#
%tra forma de ver la relaci4n de los recursos de &I con respecto a la entre)a de servicios se
describe a continuaci4nJ
33
Tecnolo-/a
Ins.alaciones
"ersonal
Fi"ura @. 6elaci%n de los recursos de TI

La informaci4n Cue los procesos de ne)ocio necesitan es proporcionada a trav7s del empleo de
recursos de &I# Con el fin de ase)urar Cue los reCuerimientos de ne)ocio para la informaci4n son
satisfechos5 deben definirse5 implementarse ! monitorizarse medidas de control adecuadas para estos
recursos# [Como pueden entonces las empresas estar satisfechas respecto a Cue la informaci4n
obtenida presente las caracter0sticas Cue necesitanV Es aCu0 donde se reCuiere de un sano marco
referencial de %bAetivos de Control para &I# El dia)rama mostrado a continuaci4n ilustra este concepto#
El marco referencial consta de %bAetivos de Control de &I de alto nivel ! de una estructura )eneral
para su clasificaci4n ! presentaci4n# La teor0a sub!acente para la clasificaci4n seleccionada se refiere a
Cue eFisten5 en esencia5 tres niveles de actividades de &I al considerar la administraci4n de sus recursos#
Comenzando por la base5 encontramos las actividades ! tareas necesarias para alcanzar un
resultado medible# Las actividades cuentan con un concepto de ciclo de vida5 mientras Cue las tareas son
consideradas ms discretas# El concepto
de ciclo de vida cuenta t0picamente con
reCuerimientos de control diferentes a los
de actividades discretas# 'l)unos eAemplos de esta cate)or0a son las actividades de desarrollo de
sistemas5 administraci4n de la confi)uraci4n ! maneAo de cambios# La se)unda cate)or0a inclu!e tareas
llevadas a cabo como soporte para la planeaci4n estrat7)ica de tecnolo)0as de la informaci4n5 evaluaci4n
de ries)os5 planeaci4n de la calidad5 administraci4n de la capacidad ! el desempeNo# Los procesos se
definen entonces en un nivel superior como una serie de actividades o tareas conAuntas con XcortesX
naturales =de control@# 'l nivel ms alto5 los procesos son a)rupados de manera natural en dominios# Su
a)rupamiento natural es confirmado frecuentemente como dominios de responsabilidad en una
estructura or)anizacional5 ! est en l0nea con el ciclo administrativo o ciclo de vida aplicable a los
procesos de tecnolo)0as de la informaci4n#
34
Fi"ura A. Obtenci%n y an!lisis de la Informaci%n

$or lo tanto5 el marco referencial conceptual puede ser enfocado desde tres puntos estrat7)icosJ
recursos de &I5 reCuerimientos de ne)ocio para la informaci4n ! procesos de &I# Estos puntos de vista
diferentes permiten al marco referencial ser accedido eficientemente# $or eAemplo5 los )erentes de la
empresa pueden interesarse en un enfoCue de calidad5 se)uridad o fiduciario =traducido por el marco
referencial en siete reCuerimientos de
informaci4n espec0ficos@# Un Eerente de
&I puede desear considerar recursos de &I
por los cuales es responsable# $ropietarios de procesos5 especialistas de &I ! usuarios pueden tener un
inter7s en procesos particulares# Los auditores podrn desear enfocar el marco referencial desde un
punto de vista de cobertura de control# Estos tres puntos estrat7)icos son descritos en el Cubo C%:I&
Cue se muestra a continuaci4nJ
38
Fi"ura 1B. 7i-eles de Acti-idades de TI
Fi"ura 11. *l Cubo COBIT

Con lo anterior como marco de referencia5 los dominios son identificados utilizando las palabras Cue la
)erencia utilizar0a en las actividades cotidianas de la or)anizaci4n =! no la XAer)aX del auditor@# $or lo
tanto5 cuatro )randes dominios son identificadosJ planificaci4n ! or)anizaci4n5 adCuisici4n e
implementaci4nI entre)a ! soporte5 ! monitorizaci4n#
Las definiciones para los dominios mencionados son las si)uientesJ
Este dominio cubre la
estrate)ia ! las tcticas
! se
refiere a la identificaci4n de la forma en Cue la
tecnolo)0a de informaci4n puede contribuir de la
meAor manera al lo)ro de los obAetivos del
ne)ocio# 'dems5 la consecuci4n de la visi4n
estrat7)ica necesita ser planeada5 comunicada !
administrada desde diferentes perspectivas#
1inalmente5 debern establecerse una or)anizaci4n
! una infraestructura tecnol4)ica apropiadas#
$ara llevar a cabo la estrate)ia de &I5 las
soluciones de &I deben ser identificadas5
desarrolladas o adCuiridas5 as0 como implementadas
e inte)radas dentro del proceso del ne)ocio#
'dems5 este dominio cubre los cambios ! el
mantenimiento realizados a sistemas eFistentes#
En este dominio se hace referencia a la entre)a de
los servicios reCueridos5 Cue abarca desde las
operaciones tradicionales hasta el entrenamiento5
pasando por se)uridad ! aspectos de continuidad#
Con el fin de proveer servicios5 debern
establecerse los procesos de soporte necesarios#
Este dominio inclu!e el procesamiento de los
datos por sistemas de aplicaci4n5
frecuentemente clasificados como controles de
aplicaci4n
"lani;icacin :
Or-anizacin
A,@uisicin e
I59le5en.acin
!n.re-a : %o9or.e
39

&odos los procesos necesitan ser evaluados
re)ularmente a trav7s del tiempo para verificar su
calidad ! suficiencia en cuanto a los
reCuerimientos
de control#
En resumen5 los Recursos de &I necesitan ser administrados por un conAunto de procesos
a)rupados en forma natural5 con el fin de proporcionar la informaci4n Cue la empresa necesita para
alcanzar sus obAetivos# El si)uiente dia)rama ilustra este conceptoJ
3:
'oni.orizacin
Fi"ura 1#. $rocesos de TI del COBIT definidos dentro de los cuatro dominios.

(ebe tomarse en cuenta Cue estos procesos pueden ser aplicados a diferentes niveles dentro de
una or)anizaci4n# $or eAemplo5 al)unos de estos procesos sern aplicados al nivel corporativo5 otros al
nivel de la funci4n de servicios de informaci4n5 ! otros al nivel del propietario de los procesos de ne)ocio#
&ambi7n debe ser tomado en cuenta Cue el criterio de efectividad de los procesos Cue planean o
entre)an soluciones a los reCuerimientos de ne)ocio5 cubrirn al)unas veces los criterios de
disponibilidad5 inte)ridad ! confidencialidad =en la prctica5 se han convertido en reCuerimientos del
ne)ocio@# $or eAemplo5 el proceso de Xidentificar soluciones automatizadasX deber ser efectivo en el
cumplimiento de reCuerimientos de disponibilidad5 inte)ridad ! confidencialidad#
Resulta claro Cue las medidas de control no satisfarn necesariamente los diferentes
reCuerimientos de informaci4n del ne)ocio en la misma medida# Se lleva a cabo una clasificaci4n dentro
del marco referencial C%:I& basada en ri)urosos informes ! observaciones de procesos por parte de
investi)adores5 eFpertos ! revisores con las estrictas definiciones determinadas previamente# Esta
clasificaci4n es la si)uienteJ
$rimarioJ es el )rado al cual el obAetivo de control definido impacta directamente el
reCuerimiento de informaci4n de inter7s#
SecundarioJ es el )rado al cual el obAetivo de control definido satisface Mnicamente de
forma indirecta o en menor medida el reCuerimiento de informaci4n de inter7s#
:lanco =vac0o@J podr0a aplicarseI sin embar)o5 los reCuerimientos son satisfechos ms
apropiadamente por otro criterio en este proceso !Ko por otro proceso#
Similarmente5 todas las medidas de control no necesariamente tendrn impacto en los diferentes
recursos de &I a un mismo nivel# $or lo tanto5 el Marco Referencial de C%:I& indica espec0ficamente la
aplicabilidad de los recursos de &I Cue son administrados en forma espec0fica por el proceso baAo
consideraci4n =no por aCuellos Cue simplemente toman parte en el proceso@# Esta clasificaci4n es hecha
dentro el Marco Referencial de C%:I& basado en el mismo proceso ri)uroso de informaci4n
proporcionada por los investi)adores5 eFpertos ! revisores5 utilizando las definiciones estrictas indicadas
previamente#
3;

).6. O3A!TI<O% D! COTRO$ D!$ 'ARCO R!F!R!CIA$ (T4! CO3IT FRA'!>OR?).
El marco refencial del C%:I& ha sido limitado a una serie de obAetivos de control de alto nivel5
enfocados a las necesidades de ne)ocio5 dentro de un proceso de tecnolo)0as de la informaci4n
determinado#
Los obAetivos de control de las tecnolo)0as de la informaci4n han sido or)anizados por
procesoKactividad# Su forma de uso ha sido proporcionada no s4lo para facilitar la entrada desde un punto
de vista ventaAoso5 sino tambi7n para facilitar aproFimaciones )lobales =o combinadas@5 tales como la
implementaci4nKinstalaci4n de un proceso5 responsabilidades )lobales de administraci4n para un
proceso5 ! el uso de los recursos de las &I por parte de un proceso#
Es preciso seNalar Cue los obAetivos de control de las &I han sido definidos de una forma )eneral
=no dependen de nin)una plataforma t7cnica@5 aunCue se debe aceptar el hecho de Cue al)unos
entornos de tecnolo)0a especiales pueden necesitar espacios separados para los obAetivos de control#
La forma en Cue el marco referencial del C%:I& presenta los obAetivos de control es la si)uienteJ
El marco refencial se divide en cuatro partes correspondientes a los cuatro dominios eFistentes
=planificaci4n ! or)anizaci4n5 adCuisici4n e implementaci4n5 entre)a ! soporte ! monitorizaci4n@# En cada
parte5 se refleAan los obAetivos de control de alto nivel correspondientes a cada dominio =-/ obAetivos en
total@# $ara cada uno de los obAetivos de control5 se si)ue una or)anizaci4n como la mostrada en la
Fi"ura 12# 'dems5 se muestran
dos tablasJ una Cue identifica los
criterios Cue son aplicables a cada
obAetivo de control ! en Cu7 )rado lo hacen =$ primario5 S secundario5 O:lancoR no se aplica ese
criterio@I ! otra Cue identifica los recursos de &I Cue son )estionados espec0ficamente por el proceso Cue
se est considerando#
Deamos !a5 los -/ obAetivos de control de alto nivel de las tecnolo)0as de la informaci4n
refleAados en el Marco de Referencia C%:I& =C/0IT "%,ME1/%2@J
3<
Fi"ura 12. Or"ani+aci%n del /arco 6eferencial.

PO! "efinir un plan #strat$gico de Tecnolog%a de la Informacin
Ob&eti'os de Control de Alto (i'el
F !!&%i1i'a'
> !i&i!n&ia
&oni'!n&ia#i'a'
in%!,ri'a'
'i"poni.i#i'a'
&onor$i'a'
&onia.i#i'a'

Con.rol so1re el 9roceso ,e TI ,e
D!inir (n p#an !"%ra%E,i&o '! TI
@ue sa.is;ace el re@uisi.o ,e ne-ocio
3a##ar (n .a#an&! p%i$o '! opor%(ni'a'!" '! %!&no#o,)a '! #a inor$a&in * #o" r!/(i"i%o" '! n!,o&io a")
&o$o %a$.iEn a"!,(rar "( r!a#i-a&in a'i&iona#
es ;acili.a,o 9or
(n pro&!"o p#anii&a'or !"%ra%E,i&o !$pr!n'i'o a in%!r1a#o" r!,(#ar!" 'an'o ori,!n a p#an!" a #ar,o
p#a-o7 #o" p#an!" a #ar,o p#a-o '!.!r)an "!r %ra'(&i'o" p!ri'i&a$!n%! !n p#an!" op!ra&iona#!" /(!
&o#o/(!n $!%a" &#ara" * &on&r!%a" a &or%o p#a-o
: .o5a en consi,eracin
) '!ini&in '! #o" o.+!%i1o" '! n!,o&io * n!&!"i'a'!" para #a" TI
) in1!n%ario '! "o#(&ion!" %!&no#,i&a" ! inra!"%r(&%(ra a&%(a#
) "!r1i&io" '! G%!&no#o,)a '! 1i,i#an&iaH
) &a$.io" or,ani-a%i1o"
) !"%('io '! 1ia.i#i'a' opor%(no
) !Ci"%!n&ia '! !1a#(a&ion!" '! "i"%!$a"
I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"
I 'a%o"

PO* "efinir la Ar+uitectura de la Informacin
F !!&%i1i'a'
> !i&i!n&ia
> &oni'!n&ia#i'a'

"ominio de Planificaci , Organi-aci
4=

> in%!,ri'a'
'i"poni.i#i'a'
&onor$i'a'
&onia.i#i'a'

'!inir #a ar/(i%!&%(ra '! #a inor$a&in
(na $!+or or,ani-a&in '! #o" "i"%!$a" '! inor$a&in
es ;acili.a,o 9or
&r!an'o * $an%!ni!n'o (n $o'!#o '! inor$a&in '! n!,o&io * a"!,(ran'o /(! #o" "i"%!$a"
apropia'o" "on '!ini'o" para op%i$i-ar !# ("o '! !"%a inor$a&in
) 'o&($!n%a&in
) 'i&&ionario '! 'a%o"
) r!,#a" "in%B&%i&a" '! 'a%o"
) propi!'a' '! 'a%o" * &#a"ii&a&in &r)%i&a

p!r"ona"
I ap#i&a&ion!"

%!&no#o,)a

a&i#i'a'!"
I 'a%o"

PO. "eterminar la "ireccin Tecnolgica
F !!&%i1i'a'
> !i&i!n&ia
&oni'!n&ia#i'a'
in%!,ri'a'
'i"poni.i#i'a'
&onor$i'a'
&onia.i#i'a'

'!%!r$inar #a 'ir!&&in %!&no#,i&a
%o$ar 1!n%a+a '! #a %!&no#o,)a 'i"poni.#! * !$!r,!n%!
es ;acili.a,o 9or
&r!a&in * $an%!ni$i!n%o '! (n p#an '! inra!"%r(&%(ra %!&no#,i&a
) a'!&(a&in * !1o#(&in '! #a &apa&i'a' '! #a inra!"%r(&%(ra a&%(a#
41

) $oni%ori-a&in '! #o" '!"arro##o" %!&no#,i&o"
) &on%in,!n&ia"
) p#an!" '! a'/(i"i&in

p!r"ona"

ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"

'a%o"

PO/ "efinir la Organi-acin y las Relaciones de las TI
F !!&%i1i'a'
> !i&i!n&ia
&oni'!n&ia#i'a'
in%!,ri'a'
'i"poni.i#i'a'
&onor$i'a'
&onia.i#i'a'

'!inir #a or,ani-a&in * #a" r!#a&ion!" '! #a" TI
!n%r!,ar #o" "!r1i&io" '! #a" TI
es ;acili.a,o 9or
(na or,ani-a&in apropia'a !n n2$!ro" * 3a.i#i'a'!" &on ro#!" * r!"pon"a.i#i'a'!" &o$(ni&a'a" *
'!ini'a"
) &o$i%E '! 'ir!&&in
) &on"!+o '! ni1!# '! r!"pon"a.i#i'a'
) propi!'a', &("%o'ia
) "(p!r1i"in
) "!,r!,a&in '! o.#i,a&ion!"
) ro#!" * r!"pon"a.i#i'a'!"
) '!"&rip&ion!" '!# %ra.a+o
) pro1i"in '! ni1!#!"
) &#a1! p!r"ona#
I p!r"ona"

ap#i&a&ion!"

%!&no#o,)a

a&i#i'a'!"

'a%o"

42

PO0 Administrar la In'ersin en TI
F !!&%i1i'a'
F !i&i!n&ia
&oni'!n&ia#i'a'
in%!,ri'a'
'i"poni.i#i'a'
&onor$i'a'
> &onia.i#i'a'

a'$ini"%rar #a in1!r"in !n TI
,aran%i-ar #a &on"o#i'a&in * &on%ro#ar !# ,a"%o '! #o" r!&(r"o" inan&i!ro"
es ;acili.a,o 9or
(na in1!r"in p!ri'i&a * (n pr!"(p(!"%o op!ra&iona# !"%a.#!&i'o * apro.a'o por #a !$pr!"a
) &on"o#i'a&in '! a#%!rna%i1a"
) &on%ro# '!# ,a"%o !!&%i1o
) +("%ii&a&in '! #o" &o"%!"
) +("%ii&a&in '! #o" .!n!i&io"
I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"

'a%o"

PO1 Comunicar la "ireccin y las Aspiraciones de la Gerencia
F !!&%i1i'a'
!i&i!n&ia
&oni'!n&ia#i'a'
in%!,ri'a'
'i"poni.i#i'a'
> &onor$i'a'
&onia.i#i'a'

&o$(ni&ar #a 'ir!&&in * #a" a"pira&ion!" '! #a ,!r!n&ia
,aran%i-ar !# &ono&i$i!n%o '!# ("(ario * !n%!n'i$i!n%o '! !"o" in!"
43

es ;acili.a,o 9or
po#)%i&a" !"%a.#!&i'a" * &o$(ni&a'a" a #a &o$(ni'a' '! ("(ario7 a'!$B", #o" !"%Bn'ar!" n!&!"i%an
"!r !"%a.#!&i'o" para %ra'(&ir #a" op&ion!" '! !"%ra%!,ia !n r!,#a" '! ("(ario /(! "!an prB&%i&a" *
2%i#!"
) &'i,o '! &on'(&%aJE%i&a
) 'ir!&%ri&!" '! %!&no#o,)a
) &onor$i'a'
) &o$i"in '! &a#i'a'
) po#)%i&a" '! "!,(ri'a'
) po#)%i&a" '! &on%ro# in%!rno
I p!r"ona"

ap#i&a&ion!"

%!&no#o,)a

a&i#i'a'!"

'a%o"

PO2 Administrar los Recursos 3umanos
F !!&%i1i'a'
F !i&i!n&ia
&oni'!n&ia#i'a'
in%!,ri'a'
'i"poni.i#i'a'
&onor$i'a'
&onia.i#i'a'

a'$ini"%rar #o" r!&(r"o" 3($ano"
$aCi$i-ar #a" &on%ri.(&ion!" '!# p!r"ona# a #o" pro&!"o" '! TI
es ;acili.a,o 9or
%E&ni&a" ir$!" '! ,!"%in '! p!r"ona#
) r!(!r-o * pro$o&in
) r!/(i"i%o" '! &a#i'a'
) !n%r!na$i!n%o
) &on"%r(&&in '!# &ono&i$i!n%o
) &ro"" %rainin,
) pro&!'i$i!n%o" #i.r!"
) !1a#(a&in '! #a !+!&(&in o.+!%i1a * $!'i.#!
I p!r"ona"

ap#i&a&ion!"

44

%!&no#o,)a

a&i#i'a'!"

'a%o"

PO4 Asegurar el Cumplimiento de los Re+uisitos #5ternos
F !!&%i1i'a'
!i&i!n&ia
&oni'!n&ia#i'a'
in%!,ri'a'
'i"poni.i#i'a'
F &onor$i'a'
> &onia.i#i'a'

a"!,(rar !# &($p#i$i!n%o '! #o" r!/(i"i%o" !C%!rno"
!n&on%rar o.#i,a&ion!" #!,a#!", &on%ra&%(a#!" * r!,(#a'a"
es ;acili.a,o 9or
i'!n%ii&a&in * anB#i"i" '! r!/(i"i%o" !C%!rno" para "( i$pa&%o !n #a" TI, * %o$a '! $!'i'a"
apropia'a" para ##!1ar a &a.o "( &($p#i$i!n%o0
) #!*!", r!,(#a&ion!" * &on%ra%o"
) $oni%ori-a&in #!,a# * '!"arro##o" r!,(#a'o"
) in"p!&&ion!" r!,(#ar!" para &a$.io" * $!+ora"
) .2"/(!'a '! &on"!+o" #!,a#!"
) "!,(ri'a' * !r,ono$)a
) pri1a&i'a'
) propi!'a' in%!#!&%(a#
) #(+o '! 'a%o"
I p!r"ona"
I ap#i&a&ion!"

%!&no#o,)a

a&i#i'a'!"
I 'a%o"

PO6 #'aluar los Riesgos
> !!&%i1i'a'
> !i&i!n&ia
F &oni'!n&ia#i'a'
F in%!,ri'a'

48

F 'i"poni.i#i'a'
> &onor$i'a'
> &onia.i#i'a'

!1a#(ar #o" ri!",o"
'! a"!,(rar #a r!a#i-a&in '! #o" o.+!%i1o" '! TI * r!"pon'i!n'o a #a" a$!na-a" para !# "($ini"%ro '! #o"
"!r1i&io" '! TI
es ;acili.a,o 9or
#a or,ani-a&in "! a(%o&o$pro$!%! !n #o" ri!",o" '! #a" TI i'!n%ii&an'o * ana#i-an'o !# i$pa&%o,
* %o$an'o $!'i'a" !!&%i1a" '! &o"%!" para $i%i,ar #o" ri!",o"
) 'i!r!n%!" %ipo" '! ri!",o" '! TI 5%!&no#o,)a, "!,(ri'a', &on%in(i'a', !%&06
) a#&an&!: ,#o.a# o "i"%!$a" !"p!&)i&o"
) !1a#(a&in '! ri!",o" 3a"%a #a !&3a
) $!%o'o#o,)a '! anB#i"i" '! ri!",o"
) $!'i'a" '! ri!",o &(an%i%a%i1a" *Jo &(a#i%a%i1a"
) p#an '! a&&in '! ri!",o"
I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"
I 'a%o"

PO!7 Administrar los Proyectos
F !!&%i1i'a'
F !i&i!n&ia
&oni'!n&ia#i'a'
in%!,ri'a'
'i"poni.i#i'a'
&onor$i'a'
&onia.i#i'a'

a'$ini"%rar #o" pro*!&%o"
!"%a.#!&!r priori'a'!" * "a#1ar a %i!$po, * '!n%ro '!# pr!"(p(!"%o
es ;acili.a,o 9or
#a or,ani-a&in i'!n%ii&an'o * 'an'o priori'a' a #o" pro*!&%o" !n #)n!a +(n%o a# p#an op!ra&iona#7
a'!$B", #a or,ani-a&in '!.!r)a a'op%ar * ap#i&ar %E&ni&a" '! ,!"%in '! pro*!&%o" para &a'a (no
49

'! #o" pro*!&%o" %o$a'o"0
) propi!'a' '! pro*!&%o"
) &o$p#i&a&in '!# ("(ario
) in%!rr(p&in '! %ar!a"
) 'i"%ri.(&in '! r!"pon"a.i#i'a'!"
) pro*!&%o * a"! '! apro.a&in
) &o"%!" * pr!"(p(!"%o '!# p!r"ona#
) p#an!" '! "!,(ri'a' '! #a &a#i'a' * $E%o'o"
I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"

'a%o"

PO!! Administrar la Calidad
F !!&%i1i'a'
F !i&i!n&ia
&oni'!n&ia#i'a'
F in%!,ri'a'
'i"poni.i#i'a'
&onor$i'a'
> &onia.i#i'a'

a'$ini"%rar #a &a#i'a'
!n&on%rar #o" r!/(i"i%o" in'i1i'(a#!" '! #a" TI
es ;acili.a,o 9or
#a p#anii&a&in, i$p#!$!n%a&in * $an%!ni$i!n%o '! !"%Bn'ar!" '! ,!"%in '! &a#i'a' * "i"%!$a"
por #a or,ani-a&in7 a'!$B", #a or,ani-a&in '!.!r)a a'op%ar * ap#i&ar (na $!%o'o#o,)a /(! "!
"($ini"%ra"! para #a" 'i"%in%a" a"!" '!# '!"arro##o * p('i!"! pr!1!r a"!" &#ara" * #i.r!"
) p#an '! !"%r(&%(ra '! #a &a#i'a'
) r!"pon"a.i#i'a'!" '! "!,(ri'a' '! #a &a#i'a'
) $!%o'o#o,)a '!# &i&#o '! 1i'a '!# '!"arro##o '!# "i"%!$a"
) pro,ra$a&in * %!"%!a&in '! "i"%!$a" * 'o&($!n%a&in
) in"p!&&in '! "!,(ri'a' '! #a &a#i'a' ! inor$!"
I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"

'a%o"

4:

AI! Identificar Soluciones
F !!&%i1i'a'
> !i&i!n&ia
&oni'!n&ia#i'a'
in%!,ri'a'
'i"poni.i#i'a'
&onor$i'a'
&onia.i#i'a'

i'!n%ii&ar "o#(&ion!"
'! a"!,(rar #a $!+or aproCi$a&in para "a%i"a&!r #o" r!/(i"i%o" '!# ("(ario
es ;acili.a,o 9or
(n anB#i"i" &#aro '! #a" opor%(ni'a'!" a#%!rna%i1a" $!'i'a" &on%ra #o" r!/(i"i%o" '! ("(ario
) '!ini&in '! #a inor$a&in '! r!/(i"i%o"
) !"%('io" a&%i.#!" 5&o"%!", .!n!i&io", a#%!rna%i1a", !%&06
) r!/(i"i%o" '! ("(ario
) ar/(i%!&%(ra '! #a inor$a&in
) "!,(ri'a' '!# &o"%!@!!&%i1o
) ra"%ro" '! a('i%or)a
) &on%ra%a&in !C%!rna
) a&!p%a&in '! #a" a&i#i'a'!" * #a %!&no#o,)a

p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"

'a%o"

AI* Ad+uisicin y 8antenimiento de Aplicaciones Soft9are
F !!&%i1i'a'
F !i&i!n&ia
&oni'!n&ia#i'a'
> in%!,ri'a'
'i"poni.i#i'a'
> &onor$i'a'
> &onia.i#i'a'
"ominio de Ad+uisicin , Implementacin

4;

a'/(i"i&in * $an%!ni$i!n%o '! ap#i&a&ion!" "o%?ar!
"($ini"%rar (n&ion!" a(%o$B%i&a" /(! "opor%!n '! or$a !!&%i1a #o" pro&!"o" '! n!,o&io
es ;acili.a,o 9or
#a '!ini&in '! !"%a'o" !"p!&)i&o" '! #o" r!/(i"i%o" (n&iona#!" * op!ra%i1o", * (na
i$p#!$!n%a&in !"%r(&%(ra'a &on 'i&%B$!n!" &#aro"
) r!/(i"i%o" '! ("(ario
) ar&3i1o, ,a"%o, pro&!"o * r!/(i"i%o" !C%!rno"
) in%!ra- '! #a $B/(ina@("(ario
) !$.a#a+!" 3a.i%(a#!"
) %!"%!o (n&iona#
) &on%ro#!" '! ap#i&a&in * r!/(i"i%o" '! "!,(ri'a'
) 'o&($!n%a&in

p!r"ona"
I ap#i&a&ion!"

%!&no#o,)a

a&i#i'a'!"

'a%o"

AI. Ad+uisicin y 8antenimiento de la Infraestructura de la Tecnolog%a
F !!&%i1i'a'
F !i&i!n&ia
&oni'!n&ia#i'a'
> in%!,ri'a'
'i"poni.i#i'a'
&onor$i'a'
&onia.i#i'a'

a'/(i"i&in * $an%!ni$i!n%o '! #a inra!"%r(&%(ra '! #a %!&no#o,)a
"($ini"%rar #a" p#a%aor$a" a'!&(a'a" para "opor%ar #a" ap#i&a&ion!" '! n!,o&io"
es ;acili.a,o 9or
!# a"!n%a$i!n%o '! #a i$p#an%a&in '! 3ar'?ar! * "o%?ar!, #a pro1i"in '! $an%!ni$i!n%o '!#
3ar'?ar! pr!1!n%i1o, * #a in"%a#a&in, "!,(ri'a' * &on%ro# '! #o" "i"%!$a" "o%?ar!
) a"!n%a$i!n%o '! #a %!&no#o,)a
4<

) $an%!ni$i!n%o '!# 3ar'?ar! pr!1!n%i1o
) "!,(ri'a' '!# "i"%!$a "o%?ar!, in"%a#a&in, $an%!ni$i!n%o * &a$.io '! &on%ro#!"

p!r"ona"

ap#i&a&ion!"
I %!&no#o,)a

a&i#i'a'!"

'a%o"

AI/ "esarrollar y 8antener Procedimientos de TI
F !!&%i1i'a'
F !i&i!n&ia
&oni'!n&ia#i'a'
> in%!,ri'a'
'i"poni.i#i'a'
> &onor$i'a'
> &onia.i#i'a'

'!"arro##ar * $an%!n!r pro&!'i$i!n%o" '! TI
a"!,(rar !# ("o apropia'o '! #a" ap#i&a&ion!" * /(! #a" "o#(&ion!" %!&no#,i&a" !"%En !n "( "i%io
es ;acili.a,o 9or
(na aproCi$a&in !"%r(&%(ra'a para !# '!"arro##o '! #o" ("(ario" * '! #o" $an(a#!" '!
pro&!'i$i!n%o '! op!ra&ion!", r!/(i"i%o" '! "!r1i&io * $a%!ria#!" '! !n%r!na$i!n%o
) pro&!'i$i!n%o" '! ("(ario * &on%ro#!"
) pro&!'i$i!n%o" op!ra&iona#!" * &on%ro#!"
) $a%!ria#!" '! !n%r!na$i!n%o
I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"

'a%o"

AI0 Instalacin y Acreditacin de Sistemas
F !!&%i1i'a'
!i&i!n&ia
&oni'!n&ia#i'a'
> in%!,ri'a'

8=

> 'i"poni.i#i'a'
&onor$i'a'
&onia.i#i'a'

in"%a#a&in * a&r!'i%a&in '! "i"%!$a"
1!rii&ar * &onir$ar /(! #a "o#(&in !" &on1!ni!n%! para #o" prop"i%o" prop(!"%o"
es ;acili.a,o 9or
#a r!a#i-a&in '! (na $i,ra&in '! in"%a#a&in .i!n or$a#i-a'a, &on1!r"in * (n p#an a&!p%a'o
) !n%r!na$i!n%o
) 'a%o" &ar,aJ&on1!r"in
) %!"%!o" !"p!&)i&o"
) a&r!'i%a&in
) in"p!&&ion!" po"%@i$p#!$!n%a&in
I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"
I 'a%o"

AI1 Gestin de Cambios
F !!&%i1i'a'
F !i&i!n&ia
&oni'!n&ia#i'a'
F in%!,ri'a'
F 'i"poni.i#i'a'
&onor$i'a'
> &onia.i#i'a'

,!"%ionar #o" &a$.io"
$ini$i-ar #a po"i.i#i'a' '! r(p%(ra, a#%!ra&ion!" no a(%ori-a'a", * !rror!"
es ;acili.a,o 9or
(n "i"%!$a '! ,!"%in /(! "! "($ini"%r! para !# anB#i"i", i$p#!$!n%a&in * o.%!n&in '! %o'o" #o"
&a$.io" "o#i&i%a'o" * r!a#i-a'o" para #a" inra!"%r(&%(ra" '! TI !Ci"%!n%!"
81

) i'!n%ii&a&in '! #o" &a$.io"
) &a%!,ori-ar, priori-ar * pro&!'i$i!n%o" '! !$!r,!n&ia
) a"!n%a$i!n%o '! i$pa&%o"
) &a$.io '! a(%ori'a'
) ,!"%in '! 1!n%a
) 'i"%ri.(&in '! "o%?ar!
I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"
I 'a%o"

"S! "efinir (i'eles de Ser'icio
F !!&%i1i'a'
F !i&i!n&ia
> &oni'!n&ia#i'a'
> in%!,ri'a'
> 'i"poni.i#i'a'
> &onor$i'a'
> &onia.i#i'a'

'!inir ni1!#!" '! "!r1i&io
!"%a.#!&!r (n !n%!n'i$i!n%o &o$2n '!# ni1!# '! "!r1i&io r!/(!ri'o
es ;acili.a,o 9or
!# !"%a.#!&i$i!n%o '! (n ni1!# '! "!r1i&io &onor$! /(! or$a#i&! !# &ri%!rio '! r!a#i-a&in !n
&o$para&in &on /(! #a &an%i'a' * &a#i'a' '! "!r1i&io "!rB $!'i'a
) a&(!r'o" or$a#!"
) '!ini&in '! r!"pon"a.i#i'a'!"
) %i!$po" '! r!"p(!"%a * 1o#2$!n!"
) &o.ro
) ,aran%)a" '! in%!,ri'a'
) a&(!r'o" no '!&#ara'o"
I p!r"ona"
I ap#i&a&ion!"
"ominio de #ntrega , Soporte
I %!&no#o,)a
I a&i#i'a'!"
I 'a%o"

82

"S* Gestionar los Ser'icios Prestados por Terceros
F !!&%i1i'a'
F !i&i!n&ia
> &oni'!n&ia#i'a'
> in%!,ri'a'
> 'i"poni.i#i'a'
> &onor$i'a'
> &onia.i#i'a'

,!"%ionar #o" "!r1i&io" pr!"%a'o" por %!r&!ro"
a"!,(rar /(! #a" r!,#a" * #a" r!"pon"a.i#i'a'!" '! %!r&!ra" par%!" !"%Bn '!ini'a" '! or$a &#ara, a'3!ri'a"
* &on%in(ar "a%i"a&i!n'o #o" r!/(i"i%o"
es ;acili.a,o 9or
$!'i'a" '! &on%ro# 'iri,i'a" !n #a in"p!&&in * $oni%ori-a&in '! &on%ra%o" !Ci"%!n%!" *
pro&!'i$i!n%o" para "( !!&%i1i'a' * &onor$i'a' &on #a po#)%i&a '! #a or,ani-a&in0
) a&(!r'o" '! "!r1i&io &on %!r&!ra" par%!"
) a&(!r'o" no '!&#ara'o"
) r!/(i"i%o" #!,a#!" * r!,(#a'o"
) $oni%ori-a&in '!# "!r1i&io !n%r!,a'o
I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"
I 'a%o"

"S. Administrar el Cumplimiento y la Capacidad
F !!&%i1i'a'
F !i&i!n&ia
&oni'!n&ia#i'a'
in%!,ri'a'
> 'i"poni.i#i'a'
&onor$i'a'
&onia.i#i'a'

a'$ini"%rar !# &($p#i$i!n%o * #a &apa&i'a'
83

a"!,(rar /(! #a &apa&i'a' a'!&(a'a !"%B 'i"poni.#! * /(! "! !"%B 3a&i!n'o (n ("o p%i$o * $!+or para
!n&on%rar #a" n!&!"i'a'!" '! &($p#i$i!n%o r!/(!ri'a"
es ;acili.a,o 9or
&on%ro#!" '! ,!"%in '! &apa&i'a' * &($p#i$i!n%o /(! &o#!&&ion!n 'a%o" ! inor$!n !n #a ,!"%in
'! %ra.a+o, 'i$!n"iona'o '! #a ap#i&a&in, r!&(r"o" * ,!"%in '!$an'a'a
) 'i"poni.i#i'a' * &($p#i$i!n%o '! #o" r!/(i"i%o"
) $oni%ori-a&in ! inor$a&in
) 3!rra$i!n%a" '! $o'!#a'o
) ,!"%in '! #a &apa&i'a'
) 'i"poni.i#i'a' '!# r!&(r"o

p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"

'a%o"

"S/ Asegurar el Ser'icio Continuo
F !!&%i1i'a'
> !i&i!n&ia
&oni'!n&ia#i'a'
in%!,ri'a'
F 'i"poni.i#i'a'
&onor$i'a'
&onia.i#i'a'

a"!,(rar !# "!r1i&io &on%in(o
3a&!r /(! #o" "!r1i&io" '! TI r!/(!ri'o" !"%En 'i"poni.#!" * a"!,(rar (n i$pa&%o '! n!,o&io $)ni$o !n
&a"o '! (na r(p%(ra $a*or
es ;acili.a,o 9or
po"!"in '! (n &on%in(a'o * %!"%!a'o p#an '! TI /(! !"%E !n #)n!a &on #a %o%a#i'a' '!# p#an &on%in(o
'! n!,o&io * &on "(" r!/(i"i%o" '! n!,o&io r!#a&iona'o"
) &#a"ii&a&in &r)%i&a
) p#an 'o&($!n%a'o
) pro&!'i$i!n%o" a#%!rna%i1o"
) &opia" '! "!,(ri'a' * r!&(p!ra&in
) anB#i"i" * !n%r!na$i!n%o r!,(#ar * "i"%!$B%i&o
84

I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"
I 'a%o"

"S0 Garanti-ar la Seguridad del Sistema
!!&%i1i'a'
!i&i!n&ia
F &oni'!n&ia#i'a'
F in%!,ri'a'
> 'i"poni.i#i'a'
> &onor$i'a'
> &onia.i#i'a'

,aran%i-ar #a "!,(ri'a' '!# "i"%!$a
"a#1a,(ar'ar #a inor$a&in &on%ra !# ("o no a(%ori-a'o, '!"&(.ri$i!n%o o $o'ii&a&in, 'aDo o pEr'i'a
es ;acili.a,o 9or
&on%ro#!" '! a&&!"o #,i&o /(! a"!,(r!n /(! !# a&&!"o a #o" "i"%!$a", 'a%o" * pro,ra$a" !"%B
r!"%rin,i'o a #o" ("(ario" a(%ori-a'o"
) a(%ori-a&in
) a(%!n%i&i'a'
) a&&!"o
) ("o '! pro%!&&in ! i'!n%ii&a&in
) ,!"%in '! &#a1! &rip%o,rBi&a
) in&i'!n&ia '! $an!+o, inor$ar * &o$p#!%ar
) &a$ino &("%o'ia'o
) '!%!&&in * pr!1!n&in '! 1ir("
) &or%a(!,o"
I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"
I 'a%o"

"S1 Identificar y Atribuir Costes
88

!!&%i1i'a'
F !i&i!n&ia
&oni'!n&ia#i'a'
in%!,ri'a'
'i"poni.i#i'a'
&onor$i'a'
F &onia.i#i'a'

i'!n%ii&ar * a%ri.(ir &o"%!"
a"!,(rar (n &orr!&%o &ono&i$i!n%o '! #o" &o"%!" a%ri.(i'o" a #o" "!r1i&io" '! TI
es ;acili.a,o 9or
(n "i"%!$a '! &on%a.i#i'a' '! &o"%!" /(! a"!,(r! /(! 'i&3o" &o"%!" "on r!,i"%ra'o", &a#&(#a'o" *
#o&a#i-a'o" para !# ni1!# '! '!%a##! r!/(!ri'o
) r!&(r"o" i'!n%ii&a.#!" * $!'i.#!"
) i$po"i&in '! po#)%i&a" * pro&!'i$i!n%o"
) i$pon!r 1a#or!"
I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"
I 'a%o"

"S2 #ducar y #ntrenar a los :suarios
F !!&%i1i'a'
> !i&i!n&ia
&oni'!n&ia#i'a'
in%!,ri'a'
'i"poni.i#i'a'
&onor$i'a'
&onia.i#i'a'

!'(&ar * !n%r!nar a #o" ("(ario"
a"!,(rar /(! #o" ("(ario" "on !i&i!n%!" !n !# ("o '! #a %!&no#o,)a * /(! "on &on"&i!n%!" '! #o" ri!",o" *
r!"pon"a.i#i'a'!" !n #a" /(! !"%Bn in1o#(&ra'o"
89

es ;acili.a,o 9or
(n !n%r!na$i!n%o &o$pr!n"i1o * (n p#an '! '!"arro##o
) p#an '! !"%('io" '! !n%r!na$i!n%o
) &a$paDa" '! &ono&i$i!n%o
) %E&ni&a" '! &ono&i$i!n%o
I p!r"ona"

ap#i&a&ion!"

%!&no#o,)a

a&i#i'a'!"

'a%o"

"S4 Asistencia y Conse&o a los Clientes de TI
F !!&%i1i'a'
!i&i!n&ia
&oni'!n&ia#i'a'
in%!,ri'a'
'i"poni.i#i'a'
&onor$i'a'
&onia.i#i'a'

a"i"%ir * a&on"!+ar a #o" &#i!n%!" '! TI
a"!,(rar /(! &(a#/(i!r pro.#!$a !Cp!ri$!n%a'o por !# ("(ario "!rB r!"(!#%o apropia'a$!n%!
es ;acili.a,o 9or
(na B&i# a*('a /(! "($ini"%r! "opor%! '! pri$!r or'!n * &on"!+o
) &(!"%ion!" '!# &#i!n%! * r!"p(!"%a" a# pro.#!$a
) $oni%ori-a&in '! &(!"%ion!" * a&#ara&ion!"
) anB#i"i" '! %!n'!n&ia" ! inor$a&in
I p!r"ona"
I ap#i&a&ion!"

%!&no#o,)a

a&i#i'a'!"

'a%o"

"S6 Gestin de la Configuracin
8:

F !!&%i1i'a'
!i&i!n&ia
&oni'!n&ia#i'a'
in%!,ri'a'
> 'i"poni.i#i'a'
&onor$i'a'
> &onia.i#i'a'

,!"%ionar #a &oni,(ra&in
&on"i'!rar %o'o" #o" &o$pon!n%!" '! TI, pr!1!nir a#%!ra&ion!" no a(%ori-a'a", 1!rii&ar #a !Ci"%!n&ia )"i&a *
pro1!!r '! (n (n'a$!n%o para (na ,!"%in '! &a$.io ir$!
es ;acili.a,o 9or
&on%ro#!" /(! i'!n%ii/(!n * r!,i"%r!n %o'o" #o" $!'io" '! TI * "( #o&a#i-a&in )"i&a, * (n
pro,ra$a r!,(#ar '! 1!rii&a&in /(! &onir$! 'i&3a !Ci"%!n&ia
) $!'io" '! r!,i"%ro
) ,!"%in '!# &a$.io '! &oni,(ra&in
) &3!/(!o '!# "o%?ar! no a(%ori-a'o
) &on%ro#!" '! a#$a&!na$i!n%o '! "o%?ar!

p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"

'a%o"

"S!7 Gestin de Problemas e Incidentes
F !!&%i1i'a'
F !i&i!n&ia
&oni'!n&ia#i'a'
in%!,ri'a'
> 'i"poni.i#i'a'
&onor$i'a'
&onia.i#i'a'

,!"%ionar #o" pro.#!$a" ! in&i'!n%!"
8;

a"!,(rar /(! #o" pro.#!$a" ! in&i'!n%!" "!rBn r!"(!#%o", ! in1!"%i,an'o #a &a("a para pr!1!nir (na n(!1a
apari&in '! !"%o"
es ;acili.a,o 9or
(na "i"%!$a '! ,!"%in '! pro.#!$a" /(! r!,i"%r! * a1an&! %o'o" #o" in&i'!n%!"
) r!,#a" "(i&i!n%!" '! a('i%or)a '! pro.#!$a" * "o#(&ion!"
) r!"o#(&in opor%(na '! pro.#!$a" an(n&ia'o"
) "(.i'a '! pro&!'i$i!n%o"
) inor$!" '! in&i'!n%!"
I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"
I 'a%o"

"S!! Gestin de "atos
!!&%i1i'a'
!i&i!n&ia
&oni'!n&ia#i'a'
F in%!,ri'a'
'i"poni.i#i'a'
&onor$i'a'
F &onia.i#i'a'

a'$ini"%rar #o" 'a%o"
a"!,(rar /(! #o" 'a%o" p!r$an!&!n &o$p#!%o", &orr!&%o" * 1B#i'o" '(ran%! "( in%ro'(&&in, a&%(a#i-a&in *
a#$a&!na$i!n%o
es ;acili.a,o 9or
(na &o$.ina&in !!&%i1a '! ap#i&a&in * &on%ro#!" ,!n!ra#!" "o.r! #a" op!ra&ion!" '! TI
) 'i"!Do '!# $o'!#o
) &on%ro#!" '! 'o&($!n%o" (!n%!
) &on%ro#!" '! !n%ra'a
) &on%ro#!" '! pro&!"o
) &on%ro#!" '! "a#i'a
) i'!n%ii&a&in $(#%i$!'ia, $!&ani"$o * ,!"%in '! .i.#io%!&a
) a#$a&!na$i!n%o $(#%i$!'ia * ,!"%in '! &opia" '! "!,(ri'a'
) a(%!n%i&i'a' ! in%!,ri'a'
8<

p!r"ona"

ap#i&a&ion!"

%!&no#o,)a

a&i#i'a'!"
I 'a%o"

"S!* Administrar las Instalaciones
!!&%i1i'a'
!i&i!n&ia
&oni'!n&ia#i'a'
F in%!,ri'a'
F 'i"poni.i#i'a'
&onor$i'a'
&onia.i#i'a'

a'$ini"%rar #a" in"%a#a&ion!"
pro1!!r '! (n $!'io )"i&o apropia'o /(! pro%!+a !# !/(ipa$i!n%o '! #a" TI * a #a" p!r"ona" &on%ra ri!",o"
na%(ra#!" * ri!",o" pro1o&a'o" por !# 3o$.r!
es ;acili.a,o 9or
#a in"%a#a&in '! &on%ro#!" )"i&o" apropia'o" /(! "on r!1i"a'o" r!,(#ar$!n%! para "( propia
(n&in
) a&&!"o a a&i#i'a'!"
) i'!n%ii&a&in '! #a "i%(a&in
) "!,(ri'a' )"i&a
) "a#(' * "!,(ri'a' '!# p!r"ona#
) pro%!&&in '! a$!na-a" '!# !n%orno

p!r"ona"

ap#i&a&ion!"

%!&no#o,)a
I a&i#i'a'!"

'a%o"

"S!. Gestin de Operaciones
F !!&%i1i'a'
F !i&i!n&ia
&oni'!n&ia#i'a'
> in%!,ri'a'

9=

> 'i"poni.i#i'a'
&onor$i'a'
&onia.i#i'a'

,!"%ionar #a" op!ra&ion!"
a"!,(rar /(! #a" (n&ion!" i$por%an%!" "opor%a'a" '! #a" TI "on r!a#i-a'a" r!,(#ar$!n%! * '! (na or$a
or'!na'a
es ;acili.a,o 9or
(n p#anii&a'or '! a&%i1i'a'!" "opor%a'a" /(! !" r!,i"%ra'o * a&#ara'o para !# &($p#i$i!n%o '!
%o'a" #a" a&%i1i'a'!"
K $an(a# '! pro&!'i$i!n%o '! op!ra&ion!"
K 'o&($!n%a&in '!# pro&!"o p(!"%o !n $ar&3a
K ,!"%in '! "!r1i&io" '! #a r!'
K p#anii&a&in '!# %ra.a+o * !# p!r"ona#
K pro&!"o &a$.ia'o
K r!,i"%ro '!# "(&!"o '!# "i"%!$a
I p!r"ona"
I ap#i&a&ion!"

%!&no#o,)a
I a&i#i'a'!"
I 'a%o"

8! 8onitori-ar los Procesos
F !!&%i1i'a'
> !i&i!n&ia
> &oni'!n&ia#i'a'
> in%!,ri'a'
> 'i"poni.i#i'a'
> &onor$i'a'
> &onia.i#i'a'

$oni%ori-ar #o" pro&!"o"
"ominio de 8onitori-acin
a"!,(rar #a r!a#i-a&in '! #a !+!&(&in '! #o" o.+!%i1o" !"%a.#!&i'o" para #o" pro&!"o" '! #a" TI
91

es ;acili.a,o 9or
#a '!ini&in '! #a a'$ini"%ra&in '!# inor$! r!#!1an%! '! ,!"%in ! in'i&a'or!" r!a#i-a'o",
i$p#!$!n%a&in '! #o" "i"%!$a" "opor%a'o" a") &o$o #a a&#ara&in '!# inor$! "o.r! #o"
(n'a$!n%o" r!,(#ar!"
) in'i&a'or!" '! r!a#i-a&in '! &#a1!"
) a&%or!" '! "(&!"o" &r)%i&o
) !1a#(a&ion!" '! #a "a%i"a&&in '!# &#i!n%!
K inor$! '! #a ,!"%in
I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"
I 'a%o"

8* #'aluar lo Adecuado del Control Interno
F !!&%i1i'a'
F !i&i!n&ia
> &oni'!n&ia#i'a'
> in%!,ri'a'
> 'i"poni.i#i'a'
> &onor$i'a'
> &onia.i#i'a'

!1a#(ar #o a'!&(a'o '!# &on%ro# in%!rno
a"!,(rar #a r!a#i-a&in '! #o" o.+!%i1o" '! &on%ro# in%!rno" !"%a.#!&i'o" para #o" pro&!"o" '! #a" TI
es ;acili.a,o 9or
#a &o$i"in '! #a a'$ini"%ra&in para $oni%ori-ar &on%ro#!" in%!rno", i+an'o "( !!&%i1i'a', !
inor$an'o '! !##o" &on .a"!" r!,(#ar!"
) $oni%ori-a&in '! &on%ro#!" in%!rno" !n pro&!"o
) %!"% '! pr(!.a" 5.!n&3$arA"6
) inor$! '! !rror * !C&!p&in
) a(%o!1a#(a&in
) inor$! '! #a a'$ini"%ra&in
I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"
I 'a%o"

92

8. Obtener Aseguramientos Independientes
F !!&%i1i'a'
F !i&i!n&ia
> &oni'!n&ia#i'a'
> in%!,ri'a'
> 'i"poni.i#i'a'
> &onor$i'a'
> &onia.i#i'a'

o.%!n!r a"!,(ra$i!n%o" in'!p!n'i!n%!"
in&r!$!n%ar #a &onian-a * !# &(i'a'o !n%r! #a or,ani-a&in, #o" &#i!n%!", * #o" pro1!!'or!" a %!r&!ro"
es ;acili.a,o 9or
in"p!&&ion!" '! #a "!,(ri'a' in'!p!n'i!n%! ##!1a'a" a &a.o !n in%!r1a#o" r!,(#ar!"
) &!r%ii&a&ion!"Ja&r!'i%a&ion!" in'!p!n'i!n%!"
) !1a#(a&ion!" '! !!&%i1i'a' in'!p!n'i!n%!"
) "!,(ri'a' in'!p!n'i!n%! '! &onor$i'a' &on #!*!" * r!/(i"i%o" r!,(#a'o"
) "!,(ri'a' in'!p!n'i!n%! '! &onor$i'a' &on &o$i"ion!" &on%ra&%(a#!"
) in"p!&&ion!" a pro1!!'or!" '! "!r1i&io" a %!r&!ro"
) r!a#i-a&in '! in"p!&&ion!" '! "!,(ri'a' por p!r"ona# &(a#ii&a'o
) in1o#(&ra&in '! a('i%or)a" proa&%i1a"
I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"
I 'a%o"

8/ Suministrar una Auditor%a Independiente
F !!&%i1i'a'
F !i&i!n&ia
> &oni'!n&ia#i'a'
> in%!,ri'a'
> 'i"poni.i#i'a'
> &onor$i'a'
> &onia.i#i'a'

93

"($ini"%rar (na a('i%or)a in'!p!n'i!n%!
in&r!$!n%ar #o" ni1!#!" '! &onian-a * .!n!i&io" '!"'! !# $!+or &on"!+o '! prB&%i&a
es ;acili.a,o 9or
a('i%or)a" in'!p!n'i!n%!" ##!1a'a" a &a.o !n in%!r1a#o" r!,(#ar!"
) in'!p!n'!n&ia '! #a" a('i%or)a"
) in1o#(&ra&in '! a('i%or)a" proa&%i1a"
) r!a#i-a&in '! a('i%or)a" por p!r"ona# &(a#ii&a'o
) &#ari'a' '! #a" '!&i"ion!" * r!&o$!n'a&ion!"
) a&%i1i'a'!" &on%in(a"
I p!r"ona"
I ap#i&a&ion!"
I %!&no#o,)a
I a&i#i'a'!"
I 'a%o"

).7. $!CTURA% R!CO'!DADA%
CControl Ob<eti-es for Information and 6elated Technolo"y. # *ditionD# 16# Information S!stems
'udit and Control 1oundation# EPM'ILJ researchWisaca#or)
94
CI.0.A.C.A. &Information 0ystems Audit and Control Association)D,
16# Informaci4n electr4nica# (irecci4nJ httpJKK>>>#isaca#or)
CCOBIT # *dition EomeD 16# Informaci4n electr4nica#
(irecci4nJ httpJKK>>>#isaca#or)Kcobit#html
CCOBIT # *dition $ro<ect Feb 0iteD 16# Informaci4n
electr4nica# (irecci4nJ httpJKK>>>#isaca#or)Kct\proA#html
CCOBIT # *dition Feb 0ite &Downloads)D 16# Informaci4n
electr4nica# (irecci4nJ httpJKK+"6#+/"#"#13Kct\d>nld#html

3( 4oca!ulario
A
I
acti5o6 3: i$por%! %o%a# '! #o" 1a#or!", !!&%o",
&rE'i%o" * '!r!&3o" /(! po"!! (na p!r"ona o
"o&i!'a' &o$!r&ia#0
inte7ridad, 3: &a#i'a' '! )n%!,ro0 D! (na
p!r!&%a pro.i'a'0
P
C
priori&ar, 52: 'ar priori'a'0 An%!riori'a' '! (na
&o"a r!"p!&%o a o%ra, !n %i!$po o !n or'!n0
contin7encia6 4: po"i.i#i'a' '! /(! (na &o"a
"(&!'a o no "(&!'a0 Ri!",o0
R
confia!ilidad, 3: ia.i#i'a', pro.a.i#i'a' '!
.(!n (n&iona$i!n%o '! (na &o"a0
re7ulati5o, 24: /(! r!,(#a0 A+("%a'o * &onor$! a
r!,#a0
confidencialidad, 3: &a#i'a' '! &oni'!n&ia#0
L(! "! 3a&! o "! 'i&! !n &oni'!n&ia, /(! &on%i!n!
(na &oni'!n&ia0
requerimiento, 3:r!/(i"i%o0Con'i&in n!&!"a@ ria
para 3a&!r (na &o"a0
contramedida, 11: $!'i'a %o$a'a para pa#iar o
an(#ar o%ra0
S
categorizar, 52: or'!nar o &#a"ii&ar por &a%!,or)a"0
sal5a7uardar, 5: pro%!,!r0 R!,i"%rar (n &on+(n%o
'! inor$a&ion!" &on%!ni'a" !n #a $!$oria '!#
or'!na'or "o.r! (n "opor%! $a,nE%i&o0
"
disponi!ilidad, 3: propi!'a' '! (n "i"%!$a /(!
r!pr!"!n%a #a &on%in(i'a' '!# "!r1i&io pr!"%a'o0
T
#
traslapar, 3: &(.rir %o%a# o par&ia#$!n%! (na
&o"a0
efecti5idad, 3: &a#i'a' '! !!&%i1o0
eficiencia, 3: 1ir%(' * a&(#%a' para o.%!n!r (n
!!&%o '!%!r$ina'o0
V
5erte!rar, 21: 'ar &on"i"%!n&ia * !"%r(&%(ra
in%!rna"7 'ar or,ani-a&in * &o3!"in0

fiduciario, 3: /(! '!p!n'! '!# &rE'i%o o
&onian-a0
funcionalidad, 3: propi!'a' '! #o /(! !" (n&io@
na#0 FrB&%i&o, !i&a-, (%i#i%ario0
98

8( 0i!lio7raf-a
$iattini Delthuis5 Mario E#I (el $eso *avarro5 Emilio# 16# R'PM'# OA9DITO6:A I7FO6/;TICA. 9n
enfo,ue 'r!cticoR# EPM'ILJ ramaWarra?is#es
CCOBIT. Control Ob<eti-es for Information and 6elated Technolo"y. # *ditionD# 16# Information
S!stems 'udit and Control 1oundation# EPM'ILJ researchWisaca#or)
99
CI.0.A.C.A. &Information 0ystems Audit and Control Association)D,
16# Informaci4n electr4nica# (irecci4nJ httpJKK>>>#isaca#or)
CCOBIT # *dition EomeD 16# Informaci4n electr4nica#
(irecci4nJ httpJKK>>>#isaca#or)Kcobit#html
CCOBIT # *dition $ro<ect Feb 0iteD 16# Informaci4n
electr4nica# (irecci4nJ httpJKK>>>#isaca#or)Kct\proA#html
CCOBIT # *dition Feb 0ite &Downloads)D 16# Informaci4n
electr4nica# (irecci4nJ httpJKK+"6#+/"#"#13Kct\d>nld#html
CCannin" Colle"e F*B 0iteD5 13#
(irecci4nJ httpJKK>>>#cannin)colle)e#>a#edu#auKreference#html
CCurtin 9ni-ersity of Technolo"y Gibrary and
Information 0er-ice F*B 0iteD, 16# (irecci4nJ
httpJKK>>>#curtin#edu#auJ6"KcurtinKlibrar!KfindinfoK
handoutsKerefs#html

Cobit2antecedeshistoria2 110626112855 Phpapp01

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cobit2antecedeshistoria2 110626112855 Phpapp01

Cargado por

Copyright:

Formatos disponibles

Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)

También podría gustarte