Cobit - Directrices de Auditoria 2EDICION 290

DIRECTRICES DE AUDITORIA
Abril de 1998
2da Edicin
Emitido por el Comit Directivo de COBIT y
la Information Systems Audit and Control Foundation
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de
empresas y auditores.
ARGENTINA
ARUBA
AUSTRALIA
AUSTRIA
BAHAMAS
BAHRAIN
BANGLEDESH
BARBADOS
BLGICA
BERMUDA
BOLIVIA
BOSTSWANA
BRASIL
BRUENI
CANAD
CHILE
CHINA
COLOMBIA
COSTA RICA
CROATA
CURAZAO
CYPRUS
REPBLICA CHECA
DINAMARCA
REPBLICA DOMINICANA
ECUADOR
EGIPTO
ESTONIA
ISLAS FAEROE
FINLANDIA
FRANCIA
ALEMANIA
GHANA
GRECIA
GUAM
GUATEMALA
HONDURAS
HONG KONG
HUNGRA
ISLANDIA
INDIA
INDONESIA
IRLANDA
ISRAEL
ITALIA
IVORY COAST
JAMAICA
JAPN
JORDN
KENYA
COREA
KUWAIT
LATVIA
LEBANON
INFORMATION SYSTEMS AUDIT AND

CONTROL ASSOCIATION
Una sola Fuente Internacional para los Controles
de la Tecnologa de Informacin
Information Systems Audit and Control
su programa de educacin profesional
Association es una organizacin global
ofrece conferencias tcnicas y adminis-
lder de profesionales que representa a
trativas en cinco continentes, as como
individuos en ms de 100 pases y compren-
seminarios en todo el mundo para
de todos los niveles de la tecnologa de
ayudar a los profesionistas de todo el
informacin Direccin ejecutiva, media
mundo a recibir educacin contina de
gerencia y practicantes. La Asociacin est

nicamente posesionada para cubrir el
alta calidad.
su rea de publicidad tcnica propor-
papel de generador central que armoniza
ciona materiales de desarrollo profe-
los estndares de las prcticas de control
sional y referencias con el fin de au-
de la TI a nivel mundial. Sus alianzas es-
mentar su distinguida seleccin de
tratgicas con otros grupos dentro del m-
programas y servicios.
bito profesional financiero, contable, de

auditora y de la TI aseguran un nivel sin
La Information Systems Audit and Control
paralelo de integracin y compromiso a los
Association se cre en 1969 para cubrir las
dueos del proceso de negocio.
necesidades nicas, diversas y de alta tecno-
Programas y Servicios
de la Asociacin
Los Programas y Servicios de la Asociacin
han ganado prestigio al establecer los niveles ms altos de excelencia en certificacin,
estndares, educacin profesional y publicidad tcnica.
su programa de certificacin (el Auditor de Sistemas de Informacin Certificado) es la nica designacin global
en toda la comunidad de control y
auditora de la TI.
las actividades estndares establecen

la base de calidad mediante la cual
otras actividades de control y auditora
de la TI se miden.
loga en el naciente campo de la TI. En una

industria donde el progreso se mide en nonasegundos, ISACA se ha movido gil y
velozmente para satisfacer las necesidades
de la comunidad de negocios internacionales y de la profesin de controles de la TI.
Para ms Informacin
Para recibir informacin adicional, puede
llamar al (+1.847.253.1545), enviar un email a (research@isaca.org) o visitar nuestra
pgina (www.isaca.org).
LIECHTENSTEIN
LITUANIA
LUXEMBURGO
MALASIA
MALTA
MALAWI
MXICO
PASES BAJOS
NUEVA GUINEA
NUEVA ZELANDA
NIGERIA
NORUEGA
OMN
PAKISTN
PANAM
PER
FILIPINAS
POLONIA
PORTUGAL
QATAR
RUSIA
SAIPAN
ARABIA SAUDITA
ESCOCIA
SEYCHELLES
SINGAPUR
REP. ESLOVACA
ESLOVENIA
SUDFRICA
ESPAA
SRI LANKA
ST. KITTS
ST. LUCIA
SUECIA
SUIZA
SIRIA
TAIWAN
TANZANIA
TASMANIA
TAILANDIA
TRINIDAD & TOBAGO
TURQUA
UGANDA
EMIRATOS ARAB
UNIDOS
REINO UNIDO
ESTADOS UNIDOS
URUGUAY
VENEZUELA
VIETNAM
GALES
YEMEN
ZAMBIA
ZIMBABWE
OBJETIVOS DE CONTROL PARA LA INFORMACIN
Y TECNOLOGAS AFINES
CONTENIDO
Reconocimientos
4-5
Resumen Ejecutivo
7-8
Antecedentes
9-10
El Marco Referencial de COBIT

Estableciendo la escena.........................................11-13
Los Principios del Marco Referencial...................14-18
Gua para la utilizacin del Marco
Referencial y Objetivos de Control.......................19-20
Tabla Resumen
Introduccin a los Lineamientos
de Auditoria
21
23-27, 29-31
Lineamiento General de Auditoria
28
Lineamientos de Auditora
33
Planeacin y Organizacin....................................35-86
Adquisicin e Implementacin............................87-118
Entrega de Servicios y Soporte..........................119-188
Monitoreo...........................................................189-204
Apndice I
Lista de Dominios, Procesos y
Objetivos de Control..........................................205-209
Apndice II
Material de Referencia Primaria........................210-211
Apndice III
Glosario de Trminos................................................212
Apndice IV
Proceso de Auditora..........................................213-216
Apndice V
Lmite de Responsabilidad
La Information Systems Audit and Control Foundation y los patrocinadores
de COBIT: Objetivos de Control para la Informacin y Tecnologas afines,
han diseado este producto principalmente como una fuente de instruccin
para los profesionales dedicados a las actividades de control. La Information
Systems Audit and Control Foundation y los patrocinadores no declaran que
el uso de este producto asegurar un resultado exitoso. No deber considerarse que este producto incluye todos los procedimientos o pruebas apropiados o que excluye otros procedimientos y pruebas que estn razonablemente
dirigidos hacia la obtencin de los mismos resultados. Para determinar la
conveniencia de cualquier prueba o procedimiento especfico, los expertos
en control debern aplicar su propio juicio profesional a las circunstancias
de control especiales presentadas por cada entorno de sistemas en particular.
Acuerdo de Licencia (disclosure)
Copyright 1996, 1998 de la Information Systems Audit and Control Foundation (ISACF). La reproduccin para fines comerciales no est permitida
sin el previo consentimiento por escrito de la ISACF. Se otorga permiso
para reproducir el Resumen Ejecutivo, el Marco Referencial y los Objetivos
de Control para uso interno no comercial, incluyendo almacenamiento en
medios de recuperacin de datos y transmisin en cualquier medio, incluyendo electrnico, mecnico, grabado u otro medio. Todas las copias del
Resumen Ejecutivo, el Marco Referencial y los Objetivos de Control deben
incluir el siguiente reconocimiento y leyenda de derechos de autor:
Copyright 1996, 1998 Information Systems Audit and Control Foundation,
reimpreso con la autorizacin de la Information Systems Audit and Control
Foundation. Ningn otro derecho o permiso relacionado con esta obra es
otorgado.
Las Directrices de Auditora y el conjunto de herramientas de implementacin no pueden ser reproducidos, almacenados en un sistema de recuperacin de datos o transmitido en ninguna forma ni por ningn medio
electrnico, mecnico, fotocopiado, grabado u otro medio- sin la previa
autorizacin por escrito de la ISACF.
Excepto por lo indicado, no se otorga ningn otro derecho o permiso relacionado con esta obra.
Traducido al espaol de COBIT 2da Edicin: Objetivos de Control para la
Informacin y Tecnologas afines por Gustavo A. Sols Montes, CISA con
el permiso de la Information Systems Audit and Control Foundation
(ISACF). Esta traduccin no fue revisada por la ISACF, por lo tanto, no
garantiza la fidelidad y/o exactitud de la misma. Si desea obtener mayor
informacin sobre ISACF, visite su web site en www.isaca.org.
Information Systems Audit and Control Foundation
3701 Algonquin Road, Suite 1010
Rolling Meadows, Illinois 60008 USA.
Telfono:
+1.847.253.1545
Fax:
+1.847.253.1443
E-mail:
research@isaca.org
Website:
www.isaca.org
ISBN 0-9629440-6-8 (Audit Guidelines, English)
Cumplimiento del Ao 2000..............................217-219

ndice
220-222
AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL
COBIT
RECONOCIMIENTOS
PRINCIPALES PATRIOCINADORES DE LA
CORPORACIN A NIVEL MUNDIAL
PATROCINADORES DE LOS ASOCIADOS DE LA

CORPORACIN
Fellesdata a/s, Norway
NoviT a/s, Norway
PRINCIPALES CAPTULOS DE ISACA

PATROCINADORES
Benelux
National Capital Area
New York Metropolitan
Norway
Toronto
CAPTULOS DE ISACA ASOCIADOS

PATROCINADORES
Adelaide
Atlanta
Auckland
Austin
Bangkok
Brisbane
Canberra
Central Arkansas
Central Indiana
Central Maryland
Central New York
Denver
Detroit
Finland
Greater Hartford
Hawaii
Houston
Hudson Valley
Indonesia
London
Los Angeles
Middle Tennessee
Minnesota
New England
New Jersey
New Mexico
North Alabama
North Texas
Northeast Ohio
Northern United Kingdom
Philadelphia
Pittsburgh
Puget Sound
Research Triangle
Sacramento
San Diego
Santiago de Chile
Seoul
South Texas
St. Louis
Sweden
Tokyo
Tulsa
Victoria
Virginia
Wellington
Winnipeg
CONTRIBUCIONES INDIVIDUALES
Bill Bartgis
John Beveridge
William Bialkowski
Alllen Bragan
Maryanne S. Canant
Michael Donahue
John Lainhart
Akira Matsuo
4
Teresa McCauley
Robert G. Parker
Daniel Ramos
Deepak Sarup
Lily Shue
Patrick Stachtchenko
Kevin Weston
DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
RECONOCIMIENTOS
EL EQUIPO DEL PROYECTO
ANALISTAS EXPERTOS USA
Erik Guldentops, S.W.I.F.T. S.C., Belgium

Eddy Schuermans, Coopers & Lybrand, Belgium
Thomas Lamm, ISACF, USA
Prof. Ulric J. Gelinas, Bentley College

John Hayes, Price Waterhouse LLP
Greg Hedges, Arthur Andersen & Co., S.C.
Dave Kent, Price Waterhouse LLP
Tom Kothe, Ernst & Young LLP
John Lainhart, Inspector General, U.S. House of
Representatives, USA
Robert Roussey, University of Southern California
COMIT QUE DIRIGE EL PROYECTO

Erik Guldentops, S.W.I.F.T. S.C., Belgium
John Beveridge, State Auditors Office,
Massachusetts, USA
Prof. Dr. Bart De Schutter, Vrije Universiteit Brussels,
Chairman BRT Belgium
Gary Hardy, Arthur Andersen, United Kingdom
John Lainhart, Inspector General, U.S. House of
Representatives, USA
Akira Matsuo, Chuo Audit Corporation, Japan
Eddy Schuermans, Coopers & Lybrand, Belgium
Paul Williams, Arthur Andersen, United Kingdom
Thomas Lamm, ISACF, USA
INVESTIGADORES
Vrije Universiteit Amsterdam, The Netherlands
Prof. M.E. Van Biene-Hershey
Ren Barlage, RB Consultants
California Polytechnic University, USA
Prof. Dan Manson, Lead Researcher
ANALISTAS EXPERTOS EUROPA

Chris Bagot, NATO
Ren Barlage, RB Consultants
Prof. Dr. Henri Beker, Zergo, Ltd.
John Beveridge, ISACA Past President
Erik Guldentops, S.W.I.F.T. S.C.
Gary Hardy, Arthur Andersen
Eddy Schuermans, Coopers & Lybrand
Alan Stanley, European Security Forum
Danny Van Riel, Johnson & Johnson
Bram Vandenberg, Ernst & Young
CALIDAD GARANTIZADA
Gary Austin, GAO
Chris Bagot, NATO
Rick Beatty, California Federal Bank
Peter De Koninck, Coopers & Lybrand
Balencia Dozier, Manufacturers Bank
Doris Gin, Arthur Andersen & Co., LLP
A.I. Heijkamp, Computercentrum VSB
Max Huijbers, Rijkscomputercentrum
Peter Maertens, NATO
Bill Pepper, Zergo, Ltd.
Mark Stanley, Santa Barbara Bank
Tjerk Terpstra, Inter Access
Mark Wheeler, Farmers Insurance
Carla Williams, Executive Consultants
AGRADECIMIENTO ESPECIAL a los miembros de la Mesa
directiva de la Information Systems Audit and Control Association, y los Fideicomisarios de la Information Systems
Audit and Control Foundation por su continuo y firme apoyo
a la familia de productos de COBIT
COBIT
RESUMEN EJECUTIVO
n elemento crtico para el xito y la supervivencia de las organizaciones, es

la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) relacionada. En esta sociedad global (donde la informacin viaja a
travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad)
esta criticalidad emerge de:
l
la creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin
l
la creciente vulnerabilidad y un amplio espectro de amenazas, tales como
las ciber amenazas y la guerra de informacin
l
la escala y el costo de las inversiones actuales y futuras en informacin y
en tecnologa de informacin; y
l
el potencial que tienen las tecnologas para cambiar radicalmente las
organizaciones y las prcticas de negocio, crear nuevas oportunidades y
reducir costos
Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa.
Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la
gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de TI. Verdaderamente, la informacin y los sistemas de informacin son
penetrantes en las organizaciones (desde la plataforma del usuario hasta las
redes locales o amplias, cliente servidor y equipos Mainframe. Por lo tanto, la
administracin requiere niveles de servicio que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, as como un mejoramiento continuo
y una disminucin de los tiempos de entrega) al tiempo que demanda que esto se
realice a un costo ms bajo. Muchas organizaciones reconocen los beneficios
potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas,
sin embargo, tambin comprenden y administran los riesgos asociados con la
implementacin de nueva tecnologa. Por lo tanto, la administracin debe tener
una apreciacin por, y un entendimiento bsico de los riesgos y limitantes del
empleo de la tecnologa de informacin para proporcionar una direccin efectiva
y controles adecuados. COBIT ayuda a salvar las brechas existentes entre riesgos
de negocio, necesidades de control y aspectos tcnicos. Proporciona prcticas
sanas a travs de un Marco Referencial de dominios y procesos y presenta
actividades en una estructura manejable y lgica. Las prcticas sanas de COBIT
representan el consenso de los expertos (le ayudarn a optimizar la inversin en
informacin, pero an ms importante, representan aquello sobre lo usted ser
juzgado si las cosas salen mal.
as organizaciones deben cumplir con requerimientos de calidad, de reportes

fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La administracin deber obtener un balance adecuado en el empleo de sus
recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa,
sistemas de aplicacin y datos. Para cumplir con esta responsabilidad, as como
para alcanzar sus expectativas, la administracin deber establecer un sistema
adecuado de control interno. Por lo tanto, este sistema o marco referencial deber
existir para proporcionar soporte a los procesos de negocio y debe ser preciso en
la forma en la que cada actividad individual de control satisface los requerimientos de informacin y puede impactar a los recursos de TI. El impacto en los
recursos de TI es enfatizado en el Marco Referencial de COBIT conjuntamente a
los requerimientos de informacin del negocio que deben ser alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad. El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin.
La administracin, mediante este gobierno corporativo, debe asegurar que la
debida diligencia sea ejercitada por todos los individuos involucrados en la
administracin, empleo, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin.
Un Objetivo de Control en TI es una definicin del resultado o propsito que se
desea alcanzar implementando procedimientos de control especficos dentro de
una actividad de TI.
a orientacin a negocios es el tema principal de COBIT. Esta diseado no

solo para ser utilizado por usuarios y auditores, sino que en forma ms
importante, esta diseado para ser utilizado como una lista de verificacin detallada para los propietarios de los procesos de negocio. En forma incremental, las
prcticas de negocio requieren de una mayor delegacin y apoderamiento de los
dueos de procesos para que estos posean total responsabilidad de todos los
aspectos relacionados con dichos procesos de negocio. En forma particular, esto
incluye el proporcionar controles adecuados. El Marco Referencial de COBIT
proporciona herramientas al propietario de procesos de negocio que facilitan el
cumplimiento de esta responsabilidad. El Marco Referencial comienza con una
premisa simple y prctica:
Con el fin de proporcionar la informacin que la empresa necesita
para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural.
ontina con un conjunto de 34 Objetivos de Control de alto nivel, uno para
cada uno de los Procesos de TI, agrupados en cuatro dominios: planeacin
& organizacin, adquisicin & implementacin, entrega (de servicio) y monitoreo. Esta estructura cubre todos los aspectos de informacin y de la tecnologa
que la soporta. Dirigiendo estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar que se proporciona un sistema de
control adecuado para el ambiente de tecnologa de informacin. Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe
una gua de auditora o de aseguramiento que permite la revisin de los procesos
de TI contra los 302 objetivos detallados de control recomendados por COBIT
para proporcionar a la Gerencia la certeza de su cumplimiento y/o una recomendacin para su mejora. COBIT contiene un conjunto de herramientas de implementacin que proporciona lecciones aprendidas por empresas que rpida y
exitosamente aplicaron COBIT en sus ambientes de trabajo. Incluye un Resumen
Ejecutivo para el entendimiento y la sensibilizacin de la alta gerencia sobre los
principios y conceptos fundamentales de COBIT. La gua de implementacin
cuenta con dos tiles herramientas (Diagnstico de Sensibilizacin Gerencial y
Diagnstico de Control en TI ) para proporcionar asistencia en el anlisis del
ambiente de control en una organizacin.
El Marco Referencial COBIT otorga especial importancia al impacto sobre los

recursos de TI, as como a los requerimientos de negocios en cuanto a efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad que deben ser satisfechos. Adems, el Marco Referencial proporciona definiciones para los requerimientos de negocio que son derivados de
objetivos de control superiores en lo referente a calidad, seguridad y reportes
fiduciarios en tanto se relacionen con Tecnologa de Informacin.
a administracin de una empresa requiere de prcticas generalmente aplicables y aceptadas de control y gobierno en TI para medir en forma comparativa tanto su ambiente de TI existente, como su ambiente planeado.
COBIT es una herramienta que permite a los gerentes comunicarse y salvar la
brecha existente entre los requerimientos de control, aspectos tcnicos y riesgos
de negocio. COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de TI a travs de organizaciones, a nivel mundial. El objetivo de
COBIT es proporcionar estos objetivos de control, dentro del marco referencial
definido, y obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo.
Por lo tanto, COBIT esta orientado a ser la herramienta de gobierno de TI
que ayude al entendimiento y a la administracin de riesgos asociados
con tecnologa de informacin y con tecnologas relacionadas.
1
2
3
4
5
6
7
Guerra de informacin (information warfare)

Gobierno corporativo (corporate governance): Governance es
un trmino que representa el sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.
Lista de verificacin (check list)
Apoderamiento (empowerment)
Diagnstico de Sensibilizacin Gerencial (management
awareness diagnostic)
Diagnstico de Control en TI (IT control diagnostic)
Medir en forma comparativa (benchmark)
COBIT
PROCESOS DE IT DE COBIT DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS
OBJEIVOS
OBJETIVOS DE
DE NEGOCIO
NEGOCIO
PO1
Definir un Plan Estratgico de

Tecnologa de Informacin
PO2 Definir la Arquitectura de Informacin
PO3 Determinar la direccin tecnolgica
PO4 Definir la Organizacin y de las
Relaciones de TI
PO5
Manejar la Inversin en Tecnologa de
Informacin
PO6 Comunicar la direccin y aspiraciones de
la gerencia
PO7 Administrar Recursos Humanos
PO8 Asegurar el Cumplimiento de
Requerimientos Externos
PO9 Evaluar Riesgos
PO10 Administrar proyectos
PO11 Administrar Calidad
OBI
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditora independiente
INFORMACION
MONITOREO
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
PLANEACION Y
ORGANIZACION
RECURSOS DE TI
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
ENTREGA Y
SOPORTE
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
Definir Niveles de Servicio

Administrar Servicios prestados por Terceros
Administrar Desempeo y Capacidad
Asegurar Servicio Continuo
Garantizar la Seguridad de Sistemas
Identificar y Asignar Costos
Educar y Entrenar a los Usuarios
Apoyar y Asistir a los Clientes de TI
Administrar la Configuracin
Administrar Problemas e Incidentes
Administrar Datos
Administrar Instalaciones
Administrar Operaciones
ADQUISICION E
IMPLEMENTACION
AI1 Identificar Soluciones

AI2 Adquirir y Mantener Software de
Aplicacin
AI3 Adquirir y Mantener Arquitectura de
Tecnologa
AI4 Desarrollar y Mantener Procedimientos
relacionados con TI
AI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios
Y TECNOLOGAS AFINES
ANTECEDENTES
una revisin crtica y actualizacin de las guas
DESARROLLO DEL PRODUCTO COBIT

COBIT ha sido desarrollado como un estndar generalmente
aplicable y aceptado para las buenas prcticas de seguridad y
control en Tecnologa de Informacin (TI). COBIT es la
herramienta innovadora para el gobierno8 de TI -.
COBIT se fundamenta en los Objetivos de Control existentes
de la Information Systems Audit and Control Foundation
(ISACF), mejorados a partir de estndares internacionales
tcnicos, profesionales, regulatorios y especficos para la industria, tanto existentes como en surgimiento. Los Objetivos
de Control resultantes han sido desarrollados para su aplicacin en sistemas de informacin en toda la empresa. El
trmino generalmente aplicables y aceptados es utilizado
explcitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus
siglas en ingls). Para propsitos del proyecto, buenas prcticas significa consenso por parte de los expertos.
Este estndar es relativamente pequeo en tamao, con el fin
de ser prctico y responder, en la medida de lo posible, a las
necesidades de negocio, manteniendo al mismo tiempo una
independencia con respecto a las plataformas tcnicas de TI
adoptadas en una organizacin. El proporcionar indicadores
de desempeo (normas, reglas, etc.), ha sido identificado como prioridad para las mejoras futuras que se realizarn al
marco referencial.
El desarrollo de COBIT ha trado como resultado la publicacin del Marco Referencial general y de los Objetivos de Control detallados, y le seguirn actividades educativas. Estas
actividades asegurarn el uso general de los resultados del
Proyecto de Investigacin COBIT.
Se determin que las mejoras a los objetivos de control originales deberan consistir en:
el desarrollo de un marco referencial para control en TI como fundamento para los objetivos
de control en TI y como una gua para la investigacin consistente en auditora y control de TI;
una alineacin del marco referencial general y de
los objetivos de control individuales, con estndares y regulaciones internacionales existentes de
hecho y de derecho; y
una revisin crtica de las diferentes actividades
y tareas que conforman los dominios de control
en TI y, cuando fuese posible, la especificacin de
indicadores de desempeo relevantes (normas,
reglas, etc.) y
actuales para desarrollo de auditoras de sistemas de informacin

Sin excluir ningn otro estndar aceptado en el campo del
control de sistemas de informacin que pudiera emitirse durante la investigacin, las fuentes han sido identificadas inicialmente como:
Estndares Tcnicos de ISO, EDIFACT, etc.
Cdigos de Conducta emitidos por el Council of Europe,
OECD, ISACA, etc.;
Criterios de Calificacin para sistemas y procesos de TI:
ITSEC, ISO9000, SPICE, TickIT, etc.;
Estndares Profesionales para control interno y auditora: reporte COSO, GAO, IFAC, IIA, ISACA, estndares
CPA, etc.;
Prcticas y requerimientos de la Industria de foros
industriales (ESF, 14) y plataformas patrocinadas por el
gobierno (IBAG, NIST, DTI); y
Nuevos requerimientos especficos de la industria de la
banca y manufactura de TI. (Ver Apndice III Glosario de
Trminos para definiciones de siglas)
DEFINICIN DEL PRODUCTO COBIT
El desarrollo de COBIT ha resultado en la publicaci de:
l
un Resumen Ejecutivo el cual, adicionalmente a esta
seccin de antecedentes, consiste en una Sntesis Ejecutiva (que proporciona a la alta gerencia entendimiento y
conciencia sobre los conceptos clave y principios de COBIT) y el Marco Referencial (el cual proporciona a la alta
gerencia un entendimiento ms detallado de los conceptos clave y principios de COBIT e identifica los cuatro
dominios de COBIT y los correspondientes 34 procesos
de TI);
l
el Marco Referencial que describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la informacin y los recursos de TI
que son impactados en forma primaria por cada objetivo
de control;
Objetivos de Control, los cuales contienen declaraciones
de los resultados deseados o propsitos a ser alcanzados
mediante la implementacin de 302 objetivos de control
detallados y especficos a travs de los 34 procesos de TI;
Gobierno (governance): sistema que establece la alta gerencia

para asegurar el logro de los objetivos de una Organizacin.
COBIT
ANTECEDENTES, contina
l
Directrices de Auditora, las cuales contienen los pasos

de auditora correspondientes a cada uno de los 34 objetivos de control de TI de alto nivel para proporcionar asistencia a los auditores de sistemas en la revisin de los
procesos de TI con respecto a los 302 objetivos detallados de control recomendados para proporcionar a la gerencia certeza o una recomendaciones de mejoramiento;
un Conjunto de Herramientas de Implementacin, el
cual proporciona lecciones aprendidas por organizaciones que han aplicado COBIT rpida y exitosamente en sus
ambientes de trabajo.
El Conjunto de Herramientas de Implementacin incluye la

Sntesis Ejecutiva, proporcionando a la alta gerencia conciencia y entendimiento de COBIT. Tambin incluye una gua de
implementacin con dos tiles herramientas Diagnstico de
la Conciencia de la Gerencia9 y el Diagnstico de Control de
TI10 - para proporcionar asistencia en el anlisis del ambiente
de control en TI de una organizacin. Tambin se incluyen
varios casos de estudio que detallan cmo organizaciones en
todo el mundo han implementado COBIT exitosamente. Adicionalmente, se incluyen respuestas a las 25 preguntas mas
frecuentes acerca de COBIT y varias presentaciones para distintos niveles jerrquicos y audiencias dentro de las organizaciones.
EVOLUCIN DEL PRODUCTO COBIT
COBIT evolucionar a travs de los aos y ser el fundamento
de investigaciones futuras. Por lo tanto, se generar una familia de productos COBIT y al ocurrir esto, las tareas y actividades que sirven como la estructura para organizar los Objetivos
de Control de TI, sern refinadas posteriormente, tambin ser
revisado el balance entre los dominios y los procesos a la luz
de los cambios en la industria.
Una temprana adicin significativa visualizada para la familia
de productos COBIT, es el desarrollo de las Guas de Gerenciales11 que incluyen Factores Crticos de Exito, Indicadores
Clave de Desempeo y Medidas Comparativas12. Esta adicin
proporcionar herramientas a la gerencia para evaluar el ambiente de TI de su organizacin con respecto a los 34 Objetivos de Control de alto nivel de COBIT. Los Factores Crticos
de Exito identificarn los aspectos o acciones ms importantes
para la administracin y poder as tomar dichas acciones o
considerar los aspectos para lograr control sobre sus procesos
de TI. Los Indicadores Clave de Desempeo proporcionarn
medidas de xito que permitan conocer a la gerencia si un
proceso de TI esta alcanzando los requerimientos de negocio.
La Medidas Comparativas definirn niveles de madurez que
10
pueden ser utilizadas por la gerencia para: (1) determinar el

nivel actual de madurez de la empresa; (2) determinar el nivel
de madurez que desea lograr, como una funcin de sus riesgos
y objetivos; y (3) proporcionar una base de comparacin de
sus prcticas de control de TI contra empresas similares o normas de la industria. Esta adicin proporcionar herramientas a
la gerencia para evaluar el ambiente de TI de su organizacin
con respecto a los 34 Objetivos de Control de alto nivel de
COBIT.
Las investigaciones y publicaciones han sido posibles gracias
a contribuciones de Unysis, Unitech Systems, Inc., MIS Training Institute, Zergo, Ltd., y Coopers & Lybrand. El Forum
Europeo de Seguridad (European Security Forum ESF-)
amablemente puso a disposicin material para el proyecto.
Otras donaciones fueron recibidas de captulos miembros de
ISACA de todo el mundo.
SUMARIO DE LOS
EXECUTIVOS
Familia de Productos COBIT
CONJUNTODE HERRAMIENTAS DE IMPLEMENTACIN

Sumano de los Executivos
Visin de los Executivos
Estudios de los Casos
FAQS
Presentacins de PowerPoint
Gui a de Implementacin
MACRO REFERENCIAL
objetivos de control de
alto nivel
GUIAS GERENCIALS
Factores Crticos
del xito
10
11
12
OBJETIVOS DETALLADOS
DE CONTROL
Cumplimiento de los
Principales Indicadores
Programa de la Conciencia
DIRECTRICES DE
AUDITORIA
Medidas Comparativas
Diagnstico de la Conciencia de la Gerencia

(management awareness diagnostic)
Diagnstico de Control de TI (IT control diagnostic)
Guas gerenciales (management guidelines )
Medidas comparativas (benchmarks)
Y TECNOLOGAS AFINES
EL MARCO REFERENCIAL DE COBIT

ESTABLECIENDO LA ESCENA
LA NECESIDAD DE CONTROL EN TECNOLOGIA
DE INFORMACION
En aos recientes, ha sido cada vez ms evidente para los legisladores, usuarios y proveedores de servicios la necesidad de
un Marco Referencial para la seguridad y el control de tecnologa de informacin (TI). Un elemento crtico para el xito y
la supervivencia de las organizaciones, es la administracin
efectiva de la informacin y de la Tecnologa de Informacin
(TI) relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de
tiempo, distancia y velocidad) esta criticalidad emerge de:
to a la seguridad en los servicios TI, a travs de la acreditacin

y la auditora de servicios de TI proporcionados internamente
o por terceras partes, que aseguren la existencia de controles
adecuados. Actualmente, sin embargo, es confusa la implementacin de buenos controles de TI en sistemas de negocios
por parte de entidades comerciales, entidades sin fines de lucro o entidades gubernamentales. Esta confusin proviene de
los diferentes mtodos de evaluacin, tales como ITSEC,
TCSEC, evaluaciones ISO9000, nuevas evaluaciones de control interno COSO, etc. Como resultado, los usuarios necesitan una base general a ser establecida como primer paso.
la creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin
la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de
informacin
la escala y el costo de las inversiones actuales y futuras

en informacin y en tecnologa de informacin; y
el potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio,
crear nuevas oportunidades y reducir costos
Frecuentemente, los AUDITORES han tomado el liderazgo en

estos esfuerzos internacionales de estandarizacin, debido a
que ellos enfrentan continuamente la necesidad de sustentar y
apoyar frente a la Gerencia su opinin acerca de los controles
internos. Sin contar con un marco referencial, sta se convierte en una tarea demasiado complicada. Esto ha sido mostrado
en varios estudios recientes acerca de la manera en la que los
auditores evalan situaciones complejas de seguridad y control en TI, estudios que fueron dados a conocer casi simultneamente en diferentes partes del mundo. Incluso, la administracin consulta cada vez ms a los auditores para que la asesoren en forma proactiva en lo referente a asuntos de seguridad y control de TI.
Para muchas organizaciones, la informacin y la tecnologa

que la soporta, representan los activos mas valiosos de la empresa. Verdaderamente, la informacin y los sistemas de informacin son penetrantes en las organizaciones (desde la plataforma del usuario hasta las redes locales o amplias, cliente
servidor y equipos Mainframe. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede
proporcionar. Las organizaciones exitosas, sin embargo,
tambin comprenden y administran los riesgos asociados
con la implementacin de nueva tecnologa. Por lo tanto, la
administracin debe tener una apreciacin por, y un entendimiento bsico de los riesgos y limitantes del empleo de la tecnologa de informacin para proporcionar una direccin efectiva y controles adecuados
La administracin debe decidir la inversin razonable en
seguridad y control en TI y cmo lograr un balance entre riesgos e inversiones en control en un ambiente de TI frecuentemente impredecible. La administracin necesita un Marco
Referencial de prcticas de seguridad y control de TI generalmente aceptadas para medir comparativamente su ambiente de
TI, tanto el existente como el planeado.
Existe una creciente necesidad entre los USUARIOS en cuan-
EL AMBIENTE DE NEGOCIOS:
COMPETENCIA, CAMBIO & COSTOS
La competencia global es ya un hecho. Las organizaciones se
reestructuran con el fin de perfeccionar sus operaciones y al
mismo tiempo aprovechar los avances en tecnologa de sistemas de informacin para mejorar su posicin competitiva. La
reingeniera en los negocios, las reestructuraciones, el outsourcing, las organizaciones horizontales y el procesamiento distribuido son cambios que impactan la manera en la que operan
tanto los negocios como las entidades gubernamentales. Estos
cambios han tenido y continuarn teniendo, profundas implicaciones para la administracin y las estructuras de control
operacional dentro de las organizaciones en todo el mundo.
La especial atencin prestada a la obtencin de ventajas competitivas y a la economa implica una dependencia creciente
en la computacin como el componente ms importante en la
estrategia de la mayora de las organizaciones. La automatizacin de las funciones organizacionales, por su naturaleza, dicta
la incorporacin de mecanismos de control ms poderosos en
13
Guerra de informacin (information warfare)
11
COBIT
las computadoras y en las redes, tanto los basados en hardware

como los basados en software. Adems, las caractersticas
estructurales fundamentales de estos controles estn evolucionando al mismo paso que las tecnologas de computacin y las
redes.
Si los administradores, los especialistas en sistemas de informacin y los auditores desean en realidad ser capaces de cumplir con sus tareas en forma efectiva dentro de un marco contextual de cambios acelerados, debern aumentar y mejorar
sus habilidades tan rpidamente como lo demandan la tecnologa y el ambiente. Debemos comprender la tecnologa de controles involucrada y su naturaleza cambiante si deseamos emitir y ejercer juicios razonables y prudentes al evaluar las prcticas de control que se encuentran en los negocios tpicos o en
las organizaciones gubernamentales.
RESPUESTA A LAS NECESIDADES
En vista de estos continuos cambios, el desarrollo de este Marco Referencial de objetivos de control para TI, conjuntamente
con una investigacin continua aplicada a controles de TI basada en este marco referencial, constituyen el fundamento para
el progreso efectivo en el campo de los controles de sistemas
de informacin.
Por otro lado, hemos sido testigos del desarrollo y publicacin
de modelos de control generales de negocios como COSO
[Committee of Sponsoring Organisations of the Treadway
Commisssion Internal Control-Integrated Framework, 1992]
en los EUA, Cadbury en el Reino Unido y CoCo en Canad y
King en Sudfrica. Por otro lado, existe un nmero importante de modelos de control ms enfocados al nivel de tecnologa
de informacin. Algunos buenos ejemplos de esta ltima categora son el Security Code of Conduct del DTI (Department
of Trade and Industry, Reino Unido) y el Security Handbook
de NIST (National Institute of Standards and Technology,
EUA). Sin embargo, estos modelos de control con orientacin
especfica no proporcionan un modelo de control completo y
utilizable sobre tecnologa de informacin como soporte para
los procesos de negocio. El propsito de COBIT es el cubrir
este vaco proporcionando una base que est estrechamente
ligada a los objetivos de negocio, al mismo tiempo que se enfoca a la tecnologa de informacin.
Un enfoque hacia los requerimientos de negocio en cuanto a
controles para tecnologa de informacin y la aplicacin de
nuevos modelos de control y estndares internacionales relacionados, hicieron evolucionar los Objetivos de Control y pasar de una herramienta de auditora, a COBIT, que es una
12
herramienta para la administracin. COBIT es, por lo tanto,

la herramienta innovadora para el gobierno de TI que
ayuda a la gerencia a comprender y administrar los riesgos asociados con TI.
Por lo tanto, el objetivo principal del proyecto COBIT es el
desarrollo de polticas claras y buenas prcticas para la seguridad y el control de Tecnologa de Informacin, con el fin de
obtener la aprobacin y el apoyo de las entidades comerciales,
gubernamentales y profesionales en todo el mundo. La meta
del proyecto es el desarrollar estos objetivos de control principalmente a partir de la perspectiva de los objetivos y necesidades de la empresa. Esto concuerda con la perspectiva COSO,
que constituye el primer y mejor marco referencial para la
administracin en cuanto a controles internos. Posteriormente, los objetivos de control fueron desarrollados a partir de la
perspectiva de los objetivos de auditora (certificacin de informacin financiera, certificacin de medidas de control interno, eficiencia y efectividad, etc.)
AUDIENCIA: ADMINISTRACION, USUARIOS & AUDITORES
COBIT est diseado para ser utilizado por tres audiencias
distintas:
ADMINISTRACION:
Para ayudarlos a lograr un balance entre los riesgos
y las inversiones en control en un ambiente de tecnologa de informacin frecuentemente impredecible.
USUARIOS:
Para obtener una garanta en cuanto a la seguridad y
controles de los servicios de tecnologa de informacin proporcionados internamente o por terceras
partes.
AUDITORES DE SISTEMAS DE INFORMACION:
Para dar soporte a las opiniones mostradas a la administracin sobre los controles internos.
Adems de responder a las necesidades de la audiencia inmediata de la Alta Gerencia, a los auditores y a los profesionales
dedicados al control y seguridad, COBIT puede ser utilizado
dentro de las empresas por el propietario de procesos de negocio en su responsabilidad de control sobre los aspectos de informacin del proceso, y por todos aqullos responsables de
TI en la empresa.
ORIENTACIN A OBJETIVOS DE NEGOCIO

Los Objetivos de Control muestran una relacin clara y distintiva con los objetivos de negocio con el fin de apoyar su uso
en forma significativa fuera de las fronteras de la comunidad
de auditora. Los Objetivos de Control estn definidos con
una orientacin a los procesos, siguiendo el principio de reingeniera de negocios. En dominios y procesos identificados,
se identifica tambin un objetivo de control de alto nivel para
documentar el enlace con los objetivos del negocio. Se proporcionan consideraciones y guas para definir e implementar
el Objetivo de Control de TI.
Objetivo
Objetivode
de
control
control en
enTI
TI
se
sedefine
define
como
como
Y TECNOLOGAS AFINES
Una definicin del resultado o propsito

que se desea alcanzar implementando
procedimientos de control en una actividad de TI particular
La clasificacin de los dominios a los que se aplican los objetivos de control de alto nivel (dominios y procesos); una indicacin de los requerimientos de negocio para la informacin
en ese dominio, as como los recursos de TI que reciben un
impacto primario por parte del objetivo del control, forman
conjuntamente el marco Referencial COBIT. El marco referencial toma como base las actividades de investigacin que
han identificado 34 objetivos de alto nivel y 302 objetivos
detallados de control. El Marco Referencial fue mostrado a la
industria de TI y a los profesionales dedicados a la auditora
para abrir la posibilidad a revisiones, dudas y comentarios.
Las ideas obtenidas fueron incorporadas en forma apropiada.
DEFINICIONES
Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La definicin de Control est adaptada del
reporte COSO [Committee of Sponsoring Organisations of the
Treadway Commission. Internal Control-Integrated Framework, 1992 y la definicin para Objetivo de Control de TI
ha sido adaptada del reporte SAC (Systems Auditability and
Control Report). The Institute of Internal Auditors Research
Foundation, 1991 y 1994.
Control
Controlse
se
define
definecomo
como
Las polticas, procedimientos, prcticas y

estructuras organizacionales diseadas
para garantizar razonablemente que los
objetivos del negocio sern alcanzados y
que eventos no deseables sern prevenidos o detectados y corregidos
13
COBIT
LOS PRINCIPIOS DEL MARCO REFERENCIAL
Existen dos clases distintas de modelos de control disponibles actualmente, aqullos de la clase del modelo de control de negocios (por ejemplo COSO) y los modelos ms enfocados a
TI (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe
entre los dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la Administracin y para operar a un
nivel superior que los estndares de tecnologa para la administracin de sistemas de informacin.. Por lo tanto, COBIT es el modelo para el gobierno de TI.
El concepto fundamental del marco referencial COBIT se refiere a
que el enfoque del control en TI se lleva a cabo visualizando la
informacin necesaria para dar soporte a los procesos de negocio y
considerando a la informacin como el resultado de la aplicacin
combinada de recursos relacionados con la Tecnologa de Informacin que deben ser administrados por procesos de TI.
Para satisfacer los objetivos del negocio, la informacin necesita
Requerimientos
de Negocio
Procesos de TI
Recursos de TI
La Calidad ha sido considerada principalmente por su aspecto

negativo (no fallas, confiable, etc.), lo cual tambin se encuentra
contenido en gran medida en los criterios de Integridad. Los aspectos positivos pero menos tangibles de la calidad (estilo, atractivo,
ver y sentir14, desempeo ms all de las expectativas, etc.) no
fueron, por un tiempo, considerados desde un punto de vista de
Objetivos de Control de TI. La premisa se refiere a que la primera
prioridad deber estar dirigida al manejo apropiado de los riesgos al
compararlos contra las oportunidades. El aspecto utilizable de la
Calidad est cubierto por los criterios de efectividad. Se consider
que el aspecto de entrega (de servicio) de la Calidad se traslapa con
el aspecto de disponibilidad correspondiente a los requerimientos
de seguridad y tambin en alguna medida, con la efectividad y la
eficiencia. Finalmente, el Costo es tambin considerado que queda
cubierto por Eficiencia.
Para los requerimientos fiduciarios, COBIT no intent reinventar la
rueda se utilizaron las definiciones de COSO para la efectividad y
eficiencia de operaciones, confiabilidad de informacin y cumplimiento con leyes y regulaciones. Sin embargo, confiabilidad de informacin fue ampliada para incluir toda la informacin no slo informacin financiera.
Con respecto a los aspectos de seguridad, CobiT identific la confidencialidad, integridad y disponibilidad como los elementos clave,
fue descubierto que estos mismos tres elementos son utilizados a
nivel mundial para describir los requerimientos de seguridad.
Comenzando el anlisis a partir de los requerimientos de Calidad,
Fiduciarios y de Seguridad ms amplios, se extrajeron siete categoras
distintas, ciertamente superpuestas. A continuacin se muestran las
definiciones de trabajo de COBIT:
Efectividad
concordar con ciertos criterios a los que COBIT hace referencia

como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos:
Requerimientos de
Calidad
Calidad
Costo
Entrega (de servicio)
Requerimientos
Fiduciarios
(COSO)
Efectividad & eficiencia de operaciones

Confiabilidad de la informacin
Cumplimiento de las leyes &
regulaciones
Requerimientos
de Seguridad
Confidencialidad
Integridad
Disponibilidad
14
Eficiencia
Confidencialidad
Integridad
14
Se refiere a que la informacin relevante

sea pertinente para el proceso del negocio,
as como a que su entrega sea oportuna,
correcta, consistente y de manera utilizable.
Se refiere a la provisin de informacin a
travs de la utilizacin ptima (ms productiva y econmica) de recursos.
Se refiere a la proteccin de informacin sensible contra divulgacin no
autorizada.
Se refiere a la precisin y suficiencia
de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio.
Ver y Sentir (look and feel)

Disponibildad
Cumplimiento
Confiabilidad
de la
Informacin
Se refiere a la disponibilidad de la informacin cuando sta es requerida por

el proceso de negocio ahora y en el
futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y
capacidades asociadas.
Se refiere al cumplimiento de aquellas
leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios
est sujeto, por ejemplo, criterios de
negocio impuestos externamente.
Se refiere a la provisin de informacin
apropiada para la administracin con el
fin de operar la entidad y para ejercer
sus responsabilidades de reportes financieros y de cumplimiento.
Los recursos de TI identificados en COBIT pueden explicarse/

definirse como se muestra a continuacin:
Datos
Aplicaciones
Tecnologa
Instalaciones
Personal
Los elementos de datos en su ms amplio sentido, (por ejemplo, externos e

internos), estructurados y no estructurados, grficos, sonido, etc.
Se entiende como sistemas de aplicacin

la suma de procedimientos manuales y
programados.
La tecnologa cubre hardware, software,
sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc.
Y TECNOLOGAS AFINES
definirse como la inversin en cualquiera de los recursos mencionados anteriormente y podra causar confusin con los requerimientos de auditora financiera.
El Marco referencial no menciona, en forma especfica para
todos los casos, la documentacin de todos los aspectos
materiales importantes relacionados con un proceso de TI
particular. Como parte de las buenas prcticas, la documentacin es considerada esencial para un buen control y, por lo
tanto, la falta de documentacin podra ser la causa de revisiones y anlisis futuros de controles de compensacin en cualquier rea especfica en revisin.
Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se describe a continuacin:
Datos
Eventos
Informacin
Sistemas de Aplicacin
Objetivos de negocio
Oportunidades de negocio
Requerimientos externos
Regulaciones
Riesgos
mensaje
entrada
TECNOLOGIA
INSTALACIONES
GENTE
servicio
salida
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
La informacin que los procesos de negocio necesitan es proporcionada a travs del empleo de recursos de TI. Con el fin
de asegurar que los requerimientos de negocio para la informacin son satisfechos, deben definirse, implementarse y monitorearse medidas de control adecuadas para estos recursos.
Cmo pueden entonces las empresas estar satisfechas respecto a que la informacin obtenida presente las caractersticas
que necesitan? Es aqu donde se requiere de un sano marco
referencial de Objetivos de Control para TI. El diagrama mostrado a continuacin ilustra este concepto.
Recursos para alojar y dar soporte a los

sistemas de informacin.
Habilidades del personal, conocimiento,
conciencia y productividad para planear,
organizar, adquirir, entregar, soportar y
monitorear servicios y sistemas de informacin.
El dinero o capital no fue considerado como un recurso para la

clasificacin de objetivos de control para TI debido a que puede
PROCESOS
DE NEGOCIO
Criterios
INFORMACION
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
RECURSOS DE TI
datos
sistemas de aplicacin
tecnologa
instalaciones
gente
Concuerdan ?
15
COBIT
Los procesos se definen entonces en un nivel superior como

una serie de actividades o tareas conjuntas con cortes naturales (de control). Al nivel ms alto, los procesos son agrupados de manera natural en dominios. Su agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad en una estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de vida aplicable a los
procesos de TI.
Dominios
Criterios de informa-
s
ad
rio
ad
rid
lid
cia
a
u
gu
d
e
C
i
S
F
Dominios
Procesos
Actividades
Gente
Tecnologa
Instalaciones
Datos
Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras
que las tareas son consideradas ms discretas. El concepto
de ciclo de vida cuenta tpicamente con requerimientos de
control diferentes a los de actividades discretas. Algunos
ejemplos de esta categora son las actividades de desarrollo
de sistemas, administracin de la configuracin y manejo de
cambios. La segunda categora incluye tareas llevadas a
cabo como soporte para la planeacin estratgica de TI, evaluacin de riesgos, planeacin de la calidad, administracin
de la capacidad y el desempeo.
Un Gerente de TI puede desear considerar recursos de TI por

los cuales es responsable. Propietarios de procesos, especialistas de TI y usuarios pueden tener un inters en procesos
particulares. Los auditores podrn desear enfocar el marco
referencial desde un punto de vista de cobertura de control.
Estos tres puntos estratgicos son descritos en el Cubo COBIT
que se muestra a continuacin:
Procesos de TI
El marco referencial consta de Objetivos de Control de TI de

alto nivel y de una estructura general para su clasificacin y
presentacin. La teora subyacente para la clasificacin seleccionada se refiere a que existen, en esencia, tres niveles de
actividades de TI al considerar la administracin de sus recursos.
I
eT
sd
o
rs
cu
Re
Con lo anterior como marco de referencia, los dominios son

identificados utilizando las palabras que la gerencia utilizara
en las actividades cotidianas de la organizacin y no la
jerga15 del auditor -. Por lo tanto, cuatro grandes dominios
son identificados: planeacin y organizacin, adquisicin e
implementacin; entrega y soporte y monitoreo.
Procesos
Actividades
Por lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos estratgicos: (1) recursos de TI, (2)
requerimientos de negocio para la informacin y (3) procesos de TI. Estos puntos de vista diferentes permiten al marco
referencial ser accedido eficientemente. Por ejemplo, los
gerentes de la empresa pueden interesarse en un enfoque de
calidad, seguridad o fiduciario (traducido por el marco referencial en siete requerimientos de informacin especficos).
16
15
Jerga (jargon)
Las definiciones para los dominios mencionados son las siguientes:
Y TECNOLOGAS AFINES
El siguiente diagrama ilustra este concepto:

OBJETIVOSDE
DE NEGOCIO
OBJEIVOS
NEGOCIO
Planeacin y
organizacin
Adquiscin e
implementacin
Entrega
Entrega yy
soporte
soporte
Monitoreo
Este dominio cubre la estrategia y las

tcticas y se refiere a la identificacin
de la forma en que la tecnologa de
informacin puede contribuir de la mejor manera al logro de los objetivos del
negocio. Adems, la consecucin de la
visin estratgica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una
infraestructura tecnolgica apropiadas.
Para llevar a cabo la estrategia de TI,
las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as
como implementadas e integradas dentro del proceso del negocio. Adems,
este dominio cubre los cambios y el
mantenimiento realizados a sistemas
existentes.
En este dominio se hace referencia a la
entrega de los servicios requeridos, que
abarca desde las operaciones tradicionales hasta el entrenamiento, pasando
por seguridad y aspectos de continuidad.Con el fin de proveer servicios,
debern establecerse los procesos de
soporte necesarios. Este dominio incluye el procesamiento de los datos por
sistemas de aplicacin, frecuentemente
clasificados como controles de aplicacin.
PO1
Definir un Plan Estratgico de

Tecnologa de Informacin
Definir la Arquitectura de Informacin
Determinar la direccin tecnolgica
Definir la Organizacin y de las
Relaciones de TI
PO5 Manejar la Inversin en Tecnologa de
Informacin
PO6 Comunicar la direccin y aspiraciones de
la gerencia
PO7 Administrar Recursos Humanos
PO8 Asegurar el Cumplimiento de
Requerimientos Externos
PO9 Evaluar Riesgos
PO10 Administrar proyectos
PO11 Administrar Calidad
COBIT
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditora independiente
INFORMACION
MONITOREO
PO2
PO3
PO4
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
PLANEACION Y
ORGANIZACION
RECURSOS DE TI
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
ENTREGA Y
SOPORTE
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
Definir Niveles de Servicio

Administrar Servicios prestados por Terceros
Administrar Desempeo y Capacidad
Asegurar Servicio Continuo
Garantizar la Seguridad de Sistemas
Identificar y Asignar Costos
Educar y Entrenar a los Usuarios
Apoyar y Asistir a los Clientes de TI
Administrar la Configuracin
Administrar Problemas e Incidentes
Administrar Datos
Administrar Instalaciones
Administrar Operaciones
ADQUISICION E
IMPLEMENTACION
AI1 Identificar Soluciones

AI2 Adquirir y Mantener Software de
Aplicacin
AI3 Adquirir y Mantener Arquitectura de
Tecnologa
AI4 Desarrollar y Mantener Procedimientos
relacionados con TI
AI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios
Todos los procesos necesitan ser evaluados

regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control.
En resumen, los Recursos de TI necesitan ser administrados

por un conjunto de procesos agrupados en forma natural, con
el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos.
17
COBIT
Debe tomarse en cuenta que estos procesos pueden ser aplicados a diferentes niveles dentro de una organizacin. Por ejemplo, algunos de estos procesos sern aplicados al nivel corporativo, otros al nivel de la funcin de servicios de informacin,
otros al nivel del propietario de los procesos de negocio.
Secundario
es el grado al cual el objetivo de control definido satisface nicamente de

forma indirecta o en menor medida el
requerimiento de informacin de inters.
Tambin debe ser tomado en cuenta que el criterio de efectividad de los procesos que planean o entregan soluciones a los
requerimientos de negocio, cubrirn algunas veces los criterios
de disponibilidad, integridad y confidencialidad. en la prctica, se han convertido en requerimientos del negocio. Por
ejemplo, el proceso de identificar soluciones automatizadas
deber ser efectivo en el cumplimiento de requerimientos de
disponibilidad, integridad y confidencialidad.
Blanco (vaco)
podra aplicarse; sin embargo, los requerimientos son satisfechos ms apropiadamente por otro criterio en este
proceso y/o por otro proceso.
Resulta claro que las medidas de control no satisfarn necesariamente los diferentes requerimientos de informacin del
negocio en la misma medida. Se lleva a cabo una clasificacin
dentro del marco referencial COBIT basada en rigurosos informes y observaciones de procesos por parte de investigadores,
expertos y revisores con las estrictas definiciones determinadas previamente.
Primario
18
Similarmente, todas las medidas de control no necesariamente

tendrn impacto en los diferentes recursos de TI a un mismo
nivel. Por lo tanto, el Marco Referencial de COBIT indica
especficamente la aplicabilidad de los recursos de TI

que son administrados en forma especfica por el proceso bajo consideracin (no por aquellos que simplemente
toman parte en el proceso). Esta clasificacin es hecha
dentro el Marco Referencial de COBIT basado en el mismo proceso riguroso de informacin proporcionada por
los investigadores, expertos y revisores, utilizando las
definiciones estrictas indicadas previamente.
es el grado al cual el objetivo de control definido impacta directamente el

requerimiento de informacin de inters.
Y TECNOLOGAS AFINES
GUA PARA LA UTILIZACIN DEL MARCO RREFERENCIAL Y LOS

OBJETIVOS DE CONTROL COBIT
PERSPECTIVAS DIFERENTES; ENFOQUES
DIFERENTES
El marco referencial conceptual puede ser enfocado desde
tres puntos estratgicos:
1) recursos de TI, 2) requerimientos de negocio para la informacin y 3) procesos de TI. Estos puntos de vista diferentes
permiten al marco referencial ser accedido eficientemente.
Por ejemplo, los gerentes de la empresa pueden interesarse
en un enfoque de calidad, seguridad o fiduciario (traducido
por el marco referencial en siete requerimientos de informacin especficos). Un Gerente de TI puede desear considerar
recursos de TI por los cuales es responsable. Propietarios de
procesos, especialistas de TI y usuarios pueden tener un inters en procesos particulares. Los auditores podrn desear
enfocar el marco referencial desde un punto de vista de cobertura de control.
Actividades
Tecnologa
Procesos
Gente
Procesos de TI
Dominios
s
d
d
rio
da
a
i
da
i
uri
l
c
g
a
u
C
Se
Fid
Instalaciones
Datos
Criterios de informacin
MARCO REFERENCIAL COBIT

El marco referencial COBIT ha sido limitado a objetivos de
control de alto nivel en forma de necesidades de negocio
dentro de un proceso de TI particular, cuyo logro es posible
a travs de un establecimiento de controles, para el cual deben considerarse controles aplicables potenciales.
Los Objetivos de Control de TI han sido organizados por
proceso/actividad, pero tambin se han proporcionados ayudas de navegacin no solamente para facilitar la entrada a
partir de cualquier punto de vista estratgico como se explic anteriormente, sino tambin para facilitar enfoques combinados o globales, tales como instalacin/implementacin
de un proceso, responsabilidades gerenciales globales para
un proceso y utilizacin de recursos de TI por un proceso.
Tambin deber tomarse en cuenta que los Objetivos de
Control COBIT han sido definidos en una manera genrica,
por ejemplo, sin depender de la plataforma tcnica, aceptando el hecho de que algunos ambientes de tecnologa especiales pueden requerir una cobertura separada para objetivos de
control.
El control de
Proceso de TI
de
os
s
r
cu
Re
Que satisface
Requerimiento Es habilitado por
de Negocio
Declaracin de
Considerando
Control
Prcticas de
Control
19
COBIT
efe
cti
vi
efi dad
c
co ien
nfi
de cia
nc
int ialid
eg ad
dis rida
po d
n
cu ibilid
m
pli ad
co mie
nfi nt
ab o
ilid
ad
AYUDAS DE NAVEGACIN
Para facilitar el empleo eficiente de los objetivos de control
como soporte a los diferentes puntos de vista, se proporcionan algunas ayudas de navegacin como parte de la presentacin de los objetivos de control de alto nivel. Se proporciona una ayuda de navegacin para cada una de las tres dimensiones del marco referencial COBIT - procesos, recursos y
criterios -
P
Planeacin &
Organizacin
Criterios de
Informacin
Dominios
De TI
Adquisicin &
Implementacin
Entrega &
Soporte
TI
Recursos
Monitoreo
Tres puntos de posicin
ge
ap nte
lica
c
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P
Los dominios son identificados ubicando la siguiente figura

en la esquina superior derecha de cada pgina en la seccin
de Objetivos de Control, agrandando y haciendo ms visible
el dominio bajo revisin.
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Una segunda mini matriz en la esquina inferior derecha en la

seccin de Objetivos de Control identifica los recursos de TI que
son administrados en forma especfica por el proceso bajo consideracin - no aquellos que simplemente toman parte en el proceso -. Por ejemplo, el proceso administracin de informacin se
concentra particularmente en la integridad y confiabilidad de los
recursos de datos, mientras que disponibilidad y confidencialidad
son primariamente proporcionadas por los procesos que administran los recursos que utilizan los datos (Ej. Aplicaciones y tecnologa).
20
PP
ge
ap nte
lica
c
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
La clave para el criterio de informacin ser proporcionado

la esquina superior izquierda en la seccin de Objetivos de
Control mediante la siguiente mini matriz, la cual identificar cul criterio y en qu grado (primario o secundario) es
aplicable a cada Objetivo de Control de TI de alto nivel.
efe
cti
vi
efi dad
c
co ien
nfi
de cia
nc
int ialid
eg ad
dis rida
po d
n
cu ibilid
m
pli ad
co mie
nfi nt
ab o
ilid
ad
Monitoreo
Y TECNOLOGAS AFINES
TABLA RESUMEN
La siguiente tabla proporciona una indicacin, por proceso
y dominio de TI, de cules criterios de informacin tienen
impacto de los objetivos de alto nivel, as como una indicacin de cules recursos de TI son aplicables.
Recursos de TI
ef
ec
ef tivid
ici ad
e
co nc
nf ia
int iden
eg ci
dis rida alid
p d ad
cu onib
m ilid
co plim ad
nf ie
iab nt
ilid o
rerec ad
cuur
sissisrsososs
tete h
u
tecte mm
aa m
nconos ds deano
insin logloge ina s
tast a ia foprlic
mac
dada laacliac
aci
totso onion
inn
s ese
s
Criterios de Informacin
DOMINIO
Planeacin y
Organizacin
Adquisicin e
Implementacin
Entrega de servicios y
Soporte
Monitoreo
PROCESO
PO1
PO2
PO3
PO4
PO5
PO6
PO7
PO8
PO9
P010
PO11
AI1
AI2
AI3
AI4
AI5
AI6
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
M1
M2
M3
M4
Definir un plan estratgico de sistemas

Definir la arquitectura de informacin
Determinar la direccin tecnolgica
Definir la organizacin y sus relaciones
Administrar las inversiones (en TI)
Comunicar la direccin y objetivos de la gerencia
Administrar los recursos humanos
Asegurar el apego a disposiciones externas
Evaluar riesgos
Administrar proyectos
Administrar calidad
Identificar soluciones de automatizacin
Adquirir y mantener software de aplicacin
Adquirir y mantener la arquitectura tecnolgica
Desarrollar y mantener procedimientos
Instalar y acreditar sistemas de informacin
Administrar cambios
Definir niveles de servicio
Administrar servicios de terceros
Administrar desempeo y capacidad
Asegurar continuidad de servicio
Garantizar la seguridad de sistemas
Identificar y asignar costos
Educar y capacitar a usuarios
Apoyar y orientar a clientes
Administrar la configuracin
Administrar problemas e incidentes
Administrar la informacin
Administrar las instalaciones
Administrar la operacin
Monitorear el proceso
Evaluar lo adecuado del control interno
Obtener aseguramiento independiente
Proporcionar auditora independiente
P S S S S S
P S S S S S
P
S
S
P
P P S S S
P
P
P S
P
P
S
S
P P
S
P
P
P P
P P
S S
P
P
P
P
P
P
P
P
P
P
P
P
S
P
P
P
P
P
P
P
P
S
S S S
S
S
P
S
S
P
P S
S P P P S S
P
P
P
S
S
P
P
P
S
S S
S
S
S S
S S
P P
S
P
P
P
P
S
P
P
P
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
S
21
COBIT
22
Y TECNOLOGAS AFINES
INTRODUCCIN A LAS DIRECTRICES DE AUDITORA

COBIT LAS DIRECTRICES DE AUDITORA
Las Directrices de Auditora ofrecen una herramienta complementaria para la fcil aplicacin del Marco Referencial
y los Objetivos de Control COBIT dentro de las actividades de auditora y evaluacin. El propsito de las Directrices de Auditora es contar con una estructura sencilla para
auditar y evaluar controles, con base en prcticas de auditora generalmente aceptadas y compatibles con el esquema
global COBIT.
Los objetivos y prcticas individuales varan considerablemente de organizacin a organizacin y existen muchos
tipos de practicantes dedicados a actividades relacionadas
con la auditora; por ejemplo auditores externos, auditores
internos, evaluadores, revisores de calidad, y asesores tcnicos. Por estas razones, las Directrices de Auditora tienen una estructura genrica y de alto nivel.
Los auditores deben cumplir con algunos requerimientos
generales para proporcionar a los directivos y a los poseedores de los procesos de negocios, seguridad y asesora
respecto a los controles en una organizacin: ofrecer una
seguridad razonable de que se est cumpliendo con los
objetivos de control correspondientes; identificar dnde se
encuentran las debilidades significativas en dichos controles; justificar los riesgos que pueden estar asociados con
tales debilidades, y finalmente, aconsejar a estos ejecutivos
sobre las medidas correctivas que deben adoptarse. COBIT ofrece polticas claras y prcticas eficaces en materia
de seguridad y control de informacin, as como tecnologa
asociada. Por tanto, las Directrices de Auditora firmemente basados en los Objetivos de Control, toman la opinin
del auditor a partir de la conclusin de auditora, remplazndola con criterios normativos (36 normas y las mejores
prcticas (?) tomadas de normas privadas y pblicas aceptadas a nivel mundial).
Estas Directrices de Auditora proporcionan orientaciones
para preparar planes de auditora que se integran al Marco
COBIT y a los Objetivos de Control detallados. Deben ser
usados conjuntamente con estos dos ltimos, y a partir de
ah pueden desarrollarse programas especficos de auditora. Sin embargo, las Directrices no son exhaustivos ni
definitivos. No pueden incluir todo ni ser aplicables a todo, as que debern ajustarse a condiciones especficas.
No obstante, hay cuatro cosas que las Directrices no son:
2.
que considera una amplia gama de factores, incluyendo

debilidades anteriores, riesgo a la organizacin, incidentes
conocidos, nuevos acontecimientos, y seleccin de estrategias. Aun cuando el Marco y los Objetivos de Control
ofrecen algunas orientaciones, los alcances de las Directrices no incluyen una gua precisa para actividades especficas.
2.
Las Directrices de Auditora no estn diseados como

instrumento para ensear las bases de la auditora, aun
cuando incorporen los elementos normalmente aceptados
de la auditora general y de TI.
3.
Las Directrices de Auditora no pretenden explicar en

detalle la forma en que pueden utilizarse las herramientas
computarizadas para apoyar y automatizar los procesos de
auditora IT, en materia de planeacin, evaluacin, anlisis y documentacin (que incluyen las Tcnicas de Auditora Asistidas por Computadora, pero no se limitan a
ellas). Existe un enorme potencial para usar la tecnologa
de informacin dirigida a aumentar la eficiencia y efectividad de las auditoras, pero una orientacin en este sentido, tampoco est dentro de los alcances de las Directrices.
4.
Los Las Directrices de Auditora no son exhaustivos ni

definitivos, pero se desarrollarn conjuntamente con COBIT y sus Objetivos de Control detallados.
Las Directrices de Auditora COBIT permiten al auditor cotejar

los procesos especficos de TI con los Objetivos de Control
COBIT recomendados para auxiliar a los directivos a identificar en qu casos los controles son suficientes, o para asesorarlos respecto a los procesos que requieren ser mejorados.
Desde el punto de vista de los directivos, los propietarios de los
procesos harn las preguntas: Estoy haciendo lo correcto?, y si
no es as: Qu puedo hacer para corregirlo? El Marco y las
Directrices de Auditora COBIT ayudarn a responder a estas
preguntas. El enfoque ofrece una perspectiva reactiva, mientras que los auditores necesitan tambin apoyar a la directiva de
una manera proactiva. El Marco y las Directrices de Auditora pueden aplicarse igualmente en forma proactiva en las primeras etapas de los procesos y el desarrollo de proyectos, al
responder a la pregunta: What do I need so it will not need to
be fixed? (Qu es lo que necesito para no tener que ajustarlo
despus?
Las Directrices de Auditora no pretenden ser una herramienta para crear el plan y cobertura general de auditora
23
COBIT
ESTRUCTURA GENERAL DE LAS DIRECTRICES DE

AUDITORA
El modelo ms comn para evaluar el control es el modelo
de auditora. Otro enfoque que se est adoptando cada vez
ms es el modelo de anlisis de riesgos, que se cubrir hacia
el final de esta introduccin. Todos aquellos involucrados
en la evaluacin del control pueden inclinarse por cualquiera
de los dos modelos.
Los objetivos de la auditora son:
Proporcionar administracin con aseguramiento

razonable de que se estn cubriendo los objetivos
de control,
En donde existan debilidades de control significativas, justificar los riesgos resultantes, y
Aconsejar a la administracin sobre acciones correctivas

La estructura generalmente aceptada del proceso de auditora
es:
Identificacin y documentacin
Evaluacin
Pruebas de cumplimiento
Pruebas justificantes
El proceso de TI, por lo tanto, se audita mediante:
La obtencin de un entendimiento de los riesgos
relacionados con los requerimientos del negocio, y
de las medidas relevantes de control
La evaluacin de la conveniencia de los controles establecidos
La valoracin del cumplimiento
por medio de probar si los controles
establecidos estn funcionando como se espera, de manera consistente y continua
La justificacin del riesgo de que
los objetivos de control no se estn
cumpliendo mediante el uso de tcnicas analticas y/o consultando
fuentes alternativas.
Con el objetivo de brindar asistencia a la administracin en
la forma de asesora de aseguramiento, hemos desarrollado
esta estructura dentro de un marco referencial fundamentado
en los requerimientos del COBIT:
Presentacin en un enfoque de niveles
Orientacin hacia los objetivos del negocio

24
Manejado en funcin del proceso

Enfocado sobre
Los recursos que necesitan administrarse
Los criterios de informacin que se requieren
En el nivel ms alto, este enfoque general de auditora est

apoyado por:
El marco referencial de COBIT, particularmente el

resumen con la clasificacin de procesos de TI, los
criterios de informacin aplicables y los recursos
de TI (vea la pgina 21)
Los requerimientos para el proceso de auditora

mismo (vea la seccin Requerimientos del Proceso
de Auditora en la pgina 26)
Los requerimientos genricos para la auditora de

procesos de TI (vea la seccin Directrices de Auditora Genricos de TI, pgina 27)
Los principios generales de control (vea la seccin

Observaciones del Proceso de Control, pgina 27)
El segundo nivel est compuesto por las Directrices detallados de auditora para cada uno de los procesos de TI como
se muestra en la seccin principal de esta publicacin.
Las Directrices han sido presentados en una plantilla estndar que sigue la estructura general de Obtencin, Evaluacin, Valoracin y Justificacin. Esta plantilla ha sido aplicada a las Directrices de Auditora Genricos de TI, as como tambin a las Directrices de Auditora Detallados.
En el tercer y ltimo nivel, el auditor puede complementar
las Directrices de Auditora para cubrir las condiciones locales, conduciendo la fase de planeacin de auditora con puntos de atencin de auditora que influyen sobre los objetivos
detallados de control mediante:
Criterios especficos del sector
Estndares de la industria
Elementos especficos de la plataforma
Tcnicas detalladas de control empleadas

De importancia para este nivel est el hecho de que los objetivos de control no son necesariamente aplicables siempre y
en cualquier lugar. Por lo tanto se sugiere que se realice una
evaluacin de riesgos de alto nivel para determinar sobre qu
objetivos se necesita enfocarse especficamente y cules
pueden ignorarse.
Todos estos elementos se ofrecen para apoyar la planeacin

y la realizacin de las auditoras de TI, y para una mejor
aplicacin integrada de los lineamientos detallados de auditora. Los lineamientos no son exhaustivos y no son aplicables universalmente.
Y TECNOLOGAS AFINES
El nivel de informacin de apoyo (lineamientos genricos,

requerimientos del proceso de auditora y observaciones de
control) ayudar a los auditores a desarrollar el programa de
auditora que necesitan.
ESTRUCTURA DETALLADA PARA LA APLICACIN DE LAS DIRECTRICES DE AUDITORA

Nivel 1
Enfoque general de auditora de TI
Marco Referencial de COBIT

Requerimientos del Proceso de Auditora
Observaciones de Control
Directriz General de Auditora
Directrices de Auditora detallados
Condiciones Locales
Criterios especficos del sector
Estndares de la industria
Elementos especficos de la plataforma
Tcnicas detalladas de control utilizadas
Nivel 2
Directrices del proceso de auditora
Nivel 3
Puntos de atencin de auditora para
complementar los objetivos detallados
de control
REQUERIMIENTOS DEL PROCESO DE AUDITORA

Una vez definido qu vamos a auditar y sobre qu vamos a
proporcionar aseguramiento, tenemos que determinar el enfoque o estrategia ms apropiado para llevar a cabo el trabajo de
auditora. Primero tenemos que determinar el alcance correcto
de nuestra auditora. Para lograrlo, necesitamos investigar,
analizar y definir:
Los procesos del negocio involucrados;

Las plataformas y los sistemas de informacin que
estn apoyando el proceso del negocio, as como la
interconectividad con otras plataformas o sistemas;
Los papeles y responsabilidades definidas de TI,
incluyendo qu ha sido realizado por fuentes internas
y externas; y
Los riesgos asociados del negocio y las decisiones
estratgicas.
El siguiente paso es identificar los requerimientos de informacin que tienen una relevancia particular con respecto a los
procesos del negocio. Luego necesitaremos identificar los
riesgos inherentes de TI, as como el nivel general de control
que puede asociarse con el proceso del negocio. Para lograrlo,
identificamos:
Los cambios recientes en el ambiente del negocio

que tienen impacto sobre TI;
Los cambios recientes al ambiente de TI, nuevos

desarrollos, etc.;
Los incidentes recientes relevantes para los controles

y el ambiente del negocio;
Los controles de monitoreo de TI aplicados por la

administracin;
Los reportes recientes de auditora y/o certificacin;

y
Los resultados recientes de autoevaluaciones.
25
COBIT
Basndonos en la informacin obtenida, ahora podemos seleccionar los procesos relevantes de COBIT, as como tambin los recursos que aplican a los mismos. Esto pudiera
requerir que ciertos procesos de COBIT necesiten auditarse
varias veces, cada vez para una plataforma o sistema distinto.
La persona deber determinar una estrategia de auditora
basndose en el plan detallado de auditora que deber ela-
borarse con ms profundidad, por ejemplo, si uno busca un

enfoque basado en controles o un enfoque sustantivo.
Finalmente, necesitan considerarse todos los pasos, tareas y
puntos de decisin para llevar a cabo la auditora. Un ejemplo de un proceso genrico de auditora (con pasos, tareas y
puntos de decisin), que sigue la plantilla estndar, se proporciona en el Apndice IV.
REQUERIMIENTOS DEL PROCESO DE AUDITORA
Definir el alcance de la auditora
procesos del negocio involucrados

plataformas, sistemas y su interconectividad, que
apoyan el procesos
papels, responsabilidades y estructura organizacional
Identificar los requerimientos de informacin relevantes para el proceso del negocio
revelancia para el proceso del negocio
Identificar los riesgos inherentes de TI y el nivel

general de control
cambios recientes e incidentes en el ambiente del negocio y de la tecnologa

resultados de auditoras, autoevaluaciones, y certificacin
controles de monitores aplicados por la administracin
Selccionar procesos y plataformas para auditar
procesos
recursos
Fijar una estrategia de auditora
Controles de riesogo x
Pasos y tareas
Puntos de decisin
DIRECTRIZ GENERAL DE AUDITORA DE TI
OBSERVACIONES DEL PROCESO DE CONTROL
La plantilla en la pgina 28 presenta los requerimientos genricos para auditar procesos de TI para brindar el primer
nivel de lineamientos de auditora, generalmente aplicables a
todos los procesos. Est primordialmente orientado hacia la
comprensin del proceso y la determinacin de la propiedad
y deber ser el fundamento y el marco referencial para todos
los lineamientos detallados de auditora.
Esta misma plantilla luego se aplica a los 34 procesos que se
identifican en el Marco Referencial de COBIT.
Los principios generales de control tambin pueden proporcionar una gua adicional sobre cmo complementar las Directrices de Auditora. Estos principios estn primordialmente enfocados sobre el proceso y las responsabilidades del
control, los estndares de control y los flujos de la informacin de control.
El control, desde el punto de vista de la administracin, se
define como el determinar qu se est logrando; esto es, evaluar el desempeo y si es necesario aplicar medidas correctivas para que el desempeo tome lugar de acuerdo con lo
planeado.
26
El proceso de control consiste de cuatro pasos. Primero, s

especfico un estndar de desempeo deseado para un proceso. Segundo, existe un medio de saber qu esta sucediendo
en el proceso, por ejemplo, el proceso proporciona informacin de control a una unidad de control. Tercero, la unidad
de control compara la informacin con el estndar. Cuarto,
si lo que realmente est sucediendo no cumple con el estndar, la unidad de control dirige aquella accin correctiva a
tomar, en forma de informacin para el proceso. A partir de
este modelo, las siguientes observaciones de control pueden
resultar relevantes para la auditora:
1. Para que este modelo funcione, la responsabilidad por
el proceso del negocio (o en este caso, de la TI) debe
ser claro y la responsabilidad no debe ser ambigua. Si
no es as, la informacin de control no fluir y no podr
tomarse accin correctiva.
2. Los estndares pueden ser de una amplia variedad, desde planes y estrategias de alto nivel hasta indicadores
clave de desempeo (KPI - Key Performance Indicators) y factores crticos de xito (CSF Critical Success
Factors). Los estndares claramente documentados,
mantenidos y comunicados son necesarios para un buen
proceso de control. La responsabilidad clara por la custodia de dichos estndares tambin es un requerimiento
para un buen control.
3. El proceso de control tiene los mismos requerimientos:
bien documentado en cuanto a cmo funciona y con
responsabilidades claras. Un aspecto importante es la
clara definicin de lo que constituye una desviacin,
esto es, cules son los lmites de desviacin.
4. La oportunidad, integridad y conveniencia de la informacin de control, as como tambin otra informacin,
son bsicas para el buen funcionamiento de un sistema
de control y es algo que el auditor debe tratar.
Tanto la informacin de control como la informacin de
accin correctiva tendrn requerimientos como evidencia,
con el fin de establecer la responsabilidad despus del evento.
Y TECNOLOGAS AFINES
Acto
Normas
Estndares
KPI / CSF
Comparacin
Proceso
Informacin
De Control
27
COBIT
DIRECTRIZ GENERAL DE AUDITORA
OBTENCIN DE UN ENTENDIMIENTO
Los pasos de auditora a realizar para documentar las actividades subyacentes a los objetivos de control, as como tambin identificar las medidas/procedimientos de control establecidas.
Etrevistar al personal adminstrativo y de staff indicado para lograr la comprensin de:
Los requerimientos del negocio y los riesgos asociados
La estructura organizacianal
Los papels y responsabilidades
Las medidas de control establecidas
La actividad de reporte a la administracin (estatus, desempeo, acciones)
Documentar los recursos de TI relacionados con el proceso que se ven especialmente afectados por el proceso bajo revisin. Confirmar el entendimiento del proceso bajo revisin, los Indicadores Clave de Desempeo (KPI) del proceso, las implicacones de
control, por ejemplo, mediante una revisin paso a paso del proceso.
EVALUACIN DE LOS CONTROLES

Los pasos de auditora a realizar en la evaluacin de la eficacia de las medidas de control establecidas o el grado en el que se
logra el objetivo de control. Bsicamente, decidir qu se va a probar, si se va a probar y cmo se va a probar.
Evaluar la conveniencia de las medidas de control para el proceso bajo revisin mediante la consideracin de los criterios indentificados y las prcticas estndares de la industria, los Factores Crticos de xito (CSF) de las medidas de control y la aplicacin
del juicio profesional de auditor.
Existen procesos documentados
Existen resultados apropiados
La responsabilidad y es clara y eficaz
Existen controles compensatorios, en donde es necesario
Concluir el grado en el que se cumple el objetivo de control.
VALORACIN DEL CUMPLIMIENTO

Los pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como es debido, de
manera consistente y contiua, y concluir sobre la conveniencia de ambiente de control.
Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta.
Realizar una revisin limitada de la suficiencia de los resultados del proceso.
Determinar el nivel de pruebas justificantes y trabajo adicianal necesarios para asegurar que el proceso de TI es adecuado.
JUSTIFICAR EL RIESGO
Los pasos de auditora a realizar para justificar el riesgo de que no se cumpla el objetivo de control mendiante el uso de tcnicas
analticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinin e impresionar a la administratcin para que
tome accin. Los auditores tienen que ser creativos para encontrar y presentar esta informacin que con frecuencia es susceptible y confidencial.
Documentar las debilidades del control y las amenazas y vulnerabilidades resultantes.
Identifcar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-raz.
Brindar informacin comparativa; por ejemplo, mediante puntos de referencia.
28

Plan
Accin
Y TECNOLOGAS AFINES
Verificacin
Estratgico
Reporte
Tctico
Reporte
Administrativo
Correccin
Los controles tambin operan en diferentes niveles dentro
del ciclo tradicional de Planear-Hacer-Verificar-Corregir con
el que la administracin se siente cmoda. Este modelo ilustra:
La secuencia lgica de planear-hacer-verificar y

corregir el plan si es necesario:
Cmo sucede esto a nivel estratgico, tctico y

administrativo;
Las diversas relaciones laterales y horizontales
El hacer estratgico da como resultado planeacin tctica; el hacer tctico da como

resultado planeacin administrativa;
Las actividades de verificar y hacer cooperan e influyen continuamente una con

otra; y
La actividad administrativa de verificar

reporta a verificar tctico, quien a su vez
reporta a verificar estratgico.
Cuando se evalan mecanismos de control, los revisores
debern estar conscientes de que estos controles operan en
estos diferentes niveles y de que tienen relaciones intrnsecas. La orientacin hacia el proceso de COBIT proporciona
algunas indicaciones acerca de los diferentes procesos de
control, niveles e interrelaciones, pero la implantacin o valoracin real de los sistemas de control requiere tomar en
cuenta esta compleja dimensin adicional.
RESUMEN
En breve, las Directrices de Auditora detallados siempre
pueden complementarse tomando en cuenta el Lineamiento
Genrico y el proceso bajo revisin, y obteniendo tareas de
auditora adicionales para lograr el objetivo de auditora. El
desarrollo del programa de auditora en s puede beneficiarse
de tomar en consideracin los requerimientos del proceso de
auditora de TI, el Marco Referencial de COBIT y los Objetivos de Control de Alto Nivel, y las Consideraciones de Control que se muestran aqu.
RELACIN ENTRE LOS OBJETIVOS DE
RECTRICES DE AUDITORA
CONTROL Y LAS DI-
Los objetivos han sido desarrollados a partir de una orientacin al proceso porque la administracin est buscando asesora a proactivo sobre cmo tratar el problema de mantener
TI bajo control. Los Objetivos de Control ayudan a la administracin a establecer el control sobre el proceso, las Directrices de Auditora ayudan al auditor o asesor a asegurar que
el proceso est realmente bajo control, de tal manera que los
requerimientos de informacin necesarios para lograr los
objetivos del negocio sern satisfechos.
La relacin entre estos dos conceptos es el proceso, por lo
que las Directrices de Auditora han sido desarrollados para
cada uno de los procesos, en oposicin para cada uno

de los objetivos de control.
29
COBIT
Marco de Referencia de Control
efec
Observaciones de Control
Adquisicin &
Implementacin
in
dis tegr
po idad
nib
cu ilidad
m
plim
co ient
nfi
abil o
idad
tiv
idad
co
nfi efici
den en
cia cia
lid
ad
Requerimientos de
Proceso de Auditoria
Acto
Planeacin &
Organizacin
Entrega &
Soporte
Normas
Estndares
KPI / CSF
Monitoreo
El control de
Comparacin
Proceso
Proceso de TI
Lo cual satisface
Requerimientos
de negocio
Informacin de
Control
es posible por
Los Estatutos
de Control
considerando las
Prcticas de
Control
ap
licac ge
ione nte
tecns
ol
facil oga
idad
es
da
tos
Lineamientos
Detallados de Auditoria
Lineamiento
General de Auditoria
identificar
evaluar
Uso en
comunicacin
probar
establecer
En cuanto al marco referencial de control representado por el

modelo de cascada, las Directrices de Auditora pueden verse como los elementos que proporcionan retroalimentacin a
partir de los procesos de control para los objetivos del negocio. Los objetivos de control son la gua que baja por la cascada para tener el proceso de TI bajo control. Las Directrices de Auditora son la gua para regresar a la parte superior
de la cascada con la pregunta: Hay seguridad de que se
logre el objetivo del negocio? Algunas veces, las Directrices de Auditora son traducciones literales de los Objetivos
de Control; con mayor frecuencia, las Directrices buscan la
evidencia de que el proceso est bajo control.
OPORTUNIDADES Y RETOS PARA LAS TAREAS DE EVALUACIN
La utilizacin del Marco Referencial, los Objetivos de Control y las Directrices de Auditora como fundamento para la
tarea de auditora/valoracin nos presenta algunas ventajas
definitivas:
30
Permite dar prioridad a las actividades de auditora

y reas bajo revisin, utilizando las calificaciones
Primaria y Secundaria de los criterios de informacin;
Conduce a reas de investigacin que normalmente sin un marco referencial o modelo- no seran
tratadas;Puede desarrollarse una planeacin y secuencia de entrevistas ms lgica conforme los
auditores avanzan en el proceso;
Las investigaciones pueden enfocarse utilizando el

indicador de qu recurso es ms importante en qu
proceso; y
Como un estndar para definir las reas de TI auditables para el plan estratgico de auditora, con
el fin de asegurar
La cobertura eficaz de la auditora
La adquisicin/desarrollo oportuno de las

habilidades necesarias para la auditora.
Sin embargo, existen algunos retos en cuanto a la integracin del marco referencial y de los objetivos dentro del trabajo de auditora:
El cambio nunca es fcil (actitud, conjunto de

herramientas, conjunto de habilidades, ...);
La naturaleza detallada hace difcil la aplicacin

inicial, especialmente cuando se est verificando la
consumacin y aplicabilidad de los objetivos de
control para el rea bajo revisin;
Existe un grado necesario de repeticin en las Directrices de Auditora porque rara vez hay una relacin
uno-a-uno entre el objetivo de control y los mecanismos de control, un mecanismo contribuye de varias
maneras avarios objetivos, un objetivo necesitando
de varios mecanismos para poder lograrlo; y
Refuerza cierto formalismo (por ejemplo, registrar

informacin previa) que puede parecer innecesario.
ANLISIS DE RIESGOS COMO UN ENFOQUE ALTERNATIVO

DE EVALUACIN
El balance entre costo y riesgo es el siguiente problema a
tratar, esto es, tomar una decisin consciente de cmo se va
implementar cada uno de los objetivos de control y si se van
a implementar. Los enfoques de anlisis de riesgos tratan
esta decisin, a pesar de que permanece el principio proactivo; los objetivos de control debern aplicarse en primera
instancia para lograr unos criterios de control de informacin
(eficacia, eficiencia, confidencialidad, disponibilidad, integridad, cumplimiento y confiabilidad). Es evidente que la
administracin necesita utilizar alguna forma de evaluacin
de riesgos del negocio para definir las medidas a implementar (vea CO PO9). Los auditores tambin realizarn alguna
forma de evaluacin de riesgos cuando elijan los dominios
del proceso y los objetivos de control para la revisin.
Un enfoque comnmente aceptado para el anlisis de riesgos
en TI es el siguiente:
El modelo comienza
a partir de la valoracin de los activos, que dentro del Marco
Referencial de COBIT consiste en la informacin que tiene
Y TECNOLOGAS AFINES
los criterios requeridos para ayudar a lograr los objetivos del

negocio (incluyendo todos los recursos necesarios para producir dicha informacin). El siguiente paso es el anlisis de
vulnerabilidad que trata de la importancia de los criterios de
informacin dentro del proceso bajo revisin, por ejemplo, si
un proceso del negocio es vulnerable a la prdida de integridad, entonces se requieren medidas especficas. Luego se
tratan las amenazas, esto es, aquello que puede provocar una
vulnerabilidad. La probabilidad de la amenaza, el grado de
vulnerabilidad y la severidad del impacto se combinan para
concluir acerca de la evaluacin del riesgo. Esto es seguido
por la seleccin de contramedidas (controles) y una evaluacin de su eficacia, que tambin identifica el riesgo residual.
La conclusin es un plan de accin despus del cual el ciclo
puede comenzar nuevamente.
El resultado de un anlisis de vulnerabilidad es la identificacin de amenazas

relevantes y el resultado de un anlisis de amenazas es la identificacin de
vulnerabilidades relevantes.
Marco Referencial del Anlisis de Riesgo

Valuacin
de Activos
Evaluacin de
Vulnerabilidad
Evaluacin
de Riesgo
ContraMedidas
Evaluacin
del Riesgo
Plan de
Accin
Evaluacin
del Control
Riesgo
Residual
31
COBIT
32
LINEAMIENTOS DE AUDITORA
Y TECNOLOGAS AFINES
33
COBIT
34
Y TECNOLOGAS AFINES
PLANEACIN & ORGANIZACIN
35
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO1
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi nt
ab o
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Control sobre el proceso de TI de:

Definicin de un plan Estratgico de Tecnologa de Informacin
que satisface los requerimientos de negocio de:
Monitoreo
Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos de TI de negocio, as como para asegurar sus logros futuros.
se hace posible a travs de:
un proceso de planeacin estratgica emprendido en intervalos regulares dando lugar a planes a largo plazo. Los planes a
largo plazo debern ser traducidos peridicamente en planes
operacionales estableciendo metas claras y concretas a corto
plazo:
y toma en consideracin:
definicin de objetivos de negocio y necesidades de TI

inventario de soluciones tecnolgicas e infraestructura actual
servicios de vigilancia tecnolgica21
cambios organizacionales
estudios de factibilidad oportunos
evaluacin de sistemas existentes
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
21
36
Vigilancia tecnolgica (technology watch)
PO 1
Y TECNOLOGAS AFINES
DEFINIR UN PLAN ESTRATGICO DE TECNOLOGA DE INFORMACIN
OBJETIVOS DE CONTROL
1
Tecnologa de Informacin como parte del Plan a largo y corto plazo
Plan a largo plazo de Tecnologa de Informacin
Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura
Cambios al Plan a largo plazo de Tecnologa de Informacin
Planeacin a corto plazo para la Funcin de Servicios de Informacin
Evaluacin de los sistemas existentes
TANTO LOS OBJETIVOS DE CONTROL DETALLADOS COMO LOS DE ALTO NIVEL SON AUDITADOS MEDIANTE:
La obtencin de un entendimiento a travs de:
Entrevistas:
Director General
Director de Operaciones
Director de Finanzas
Director de TI
Miembros del comit planeador de la funcin de servicios de informacin.
Presidencia y personal de recursos humanos de la funcin de servicios de informacin
Obteniendo:
Polticas y procedimientos inherentes al proceso de planeacin.
Tareas y responsabilidades de planeacin de la Presidencia.
Objetivos y planes a corto y largo plazo organizacionales.
Objetivos y planes a corto y largo plazo de tecnologa de informacin.
Reportes de estatus y minutas de las reuniones del comit planeador.
Evaluar los controles::
Considerando s:
Las polticas y procedimientos de negocios de la funcin de servicios de informacin siguen un enfoque de planeacin
estructurado. Se ha establecido una metodologa para formular y modificar los planes y que cubran, como mnimo:
misin y las metas de la organizacin
iniciativas de tecnologa de informacin para soportar la misin y las metas de la organizacin
oportunidades para las iniciativas de tecnologa de informacin
estudios de factibilidad de las iniciativas de tecnologa de informacin
evaluacin de los riesgos de las iniciativas de tecnologa de informacin
inversin ptima de las inversiones en tecnologa de informacin actuales y futuras
reingeniera de las iniciativas de tecnologa de informacin para reflejar los cambios en la misin y las metas
de la organizacin.
evaluacin de las estrategias alternativas para las aplicaciones de datos, tecnologa y organizacin
37
COBIT
Los cambios organizacionales, la evolucin tecnolgica, los requerimientos regulatorios, la reingeniera de los procesos de
negocios, las fuentes externas e internas, etc. estn siendo consideradas y dirigidas adecuadamente en el proceso de
planeacin.
Existen planes de tecnologa de informacin a corto y largo plazo, si stos son actuales, estn dirigidos adecuadamente a la
empresa en general, si su misin y proyectos de tecnologa de informacin para las funciones clave de negocios estn
soportados por la documentacin apropiada segn lo definido en la metodologa de planeacin de tecnologa de informacin.
Existen puntos de revisin para asegurar que los objetivos de tecnologa de informacin y los planes a corto y largo plazo
continan satisfaciendo los objetivos y los planes a corto y largo plazo organizacionales.
Los propietarios de procesos y la Presidencia de los planes de tecnologa de informacin llevan a cabo revisiones y aprobaciones formales.
El plan de la tecnologa de informacin evala los sistemas de informacin existentes en trminos del grado de automatizacin, funcionalidad, estabilidad, complejidad, costos, fortalezas y debilidades del negocio.
Evaluar la suficiencia:
8
Probando que:
Las minutas de las reuniones del comit planeador de la funcin de servicios de informacin reflejan el proceso de planeacin.
Los elementos entregables y liberables de la metodologa de planeacin existen segn lo indicado.
Se incluyen iniciativas de tecnologa de informacin en los planes a corto y largo plazos de la funcin de servicios de
informacin (por ejemplo, cambios de hardware, planeacin de capacidad, arquitectura de informacin, desarrollo
u obtencin de nuevos sistemas, planeacin de recuperacin en caso de desastre, instalacin de plataformas para
nuevos procesamientos, etc.).
Las iniciativas de tecnologa de informacin soportan la investigacin, el entrenamiento, la asignacin de personal, las
instalaciones, el hardware y el software.
Se hayan identificado las implicaciones para las iniciativas de tecnologa de informacin
Se haya tomado en consideracin la optimizacin de inversiones de tecnologa de informacin actuales y futuras
Los planes a corto y largo plazo de tecnologa de informacin son consistentes con los planes a corto y largo plazo de
la organizacin, as como con los requerimientos de sta.
Se han modificado los planes para reflejar condiciones cambiantes.
Los planes a largo plazo de tecnologa de informacin son traducidos peridicamente en planes a corto plazo.
Existen tareas para implementar los planes.
38
Y TECNOLOGAS AFINES
Evaluar el riesgo de los objetivos de control no cumplidos:

8
Llevando a cabo:
Mediciones ("Benchmarking") de planes estratgicos de tecnologa de informacin contra organizaciones similares o
buenas prcticas industriales reconocidas/estndares internacionales apropiados.
Una revisin detallada de los planes de TI para asegurar que las iniciativas de tecnologa de informacin reflejen la
misin y las metas de la organizacin.
Una revisin detallada de los planes de TI para determinar si, como parte de las soluciones de tecnologa de informacin contenidas en los planes, se han identificado reas de debilidad dentro de la organizacin que requieren ser
mejoradas.
Identificando:
Fallas en la tecnologa de informacin para satisfacer la misin y las metas de la organizacin.
Fallas en la tecnologa de informacin para concordar los planes a corto y largo plazo.
Fallas en la tecnologa de informacin para satisfacer planes a corto plazo.
Fallas en la tecnologa de informacin para satisfacer lineamientos de costos y tiempos.
Oportunidades de negocios no aprovechadas.
Oportunidades de tecnologa de informacin no aprovechadas.
39
COBIT
PO2
efe
cti
v
efi idad
c
co ie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Definicin de la Arquitectura de Informacin
Monitoreo
organizar de la mejor manera los sistemas de informacin

la creacin y mantenimiento de un modelo de informacin
de negocios y asegurando que se definan sistemas apropiados para optimizar la utilizacin de esta informacin
documentacin
diccionario de datos
reglas de sintaxis de datos
propiedad de la informacin y clasificacin de
severidad22
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
22
40
Severidad (criticality)
PO 2
Y TECNOLOGAS AFINES
DEFINICIN DE LA ARQUITECTURA DE INFORMACIN
1
2
3
4
Modelo de la Arquitectura de Informacin

Diccionario de Datos y Reglas de Sintaxis de Datos de la Corporacin
Esquema de Clasificacin de Datos
Niveles de Seguridad
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON

AUDITADOS AL:
Entrevistas:
Director de TI
Miembros del comit planeador de la funcin de servicios de informacin.
Presidencia de la funcin de servicios de informacin.
Funcionario de Seguridad
Obteniendo:
Polticas y procedimientos sobre la arquitectura de informacin.
Modelo de la arquitectura de informacin.
Documentos que soporten el modelo de la arquitectura de informacin, incluyendo el modelo de datos corporativo.
Diccionario de datos corporativo
Poltica de propiedad de datos
Funciones y responsabilidades de planeacin de la Presidencia.Objetivos y planes a corto y largo plazo de
tecnologa de informacin
Reporte de estatus y minutas de las reuniones del comit planeador
Considerando s:
Las polticas y procedimientos de la funcin de los servicios de informacin dirigen el desarrollo y mantenimiento del
diccionario de datos.
El proceso utilizado para actualizar el modelo de la arquitectura de informacin toma como base los planes a corto y
largo plazo, considera los costos y riesgos asociados y asegura que las aprobaciones formales de la Presidencia
sean obtenidas antes de hacer modificaciones al modelo.
Se utiliza algn proceso para mantener actualizados el diccionario de datos y las reglas de sintaxis de datos.
Se utiliza algn medio para distribuir el diccionario de datos para asegurar que ste sea accesible para las reas de desarrollo y que los cambios sean reflejados inmediatamente.
41
COBIT
Las polticas y procedimientos de la funcin de servicios de informacin dirigen la clasificacin de los datos, incluyendo categoras de seguridad y propiedad de datos, y si las reglas de acceso para las clases de datos estn claras y
apropiadamente definidas.
Los estndares definen la clasificacin "default" para los activos de datos que no contienen un identificador de clasificacin.
Las polticas y procedimientos de la funcin de servicios de informacin dirigen lo siguiente:
la existencia de un proceso de autorizacin que requiera que el propietario de los datos (tal como lo define la
poltica de propiedad de datos) autorice todos los accesos a stos datos, as como los atributos de seguridad
de los mismos.
los niveles de seguridad estn definidos para cada clasificacin de datos.
los niveles de acceso estn definidos y sean apropiados para la clasificacin de datos.
el acceso a datos delicados requiera de niveles de acceso explcitos y que los datos sean nicamente proporcionados si existe una verdadera necesidad de acceder a ellos.
8
Probando que:
Estn identificados los cambios realizados al modelo de arquitectura de informacin para confirmar que dichos cambios reflejan la informacin de los planes a largo y corto plazo, as como los costos y los riesgos.
La evaluacin del impacto de cualquier modificacin realizada al diccionario de datos y cualquier cambio realizado al
diccionario de datos para asegurar que stos han sido comunicados efectivamente.
Varios sistemas de aplicacin operacional y proyectos de desarrollo para confirmar que el diccionario de datos es utilizado para la definicin de datos.
La adecuacin de la documentacin del diccionario de datos para confirmar que ste define los atributos de datos y los
niveles de seguridad para cada elemento de datos.
La propiedad de la clasificacin de datos, de los niveles de seguridad, de los niveles de acceso y "defaults".
Cada clasificacin de datos defina claramente:
quin puede tener acceso
quin es responsable de determinar el nivel de acceso apropiado
la aprobacin especfica requerida para el acceso
los requerimientos especiales para el acceso (por ejemplo, acuerdo de confidencialidad)

8 Llevando a cabo:
Mediciones ("Benchmarking") del modelo de arquitectura de informacin contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas.
Una revisin detallada del diccionario de datos para asegurar que es completo en lo referente a elementos clave.
Una revisin detallada de los niveles de seguridad definidos para datos delicados, con el fin de verificar que se
haya obtenido la autorizacin apropiada para el acceso y que el acceso sea consistente con los niveles de seguridad definidos en las polticas y procedimientos de la funcin de servicios de informacin.
42
Y TECNOLOGAS AFINES
8 Identificando:
Inconsistencias en el modelo de arquitectura de informacin y en el modelo de datos corporativo, en el diccionario
de datos corporativo, en los sistemas de informacin asociados y en los planes a largo y corto plazo de tecnologa
de informacin.
Elementos obsoletos en el diccionario de datos corporativo y reglas de sintaxis de datos en las que se haya perdido
tiempo debido a cambios realizados inadecuadamente al diccionario de datos.
Elementos de datos en los que la propiedad no haya sido claramente y/o apropiadamente determinada
Clases de datos que hayan sido definidos de manera no apropiada.
Niveles de seguridad de datos inconsistentes con la regla de "necesidad de acceso" ("need to know").
43
COBIT
PO3
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

determinacin de la direccin tecnolgica
Monitoreo

aprovechar la tecnologa disponible o tecnologa emergente
la creacin y mantenimiento de un plan de infraestructura
tecnolgica
capacidad de adecuacin y evolucin de la in-
fraestructura actual
monitoreo de desarrollos tecnolgicos
contingencias
planes de adquisicin
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P
44
PO 3
Y TECNOLOGAS AFINES
DETERMINACIN DE LA DIRECCIN TECNOLGICA
1
2
3
4
5
Planeacin de la Infraestructura Tecnolgica

Monitoreo de Tendencias y Regulaciones Futuras
Contingencias en la Infraestructura Tecnolgica
Planes de Adquisicin de Hardware y Software
Estndares de Tecnologa
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
8
Entrevistas:
Director General
Director de TI
Miembros del comit planeador de la funcin de servicios de informacin
Presidencia de la funcin de servicios de informacin
Obteniendo:
Polticas y procedimientos relacionados con la planeacin y el monitoreo de la infraestructura tecnolgica.
Tareas y responsabilidades de planeacin de la Presidencia.
Objetivos y planes a largo y corto plazo de la organizacin.
Objetivos y planes a largo y corto plazo de tecnologa de informacin.
Plan de adquisicin de hardware y software de tecnologa de informacin.
Plan de infraestructura tecnolgica.
Estndares de tecnologa.
Reportes de estatus y minutas de las reuniones del comit planeador.

8 Considerando s:
Existe un proceso para la creacin y la actualizacin regular del plan de infraestructura tecnolgica para confirmar
que los cambios propuestos estn siendo examinados primero para evaluar los costos y riesgos inherentes, y
que la aprobacin de la Presidencia sea obtenida antes de realizar cualquier cambio al plan.
El plan de infraestructura tecnolgica est siendo comparado contra los planes a largo y corto plazo de tecnologa
de informacin.
Existe un proceso para la evaluacin de la situacin tecnolgica actual de la organizacin para asegurar que abarca aspectos tales como arquitectura de sistemas, direccin tecnolgica y estrategias de migracin.
45
COBIT
La poltica y procedimientos de la funcin de los servicios de informacin aseguran la consideracin de la necesidad de evaluar y monitorear las tendencias y condiciones regulatorias tecnolgicas presentes y futuras, y si
stas son tomadas en consideracin durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica.
Se planean el impacto logstico y ambiental de las adquisiciones tecnolgicas.
Las polticas y procedimientos de la funcin de servicios de informacin aseguran que se considere la necesidad
de evaluar sistemticamente el plan tecnolgico para aspectos de contingencia (por ejemplo, redundancia, resistencia, adecuacin y capacidad evolutiva de la infraestructura).
La administracin de la funcin de los servicios de informacin evala tecnologas de vanguardia, e incorpora
tecnologas apropiadas a la infraestructura de servicios de informacin actual.
Los planes de adquisicin de hardware y software suelen satisfacer las necesidades identificadas en el plan de
infraestructura tecnolgica y si stos son aprobados apropiadamente.
Se encuentran establecidos los estndares de tecnologa para los componentes tecnolgicos descritos en el plan de
infraestructura tecnolgica.
8
Probando que:
La administracin de la funcin de servicios de informacin comprende y utiliza el plan de infraestructura tecnolgica.
Se hayan realizado cambios al plan de infraestructura tecnolgica para identificar los costos y riesgos inherentes, y que
dichos cambios reflejen las modificaciones a los planes a largo y corto plazo de tecnologa de informacin.
La administracin de la funcin de servicios de informacin comprende el proceso de monitoreo y evaluacin de nuevas tecnologas, y que incorpora tecnologas apropiadas a la infraestructura de servicios de informacin actual.
La administracin de la funcin de servicios de informacin comprende el proceso de evaluar sistemticamente el plan
de tecnologa en cuanto a aspectos de contingencia (por ejemplo, redundancia, resistencia, adecuacin y capacidad
evolutiva de la infraestructura).
La existencia de un ambiente fsico de la funcin de servicios de informacin adecuado para alojar el hardware/
software actualmente instalado, as como nuevo hardware/software a ser aadido segn el plan de adquisiciones
actual aprobado.
El plan de adquisicin de hardware y software cumple con los planes a largo y corto plazo de tecnologa de informacin, reflejando las necesidades identificadas en el plan de infraestructura tecnolgica.
El plan de infraestructura tecnolgica dirige la utilizacin de tecnologa actual y futura.
Se cumpla con los estndares de tecnologa y que stos sean agregados e incorporados como parte del proceso de desarrollo.
El acceso permitido sea consistente con los niveles de seguridad definidos en las polticas y procedimientos de la funcin de servicios de informacin, y que se haya obtenido la autorizacin apropiada para el acceso.
46
Y TECNOLOGAS AFINES
8 Llevando a cabo:
Mediciones ("Benchmarking") de la planeacin de infraestructura tecnolgica contra organizaciones
similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas.
Una revisin detallada del diccionario de datos para verificar que es completo en lo referente a elementos clave.
Una revisin detallada de los niveles de seguridad definidos para datos delicados.
8 Identificando:
Inconsistencias en el modelo de arquitectura de informacin y en el modelo de datos corporativo, en el
diccionario de datos corporativo, en los sistemas de informacin asociados y en los planes a largo
y corto plazo de tecnologa de informacin.
Elementos de diccionario de datos y reglas de sintaxis de datos obsoletos.
Aspectos de contingencia no considerados en el plan de infraestructura tecnolgica.
Planes de adquisicin de hardware y software de tecnologa de informacin que no reflejen las necesidades de plan de infraestructura tecnolgica.
Estndares de tecnologa que no sean consistentes con el plan de infraestructura tecnolgica o con los
planes de adquisicin de hardware y software de tecnologa de informacin.
Un plan de infraestructura tecnolgica o planes de adquisicin de hardware y software de tecnologa
de informacin que no sean consistentes con los estndares de tecnologa.
Elementos clave omitidos en el diccionario de datos.
47
COBIT
PO4
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

definicin de la organizacin y de las relaciones de TI
Monitoreo

prestacin de servicios de TI
una organizacin conveniente en nmero y habilidades, con
tareas y responsabilidades definidas y comunicadas
comit de direccin
responsabilidades a nivel de alta gerencia o del
consejo
propiedad, custodia
supervisin
segregacin de funciones
roles y responsabilidades
descripcin de puestos
niveles de asignacin de personal
personal clave
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
48
PO 4
Y TECNOLOGAS AFINES
DEFINICIN DE LA ORGANIZACIN Y DE LAS DEFINICIONES DE TI
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Comit de planeacin o direccin de la funcin de servicios de informacin

Ubicacin de los servicios de informacin en la organizacin
Revisin de Logros Organizacionales
Funciones y Responsabilidades
Responsabilidad del aseguramiento de calidad
Responsabilidad de la Seguridad Lgica y Fsica
Propiedad y Custodia
Propiedad de Datos y Sistemas
Supervisin
Segregacin de Funciones
Asignacin de Personal para Tecnologa de Informacin
Descripcin de Puestos para el Personal de la Funcin de Servicios de Informacin
Personal Clave de Tecnologa de Informacin
Procedimientos para personal por contrato
Relaciones
8
Entrevistas:
Director General
Director de TI
Oficial de Aseguramiento de Calidad
Oficial de Seguridad de Informacin
Miembros del comit planeador de la funcin de servicios de informacin, recursos humanos y Presidencia.
Obteniendo:
Funciones y responsabilidades de planeacin de la Presidencia.
Objetivos y planes a largo y corto plazo organizacionales.
Objetivos y planes a largo y corto plazo de tecnologa de informacin.
Organigrama organizacional que muestre la relacin entre la funcin de servicios de informacin y otras funciones.
Polticas y procedimientos relacionadas con la organizacin y las relaciones de tecnologa de informacin.
Polticas y procedimientos relacionados con el aseguramiento de la calidad.
Polticas y procedimientos utilizados para determinar los requerimientos de asignacin de personal de la funcin
de servicios de informacin.Organigrama organizacional de la funcin de servicios de informacin.
49
COBIT
Funciones y responsabilidades de la funcin de servicios de informacin.
Descripcin de los puestos clave de la funcin de servicios de informacin.
Reportes de estatus y minutas de las reuniones del comit de planeacin.
8
Considerando s:
Las polticas y los comunicados de la Presidencia aseguran la independencia y la autoridad de la funcin de los servicios de informacin.
Se han definido e identificado la calidad de miembro, las funciones y las responsabilidades del comit de planeacin de
la funcin de servicios de informacin.
Los estatutos del comit de planeacin de la funcin de servicios de informacin alinean las metas del comit con los
objetivos y los planes a largo y corto plazo de la organizacin y con los objetivos y planes a largo y corto plazo de
tecnologa de informacin.
Se han establecido procesos para incrementar el conocimiento la conciencia, la comprensin y la habilidad para identificar y resolver problemas de administracin de la informacin.
Las polticas consideran la necesidad de evaluar y modificar la estructura organizacional para satisfacer objetivos y
circunstancias cambiantes.
Existen procesos e indicadores de desempeo para determinar la efectividad y aceptacin de la funcin de servicios de
informacin.
La Presidencia se asegura que las funciones y responsabilidades estn siendo llevadas a cabo.
Existen polticas que determinen las funciones y responsabilidades para todo el personal dentro de la organizacin con
respecto a sistemas de informacin, control y seguridad internos.
Existen campaas regulares para incrementar la conciencia y disciplina en cuanto al control y la seguridad interna.
Existen polticas y funciones de aseguramiento de la calidad.
La funcin de aseguramiento de la calidad cuenta con la independencia suficiente con respecto al personal de desarrollo de sistemas y con una asignacin de personal y experiencia adecuados para llevar a cabo sus responsabilidades.
Existen procedimientos establecidos dentro del aseguramiento de la calidad para calendarizar recursos y asegurar el
cumplimiento de las pruebas y aprobacin del aseguramiento de la calidad antes de que se implementen nuevos
sistemas o cambios a los sistemas.
La Gerencia ha asignado formalmente la responsabilidad a lo largo de toda la organizacin para la formalicen de polticas y procedimientos de control y seguridad internos (tanto lgicos como fsicos) a algn funcionario de seguridad
de la informacin.
El funcionario de seguridad de la informacin comprende adecuadamente las funciones y responsabilidades y si stas
han mostrado consistencia con respecto a la poltica de seguridad de la informacin de la organizacin.
La poltica de seguridad de la organizacin define claramente las responsabilidades sobre la seguridad de la informacin que cada propietario de activos (por ejemplo, usuarios, administracin y administradores de seguridad) debe
llevar a cabo.
Existen polticas y procedimientos que cubran datos y propiedad de sistemas para todas las fuentes de datos y sistemas
ms importantes.
Existen procedimientos para revisar y mantener cambios en la propiedad de los datos y los sistemas regularmente.
Existen polticas y procedimientos que describan las prcticas de supervisin para asegurar que las funciones y responsabilidades sean ejercidas apropiadamente y que todo el personal cuente con suficiente autoridad y recursos para
llevar a cabo sus funciones y responsabilidades.
50
Y TECNOLOGAS AFINES
Existe una segregacin de funciones entre los siguientes pares de unidades:
desarrollo y mantenimiento de sistemas
desarrollo y operaciones de sistemas
desarrollo/mantenimiento de sistemas y seguridad de la informacin.
operaciones y control de datos
operaciones y usuarios
operaciones y seguridad de la informacin

La asignacin de personal y la competencia de la funcin de servicios de informacin es mantenida para asegurar su
habilidad para proporcionar soluciones tecnolgicas efectivas.
Existen polticas y procedimientos para la evaluacin y revalidacin de las descripciones de puestos de la funcin de
servicios de informacin.
Existen funciones y responsabilidades para procesos clave, incluyendo actividades del ciclo de vida de desarrollo de
sistemas (requerimientos, diseo, desarrollo, pruebas), seguridad de la informacin, adquisicin y planeacin de
capacidad.
Se utilizan indicadores clave de desempeo y/o factores crticos de xito al medir los resultados de la funcin de servicios de informacin en el logro de objetivos organizacionales.
Existen polticas y procedimientos en la funcin de servicios de informacin para controlar las actividades de consultores y dems personal por contrato, asegurando as la proteccin de los activos de la organizacin.
Existen procedimientos aplicables a tecnologa de informacin por contrato que sean adecuados y consistentes con las
polticas de adquisicin organizacionales.
Existen procesos para coordinar, comunicar y documentar los intereses dentro y fuera del directorio de la funcin de
8
Probando que:
El comit planeador de la funcin de servicios de informacin vigila a la funcin de servicios de informacin y sus actividades.
La propiedad de la jerarqua de reporte para la funcin de servicios de informacin.
La efectividad de la localizacin de la funcin de servicios de informacin dentro de la organizacin en cuanto a facilitar una relacin de sociedad con la alta Gerencia.
La Presidencia de la funcin de servicios de informacin comprenda cules son los procesos utilizados para monitorear,
medir y reportar el desempeo de la funcin de servicios de informacin.
La utilizacin de indicadores clave para evaluar el desempeo.
Los procesos para analizar los resultados reales contra los niveles meta, con el fin de determinar las acciones correctivas realizadas cuando los resultados reales no alcanzan los niveles meta.
Las acciones realizadas por la administracin en cuanto a cualquier variacin significativa con respecto a los niveles
esperados de desempeo.
La administracin de usuarios/propietarios evala la capacidad de respuesta y la habilidad de la funcin de servicios de
informacin para proporcionar soluciones de tecnologa de informacin que satisfagan las necesidades de usuarios/propietarios.
La Gerencia de la funcin de servicios de informacin conoce sus funciones y responsabilidades.
51
COBIT
Aseguramiento de la calidad se involucre en la prueba y aprobacin de los planes de proyectos de la funcin de servicios de informacin.
El personal de seguridad de la informacin revisa los sistemas operativos y los sistemas de aplicacin esenciales.
La adecuacin de los reportes o documentacin de la funcin de seguridad de la informacin al evaluar la seguridad de
la informacin (tanto lgica como fsica) ya existente o en desarrollo.
Existe suficiente conocimiento, conciencia y una aplicacin consistente de las polticas y procedimientos de seguridad
de la informacin.
El personal asiste a los entrenamientos de seguridad y control interno.
La propiedad de los datos y sistemas se encuentra definida para todos los activos de informacin.
Los propietarios de datos y sistemas hayan aprobado los cambios realizados a dichos datos y sistemas.
Todos los datos y sistemas cuentan con un propietario o custodio que sea responsable del nivel de control sobre los
datos y sistemas.
El acceso a todos los activos de datos y sistemas es aprobado por el/los propietario(s) de los activos.
La lnea directa de autoridad y supervisin asociada con el puesto est en conformidad con las responsabilidades del
beneficiado.
Las descripciones de puestos delinean claramente tanto la autoridad como la responsabilidad.
Las descripciones de puestos describen claramente las aptitudes de negocios, relaciones y tcnicas requeridas.
Las descripciones de puestos hayan sido comunicadas con precisin y hayan sido comprendidas por el personal.
Las descripciones de puestos para la funcin de servicios de informacin contienen indicadores clave de desempeo
que han sido comunicados al personal.
Las funciones y responsabilidades del personal de la funcin de servicios de informacin corresponden tanto a las descripciones de puestos publicadas como al organigrama.
Existan descripciones de puestos para las posiciones clave y que stas incluyan los mandatos de la organizacin relativos a sistemas de informacin, control y seguridad internos.
La precisin de las descripciones de puestos comparadas contra las responsabilidades actuales de los encargados de
dichas posiciones.
La naturaleza y el alcance de la suficiencia de la segregacin de funciones deseada y de las limitaciones de funciones
dentro de la funcin de servicios de informacin.
El mantenimiento de la competencia del personal de tecnologa de informacin.
La propiedad de las descripciones de puestos como base para la adecuacin y la claridad de las responsabilidades, autoridad y criterios de desempeo.
Las responsabilidades de administracin por contrato hayan sido asignadas al personal apropiado.
Los trminos de los contratos sean consistentes con los estndares normales para contratos de la organizacin y que los
trminos y condiciones contractuales estndar hayan sido revisados y evaluados por un consultor legal, cuyo
acuerdo haya sido obtenido.
Los contratos contienen clusulas apropiadas con respecto al cumplimiento de: polticas de seguridad corporativa y
control interno y estndares de tecnologa de informacin.
Existen procesos y/o estructuras que garantizan una coordinacin efectiva y eficiente para lograr relaciones exitosas.
52
Y TECNOLOGAS AFINES

8
Llevando a cabo:
Mediciones ("Benchmarking") de la organizacin y de las relaciones contra organizaciones similares o estndares
internacionales/buenas prcticas reconocidas por la industria apropiadas.
Una revisin detallada para determinar el impacto sobre la organizacin causada por un comit de planeacin de
la funcin de servicios de informacin no efectivo.
Una revisin detallada para medir el progreso de la funcin de servicios de informacin al tratar con problemas de
sistemas de informacin e implementar soluciones tecnolgicas.
Una revisin detallada para evaluar la estructura organizacional, las aptitudes del personal, las funciones y responsabilidades asignadas, la propiedad de datos y sistemas, supervisin, segregacin de funciones, etc.
Una revisin detallada de la funcin de aseguramiento de la calidad para determinar su efectividad en la satisfaccin de los requerimientos de la organizacin.
Una revisin detallada de la funcin de seguridad de la informacin para determinar su efectividad para proporcionar seguridad general en la organizacin (tanto lgica como fsica) y entrenamiento de conocimiento y
conciencia de seguridad.
Una revisin detallada de una muestra de contratos para confirmar que stos hayan sido ejecutados apropiadamente por ambas partes y que cumplan con los trminos contractuales estndar de la organizacin.
Identificando:
Debilidades en la funcin de servicios de informacin y sus actividades ocasionadas por una vigilancia no efectiva
por parte del comit de planeacin de dicha funcin.
Lagunas, traslapes, etc. en la estructura organizacional que traen como resultado ineficacia e ineficiencia en la
funcin de servicios de informacin.
Estructuras organizacionales inapropiadas, funciones faltantes, personal insuficiente, deficiencias en competencia,
funciones y responsabilidades no apropiadas, confusin en la propiedad de datos y sistemas, problemas de
supervisin, falta de segregacin de funciones, etc.
Sistemas en proceso de desarrollo, modificados o implementados que cumplen con los requerimientos de aseguramiento de la calidad.
Sistemas en proceso de desarrollo, modificados o implementados que cumplen con los requerimientos de seguridad (lgica, fsica, o ambos).
Contratos que no cumplen con los requerimientos contractuales de la organizacin.
Coordinacin y comunicacin no efectivas entre la funcin de servicios de informacin y otros intereses dentro y
fuera de esta funcin.
53
COBIT
PO5
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
Manejo de la inversin
asegurar el financiamiento y el control de desembolsos de recursos
financieros
presupuestos peridicos sobre inversiones y operacin establecidos y aprobados por el negocio
alternativas de financiamiento
control del gasto real
justificacin de costos
justificacin del beneficio
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P
54
PO 5
Y TECNOLOGAS AFINES
MANEJO DE LA INVERSIN EN TECNOLOGA DE INFORMACIN
1
Presupuesto Operativo Anual para la Funcin de Servicios de Informacin
Monitoreo de Costos
Justificacin de Costos
8
Entrevistas:
Director de TI
Miembros del comit de planeacin de la funcin de servicios de informacin
Obteniendo:
Polticas, mtodos y procedimientos organizacionales relacionados con la elaboracin del presupuesto y las actividades de costeo.
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con la elaboracin del presupuesto y las actividades de costeo.
Presupuesto operativo actual y del ao inmediato anterior para la funcin de servicios de informacin.
Objetivos y planes organizacionales a corto y largo plazo.
Funciones y responsabilidades de planeacin de la Presidencia.
Reportes de variaciones y otros comunicados relacionados con el control y monitoreo de variaciones.

8
Considerando s:
El proceso de elaboracin del presupuesto de la funcin de servicios de informacin es consistente con el proceso de la
organizacin.
Existen polticas y procedimientos para asegurar la preparacin y la aprobacin adecuada de un presupuesto operativo
anual para la funcin de servicios de informacin, que sea consistente con el presupuesto y los planes a corto y
largo plazo de la organizacin y los planes a corto y largo plazo de tecnologa de informacin.
El proceso de elaboracin del presupuesto est vinculado con la administracin de las unidades ms importantes de la
funcin de servicios de informacin que contribuyen a su preparacin.
Existen polticas y procedimientos para monitorear regularmente los costos reales y compararlos con los costos proyectados y si los costos reales tienen como base el sistema de contabilidad de costos de la organizacin.
Existen polticas y procedimientos para garantizar que la entrega y liberacin de servicios por parte de la funcin de
servicios de informacin se justifican en cuanto a costos y estn en lnea con los costos de la industria.
55
COBIT
8 Probando que:
El soporte en el presupuesto de la funcin de servicios de informacin es el adecuado para justificar el plan operativo anual de dicha funcin.
Las categoras de gastos de la funcin de servicios de informacin son suficientes, apropiadas y han sido clasificadas adecuadamente.
El sistema para registrar, procesar y reportar los costos asociados con las actividades de la funcin de servicios de
informacin en forma rutinaria es adecuado.
El proceso de monitoreo de costos compara adecuadamente los costos reales contra los presupuestados.
Los anlisis costo/beneficio llevados a cabo por la administracin de los grupos de usuarios afectados, la funcin
de servicios de informacin y la Presidencia de la organizacin son revisados adecuadamente.
Las herramientas utilizadas para monitorear los costos son usadas efectiva y apropiadamente.
8
Llevando a cabo:
Mediciones ("Benchmarking") de presupuestos y costos contra organizaciones y buenas prcticas reconocidas en
la industria/estndares internacionales apropiados.
Una revisin detallada del presupuesto actual y del ao inmediato anterior contra los resultados reales, variaciones
y acciones correctivas aplicadas.
Identificando:
Presupuestos de la funcin de sistemas de informacin que no estn en lnea con el presupuesto y los planes a corto y largo plazo de la organizacin y con los planes a corto y largo plazo de tecnologa de informacin.
Los costos reales de la funcin de servicios de informacin que no hayan sido capturados
56
Y TECNOLOGAS AFINES
57
COBIT
PO6
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

comunicacin de la direccin y aspiraciones de la gerencia
Monitoreo

asegurar el conocimiento y comprensin del usuario sobre dichas aspiraciones
polticas establecidas y transmitidas a la comunidad de usuarios; adems, se necesita estndares para traducir las opciones estratgicas en reglas de usuario prcticas y utilizables
cdigo de tica / conducta

directrices tecnolgicas
cumplimiento
compromiso con la calidad
polticas de seguridad
polticas de control interno
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
58
PO 6
Y TECNOLOGAS AFINES
MANEJO DE LA INVERSIN EN TECNOLOGA DE INFORMACIN
1
Ambiente Positivo de Control de la Informacin
Responsabilidad de la Gerencia en cuanto a Polticas
Comunicacin de las Polticas de la Organizacin
Recursos para la Implementacin de Polticas
Mantenimiento de Polticas
Cumplimiento de Polticas, Procedimientos y Estndares
Compromiso con la Calidad
Poltica sobre el Marco Referencial para la Seguridad y el Control Interno
Derechos de la Propiedad Intelectual
10
Polticas para Situaciones Especficas
11
Comunicacin de la Sensibilizacin de Seguridad de la TI
8
Entrevistas:
Director General
Director de TI
Obteniendo:
Polticas y procedimientos relacionados con el marco referencial de control positivo y el programa de conocimiento y conciencia de la administracin, con el marco referencial de seguridad y control interno y con el programa
de calidad de la funcin de servicios de informacin.
Las funciones y responsabilidades de planeacin de la Presidencia.
Objetivos y planes a corto y largo plazo organizacionales..
Un programa de comunicacin.
59
COBIT
Las polticas y procedimientos de la organizacin crean un marco referencial y un programa de conocimiento y conciencia, prestando atencin especfica a la tecnologa de informacin, propiciando un ambiente de control positivo y considerando aspectos
como:
Integridad
valores ticos
cdigo de conducta
seguridad y control interno
competencia del personal
filosofa y estilo operativo de la administracin
responsabilidad, atencin y direccin proporcionadas por el consejo directivo o su equivalente
La alta gerencia promueve un ambiente de control positivo a travs del ejemplo.
La administracin ha aceptado la responsabilidad total sobre la formulacin, el desarrollo, la documentacin, la promulgacin, el
control y la revisin regular de las polticas que rigen las metas y directivas generales.
Existe un programa de conocimiento y conciencia formal para proporcionar comunicacin y entrenamiento relacionados con el
ambiente positivo de control de la administracin.
Existen polticas y procedimientos organizacionales para asegurar que los recursos adecuados y apropiados son asignados para implementar las polticas de la organizacin de manera oportuna.
Existen procedimientos apropiados para asegurar que el personal comprende las polticas y procedimientos implementados, y que se
cumple con dichas polticas y procedimientos.
Las polticas y procedimientos de la funcin de servicios de informacin definen, documentan y mantienen una filosofa, polticas y
objetivos formales que rigen la calidad de los sistemas y servicios producidos, y que stos son consistentes con la filosofa,
polticas y objetivos de la organizacin.
La administracin de la funcin de servicios de informacin asegura que la calidad de la filosofa, las polticas y objetivos sea comprendida, implementada y mantenida a todos los niveles de la funcin de servicios de informacin.
Existen procedimientos que consideren la necesidad de revisar y aprobar peridicamente estndares, directivas, polticas y procedimientos clave relacionados con tecnologa de informacin.
La Presidencia ha aceptado la responsabilidad total sobre el desarrollo de un marco referencial para el enfoque general de seguridad
y control interno.
El documento del marco referencial de seguridad y control interno especifica la poltica, propsito, objetivos, estructura administrativa, alcance dentro de la organizacin, asignacin de responsabilidades y definicin de sanciones y acciones disciplinarias de
seguridad y control interno asociados con la falta de cumplimiento de las polticas de seguridad y control interno.
Las polticas de seguridad y control interno identifican el proceso de control interno de la organizacin e incluye componentes de
control tales como:
ambiente de control
reevaluacin de riesgos
actividades de control
informacin y comunicacin
monitoreo
Existen polticas para asuntos especiales para documentar las decisiones administrativas sobre actividades, aplicaciones, sistemas y
tecnologas particulares.
Evaluar los controles:
8
Probando que:
Los esfuerzos de la administracin para fomentar un control positivo cubren los aspectos clave tales como: integridad, valores ticos,
cdigo de conducta, seguridad y control interno, competencia del personal, filosofa y estilo operativo de la administracin, y
responsabilidad, atencin y direccin proporcionados.
Los empleados han recibido el cdigo de conducta y que lo comprenden.
Se da el proceso de comunicacin de las polticas de la administracin relacionadas con el ambiente de control interno de la organizacin.
60
Y TECNOLOGAS AFINES
Existe el compromiso de la administracin en cuanto a los recursos para formular, desarrollar, documentar, promulgar y controlar
polticas que cubren el ambiente de control interno.
La propiedad y habilidad para adaptarse a condiciones cambiantes de las revisiones regulares de estndares, directivas, polticas y
procedimientos por parte de la administracin.
Los esfuerzos de monitoreo de la administracin aseguran la asignacin adecuada y apropiada de recursos para implementar las
polticas de la organizacin de manera oportuna.
Los esfuerzos de reforzamiento por parte de la administracin con respecto a los estndares, directivas, polticas y procedimientos
relacionados con su ambiente de control interno estn asegurando su cumplimiento a travs de toda la organizacin.
La filosofa, polticas y objetivos de calidad determinan el cumplimiento y la consistencia con la filosofa, polticas y procedimientos
corporativos y de la funcin de servicios de informacin.
La administracin de la funcin de servicios de informacin y el personal de desarrollo y operaciones determinan la filosofa de
calidad y su poltica relacionada, y que los procedimientos y objetivos son comprendidos y cumplidos por todos los niveles
dentro de la funcin de servicios de informacin.
Los procesos de medicin aseguran que los objetivos de la organizacin sean alcanzados.
Miembros seleccionados de la administracin estn involucrados y comprenden el contenido de las actividades de seguridad y control interno (por ejemplo, reportes de excepcin, conciliaciones, comparaciones, etc.) bajo su responsabilidad.
Las funciones individuales, las responsabilidades y lneas de autoridad se comunican claramente y se comprenden en todos los niveles de la organizacin.
Los departamentos seleccionados evalan procedimientos para monitorear en forma rutinaria actividades de seguridad y control
interno (por ejemplo, reportes de excepcin, conciliaciones, comparaciones, etc.) y que se da en proceso para proporcionar
retroalimentacin a la administracin.
La documentacin del sistema seleccionado confirma que las decisiones administrativas del sistema especfico han sido documentadas y aprobadas de acuerdo con las polticas y procedimientos organizacionales.
La documentacin del sistema seleccionado confirma que las decisiones administrativas con respecto a actividades, sistemas de
aplicacin o tecnologas particulares han sido aprobadas por la Presidencia.
8 Llevando a cabo:
Mediciones ("Benchmarking") del marco referencial de control de la informacin y del programa de conocimiento y conciencia de la administracin contra organizaciones similares o estndares internacionales/buenas prcticas de la industria
reconocidas adecuadas.
Una revisin detallada de una muestra de proyectos aprobados de seguridad y control interno para determinar que los proyectos fueron aprobados y tomaron como base un anlisis de riesgos y costo/beneficio.
8 Identificando:
Un marco referencial de control dbil que ponga en duda el compromiso de la administracin en cuanto al fomento de un ambiente de control interno positivo a travs de la organizacin.
Fallas en la administracin para comunicar efectivamente sus polticas relacionadas con el ambiente de control interno de la
organizacin.
Falta de recursos asignados para formular, desarrollar, documentar, promulgar y controlar polticas que cubran el ambiente de
control interno.
Estndares, directivas, polticas y procedimientos no actuales.
Incumplimiento por parte de la administracin para asegurar el respeto a los estndares, directivas, polticas y procedimientos a
travs de la organizacin.
Deficiencias en la funcin de servicios de informacin en su compromiso con la calidad o en su habilidad para definir, documentar, mantener y comunicar efectivamente una filosofa, polticas y objetivos de calidad.
Debilidades en el marco referencial de seguridad y control interno de la organizacin y/o en la funcin de servicios de informacin.
Ausencia de polticas para asuntos especficos requeridas para dirigir actividades, aplicaciones y tecnologas particulares.
61
COBIT
PO7
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

administracin de recursos humanos
Monitoreo

maximizar las contribuciones del personal a los procesos de TI
tcnicas slidas para administracin de personal
reclutamiento y promocin
requerimientos de calificaciones
capacitacin
desarrollo de conciencia
entrenamiento cruzado
procedimientos de acreditacin
evaluacin objetiva y medible del desempeo
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
62
PO 7
Y TECNOLOGAS AFINES
ADMINISTRACIN DE RECURSOS HUMANOS
1
2
3
4
5
6
7
Reclutamiento y Promocin de Personal

Personal Calificado
Entrenamiento de Personal
Entrenamiento Cruzado o Personal de Respaldo
Procedimientos de Acreditacin de Personal
Evaluacin de Desempeo de los Empleados
Cambio de Puesto y Despido
8
Entrevistas:
Funcionario de Recursos Humanos de la Organizacin y personal seleccionado
Personal seleccionado de seguridad
Administrador de la funcin de servicios de informacin
Funcionario de Recursos Humanos de la funcin de servicios de informacin
Administradores seleccionados de la funcin de servicios de informacin
Personal seleccionado de la funcin de servicios de informacin
Personal seleccionado asociado con posiciones sensibles en la funcin de servicios de informacin
Obteniendo:
Polticas y procedimientos relacionadas con la administracin de recursos humanos
Descripciones de puestos, formas de evaluacin del desempeo y formas de desarrollo y entrenamiento
Expedientes de personal de posiciones y personal seleccionado

8
Considerando s:
Se utilizan criterios para reclutar y seleccionar personal para cubrir posiciones vacantes.
Las especificaciones de las habilidades y conocimientos requeridos para las posiciones staff toman en consideracin requerimientos relevantes de profesionales cuando sea apropiado.
La administracin y los empleados aceptan el proceso de competencia del puesto.
Los programas de entrenamiento son consistentes con los requerimientos mnimos documentados de la organizacin relacionados con la educacin, el conocimiento y la conciencia generales que cubren los asuntos
de seguridad de la informacin.
La administracin est comprometida con el entrenamiento y el desarrollo profesional de sus empleados.
63
COBIT
Las brechas tcnicas y administrativas estn identificadas y si se estn llevando a cabo las acciones apropiadas
para manejar estas brechas.
Se dan los procesos de entrenamiento cruzado y respaldo de personal regularmente para las funciones de posiciones crticas.
Considerando si, contina
Se da reforzamiento la poltica de vacaciones ininterrumpidas.
Si el proceso de liquidacin de seguridad de la organizacin es adecuado.
Los empleados son evaluados tomando como base un conjunto estndar de perfiles de competencia para la posicin y si se llevan a cabo evaluaciones en forma peridica.
Los procesos de despido y cambio de puesto aseguran la proteccin de los recursos de la organizacin.
Las polticas y procedimientos de recursos humanos concuerdan con leyes y regulaciones aplicables.
8
Probando que:
Las acciones de reclutamiento y/o seleccin, as como los criterios de seleccin reflejan objetividad y relevancia con
respecto a los requerimientos de la posicin.
El personal cuenta con los conocimientos adecuados de las operaciones para la funcin de su posicin o reas de responsabilidad.
Existen descripciones de puestos, y que stas sean revisadas y se mantienen actualizadas.
Los expedientes del personal contienen un reconocimiento del personal en cuanto a la comprensin del programa
general de educacin, conciencia y conocimiento de la organizacin.
Se de el proceso de entrenamiento y educacin continua para el personal apropiado asignado a funciones crticas.
El personal de seguridad de la informacin ha recibido el entrenamiento apropiado en procedimientos y tcnicas de
seguridad.
La administracin y el personal de la funcin de servicios de informacin tienen conocimiento, conciencia y comprenden las polticas y procedimientos organizacionales.
Los procedimientos de investigacin de despidos de seguridad son consistentes con leyes aplicables que rigen la confidencialidad.
El conocimiento de los objetivos del negocio por parte del personal asignado a las funciones crticas de servicios de informacin incluye la filosofa de los controles internos y los conceptos de control y seguridad de
sistemas de informacin.
Evaluar el riesgo de los objetivos de control no alcanzados:

8
Llevando a cabo:
Mediciones ("Benchmarking") de las actividades de recursos humanos contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria adecuados.
Una revisin detallada de las actividades de la administracin de recursos humanos de la funcin de servicios de
informacin.
8 Identificando:
Causas y objeciones/quejas por parte de candidatos al puesto potenciales/reales.
Discrepancias en las actividades de reclutamiento, transferencia, promocin y despido relacionadas con:
64
Y TECNOLOGAS AFINES
polticas y procedimientos no seguidos

acciones no aprobadas por parte de la administracin apropiada.
acciones no basadas en especificaciones de puestos y calificacin del personal.
Personal:
calificado no apropiadamente
cuyas oportunidades de entrenamiento y desarrollo no estn ligadas a las brechas de competencia.
cuyas evaluaciones de desempeo no existen o no dan soporte a la posicin ocupada y/o funciones llevadas a
cabo.
cuya investigacin de seguridad asociada con la contratacin no fue llevada a cabo.
cuyas investigaciones peridicas de seguridad no han sido llevadas a cabo.

Insuficiencias en los programas de entrenamiento y en las actividades
de desarrollo personal.
Insuficiencias en el entrenamiento cruzado y respaldo de personal clave.
Reconocimientos de polticas de seguridad que no hayan sido firmados.
Presupuestos y tiempos inadecuados asignados al entrenamiento y desarrollo del personal.
Reportes de asistencia del personal que lleva a cabo funciones crticas que no indiquen que se han tomado das de asueto y vacaciones.
65
COBIT
PO8
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
aseguramiento del cumplimiento de requerimientos externos

cumplir con obligaciones legales, regulatorias y contractuales
la identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, y llevando a cabo
las medidas apropiadas para cumplir con ellos
66
leyes, regulaciones, contratos

monitoreo de evoluciones legales y regulatorios
revisiones regulares en cuanto a cambios
bsqueda de asistencia legal y modificaciones
seguridad y ergonoma
privacidad
propiedad intelectual
flujo de datos
P P
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
PO 8
Y TECNOLOGAS AFINES
ASEGURAMIENTO DEL CUMPLIMIENTO DE REQUERIMIENTOS EXTERNOS
1
2
3
4
5
6
Revisin de Requerimientos Externos

Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos
Cumplimiento de los Estndares de Seguridad y Ergonoma
Confidencialidad y Flujo de Datos
Comercio Electrnico
Cumplimiento con los Contratos de Seguros
Comprender a travs de:

8
Entrevistas:
Consejo legal de la organizacin
Funcionario de Recursos Humanos de la Organizacin
Obteniendo:
Requerimientos relevantes gubernamentales o externos (por ejemplo, leyes, legislaciones, guas, regulaciones y estndares) con respecto a relaciones y revisiones de requerimientos externos, aspectos de seguridad y salud
(incluyendo ergonoma), aspectos de confidencialidad, requerimientos de seguridad de sistemas de informacin
y transmisin de datos criptogrficos - tanto nacional como internacional.
'Estndares/declaraciones contables nacionales o internacionales relacionadas con el uso de comercio electrnico
Reglamentos sobre impuestos relacionados con el uso de comercio electrnico
Estndares, polticas y procedimientos sobre:
revisiones de requerimientos externos
seguridad y salud (incluyendo ergonoma)
confidencialidad
seguridad
clasificacin de sensibilidad de datos ingresados, procesados, almacenados, extrados y transmitidos
comercio electrnico
seguros
Copias de todos los contratos con socios de intercambio electrnico y con el proveedor de intercambio electrnico de
datos (EDI), si aplica
Copias de todos los contratos de seguros relacionados con la funcin de servicios de informacin
Orientacin del consejo legal sobre los requerimientos "uberrimae fidei" (de buena fe) para los contratos de seguros (Uberrimae fidei requiere que ambas partes divulguen completamente a la otra todo lo relacionado
con el riesgo. En caso de no mostrarse buena fe en este sentido, el contrato ser anulable por la parte
agraviada y no podr se puesto en vigor nuevamente por la parte culpable).
Reportes de auditora de auditores externos, proveedores de servicios como terceras partes y dependencias gubernamentales.
67
COBIT
8 Considerando s:
Existen polticas y procedimientos para:
asegurar las acciones correctivas apropiadas relacionadas con la revisin oportuna de los requerimientos externos y si existen procedimientos para asegurar un cumplimiento continuo.
coordinar la revisin de los requerimientos externos, con el fin de asegurar que se aplican oportunamente las
acciones correctivas que garantizan el cumplimiento de los requerimientos externos.
dirigir proteccin apropiada, as como objetivos de seguridad y salud.
asegurar que se proporcionan entrenamiento y educacin en seguridad y salud apropiadamente a todos los
empleados.
monitorear el cumplimiento de las leyes y regulaciones aplicables de seguridad y salud.
proporcionar la direccin/enfoque adecuados sobre confidencialidad de tal manera que todos los requerimientos legales caigan dentro de este alcance.
informar a los aseguradores acerca de todos los cambios materiales realizados al ambiente de la funcin de
asegurar el cumplimiento con los requerimientos de los contratos de seguros
asegurar que se lleven a cabo las actualizaciones necesarias cuando de inicia un contrato de seguros nuevo/
modificado.
Los procedimientos de seguridad van de acuerdo con todos los requerimientos legales y si stos estn siendo tomados
en cuenta adecuadamente, incluyendo:
proteccin con "passwords" o contraseas y software para limitar el acceso
procedimientos de autorizacin
medidas de seguridad de terminales
medidas de encriptamiento de datos
controles contra incendios
proteccin contra virus
seguimiento oportuno de reportes de violaciones

8
68
Probando que:
Las revisiones de los requerimientos externos:
son actuales, completos y suficientes en cuanto a aspectos legales, gubernamentales y regulatorios
traen como resultado una pronta accin correctiva

Las revisiones de seguridad y salud son llevadas a cabo dentro de la funcin de servicios de informacin para
asegurar el cumplimiento de los requerimientos externos
Las reas problemticas que no cumplan con los estndares de seguridad y salud sean rectificadas
El cumplimiento de la funcin de servicios de informacin en cuanto las polticas y procedimientos de confidencialidad y seguridad.
Los datos transmitidos a travs de las fronteras internacionales no violan las leyes de exportacin
Los contratos existentes con los proveedores de comercio electrnico consideren adecuadamente los requerimientos
Y TECNOLOGAS AFINES
especificados en las polticas y procedimientos organizacionales

Los contratos de seguros existentes consideren adecuadamente los requerimientos especificados en las polticas y procedimientos organizacionales
En donde se hayan impuesto lmites regulatorios a los tipos de encriptamiento que pueden ser utilizados (por ejemplo,
la longitud de la llave), la encriptamiento aplicada cumpla con las regulaciones
En donde las regulaciones o procedimientos internos requieran la proteccin y/o encriptamiento especial de ciertos
elementos de datos (por ejemplo, nmeros PIN bancarios, Nmeros de expedientes de Impuestos, de Inteligencia Militar), dicha proteccin/encriptamiento sea proporcionada a estos datos.
Los procesos EDI reales desplegados por la organizacin aseguran el cumplimiento con las polticas y procedimientos
organizacionales y con los contratos individuales del socio de comercio electrnico (y del proveedor EDI, en
caso de aplicar)

8
Llevando a cabo:
Mediciones ("Benchmarking") del cumplimiento de los requerimientos externos, actividades EDI y requerimientos de
contratos de seguros contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en
la industria apropiados
Una revisin detallada de los archivos de requerimientos externos para asegurar que se han llevado a cabo acciones
correctivas, o bien, que estn siendo implementadas
Una revisin detallada de los reportes de seguridad para evaluar si la informacin sensible/confidencial (definida como
tal por procedimientos internos o por regulaciones externas) est siendo protegida apropiadamente en cuanto a
seguridad y confidencialidad
Identificando:
Requerimientos externos que no hayan sido cumplidos por la organizacin
Acciones significativas no resueltas/no corregidas en respuesta a las revisiones de requerimientos externos
Riesgos de seguridad y salud (incluyendo ergonoma) en el ambiente de trabajo que no hayan sido considerados
Debilidades en la confidencialidad y la seguridad relacionadas con flujos de datos y/o flujo de datos internacional
Interrupciones en el comercio electrnico
Debilidades en los contratos con socios comerciales relacionadas con procesos de comunicacin, mensajes de transaccin, seguridad y/o almacenamiento de datos
Debilidades en las relaciones de confianza con socios comerciales
Debilidades/equivocaciones en la cobertura del seguro
Incumplimientos de los trminos del contrato
69
COBIT
PO9
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
evaluacin de riesgos
asegurar el logro de los objetivos de TI y responder a las amenazas
hacia la provisin de servicios de TI
la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, tomando
medidas econmicas para mitigar los riesgos
diferentes tipos de riesgos de TI (por ejemplo:
P P P P P
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
tecnolgicos, de seguridad, de continuidad, regulatorios, etc.)

alcance: global o de sistemas especficos
actualizacin de evaluacin de riegos
metodologa de evaluacin de riesgos
medicin de riesgos cualitativos y/o cuantitativos
plan de accin de riesgos
70
PO 9
Y TECNOLOGAS AFINES
EVALUACIN DE RIESGOS
1
2
3
4
5
6
Evaluacin del Riesgo del Negocio

Enfoque de Evaluacin de Riesgos
Identificacin de Riesgos
Medicin de Riesgos
Plan de Accin contra Riesgos
Aceptacin de Riesgos
8
Entrevistas:
Personal seleccionado de la funcin de servicios de informacin
Personal seleccionado de manejo de riesgos
Obteniendo:
Polticas y procedimientos relacionados con la evaluacin de riesgos
Documentos de evaluacin de riesgos del negocio
Documentos de evaluacin de riesgos operativos
Documentos de evaluacin de riesgos de la funcin de servicios de informacin
Detalles de la base sobre la cual se miden los riesgos y la exposicin a los riesgos
Expedientes de personal para personal seleccionado de evaluacin de riesgos
Polticas de seguros que cubren el riesgo residual

8
Considerando s:
Existe un marco referencial para la evaluacin sistemtica de riesgos, incorporando los riesgos de informacin
relevantes para el logro de los objetivos de la organizacin y formando una base para determinar la forma en
la que los riesgos deben ser manejados a un nivel aceptable.
El enfoque de evaluacin de riesgos asegura la evaluacin actualizada regular de riesgos tanto a nivel global como
a nivel especfico de sistemas.
Existen procedimientos de evaluacin de riesgos para determinar que los riesgos identificados incluyen factores
tanto externos como internos y toman en consideracin los resultados de las auditoras, inspecciones, e incidentes identificados.
Los objetivos de toda la organizacin estn incluidos en el proceso de identificacin de riesgos.
71
COBIT
Los procedimientos para el monitoreo de cambios en la actividad de procesamiento de sistemas determinan que
los riesgos y exposicin de los sistemas son ajustados oportunamente.
Existen procedimientos para el monitoreo y el mejoramiento continuos de la evaluacin de riesgos y controles de
mitigacin.
La documentacin de evaluacin de riesgos incluye:
una descripcin de la metodologa de evaluacin de riesgos
la identificacin de exposiciones significativas y los riesgos correspondientes
los riesgos y exposiciones correspondientes considerados

Se incluyen tcnicas de probabilidad, frecuencia y anlisis de amenazas en la identificacin de riesgos.
El personal asignado a evaluacin de riesgos est adecuadamente calificado
Existe un enfoque cuantitativo y/o cualitativo (o combinado) formal para la identificacin y medicin de riesgos,
amenazas y exposiciones.
Se utilizan clculos y otros mtodos en la medicin de riesgos, amenazas y exposiciones
El plan de accin contra riesgos es utilizado en la implementacin de medidas apropiadas para mitigar los riesgos,
amenazas y exposiciones.
La aceptacin del riesgo residual toma en cuenta:
la poltica organizacional
la identificacin y medicin de riesgos
la incertidumbre inherente al enfoque de evaluacin de riesgos mismo
el costo y la efectividad de implementar salvaguardas y controles

La cobertura de los seguros compensan el riesgo residual
8
72
Probando que:
Se cumple con el marco referencial de evaluacin de riesgos en cuanto a que las evaluaciones de riesgos con actualizadas regularmente para reducir el riesgo a un nivel aceptable.
La documentacin de evaluacin de riesgos cumple con el marco referencial de evaluacin de riesgos y es mantenido y
preparado apropiadamente.
La administracin y el personal de la funcin de servicios de informacin tienen conocimiento y conciencia y estn
involucrados en el proceso de evaluacin de riesgos
La administracin comprende los factores relacionados con los riesgos y la probabilidad de amenazas
El personal relevante comprende y acepta formalmente el riesgo residual
Los reportes emitidos a la Presidencia para su revisin y acuerdo con los riesgos identificados y utilizacin en el monitoreo de actividades de reduccin de riesgos sean oportunos
El enfoque utilizado para analizar los riesgos traiga como resultado una medicin cuantitativa o cualitativa (o combinada) de la exposicin al riesgo
Los riesgos, amenazas y exposiciones identificados por la administracin y atributos relacionados con los riesgos sean
utilizados para detectar cada ocurrencia de una amenaza especfica.
El plan de accin contra riesgos es actual e incluye controles econmicos y medidas de seguridad para mitigar la exposicin al riesgo
Y TECNOLOGAS AFINES
Existen prioridades desde la ms alta hasta la ms baja, y que existe una respuesta apropiada para cada riesgo:
control planeado preventivo de mitigacin.
control secundario detectivo
control terciario correctivo

Los escenarios de riesgo versus control estn documentados, son actuales y son comunicados al personal apropiado
Existe suficiente cobertura de seguros con respecto al riesgo residual aceptado y que ste es considerado contra varios
escenarios de amenaza, incluyendo:
incendio, inundaciones, terremotos, tornados, terrorismo y otros desastres naturales no predecibles
violaciones a las responsabilidades fiduciarias del empleado
interrupcin del negocio, ganancias perdidas, clientes perdidos, etc.
otros riesgos no cubiertos generalmente por la tecnologa de informacin y planes de riesgo/continuidad del
negocio

8 Llevando a cabo:
Mediciones ("Benchmarking") del marco referencial de evaluacin de riesgos contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiados
Una revisin detallada del enfoque de evaluacin de riesgos utilizado para identificar, medir y mitigar los riesgos a un
nivel aceptable de riesgo residual
8
Identificando:
Riesgos no identificados
Riesgos que no hayan sido medidos
Riesgos no considerados/manejados a un nivel aceptable
Evaluaciones de riesgos obsoletos y/o evaluaciones de informacin en riesgo obsoleta
Medidas incorrectas cuantitativas y/o cualitativas de riesgos, amenazas y exposiciones
Planes de accin contra riesgos que no aseguren controles econmicos y medidas de seguridad
Falta de aceptacin formal del riesgo residual
Cobertura de seguros inadecuada
73
COBIT
PO10
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
administracin de proyectos
establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversin
identificacin y priorizacin de los proyectos en lnea con el
plan operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido
la propiedad de los proyectos
el involucramiento de los usuarios
la estructuracin jerrquica de tareas y los pun-
tos de revisin
asignacin de responsabilidades
aprobacin de fases y proyecto
presupuestos de costos y horas hombre
planes y metodologa de aseguramiento de calidad
P P P P
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
74
PO 10
Y TECNOLOGAS AFINES
ADMINISTRACIN DE PROYECTOS
1
2
3
4
5
6
7
8
9
10
11
12
13
Marco Referencial para la Administracin de Proyectos

Participacin del Departamento Usuario en la Iniciacin de Proyectos
Miembros y Responsabilidades del Equipo del Proyecto
Definicin del Proyecto
Aprobacin del Proyecto
Aprobacin de las Fases del Proyecto
Plan Maestro del Proyecto
Plan de Aseguramiento de la Calidad de Sistemas
Planeacin de Mtodos de Aseguramiento
Manejo Formal de Riesgos de Proyectos
Plan de Prueba
Plan de Entrenamiento
Plan de Revisin Post-Implementacin
8
Entrevistas:
Administrados de Calidad de la Organizacin
Administrador/Coordinador de Calidad de Proyectos
Propietarios/patrocinadores del Proyecto
Lder del equipo del Proyecto
Coordinador de Aseguramiento de Calidad
Administracin de la funcin de servicios de informacin
Obteniendo:
Polticas y procedimientos relacionados con el marco referencial de administracin de proyectos
Polticas y procedimientos relacionados con la metodologa de administracin de proyectos
Polticas y procedimientos relacionados con los planes de aseguramiento de la calidad
Polticas y procedimientos relacionados con los mtodos de aseguramiento de la calidad
Plan Maestro del Proyecto de Software (Software Project Master Plan (SPMP))
Plan de Aseguramiento de la Calidad del Software (Software Quality Assurance Plan (SQAP))
Reportes de estatus del proyecto
Reportes de estatus y minutas de las reuniones del comit de planeacin
Reportes de Calidad del Proyecto
75
COBIT
8
76
Considerando s:
El marco referencial de administracin de proyectos:
define el alcance y los lmites para la administracin de proyectos
asegura que las demandas del proyecto sean revisadas en cuanto a su consistencia con el plan operativo
aprobado y si los proyectos son priorizados de acuerdo con este plan
define la metodologa de administracin de proyectos a ser adoptada y aplicada en cada proyecto emprendido, incluyendo:
planeacin del proyecto
asignacin de personal
asignacin de responsabilidades y autoridad
distribucin de tareas
presupuestos de tiempo y recursos
puntos de revisin
puntos de verificacin
aprobaciones
suficiencia y actualizacin
asegura la participacin de la administracin del departamento usuario afectado (propietario/patrocinador) en

la definicin y autorizacin de un proyecto de desarrollo, implementacin o modificacin
especifica la base sobre la cual los miembros del personal son asignados a los proyectos
define las responsabilidades y la autoridad de los miembros del equipo del proyecto
asegura la creacin de estatutos claros por escrito que definan la naturaleza y alcance del proyecto antes de
comenzar a trabajar sobre el mismo
proporciona un documento inicial de definicin del proyecto que incluya estatutos claros sobre la naturaleza
y alcance del proyecto
incluye las siguientes razones para llevar a cabo el proyecto, entre ellas:
una definicin del problema a ser resuelto o del proceso a ser mejorado
una definicin de la necesidad del proyecto expresada en trminos de incrementar la habilidad de la organizacin para alcanzar metas
un anlisis de las deficiencias en sistemas relevantes existentes
las oportunidades que se abriran al incrementar la eficiencia y hacer ms econmica la operacin
el control interno y la necesidad de seguridad que seria satisfecha por los proyectos
considera la manera en la que los estudios de factibilidad de los proyectos propuestos deben ser preparados y
aprobados por la Presidencia, incluyendo:
el ambiente del proyecto - hardware, software, telecomunicaciones
el alcance del proyecto - lo que este incluir y excluir en la primera implementacin y en las subsecuentes
las limitaciones del proyecto - lo que debe retenerse durante este proyecto, an cuando las oportunidades de mejora a corto plazo parezcan obvias
los beneficios y costos a ser realizados por el patrocinador o propietario/patrocinador del proyecto
delinea la manera en la que cada fase del proceso de desarrollo (por ejemplo, preparacin de estudios de factibilidad, definicin de requerimientos, diseo del sistema, etc.) debe ser aprobada antes de proceder a la si-
Y TECNOLOGAS AFINES
guiente fase del proyecto (por ejemplo, programacin, pruebas del sistema, pruebas de transacciones, pruebas en
paralelo, etc.)
requiere el desarrollo de un SPMP para cada proyecto y especifica la manera en la que el control deber ser mantenido a travs de la vida del proyecto, as como perodos (puntos de revisin) y presupuestos del mismo
cumple con el estndar organizacional para SPMPs o, en caso de no existir ste, con algn otro estndar apropiado
requiere el desarrollo de un SQAP para cada proyecto, asegura que ste se encuentre integrado con el SPMP y que
sea revisado y acordado formalmente por todas las partes involucradas
delinea la manera en la que el programa de manejo formal de riesgos del proyecto elimina o minimiza los riesgos
relacionados con el mismo
asegura el desarrollo de un plan de pruebas para cada proyecto de desarrollo, implementacin y modificacin
asegura el desarrollo de un plan adecuado para el entrenamiento de personal propietario/patrocinador y de las funciones de servicios de informacin para cada proyecto de desarrollo, implementacin y modificacin
Se monitores y reportan a la Presidencia los puntos de revisin y compra de software, compra de hardware, programacin por contrato, actualizaciones de redes, etc.)
Los puntos de revisin y costos que excedan los montos y tiempos presupuestados requieren la aprobacin de la administracin apropiada de la organizacin
SQAP cumple con el estndar organizacional para SQAPs, o en caso de no existir ste, con los criterios seleccionados anteriormente
Las tareas de aseguramiento SQAP soportan la acreditacin de sistemas nuevos o modificados y aseguran que los estatutos
de control interno y seguridad cumplen con los requerimientos
Todos los propietarios/patrocinadores del proyecto han comentado sobre el SPMP y el SQAP y estn de acuerdo sobre los
elementos entregables y liberables finales.
El proceso de post-implementacin es una parte integral del marco referencial de la administracin del proyecto para asegurar que los sistemas de informacin nuevos o modificados han aportado los beneficios planeados
8
Probando que:
La metodologa de administracin de proyectos y todos los requerimientos fueron seguidos con consistencia
La metodologa de administracin de proyectos fue comunicada a todo el personal apropiado involucrado en el proyecto
La definicin escrita de la naturaleza y alcance del proyecto concuerda con un patrn estndar
La naturaleza y alcance del involucramiento del propietario/patrocinador en la definicin y autorizacin del proyecto,
as como la conformidad con el involucramiento esperado del propietario/patrocinador segn lo estipulado por el
marco referencial de administracin de proyectos
La asignacin de los miembros del personal al proyecto y la definicin de responsabilidades y autoridad de los miembros del
equipo del proyecto sean respetadas
Existe evidencia de una definicin por escrito clara de la naturaleza y alcance del proyecto antes de comenzar a trabajar sobre
el mismo
Se ha aprobado y preparado un estudio de factibilidad
Se obtienen las aprobaciones por parte de la administracin de la funcin de sistemas de informacin y de los propietarios /
patrocinadores para cada fase del proyecto de desarrollo
Cada fase del proyecto es completada y que se obtienen las aprobaciones apropiadas segn los requerimientos del SPMP
Se han desarrollado y aprobado el SPMP y el SQAP de acuerdo con el marco referencial de la administracin de proyectos
77
COBIT
El SPMP y el SQAP son suficientemente especficos y detallados
Las actividades/reportes obligatorios identificados han sido realmente ejecutados/producidos (por ejemplo, que se han llevado a cabo reuniones del Comit Ejecutivo de Planeacin, reuniones para el proyecto o similares, que se han registrado
minutas de las reuniones y que stas han sido distribuidas a las partes relevantes, que se preparan y distribuyen reportes
a las partes relevantes)
Se ha desarrollado y aprobado un plan de pruebas de acuerdo con el marco referencial de administracin de proyectos y que ste es suficientemente especfico y detallado
Las actividades/reportes obligatorios identificados en le plan de pruebas han sido realmente ejecutados/producidos
Existen criterios de acreditacin utilizados para el proyecto y que stos:
se derivan de metas e indicadores de desempeo
se derivan de requerimientos cuantitativos acordados
aseguran que los requerimientos de control interno y seguridad son satisfechos
estn relacionados con el "Qu" esencial versus el "cmo" arbitrario
definen un proceso formal de aprobacin/no aprobacin
son capaces de una demostracin objetiva dentro de un perodo de tiempo limitado
no redefinen simplemente los requerimientos de los documentos de diseo
Le programa de manejo de riesgos ha sido utilizado para identificar y eliminar o por lo menos minimizar los riesgos relacionados con el proyecto
Se ha cumplido con el plan de pruebas, que los propietarios/patrocinadores, as como las funciones de programacin y aseguramiento de la calidad, han creado revisiones de las pruebas, y que se ha cumplido con un proceso de aprobacin segn
lo esperado
Se ha preparado un plan para el entrenamiento del personal de las funciones de servicios de informacin y para los propietarios/patrocinadores, que ste ha dado el tiempo suficiente para completar las actividades de entrenamiento requeridas, y
que ha sido utilizado para el proyecto
Se ha cumplido y seguido un plan de revisin post-implementacin para el proyecto

8 Llevando a cabo:
Mediciones ("Benchmarking ") del marco referencial de administracin de proyectos contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Una revisin detallada de:
el plan maestro del proyecto para determinar el alcance de la participacin del propietario/patrocinador y la adecuacin del proceso general para definir, autorizar y ejecutar el proyecto, incluyendo:
definicin de las funciones del sistema
factibilidad, dadas la limitaciones del proyecto
determinacin de los costos y beneficios del sistema
propiedad de los controles del sistema
impacto e integracin en otros sistemas propietarios/patrocinadores
compromiso de recursos (de personal y econmicos) por parte del propietario/patrocinador
definicin de responsabilidades y autoridad de los participantes en el proyecto
criterios de aceptacin deseables y alcanzables
puntos de revisin y verificacin en la autorizacin de las diferentes fases del proyecto
78
Y TECNOLOGAS AFINES
elaboracin de grficas de Gantt, bitcoras de problemas, resmenes de reuniones, etc. en la administracin del
proyecto
reportes de calidad para determinar si existen problemas sistemticos en el proceso de planeacin de aseguramiento de la calidad de sistemas en la organizacin
el programa de manejo formal de riesgos del proyecto para determinar si se han identificado y eliminado, o por lo
menos minimizado los riesgos.
la ejecucin del plan de pruebas para determinar que ste prob completamente todo el proyecto de desarrollo,
implementacin o modificacin del sistema
la ejecucin del plan de entrenamiento para determinar que ste ha preparado adecuadamente a propietarios/
patrocinadores y al personal de la funcin de servicios de informacin en el uso del sistema
la revisin post-implementacin para determinar si los beneficios otorgados corresponden a los planeados
Identificando:
Proyectos que:
sean administrados inadecuadamente
hayan excedido fechas claves
hayan excedido costos
sean obsoletos
no hayan sido autorizados
no sean tcnicamente factibles
no sean econmicos
no otorguen los beneficios planeados
no contengan puntos de verificacin
no sean aprobados en puntos de verificacin claves
no hayan sido acreditados para implementacin
no satisfagan los requerimientos de control interno y seguridad
no eliminen o mitiguen los riesgos
no hayan sido probados completamente
necesitaran un entrenamiento no llevado a cabo o inadecuado para el sistema en proceso de implementacin
no hayan contado con una revisin post-implementacin
79
COBIT
PO11
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
Administracin de calidad
satisfacer los requerimientos del cliente
la planeacin, implementacin y mantenimiento de estndares y sistemas de administracin de calidad por parte de la
organizacin
estructura del plan de calidad
responsabilidades de aseguramiento de la cali-
dad
metodologa del ciclo de vida de desarrollo de
sistemas
pruebas y documentacin de sistemas y progra-
mas
revisiones y reporte de aseguramiento de cali-
dad
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P
80
PO 11
Y TECNOLOGAS AFINES
ADMINISTRACIN DE CALIDAD
1
2
3
4
Plan General de Calidad

Enfoque de Aseguramiento de Calidad
Planeacin del Aseguramiento de Calidad
Revisin del Aseguramiento de Calidad sobre el Cumplimiento de Estndares y Procedimientos de la Funcin de
Servicios de Informacin
Metodologa del Ciclo de Vida de Desarrollo de Sistemas
Metodologa del Ciclo de Vida de Desarrollo de Sistemas par Cambios Mayores a la Tecnologa Actual
Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas
Coordinacin y Comunicacin
Marco Referencial de Adquisicin y Mantenimiento para la Infraestructura de Tecnologa
Relaciones con Terceras Partes como Implementadores
Estndares para la Documentacin de Programas
Estndares para Pruebas de Programas
Estndares para Pruebas de Sistemas
Pruebas Piloto/En Paralelo
Documentacin de las Pruebas del Sistema
Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares de Desarrollo
Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Funcin de Servicios de Informacin
Reportes de Revisiones de Aseguramiento de la Calidad
Reportes de Revisin de Aseguramiento de Calidad
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
8
Entrevistas:
Director General
Director de TI
Administrador de la Calidad de la Organizacin
Administrador de la Calidad de la Funcin de Servicios de Informacin
Propietarios/patrocinadores del sistema
Obteniendo:
Polticas y procedimientos relacionados con el aseguramiento de la calidad, el ciclo de vida del desarrollo de sistemas y la documentacin de sistemas
Funciones y responsabilidades de planeacin de la Presidencia
81
COBIT
Plan estratgico, poltica de calidad, manual de calidad y plan de calidad de la organizacin del Plan estratgico, poltica
de calidad, manual de calidad, plan de calidad y plan de administracin de la configuracin de la funcin de
servicios de informacin
Grficas de todas las funciones de aseguramiento de la calidad
Minutas de las reuniones individuales de planeacin de la calidad
Minutas de las reuniones convocadas para la revisin de la metodologa del ciclo de vida del desarrollo de sistemas
Copias de las revisiones a la metodologa del ciclo de vida del desarrollo de sistemas
Reportes de estatus y minutas de las reuniones del comit de planeacin
8
Considerando s:
El plan de calidad:
toma como base los planes a corto y largo plazo de la organizacin
fomenta la filosofa de mejora continua y responde a las preguntas bsicas qu, quin y cmo
es completo y actual
El plan de calidad de la funcin de servicios de informacin:
toma como base el plan general de calidad de la organizacin y los planes a corto y largo plazo de tecnologa de
informacin
fomenta la filosofa de mejora continua y responde a las preguntas bsicas qu, quin y cmo
es completo y actual
Si el enfoque estndar de calidad existe, y si ste:
es aplicable tanto a las actividades generales como a las especficas del proyecto
es escalable y, de esta manera, aplicable a todos los proyectos
es comprendido por todo el personal involucrado en un proyecto y en actividades de aseguramiento de la calidad
fue aplicable a travs de todas las fases de un proyecto

El enfoque estndar de aseguramiento de la calidad prescribe los tipos de actividades de aseguramiento de la calidad (y especifica revisiones, auditoras, inspecciones, etc.) a ser llevados a cabo para alcanzar los objetivos del plan general de calidad
La planeacin de aseguramiento de la calidad prescribe el alcance y calendarizacin de las actividades de aseguramiento de la
calidad
Las revisiones de aseguramiento de la calidad evalan el cumplimiento general de los estndares, polticas y procedimientos
de la funcin de servicios de informacin
La Presidencia ha definido e implementado estndares, polticas y procedimientos de servicios de informacin, incluyendo
una metodologa formal de ciclo de vida del desarrollo de sistemas adquirida, desarrollada internamente o una combinacin de ambas
La metodologa del ciclo de vida del desarrollo de sistemas:
rige el proceso de desarrollar, adquirir, implementar y mantener sistemas de informacin computarizados y tecnologa afn
soporta y fomenta los esfuerzos de desarrollo/modificacin que cumplen con los planes a corto y largo plazos de la
funcin de servicios de informacin y de la organizacin
requiere un proceso de desarrollo y modificacin estructurado que contenga puntos de revisin en momentos clave
de decisin, as como la autorizacin para proceder con el proyecto en cada punto de revisin
es completa y actual
82
Y TECNOLOGAS AFINES
es capaz de ser adaptada/escalada para acoplarse a todos los tipos de desarrollo que ocurren dentro de la organizacin
es aplicable a la creacin y mantenimiento tanto de software adquirido como desarrollado internamente
cuenta con provisiones documentadas para cambios tecnolgicos
ha construido un marco referencial general en cuanto a la adquisicin y mantenimiento de la infraestructura tecnolgica
cuenta con pasos a seguir (tales como adquisicin, programacin, documentacin y pruebas, establecimiento de
parmetros, y "applying fixes") que deben ser regidos por, y estar en lnea con el marco referencial de adquisicin
y mantenimiento de la infraestructura tecnolgica
fomenta la provisin de criterios para la aceptacin de terceras partes como implementadores, manejo de cambios,
manejo de problemas, funciones participantes, instalaciones, herramientas y estndares y procedimientos de software
requiere el mantenimiento de documentacin detallada de programacin y de sistemas (por ejemplo, diagramas de

flujo, diagramas de flujo de datos, narrativas escritas de programacin, etc.), y que dichos requerimientos hayan
sido comunicados a todo el personal involucrado
requiere que la documentacin se mantenga actualizada al ocurrir cambios
requiere la aplicacin de pruebas rigurosas y slidas de programas/sistemas
define las circunstancias bajo las cuales deben conducirse pruebas piloto o en paralelo de sistemas nuevos o modificados
requiere, como parte de cada proyecto de desarrollo, implementacin o modificacin de sistemas, que las pruebas
sean verificadas, documentadas y retenidas en forma independiente
El enfoque de aseguramiento de la calidad de la organizacin:
requiere que se lleve a cabo una revisin post-implementacin para asegurar que todos los sistemas nuevos o modificados sean desarrollados y puestos en produccin de acuerdo con la metodologa del ciclo de vida del desarrollo de sistemas, mismo que debe ser respetado por el equipo del proyecto
requiere una revisin de la medida en la que los sistemas nuevos o modificados han alcanzado los objetivos establecidos para ellos por la administracin
trae como resultado reportes, los cuales propician el llevar a cabo el desarrollo de sistemas y las recomendaciones
de efectividad para la administracin (tanto para los usuarios como para la funcin de servicios de informacin)
como corresponda
cuenta con recomendaciones a las que se les da seguimiento peridicamente y que son reportadas a los funcionarios de la Presidencia apropiados
La administracin de la funcin de servicios de informacin de la Presidencia revisa y actualiza apropiadamente la metodologa del ciclo de vida del desarrollo de sistemas con regularidad para asegurar su suficiencia para tecnologa nueva y de
desarrollo/modificacin
Existe una variacin de niveles de control para los distintos tipos de proyectos de desarrollo y mantenimiento (por ejemplo, si
los proyectos grandes reciben mayor control que los pequeos)
El logro de una coordinacin y comunicacin estrecha a travs del ciclo de vida de desarrollo de sistemas entero se da entre
los clientes de la funcin de servicios de informacin y los implementadores del sistema
Existe un compromiso apropiado por parte de las diferentes funciones/personas dentro de la organizacin (por ejemplo, administracin de la funcin de servicios de informacin, funcionario de seguridad, personal legal, personal de aseguramiento de la calidad, personal de auditora, usuarios, etc.)
Existen medidas para medir los resultados de las actividades, permitiendo una evaluacin sobre si se han logrado las
metas de calidad
83
COBIT
8
Probando que:
Los procedimientos para el desarrollo del Plan de Calidad de la funcin de servicios de informacin incluyen las siguientes entradas:
Planes a corto y largo plazo de la organizacin
Planes a corto y largo plazo de la funcin de servicios de informacin
Poltica de Calidad de la organizacin
Poltica de Calidad de la funcin de servicios de informacin
Plan de Calidad de la organizacin
Plan de administracin de la configuracin de la funcin de servicios de informacin

El Plan de Calidad de la funcin de servicios de informacin toma como base los planes a corto y largo plazo de la funcin de
servicios de informacin, los cuales definen:
los esfuerzos y/o adquisiciones de desarrollo de sistemas de aplicacin
interfases con otros sistemas (internos y externos)
la plataforma/infraestructura de la funcin de servicios de informacin requerida para soportar los sistemas e interfases
los recursos (tanto financieros como humanos) para desarrollar/soportar el ambiente de la funcin de servicios de
informacin planeado
el entrenamiento requerido para desarrollar y soportar ambiente de la funcin de servicios de informacin planeado
El Plan de Calidad de la funcin de servicios de informacin considera lo siguiente:
en trminos medibles no ambiguos, el nivel planeado del servicio a ser otorgado a los clientes (internos o externos)
en trminos medibles no ambiguos, los "outages" planeados mximos para cada sistema y plataforma
las estadsticas de desempeo requeridas para monitorear los objetivos planeados de desempeo/"outage", incluyendo la manera en la que deben ser reportados y a quin deben ser distribuidos
los procesos de monitoreo/revisin necesarios para asegurar el desarrollo/modificacin/transicin en el ambiente/

infraestructura de la funcin de servicios de informacin identificados en la funcin de servicios de informacin
los planes a corto y largo plazo: estn correctamente planeados, monitoreados, probados, documentados, implementados y cuentan con el entrenamiento y los recursos necesarios
los intervalos en los que el Plan de Calidad debe ser actualizado

El personal de aseguramiento de la Calidad cumple consistentemente con el enfoque y el plan de aseguramiento de la
calidad y otros procedimientos operativos establecidos
La metodologa del ciclo de vida de desarrollo de sistemas asegura apropiadamente:
controles suficientes durante el proceso de desarrollo para sistemas y tecnologas nuevas
comunicacin con todos los empleados apropiados involucrados en el desarrollo y mantenimiento de sistemas
se utilizan procedimientos para los cambios tecnolgicos
se utilizan procedimientos para asegurar la aceptacin y aprobacin de los usuarios
la adecuacin de los acuerdos de terceras partes como implementadores

Los usuarios comprenden los controles y requerimientos de la metodologa del ciclo de vida del desarrollo de sistemas
Los mecanismos de control de cambios dentro de la metodologa del ciclo de vida del desarrollo de sistemas permiten el llevar a cabo cambios a la metodologa y que sta es un documento "vivo"
84
Y TECNOLOGAS AFINES
El registro de las revisiones y modificaciones a la metodologa del ciclo de vida del desarrollo de sistemas de la organizacin
refleja los nuevos sistemas y tecnologas considerados actualmente y esperados en el futuro
Los resultados completos de las pruebas de programas y sistemas (incluyendo resultados de pruebas en paralelo/piloto) son
revisados y retenidos para pruebas futuras
Existe un proceso para resolver problemas encontrados durante la pruebas
Se ha llevado a cabo una revisin post-implementacin por parte del personal de aseguramiento de la calidad
Los representantes del departamento usuario involucrados en los proyectos de desarrollo de sistemas estn satisfechos con el
uso actual de la metodologa
El personal de aseguramiento de la calidad comprende claramente su funcin dentro de la organizacin
Se requiere el llevar a cabo una revisin de aseguramiento de la calidad subsecuente al trmino de todas las pruebas del sistema y de la revisin y aprobacin de los resultados de las pruebas por parte del personal de la administracin de la funcin de servicios de informacin apropiada, de aseguramiento de la calidad y de los usuarios
La revisin de aseguramiento de la calidad trae como resultado acciones correctivas por parte de la administracin
Se llevan a cabo revisiones post-implementacin, que los resultados son comunicados a la Presidencia y que se requieren
planes de accin para las reas de implementacin con necesidad de mejoras.
Los resultados de las mediciones de las metas de calidad, existen y se trabaja con ellos
8
Llevando a cabo:
Mediciones ("Benchmarking") de la metodologa del ciclo de vida del desarrollo de sistemas contra organizaciones
similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Una revisin detallada de las medidas de desempeo incluidas en el Plan de Calidad y asegurar s stas:
son alcanzables
satisfacen los requerimientos/expectativas de la corporacin
satisfacen los requerimientos/expectativas de los usuarios
son medibles
Una revisin detallada de una muestra de proyectos para asegurar que:
se ha cumplido con la metodologa del ciclo de vida del desarrollo de sistemas
toda adaptacin/escalamiento de la metodologa del ciclo de vida del desarrollo de sistemas es apropiada y ha
sido aprobada
se han obtenido aprobaciones en todos los puntos de revisin y por parte de todo el personal clave de control
(por ejemplo, funcionario de seguridad de la funcin de servicios de informacin, personal de aseguramiento
de la calidad, representantes de los usuarios, etc.)
se han dado una coordinacin y comunicacin estrechas entre los usuarios de la funcin de servicios de informacin y los implementadores de sistemas (internos o terceras partes)
se ha seguido el marco referencial para la adquisicin y el mantenimiento para la infraestructura tcnica, junto con cualquier paso relevante involucrado
el desarrollo/las modificaciones fueron terminados satisfactoria y oportunamente
se terminaron los reportes apropiados de aseguramiento de la calidad y se llevaron a cabo las acciones correctivas necesarias de manera oportuna
Una revisin detallada de la manera en la que la documentacin de la programacin y los sistemas es preparada, revisada, aprobada y mantenida
85
COBIT
Una revisin detallada de la manera en la que las pruebas de programas y sistemas (incluyendo pruebas piloto/en paralelo) y la documentacin son preparadas, aprobadas y mantenidas
Una revisin detallada del proceso de verificacin de post-implementacin de aseguramiento de la calidad para asegurar que los reportes consideran el cumplimiento de las provisiones del proceso del ciclo de vida del desarrollo de
sistemas, as como los aspectos de efectividad y calidad de los sistemas nuevos/modificados
8 Identificando:
Planes de calidad que no se relacionen con los planes a corto y largo plazo
Instancias en la que no se utilice la metodologa del ciclo de vida del desarrollo de sistemas y aquellas situaciones de
sobreutilizacin de la metodologa (por ejemplo demasiada estructura en proyectos pequeos, y no suficiente en
proyectos mayores)
Las instancias en las que la metodologa del ciclo de vida del desarrollo de sistemas haya sido utilizada inapropiadamente (por ejemplo, aplicar la metodologa del ciclo de vida del desarrollo de sistemas para desarrollos internos en
la implementacin de un paquete de software "off-the-shelf", sin modificarla de manera correspondiente)
Instancias en las que la coordinacin y la comunicacin entre el personal involucrado en el proceso del ciclo de vida
del desarrollo de sistemas (incluyendo terceras partes como implementadores) sean pobres o inexistentes
Instancias en las que los distintos pasos a seguir en la adquisicin y mantenimiento de la infraestructura de tecnologa
(por ejemplo, adquisicin, programacin, documentacin y pruebas; establecimiento de parmetros; mantenimiento y "applying fixes") no hayan sido seguidas adecuadamente
Situaciones en las que no exista documentacin de los programas y/o sistemas, en donde sta sea inadecuada o no est
actualizada
Instancias en las que las pruebas de programas y/o sistemas (incluyendo pruebas piloto/en paralelo) no hayan sido llevadas a cabo, hayan sido realizadas inadecuadamente y/o no hayan sido documentadas o hayan sido documentadas
inadecuadamente
Situaciones en las que las verificaciones de revisiones/post implementacin de aseguramiento de la calidad no hayan
sido llevadas a cabo o hayan sido realizadas inadecuadamente
Situaciones en las que las verificaciones de revisiones/post implementacin de aseguramiento de la calidad hayan sido
ignoradas por la administracin y en las que se hayan implementado sistemas que no deberan haber sido implementados
86
Y TECNOLOGAS AFINES
ADQUISICIN & IMPLEMENTACIN
87
COBIT
ADQUISICION E IMPLEMENTACION
AI1
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
Identificacin de soluciones
asegurar el mejor enfoque para cumplir con los requerimientos del
usuario
un anlisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios
definicin de requerimientos de informacin
estudios de factibilidad ( de costo-beneficio,
alternativas, etc)
arquitectura de informacin
seguridad con relacin de costo-beneficio
favorable
P P P
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
pistas de auditora
contratacin de terceros
aceptacin de instalaciones y tecnologa
88
AI 1
Y TECNOLOGAS AFINES
ADMINIIDENTIFICACIN DE SOLUCIONES
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Definicin de Requerimientos de Informacin

Formulacin de Acciones Alternativas
Formulacin de la Estrategia de Adquisicin
Paquetes de Software de Aplicacin
Estudio de Factibilidad Tecnolgica
Estudio de Factibilidad Econmica
Arquitectura de Informacin
Reporte de Anlisis de Riesgos
Controles Econmicos de Seguridad
Diseo de Pistas de Auditora
Ergonoma
Seleccin del Software del Sistema
Control de Abastecimiento
Adquisicin de Productos de Software
Mantenimiento de Software de Terceras Partes
Contratos de Programacin de Aplicaciones
Aceptacin de Instalaciones
Aceptacin de Tecnologa
8
Entrevistas:
Director de TI
Propietarios/patrocinadores del proyecto
Administracin de contratos
Obteniendo:
Polticas y procedimientos relacionados con el ciclo de vida de desarrollo de sistemas y con la adquisicin de software
Objetivos y planes a corto y largo plazo de tecnologa de informacin
Documentacin seleccionada del proyecto, incluyendo definicin de requerimientos, anlisis de alternativas, estudios
de factibilidad tecnolgica, estudios de factibilidad econmica, anlisis de modelos de datos de la empresa /
arquitectura de informacin, anlisis de riesgos, estudios de economa sobre control/seguridad interna, anlisis de
pistas de auditora, estudios ergonmicos, y planes de aceptacin y resultados de pruebas de instalaciones y tecnologa especfica
Contratos seleccionados relacionados con la compra, desarrollo o mantenimiento de software
89
COBIT
8 Considerando s:
Existen polticas y procedimientos que requieren que:
los requerimientos de usuarios satisfechos por el sistema existente o a ser satisfechos por el nuevo sistema propuesto o modificado sean claramente definidos antes de la aprobacin de cualquier proyecto de desarrollo, implementacin o modificacin
los requerimientos de los usuarios sean revisados y aprobados por escrito por el propietario/patrocinador enterado
antes de la aprobacin de cualquier proyecto de desarrollo, implementacin o modificacin
los requerimientos operativos y funcionales de la solucin sean satisfechos incluyendo desempeo, seguridad, confiabilidad, compatibilidad y legislacin
las soluciones alternativas a los requerimientos de los usuarios sean estudiadas y analizadas antes de seleccionar
una u otra solucin de software
se lleve a cabo la identificacin de paquetes de software comercial que satisfagan los requerimientos del usuario
para un proyecto especfico de desarrollo o modificacin antes de tomar la decisin final
las alternativas para la adquisicin de los productos de software estn claramente definidos en trminos de practicidad, internamente desarrollados, a travs del contacto o mejorar el software existente o una combinacin de todos
los anteriores
el propietario/patrocinador enterado prepare, analice y apruebe un estudio de factibilidad tcnica para cada alternativa con el fin de satisfacer los requerimientos del usuario establecidos para el desarrollo de un proyecto de sistemas nuevo o modificado
en cada proyecto de desarrollo, modificacin o implementacin de sistemas, se lleve a cabo un anlisis de los costos y los beneficios asociados con cada alternativa considerada para satisfacer los requerimientos del usuario
el propietario/patrocinador enterado prepare, analice y apruebe un estudio de factibilidad econmica antes de tomar
la decisin respecto a desarrollar o modificar un proyecto de sistemas nuevo o modificado propuesto
se preste atencin al modelo de datos de la empresa mientras de identifica y analiza la factibilidad de las soluciones
en cada proyecto de desarrollo, implementacin o modificacin de sistemas propuesto, se prepare y documente un

anlisis de las amenazas a la seguridad, de las debilidades y los impactos potenciales y las salvaguardas factibles de
seguridad y control interno para reducir o eliminar el riesgo identificado
los costos y los beneficios de seguridad sean examinados cuidadosamente para garantizar que los costos de los
controles no exceden los beneficios
se obtenga una aprobacin formal del estudio costo/beneficio por parte de la administracin
se requieran controles y pistas de auditora apropiados para ser aplicados en todos los sistemas modificados o nuevos propuestos durante la fase de diseo del proyecto
las pistas de auditoria y los controles dan la posibilidad de proteger a los usuarios contra la identificacin o mal uso
de su identidad por parte de otros usuarios (ej., ofreciendo anonimato, psedonimos, ausencia de vnculos y confidencialidad)
cada proyecto de desarrollo, implementacin o modificacin de sistemas propuesto preste atencin a los problemas
ergonmicos asociados con la introduccin de sistemas automatizados
la administracin de la funcin de servicios de informacin identifique todos los programas de software de sistemas potenciales que satisfarn sus requerimientos operativos
los productos sean revisados y probados antes de ser adquiridos y utilizados
la compra de productos de software siga las polticas de adquisicin de la organizacin definiendo el marco referencial para la creacin de la solicitud de propuesta, la seleccin del proveedor de software y la negociacin del
contrato.
para el software con licencia adquirido de terceras partes, los proveedores cuenten con procedimientos apropiados
para validar, proteger y mantener los derechos de integridad de los productos de software
la adquisicin de servicios de programacin por contrato se justifique a travs de una requisicin de servicios por
90
Y TECNOLOGAS AFINES
escrito por parte de un miembro designado de la funcin de servicios de informacin

se acuerde en el contrato con el proveedor un plan de aceptacin de las instalaciones y que dicho plan defina los
procedimientos y criterios de aceptacin
los productos finales de los servicios de programacin por contrato terminados sean revisados y probados de acuerdo con los estndares establecidos por el grupo de aseguramiento de la calidad de la funcin de servicios de informacin y otras partes interesadas antes de pagar por el trabajo realizado y aprobar el producto final
se acuerde en el contrato con los proveedores un plan de aceptacin para tecnologa especfica, y que dicho plan
defina los procedimientos y criterios de aceptacin
la adquisicin de servicios de programacin por contrato sea justificada a travs de una requisicin por escrito de
servicios por parte de un miembro designado de la funcin de servicios de informacin
Se lleve a cabo un anlisis de riesgos en lnea con el marco referencial general de evaluacin de riesgos
Existen los mecanismos para asignar o mantener los atributos de seguridad para la exportacin e importacin de datos, y para
interpretarlos correctamente.
La administracin haya desarrollado e implementado un enfoque de adquisicin central, que describa un conjunto comn de
procedimientos y estndares a ser seguidos en la adquisicin de servicios de hardware, software y servicios de tecnologa de informacin
Los contratos estipulen que el software, la documentacin y otros elementos entregables y liberables sean sujetos a pruebas y
revisiones antes de ser aceptados
Las pruebas incluidas en las especificaciones del contrato consisten en pruebas de sistema, pruebas de integracin, pruebas de
hardware y componentes, pruebas de procedimientos, pruebas de carga y estrs, pruebas de afinacin y desempeo,
pruebas de regresin, pruebas de aceptacin del usuario, y finalmente, pruebas piloto del sistema total para evitar cualquier falla inesperada del sistema
Las pruebas de aceptacin de instalaciones son llevadas a cabo para garantizar que stas y el ambiente, satisfacen los requerimientos especificados en el contrato
Las pruebas de aceptacin de tecnologa especfica deberan incluir inspeccin, pruebas de funcionalidad y de carga de trabajo
8
Probando que:
Los requerimientos de los usuarios satisfechos por el sistema existente y a ser satisfechos por el sistema nuevo o modificado
propuesto hayan sido claramente definidos, revisados y aprobados por escrito por parte del usuario enterado antes del
desarrollo, implementacin o modificacin del proyecto
Los requerimientos de las soluciones funcionales y operativas sean satisfechos incluyendo desempeo, seguridad, confiabilidad, compatibilidad y legislacin
Todas las debilidades y deficiencias de procesamiento en el sistema existente hayan sido identificadas y sean tomadas en
cuenta y resueltas completamente por el sistema nuevo o modificado propuesto
Los cursos de accin alternativos que satisfarn los requerimientos de los usuarios, establecidos para un sistema nuevo o
modificado propuesto, hayan sido analizados apropiadamente
Los paquetes de software comercial que satisfagan las necesidades de un proyecto particular de desarrollo o modificacin de
sistemas hayan sido identificados y considerados apropiadamente
Todos los costos y beneficios identificables asociados con cada alternativa hayan sido soportados apropiadamente e incluidos
como parte del estudio de factibilidad econmica requerido
Se haya prestado atencin al modelo de datos de arquitectura de informacin/empresa al identificar y analizar su factibilidad
El reporte de anlisis de riesgos en cuanto a amenazas a la seguridad, vulnerabilidades e impactos potenciales y las salvaguardas factibles de seguridad y control interno sea preciso, completo y suficiente
91
COBIT
Los problemas de seguridad y control interno hayan sido tomados en cuenta apropiadamente en la documentacin del diseo
del sistema
La aprobacin de la administracin en cuanto a que los controles existentes y planeados son suficientes y aportan beneficios
apropiados comparados con los costos de compensacin
Existen mecanismos disponibles para las pistas de auditora o que stos pueden ser desarrollados para la solucin identificada
y seleccionada
Se ha tomado en cuenta un diseo amigable al usuario para mejorar las habilidades finales de ste durante el diseo del sistema y el desarrollo de diseo de pantallas, formatos de reporte, instalaciones de ayuda en lnea, etc.
Se han considerado aspectos ergonmicos durante el diseo y el desarrollo del sistema
Se han incluido aspectos de desempeo de usuarios (por ejemplo, tiempo de respuesta del sistema, capacidades de carga/
descarga, y reportes "ad hoc") en las especificaciones de requerimientos del sistema antes de su diseo y desarrollo
La identificacin de todos los programas de software de sistemas potenciales que satisfacen los requerimientos operativos
La funcin de servicios de informacin cumpla con un conjunto comn de procedimientos y estndares en la adquisicin de
hardware, software y servicios relacionados con tecnologa de informacin
Los productos adquiridos sean revisados y probados antes de ser usados y costeados completamente
El acuerdo de compra de software permite al usuario tener una copia del cdigo fuente el programa, si aplica
Las actualizaciones, renovaciones de tecnologa y "fixes" son especificados en los documentos de adquisicin
El mantenimiento de terceras partes incluye los requerimientos de validacin proteccin y mantenimiento de la integridad del
producto de software
El personal de programacin por contrato trabaja sujetndose al mismo nivel de pruebas, revisin y aprobaciones que se exige a los programadores propios de la organizacin
La funcin de aseguramiento de la calidad de la organizacin es responsable de la revisin y aprobacin del trabajo llevado a
cabo por los programadores por contrato
La propiedad y suficiencia del plan de aceptacin de instalaciones, incluyendo los procedimientos y criterios de aceptacin
La propiedad y suficiencia del plan especfico de aceptacin de tecnologa, incluyendo inspecciones, pruebas de funcionalidad y pruebas de carga de trabajo
8
Llevando a cabo:
Mediciones ("Benchmarking:) de la identificacin de los requerimientos de los usuarios para lograr soluciones automatizadas contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
la identificacin de soluciones automatizadas para satisfacer los requerimientos del usuario (incluyendo la definicin de requerimientos del usuario, formulacin de cursos de accin alternativos; identificacin de paquetes de
software comercial y elaboracin de estudios de factibilidad de desempeo tecnolgico, de factibilidad econmica,
de arquitectura de informacin y de anlisis de riesgos)
la seguridad, los controles internos (incluyendo la consideracin de diseos amigables al usuario, ergonoma, etc.)
y las pistas de auditora disponibles o "desarrollables" para la solucin identificada y seleccionada
la seleccin e implementacin del software del sistema
las polticas y procedimientos existentes de adquisicin de software para la adecuacin y el cumplimiento del control interno de la organizacin
la manera en la que se administra el mantenimiento de terceras partes
92
Y TECNOLOGAS AFINES
la manera en la que la programacin de aplicacin por contrato ha sido monitoreada y administrada

la identificacin de todo lo especificado en el contrato por parte de la administracin de la funcin de servicios de
informacin
el proceso de aceptacin de tecnologa especfica para asegurar que las inspecciones, pruebas de funcionalidad y
pruebas de carga de trabajo satisfacen los requerimientos especificados en el contrato
Identificando:
Las deficiencias en la metodologa del ciclo de vida del desarrollo de sistemas de la organizacin
Soluciones que no satisfacen los requerimientos del usuario
Tentativas de desarrollo de sistemas que:
no hayan considerado cursos alternativos de accin, trayendo como resultado una solucin ms costosa
no hayan considerado los paquetes de software comercial que podran haber sido implementados en menos tiempo y a un menor costo
no hayan considerado la factibilidad tecnolgica de las alternativas o hayan considerado inapropiadamente la factibilidad tecnolgica de la solucin elegida, trayendo como resultado la incapacidad para implementar la solucin
como fue diseada originalmente
hayan hecho suposiciones equivocadas en el estudio de factibilidad econmica, trayendo como resultado la eleccin del curso de accin incorrecto
no hayan considerado el modelo de datos de la arquitectura de informacin/empresa, trayendo como resultado la

eleccin del curso de accin incorrecto
no hayan conducido anlisis de riesgos slidos, y consecuentemente, no hayan identificado adecuadamente los
riesgos (incluyendo amenazas, vulnerabilidades e impactos potenciales) o los controles internos y de seguridad
para reducir o eliminar los riesgos identificados
Soluciones que:
estuvieran ya sea sobre controladas o no controladas suficientemente debido a que la economa de los controles y
la seguridad fueron examinados inapropiadamente
no hayan contado con pistas de auditora adecuadas
no hayan considerado los aspectos ergonmicos y de diseo amigable para el usuario, trayendo como resultado
errores en la entrada de datos que podran haber sido evitados
no hayan seguido el enfoque de adquisiciones establecido por la organizacin, trayendo como resultado costos
adicionales creados por la organizacin
La falta de software de sistemas necesario
La inefectividad del software de sistemas debido al establecimiento incorrecto de parmetros
Mantenimiento de software de terceras partes que no haya satisfecho los trminos del contrato, afectando negativamente a la
organizacin en el logro de su misin y/o metas
Programas de aplicacin por contrato que no hayan satisfecho los trminos del contrato, trayendo como consecuencia costos
adicionales a la organizacin, atraso en la implementacin de los sistemas, etc.
Situaciones en las que las instalaciones hayan sido aceptadas sin probar completamente el ambiente, trayendo como consecuencia no satisfacer los requerimientos de los usuarios y/o no cumplir con los trminos del contrato
Las instancias en las que se haya aceptado una tecnologa especfica, pero que no se hayan llevado a cabo adecuadamente
inspecciones, pruebas de funcionalidad y pruebas de carga de trabajo, trayendo como resultado el que la tecnologa no
satisfaga los requerimientos del usuario y/o no cumpla con los trminos del contrato
Cualquier falla del sistema
93
COBIT
AI2
efe
cti
v
efi idad
c
co ie
nfi nc
de ia
nc
int ialid
e
a
dis grid d
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

adquisicin y mantenimiento de software de aplicacin
Monitoreo

proporcionar funciones automatizadas que soporten efectivamente al
negocio
la definicin de declaraciones especficas sobre requerimientos funcionales y operacionales y una implementacin estructurada con entregables claros
requerimientos de usuarios
requerimientos de archivo, entrada, proceso y
salida
interface usuario mquina
personalizacin de paquetes
pruebas funcionales
controles de aplicacin y requerimientos funcionales
documentacin
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
94
AI 2
Y TECNOLOGAS AFINES
ADQUISICIN Y MANTENIMIENTO DE SOFTWARE DE APLICACIN
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Mtodos de Diseo
Cambios Significativos a Sistemas Actuales
Aprobacin del Diseo
Definicin y Documentacin de Requerimientos de Archivos
Especificaciones de Programas
Diseo para la Recopilacin de Datos Fuente
Definicin y Documentacin de Requerimientos de Entrada de Datos
definicin de Interfases
Interfase Usuario - Mquina
Definicin y Documentacin de Requerimientos de Procesamiento
Definicin y Documentacin de Requerimientos de Salida de Datos
Controlabilidad
Disponibilidad como Factor Clave de Diseo
Estipulaciones de Integridad TI para Software de Programas de Aplicacin
Pruebas de Software de Aplicacin
Materiales de Consulta y Soporte para Usuario
Reevaluacin del Diseo del Sistema
8
Entrevistas:
Director de TI
Propietarios / patrocinadores de proyectos
8
Obteniendo:
Polticas y procedimientos relacionados con la metodologa del ciclo de vida del desarrollo de sistemas
Documentacin seleccionada del proyecto, incluyendo aprobaciones de diseos, definicin de requerimientos de archivo, especificaciones de programas, diseo de recopilacin de datos fuente, definicin
de requerimientos de entrada, interfase usuario - mquina, definicin de requerimientos de procesamiento, definicin de requerimientos de salida, requerimientos de control interno/seguridad, requerimientos de disponibilidad, provisiones para la integridad de tecnologa de informacin, plan de pruebas y resultados del software de aplicacin, materiales de soporte y referencia para usuarios y reevaluacin del diseo del sistema
95
COBIT
8
Considerando s:
Las polticas y procedimientos aseguran:
la metodologa del ciclo de vida de desarrollo de sistemas de la organizacin aplica tanto para el desarrollo de nuevos
sistemas como para la modificacin de sistemas existentes y participacin del usuario
el vnculo con el usuario al crear las especificaciones de diseo y al verificar stas contra los requerimientos del usuario
en el caso de cambios mayores a los sistemas existentes, se observe un proceso de ciclo de vida de desarrollo de sistemas similar al del utilizado en los casos de desarrollo de nuevos sistemas
las especificaciones de diseo sean aprobadas por la administracin, los departamentos usuarios afectados y la Presidencia de la organizacin, cuando esto sea apropiado para todos los proyectos nuevos de modificacin y desarrollo de
sistemas
se aplica un proceso apropiado para definir y documentar el formato de archivos para cada proyecto nuevo de desarrollo o modificacin de sistemas, incluyendo que se requiera el respeto de las reglas de diccionario de datos
se preparan especificaciones detalladas de programas para cada proyecto de desarrollo o modificacin de informacin, y que estas especificaciones concuerdan con las especificaciones del diseo del sistema
se especifican los mecanismos adecuados para la recoleccin y captura de datos para cada desarrollo nuevo del sistema o proyecto de modificacin
se especifican los mecanismos adecuados para la recopilacin y entrada de datos para cada nuevo proyecto de desarrollo o modificacin de sistemas
existen mecanismos adecuados para la definicin y documentacin de los requerimientos de entrada para cada proyecto nuevo de desarrollo o modificacin de sistemas
existe el desarrollo de una interfase entre el usuario y la mquina fcil de utilizar y autodocumentable (por medio de
funciones de ayuda en lnea)
existen mecanismos adecuados para la definicin y documentacin de los requerimientos de procesamiento para cada
nuevo proyecto de desarrollo o modificacin de sistemas
existen mecanismos adecuados para la definicin y documentacin de los requerimientos de salida para cada nuevo
proyecto de desarrollo o modificacin de sistemas
se especifican mecanismos adecuados para asegurar los requerimientos de seguridad y control internos para cada
proyecto nuevo de desarrollo o modificacin de sistemas
los requerimientos de seguridad y control interno incluyen controles de aplicacin que garantizan la precisin, suficiencia y autorizacin de entradas y salidas
se considera la disponibilidad en el proceso de diseo de sistemas nuevos o modificados en la etapa ms temprana

posible, y que esta consideracin debe analizar, en caso necesario, un incremento a travs de mejoras de mantenimiento y confiabilidad
los programas de aplicacin contienen provisiones que verifican rutinariamente las tareas llevadas a cabo por el software para ayudar a asegurar la integridad de los datos
el software de aplicacin es probado de acuerdo con el plan de pruebas del proyecto y los estndares establecidos
antes de ser aprobado por el usuario
se preparan manuales adecuados de soporte y referencia para usuarios (preferiblemente en formato electrnico) como
parte del proceso de desarrollo o modificacin de cada sistema
el diseo del sistema es reevaluado siempre que ocurren discrepancias tecnolgicas y/o lgicas significativas durante
el desarrollo o el mantenimiento del sistema
96
Y TECNOLOGAS AFINES
La metodologa del ciclo de vida de desarrollo de sistemas asegura que los materiales de soporte y referencia para usuarios
son actualizados de manera precisa y oportuna
La metodologa de ciclo de vida de desarrollo de sistemas requiere el llevar a cabo una evaluacin de sensibilidad durante la
iniciacin del desarrollo o modificacin de nuevos sistemas
La metodologa de ciclo de vida de desarrollo de sistemas requiere la evaluacin de los aspectos bsicos de seguridad y control interno de un sistema nuevo a ser desarrollado o modificado, junto con el diseo conceptual del sistema, con el fin de
integrar los conceptos de seguridad en el diseo lo ms pronto posible
La metodologa del ciclo de vida de desarrollo de sistemas requiere que los aspectos de seguridad lgica y de las aplicaciones
sean considerados e incluidos en el diseo de nuevos sistemas o modificaciones de sistemas existentes
La evaluacin de los aspectos de control internos y de seguridad est basada en un buen marco referencial
Los sistemas de Inteligencia Artificial estn funcionando en una interaccin o en el marco referencial con los operadores
humanos para asegurar que las decisiones importantes sean aprobadas.
La exposicin de la informacin sensible que se utiliza durante las pruebas de la aplicacin se reduce ya sea con limitaciones
severas de acceso o la despersonalizacin de los datos histricos.
8
Probando que:
La participacin del usuario en el proceso de ciclo de vida de desarrollo de sistemas es significativa
La metodologa del ciclo de vida de desarrollo de sistemas asegura que existe un proceso que considera apropiadamente todos los aspectos de diseo de sistemas (por ejemplo, entrada, procesamiento, salida, controles internos, seguridad, recuperacin en caso de desastre, tiempo de respuesta, reportes, control de cambios, etc.)
Los usuarios clave de los sistemas estn involucrados en el proceso del diseo del sistema
Que la revisin del diseo y el proceso de aprobacin aseguran que todos los problemas han sido resueltos antes de
comenzar a trabajar sobre la siguiente fase del proyecto
Los cambios mayores a los sistemas existentes aseguran que stos han sido desarrollados utilizando una metodologa
de ciclo de vida de desarrollo de sistemas similar a la utilizada para el desarrollo de nuevos sistemas
Existen los procedimientos de aprobacin del diseo para asegurar que la programacin del sistema no se inicie hasta
que se hayan obtenido las aprobaciones correspondientes
Los requerimientos de archivo y la documentacin del sistema, as como el diccionario de datos, son consistentes con
los estndares
Se aprueban las especificaciones finales de archivos
Las especificaciones de programacin concuerdan con las especificaciones del diseo del sistema
Las especificaciones del diseo de recoleccin de datos y de entrada de datos concuerdan
Existen las especificaciones del diseo de la interfase usuario - mquina
Las especificaciones usuario - mquina es fcil de utilizar y que autodocumentacin (utilizando instalaciones de ayuda
en lnea) funciona
Se documenten las interfaces internas y externas
Los requerimientos de procesamiento forman parte de las especificaciones del diseo
Los requerimientos de salida forman parte de las especificaciones del diseo
Los requerimientos de seguridad y control interno forman parte de las especificaciones del diseo
Las especificaciones de diseo de los requerimientos de controles de aplicacin garantizan la precisin, suficiencia,
oportunidad y autorizacin de las entradas y las salidas
Los requerimientos de seguridad y control interno han sido incluidos en el diseo conceptual del sistema (ya sea nuevo
97
COBIT
o modificado) lo ms tempranamente posible
El funcionario de seguridad est involucrado activamente en el proceso de diseo, desarrollo e implementacin del
proyecto del nuevo sistema o de modificacin del sistema
El diseo del sistema determina si se han cuantificado las mejoras de disponibilidad/confiabilidad en trminos de tiempo y de procedimientos ms eficientes en comparacin con mtodos anteriores, en caso de aplicar
Las provisiones de programas de aplicacin verifican rutinariamente las tareas llevadas a cabo por el software para
asegurar la integridad de los datos
Existen estndares de pruebas establecidos
Existe un plan de pruebas del proyecto y un proceso de aprobacin del usuario
Los materiales de soporte y referencia para usuarios, as como las instalaciones de ayuda en lnea estn disponibles
La funcin de "help desk" apoya efectivamente a los usuarios para solucionar problemas de procesamiento cada vez
ms complejos
El proceso para escalar los problemas del help desk incluye el seguimiento, monitoreo y reporte de tales problemas a la
administracin de la funcin de servicios de informacin apropiada
Se requiere la existencia de mecanismos para actualizar la documentacin de los usuarios
Existe la comunicacin sobre los cambios a la documentacin de los usuarios
Se da el proceso de reevaluacin siempre que ocurren discrepancias tecnolgicas y/o lgicas significativas
8
Llevando a cabo:
Mediciones ("Benchmarking") de los costos de adquirir y desarrollar software de aplicacin contra organizaciones similares
o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
documentacin seleccionada del diseo del sistema para evaluar la adecuacin de las especificaciones del diseo y
el cumplimiento del diseo en cuanto a dichas especificaciones
proyectos seleccionados de desarrollo o modificacin de nuevos sistemas, determinando si los documentos de especificacin del diseo han sido revisados y aprobados por la administracin de la funcin de servicios de informacin y las funciones de los usuarios afectados, as como por la Presidencia de la organizacin cuando esto sea apropiado
documentacin seleccionada del software para asegurar que los requerimientos de archivo (por lo menos para los
archivos mencionados a continuacin) son comprendidos claramente por el equipo de implementacin del proyecto
y estn siendo estructurados por sistema y requerimientos del usuario, as como por las reglas de diccionario de
datos de la organizacin:
Maestro
Transacciones
Comando
Programa
Control
Tablas
Reportes
Impresin
Bitcora
Transmisin
proyectos de desarrollo o modificacin de nuevos sistemas para asegurar que los archivos, programas, instrumentos
de recopilacin de datos fuente, entradas, interfaces usuario - mquina, pasos de procesamiento y salidas identificados en diagramas de flujo/diagramas de flujo de datos, corresponden a las especificaciones varias del diseo del
sistema
proyectos de desarrollo o modificacin de nuevos sistemas para determinar que siempre que se identifiquen discrepancias tcnicas y/o lgicas, ocurra un proceso efectivo de reevaluacin del diseo del sistema
98
Y TECNOLOGAS AFINES
proyectos de desarrollo o modificacin de nuevos sistemas para determinar la existencia de cualquier discrepancia de diseo tcnico o cualquier cambio funcional necesario
proyectos de desarrollo o modificacin de nuevos sistemas y diseos conceptuales de sistemas para evaluar la
adecuacin de las provisiones de seguridad y control interno que aseguren la precisin, la suficiencia, la oportunidad y la autorizacin de las entradas y salidas, as como la integracin de los conceptos de seguridad en el diseo
lo ms tempranamente posible
proyectos de desarrollo o modificacin de nuevos sistemas para evaluar el diseo a la luz de una mayor confiabilidad y disponibilidad para el usuario final, as como de "mantenibilidad" para el personal de mantenimiento de la
funcin de servicios de informacin
proyectos para evaluar la adecuacin de la verificacin de integridad de los datos de los programas de aplicacin
proyectos de desarrollo o modificacin de nuevos sistemas para asegurar que los materiales de referencia para los
usuarios son actuales y consistentes con la documentacin del sistema y que stos satisfacen completamente las
necesidades del usuario
Una revisin detallada de la efectividad de:
el proceso de especificacin de programas para asegurar que stos estn escritos de acuerdo a las especificaciones
del diseo del usuario
el proceso de especificacin de entradas para asegurar que los programas estn escritos de acuerdo a las especificaciones del diseo del usuario
el proceso de especificacin de interfase usuario - mquina para asegurar que los programas estn escritos de
acuerdo a las especificaciones del diseo del usuario
el proceso de especificacin de procesamiento para asegurar que los programas estn escritos de acuerdo a las
especificaciones del diseo del usuario
el proceso de especificacin de salidas para asegurar que los programas estn escritos de acuerdo a las especificaciones del diseo del usuario
Una revisin detallada de los estndares de prueba de la organizacin y la implementacin de los planes de pruebas relacionados para proyectos seleccionados de desarrollo y modificacin de nuevos sistemas
Una revisin detallada de la satisfaccin del usuario con el sistema, sus reportes, la documentacin y material de referencia
para el usuario, las instalaciones de ayuda, etc.
8
Identificando:
Deficiencias en la metodologa de ciclo de vida de desarrollo de sistemas utilizada para los proyectos de desarrollo o modificacin de nuevos sistemas
Especificaciones de diseo que no reflejen los requerimientos del usuario
Requerimientos de archivo que no sean consistentes con las reglas de diccionario de datos de la organizacin
Proyectos de desarrollo o modificacin de nuevos sistemas que contengan archivos, programas, seleccin de datos fuente,
entradas, interfaces usuario - mquina, procesamiento, requerimientos de salida y/o Controlabilidad inadecuadamente
definidos
Proyectos de desarrollo o modificacin de nuevos sistemas en los que la disponibilidad no haya sido considerada en el proceso de diseo
Deficiencias en la integridad de los datos en software de programas de aplicacin en proyectos de desarrollo o modificacin
de nuevos sistemas
Deficiencias en los estndares de pruebas de la organizacin, trayendo como consecuencia la implementacin de sistemas
que procesan incorrectamente los datos, y emiten incorrectamente reportes
Deficiencias en los planes de prueba en proyectos nuevos de desarrollo o modificacin de sistemas
Deficiencias en los materiales de soporte y referencia para usuarios en proyectos nuevos de desarrollo o modificacin de
sistemas
Discrepancias tcnicas y/o lgicas significativas que hayan ocurrido durante el desarrollo o mantenimiento del sistema que
no hayan trado como consecuencia la reevaluacin del diseo del sistema, y por lo mismo, no hayan sido corregidos o
hayan trado como resultado correcciones provisionales no econmicas en el sistema
99
COBIT
AI3
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

adquisicin y mantenimiento de arquitectura de software
Monitoreo

proporcionar las plataformas apropiadas para soportar aplicaciones de
negocios
la evaluacin del desempeo de hardware y software, la provisin de mantenimiento
preventivo de hardware y la instalacin,
seguridad y control del software del sistema
evaluacin de tecnologa
mantenimiento preventivo de hardware
seguridad del software de sistema, instalacin,
mantenimiento y control sobre cambios
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
100
AI 3
Y TECNOLOGAS AFINES
ADQUISICIN Y MANTENIMIENTO DE ARQUITECTURA DE TECNOLOGA
1
2
3
4
5
6
Evaluacin de Nuevo Hardware y Software

Mantenimiento Preventivo para Hardware
Seguridad del Software del Sistema
Instalacin del Software del Sistema
Mantenimiento del Software del Sistema
Controles para Cambios del Software del Sistema
8
Entrevistas:
Director de TI
Propietarios / patrocinadores de proyectos
Obteniendo:
Polticas y procedimientos relacionados con la metodologa del ciclo de vida del desarrollo de sistemas
Documentacin seleccionada del proyecto, incluyendo aprobaciones de diseos, definicin de requerimientos de archivo, especificaciones de programas, diseo de recopilacin de datos fuente, definicin de requerimientos de entrada, interfase usuario - mquina, definicin de requerimientos de procesamiento, definicin de requerimientos de
salida, requerimientos de control interno/seguridad, requerimientos de disponibilidad, provisiones para la integridad de tecnologa de informacin, plan de pruebas y resultados del software de aplicacin, materiales de soporte y
referencia para usuarios y reevaluacin del diseo del sistema

8
Considerando s:
Existen polticas y procedimientos que aseguran que:
se prepara un plan de evaluacin formal para evaluar el nuevo hardware y software en cuanto a cualquier
impacto sobre el desempeo global del sistema
la posibilidad de acceso al software del sistema y con ella, la posibilidad de interrumpir los sistemas de informacin operativa es limitada
la preparacin, instalacin y mantenimiento del software del sistema no amenaza la seguridad de los datos y
programas almacenados en el sistema
se seleccionan parmetros del software del sistema para asegurar la integridad de los datos y programas almacenados en el sistema
101
COBIT
el software del sistema es instalado y mantenido de acuerdo con el marco referencial de adquisicin y mantenimiento de la infraestructura de tecnologa
los proveedores de software del sistema proporcionan estatutos de aseguramiento de la integridad como parte de su software y todas las modificaciones al mismo
la prueba global (por ejemplo, utilizando una metodologa de ciclo de vida de desarrollo de sistemas) de
software del sistema ocurre antes de que ste sea introducido al ambiente de produccin
los passwords o contraseas de instalacin proporcionados por el proveedor de software son modificados al
momento de la instalacin y que los cambios al software del sistema son controlados en lnea con los procedimientos de administracin de cambios de la organizacin
Existen polticas y procedimientos para el mantenimiento preventivo de hardware (tanto el operado por la funcin de
servicios de informacin como por las funciones de los usuarios afectados) para reducir la frecuencia y el impacto
de las fallas de desempeo
Se cumple con los pasos y la frecuencia de mantenimiento preventivo prescritos por el proveedor para cada dispositivo
de hardware operado por la funcin de servicios de informacin y las funciones de los usuarios afectados
8
Probando que:
Existen los estatutos de aseguramiento de la integridad del software entregados por el proveedor de software del sistema para todo el software del sistema (incluyendo todas las modificaciones) y considera las exposiciones resultantes en el software del sistema
La evaluacin del desempeo trae como resultado la comparacin con los requerimientos del sistema
Existe un proceso formal de evaluacin del desempeo
El calendario de mantenimiento preventivo asegura que el mantenimiento de hardware programado no tendr ningn
impacto negativo sobre aplicaciones crticas o sensibles
El mantenimiento programado asegura que no ha sido planeado para perodos pico de carga de trabajo y que la funcin de servicios de informacin y las operaciones de los grupos de usuarios afectados son suficientemente
flexibles para adaptar el mantenimiento preventivo rutinario planeado
Los programas operativos de servicios de informacin aseguran que existen las preparaciones adecuadas para manejar anticipadamente los tiempos muertos de hardware ocasionados por mantenimiento no programado
Los parmetros del software del sistema aseguran que fueron elegidos los correctos por parte del personal apropiado
de la funcin de sistemas de informacin con el fin de asegurar la integridad de los datos y los programas almacenados en el sistema
El acceso se restringe nicamente a un nmero limitado de operadores dentro de la funcin de servicios de informacin
El software del sistema es instalado y mantenido de acuerdo con el marco referencial de adquisicin y mantenimiento
para la infraestructura de tecnologa
Se llevan a cabo pruebas completas (utilizando una metodologa de ciclo de vida de desarrollo de sistemas) para todo
el software del sistema antes de autorizar su introduccin al ambiente de produccin
Todos los passwords o contraseas de instalacin del software del sistema proporcionados por los proveedores fueron cambiados al momento de la instalacin
Todos los cambios al software del sistema fueron controlados de acuerdo con los procedimientos de administracin
de cambios de la organizacin
102
Y TECNOLOGAS AFINES
La administracin del sistema (por ejemplo, adicin de nuevos usuarios al sistema y a las redes; creacin y respaldo de
bases de datos, asignacin de espacio para almacenamiento de datos, prioridades del sistema, etc.) se restringen
nicamente a un nmero limitado de operadores dentro de la funcin de servicios de informacin
8
Llevando a cabo:
Mediciones ("Benchmarking") de la adquisicin, implementacin y mantenimiento de hardware y software contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Una revisin de tallada de:
la documentacin seleccionada de sistemas operacionales o proyectos de desarrollo o modificacin de sistemas para determinar si los requerimientos formales de desempeo de hardware y software (incluyendo referencias para volumen de transaccin, tiempos de procesamiento y respuesta, tamaos de archivos y bases de
datos, volmenes de redes y compatibilidad de protocolos de comunicaciones) existen para todos los sistemas
prcticas de mantenimiento de hardware para determinar si el mantenimiento est siendo llevado a cabo de
acuerdo con los lineamientos del proveedor y calendarizado de tal manera que no afecte el desempeo global
del sistema
documentacin seleccionada de sistemas operacionales y sistemas en desarrollo o modificacin para evaluar

las habilidades potenciales para burlar las restricciones de seguridad de acceso lgicas existentes proporcionadas por el software del sistema
instalacin, mantenimiento del sistema y controles de cambio para asegurar el cumplimiento con el marco
referencial de adquisicin y mantenimiento para la infraestructura de tecnologa y la integridad del sistema
Identificando:
Evaluaciones de desempeo que hayan afectado el desempeo global del sistema
Problemas de mantenimiento preventivo que hayan afectado el desempeo global del sistema Debilidades en la preparacin, instalacin y mantenimiento de software del sistema (incluyendo la seleccin de parmetros inapropiados
de software del sistema) que hayan amenazado la seguridad de los datos y los programas almacenados en el sistema
Debilidades en las pruebas de software del sistema que pudieran amenazar la seguridad de los datos y los programas
almacenados en el sistema
Debilidades en el proceso de control de cambios del software del sistema que pudieran amenazar la seguridad de
los datos y los programas almacenados en el sistema
103
COBIT
AI4
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

desarrollo y mantenimiento de procedimientos relacionados con tecnologa de
informacin
Monitoreo

asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas
un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de
servicio y material de entrenamiento
procedimientos y controles de usuarios
procedimientos y controles operacionales
materiales de entrenamiento
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P
104
Y TECNOLOGAS AFINES
AI 4 DESARROLLO Y MANTENIMIENTO DE PROCEDIMIENTOS DE TECNOLOGA DE NFORMACIN

1
2
3
4
Futuros Requerimientos y Niveles de Servicios Operacionales

Manual de Procedimientos para Usuario
Manual de Operaciones
Material de Entrenamiento
8
Entrevistas:
Desarrollo de aplicaciones de la funcin de servicios de informacin
Mantenimiento de la funcin de servicios de informacin
Control de cambios de la funcin de servicios de informacin
Operaciones de la funcin de servicios de informacin
Recursos humanos/entrenamiento de la funcin de servicios de informacin
Administracin de aseguramiento de la calidad de la funcin de servicios de informacin
Usuarios seleccionados de recursos de sistemas de informacin
Obteniendo:
Polticas y procedimientos organizacionales relacionados con:
Planeacin estratgica y objetivos del negocio, planeacin de sistemas de informacin y desarrollo de aplicaciones
Polticas y procedimientos de las funciones de servicios de informacin relacionadas con el desarrollo del sistema, incluyendo: organigrama, metodologa del ciclo de vida de desarrollo de sistemas, planeacin de capacidad, manuales de usuarios y operaciones, materiales de entrenamiento, pruebas y migracin a estatus de produccin y documentos de planeacin de reanudacin/ contingencia

8
Considerando s:
Los requerimientos operativos fueron determinados con estadsticas histricas de desempeo disponibles y entradas del usuario con respecto a incrementos/decrementos esperados
El nivel de servicio y las expectativas de desempeo estn o suficientemente detallados para permitir el seguimiento, la
emisin de reportes y las oportunidades de mejora
Los requerimientos operativos y los niveles de servicio estn determinados utilizando tanto desempeo histrico y
ajustes de usuario como mediciones o "benchmarks" de la industria
Los niveles de servicio y requerimientos de procesamiento son un paso integral en la planeacin de nuevos sistemas
Los manuales de procedimientos de usuarios, el manual de operaciones y los materiales de entrenamiento estn desarrollados como parte de cada proyecto de desarrollo, implementacin o modificacin de sistemas de informacin,
y se mantienen actualizados
105
COBIT
8
Probando que:
Existen requerimientos operacionales y que stos reflejan tanto las expectativas de operacin como las de los usuarios
El desempeo operacional est siendo medido, comunicado y corregido en donde existen deficiencias
El personal de operaciones y los usuarios estn conscientes y tienen conocimiento de los requerimientos de desempeo
El personal de operaciones cuenta con manuales de operaciones para todos los sistemas y procesamientos bajo su
responsabilidad
Todo el movimiento de programas de desarrollo de aplicaciones a produccin requiere la actualizacin o creacin de
un manual de operaciones
Existen manuales de entrenamiento de usuarios para todas las aplicaciones, y reflejan actualmente la funcionalidad de
la aplicacin
Existen manuales de entrenamiento para todos los sistemas existentes y nuevos, y que stos apoyan a los usuarios,
reflejando el uso del sistema en la prctica diaria
Los manuales de usuario incluyen, pero no se limita a:
visin global de los sistemas y el ambiente
explicacin de todas la entradas, programas, salidas e integracin (con otros sistemas) de los sistemas
explicacin de todas las pantallas de entrada y despliegue de datos
explicacin de todos los mensaje de error y la respuesta apropiada
procedimientos y/o recursos de escalamiento de problemas

El manual de operacin incluyen, pero no se limita a:
nombre del sistema, nombre de los programas, secuencia de ejecucin
definicin de los nombres de todos los archivos de entrada, proceso y de salida y del formato del medio
calendarizacin para las corridas diarias, semanales, mensuales, trimestrales, cuatrimestrales, fin de ao,
etc.
comandos y parmetros de consola que requieran entradas por parte del operador
mensajes y respuestas de mensajes de error
procedimientos de respaldo, reinicio y recuperacin en varios puntos o al darse una terminacin anormal
formatos o procedimientos de salidas especiales; distribucin de reportes/salidas
procedimiento de solucin en caso de emergencia, si aplica

Se llevan a cabo el entrenamiento y el mantenimiento continuo de la documentacin de aplicacin, manuales de operacin y de usuario

8
Llevando a cabo:
Para una seleccin de proyectos de desarrollo de sistemas, revisiones y aprobaciones de documentacin en cuanto a:
la consideracin de futuros requerimientos y niveles de servicio de usuarios
la tarea, entrega y liberacin para la creacin y mantenimiento de manuales de usuario
la tarea, entrega y liberacin para la creacin y mantenimiento del manual de operacin
la tarea, entrega y liberacin de entrenamiento para el usuario para comprender y utilizar nuevos sistemas o
nuevas modificaciones
106
Y TECNOLOGAS AFINES
Entrevistas a los usuarios para confirmar la suficiencia de las tentativas de desarrollo de sistemas, incluyendo los manuales desarrollados y el entrenamiento proporcionado
El anlisis tanto de manuales de usuario como de operaciones en cuanto a actualidad y mantenimiento continuo
8
Identificando:
deficiencias en los manuales de usuarios, operaciones y entrenamiento
la no existencia de acuerdos de niveles servicio entre el proveedor y la funcin de servicios de informacin
Vendedor y funcin de servicios de informacin
funcin y usuarios de servicios de informacin
debilidades organizacionales para desarrollar y correr las aplicaciones requeridas
107
COBIT
AI5
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

instalacin y acreditacin de sistemas
Monitoreo

verificar y confirmar que la solucin sea adecuada para el propsito
deseado
la realizacin de una migracin de instalacin, conversin y
plan de aceptacin adecuadamente formalizados
capacitacin
conversin / carga de datos
pruebas especficas
acreditacin
revisiones post implementacin
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
108
Y TECNOLOGAS AFINES
AI 5 INSTALACIN Y ACREDITACIN DE SISTEMAS

1
2
3
4
5
6
7
8
9
10
11
Entrenamiento
Adecuacin del Desempeo del Software de Aplicacin
Conversin
Pruebas de Cambios
Criterios y Desempeo de Pruebas en Paralelo/Piloto
Prueba de Aceptacin Final
Pruebas y Acreditacin de Seguridad
Prueba Operacional
Promocin a Produccin
Evaluacin de la Satisfaccin de los Requerimientos del Usuario
Revisin Gerencial Post - Implementacin
8
Entrevistas:
Director de TI
Entrenamiento, desarrollo de aplicaciones, seguridad, aseguramiento de la calidad y administracin de operaciones de
la funcin de servicios de informacin
Administracin seleccionada de sistemas recientemente desarrollados/en desarrollo
Contratos con proveedores para recursos de desarrollo de sistemas
Obteniendo:
Polticas y procedimientos organizacionales relacionados con la planeacin del ciclo de vida de desarrollo de sistemas
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con polticas y comits de seguridad, planeacin del ciclo de vida de desarrollo de sistemas para programas, unidades, planes de prueba
del sistema, entrenamiento de usuarios, migracin de sistemas de prueba a produccin, aseguramiento de la
calidad y entrenamiento
Plan y calendarizacin del ciclo de vida de desarrollo de sistemas, estndares de programacin de ciclo de vida de desarrollo de sistemas, incluyendo procesos de requisicin de cambios
Reportes muestra de estatus de tentativas de desarrollo de sistemas
Reportes post-implementacin de tentativas de desarrollo anteriores

8
Considerando s:
Existen polticas y procedimientos relacionados con el proceso de ciclo de vida de desarrollo de sistemas
109
COBIT
Existe una metodologa formal de ciclo de vida de desarrollo de sistemas para la instalacin y acreditacin de sistemas, incluyendo, pero no limitndose a, un enfoque en fases sobre: entrenamiento, adecuacin del desempeo,
plan de conversin, pruebas de programas, grupos de programas (unidades) y del sistema total, un plan de pruebas prototipo o paralelo, pruebas de aceptacin, pruebas y acreditacin de seguridad, pruebas operativas, controles de cambio, revisin y modificacin de implementacin y post-implementacin
Se lleva a cabo el entrenamiento de usuarios como parte de cada tentativa de desarrollo
Los controles de los programas/sistema son consistentes con los estndares de seguridad de la organizacin y con las
polticas, procedimientos y estndares de la funcin de servicios de informacin
Existen varias libreras de desarrollo, prueba y produccin para los sistemas en proceso
Existen criterios predeterminados para probar el acierto, las fallas y la terminacin de tentativas futuras
El proceso de aseguramiento de la calidad incluye la migracin independiente de desarrollo a las libreras de produccin y la suficiencia de la aceptacin requerida de los usuarios y grupos de operacin
Los planes de prueba para simulacin de volmenes, intervalos de proceso y disponibilidad y acreditacin de salidas
forman parte del proceso
El programa de entrenamiento asociado con una muestra de varias tentativas de desarrollo de sistemas contiene: diferencias con respecto al sistema anterior, cambios que afecten las entradas, procesamiento, calendarizacin, distribucin, interfaces con otros sistemas, errores y correccin de errores
Las herramientas automatizadas optimizan los sistemas desarrollados, en produccin, y si estas herramientas son utilizadas para oportunidades de eficiencia
La solucin de problemas ocurre en relacin con un desempeo por debajo de lo ptimo
8 Probando que:
Se ha incluido en todas las tentativas de desarrollo de nuevos sistemas un plan formal para el entrenamiento de
usuarios
El personal est consciente, comprende y tiene conocimiento de la necesidad de controles formales de desarrollo de
sistemas y entrenamiento de usuarios para cada instalacin e implementacin de desarrollo
La consciencia, comprensin y conocimiento de usuarios seleccionados con respecto a sus responsabilidades en el
diseo, aprobacin, pruebas, entrenamiento, conversin y proceso de implementacin es conocida y considerada
Se da seguimiento a los costos reales del sistema comparados con los costos estimados, y al desempeo real contra
el esperado de los sistemas nuevos o modificados
Existe un plan de pruebas que cubre todas las reas de recursos de sistemas de informacin: software de
aplicacin, instalaciones, tecnologa y usuarios
Los usuarios comprenden todas las fases y responsabilidades en el desarrollo de sistemas, incluyendo:
especificaciones de diseo, incluyendo iteraciones durante el ciclo de desarrollo
anlisis costo/beneficio y estudio de factibilidad
aprobacin en cada paso del proceso de desarrollo del sistema
compromiso y evaluacin del plan de pruebas y los resultados de las pruebas al ocurrir stas
aprobacin y aceptacin del sistema a travs del ciclo de desarrollo
aprobacin final y aceptacin del sistema
evaluacin de la suficiencia del entrenamiento recibido para sistemas recientemente entregados y liberados
110
Y TECNOLOGAS AFINES
El personal de desarrollo y la administracin aseguran la estabilidad de los requerimientos de los usuarios una vez
acordados stos
La satisfaccin del usuario es medida contra los elementos entregables y liberables de los proveedores, en comparacin con los productos internos
8
Llevando a cabo:
Mediciones ("Benchmarking") de la instalacin y acreditacin de sistemas contra organizaciones similares o estndares
internacionales/buenas prcticas reconocidas en la industria apropiadas
el cumplimiento del grupo de desarrollo con las fechas lmite y tareas en relacin con la satisfaccin del
usuario la funcionalidad del sistema una vez completado
el material de entrenamiento asociado con sistemas anteriores
la revisin independiente y migracin de los sistemas del ambiente de prueba al estatus y las libreras de
produccin por parte de la funcin de aseguramiento de la calidad
las herramientas y monitoreo de redes y recursos utilizados para recopilar estadsticas para mantenimiento y
optimizacin, asegurando el soporte a las aplicaciones desarrolladas para lograr un desempeo mximo a un
costo mnimo
registros de una tentativa de desarrollo para determinar la disponibilidad de:
Entrenamiento de usuarios
Seguridad
Desempeo de software
Documentacin y resultados de pruebas
Plan de conversin
Migracin a produccin
Control de cambios durante el desarrollo
Satisfaccin de las necesidades del usuario
Pruebas piloto o en paralelo
Revisin post-implementacin
conclusiones de auditora interna o externa con respecto al proceso de diseo de sistemas
resultados de las pruebas para confirmar si stos satisfacen los criterios predefinidos y si todas las funciones
del sistema fueron incluidas en los planes de prueba
discusiones de la administracin sobre los resultados de las pruebas, as como cualquier prueba terminada o
proyecto de desarrollo
participacin del usuario en el proceso de desarrollo
pistas de auditora dirigidas a recrear una actividad o el anlisis de errores segn sea necesario
participacin del proveedor en la tentativa de desarrollo incluyendo:
lo razonable de los costos
el cumplimiento con las fechas lmite
la funcionalidad entregada y liberada
111
COBIT
8 Identificando:
Para una seleccin de proyectos recientes de ciclo de vida de desarrollo de sistemas:
compromiso del usuario y aprobacin formal en cada fase del proceso de desarrollo de sistemas
plan de pruebas para programas, unidades, sistemas (incluyendo prototipo o en paralelo), conversin, implementacin, y revisin post-implementacin
consistencia apropiada con los estndares de seguridad y control interno
tareas y calendarizacin apropiadas para la conversin de datos
la realizacin de pruebas independientemente de aqullas de desarrollo, modificacin o mantenimiento del

sistema
aceptacin formal por parte de los usuarios con respecto a la funcionalidad, seguridad, integridad y riesgo
remanente del sistema
Los manuales de operacin para calendarizacin, corridas, recuperacin/reinicio, respaldo / "backout" y solucin de
errores consideran:
la separacin fsica y lgica de las libreras de productos con respecto a las de desarrollo o pruebas
los procedimientos de solucin entre las expectativas de los usuarios y la funcionalidad del sistema entregado y liberado, cuando stos se encuentren en conflicto
Para los proveedores:
la formalidad de las relaciones con los proveedores y la existencia de contratos
la consideracin de servicios especficos y costos
que el desempeo del proveedor es controlado tambin por la metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin
el cumplimiento del proveedor en cuanto a desempeo, fechas lmite y especificaciones de costos de los
contratos
112
Y TECNOLOGAS AFINES
113
COBIT
AI6
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
administracin de cambios
minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores
un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y
llevados a cabo a la infraestructura de TI actual
identificacin de cambios
procedimientos de categorizacin, priorizacin
y emergencia
evaluacin del impacto
autorizacin de cambios
manejo de liberacin
distribucin de software
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
114
AI 6
ADMINISTRACIN DE
Y TECNOLOGAS AFINES
CAMBIOS
1
2
3
4
5
6
7
Inicio y Control de Requisiciones de Cambio

Evaluacin del Impacto
Control de Cambios
Documentacin y Procedimientos
Mantenimiento Autorizado
Poltica de Liberacin de Software
Distribucin de Software
8
Entrevistas:
Director de TI
Administracin de desarrollo de sistemas, aseguramiento de la calidad de control de cambios, operaciones y seguridad
Administracin de usuarios seleccionada involucrada en el diseo y utilizacin de aplicaciones de sistemas de informacin
Obteniendo:
Polticas y procedimientos organizacionales relacionadas con: planeacin de sistemas de informacin, control de cambios, seguridad y ciclo de vida de desarrollo de sistemas
Polticas y procedimientos de la funcin de servicios de sistemas de informacin relacionadas con: metodologa del
ciclo de vida de desarrollo de sistemas, estndares de seguridad, aseguramiento independiente de la calidad, implementacin, distribucin, mantenimiento, cambios de emergencia, liberacin de software y control de versiones
del sistema.
Plan de desarrollo de aplicaciones
Formato y bitcora de requisiciones de control de cambios
Contratos con proveedores relacionados con servicios de desarrollo de aplicacin

8
Considerando s:
Existe y se utiliza una metodologa para priorizar los requerimientos de cambios al sistema de los
Se consideran procedimientos de cambios de emergencia en los manuales de operaciones
El control de cambios es un procedimiento formal tanto para los usuarios como para los grupos de desarrollo
La bitcora de control de cambios asegura que todos los cambios mostrados fueron resueltos
El usuario est satisfecho con el resultado de los cambios solicitados - calendarizacin y costos
115
COBIT
Para una seleccin de cambios en la bitcora de control de cambios:
el cambio trajo como resultado modificaciones en los programas y operaciones
los cambios hayan sido llevados a cabo como fueron documentados
la documentacin actual refleja el ambiente modificado

El proceso de cambios es monitoreado en cuanto a mejoras en el conocimiento, efectividad en el tiempo de respuesta y
satisfaccin del usuario con respecto al proceso
El mantenimiento al sistema de Intercambio de rama privada o Exchange Private Branch (PBX) se incluye en los procedimientos de control de cambios
8
Probando que:
Para una muestra de cambios, la administracin ha aprobado los siguientes puntos:
solicitud de cambios
especificacin del cambio
acceso al programa fuente
finalizacin del cambio por parte del programador
solicitud para mover el programa fuente al ambiente de prueba
finalizacin de pruebas de aceptacin
solicitud de compilacin y paso a produccin
determinacin y aceptacin del impacto general y especfico
desarrollo de un proceso de distribucin

La revisin del control de cambios en cuanto a la inclusin de:
fecha del cambio solicitado
persona(s) que lo solicitan
solicitud aprobada de cambios
aprobacin del cambio realizado - funcin de servicios de informacin
aprobacin del cambio realizado usuarios
fecha de actualizacin de documentacin
fecha de paso a produccin
aprobacin del cambio por parte de aseguramiento de la calidad
aceptacin por parte de operaciones

Los tipos de anlisis de cambios realizados al sistema para la identificacin de tendencias
La evaluacin de la adecuacin de las libreras de la funcin de servicios de informacin y la determinacin de la
existencia de niveles de cdigo base para prevenir la regresin de errores
Existen procedimientos de entradas y salidas ("check in/check out) para cambios
Todos los cambios en la bitcora fueron resueltos a satisfaccin de los usuarios y que no se llevaron a cabo cambios
que no hayan sido registrados en la bitcora
Los usuarios tienen consciencia y conocimiento de la necesidad de procedimientos formales de control de cambios
El proceso de reforzamiento del personal asegura el cumplimiento de los procedimientos de control de cambios
116
Y TECNOLOGAS AFINES

8
Llevando a cabo:
Mediciones ("Benchmarking") de la administracin de control de cambios contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Para sistemas seleccionados de la funcin de servicios de informacin:
una verificacin en cuanto a si la documentacin determina el requerimiento o si el cambio del sistema ha

sido aprobado y priorizado por parte de la administracin de las reas usuarias afectadas y el proveedor de
servicios
la confirmacin de la existencia y adecuacin de evaluacin del impacto en formas de control de cambios
la obtencin del conocimiento del cambio a travs de un acuse de recibo de solicitud de cambios de la funcin de servicios de informacin
la asignacin del cambio a los recursos apropiados de desarrollo
la adecuacin de los sistemas y los planes de prueba de los usuarios y sus resultados
la migracin formal de prueba a produccin va grupo de aseguramiento de la calidad
la actualizacin de los manuales de usuario y de operacin para reflejar el cambio
la distribucin de la nueva versin a los usuarios apropiados
Identificando:
Para una seleccin de cambios de informacin que:
slo se llevaron a cabo cambios aprobados
todos los cambios han sido considerados
las libreras actuales (fuente y objeto) reflejan los cambios ms recientes
las variaciones en el procedimiento de control de cambios entre:
aplicaciones adquiridas e internas
software de aplicacin y de sistemas
tratamiento del control de cambios por parte del proveedor
117
COBIT
118
Y TECNOLOGAS AFINES
ENTREGA & SOPORTE
119
COBIT
ENTREGA DE SERVICIOS Y SOPORTE
DS1
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
Definicin de niveles de servicio

establecer una comprensin comn del nivel de servicio requerido
el establecimiento de convenios de niveles de servicio
que formalicen los criterios de desempeo contra los
cuales se medir la cantidad y la calidad del servicio
convenios formales
definicin de responsabilidades
tiempos y volmenes de respuesta
dependencias
cargos
garantas de integridad
convenios de confidencialidad
P P P P P
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
120
Y TECNOLOGAS AFINES
DS 1 DEFINICIN DE NIVELES DE SERVICIO

1
2
3
4
5
6
7
Marco de Referencia para el Convenio de Nivel de Servicio

Aspectos sobre los Acuerdos de Nivel de Servicio
Procedimientos de Ejecucin
Monitoreo y Reporte
Revisin de Convenios y Contratos de Nivel de Servicio
Elementos sujetos a Cargo
Programa de Mejoramiento del Servicio
8
Entrevistas:
Director de Informacin
Administrador del nivel de servicio/contrato de servicios de informacin
Administrador de operaciones de la funcin de servicios de informacin
Administracin de usuarios
Obteniendo:
Polticas y procedimientos generales para la organizacin asociadas a las relaciones proveedor/usuario
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con:
Acuerdos de nivel de servicio
Contenido de emisin de reportes operativos, tiempos y distribucin
Mtodos de seguimiento de desempeo
Actividades de accin correctiva
Documentacin de la funcin de servicios de informacin relacionada con:
Reportes de desempeo de nivel de servicio
Algoritmos de cargo y metodologa para calcular cargos
Programas de mejora del servicio
Recurso resultante de un bajo desempeo
Acuerdos de nivel de servicio con usuarios y proveedores internos y externos

8 Considerando s:
Se identifica por poltica un proceso de acuerdo de nivel de servicio
La participacin en el proceso por parte del usuario se requiere para la creacin y modificacin de acuerdos
Estn definidas las responsabilidades de usuarios y proveedores
La administracin monitorea y emite reportes sobre el logro de los criterios de desempeo de servicio especificados y
sobre todos los problemas encontrados
121
COBIT
Existe un proceso de revisin regular llevado a cabo por la administracin
Se identifica un proceso de recurso en caso de un bajo desempeo
Los acuerdos de nivel de servicio incluyen, pero no se limitan a contar con:
definicin de servicio
costo del servicio
nivel de servicio mnimo cuantificable
nivel de soporte por parte de la funcin de servicios de informacin
disponibilidad, confiabilidad y capacidad de crecimiento
planeacin de recuperacin en caso de desastre/contingencia
requerimientos de seguridad
procedimientos de cambio para cualquier parte del acuerdo
acuerdo por escrito y formalmente aprobado entre el proveedor y el usuario del servicio
revisin/renovacin/no renovacin del perodo efectivo y del nuevo perodo
contenido y frecuencia del reporte de desempeo y pago de servicios
cargos realistas comparados contra la historia, la industria y las buenas prcticas
clculo de cargos
compromiso de mejoras al servicio

8
Probando que:
Para una muestra de acuerdos pasados y en proceso, el contenido incluye:
definicin del servicio
costo del servicio
nivel de servicio mnimo cuantificable
nivel de soporte por parte de la funcin de servicios de informacin
disponibilidad, confiabilidad y capacidad de crecimiento
procedimiento de cambios para cualquier parte del acuerdo
planeacin de recuperacin en caso de desastre/contingencia
acuerdo por escrito y formalmente aprobado entre el proveedor y el usuario del servicio
revisin/renovacin/no renovacin del perodo efectivo y nuevo perodo
contenido y la frecuencia del reporte de desempeo el pago de servicios
cargos realistas comparados con la historia, la industria y las buenas prcticas
clculos de cargos
compromiso de mejoras al servicio
aprobacin formal por parte de usuarios y proveedores

Los usuarios apropiados estn conscientes, tienen conocimiento y comprenden los procesos y procedimientos del
acuerdo de nivel de servicio
El nivel de satisfaccin del usuario en cuanto al proceso y acuerdos reales del nivel de servicio actuales es suficiente
El servicio proporciona registros para asegurar razones para un bajo desempeo ("non-performance") y para asegurar
que existe un programa para la mejora del desempeo
La precisin de los cargos reales concuerda con el contenido del acuerdo
122
Y TECNOLOGAS AFINES
Se da seguimiento al desempeo histrico comparndolo contra el compromiso de mejora al servicio determinado anteriormente
Los reportes sobre el logro del desempeo de servicio especificado son utilizados apropiadamente por la administracin para asegurar un desempeo satisfactorio
Los reportes sobre todos los problemas encontrados son utilizados apropiadamente para asegurar que se toman las acciones correctivas correspondientes
8 Llevando a cabo:
Mediciones ("Benchmarking") de los acuerdos del nivel de servicio contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria
Una revisin:
del acuerdo de nivel de servicio para determinar que se definen y alcanzan las provisiones cualitativas y
cuantitativas que confirman las obligaciones
del acuerdo de nivel de servicio seleccionado para confirmar que los procedimientos de solucin de problemas, especficamente el desempeo bajo sean incluidos y llevados a cabo
8 Identificando:
La conveniencia de las provisiones que describen, coordinan y comunican la relacin entre el proveedor y el usuario de
los servicios de informacin
Clculos incorrectos para categoras seleccionadas de informacin
Revisiones continuas y acciones correctivas llevadas a cabo por la administracin de reportes del nivel de servicio
La conveniencia de las mejoras a los servicios propuestos en comparacin con el anlisis costo/beneficio
La conveniencia de la capacidad de los proveedores para alcanzar en el futuro los objetivos comprometidos de mejoras
123
COBIT
DS2
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

administracin de servicios prestados por terceros
Monitoreo

asegurar que las tareas y responsabilidades de las terceras partes estn
claramente definidas, que cumplan y continen satisfaciendo los requerimientos
medidas de control dirigidas a la revisin y monitoreo de
contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la organizacin
acuerdos de servicio con terceras partes

acuerdos de confidencialidad
requerimientos legales regulatorios
monitoreo de la entrega de servicio
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
124
Y TECNOLOGAS AFINES
DS 2 ADMINISTRACIN DE SERVICIOS PRESTADOS POR TERCEROS

1
2
3
4
5
6
7
8
Interfases con Proveedores

Relaciones de propietarios
Contratos con Terceros
Calificaciones de Terceros
Contratos con Fuentes Externas
Continuidad de Servicios
Relaciones de Seguridad
Monitoreo
8
Entrevistas:
Administrador de contrato/nivel de servicio de servicios de informacin
Administracin de las operaciones de la funcin de servicios de informacin
Funcionario de seguridad de la funcin de servicios de informacin
Obteniendo:
Polticas generales para la organizacin asociadas con los servicios adquiridos y en particular, con las relaciones con
proveedores como terceras partes
Polticas y procedimientos de la funcin de servicios de informacin asociadas con: relaciones con terceras partes, procedimientos de seleccin de proveedores, contenido del control de dichas relaciones, seguridad lgica y fsica,
mantenimiento de la calidad por parte de los proveedores, planeacin de contingencias y fuentes externas
Una lista de todas las relaciones actuales con terceras partes y de los contratos reales asociados con ellas
El reporte del nivel de servicio relacionado con las relaciones y servicios proporcionados por terceras partes
Las minutas de las reuniones en las que se discuten la revisin de los contratos, la evaluacin del desempeo y la administracin de las relaciones
Los acuerdos de confidencialidad para todas las relaciones con terceras partes
Las listas de seguridad de acceso con los perfiles y recursos disponibles para los vendedores

8
Considerando s:
Existen polticas y procedimientos de la funcin de servicios de informacin asociadas con las relaciones con terceras
partes, y si stas son consistentes con las polticas generales de la organizacin
Existen polticas que consideran especficamente la necesidad de contratos, de una definicin del contenido de los mismos, del propietario o administrador de las relaciones responsable de asegurar la creacin, mantenimiento, monitoreo y renegociacin de los contratos
125
COBIT
Considerando si, contina
Las interfaces estn definidas para agentes independientes involucrados en la conduccin del proyecto y dems partes
como los subcontratados.
Los contratos representan un registro completo de las relaciones con los proveedores como terceras partes
Los contratos estn establecidos especficamente para la continuidad de los servicios, y que dichos contratos incluyen
una planeacin de contingencias por parte del proveedor para asegurar la continuidad del servicio a los usuarios de
stos
El contenido de los contratos incluye por lo menos lo siguiente:
aprobacin formal administrativa y legal
entidad legal que proporciona los servicios
servicios proporcionados
acuerdos cualitativos y cuantitativos de nivel de servicio
costo de los servicios y frecuencia de su pago
proceso de solucin de problemas
sanciones por bajo desempeo
proceso de disolucin
proceso de modificacin
reporte de servicio - contenido, frecuencia y distribucin
funciones entre las partes del contrato durante la vida del mismo
aseguramiento de continuidad que indica que el servicio ser proporcionado por el proveedor
usuarios de los servicios y procesos y frecuencia de las comunicaciones del proveedor
duracin del contrato
nivel de acceso proporcionado por el proveedor
garantas de confidencialidad
derecho a acceso y a auditar

Los acuerdos de depsito se han negociado en su momento
Los terceros en potencia se han calificado adecuadamente mediante la evaluacin de su habilidades para proveer el
servicio requerido (vencimiento del trabajo)
8
Probando que:
La precisin y existencia de la lista de contratos y de los contratos
Ningn servicio es proporcionado por algn proveedor no incluido en la lista de contratos mencionada
Los proveedores mencionados en los contratos efectivamente estn llevando a cabo los servicios definidos
La administracin/los propietarios de los proveedores comprenden su responsabilidad dentro del contrato
Las polticas y procedimientos de la funcin de servicios de informacin asociadas con las relaciones con terceras partes
existen y son consistentes con las polticas generales de a organizacin
Existen polticas que consideran especficamente la necesidad de establecer contratos, la definicin del contenido de los
mismos, del propietario o administrador de la relacin responsable de asegurar que los contratos sean creados, mantenidos, monitoreados y renegociados segn se requiera
Los contratos representan un registro completo de las relaciones con los proveedores como terceras partes
Los contratos estn establecidos para asegurar especficamente la continuidad de los servicios, y que dichos contratos
126
LINEAMIENTOS DE AUDITORA
Y TECNOLOGAS AFINES
incluyen una planeacin de contingencias por parte del proveedor para asegurar el servicio continuo a los usuarios
El contenido de los contratos incluyen por lo menos lo siguiente:
aprobacin formal administrativa y legal
entidad legal para proporcionar los servicios
servicios proporcionados
acuerdos cuantitativos y cualitativos del nivel de servicio
costo y frecuencia de los servicios y su pago
proceso de solucin de problemas
sanciones por bajo desempeo
proceso de disolucin
proceso de modificacin
reporte de servicios - contenido, frecuencia y distribucin
funciones entre las partes del contrato durante la vida del mismo
aseguramiento de la continuidad de los servicios prestados por el proveedor
usuarios de los servicios y frecuencia del proceso de comunicaciones del proveedor
duracin del contrato
nivel de acceso proporcionado por el proveedor
garantas de confidencialidad
derecho de acceso y de auditar

Los usuarios tienen consciencia, conocimiento y comprenden la necesidad de contar con polticas de contratos y con los
contratos mismos para proporcionar servicios
Existe una independencia adecuada entre el proveedor y la organizacin
Se dan independientemente la bsqueda y la seleccin de proveedores
La lista de seguridad de acceso incluye nicamente un nmero mnimo de proveedores requeridos, y que dicho acceso es
el mnimo necesario
El acceso de hardware y software a los recursos de la organizacin es administrado y controlado para minimizar su utilizacin por parte de los proveedores
El nivel real de servicios proporcionados se compara en gran medida con las obligaciones contractuales
Las instalaciones, personal, operaciones y controles de fuentes externas aseguran un nivel de desempeo requerido comparable con el esperado
El monitoreo continuo de liberacin y entrega de servicios por parte de terceros es llevado a cabo por la administracin
Se llevan a cabo auditoras independientes de las operaciones de la parte contratante
Existen los reportes de evaluacin para terceros con el fin de evaluar sus capacidades para entregar el servicio requerido
Las interfases de los agentes independientes involucrados en la conduccin del proyecto estn documentadas en el contrato.
La historia de la actividad de litigacin - actual y anterior
Los contratos con proveedores PBX estn y cubiertos
127
COBIT
8 Llevando a cabo:
Mediciones ("Benchmarking") de los servicios de terceras partes contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria
Una revisin detallada de cada uno de los contratos de terceras partes para determinar provisiones cualitativas y cuantitativas que confirmen la definicin de las obligaciones
8 Identificando:
Provisiones que describen, coordinan y comunican la relacin entre el proveedor y el usuario de los servicios de informacin
Facturas de terceras parte que reflejan cargos precisos por servicios por contrato seleccionados
El vnculo de la organizacin con los proveedores como terceras partes que asegura la comunicacin de problemas de
contrato entre las partes y los usuarios de los servicios
La aprobacin de todos los contratos por parte de la administracin y el consejo legal
La puesta en prctica de evaluaciones de riesgos para confirmar la necesidad de las relaciones o la necesidad de modificar la relacin
La revisin continua y las acciones correctivas sobre los reportes de contratos llevadas a cabo por la administracin
Lo razonable de la aplicacin de los cargos en comparacin con el desempeo interno, externo y de la industria
La existencia de planes de contingencia para todos los servicios contratados, especficamente para los servicios de recuperacin en caso de desastre de la funcin de servicios de informacin
Para las funciones de fuentes externas, defectos aparentes u oportunidades para mejorar el desempeo o reducir costos
La implementacin de recomendaciones contenidas en auditoras independientes llevadas a cabo por la parte contratante
128
Y TECNOLOGAS AFINES
129
COBIT
DS3
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
administracin de desempeo y capacidad

asegurar que la capacidad adecuada est disponible y que se
est haciendo el mejor uso de ella para alcanzar el desempeo
deseado
controles de manejo de capacidad y desempeo que
recopilen datos y reporten acerca del manejo de cargas
de trabajo, tamao de aplicaciones, manejo y demanda
de recursos
P P P
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
requerimientos de disponibilidad y desempeo

monitoreo y reporte
herramientas de modelado
administracin de capacidad
disponibilidad de recursos
130
Y TECNOLOGAS AFINES
DS 3 ADMINISTRACIN DE DESEMPEO Y CAPACIDAD

1
2
3
4
5
6
7
8
9
Requerimientos de Disponibilidad y Desempeo

Plan de Disponibilidad
Monitoreo y Reporte
Herramientas de Modelado
Manejo de Desempeo Proactivo
Pronstico de Carga de Trabajo
Manejo de Capacidad de Recursos
Disponibilidad de Recursos
Calendarizacin de Recursos
8
Entrevistas:
Administracin de operaciones de la funcin de servicios de informacin
Administracin de la capacidad de la funcin de servicios de informacin
Administracin de redes de la funcin de servicios de informacin
8 Obteniendo:
Polticas y procedimientos globales para la organizacin relacionados con la disponibilidad, monitoreo y reporte del
desempeo, pronstico de la carga de trabajo, administracin de la capacidad y calendarizacin
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: el enlace de la capacidad con el
plan del negocio, la disponibilidad de los servicios, la planeacin de la disponibilidad, el monitoreo continuo y la
administracin del desempeo
Representaciones del producto por parte del proveedor con respecto a las normas de capacidad y desempeo
Una lista de todos los productos actuales del proveedor en lo referente a hardware, software, comunicaciones y perifricos
Reportes de monitoreo de redes de comunicacin
Minutas de las reuniones en las que se discuten la planeacin de la capacidad, las expectativas de desempeo y la
"afinacin" del desempeo
Documentos de disponibilidad, capacidad, carga de trabajo y planeacin de recursos
Presupuesto de TI anual incluyendo las suposiciones relacionadas con la capacidad y el desempeo
Reportes relacionados con el desempeo operativo dentro de la funcin de servicios de informacin, incluyendo el
reporte y la historia de la solucin de problemas
8
Considerando s:
Los perodos de tiempo y el nivel de servicio estn definidos para todos los servicios proporcionados por la funcin de
131
COBIT
servicios de informacin
Los perodos de tiempo y los niveles de servicio reflejan los requerimientos del usuario
Los perodos de tiempo y los niveles de servicio son consistentes con las expectativas de desempeo del potencial del
equipo
Existe un plan de disponibilidad, si ste es actual y refleja los requerimientos del usuario
Se lleva a cabo y se reporta un monitoreo continuo del desempeo de todo el equipo y de la capacidad, y si la falta de
un desempeo adecuado es considerada por la administracin y si se consideran formalmente las oportunidades de
mejoras al desempeo
Se monitorea el desempeo ptimo de configuracin utilizando herramientas de modelado para maximizar el desempeo y al mismo tiempo, minimizar la capacidad a los niveles requeridos
Los usuarios y los grupos de desempeo operativo revisan proactivamente la capacidad, el desempeo, y si se llevan a
cabo modificaciones a la calendarizacin de la carga de trabajo
El pronstico de la carga de trabajo incluye las entradas hechas por los usuarios debido a demandas cambiantes y por
los proveedores debido a nueva tecnologa o a mejoras a los productos actuales
8
Probando que:
Las estadsticas sobre reportes de desempeo, capacidad y disponibilidad son precisas, incluyendo una comparacin
entre las explicaciones de las variaciones de desempeo histricas y las pronosticadas
El proceso de cambios para modificar los documentos de planeacin de disponibilidad, capacidad y carga de trabajo
refleja los cambios en la tecnologa o los requerimientos del usuario
Los reportes de anlisis de flujo de trabajo consideran las oportunidades de eficiencia de procesos adicionales
El reporte de informacin del desempeo para los usuarios relacionado con el uso y la disponibilidad, existe, incluyendo capacidad calendarizacin de carga de trabajo y tendencias
Existen procedimientos de escalamiento, que stos son seguidos y son apropiados para la solucin de problemas
La fase de post - implementacin de la metodologa de desarrollo de sistemas incluye criterios para determinar el crecimiento futuro y los cambios a las expectativas de desempeo
Los niveles de soporte proporcionados por la funcin de servicios de informacin son suficientes para apoyar las metas
de la organizacin

8
Llevando a cabo:
Mediciones ("Benchmarking") de la administracin del desempeo y la capacidad contra organizaciones similares o
estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Pruebas de las necesidades continuas del negocio, para asegurar que los trminos y requerimientos de disponibilidad
de TI reflejan adecuadamente estas necesidades
Una revisin del proceso de planeacin de capacidad y recursos para asegurar la modificacin oportuna de los planes,
tomando como base las necesidades cambiantes del negocio
Una verificacin para asegurar que las expectativas de desempeo estn siendo alcanzadas en lo referente a capacidad,
respuesta y disponibilidad
Una comparacin de los requerimientos de desempeo desde una perspectiva de anlisis costo/beneficio, para asegurar
132
Y TECNOLOGAS AFINES
que no existen excedentes de capacidad o recursos

Una verificacin peridica del reporte de desempeo producido y revisado por la administracin
Identificando:
Reportes de desempeo en cuanto a oportunidades de mejora o solucin de debilidades
Las expectativas de desempeo de los usuarios estn siendo satisfechas, y que las modificaciones basadas en cambios
de requerimientos estn siendo reflejadas en el plan
Bitcoras o reportes de problemas que confirmen que los problemas ocurridos durante el procesamiento fueron considerados oportunamente y que se llevaron a cabo las acciones correctivas apropiadas
Problemas especficos encontrados y el aseguramiento de la efectividad del proceso de solucin de problemas
133
COBIT
DS4
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
garantizar la seguridad de sistemas

mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en caso de interrupciones
teniendo un plan de continuidad probado y funcional,
que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio
clasificacin de severidad
plan documentado
procedimientos alternativos
respaldo y recuperacin
pruebas y entrenamiento sistemticos y
regulares
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
134
Y TECNOLOGAS AFINES
DS 4 ASEGURAMIENTO DE SERVICIO CONTINUO

1
Marco de Referencia para Continuidad de TI
2
Estrategia y Filosofa del Plan de Continuidad de TI
3
Contenido del Plan de Continuidad de TI
4
Reduccin de los Requerimientos de la Continuidad de TI
5
Mantenimiento del Plan de Continuidad de TI
6
Prueba del Plan de Continuidad de TI
7
Capacitacin para el Plan de Continuidad de TI
8
Distribucin del Plan de Continuidad de TI
9
Procedimientos de Respaldo del Procesamiento Alterno en el Departamento Usuario
10 Recursos de TI Crticos
11 Respaldo del Sitio y Hardware
12 Procedimientos de Involucramiento
8
Entrevistas:
Administracin de contingencias de la funcin de servicios de informacin
Administracin de recursos humanos o entrenamiento
Organizaciones de usuarios con necesidades de reanudacin/contingencia
Administrador del centro de cmputo de recuperacin del proveedor
Administrador del almacenamiento fuera del centro de cmputo
Administrador de riesgos/seguros
8 Obteniendo:
Polticas y procedimientos generales para la organizacin relacionados con el proceso de planeacin de recuperacin/
contingencia
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: el marco referencial, el plan, la
filosofa, la estrategia, la priorizacin de aplicaciones, el plan de pruebas, los respaldos y rotaciones regulares y el
entrenamiento de recuperacin de desastres/contingencia
El plan de recuperacin de desastres/contingencia de la funcin de servicios de informacin
Los usuarios de los servicios de planes de reanudacin del negocio/contingencia
Los resultados de las pruebas de los planes para usuario de recuperacin de desastre/contingencia y reanudacin del
negocio/contingencia ms recientes
La metodologa para determinar la priorizacin de aplicaciones en caso de desastre
Los contratos de los proveedores que dan soporte a los servicios de recuperacin/soporte
Polticas de seguros por interrupcin del negocio
135
COBIT
8
Considerando s:
Las polticas organizacionales requieren de un marco referencial de recuperacin/contingencia y de un plan como parte
de los requerimientos normales de operacin tanto para la funcin de servicios de informacin como para todas las
organizaciones dependientes de los recursos de sistemas de informacin
Las polticas y procedimientos de la funcin de servicios de informacin requieren de:
una filosofa y un marco referencial consistentes en relacin con el desarrollo de un plan de recuperacin de desastres/contingencia
una priorizacin de las aplicaciones con respecto a los tiempos de recuperacin y regreso
una evaluacin de riesgos y la consideracin de seguros por prdidas del negocio en situaciones de recuperacin
de desastre/contingencia para la funcin de servicios de informacin, as como para los usuarios de los recursos
una determinacin de funciones y responsabilidades especficas con respecto a la planeacin de recuperacin de

desastres/contingencia con pruebas, mantenimiento y requerimientos de actualizacin especficos
un acuerdo de contrato formal con los proveedores que prestan servicios para proporcionar servicios en caso de
desastre, incluyendo instalaciones de centro de cmputo o relaciones de respaldo, anticipndose a una necesidad
real
la inclusin de los siguientes puntos como contenido mnimo en cada plan de recuperacin de desastre/
contingencia:
Procedimientos de emergencia para garantizar la seguridad de todos los miembros del personal afectados
Funciones y responsabilidades de la funcin de servicios de informacin, de los proveedores que prestan servicios de recuperacin de desastres, de los usuarios de los servicios y del personal administrativo de soporte
Un marco referencial de recuperacin de desastres consistente con un plan de contingencias a largo plazo
Una lista de los recursos de sistemas que requieren alternativas (hardware, perifricos, software)
Una lista de las aplicaciones mayores y menores, de los tiempos de recuperacin requeridos y de las normas
de desempeo esperadas
Funciones administrativas para comunicar y proporcionar servicios de soporte tales como beneficios, nmina,
comunicacin externa, seguimiento de costos, etc. en caso de desastre
Escenarios de desastre varios, desde las prdidas mnimas hasta la prdida total de la capacidad y respuesta
en suficiente detalle para llevar a cabo una ejecucin paso a paso.
La identificacin de equipo especfico y necesidades de suministros tales como impresoras de alta velocidad,
firmas, formatos, equipo de comunicacin, telfonos, etc., as como de una fuente y fuente
El entrenamiento, la consciencia y el conocimiento de las funciones individuales y de equipo en el plan de

recuperacin de desastre
La calendarizacin de las pruebas, los resultados de la ltima prueba y las acciones correctivas llevadas a
cabo tomando como base la(s) prueba(s) anterior(es)
El detalle de los proveedores de servicios contratados, de los servicios y de la expectativas de respuesta
La informacin logstica de la localizacin recursos clave, incluyendo el centro de cmputo de respaldo para
la recuperacin de sistemas operativos, aplicaciones, archivos de datos, manuales de operacin y documentacin de programas/sistema/usuarios
Los nombres, direcciones, nmeros de telfono/ "localizadores" (pagers) actuales del personal clave
La inclusin de los planes de reconstruccin para la recuperacin en la localidad original de todos los sistemas y recursos
Las alternativas de reanudacin del negocio para todos los usuarios para el establecimiento de localidades de
136
Y TECNOLOGAS AFINES
trabajo alternativas, una vez que los recursos de sistemas de informacin estn disponibles (por ejemplo, el
sistema ha sido recuperado en el centro de cmputo alternativo pero el edificio de los usuarios sufri un incendio y no est disponible
Los requerimientos de la agencia reguladora con respecto a la planeacin de contingencia estn siendo satisfechos
Los planes de contingencia para usuarios son desarrollados tomando como base la no disponibilidad de los recursos
fsicos para llevar a cabo procesamientos crticos - manuales y computarizados
Los sistemas de telefona, Correo de Voz, fax y sistemas de imgenes son parte del plan de continuidad
Los sistemas de imgenes, los sistemas de fax, los documentos en papel y los medios de almacenamiento masivo son
parte del plan de continuidad.
8
Probando que:
Existen planes de recuperacin de desastre/contingencia, que ste es actual y que es comprendido por todas las partes
afectadas
Se ha proporcionado a todas las partes involucradas un plan regular de entrenamiento de contingencia y recuperacin
en caso de desastre
Se han seguido todas las polticas y procedimientos relacionadas con el desarrollo del plan
El contenido del plan tiene como base el contenido descrito anteriormente, y que:
los objetivos del plan de contingencia han sido alcanzados
se ha seleccionado a las personas apropiadas para llevar a cabo funciones de liderazgo
el plan ha recibido las revisiones y aprobaciones apropiadas por parte de la administracin
el plan ha sido probado recientemente y que ste trabaj de acuerdo con lo esperado, o que cualquier deficiencia encontrada trajo como resultado la aplicacin de correcciones al plan
existe un vnculo entre el plan de recuperacin en caso de desastres y el plan de negocios de la organizacin
los procedimientos manuales alternativos son documentados y probados como parte de la prueba global
Se han dado el entrenamiento, la consciencia y el conocimiento de los usuarios y del personal de la funcin de servicios de informacin en cuanto a funciones, tareas y responsabilidades especficas dentro del plan
Las relaciones y tiempos del proveedor contratado son consistentes con las expectativas y necesidades del usuario
El contenido del centro de cmputo de respaldo est actualizado y es suficiente con respecto a los procedimientos normales de rotacin fuera del centro de cmputo

8
Llevando a cabo:
Mediciones ("Benchmarking") de la planeacin de recuperacin de desastres/contingencias contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
los objetivos del plan para asegurar una estrategia apropiada y una interfase con la estrategia de continuidad
general del negocio
la comprensin apropiada del personal con respecto a proporcionar liderazgo como coordinadores del plan
el plan verificado y aprobado por los niveles apropiados de la presidencia
los miembros seleccionados de la funcin de servicios de informacin y del departamento usuario para verificar que las necesidades del negocio estn incluidas en el plan de contingencia
137
COBIT
los procedimientos de usuario para el procesamiento de datos manual alternativo para asegurar que stos estn documentados por los departamentos usuarios con el fin de ser utilizados cuando ocurra un desastre, y
hasta que haya posibilidad de restaurar las operaciones despus del desastre
los suministros de aplicacin especficos, para asegurar que existe inventario suficiente en un centro de cmputo exterior (por ejemplo, cintas magnticas, reserva de cheques, reserva de certificados, etc.)
8 Identificando:
Los contratos de los proveedores para verificar los tiempos para obtener suministros y la suficiencia de detalles del
servicio, oportunidad, niveles de servicio y costos
Las provisiones para adquirir componentes de redes o de telecomunicaciones especializadas
Escenarios varios a corto plazo y permanentes como parte del plan
La priorizacin de aplicaciones ocurridas en forma consistente con las expectativas de los usuarios
Que existen contratos por escrito para instalaciones de centro de cmputo externas proporcionales a las necesidades
Velocidad, respuesta, disponibilidad y soporte de procesamiento del centro de cmputo alternativo, suficientes para los
requerimientos de los usuarios
Plan(es) de recuperacin de desastre del (de los) proveedor(es) para asegurar la continuidad de sus servicios en caso de
desastre
La lejana de los servicios alternativos del proveedor con respecto al centro de cmputo original, con el fin de eliminar
la posibilidad de desastres mutuos
Pruebas peridicas del plan, habiendo ocurrido ajustes al plan basndose en pruebas
Al personal usuario y de la funcin de servicios de informacin, asegurndose que haya recibido regularmente entrenamiento en recuperacin de desastres
La existencia de equipos, funciones y responsabilidades de reconstruccin similares, as como pruebas para migrar el
procesamiento desde el lugar de procesamiento alternativo al centro de cmputo original
138
Y TECNOLOGAS AFINES
139
COBIT
DS5
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
garantizar la seguridad de sistemas

salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdida
controles de acceso lgico que aseguren que el acceso
a sistemas, datos y programas est restringido a usuarios autorizados
140
P P P P P
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
autorizacin
autenticacin
acceso
perfiles e identificacin de usuarios
administracin de llaves criptogrficas
manejo, reporte y seguimiento de incidentes
Prevencin y deteccin de virus
Firewalls
Y TECNOLOGAS AFINES
DS 5 GARANTIZAR LA SEGURIDAD DE SISTEMAS

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Manejo de las Medidas de Seguridad

Identificacin, Autenticacin y Acceso
Seguridad de Acceso a Datos en Lnea
Administracin de Cuentas de Usuario
Revisin Gerencial de Cuentas de Usuario
Control de Usuario de las Cuentas de Usuario
Vigilancia de Seguridad
Clasificacin de Datos
Administracin Centralizada de Identificacin y Derechos de Acceso
Reportes de Actividades de Violacin y Seguridad
Manejo de Incidentes
Re-acreditacin
Confianza en el Colega
Autorizacin de Transaccin
No Rechazo
Ruta Confiable
Proteccin de las Funciones de Seguridad
Administracin de Llaves Criptogrficas
Prevencin, Deteccin y Correccin del Software Daino
Arquitectura de Firewalls y Conexiones con las Redes Pblicas
Proteccin del Valor Electrnico
8
Entrevistas:
Oficial de seguridad Senior de la organizacin
Administracin de la seguridad y presidencia de la funcin de servicios de informacin
Administrador de la base de datos de la funcin de servicios de informacin
Administrador de la seguridad de la funcin de servicios de informacin
Administracin de desarrollo de aplicaciones de la funcin de servicios de informacin
8 Obteniendo:
Polticas y procedimientos globales para la organizacin referentes a la seguridad y el acceso de los sistemas de informacin
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: seguridad y acceso a los sistemas de informacin
Polticas y procedimientos relevantes, as como requerimientos de seguridad legales y regulatorios de los sistemas de
informacin (por ejemplo, leyes, regulaciones, lineamientos, estndares industriales) incluyendo:
141
COBIT
procedimientos de administracin de cuentas de usuario

poltica de seguridad del usuario o de proteccin de la informacin
estndares relacionados con el comercio electrnico
esquema de clasificacin de datos
inventario de software de control de acceso
plano de los edificios/habitaciones que contienen recursos de sistemas de informacin
inventario o esquema de los puntos de acceso fsico a los recursos de sistemas de informacin (por ejemplo, mdems, lneas telefnicas y terminales remotas)
procedimientos de control de cambios de software de seguridad
procedimientos de seguimiento, solucin y escalamiento de problemas
reportes de violaciones a la seguridad y procedimientos de revisin administrativa
inventario de dispositivos de encriptacin de datos y de estndares de encriptacin
lista de los proveedores y clientes con acceso a los recursos del sistema
lista de los proveedores de servicios utilizados en la transmisin de datos
prcticas de administracin de redes relacionadas con pruebas continuas de seguridad
copias de los contratos de los proveedores de servicios de transmisin de datos
copias de documentos firmados de seguridad y conocimiento de los usuarios
contenido del material de entrenamiento de seguridad para nuevos empleados
reportes de auditora de auditores externos, proveedores de servicios como terceras partes y dependencias gubernamentales relacionadas con la seguridad de los sistemas de informacin

8
Considerando s:
Se cuenta con un plan de seguridad estratgico que proporcione una direccin y control centralizados sobre la seguridad de
los sistemas de informacin, as como requerimientos de seguridad de usuario con propsitos de consistencia
Se cuenta con una organizacin de seguridad centralizada responsable de asegurar el acceso apropiado a los recursos del sistema
Se cuenta con un esquema de clasificacin de datos en operacin que indique que todos los recursos del sistema cuentan con
un propietario responsable de su seguridad y contenido
Se cuenta con perfiles de seguridad de usuario que representen los menos accesos requeridos y que muestren revisiones
regulares a los perfiles por parte de la administracin con fines de reacreditacin
El entrenamiento de los empleados incluye un conocimiento y conciencia sobre seguridad, las responsabilidades de los propietarios y los requerimientos de proteccin contra virus
Se cuenta con reportes de violaciones a la seguridad y procedimientos formales de solucin de problemas. Estos reportes
debern incluir:
intentos no autorizados de acceso al sistema (sign on)
intentos no autorizados de acceso a los recursos del sistema
intentos no autorizados para consultar o modificar las definiciones y reglas de seguridad
privilegios de acceso a recursos por ID de usuario
modificaciones autorizadas a las definiciones y reglas de seguridad
accesos autorizados a los recursos (seleccionados por usuario o recurso)
cambio de estatus de la seguridad del sistema
accesos a las tablas de parmetros de seguridad del sistema operativo
142
Y TECNOLOGAS AFINES
Existen mdulos criptogrficos y procedimientos clave de mantenimiento, si stos son administrados centralizadamente y si
son utilizados para todas las actividades de acceso externo y de transmisin
Existen estndares de administracin criptogrfica claves tanto para la actividad centralizada como para la de los usuarios
Los controles de cambios al software de seguridad son formales y consistentes con los estndares normales de desarrollo y
mantenimiento de sistemas
Los mecanismos de autenticidad en uso proveen las siguientes facilidades:
uso individual de datos de autenticidad (ej., passwords y no re- utilizables)
autentificacin mltiple (ej., se utilizan dos o ms mecanismos de autenticidad diferentes)
autenticidad basada en la poltica (ej., capacidad para especificar procedimientos de autenticidad aparte en los
eventos especficos)
autenticidad a demanda (ej., capacidad de volver a autentificar al usuario, en ocasiones, despus de la autentificacin inicial)
El nmero de sesiones concurrentes correspondientes al mismo usuario estn limitadas
Al entrar, aparece un mensaje de advertencia preventivo en relacin al uso adecuado del hardware, software o conexin.
Se despliega una pantalla de advertencia antes de completar la entrada para informar al lector que los accesos no autorizados
podran causar responsabilidades legales
Al lograrse la sesin exitosamente, se despliega el historial de los intentos exitosos y fallidos de acceso a la cuenta del usuario
La poltica de password incluye:
cambio inicial de password la primera vez de uso
longitud adecuada mnima del password
la frecuencia obligada mnima de cambio de password
verificacin del password en la lista de valores no permitidos (ej., verificacin de diccionario)
proteccin adecuada para los passwords de emergencia

El procedimiento formal para resolucin de problemas incluye:
ID de usuario suspendido despus de 5 intentos de entrada fallidos
Fecha del ltimo acceso y el nmero de intentos fallidos se despliega al usuario autorizado de las entradas
El tiempo de autenticidad se limita a 5 minutos, despus del cual se concluye la sesin
Se le informa al usuario la suspensin, pero no la razn de la misma

Los procedimientos de marcacin incluyen la marcacin anterior o autenticidad base prueba
Los mtodos de control de locacin se utilizan para aplicar restricciones adicionales a las locaciones especficas
El acceso al servicio VoiceMail y el sistema PBX est controlado con los mismos controles fsicos y lgicos de los sistemas
computacionales
Ocurren el refuerzo a las polticas de posicin delicada, incluyendo:
se les pide a los empleados en puestos delicados que permanezcan alejados de la organizacin durante un periodo
adecuado cada ao gregoriano; durante este tiempo su ID de usuario se suspende; y las personas que lo sustituyen
deben notificar a la administracin en caso de advertirse cualquier anormalidad de seguridad
la rotacin de personal sin previa notificacin al personal en reas delicadas se realiza de tiempo en tiempo
El hardware y software de seguridad, como los mdulos de encriptacin, estn protegidos contra la intromisin o divulgacin, el acceso se limita a la base de la necesidad de conocimiento
El acceso a los datos de seguridad como el manejo de la seguridad, datos de transaccin delicados, passwords y claves de
encriptacin se limita a la base de la necesidad de conocimiento
Se utilizan rutas confiables para transmitir informacin delicada no encriptados
Para evitar la suspensin del servicio por ataques con faxes basura, se toman medidas de seguridad como:
evitar la publicacin de nmeros de fax fuera de la organizacin en la base de necesidad de conocimiento

143
COBIT
las lneas de fax utilizadas para solicitudes del negocio no se utilizan con otros fines
Las medidas preventivas y detectoras de control se han establecido con respecto a los virus de computadoras
Para reforzar la integridad de los valores electrnicos, se toman las medidas:
facilidades de lector de tarjeta protegido contra la destruccin, publicacin o modificacin de la informacin de la

tarjeta
la informacin de la tarjeta (NIP y dems informacin) se protege contra la divulgacin del intruso
se evita la falsificacin de las tarjetas

Para reforzar la proteccin de las facilidad de seguridad, se toman medidas:
el proceso de identificacin y autenticidad requiere ser repetido despus de un cierto periodo de inactividad
un sistema de candado, un botn de fuerza o una secuencia de salida se puede activar cuando la terminal se deja encendida
8
Probando que:
La funcin de servicios de informacin cumple con los estndares de seguridad relacionados con:
autenticacin y acceso
administracin de clasificacin de perfiles de usuario y seguridad de datos
reportes y revisin gerencial de las violacin e incidentes de seguridad
estndares criptogrficos administrativos clave
deteccin de virus, solucin y comunicacin
clasificacin y propiedad de datos

Existen procedimientos para la requisicin, establecimiento y mantenimiento del acceso de usuarios al sistema
Existen procedimientos para el acceso externo de recursos del sistema, por ejemplo, "logon, ID, password o contrasea
y dial back
Se lleva un inventario de los dispositivos del sistema para verificar su suficiencia
Los parmetros de seguridad del sistema operativo tienen como base estndares locales/del proveedor
Las prcticas de administracin de seguridad de la red son comunicadas, comprendidas e impuestas
Los contratos de los proveedores de acceso externo incluyen consideraciones sobre responsabilidades y procedimientos de
seguridad
Existen procedimientos de logon reales para sistemas, usuarios y para el acceso de proveedores externos
Se emiten reportes de seguridad en cuanto a la oportunidad, precisin y respuesta gerencial a incidentes
El acceso a las llaves y mdulos criptogrficos se limita a necesidades reales de consulta
Existen llaves secretas para la transmisin
Los procedimientos para la proteccin contra software maligno incluyen:
todo el software adquirido por la organizacin se revisa contra los virus antes de su instalacin y uso
existe una poltica por escrito para bajar archivos (downloads), aceptacin o uso de aplicaciones gratuitas y compartidas y esta poltica est vigente
el software para aplicaciones altamente sensibles est protegido por MAC (Messsage Authentication Code- Cdigo de Autentificacin de Mensajes) o firma digital, y fallas de verificacin para evitar el uso del software
los usuarios tienen instrucciones para la deteccin y reportes de virus, como el desempeo lento o crecimiento
misterioso de archivos
existe una poltica y un procedimiento vigente para la verificacin de disquetes externos al programa de compra
normal de la organizacin
144
Y TECNOLOGAS AFINES
Los firewalls poseen por lo menos las siguientes propiedades:
todo el trfico de adentro hacia fuera y viceversa debe pasar por estos firewalls (esto no debe limitarse a los controles digitales, debe reforzarse fsicamente)
slo se permitir el paso al trfico autorizado, como se define en la poltica de seguridad local
los firewalls por s misma es inmune a la penetracin
el trfico se intercambia en firewalls a la capa de aplicacin nicamente
la arquitectura del firewall combina las medidas de control tanto a nivel de la red como de la aplicacin
la arquitectura del firewall refuerza la discontinuidad de un protocolo en la capa de transportacin
la arquitectura del firewall debe estar configurada de acuerdo a la filosofa de arte mnima
la arquitectura del firewall debe desplegar slida autentificacin para la administracin y sus componentes
la arquitecura del firewall oculta la estructura de la red interna
la arquitectura del firewall provee una auditora de todas las comunicaciones hacia o a travs del sistema del firewall y activar alarmas cuando se detecte alguna actividad sospechosa
el host de la organizacin, que provee el soporte para las solicitudes de entrada al servicio de las redes pblicas,
permanece fuera del firewall
la arquitectura del firewall se defiende de los ataques directos (ej., a travs del monitoreo activo de la tecnologa de
reconocimiento de patrones y trfico)
todo cdigo ejecutable se explora en busca de cdigos malignos ej., virus, applets dainos) antes de introducirse a
la red interna
8
Llevando a cabo:
Mediciones (Benchmarking) de la seguridad de los sistemas de informacin contra organizaciones similares o estndares
internacionales/buenas prcticas reconocidas en la industria apropiadas
Una revisin detallada de la seguridad de los sistemas de informacin, incluyendo evaluaciones de penetracin de la seguridad fsica y lgica de los recursos computacionales, de comunicacin, etc.
Entrevistas a los nuevos empleados para asegurar el conocimiento y la conciencia en cuanto a seguridad y en cuanto a las
responsabilidades individuales, por ejemplo, confirmar la existencia de declaraciones de seguridad firmadas y el entrenamiento para nuevos empleados en cuanto a seguridad
Entrevistas a usuarios para asegurar que el acceso est determinado tomando como base la necesidad (menor necesidad) y
que la precisin de dicho acceso es revisada regularmente por la gerencia
8 Identificando:
Accesos inapropiados por parte de los usuarios a los recursos del sistema
Inconsistencias con el esquema o inventario de redes en relacin con puntos de acceso faltantes, accesorios faltantes, etc.
Deficiencias en los contratos en cuanto a la propiedad y responsabilidades relacionadas con la integridad y seguridad de los
datos en cualquier punto de la transmisin entre en envo y la recepcin
Empleados no verificados como usuarios legtimos o antiguos empleados que cuenten an con acceso
Requisiciones informales o no aprobadas de acceso a los recursos del sistema
Software de monitoreo de redes que no indique a la administracin de redes las violaciones a la seguridad
Defectos en los procedimientos de control de cambios del software de redes
La no utilizacin de llaves secretas en los procedimientos de emisin/recepcin de terceras partes
Deficiencias en los protocolos para generacin de llaves, almacenamiento de distribucin, entrada, uso, archivo y proteccin
La falta de software actualizado para la deteccin de virus o de procedimientos formales para prevenir, detectar, corregir y
comunicar contaminaciones
145
COBIT
DS6
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

identificacin y asignacin de costos
Monitoreo

asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI
un sistema de contabilidad de costos que asegure que stos
sean registrados, calculados y asignados a los niveles de
detalle requeridos
recursos identificables y medibles
procedimientos y polticas de cargo
tarifas
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
146
Y TECNOLOGAS AFINES
DS 6 IDENTIFICACIN Y ASIGNACIN DE COSTOS

1
2
3
Elementos Sujetos a Cargo

Procedimientos de Costeo
Procedimientos de Cargo y Facturacin a Usuarios
8
Entrevistas:
Gerencia administrativa o de asignacin de costos de la funcin de servicios de informacin
Administracin de usuarios seleccionada facturada y absorbente de costos
Obteniendo:
Polticas y procedimientos generales para la organizacin relacionadas con la planeacin y la preparacin del presupuesto
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con la agregacin de costos, facturacin, metodologa y reportes de desempeo/costos
Los siguientes elementos de la funcin de servicios de informacin:
Presupuesto actual y del ao anterior
Reportes de seguimiento de la utilizacin de los recursos de los sistemas de informacin
Datos fuente utilizados en la preparacin de los reportes de seguimiento
Metodologa o algoritmo de asignacin de costos
Reportes histricos de facturacin

Los siguientes elementos de la administracin de usuarios:
Presupuesto actual y del ao anterior para los costos de la funcin de servicios de informacin
Plan de desarrollo y mantenimiento de sistemas de informacin del ao en curso
Gastos presupuestados para los recursos de sistemas de informacin, incluyendo aquellos facturados o absorbidos

8
Considerando s:
La funcin de servicios de informacin cuenta con un grupo responsable de reportar y emitir facturas a los usuarios
Existen procedimientos que:
creen un plan anual de desarrollo y mantenimiento con la identificacin de prioridades por parte del usuario en
cuanto a desarrollo, mantenimiento y gastos operacionales
permitan a los usuarios una determinacin de muy alto nivel en cuanto a en qu se gastan los recursos de la funcin de servicios de informacin
generen un presupuesto anual para la funcin de servicios de informacin, incluyendo:
Cumplimiento con los requerimientos organizacionales en cuanto a la preparacin de presupuestos
Consistencia en cuanto a cules costos deben ser asignados por los departamentos usuarios
147
COBIT
Comunicacin de costos histricos, suposicin de nuevos costos para la comprensin del usuario en cuanto
a cules costos son incluidos y facturados
Autorizacin del usuario de todos los costos presupuestados a ser asignados por la funcin de servicios de
informacin
Frecuencia de la emisin de reportes y cargo real de costos a los usuarios
seguimiento de los costos asignados de todos los recursos de los sistemas de informacin en cuanto (pero sin limitarse) a:
Hardware operacional
Equipo perifrico
Utilizacin de telecomunicaciones
Desarrollo y soporte de aplicaciones
Generales administrativos
Costos de servicios de proveedores externos
Help desk
Instalaciones y mantenimiento
Costos directos e indirectos
Gastos fijos y variables
Costos discrecionales
asistan en la emisin regular de reportes para los usuarios en cuanto al desempeo para las distintas categoras de
costos
reporten a los usuarios en cuanto a mediciones (benchmarks) externas relacionadas con la efectividad de costos,
con el fin de permitir una comparacin contra las expectativas de la industria u otras fuentes alternativas de servicios para los usuarios
permitan la modificacin oportuna de la asignacin de costos para reflejar los cambios en las necesidades del negocio
aprueben y acepten formalmente los cargos al ser recibidos
identifiquen las oportunidades de mejora de la funcin de servicios de informacin para reducir las facturaciones o
para obtener un mejor valor por los cargos
Los reportes aseguran que los elementos sujetos a costo son identificables, medibles y predecibles
Los reportes capturan y resaltan los cambios en los componentes de costos o en el algoritmo de asignacin
8
Probando que:
Existe una metodologa de asignacin de costos, que los usuarios estn de acuerdo en cuanto a su equidad, y que genera tanto costos como reportes
Existe un programa de mejora para reducir costos o aumentar el desempeo de los recursos de los sistemas de informacin
Los procesos de asignacin y reporte fomentan un uso ms apropiado, efectivo y consistente de los recursos computacionales, que stos aseguran el tratamiento justo de los departamentos usuarios y sus necesidades, y que los cargos
reflejan los costos asociados con la prestacin de servicios

8
Llevando a cabo:
Mediciones (Benchmarking) de la contabilidad de costos y de la metodologa de facturacin contra organizaciones
similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
148
Y TECNOLOGAS AFINES
Un reclculo de la facturacin a partir de datos fuente, a travs de un algoritmo de asignacin de facturacin y dentro
del flujo de reportes a usuarios
La precisin de los datos en el reporte de desempeo, como:
utilizacin de CPU
utilizacin de perifricos
utilizacin de DASD
lneas de cdigo escritas
lneas/pginas impresas
modificaciones a programas llevadas a cabo
nmero de PCs, telfonos, archivos de datos
consultas al help desk
nmero, duracin de las transmisiones

La compilacin de los datos fuente de recursos en el reporte de desempeo es correcta
Se cuenta con el algoritmo real para compilar y asignar costos a facturacin
La precisin de la facturacin a usuarios especficos sea probada frecuentemente
Las facturaciones a usuarios sean aprobadas
Se lleven a cabo revisiones de consistencia de la facturacin entre los diferentes usuarios
El progreso en el plan de desarrollo de usuarios tenga como base los costos expendidos
Se lleve a cabo una revisin de la distribucin de reportes en cuanto a utilizacin e informacin de costos
La satisfaccin del usuario en cuanto a :
lo razonable de la facturacin comparada con las expectativas presupuestadas
el plan de desarrollo anual contra los costos
lo razonable de la facturacin comparada con las fuentes alternativas, por ejemplo benchmarks
la comunicacin de tendencias que incrementara/decrementara la facturacin
solucin de las variaciones comparadas contra la facturacin esperada

8
Identificando:
Oportunidades para una mayor efectividad y propiedad de la metodologa de facturacin
incluyendo ms componentes de costos
modificando los ndices o unidades de medida de asignacin de costos
modificando el algoritmo mismo de costos
mecanizando o integrando la funcin de contabilidad con equipo y reportes generadores de aplicaciones

Inconsistencias dentro del algoritmo de asignacin
Inconsistencias de asignacin entre diferentes usuarios
Oportunidades para la mejora de recursos de sistemas
Oportunidades para el usuario con el fin de aplicar de una mejor manera los recursos de servicios de informacin para
alcanzar los requerimientos de negocios del usuario
Mejoras en la eficiencia de los procesos de recopilacin, acumulacin, asignacin, reporte y comunicacin, los cuales
de traducirn en un mejor desempeo o menor costo para los usuarios de los servicios proporcionados
Que las tendencias de costos reflejadas por las variaciones y el anlisis hayan sido traducidas a cargos modificados en
los perodos siguientes y hayan sido reflejadas en la estructura de costos
Que existen oportunidades para hacer de la funcin de servicios de informacin un centro de provecho y beneficios al
proporcionar servicios a otros usuarios internos o externos
Si la funcin de servicios de informacin es un centro de provecho y beneficios, que la contribucin de dichos beneficios contra el plan y el presupuesto sea alcanzada y que destaquen las oportunidades para aumentar los beneficios
149
COBIT
DS7
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

educacin y entrenamiento de usuarios
Monitoreo

asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades involucrados
un plan completo de entrenamiento y desarrollo
curriculum de entrenamiento
campaas de concientizacin
tcnicas de concientizacin
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
150
DS 7
Y TECNOLOGAS AFINES
EDUCACIN Y ENTRENAMIENTO DE USUARIOS
1
2
3
Identificacin de necesidades de entrenamiento

Organizacin de Entrenamiento
Entrenamiento sobre principios y conciencia de Seguridad
8
Entrevistas:
Administrador de entrenamiento o recursos humanos de la organizacin
Administrador de entrenamiento o de recursos humanos de la funcin de servicios de informacin
Administradores y empleados seleccionados de la funcin de servicios de informacin
Administradores y empleados seleccionados de los departamentos usuarios
Obteniendo:
Polticas y procedimientos generales para la organizacin con respecto al entrenamiento sobre controles y conciencia
de seguridad, beneficios para los empleados enfocados al desarrollo, programas de entrenamiento para los usuarios de servicios, instalaciones educacionales y requerimientos de educacin continua profesional
Programas, polticas y procedimientos de entrenamiento y de educacin de la funcin de servicios de informacin relacionados con controles y conciencia de seguridad, seguridad tcnica y controles
Programas de entrenamiento disponibles (tanto internos como externos) para seguridad y conciencia de controles introductorios y continuos, as como para entrenamiento dentro de la organizacin

8
Considerando s:
Existen polticas y procedimientos relacionados con una conciencia continua de seguridad y controles
Se cuenta con un programa de educacin/entrenamiento enfocado a los principios de seguridad de los sistemas de informacin y de control
Los nuevos empleados tienen conocimiento y conciencia de la responsabilidad de seguridad y control con respecto a la
utilizacin y la custodia de los recursos de sistemas de informacin
Se cuenta con polticas y procedimientos vigentes relacionados con entrenamiento y si stos estn actualizados con
respecto a la configuracin tcnica de los recursos de sistemas de informacin
Existe disponibilidad de oportunidades de entrenamiento interno, considerando tambin la asistencia de los empleados
Existe disponibilidad de oportunidades de entrenamiento tcnico externo, considerando tambin la asistencia de los
empleados
Si una funcin de entrenamiento asesora las necesidades de entrenamiento del personal con respecto a seguridad y controles, trasladando estas necesidades en oportunidades de entrenamiento interno o externo
Se requiere a todos los empleados asistir a entrenamientos de conciencia de control y seguridad continuamente, los cuales incluiran, sin limitarse a:
principios generales de seguridad de sistemas
151
COBIT
conducta tica de la funcin de servicios de informacin

prcticas de seguridad para la proteccin contra daos ocasionados por fallas que afecten la disponibilidad,
confidencialidad, integridad y desempeo de las funciones en una forma segura
existen las responsabilidades asociadas con la custodia y utilizacin de los recursos de sistemas de informacin
la seguridad de la informacin y los sistemas de informacin cuando se utilizan externamente al lugar

La capacitacin sobre la sensibilizacin a la seguridad incluye una poltica para evitar la exposicin de la informacin
sensible a travs de conversaciones (ej., avisando el estatus de la informacin a todas las personas que toman parte
en la conversacin)
8
Probando que:
Los nuevos empleados tienen conciencia y conocimiento de la seguridad, controles y responsabilidades fiduciarias de
poseer y utilizar recursos de sistemas de informacin
Las responsabilidades de los empleados con respecto a la confiabilidad, integridad, disponibilidad, confidencialidad y
seguridad de todos los recursos de los sistemas de informacin es comunicada continuamente
Un grupo de la funcin de servicios de informacin es formalmente responsable del entrenamiento, conciencia de seguridad y controles y mantenimiento de programas de educacin continua para certificaciones profesionales
Se considera continuamente la evaluacin de las necesidades de entrenamiento para empleados
El desarrollo o la participacin en los programas de entrenamiento relacionados con seguridad y controles es parte de
los requerimientos de entrenamiento
Existen programas reales nuevos y a largo plazo de entrenamiento sobre conciencia de seguridad para empleados
Los acuerdos de confidencialidad son firmados por todos los empleados
No faltan estatutos de confidencialidad y conflicto de intereses para empleados
No faltan evaluaciones de necesidades de entrenamiento para empleados

8
Llevando a cabo:
Una revisin de los manuales de entrenamiento en cuanto a su adecuacin y suficiencia con respecto a controles de
seguridad, confidencialidad, confiabilidad, disponibilidad e integridad
Entrevistas al personal de la funcin de servicios de informacin para determinar la identificacin de necesidades de
entrenamiento y la extensin o satisfaccin de tales necesidades
Identificando:
Inconsistencias en el currculum ofrecido como respuesta a las necesidades de entrenamiento
Deficiencias en la conciencia de los usuarios en cuanto a problemas de seguridad relacionados con la utilizacin de los
recursos de los sistemas de informacin
152
Y TECNOLOGAS AFINES
153
COBIT
DS8
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P
Apoyo y asistencia a los clientes de TI
Monitoreo

asegurar que cualquier problema experimentado por los usuarios sea
atendido apropiadamente
un Bur de ayuda que proporcione soporte y asesora de
primera lnea
consultas de usuarios y respuesta a problemas
monitoreo de consultas y despacho
anlisis y reporte de tendencias
55
Bur de ayuda (help desk)
154
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P
Y TECNOLOGAS AFINES
DS 8 APOYO Y ASISTENCIA PARA LOS CLIENTES DE TECNOLOGA DE INFORMACIN

1
2
3
4
5
Bur de Ayuda
Registro de preguntas del Usuario
Escalamiento de preguntas del cliente
Monitoreo de atencin a clientes
Anlisis y reporte de tendencias
8
Entrevistas:
Administrador de soporte del bur de ayuda de la funcin de sistemas de informacin
Usuarios seleccionados de los servicios de informacin
Obteniendo:
Polticas y procedimientos generales para la organizacin relacionados con el soporte a usuarios de la funcin de servicios de informacin
Organigrama, misin, polticas y procedimientos de la funcin de servicios de informacin relacionados con las actividades de bur de ayuda
Reportes relacionados con la preguntas de los usuarios, su solucin y estadsticas de desempeo del bur de ayuda
Cualquier estndar de desempeo para las actividades del bur de ayuda
Acuerdos de nivel de servicios entre la funcin de servicios de informacin y usuarios diversos
Archivos personales que muestren las credenciales y experiencia profesional del personal del bur de ayuda

8
Considerando s:
La naturaleza de la funcin del bur de ayuda (por ejemplo, la forma en la que las requisiciones de ayuda son procesadas y la ayuda es proporcionada) es efectiva
Existen instalaciones reales, divisiones o departamentos que lleven a cabo la funcin del bur de ayuda, as como personal o posiciones responsables del bur de ayuda
El nivel de documentacin para las actividades del bur de ayuda es adecuado y actual
Existe un proceso real para registrar requisiciones de servicios y si se hace uso de dicha bitcora
El proceso para la escalacin de preguntas y la intervencin de la administracin para su solucin son suficientes
El perodo de tiempo para atender las preguntas recibidas es adecuado
Existen los procedimientos para el seguimiento de tendencias y reportes de las actividades del bur de ayuda
Se identifican y ejecutan formalmente iniciativas de mejora de desempeo
Se alcanzan y se cumple con los acuerdos de nivel de servicio y los estndares de desempeo
El nivel de satisfaccin del usuario peridicamente se revisa y se reporta
155
COBIT
8
Probando que:
Las polticas y procedimientos son actuales y precisos en relacin con las actividades del bur de ayuda
Los compromisos de nivel de servicio son conservados y que las variaciones son explicadas
Las preguntas son atendidas de una forma oportuna
El anlisis y reporte de tendencias asegura que los reportes:
son emitidos y que se toman las medidas necesarias para mejorar el servicio
incluyen problemas especficos, anlisis de tendencias y tiempos de respuesta
son enviados a las personas responsables con la autoridad para resolver los problemas
Se obtienen para una muestra de requisiciones de ayuda, confirmacin de la precisin, oportunidad y suficiencia de la
respuesta
Las encuestas sobre el nivel de satisfaccin del usuario existen y se trabaja con ellas

8
Llevando a cabo:
Entrevistas con usuarios seleccionados para determinar su satisfaccin en cuanto a:
actividades de bur de ayuda
reporte de actividades
cumplimiento de los compromisos de nivel de servicio

Una revisin de la competencia y capacidad del personal del bur de ayuda con respecto a la realizacin de sus tareas
Una revisin de preguntas seleccionadas escaladas en cuanto a lo adecuado de sus respuestas
Una revisin de los reportes de tendencias y posibles oportunidades de mejoras de desempeo
Identificando:
Interacciones inadecuadas de las actividades del bur de ayuda con respecto a otras funciones dentro de la funcin de
servicios de informacin, as como a las organizaciones usuarias
Procedimientos y actividades insuficientes relacionadas con problemas en el reporte de recepcin, registro, seguimiento, escalamiento y solucin de preguntas
Deficiencias en el proceso de escalamiento con respecto a la falta de involucramiento por parte de la administracin o a
acciones correctivas efectivas
Oportunidad inadecuada en el reporte de problemas o insatisfaccin del usuario en cuanto al proceso de reporte de problemas.
156
Y TECNOLOGAS AFINES
157
COBIT
DS9
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Administracin de la configuracin
Monitoreo

dar cuenta de todos los componentes de TI, prevenir alteraciones no
autorizadas, verificar la existencia fsica y proporcionar una base para
el sano manejo de cambios
controles que identifiquen y registren todos los activos de
TI as como su localizacin fsica y un programa regular de
verificacin que confirme su existencia
registro de activos
administracin de cambios en la configuracin
chequeo de software no autorizado
controles de almacenamiento de software
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P
158
Y TECNOLOGAS AFINES
DS 9 ADMINISTRACIN DE LA CONFIGURACIN
1
2
3
4
5
6
Registro de la Configuracin
Base de la Configuracin
Estado de Cuenta
Control de la Configuracin
Software no Autorizado
Almacenamiento de Software
8
Entrevistas:
Administracin de operaciones de la funcin de servicios de
informacin
Administracin de soporte de sistemas de la funcin de servicios de informacin
Administracin de instalaciones
Personal de soporte de proveedores de software
Personal de administracin de activos relacionados con computacin
Administrador de aseguramiento de la calidad
Obteniendo:
Un inventario de la configuracin: hardware, software de sistema operativo, software de aplicaciones, instalaciones y
archivos de datos dentro y fuera de las instalaciones
Polticas y procedimientos organizacionales relacionados con la adquisicin, inventario y disposicin de software y
equipo computacional comprado, rentado o arrendado
Polticas organizacionales relacionadas con la utilizacin de software o equipo no autorizado
Polticas y procedimientos de la funcin de servicios de informacin relacionados especficamente con la adquisicin,
disposicin y mantenimiento de los recursos de la configuracin
Polticas y procedimientos de la funcin de servicios de informacin relacionados con las funciones de aseguramiento
de la calidad y de control de cambios en cuanto a la transferencia independiente y el registro de la migracin del
desarrollo de software nuevo y modificado hacia los archivos y estatus de produccin
Informacin de la base de la configuracin
Registros contables de activos fijos y arrendamientos relacionados con los recursos de sistemas
Reportes relacionados con adiciones, eliminaciones y cambios a la configuracin de los sistemas
Listas del contenido de las distintas libreras prueba, desarrollo y produccin
Inventario del contenido del almacenamiento fuera de las instalaciones equipo, archivos, manuales y formas incluyendo material en manos de los proveedores
159
COBIT
Evaluar
los controles:
8 Considerando
s:
El proceso para crear y controlar las bases de la configuracin (el punto en el diseo y desarrollo de un elemento de la
configuracin ms all del cual no ocurren ms avances sin llevar a cabo un estricto control de la configuracin)
es apropiado
Existen funciones para mantener la base de la configuracin
Existe un proceso para controlar los estados de cuenta de los recursos adquiridos y arrendados incluyendo entradas,
salidas e integracin con otros procesos
Los procedimientos de control de la configuracin incluyen:
integridad en la base de la configuracin
controles de autorizacin de acceso programados en el sistema de administracin de cambios
la recuperacin de los elementos de la configuracin y las requisiciones de cambios en cualquier momento
la terminacin de la configuracin y de los reportes que evalan lo adecuado de los procedimientos de registro de la configuracin
evaluaciones peridicas de la funcin de registro de la configuracin
el personal responsable de la revisin del control de la configuracin satisfaga los requisitos de conocimientos, destrezas y habilidades
la existencia de procedimientos para revisar el acceso a las bases del software
los resultados de las revisiones sean proporcionados a la administracin para llevar a cabo acciones correctivas
Se lleva a cabo regularmente una revisin peridica de la configuracin con registros de inventario y de cuentas
La base de la configuracin cuenta con historia suficiente para dar seguimiento a los cambios
Existen procedimientos de control de cambios de software para:
establecer y mantener una librera de programas de aplicacin con licencia
asegurar que la librera de programas de aplicacin con licencia sea controlada adecuadamente
asegurar la confiabilidad e integridad del inventario de software
asegurar la confiabilidad e integridad del inventario de software autorizado utilizado y revisar la existencia de
software no autorizado
asignar responsabilidades sobre el control de software no autorizado a un miembro especfico del personal
registrar el uso de software no autorizado y reportar a la administracin para llevar a cabo acciones correctivas
determinar si la administracin llev a cabo acciones correctivas sobre las violaciones

Los procesos de migracin de aplicaciones de desarrollo al ambiente de pruebas y finalmente al estatus de produccin
interactuan con el reporte de la configuracin
El proceso de almacenamiento de software incluye:
definir un rea segura de almacenamiento de archivos (librera) para todo el software vlido en fases apropiadas del ciclo de vida de desarrollo de sistemas
requerir separacin de las libreras de almacenamiento de software entre ellas y con respecto a las reas de
almacenamiento de archivos de desarrollo, pruebas y produccin
requerir la existencia dentro de las libreras fuente que permitan la colocacin temporal de mdulos fuente a
ser transferidos al perodo de ciclo de produccin
requerir que cada miembro de todas las libreras cuente con un propietario designado
definir controles de acceso lgicos y fsicos
establecer responsabilidades sobre el software
160
Y TECNOLOGAS AFINES
establecer un seguimiento de auditora

detectar, documentar y reportar a la administracin todas las instancias en las que no se cumpla con este procedimiento
determinar si la administracin llev a cabo acciones correctivas

Existe una coordinacin entre el desarrollo de aplicaciones, el aseguramiento de la calidad y las operaciones con respecto a la actualizacin de la base de la configuracin al realizarse cambios
8
Probando que:
Todos los elementos de la configuracin se encuentran bajo un control base
Las polticas y procedimientos relacionados con el reporte de la configuracin son actuales y precisos
Se cumple con los estndares de desempeo con respecto al mantenimiento y reporte de la configuracin
Se lleva a cabo una comparacin entre el inventario fsico del equipo y los registros de contabilidad de activos
Existe independencia de la migracin de pruebas a produccin y registros de los cambios
Para una seleccin de salidas de base:
se lleve una base precisa, apropiada y aprobada de los elementos de la configuracin
los registros de la configuracin reflejen el estatus actual de todos los elementos de la configuracin, incluyendo la historia de cambios
la administracin revise y evale peridicamente la consistencia de la configuracin, y que se lleven a cabo

acciones correctivas
las libreras de archivos hayan sido definidas conveniente y adecuadamente y en fases apropiadas del ciclo de
vida de desarrollo de sistemas
para todas las computadoras personales que contengan software no autorizado se reporten violaciones y la
administracin lleve a cabo acciones correctivas
los registros de la configuracin con respecto a producto, versin y modificaciones de los recursos proporcionados por los proveedores sean precisos
los registros histricos de cambios a la configuracin sean precisos
existan mecanismos para asegurar que no exista software no autorizado en las computadoras, incluyendo:
Polticas y estatutos
Entrenamiento y conciencia de responsabilidades potenciales (legales y de producto)
Formas firmadas de cumplimiento por parte de todo el personal que utilice computadoras
Control centralizado del software computacional
Revisin continua del software computacional
Reportes de los resultados de la revisin
Acciones correctivas por parte de la administracin basadas en los resultados de las revisiones
el almacenamiento de programas de aplicacin y cdigo fuente sea definido durante el ciclo de desarrollo y
que el impacto de los registros de la configuracin sea determinado
la suficiencia e integridad de los registros de proveedores y fuera del site relacionados con la configuracin,
as como la precisin en los registros de la configuracin sean anticipados y considerados
se definan procedimientos de base de la configuracin para:
161
COBIT
Registrar el evento que cre la base, el establecimiento de la base y los elementos de la configuracin
que deben ser controlados en la base
Modificar la base, incluyendo la autoridad requerida para aprobar los cambios a las bases de la configuracin aprobadas previamente
Registrar los cambios a la base y a los elementos de la configuracin que deben ser controlados en la
base
Asegurar que todos los elementos de la configuracin son registrados dentro de los productos de base
existe el reporte de estado de cuenta para:
El tipo de informacin a ser recopilada, almacenada, procesada y reportada (Esto deber incluir el estatus de la base, los hallazgos en las revisiones de la base, requisiciones de cambios y estatus; revisin y
aprobacin/desaprobacin del control de la configuracin (s aplica); modificaciones realizadas; reportes de problemas y estatus y la historia de la revisin de la configuracin)
La manera en la que los problemas de requisiciones de cambio son resueltos con un estado de cuenta
incompleto
Los tipos de reportes de estados de cuenta a ser generados y su frecuencia
La manera en la que el acceso a estos datos de estatus ser controlado

8
Llevando a cabo:
Una revisin detallada de la frecuencia y la oportunidad de las revisiones administrativas de los registros de la configuracin, lo cambios a los registros y la conciliacin de lo registros de inventario, cuenta y proveedor
Un anlisis del software de varias libreras en cuanto a posible duplicacin, identificacin de cdigo objeto faltante y
en cuanto a la eliminacin de archivos de datos o programas innecesarios -- y su reflejo en los registros de la configuracin
Identificando:
Las debilidades en la conciencia y en el conocimiento de la administracin y el personal en cuanto a las polticas organizacionales con respecto a:
Los registros de la configuracin y los cambios realizados a estos registros
La colocacin de controles de configuracin en el ciclo de vida de desarrollo de sistemas La integracin de

los registros de configuracin, cuenta y proveedor
La no utilizacin de software no autorizado en computadoras personales

Posibles mejoras inadecuadas en la efectividad y la eficiencia de la funcin de creacin y mantenimiento de la funcin
de creacin y mantenimiento de la base de la configuracin
Deficiencias en los cambios de proveedores al ser reflejados en los registros de la configuracin, en los registros de
seguridad, o cambios a los registros por parte de los proveedores reflejados apropiadamente
162
Y TECNOLOGAS AFINES
163
COBIT
DS10
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

administracin de problemas e incidentes
Monitoreo

asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir cualquier recurrencia
un sistema de manejo de problemas que registre y d seguimiento a todos los incidentes
suficientes pistas de auditora de problemas y
soluciones
resolucin oportuna de problemas reportados
procedimientos de escalamiento
reportes de incidentes
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
164
Y TECNOLOGAS AFINES
DS 10 MANEJO DE PROBLEMAS E INCIDENTES

1
2
3
Sistema de manejo de Problemas

Escalamiento de Problemas
Seguimiento de Problemas y Pistas de Auditora
8
Entrevistas:
Personal de soporte de operaciones de la funcin de servicios de informacin
Personal de soporte del bur de ayuda de la funcin de servicios de informacin
Personal de soporte de sistemas de la funcin de servicios de informacin
Personal de soporte de aplicaciones de la funcin de servicios de informacin
Usuarios seleccionados de los recursos de los sistemas de informacin
Obteniendo:
Un resumen de las instalaciones y posiciones de manejo de problemas que realizan la funcin de manejo de problemas
Polticas y procedimientos de la funcin de servicios de informacin relacionados con el manejo de problemas, incluyendo procesos de reconocimiento, registro, solucin, escalamiento, seguimiento y reporte
Una lista de los problemas reportados durante un perodo representativo, incluyendo la fecha de ocurrencia, la fecha de
escalamiento (s aplica), la fecha de solucin y los tiempos de solucin
Una lista de las aplicaciones crticas que son escaladas inmediatamente a la atencin de la presidencia para darles prioridad de solucin, o que son reportables como problemas crticos
Un conocimiento de cualquier aplicacin de manejo de problemas, y en particular un mtodo para asegurar que todos
los problemas son capturados, resueltos y reportados segn lo requerido

8
Considerando s:
Existe un proceso de manejo de problemas que asegure que todos los eventos operacionales que no son parte de las
operaciones estndar son registrados, analizados y resueltos de manera oportuna, y que se generan reportes de
incidentes para problemas significativos
Existen procedimientos de manejo de problemas para:
definir e implementar un sistema de manejo de problemas
registrar, analizar y resolver de manera oportuna todos los eventos no-estndar
establecer reportes de incidentes para los eventos crticos y la emisin de reportes para usuarios
identificar tipos de problemas y metodologa de priorizacin que permitan una variedad de soluciones tomando el riesgo como base
definir controles lgicos y fsicos de la informacin de manejo de problemas
165
COBIT
distribuir salidas con una base de necesidad de conocimiento

seguir las tendencias de los problemas para maximizar recursos y reducir la rotacin
recolectar entradas de datos precisas, actuales, consistentes y utilizables para la emisin de reportes
notificar los escalamientos al nivel apropiado de administracin
determinar si la administracin evala peridicamente el proceso de manejo de problemas en cuanto a una
mayor efectividad y eficiencia
asegurar la suficiencia de los seguimientos de auditora para los problemas de sistemas
asegurar la integracin entre los cambios, la disponibilidad, el sistema y el personal de manejo de la configuracin
8
Probando que:
Una muestra seleccionada de salidas de procesos cumple con los procedimientos establecidos relacionados con:
problemas no-crticos
problemas crticos/de alta prioridad que requieren escalamiento
el reporte de los requerimientos, el contenido, la precisin, la distribucin y las acciones llevadas a cabo
la satisfaccin del usuario con el proceso de manejo de problemas y los resultados

Va entrevistas, el conocimiento y la conciencia del proceso de manejo de problemas

8
Llevando a cabo:
Para una seleccin de problemas reportados, pruebas que aseguren que los procedimientos de manejo de problemas
fueron seguidos para todas las actividades no-estndar, incluyendo:
registro de todos los eventos no-estndar por proceso
seguimiento y solucin de todos y cada una de los eventos
nivel apropiado de respuesta tomando como base la prioridad del evento
escalamiento de problemas para eventos crticos
reporte apropiado dentro de la funcin de servicios de informacin y grupos usuarios
revisiones regulares de efectividad y eficiencia de procesos en cuanto a mejoras
expectativas y xito de programa de mejoras del desempeo

8 Identificando:
Ocurrencias de problemas no controlados formalmente por el proceso de manejo de problemas
Ocurrencias de problemas reconocidos pero no resueltos por proceso de manejo de problemas
Variaciones entre los eventos de procesos reales y formales con respecto a la solucin de problemas
Deficiencias de los usuarios en el proceso de manejo de problemas, en la comunicacin de problemas y su solucin -en cuanto a posibles oportunidades de mejora
166
Y TECNOLOGAS AFINES
167
COBIT
DS11
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
Administracin de datos
asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin y almacenamiento
una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI
diseo de formatos
controles de documentos fuente
controles de entrada
controles de procesamiento
controles de salida
identificacin, movimiento y administracin de
la librera de medios
administracin de almacenamiento y respaldo
de medios
autenticacin e integridad
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
168
Y TECNOLOGAS AFINES
DS 11 ADMINISTRACIN DE DATOS
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
Procedimientos de Preparacin de Datos

Procedimientos de Autorizacin de Documentos Fuente
Recopilacin de Datos de Documentos Fuente
Manejo de Errores de Documentos Fuente
Retencin de Documentos Fuente
Procedimientos de Autorizacin de Entrada de Datos
Revisiones de Precisin, Suficiencia y Autorizacin
Manejo de Errores en la Entrada de Datos
Integridad de Procesamiento de Datos
Validacin y Edicin de Procesamiento de Datos
Manejo de Errores en el Procesamiento de Datos
Manejo y Retencin de Salida de Datos
Distribucin de Salida de Datos
Balanceo y Conciliacin de Datos de Salida
Revisin de Salida de Datos y Manejo de Errores
Provisiones de Seguridad para Reportes de Salida
Proteccin de Informacin Sensible
Proteccin de Informacin Sensible Desechada
Administracin de Almacenamiento
Perodos de Retencin y Trminos de Almacenamiento
Sistema de Administracin de la Librera de Medios
Responsabilidades de la Administracin de la Librera de Medios
Respaldo y Restauracin
Funciones de Respaldo
Almacenamiento de Respaldo
Archivo
Proteccin de mensajes sensibles
Autenticacin e Integridad
Integridad de Transacciones Electrnicas
Integridad contnua de Datos Almacenados
8
Entrevistas:
Administracin de bases de datos de la funcin de servicios de informacin
Administracin de entrenamiento/recursos humanos de la funcin de servicios de informacin
Administracin de soporte de sistemas de la funcin de servicios de informacin
Administracin de la seguridad de respaldos
Administraciones de usuarios varias para aplicaciones crticas de la misin
169
COBIT
8
Obteniendo:
Polticas y procedimientos organizacionales relacionados con la naturaleza y administracin de datos, incluyendo:
flujo de datos dentro de la funcin de servicios de informacin y entre usuarios de datos
puntos en la organizacin en los que los datos son originados, concentrados en grupos o tandas (batched),
editados, capturados, procesados, extrados, revisados, corregidos y remitidos, y distribuidos a los usuarios
proceso de autorizacin de documentos fuente
procesos de recoleccin, seguimiento y transmisin de datos
procedimientos para asegurar la suficiencia, precisin, registro y transmisin de documentos fuente completos para captura
procedimientos utilizados para identificar y corregir errores durante la creacin original de datos
procedimientos para asegurar la integridad, confidencialidad y aceptacin de los mensajes delicados transmitidos por Internet o cualquier otra red pblica
mtodos utilizados por la organizacin para retener documentos fuente (archivo, imagen, etc.), para definir
qu documentos deben ser retenidos, los requerimientos de retencin legales y regulatorios, etc.
sistemas de interfase que proporcionen y utilicen datos para las funciones de servicios de informacin
contratos de proveedores para llevar a cabo tareas de administracin de datos
reportes administrativos utilizados para monitorear actividades e inventarios

Una lista de todas las aplicaciones mayores, as como de la documentacin de usuario relacionada con:
mdulos que lleven a cabo revisiones de precisin, suficiencia y autorizacin de captura
funciones que lleven a cabo entradas de datos para cada aplicacin
funciones que lleven a cabo rutinas de correccin de errores de entrada de datos
mtodos utilizados para prevenir (por medios manuales y programados), detectar y corregir errores
control de la integridad de los procesos de datos emitidos
edicin y autenticacin de la validacin del procesamiento de datos tan cerca del punto de origen como sea
posible
manejo y retencin de salidas creadas por aplicaciones
salidas, distribucin de salidas y sistemas de interfase que utilizan salidas
procedimientos de balanceo de salidas para control de totales y conciliacin de variaciones
revisin de la precisin de los reportes de salida y de la informacin
seguridad en los reportes de procesamiento de salidas distribuidos
seguridad de los datos transmitidos y entre aplicaciones
disposicin de documentacin sensible de entrada, proceso y salida
procedimientos de control de proveedores como terceras partes con respecto a preparacin, entrada, procesamiento y salida
Polticas y procedimientos relacionados con cualquier depsito de bases de datos de la organizacin, incluyendo:
organizacin de la base de datos y diccionario de datos
procedimientos de mantenimiento y seguridad de bases de datos
determinacin y mantenimiento de la propiedad de las bases de datos
procedimientos de control de cambios sobre el diseo y contenido de la base de datos
reportes administrativos y seguimientos de auditora que definen actividades de bases de datos

Polticas y procedimientos relacionados con la librera de medios y con el almacenamiento de datos fuera del site, incluyendo:
170
Y TECNOLOGAS AFINES
administracin de la librera de medios y del sistema de administracin de la librera

requerir la identificacin externa de todos los medios
requerir el inventario actual de todos los contenidos y procesos para actividades de control
procesos de administracin para proteger los recursos de datos
procedimientos de conciliacin entre registros reales y de datos
reciclaje de datos y rotacin de medios de datos
datos de pruebas pasadas de pruebas de inventario y recuperacin llevadas a cabo
funciones del personal de los medios y fuera del site en los planes de manejo de desastres y recuperacin del
negocio

8
Considerando s:
Para la preparacin de datos:
los procedimientos de preparacin de datos aseguran suficiencia, precisin y validez
existen procedimientos de autorizacin para todos los documentos fuente
existe una separacin de funciones entre el origen, la aprobacin y la conversin de documentos fuente a datos
los datos autorizados permanecen completos, precisos y vlidos a travs de la creacin original de documentos fuente
los datos son transmitidos de una manera oportuna
se lleva a cabo una revisin peridica de los documentos fuente en cuanto a su suficiencia y aprobaciones
apropiadas
se lleva a cabo un manejo apropiado de documentos fuente errneos
existe un control adecuado de informacin sensible en documentos fuente en cuanto a proteccin contra transgresiones
los procedimientos aseguran suficiencia y precisin de documentos fuente, contabilidad apropiada para documentos fuente y conversin oportuna
la retencin de documentos fuente es lo suficientemente larga para permitir: la reconstruccin en caso de prdida, la disponibilidad para revisiones y auditora, las averiguaciones de litigacin o los requerimientos regulatorios
Para la entrada de datos:
los documentos fuente siguen un proceso de aprobacin apropiada antes de su captura
existe una separacin de funciones apropiada entre las actividades de envo, aprobacin, autorizacin y entrada de datos
existen cdigos nicos de terminal o estacin e identificaciones seguras de operadores
existen procesos de uso, mantenimiento y control de cdigos de estacin e identificadores de operador
se lleva a cabo un seguimiento de auditora para identificar la fuente de entrada
existen verificaciones de rutina o revisiones de edicin de los datos capturados tan cerca del punto de origen
como sea posible
existen procesos apropiados de manejo de datos de entrada errneos
se asignan claramente las responsabilidades para hacer cumplir una autorizacin apropiada de los datos
171
COBIT
Para el procesamiento de datos:
Los programas contienen rutinas de prevencin, deteccin y correccin de errores:
los programas deben probar las entradas en cuanto a errores (por ejemplo, validacin y edicin)
los programas deben validar todas las transacciones contra una lista maestra
los programas deben rechazar la anulacin de condiciones de error
Los procesos de manejo de errores incluyen:
la aprobacin de la correccin y del reenvo de errores
la definicin de las responsabilidades individuales para archivos suspendidos
la generacin de reportes de errores no resueltos por parte de los archivos en suspenso
la disponibilidad del esquema de priorizacin de archivos suspendidos tomando como base la edad y el tipo
Existen bitcoras de los programas ejecutados y las transacciones procesadas/rechazadas para propsitos de auditora
Existe un grupo de control para monitorear las actividades de entrada e investigar los eventos no-estndar, as como
balancear las cuentas de registros y totales de control para todos los datos procesados
Todos los campos son editados apropiadamente, an si uno de los campos contiene algn error
Las tablas utilizadas en la validacin son revisadas frecuentemente
Existen procedimientos por escrito para la correccin y reenvo de datos con errores incluyendo una solucin no descriptiva para reprocesamiento
Las transacciones reenviadas son procesadas exactamente como fueron procesadas originalmente
La responsabilidad de la correccin de errores reside dentro de la funcin de envo original
Los sistemas de Inteligencia Artificial estn colocados en un marco referencial de control interactivo con operadores
humanos que aseguran que las decisiones importantes se aprueben
Para las salidas, interfaces y distribucin:
El acceso a las salidas est restringido fsica y lgicamente a personal autorizado
Se lleva a cabo una revisin continua de necesidades de salidas
Las salidas son balanceadas rutinariamente con respecto a totales de control
Existen seguimientos de auditora para facilitar el seguimiento del procesamiento de transacciones y la conciliacin de
datos confusos
La precisin de los reportes de salidas es revisada y los errores contenidos en las salidas son revisados por personal
capacitado
Existe una definicin clara de problemas de seguridad durante las salidas, interfaces y distribucin
Las violaciones a la seguridad durante cualquier fase son comunicadas a la administracin, se llevan a cabo acciones
correctivas sobre ellas y son reflejadas apropiadamente en nuevos procedimientos
El proceso y la responsabilidad de la disposicin de salidas est claramente definida
La destruccin de materiales utilizados pero no requeridos despus de procesados es presenciada por alguien
Todos los medios de entrada y salida son almacenados en localidades fuera del site en caso de requerirse en un futuro
La informacin marcada como eliminada cambia de tal forma que no se pueda recuperar
Para la librera de medios:
El contenido de la librera de medios es inventariada sistemticamente
Las discrepancias descubiertas por el inventario son solucionadas oportunamente
Se toman medidas para mantener la integridad de los medios magnticos almacenados en la librera
Existen procesos de administracin para proteger el contenido de la librera de medios
Las responsabilidades de la administracin de la librera de medios han sido asignadas a miembros especficos del
personal de la funcin de servicios de informacin
172
Y TECNOLOGAS AFINES
Existen estrategias de respaldo y restauracin de medios

Los respaldos de medios se llevan a cabo de acuerdo con la estrategia de respaldos y si la utilidad de los respaldos es
verificada regularmente
Los respaldos de medios son almacenados con seguridad y si las localidades de almacenamiento son revisadas peridicamente en cuanto a la seguridad de sus acceso fsico y a la seguridad de los archivos de datos y otros elementos
Los periodos de retencin y almacenamiento estn definidos por documentos, datos, programas, reportes y mensajes
(de entrada y salida) as como los los datos (claves, certificados) utilizados para su encriptacin y autentificacin
Los procedimientos adecuados estn activos en relacin al archivo de informacin (datos y programas) en lnea con
los requerimientos legales y del negocio y reforzando la capacidad de respuesta y reproduccin
Para la autentificacin e integridad de informacin:
La integridad de los archivos de datos se verifica peridicamente
Las solicitudes externas a la organizacin recibidas por va telefnica o correo de voz se verifican confirmado por telfono o algn otro medio de autentificacin
Un mtodo preestablecido se utiliza independiente a la verificacin de la autentificacin de la fuente y el contenido de
las solicitudes de transaccin recibida va fax o sistemas de imgenes
La firma electrnica o la certificacin se utilizan para verificar la integridad y autenticidad de los documentos electrnicos que entran
8
Probando que:
La preparacin de datos:
Para una muestra seleccionada de documentos fuente, existe consistencia evidente con respecto a los procedimientos
establecidos relacionados con la autorizacin, aprobacin, precisin, suficiencia y recepcin de entrada de datos y
si la entrada de datos es oportuna
El personal de las fuentes, entradas y conversin tiene conciencia y comprende los requerimientos de control en la preparacin de datos
La entrada de datos:
Se envan de datos de prueba (tanto transacciones correctas como errneas) para asegurar que se llevan a cabo revisiones de precisin, suficiencia y autorizacin
Para transacciones seleccionadas se comparan los archivos maestros antes y despus de la captura
Existe una apropiada revisin de retencin, solucin y de la integridad en el manejo de errores
Los procedimientos y acciones de manejo de errores cumplen con las polticas y controles establecidos
El procesamiento de datos:
Se utilizan efectivamente los totales de control corrida-a-corrida y los controles de actualizacin de archivos maestros
Se envan datos de prueba (tanto transacciones correctas como errneas) para asegurar que se llevan a cabo la validacin, autenticacin y edicin de procesamiento de datos tan cerca del punto de origen como sea posible
El proceso de manejo de errores es llevado a cabo de acuerdo con los procedimientos y controles establecidos
Se llevan a cabo la retencin, solucin y revisin apropiada de la integridad en el manejo de errores y que stas funcionan adecuadamente
Los procedimientos y acciones del manejo de errores cumplen con los procedimientos y controles establecidos
La Salida, Interfase y Distribucin de Datos:
La salida es balanceada rutinariamente contra totales de control relevantes
173
COBIT
Los seguimientos de auditora son proporcionados para facilitar el seguimiento del procesamiento de transacciones en
la conciliacin de datos confusos o errneos
Los reportes de salida son revisados en cuanto a su precisin por parte del proveedor y los usuarios relevantes
Existen la retencin, solucin y revisin apropiada de la integridad en el manejo de errores y que stas funcionan adecuadamente
Los procedimientos y acciones de manejo de errores cumplen con las polticas y controles establecidos
Los reportes de salidas son asegurados al esperar ser distribuidos, as como aqullos ya distribuidos a los usuarios de
acuerdo con los procedimientos y controles establecidos
Existe la proteccin adecuada para la informacin sensible durante la transmisin y transporte contra los accesos no
autorizados y las modificaciones
Existe una proteccin adecuada de informacin sensible durante la transmisin y transporte en cuanto a accesos y modificaciones no autorizadas
Los procedimientos y acciones de informacin sensible dispuesta cumplen con los procedimientos y controles establecidos
La Librera de Medios:
El contenido de la librera de medios es inventariado sistemticamente, que todas las discrepancias encontradas son
solucionadas oportunamente y se toman medidas para mantener la integridad de los medios almacenados en la
librera
Los procedimientos de administracin diseados para proteger el contenido de la librera de medios existen y funcionan adecuadamente
Las responsabilidades de la administracin de la librera de medios son asignadas apropiadamente
La librera de medios es independiente de las funciones de preparacin, entrada, procesamiento y salida
La estrategia de respaldos y restauracin de medios es apropiada
Los respaldos de medios se llevan a cabo apropiadamente de acuerdo con la estrategia de respaldo definida
Los sites de almacenamiento de medios son seguros fsicamente y que su inventario est actualizado
El almacenamiento de datos considera los requerimientos de recuperacin y la economa o efectividad de costos
Los perodos de retencin y los trminos de almacenamiento son apropiados para documentos, datos, programas y reportes
El riesgo de maldireccionar mensajes (por carta, fax o e-mail) se reduce con los procedimientos adecuados
Los controles normalmente se aplican a un proceso de transaccin especfico, como faxes o contestadores telefnicos
automticos, tambin aplica a sistemas computacionales que soportan la transaccin o proceso (ej., software de
fax en las computadoras personales)
8
Llevando a cabo:
Mediciones (Benchmarking) de la administracin de datos contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Para una seleccin de transacciones, la confirmacin de la propiedad del procesamiento durante:
la preparacin de datos
el procesamiento de entradas
el procesamiento de datos
la salida, distribucin o integracin
174
Y TECNOLOGAS AFINES
el manejo de errores en todas las fases del procesamiento

la integridad de los datos a travs del manejo de errores en todas las fases del procesamiento
retencin y destruccin
Pruebas especficas para lo siguiente:
suficiencia, precisin y validez durante cada fase del procesamiento
aprobaciones y autorizaciones aprobadas
existencia de controles preventivos, detectivos y correctivos dentro del procesamiento o va funciones manuales/
procedimientos de grupos de control
retencin de documentos fuente para la revisin posterior de la consistencia con respecto a los requerimientos de
retencin
recuperacin de una seleccin de documentos fuente y medios de transacciones para confirmar la existencia y la
precisin
anlisis de la disponibilidad del seguimiento de auditora: existencia, identificacin de fuente/operador y asegurar que cualquier sistema de interfase cuenta con niveles iguales de control sobre las transacciones
edicin de las funciones de programas de entrada y procesamiento, incluyendo, pero sin limitarse a:
Blancos en campos requeridos
Validacin de cdigos de transacciones
Montos negativos
Cualquier otra condicin apropiada
suficiencia de las pruebas de validacin internas al procesamiento
archivos suspendidos con transacciones defectuosas, incluyendo los siguientes controles:
Identificacin inmediata del operador que comete el error y aviso del error
Todas las transacciones de error son transferidas a estos archivos suspendidos
El registro es mantenido hasta que la transaccin es resuelta y eliminada
Las transacciones muestran cdigo de error, fecha y hora de captura, operador y mquina
Los archivos de suspenso crean reportes de seguimiento para la revisin administrativa, el anlisis de tendencias
y entrenamiento correctivo
separacin de la funciones de origen, entrada, procesamiento, verificacin y distribucin

Para una seleccin de transacciones de salida:
revisar una muestra de listas de transacciones procesadas en cuanto a su suficiencia y precisin
revisar una muestra de reportes de salida en cuanto a precisin y suficiencia
revisar los calendarios de retencin de salidas en cuanto a su adecuacin y cumplimiento de los procedimientos
confirmar que la distribucin real de una muestra de salidas fue llevada a cabo con procesin
confirmar el procesamiento integrado confirmando la salida de una bitcora de procesamiento de transacciones

de un sistema con la entrada de la bitcora de otro sistema
revisar los procedimientos de balanceo para todas las entradas, salidas de procesamiento y otras transacciones de
uso de sistemas
confirmar que nicamente personal autorizado tiene acceso a reportes sensibles
confirmar la destruccin o relocalizacin de almacenamientos fuera del site para todos los medios de datos por
polticas y procedimientos de retencin
confirmar los perodos reales de retencin contra los procedimientos de retencin
atestiguar la entrega o transmisin real de salidas sensibles y el cumplimiento con los procedimientos de procesamiento, distribucin y seguridad
175
COBIT
confirmar la creacin e integridad de los respaldos en asociacin con el procesamiento normal, as como para
los requerimientos del plan de recuperacin en caso de desastre
Para la librera de medios:
revisar el acceso del os usuarios a los servicios sensibles: determinar que el acceso es apropiado
seleccionar una muestra de medios a ser destruida y observar el proceso completo; verificar el cumplimiento
de los procedimientos aprobados
determinar la adecuacin de los controles para los datos en almacenamientos fuera del site y mientras los datos estn en trnsito
obtener resultados del inventario de la librera de medios ms reciente; confirmar su precisin
confirmar que los procesadores de registro son suficientes para accesar los medios necesarios
revisar los controles en cuanto a las desviaciones o bypass restringidos de reglas de etiquetado internas e
internas
probar el cumplimiento de los controles internos y externos va revisin de medios seleccionados
revisar los procedimientos de creacin de respaldos para asegurar la existencia de datos suficientes en caso de
desastre
confirmar las inspecciones de la librera de medios por requerimientos calendarizados

8
Identificando:
176
cuando los archivos de produccin son accesados directamente por los operadores que antes y despus no
creen ni se mantengan imgenes de archivos
formas de entrada y salida sensibles (por ejemplo, certificados de reservas) no protegidas
bitcoras no llevadas y mantenidas para totales batch y de control para todas las fases del procesamiento
reportes de salidas no tiles a los usuarios: datos relevantes y tiles, reportes necesarios, distribucin apropiada, formato y frecuencia adecuados, acceso en lnea a los reportes tomado en consideracin
datos transmitidos sin controles adicionales, incluyendo:
Accesos de envo/recepcin de transmisiones limitados
Autorizacin e identificacin apropiadas del emisor y del receptor
Medios seguros de transmisin
Encriptacin de datos transmitidos y algoritmos de decodificacin apropiados
Pruebas de integridad de la transmisin en cuanto a su suficiencia
Procedimientos de retransmisin
contratos de proveedores con controles faltantes como servicios de destruccin
deficiencias fuera del site con respecto a amenazas al ambiente tales como fuego, agua, fallas elctricas y
accesos no autorizados
Y TECNOLOGAS AFINES
177
COBIT
DS12
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Administracin de instalaciones
Monitoreo

proporcionar un ambiente fsico conveniente que proteja al equipo y al
personal de TI contra peligros naturales o fallas humanas
la instalacin de controles fsicos y ambientales adecuados
que sean revisados regularmente para su funcionamiento
apropiado
acceso a instalaciones
identificacin del centro de cmputo
seguridad fsica
salud y seguridad del personal
proteccin contra amenazas ambientales
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
178
Y TECNOLOGAS AFINES
DS 12 ADMINISTRACIN DE INSTALACIONES
1
2
3
4
5
6
Seguridad Fsica
Bajo Perfil de las Instalaciones de Tecnologa de Informacin
Escolta de Visitantes
Salud y Seguridad del Personal
Proteccin contra Factores Ambientales
Suministro Ininterrumpido de Energa
8
Entrevistas:
Administrador de las Instalaciones
Oficial de Seguridad
Administrador de Riesgos
Administrador de la seguridad de la funcin de servicios de informacin
Obteniendo:
Polticas y procedimientos organizacionales relacionados con la administracin, disposicin o plano, seguridad, inventario de activos fijos e inventario de las instalaciones, as como adquisicin/arrendamiento de capital
Polticas y procedimientos de la funcin de servicios de informacin relacionados con la disposicin o plano de las
instalaciones, la seguridad fsica y lgica, acceso, mantenimiento, visitantes, salud, seguridad y requerimientos
ambientales, mecanismos de entrada y salida, reporte de seguridad, contratos de seguridad y mantenimiento, inventario de equipo, procedimientos de vigilancia, y requerimientos regulatorios
Una lista de los individuos que tienen acceso a las instalaciones y la disposicin o plano de las instalaciones
Una lista de los acuerdos de desempeo, capacidad y nivel de servicios con respecto a las expectativas de desempeo
de los recursos de los sistemas de informacin (equipo e instalaciones), incluyendo estndares industriales
Copia del documento de planeacin de recuperacin/contingencia en caso de desastre

8
Considerando s:
La localizacin de las instalaciones no es obviamente externa, se encuentra en el rea u organizacin menos accesible,
y si el acceso es limitado al menor nmero de personas
Los procedimientos de acceso lgico y fsico son suficientes, incluyendo perfiles de seguridad de acceso para empleados, proveedores, equipo y personal de mantenimiento de las instalaciones
Los procedimientos y prcticas de administracin de llave ("Key" ) y lectora de tarjetas ("card reader") son adecuados,
incluyendo la actualizacin y revisin continuas tomando como base una menor necesidad de acceso
179
COBIT
Las polticas de acceso y autorizacin de entrada/salida, escolta, registro, pases temporales requeridos, cmaras de vigilancia son apropiadas para todas las reas y especialmente para las reas ms sensibles
Se llevan a cabo revisiones peridicas de los perfiles de acceso, incluyendo revisiones administrativas
Existen y se llevan a cabo los procesos de revocacin, respuesta y escalamiento en caso de violaciones a la seguridad
Existe el proceso de signage con respecto a la no identificacin de reas sensibles, y si es consistente con los requerimientos de seguro, cdigo de construccin local y regulatorios
Las medidas de control de seguridad y acceso incluyen a los dispositivos de informacin porttiles utilizados fuera del
sitio
Se lleva a cabo una revisin de los registros de visitantes, asignacin de pases, escolta, persona responsable del visitante, bitcora para asegurar tanto los registros de entradas como de salidas y el conocimiento de la recepcionista con
respecto a los procedimientos de seguridad
Se lleva a cabo una revisin de los procedimientos de aviso contra incendio, cambios de clima, problemas elctricos y
procedimientos de alarma, as como las respuestas esperadas en los distintos escenarios para los diferentes niveles
de emergencias ambientales
Se lleva a cabo una revisin de los procedimientos de control de aire acondicionado, ventilacin, humedad y las respuestas esperadas en los distintos escenarios de prdida o extremos no anticipados
Existe una revisin del proceso de alarma al ocurrir una violacin a la seguridad, que incluya:
definicin de la prioridad de la alarma (por ejemplo, apertura de la puerta por parte de una persona armada
que ha entrado en las instalaciones)
escenarios de respuesta para cada alarma de prioridad
responsabilidades del personal interno versus personal de seguridad local o proveedores
interaccin con las autoridades locales
revisin del simulacro de alarma ms reciente

La organizacin es responsable del acceso fsico dentro de la funcin de servicios de informacin, incluyendo:
desarrollo, mantenimiento y revisiones continuas de polticas y procedimientos de seguridad
establecimiento de relaciones con proveedores relacionados con la seguridad
contacto con la administracin de las instalaciones en cuanto a problemas de tecnologa relacionados con
seguridad
coordinacin del entrenamiento y conciencia sobre seguridad para la organizacin
coordinacin de actividades que afecten en control de acceso lgico va aplicaciones centralizadas y software
de sistema operativo
proporcionar entrenamiento y crear conciencia de seguridad no slo dentro de la funcin de servicios de informacin, sino para los servicios de usuarios
Se llevan a cabo prcticas de distribuidores automticos y servicios de conserjera para investigacin del personal en
las instalaciones de la organizacin
Se llevan a cabo la actualizacin y negociacin del contenido de los contratos de servicio
Los procedimientos de pruebas de penetracin y los resultados
coordinan los escenarios de prueba de penetracin fsica
coordinan la prueba de penetracin fsica con proveedores y autoridades locales

Se cumple con las regulaciones de salud, seguridad y ambiente
La seguridad fsica es tomada en cuenta en el plan de recuperacin/contingencia en caso de desastre y abarca una seguridad fsica similar en las instalaciones aprovisionadas
Existen elementos de infraestructura especficos alternativos necesarios para implementar seguridad:
fuente de poder ininterrumpida (UPS)
alternativas o reruteo de lneas de telecomunicacin
recursos alternativos de agua, gas, aire acondicionado y humedad
180
Y TECNOLOGAS AFINES
8
Probando que:
El personal tiene conciencia y comprende la necesidad de seguridad y controles
Los armarios cableados estn fsicamente protegidos con el acceso posible autorizado y el cableado se encuentra bajo
tierra o conductos protegidos tanto como sea posible
El proceso de signage identifica rutas de emergencia y qu hacer en caso de una emergencia o violacin a la seguridad
Los directorios de telfono en otra partes de la instalacin no identifican localidades sensibles
La bitcora de visitantes sigue apropiadamente los procedimientos de seguridad
Existen los procedimientos de identificacin requeridos para cualquier acceso dentro o fuera va observacin
Las puertas, ventanas, elevadores, ventilas y ductos o cualquier otro modo de acceso estn identificados
El site computacional est separado, cerrado y asegurado y es accesado nicamente por personal de operaciones y gente de mantenimiento tomando como base un acceso necesario
El personal de las instalaciones rota turnos y toma vacaciones y descansos apropiados
Existen los procedimientos de mantenimiento y registro para un desempeo de trabajo oportuno
Las variaciones de las polticas y procedimientos en las operaciones de los turnos segundo y tercero son reportadas
Los planes fsicos son actualizados a medida que cambian la configuracin, el ambiente y las instalaciones
Los registros y el equipo de monitoreo ambiental y de seguridad --debajo, en, sobre, y alrededor son mantenidos
No se almacenan tiles peligrosos
Existe el seguimiento de auditora de control de acceso sobre software de seguridad o reportes clave de administracin
Se ha dado seguimiento a toda emergencia ocurrida en el pasado o a su documentacin
El personal con acceso son empleados reales
Se llevan a cabo verificaciones de suficiencia de administracin clave de acceso
Se otorga una educacin en seguridad fsica y conciencia de seguridad
Existe una cobertura y experiencia de seguros para los gastos asociados con algn evento de seguridad, prdida del
negocio y gastos para recuperar la instalacin
El proceso para la implementacin de acceso a cambios de llaves y controles de procesos lgicos es continuo y conocido
El ambiente cumple con los requerimientos regulatorios establecidos
Las bitcoras de mantenimiento de alarmas no pueden ser modificadas inapropiadamente
La frecuencia de cambios a los cdigos de acceso y revisiones de perfil involucramiento de usuario e instalaciones
es documentada

8
Llevando a cabo:
Mediciones (Benchmarking) de administracin de instalaciones contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Comparaciones de la disposicin o plano fsico contra bosquejos del edificio y dispositivos de seguridad
Determinaciones sobre:
la no aparicin de la instalacin en s como una localidad de servicios de sistemas, ni siquiera sugerida indirectamente va direcciones, sealamientos de estacionamiento, etc.
la limitacin del nmero de puertas por cdigos locales de construccin/seguro
la suficiente proteccin de las instalaciones a travs de barreras fsicas para evitar el acceso inapropiado de
vehculos y personas
patrones de trnsito para asegurar que el flujo no dirige a las personas hacia las reas de seguridad
la suficiencia del monitoreo con videos y la revisin de cintas
181
COBIT
la existencia de espacio apropiado para el equipo computacional en cuanto a acceso, temperatura y mantenimiento
la suficiencia y disponibilidad de las cubiertas para el equipo contra agua o elementos externos en caso de
emergencia
la revisin de las bitcoras de mantenimiento de alarmas y el reporte del ltimo reporte de simulacro
Pruebas sobre temperatura, humedad, electricidad sobre y debajo de los pisos falsos; si han ocurrido anomalas, cules fueron las actividades de investigacin/solucin resultantes
Revisiones de todos los seguros y bisagras (bisagras dentro de la habitacin)
Una visita de las instalaciones sin portar gafete para determinar si se llevan a cabo detenciones e interrogatorios sobre
el hecho de no portar gafete
Revisiones de la cobertura del guardia/recepcionista cuando un visitante es escoltado a travs de las instalaciones
Pruebas de seguridad de penetracin de las instalaciones
8
Identificando:
Suficiencia de signage, extinguidores de incendios, sistemas de aspersin, UPS, drenaje, cableado y mantenimiento
regular
Para las ventanas: asegurar que ningn recursos es visible desde el exterior, que no existan aparadores en el centro de
datos
Determinacin de pruebas de seguridad de penetracin
Pruebas de visitantes, incluyendo registro, gafete, escolta, inspeccin, salida
Discrepancias en la bitcora de visitantes y en los gafetes de visitantes
Evaluacin de los perfiles e historia de acceso tomando como base el reporte clave de la administracin incluyendo el
reemplazo de gafetes/tarjetas maestras y artculos perdidos inactivos
Revisin de estadsticas de desastres locales
Desarrollo de escenarios de penetracin en caso de desastre
Contratos de proveedores para asegurar que se llevan a cabo una investigacin de personal y el cumplimiento con los
requerimientos de salud y seguridad
Pruebas de UPS y verificar que los resultados cumplan con los requerimientos operacionales y de capacidad para sostener las actividades crticas de procesamiento de datos
Pruebas de acceso de informacin (bitcoras, cintas, registros) para asegurar que stos son revisados por los usuarios y
la administracin en cuando a su propiedad
Pruebas de procedimientos de monitoreo de entrada a la instalacin cerca del rea
182
Y TECNOLOGAS AFINES
183
COBIT
DS13
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte

Monitoreo
administracin de operaciones
asegurar que las funciones importantes de soporte de TI estn siendo
llevadas a cabo regularmente y de una manera ordenada
una calendarizacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades
manual de procedimiento de operaciones

documentacin de procedimientos de arranque
administracin de servicios de red
calendarizacin de personal y cargas de trabajo
proceso de cambio de turno
registro de eventos de sistemas
P P
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P
184
Y TECNOLOGAS AFINES
DS 13 MANEJO DE OPERACIONES
1
2
3
4
5
6
7
Manual de Procedimientos de Operacin e Instrucciones

Documentacin del Proceso de Inicio y de Otras Operaciones
Calendarizacin de Trabajos
Salidas de la Calendarizacin de Trabajos Estndar
Continuidad de Procesamiento
Bitcoras de Operacin
Operaciones Remotas
8
Entrevistas:
Administracin de la planeacin de recuperacin/contingencia en caso de desastre de la funcin de servicios de informacin
Usuarios seleccionados de los recursos de la funcin de servicios de informacin
Proveedores seleccionados que proporcionan servicios o productos de software por contrato
Obteniendo:
Polticas y procedimientos organizacionales relacionados con la administracin de operaciones y el rol de sistemas de
informacin en el cumplimiento de los objetivos del negocio
Polticas y procedimientos de la funcin de servicios de informacin relacionados con el rol operacional, las expectativas de desempeo, la calendarizacin de trabajos, los acuerdos de nivel de servicio, las instrucciones para el operador, la rotacin de personal, la planeacin de recuperacin/contingencia en caso de desastre y las operaciones de
instalaciones remotas
Instrucciones operacionales para la funcin general de inicio, trmino, calendarizacin de la carga de trabajo, estndares, acuerdos de nivel de servicio, procedimientos fijos de emergencia, respuestas de procesamiento anormal, bitcoras de consola, seguridad fsica y lgica, separacin de libreras de desarrollo y produccin y procedimientos de
problemas de escalamiento
Una muestra seleccionada de instrucciones operacionales para aplicaciones clave incluyendo, calendarizacin, entradas, tiempo de procesamiento, mensajes de error, instrucciones de fin anormal, reinicio, procedimientos de problemas de escalamiento, trabajos antes y despus y archivos fuera del site
185
COBIT
8 Considerando s:
Existe evidencia sobre:
la suficiencia de todos los procesamientos llevados a cabo, reinicios y recuperaciones
la suficiencia de la carga de programa inicial (IPL) y del procedimiento de trmino
estadsticas de suficiencia del calendario para confirmar el trmino completo y exitoso de todos los requerimientos
la separacin fsica y lgica de las libreras fuente y objeto, de pruebas/desarrollo/produccin y los procedimientos de control de cambios para trasladar programas de una librera a otra
estadsticas de desempeo para actividades operacionales, incluyendo, aunque sin limitarse a:
Capacidad, utilizacin y desempeo de hardware y perifricos
Utilizacin y desempeo de memoria
Utilizacin y desempeo de telecomunicaciones
prueba de que el desempeo alcanza las normas de desempeo de producto, los estndares de desempeo
definidos internamente y los compromisos de acuerdo de nivel de servicio de usuarios
el mantenimiento, retencin y revisin peridicos de las bitcoras de operacin
la oportunidad de mantenimiento realizado a todo el equipo
la rotacin de turnos, el disfrute de vacaciones y el mantenimiento de competencia de los operadores

8
Probando que:
Los miembros del personal de operaciones tienen conciencia y comprenden:
los procedimientos de operacin por los que son responsables
las expectativas de desempeo dentro de las instalaciones normas de proveedores, estndares organizacionales y acuerdos de nivel de servicio con los usuarios
el programa fijo de emergencia, as como los procedimientos de reinicio/recuperacin
los requerimientos y la revisin administrativa de los requerimientos de la bitcora de operaciones
los procedimientos de escalamiento de problemas
la comunicacin de cambios de turno y las responsabilidades entre turnos
procedimientos de cambio o rotacin para trasladar programas de desarrollo a produccin
interaccin con las instalaciones remotas de procesamiento y las instalaciones centrales de procesamiento
las responsabilidades de comunicacin de oportunidades de mejoras a la productividad a la administracin

8
Llevando a cabo:
Una revisin de las estadsticas de desempeo operacional (equipo y personal) para asegurar lo adecuado de su utilizacin; compararlas contra organizaciones similares, normas de proveedores y estndares internacionales/buenas
prcticas reconocidas en la industria apropiadas
Una revisin de una muestra limitada de manuales de operacin de la funcin de servicios de informacin y determinar
si cumplen con los requerimientos de las polticas y los procedimientos
186
Y TECNOLOGAS AFINES
Un examen de la documentacin de los procesos de inicio y trmino y confirmar que los procedimientos son probados
y actualizados regularmente
Un examen de la calendarizacin de procesamiento para asegurar lo adecuado y la suficiencia del desempeo comparado contra el plan o calendario
8
Identificando:
Usuarios seleccionados y asegurando la suficiencia del desempeo operacional relacionado con actividades continuas y
acuerdos de nivel de servicio
Una muestra de trminos anormales (ABENDS) para trabajos y determinando la solucin a los problemas ocurridos
Las experiencias de entrenamiento, rotacin de turnos y vacaciones de los operadores
Una muestra de bitcoras de consola para revisar la precisin, las tendencias en el desempeo y la revisin administrativa de la solucin de problemas evaluar el escalamiento de problemas si aplica
A usuarios para determinar la satisfaccin con el compromiso del acuerdo de nivel de servicio
Procedimientos de mantenimiento preventivo completados en todo el equipo por sugerencia del proveedor
187
COBIT
188
Y TECNOLOGAS AFINES
MONITOREO
189
COBIT
MONITOREO
M1
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
monitoreo del proceso
asegurar el logro de los objetivos establecidos para los procesos de TI
la definicin por parte de la gerencia de reportes e indicadores de desempeo gerenciales, la implementacin de sistemas de soporte as como la atencin regular a los reportes
emitidos
indicadores clave de desempeo

factores crticos de xito
evaluacin de la satisfaccin de clientes
reportes gerenciales
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
190
Y TECNOLOGAS AFINES
M 1 MONITOREAR LOS PROCESOS

1
2
3
4
Recolectar Datos de Monitoreo

Evaluar el Desempeo
Evaluar la Satisfaccin del Cliente
Reporte Administrativo
8
Entrevistas:
Director Ejecutivo
Director de auditora interna
Director de servicios de informacin y administracin de control de calidad
Gerente de auditora externa
Usuarios seleccionados de recursos de la funcin de servicios de informacin
Miembros del comit de auditora, si aplica
Obteniendo:
Polticas y procedimientos organizacionales relacionadas con la planeacin, administracin, monitoreo y reporte del
desempeo
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con el monitoreo y el reporte del
desempeo, estableciendo iniciativas de mejoramiento del desempeo y frecuencia de las revisiones
Reportes de las actividades de la funcin de servicios de informacin incluyendo, pero no limitados a: reportes internos, reportes de auditoras internas, reportes de auditoras externas, reportes de usuarios, encuestas de satisfaccin
de los usuarios, planes de desarrollo de sistemas y reportes de avance, minutas del comit de auditora y cualquier
otro tipo de evaluacin del uso de los recursos de la funcin de servicios de informacin de la organizacin.
Documentos de planeacin de la funcin de servicios de informacin con objetivos para cada grupo de recursos y el
desempeo real en comparacin con dichos planes.

8 Considerando s:
Los datos identificados para monitorear los recursos de la funcin de servicios de informacin son apropiados
Se usan indicadores clave del desempeo y/o factores crticos para el xito para medir el desempeo de la funcin de
servicios de informacin en comparacin con los niveles deseables.
Los reportes internos de la utilizacin de los recursos de la funcin de servicios de informacin (gente, instalaciones,
aplicaciones, tecnologa y datos) son adecuados.
191
COBIT
Existe una revisin administrativa de los reportes de desempeo de los recursos de la funcin de servicios de informacin
Considerar si, contina
Existen controles de monitoreo para proporcionar una retroalimentacin confiable y til de manera oportuna
La respuesta de la organizacin a las recomendaciones de mejoramiento de control de calidad, auditora interna y auditora externa es apropiada
Existen iniciativas y resultados de mejoramiento del desempeo deseado
Se est dando el desempeo organizacional en comparacin con las metas establecidas dentro de la organizacin
La confiabilidad y utilidad de los reportes de desempeo para no usuarios es suficiente, tales como auditor externo,
comit de auditora y alta administracin de la organizacin
La oportunidad de los reportes permite una respuesta rpida ante las excepciones o incumplimientos identificados del
desempeo
Los reportes son suficientes en comparacin con las polticas y procedimientos establecidos para el desempeo de las
actividades (por ejemplo, reportes de desempeo)
8
Probando que:
Existen reportes de monitoreo del desempeo de la informacin
Existe revisin administrativa de los reportes de monitoreo del desempeo e iniciativas de acciones correctivas
Los empleados estn conscientes y comprenden las polticas y procedimientos relativos al monitoreo del desempeo
La calidad y el contenido de los reportes internos se relacionan con:
La recoleccin de datos de monitoreo del desempeo
El anlisis de los datos de monitoreo del desempeo
El anlisis de los datos del desempeo de los recursos
Las acciones administrativas sobre problemas del desempeo
El anlisis de encuestas de satisfaccin de los usuarios

La alta administracin est satisfecha con los reportes sobre el monitoreo del desempeo

8
Llevando a cabo:
Referencia del monitoreo del desempeo respecto a organizaciones similares o estndares internacionales/prcticas
industriales reconocidas apropiados
Revisin de la relevancia de los datos dentro de los procesos que se estn monitoreando
Revisin del desempeo real contra lo planeado en todas las reas de la funcin de servicios de informacin
Satisfaccin real contra lo anticipado de los usuarios de todas las reas de la funcin de servicios de informacin
Anlisis del grado de cumplimiento de las metas de desempeo e iniciativas de mejoramiento
Anlisis del nivel de implantacin de las recomendaciones de la administracin
Identificando:
La responsabilidad, autoridad e independencia del personal de monitoreo dentro de la organizacin de sistemas de informacin
192
Y TECNOLOGAS AFINES
193
COBIT
MONITOREO
M2
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
Evaluar lo adecuado del control interno
asegurar el logro de los objetivos de control interno establecidos para
los procesos de TI
el compromiso de la Gerencia de monitorear los controles
internos, evaluar su efectividad y emitir reportes sobre ellos
en forma regular
monitoreo permanente de control interno

comparacin con mejores prcticas
reportes de errores y excepciones
autoevaluaciones
reportes gerenciales
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
194
Y TECNOLOGAS AFINES
M 2 EVALUAR LA SUFICIENCIA DEL CONTROL INTERNO

1
2
3
4
Monitoreo del Control Interno

Operacin Oportuna de los Controles Internos
Reportes del Nivel de Control Interno
Aseguramiento de la Seguridad Operacional y del Control Interno
8
Entrevistas:
Director Ejecutivo
Director de servicios de informacin y administracin de control de calidad
Usuarios seleccionados de los recursos de la funcin de servicios de informacin
Obteniendo:
Polticas y procedimientos organizacionales relacionadas con la planeacin, administracin, monitoreo y reporte de los
controles internos
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con el monitoreo y el reporte de los
controles internos y la frecuencia de las revisiones
Reportes de las actividades de la funcin de servicios de informacin incluyendo, pero no limitados a: reportes internos, reportes de auditoras internas, reportes de auditoras externas, reportes de usuarios, encuestas de satisfaccin
de los usuarios, planes de desarrollo de sistemas y reportes de avance, minutas del comit de auditora y cualquier
otro tipo de evaluacin de los controles internos de la funcin de servicios de informacin
Polticas y procedimientos especficos de la funcin de servicios de informacin relativos al aseguramiento de la seguridad operacional y del control interno

8 Considerando s:
Los datos identificados para monitorear los controles internos de la funcin de servicios de informacin son apropiados
Los reportes internos de los datos de control interno de la funcin de servicios de informacin son adecuados
Existe una revisin administrativa de los controles internos de la funcin de servicios de informacin
Existen controles de monitoreo para proporcionar retroalimentacin confiable y til de manera oportuna
La respuesta de la organizacin a las recomendaciones de mejoramiento del control de calidad, auditora interna y auditora externa es apropiada
195
COBIT
Existen iniciativas y resultados de mejoramiento del control interno deseable
Se est dando el desempeo organizacional en comparacin con las metas establecidas dentro de la organizacin
La informacin concerniente a errores, inconsistencias y excepciones de control interno se mantiene de manera sistemtica y se reporta a la administracin
La confiabilidad y utilidad de los reportes de control interno para no usuarios, tales como auditor externo, comit de
auditora y alta administracin de la organizacin, es suficiente
La oportunidad de los reportes permite una respuesta rpida ante las excepciones o incumplimientos identificados del
control interno
Los reportes de control interno son suficientes en comparacin con las polticas y procedimientos establecidos para el
desempeo de las actividades (por ejemplo, reportes de control interno)
8
Probando que:
Existen reportes de monitoreo del control interno
Est habiendo revisin administrativa de los reportes de control interno e iniciativas de acciones correctivas
Los empleados estn conscientes y comprenden las polticas y procedimientos relativos al monitoreo del control interno
La calidad y el contenido de los reportes internos se relacionan con:
La recoleccin de datos de monitoreo del control interno
El desempeo del cumplimiento del control interno
Las acciones administrativas sobre problemas del control interno
El aseguramiento de la seguridad operacional y del control interno
La alta administracin est satisfecha con los reportes sobre la seguridad y el control interno

8
Llevando a cabo:
Referencia de la evaluacin del control interno respecto a organizaciones similares o estndares internacionales/
prcticas industriales reconocidas apropiados
Revisin de la relevancia de los datos dentro de los procesos que se estn monitoreando y en el reporte de los controles
internos
Marco de referencia para la revisin de los controles internos de toda la organizacin y en particular de la funcin de
servicios de informacin para asegurar la suficiencia de la cobertura y de los diversos niveles de detalle para los
responsables del proceso
Revisin del control interno real contra lo planeado en todas las reas de la funcin de servicios de informacin
Anlisis del grado de cumplimiento de las metas de control interno e iniciativas de mejoramiento
Revisin de la satisfaccin del comit de auditora con los reportes sobre los controles internos
Anlisis del nivel de implantacin de las recomendaciones de la administracin
Identificando:
Las reas adicionales para el probable reporte de control interno, en consistencia con los requerimientos de servicios de
informacin, auditora, administracin, auditores externos y regulativos
La responsabilidad, autoridad e independencia del personal de revisin de control interno dentro de la organizacin de
sistemas de informacin
196
Y TECNOLOGAS AFINES
197
COBIT
MONITOREO
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
M3
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
obtencin de aseguramiento independiente

Monitoreo
incrementar los niveles de confianza entre la organizacin, clientes y

proveedores externos
revisiones de aseguramiento independientes llevadas al cabo
en intervalos regulares
certificaciones / acreditaciones independientes
evaluaciones independientes de efectividad
aseguramiento independiente sobre cumpli-
miento de requerimientos legales y regulatorios

aseguramiento independiente de cumplimiento
de compromisos contractuales
revisiones a proveedores externos de servicios
aseguramiento de desempeo por personal cali-
ficado
involucramiento proactivo de auditora
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
198
Y TECNOLOGAS AFINES
M 3 OBTENER ASEGURAMIENTO INDEPENDIENTE

1
2
3
4
5
6
7
8
Acreditacin/Certificacin Independiente de la Seguridad y el Control Interno de los Servicios de Tecnologa de

Informacin
Acreditacin/Certificacin Independiente de la Seguridad y el Control Interno de los Proveedores Externos de Servicios
Evaluacin Independiente de la Eficacia de los Servicios de Tecnologa de Informacin
Evaluacin Independiente de la Eficacia de los Proveedores Externos de Servicios
Aseguramiento Independiente del Cumplimiento de Requerimientos Regulativos y Legales y de Compromisos Contractuales
Aseguramiento Independiente del Cumplimiento de Requerimientos Regulativos y Legales y de Compromisos Contractuales por parte de Proveedores Externos de Servicios
Responsabilidad de la Funcin de Aseguramiento Independiente
Involucramiento Proactivo de Auditora
8
Entrevistas:
Director Ejecutivo
Director de la funcin de servicios de informacin
Gerente de la entidad de aseguramiento independiente
Obteniendo:
Organigrama a nivel de toda la organizacin y manual de polticas y procedimientos
Polticas y procedimientos relativas al proceso de aseguramiento independiente
Contratos/Acuerdos de servicio con el proveedor del servicio de tecnologa de informacin
Requerimientos legales y regulativos pertinentes y compromisos contractuales
Contratos, presupuestos, reportes previos e historial de desempeo de aseguramiento independiente
Historial de experiencia y educacin continua del personal de aseguramiento independiente
Reportes de auditoras previas

8 Considerando s:
Los contratos de aseguramiento independiente estn debidamente establecidos/ejecutados para asegurar la cobertura de
revisin adecuada (por ejemplo, certificacin/acreditacin, evaluacin de eficacia y evaluaciones de cumplimiento)
199
COBIT
La acreditacin/certificacin independiente se obtiene antes de implantar servicios nuevos e importantes de tecnologa
de informacin
La re-certificacin/re-acreditacin independiente de los servicios de tecnologa de informacin se obtiene en un ciclo
rutinario despus de la implantacin
La certificacin/acreditacin independiente se obtiene antes de utilizar a los proveedores de servicios de tecnologa de
informacin
La re-certificacin/re-acreditacin se obtiene en un ciclo rutinario
La evaluacin independiente de la eficacia de los servicios de tecnologa de informacin se obtiene en un ciclo rutinario
La evaluacin independiente de la eficacia de los proveedores de servicios de tecnologa de informacin se obtiene en
un ciclo rutinario
Las revisiones independientes del cumplimiento de la funcin de servicios de informacin con los requerimientos legales y regulativos y los compromisos contractuales se obtiene en un ciclo rutinario
Las revisiones independientes del cumplimiento de proveedores externos de servicios con los requerimientos legales y
regulativos y los compromisos contractuales se obtiene en un ciclo rutinario
El personal de aseguramiento independiente es competente y realiza su tarea de acuerdo a los estndares profesionales
apropiados
El programa de educacin profesional continua ayuda para proporcionar la capacitacin tcnica al personal de aseguramiento independiente
La administracin busca el involucramiento de auditora antes de decidir sobre soluciones del servicio de tecnologa de
informacin
8
Probando que:
La alta administracin aprueba el desempeo de la entidad de aseguramiento independiente
La certificacin/acreditacin independiente antes de la implantacin de nuevos servicios importantes de tecnologa de
informacin es global, completa y oportuna
La re-certificacin/re-acreditacin independiente de los servicios de tecnologa de informacin se realiza en un ciclo
rutinario despus de la implantacin, y que es global, completa y oportuna
La certificacin/acreditacin independiente antes de utilizar proveedores de servicios de tecnologa de informacin es
global, completa y oportuna
La re-certificacin/re-acreditacin independiente se realiza en un ciclo rutinario y es global, completa y oportuna
La evaluacin independiente de la eficacia de los servicios de tecnologa de informacin se realiza en un ciclo rutinario
y es global, completa y oportuna
La evaluacin independiente de la eficacia de los proveedores de servicios de tecnologa de informacin se realiza en
un ciclo rutinario y es global, completa y oportuna
Las revisiones independientes del cumplimiento de la funcin de servicios de informacin con los requerimientos legales y regulativos y los compromisos contractuales se realizan en ciclos rutinarios y son globales, completas y
oportunas
Las revisiones independientes del cumplimiento de proveedores externos de servicios con los requerimientos legales y
regulativos y los compromisos contractuales se realizan en ciclos rutinarios y son globales, completas y oportunas
Los reportes de la funcin de aseguramiento independiente son relevantes en cuanto a hallazgos, conclusiones y recomendaciones
200
Y TECNOLOGAS AFINES
La funcin de aseguramiento independiente posee las habilidades y el conocimiento necesarios para realizar un trabajo
competente
Est habiendo involucramiento proactivo, antes de decidir sobre soluciones del servicio de tecnologa de informacin

8
Llevando a cabo:
Referencia de las actividades de revisin de la entidad de aseguramiento independiente respecto a organizaciones similares o estndares internacionales/prcticas industriales reconocidas apropiados
Una revisin detallada que:
verifique los contratos de aseguramiento independiente respecto a las actividades de revisin realizadas
determine la suficiencia y oportunidad de las certificaciones/acreditaciones
determine la suficiencia y oportunidad de las re-certificaciones/re-acreditaciones
determine la suficiencia y oportunidad de las evaluaciones de eficacia
determine la suficiencia y oportunidad de las revisiones de cumplimiento de requerimientos legales y regulativos y de compromisos contractuales
verifique la capacidad del personal de la funcin de aseguramiento independiente
verifique el involucramiento proactivo de auditora
Identificando:
El valor agregado de las actividades de revisin de aseguramiento independiente
El desempeo real contra lo planeado con relacin a los planes y presupuestos de aseguramiento independiente
El grado y la oportunidad del involucramiento proactivo de auditora
201
COBIT
MONITOREO
M4
efe
cti
v
efi idad
co cie
nfi nc
de ia
nc
int ialid
eg ad
dis rid
po ad
n
cu ibili
m da
p
d
co limie
nfi n
ab to
ilid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
proveer auditora independiente
incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas
auditoras independientes desarrolladas en intervalos regulares
independencia de auditora
involucramiento proactivo de auditora
ejecucin de auditoras por parte de personal
calificado
aclaracin de resultados y recomendaciones
actividades de seguimiento
g
ap ente
lic
ac
tec ione
s
n
ins olog
tal a
ac
ion
da es
tos
P P P P P
202
Y TECNOLOGAS AFINES
M 4 PREPARAR AUDITORAS INDEPENDIENTES

1
2
3
4
5
6
7
8
Contratacin de Auditora
Independencia
tica y Estndares Profesionales
Capacidad
Planeacin
Realizacin del Trabajo de Auditora
Reporte
Actividades de Seguimiento
8
Entrevistas:
Director Ejecutivo
Director de la funcin de servicios de informacin y administracin de control de calidad
Obteniendo:
Organigrama a nivel de toda la organizacin y manual de polticas y procedimientos
Cdigo de conducta a nivel organizacin
Polticas y procedimientos relativos al proceso de auditora independiente
Contratacin de auditora, misin, polticas, procedimientos y estndares, reportes previos y planes de auditora
Opiniones de auditora externa, revisiones y planes de auditora
Historial de experiencia y educacin continua del personal de auditora independiente
Evaluacin del riesgo de auditora, presupuesto e historial de desempeo
Minutas de las reuniones del comit de auditora, si aplica

8 Considerando s:
El comit de auditora est debidamente establecido y se rene con regularidad, si aplica
La organizacin de auditora interna est debidamente establecida
Las auditoras externas contribuyen a la consecucin del plan de auditora
La adherencia de la auditora a los cdigos profesionales aplicables es suficiente
Considerar si, contina
La independencia del auditor est confirmada mediante declaraciones de conflicto de intereses firmadas
203
COBIT
El plan de auditora se basa en la metodologa de evaluacin de riesgos y en las necesidades generales del plan
Las auditoras se planean y supervisan de manera adecuada
El programa de educacin profesional continua ayuda en la capacitacin tcnica de los auditores
El personal de auditora es competente y realiza sus tareas de acuerdo con los estndares profesionales de auditora
Existe un proceso adecuado de reporte de los hallazgos de la auditora hacia la administracin
El seguimiento de todos los problemas de control se est realizando de manera oportuna
La cobertura de la auditora incluye todo el rango de auditora de sistemas de informacin (por ejemplo, controles generales y de aplicaciones, ciclo de desarrollo del sistema, rentabilidad, economa, eficiencia, eficacia, enfoque
proactivo de auditora, etc.)
8
Probando que:
La alta administracin aprueba el desempeo de la funcin de auditora independiente
Las actitudes de la alta administracin son consistentes con la contratacin de auditora
Referencias de auditora interna respecto a los estndares profesionales
La designacin de auditores asegura la independencia y las habilidades necesaria
Hay mejora continua en la experiencia profesional del personal de auditora
El contenido del reporte de auditora es relevante respecto a las recomendaciones
Existen reportes de seguimiento que resumen la oportunidad de la implantacin

8
Llevando a cabo:
Referencia de la funcin de auditora respecto a organizaciones similares o estndares internacionales/prcticas industriales reconocidas apropiados
Una revisin detallada que:
verifique que el plan de auditora representa una revisin cclica y continua
la auditora est contribuyendo al xito del negocio y a los planes de Tecnologa de Informacin
la evidencia de la funcin de auditora apoya las conclusiones y recomendaciones
los hallazgos de la auditora estn siendo comunicados y se est tomando ventaja de los mismos o se estn
reduciendo riesgos
las recomendaciones de la auditora estn siendo implantadas de manera consciente respecto al beneficio que
representan
Identificando:
El costo/beneficio de las recomendaciones de la auditora
El desempeo real contra lo planeado con relacin al plan y presupuesto de auditora
El grado de integracin entre la auditora externa y la interna
204
Y TECNOLOGAS AFINES
APNDICE I
LISTA DE DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
PLANEACIN Y ORGANIZACIN
1.0
2.0
3.0
4.0
Definir un Plan Estratgico de TI

1.1 TI como Parte del Plan a Largo y Corto
Plazo de la Organizacin
1.2 Plan a Largo Plazo de TI
1.3 Planeacin a Largo Plazo de TI Enfoque
y Estructura
1.4 Cambios en el Plan a Largo Plazo de TI
1.5 Planeacin a Corto Plazo para la Funcin
de Servicios de Informacin
1.6 Evaluacin de los Sistemas Existentes
Definir la Arquitectura de la Informacin
2.1 Modelo de Arquitectura de la Informacin
2.2 Diccionario de Datos Corporativos y Reglas de Sintaxis de Datos
2.3 Esquema de Clasificacin de Datos
2.4 Niveles de Seguridad
Determinar el Rumbo Tecnolgico
3.1 Planeacin de la Infraestructura Tecnolgica
3.2 Monitoreo de Tendencias y Regulaciones
Futuras
3.3 Contingencia de Infraestructura Tecnolgica
3.4 Planes de Adquisicin de Hardware y Software
3.5 Estndares de Tecnologa
Definir la Organizacin y las Relaciones de TI
4.1 Comit Directivo o de Planeacin de la
Funcin de Servicios de Informacin
4.2 Lugar dentro del Organigrama de la Funcin de Servicios de Informacin
4.3 Revisin de los Logros Organizacionales
4.4 Funciones y Responsabilidades
4.5 Responsabilidad por el Aseguramiento de
Calidad
4.6 Responsabilidad por la Seguridad Lgica y
Fsica
4.7 Propiedad y Custodia
4.8 Propiedad de los Datos y del Sistema
4.9 Supervisin
4.10 Segregacin de Obligaciones
4.11 Personal de TI
4.12 Descripciones de Puestos para el Personal
de la Funcin de Servicios de Informacin
4.13 Personal Clave de TI
4.14 Procedimientos de Contratacin de Personal
5.0
6.0
7.0
8.0
9.0
4.15 Relaciones
Administrar la Inversin de TI
5.1 Presupuesto Anual Operativo de la Funcin
de Servicios de Informacin
5.2 Monitoreo de Costo y Beneficio
5.3 Justificacin de Costo y Beneficio
Comunicar los Objetivos y el Rumbo Administrativo
6.1 Ambiente Positivo de Control de Informacin
6.2 Responsabilidad de la Administracin sobre las Polticas
6.3 Comunicacin de las Polticas Organizacionales
6.4 Recursos para la Implantacin de Polticas
6.5 Mantenimiento de Polticas
6.6 Cumplimiento de las Polticas, Procedimientos y Estndares
6.7 Compromiso de Calidad
6.8 Poltica de Marco de Referencia para la
Seguridad y el Control Interno
6.9 Derechos de Propiedad Intelectual
6.10 Polticas para Asuntos Especficos
6.11 Comunicacin de la Consciencia de Seguridad de TI
Administrar los Recursos Humanos
7.1 Reclutamiento y Promocin de Personal
7.2 Requerimientos del Personal
7.3 Capacitacin del Personal
7.4 Capacitacin Cruzada o Respaldo de Personal
7.5 Procedimientos de Liquidacin de Personal
7.6 Evaluacin del Desempeo de los Empleados
7.7 Cambio de Puesto y Terminacin
Asegurar el Cumplimiento de los Requerimientos Externos
8.1 Revisin de Requerimientos Externos
8.2 Prcticas y Procedimientos para el Cumplimiento de los Requerimientos Externos
8.3 Cumplimiento de la Seguridad y Ergonoma
8.4 Privacidad, Propiedad Intelectual y Flujo
de Datos
8.5 Comercio Electrnico
8.6 Cumplimiento de Contratos de Aseguranza
Evaluar los Riesgos
9.1 Evaluacin de Riesgos de Negocios
205
COBIT
APNDICE I
9.2
Enfoque de Evaluacin de Riesgos
9.3
Identificacin del Riesgo
9.4
Medicin del Riesgo
9.5
Plan de Accin para el Riesgo
9.6
Aceptacin del Riesgo
10.0 Administrar los Proyectos
10.1 Marco de Referencia para la Administracin de Proyectos
10.2 Participacin del Departamento del
Usuario en la Iniciacin del Proyecto
10.3 Miembros y Responsabilidades del Equipo del Proyecto
10.4 Definicin del Proyecto
10.5 Aprobacin del Proyecto
10.6 Aprobacin de Fase del Proyecto
10.7 Plan Maestro del Proyecto
10.8 Plan del Sistema de Aseguramiento de
Calidad
10.9 Planeacin de Mtodos de Aseguramiento
10.10 Manejo Formal del Riesgo del Proyecto
10.11 Plan de Pruebas
10.12 Plan de Capacitacin
10.13 Plan de Revisin Post-Implantacin
11.0 Administrar la Calidad
11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de Calidad
11.3 Planeacin de Aseguramiento de Calidad
11.4 Revisin de Adherencia a los Estndares
y Procedimientos de Aseguramiento de
Calidad de la Funcin de Servicios de
Informacin
11.5 Metodologa del Ciclo de Desarrollo de
Sistemas
11.6 Metodologa del Ciclo de Desarrollo de
Sistemas para Cambios Importantes en
Tecnologa Existente
11.7 Actualizacin de la Metodologa del Ciclo de Desarrollo de Sistemas
11.8 Coordinacin y Comunicacin
11.9 Marco de Referencia de Adquisicin y
Mantenimiento para la Infraestructura
Tecnolgica
11.10 Relaciones con Implantadores Externos
11.11 Estndares de Documentacin de Programas
11.12 Estndares de Prueba de Programas
11.13 Estndares de Prueba de Sistemas
206
11.14 Pruebas Paralelas/Piloto

11.15 Documentacin de Pruebas del Sistema
11.16 Evaluacin de Adherencia a los Estndares de Desarrollo de Aseguramiento de
Calidad
11.17 Revisin de la Consecucin de los Objetivos de Aseguramiento de Calidad de la
Funcin de Servicios de Informacin
11.18 Medicin de la Calidad
11.19 Reportes de Revisiones de Aseguramiento de Calidad
ADQUISICIN E IMPLANTACIN
1.0
2.0
Identificar las Soluciones

1.1
Definicin de los Requerimientos de Informacin
1.2
Formulacin de Cursos de Accin Alternativos
1.3
Formulacin de la Estrategia de Adquisicin
1.4
Requerimientos de Servicios Externos
1.5
Estudio de Factibilidad Tecnolgica
1.6
Estudio de Factibilidad Econmica
1.7
Arquitectura de la Informacin
1.8
Reporte de Anlisis de Riesgos
1.9
Controles Rentables de Seguridad
1.10 Diseo de Esquemas de Auditora
1.11 Ergonoma
1.12 Seleccin del Software del Sistema
1.13 Control de Procuracin
1.14 Adquisicin del Software
1.15 Mantenimiento Externo del Software
1.16 Programa de Contrato de Aplicaciones
1.17 Aceptacin de Instalaciones
1.18 Aceptacin de Tecnologa
Adquirir y Dar Mantenimiento al Software de
Aplicacin
2.1
Mtodos de Diseo
2.2
Cambios Importantes en los Sistemas
Existentes
2.3
Aprobacin del Diseo
2.4
Definicin y Documentacin de los Requerimientos de Archivo
2.5
Especificaciones del Programa
2.6
Diseo de Recoleccin de Datos Fuente
Y TECNOLOGAS AFINES
APNDICE I
2.7
3.0
4.0
5.0
Definicin y Documentacin de los Requerimientos de Datos de Entrada
2.8 Definicin de Interfaces

2.9 Interfaz Usuario-Mquina
2.10 Definicin y Documentacin de los Requerimientos de Procesamiento de Datos
2.11 Definicin y Documentacin de los Requerimientos de Datos de Salida (Resultados)
2.12 Capacidad de Control
2.13 Disponibilidad como Factor Clave de Diseo
2.14 Provisiones de Integridad de TI en Software y Programas de Aplicacin
2.15 Pruebas del Software de Aplicacin
2.16 Material de Referencia y Apoyo para el
Usuario
2.17 Re-evaluacin del Diseo del Sistema
Adquirir y Dar Mantenimiento a la Arquitectura Tecnolgica
3.1 Evaluacin de Hardware y Software Nuevos
3.2 Mantenimiento Preventivo del Hardware
3.3 Seguridad del Software del Sistema
3.4 Instalacin del Software del Sistema
3.5 Mantenimiento del Software del Sistema
3.6 Cambio en los Controles del Software del
Sistema
Desarrollar y Mantener Procedimientos de TI
4.1 Requerimientos Operativos y Niveles de
Servicios Futuros
4.2 Manual de Procedimientos del Usuario
4.3 Manual de Operaciones
4.4 Materiales de Capacitacin
Instalar y Acreditar los Sistemas
5.1 Capacitacin
5.2 Ajuste de Desempeo del Software de
Aplicacin
5.3 Conversin
5.4 Pruebas de los Cambios
5.5 Criterios y Desempeo de las Pruebas Paralelas/Piloto
5.6 Prueba de Aceptacin Final
5.7 Acreditacin y Pruebas de Seguridad
5.8 Prueba Operativa
5.9 Promocin para Produccin
5.10 Evaluacin de Cumplimiento de los Requerimientos del Usuario
6.0
5.11 Revisin Administrativa PostImplementacin

Manejar los Cambios
6.1 Iniciacin y Control de la Solicitud de
Cambios
6.2 Evaluacin del Impacto
6.3 Control de los Cambios
6.4 Documentacin y Procedimientos
6.5 Mantenimiento Autorizado
6.6 Poltica de Lanzamiento de Software
6.7 Distribucin de Software
SUMINISTRO Y SOPORTE
1.0
2.0
3.0
4.0
Definir los Niveles de Servicio

1.1 Marco de Referencia de Acuerdos de Nivel
de Servicio
1.2 Aspectos de los Acuerdos de Nivel de Servicio
1.3 Procedimientos de Desempeo
1.4 Monitoreo y Reporte
1.5 Revisin de los Acuerdos y Contratos de
Nivel de Servicio
1.6 Artculos con Cargo
1.7 Programa de Mejoramiento de Servicio
Manejar los Servicios de Terceros
2.1 Interfaces de Proveedores
2.2 Relaciones con el Propietario
2.3 Contratos con Terceros
2.4 Requerimientos de Terceros
2.5 Contratos Externos
2.6 Continuidad de Servicios
2.7 Relaciones de Seguridad
2.8 Monitoreo
Administrar el Desempeo y la Capacidad
3.1 Requerimientos de Disponibilidad y Desempeo
3.2 Plan de Disponibilidad
3.3 Monitoreo y Reporte
3.4 Herramientas de Modelaje
3.5 Administracin Proactiva del Desempeo
3.6 Pronstico de la Carga de Trabajo
3.7 Administracin de la Capacidad de los Recursos
3.8 Disponibilidad de los Recursos
3.9
Programacin de Recursos
Asegurar el Servicio Continuo
4.1 Marco de Referencia de Continuidad de TI
207
COBIT
APNDICE I
4.2
5.0
6.0
208
Plan Estratgico y Filosofa de Continuidad de TI

4.3
Contenido del Plan de Continuidad de TI
4.4
Reduccin de los Requerimientos de
Continuidad de TI
4.5
Mantenimiento del Plan de Continuidad
de TI
4.6
Pruebas del Plan de Continuidad de TI
4.7
Capacitacin del Plan de Continuidad de
TI
4.8
Distribucin del Plan de Continuidad de
TI
4.9
Procedimientos de Respaldo del Procesamiento Alternativo de Datos del Departamento del Usuario
4.10 Recursos Crticos de TI
4.11 Sitio y Hardware de Respaldo
4.12 Procedimientos de Wrap-up
Asegurar la Seguridad de los Sistemas
5.1
Manejo de las Medidas de Seguridad
5.2
Identificacin, Autentificacin y Acceso
5.3
Seguridad del Acceso a Datos En Lnea
5.4
Administracin de la Cuentas del Usuario
5.5
Revisin Administrativa de las Cuentas
del Usuario
5.6
Control del Usuario de las Cuentas del
Usuario
5.7
Vigilancia de Seguridad
5.8
Clasificacin de Datos
5.9
Identificacin de Central y Administracin de Derechos de Acceso
5.10 Reportes de Violacin y Actividades de
Seguridad
5.11 Manejo de Incidentes
5.12 Re-Acreditacin
5.13 Confianza de la Contraparte
5.14 Autorizacin de Transacciones
5.15 No-Repudio
5.16 Ruta Confiable
5.17 Proteccin de las Funciones de Seguridad
5.18 Administracin de la Clave Criptogrfica
5.19 Prevencin, Deteccin y Correccin de
Software Malicioso
5.20 Arquitectura de Barreras de Proteccin y
Conexiones con Redes Pblicas
5.21 Proteccin de Bienes Electrnicos
Identificar y Atribuir los Costos
6.1
Artculos Cobrables
6.2
6.3
Procedimientos de Costeo
Procedimientos de Facturacin y Reembolso al Usuario
7.0 Educar y Capacitar a los Usuarios
7.1
Identificacin de las Necesidades de Capacitacin
7.2
Organizacin de la Capacitacin
7.3
Capacitacin de Consciencia y Principios
de Seguridad
8.0 Ayudar y Aconsejar a los Clientes de TI
8.1
Oficina de Asistencia
8.2
Registro de las Preguntas del Cliente
8.3
Agravamiento de las Preguntas del Cliente
8.4
Monitoreo de Habilitacin
8.5
Anlisis y Reporte de Tendencias
9.0 Manejar la Configuracin
9.1
Registro de la Configuracin
9.2
Fundamento de la Configuracin
9.3
Estatus de Contabilidad
9.4
Control de la Configuracin
9.5
Software No Autorizado
9.6
Almacenamiento de Software
10.0 Manejar los Problemas e Incidentes
10.1 Sistema de Manejo de Problemas
10.2 Agravamiento de Problemas
10.3 Rastreo y Ruta de Auditora de Problemas
11.0 Manejar los Datos
11.1 Procedimientos de Preparacin de Datos
11.2 Procedimientos de Autorizacin de Documentos Fuente
11.3 Recoleccin de Datos de Documentos
Fuente
11.4 Manejo de Errores de Documentos Fuente
11.5 Retencin de Documentos Fuente
11.6 Procedimientos de Autorizacin de Alimentacin de Datos
11.7 Chequeos de Precisin, Integridad y Autorizacin
11.8 Manejo de Errores de Alimentacin de
Datos
11.9 Integridad de Procesamiento de Datos
11.10 Validacin y Edicin de Procesamiento
de Datos
11.11 Manejo de Errores de Procesamiento de
Datos
Y TECNOLOGAS AFINES
APNDICE I
12.0
13.0
11.12 Manejo y Retencin de Datos de Salida

(Resultados)
11.13 Distribucin de Resultados
11.14 Balance y Conciliacin de Resultados
11.15 Revisin y Manejo de Errores de Resultados
11.16 Provisin de Seguridad para Reportes de
Resultados
11.17 Proteccin de Informacin Delicada Durante la Transmisin y el Transporte
11.18 Proteccin de Informacin Delicada Desechada
11.19 Manejo del Almacenamiento
11.20 Perodos de Retencin y Plazos de Almacenamiento
11.21 Sistema de Administracin de Archivo de
Medios
11.22 Responsabilidades de la Administracin
del Archivo de Medios
11.23 Respaldo y Restauracin
11.24 Tareas de Respaldo
11.25 Almacenamiento del Respaldo
11.26 Archivo
11.27 Proteccin de Mensajes Delicados
11.28 Autentificacin e Integridad
11.29 Integridad de las Transacciones Electrnicas
11.30 Integridad Continua de los Datos Almacenados
Manejar las Instalaciones
12.1 Seguridad Fsica
12.2 Perfil del Sitio de TI
12.3 Escolta a Visitantes
12.4 Salud y Seguridad del Personal
12.5 Proteccin Contra Factores Ambientales
12.6 Suministro Ininterrumpido de Energa
Manejar las Operaciones
13.1 Procedimientos de las Operaciones de
Procesamiento y Manual de Instrucciones
13.2 Documentacin del Proceso de Inicio y
Otras Operaciones
13.3 Programacin de Tareas
13.4 Desviaciones de la Programacin Estndar de Tareas
13.5 Continuidad de Procesamiento
13.6 Bitcoras de Operaciones
13.7 Operaciones Remotas
MONITOREO
1.0 Monitorear las Operaciones
1.1 Recoleccin de Datos de Monitoreo
1.2 Evaluacin del Desempeo
1.3 Evaluacin de la Satisfaccin del Cliente
1.4 Reporte Administrativo
2.0 Evaluar la Suficiencia del Control Interno
2.1 Monitoreo del Control Interno
2.2 Operacin Oportuna de los Controles Internos
2.3 Reporte del Nivel de Control Interno
2.4 Aseguramiento de Seguridad Operativa y
Control Interno
3.0 Obtener Aseguramiento Independiente
3.1 Certificacin/Acreditacin Independiente
de la Seguridad y el Control Interno de los
Servicios de TI
3.2 Certificacin/Acreditacin Independiente
de Proveedores Externos de Servicios
3.3 Evaluacin Independiente de la Eficacia de
los Servicios de TI
3.4 Evaluacin Independiente de la Eficacia de
los Proveedores Externos de Servicios
3.5 Aseguramiento Independiente del Cumplimiento de los Requerimientos Legales y
Regulativos y Compromisos Contractuales
3.6 Aseguramiento Independiente del Cumplimiento de los Requerimientos Legales y
Regulativos y Compromisos Contractuales
de Proveedores Externos de Servicios
3.7 Competencia de la Funcin de Aseguramiento Independiente
3.8 Involucramiento Proactivo de Auditora
4.0 Preparar Auditoras Independientes
4.1 Contrato de Auditora
4.2 Independencia
4.3 tica y Estndares Profesionales
4.4 Competencia
4.5 Planeacin
4.6 Realizacin del Trabajo de Auditora
4.7 Reporte
4.8 Actividades de Seguimiento
209
COBIT
APNDICE II MATERIAL DE REFERENCIA PRINIPAL
COSO: Comit de las organizaciones patrocinadas de la Comisin Treadway. Control Interno Marco de Referencia Integrado. 2 vols. Instituto Americano de Contadores Certificados, Nueva Jersy, 1994.
Directrices OECD: Organizacin para la Cooperacin Econmica y el Desarrollo. Directrices para la Seguridad de la
Informacin, Pars, 1992.
Cdigo DTI para el Manejo de la Seguridad de la Informacin: Departamento de Comercio e Industria y el Instituto
Britnico de Estndares. Un Cdigo para el Manejo de la Seguridad de la Informacin, Londres, 1993, 1995.
IS0-9000-3: Organizacin Internacional de Estandarizacin. Estndares de la Administracin de Calidad y Aseguramiento
de Calidad Parte 3: Directrices para la aplicacin del IS0-9001 para el desarrollo, abastecimiento y mantenimiento del
software, Suiza 1991.
Manual de Seguridad NIST: Instituto Nacional de Estndares y Tecnologa, Departamento de Comercio de E.U.A. Una
introduccin a la Seguridad Computacional: El Manual NIST, Washington, DC, 1995.
Prcticas del Manjeo de la TI del ITIL: Biblioteca de la Infraestructura de la Tecnologa de la Informacin. Prcticas y
Directrices desarrollados para la Agencia Central de Computacin y Telecomunicaciones (CCTA), Londres, 1989.
Marco de Referencia IBAG: Marco de Referencia Preliminar del Grupo de Consultora de Negocios para SOGIS (Grupo
de Directores Ejecutivas de la Seguridad de Informacin, Recomendando a la Comisin Europea) Bruselas, Blgica, 1994.
Declaraciones de la Oficina del Primer Ministro de NSW sobre las Mejores Prcticas y, las Tcnicas y Manejo de la
Informacin de Planeacin: Declaracin de la Mejores Prcticas #1 a la #6. Departamento del Primer Ministro de New
South Wales, Gobierno de New South Wales, Australia, de 1990 a 1994.
Memorndum del Banco Central Holands: Memorndum sobre la Confiabilidad y Continuidad del Procesamiento electrnico de Datos en la Banca. Banco de Nederlandsche, Reimpreso de Boletn Trimestral #3, Pases Bajos, 1998.
Monografa EDPAF #7, EDI: Un Enfoque de Auditora: Jamison, Rodger. EDI. Un Enfoque de Auditora, Serie Monogrfica #7, Fundacin de Auditora y Control de los Sistemas de Informacin; INC, Rolling Meadows, IL, Abril 1994.
Marco de Referencia Modelo de PCIE (Consultora Presidencial sobre Integridad y Eficiencia: Un Marco de Referencia Modelo para la Administracin sobre los Sistemas de Informacin Autorizados. Elaborado conjuntamente por el
Consejo Presidencial para el Mejoramiento de la Administracin y el Consejo Presidencial sobre Integridad y Eficiencia,
Washington, DC, 1987.
Estndares de Auditora para los Sistemas de Informacin en Japn: Estndares de Auditora para los Sistemas de
Informacin de Japn. Proporcionando por la cooperacin de Auditora Chuo, Tokio, Agosto 1994.
Controles de los OBJETIVOS DE CONTROL en un Ambiente de Sistema de Informacin: Directrices de Control y
Procedimientos de Auditora: Fundacin de Auditores EDKP (ahora la Fundacin de Control y Auditora de los Sistemas
de Informacin), cuarta Edicin, Rolling Meadows, IL, 1992.
Anlisis de Puesto CISA: Consejo de Certificacin de la Asociacin de Control y Auditora de Sistema de Informacin.
Estudio de Anlisis de Puesto de Auditor de Sistemas de Informacin Certificado, Rolling Meadows, IL 1994.
Directrices de Controles Computacionales CICA: Instituto Canadiense de Peritos Contables, Toronto, 1986.
Directrices Internacionales IFAC para el Manejo de la Seguridad de la Informacin y Comunicaciones: Federacin
Internacional de Contadores, Nueva York, NY, 1997.
Directrices Internacionales IFAC sobre el Manejo de la Tecnologa de Informacin Manejo de la Planeacin de la
Tecnologa de Informacin para el Impacto de Negocios (Borrador): Federacin Internacional de Contadores, Nueva
York, NY, 1998.
210
Y TECNOLOGAS AFINES
Estndares de Control Interno en el Gobierno Federal de E.U.A.: Oficina General de Tesorera de E.U.A., Washington,
DC, 1983.
Gua para la Auditora de Controles y Seguridad, un Enfoque del Grado de Vida de Desarrollo de Sistemas: Publicacin Especial NBS, 500-153: Instituto Nacional de Estndares y Tecnologa, Departamento de Comercio de E.U.A., Washington, DC, 1998.
Estndares gubernamentales de Auditora: Oficina General de Tesorera de EUA, Washington, Dc, 1994.
Prcticas generalmente aceptadas del Manejo de la TI en Dinamarca: El Inst. de Contadores Autorizados por el Estado,
Dinamarca, 1994.
SPICE: Mejoras al Proceso del Software y Determinacin de la capacidad. Un estndar sobre el mejoramiento del proceso
del software, institucin de Estndares Britnico, Londres, 1995.
DRI Internacional, Prcticas Profesionales para planeadores de la continuidad del Negocio: Instituto Internal para la
Recuperacin en casos de Desastre, Gua para los planeadores de la Continuidad del Negocio, San Luis, MO, 1997.
IIA, Pantleto de Prcticas Profesionales 97-1, Comercio Electrnico: Instituto de la Fundacin de Investigacin de Auditores Internos, Alamonte Springs, FL, 1997.
Series de Referencias Tcnicas E &Y: Ernest & Young, Gua de Auditora, SAP R/3, Cleveland, OH 1996.
Gua de Auditora C&L SAP R/3: Coopers & Lybrand, SAP R/3: Su Uso Control y Auditora, Nueva York, NY, 1997
Tecnologa de Informacin ISO IEC JTC
Tecnologa de Informacin IS0 IEC JTC1/SC27 Seguridad: Organizacin Internacional de Estandarizacin, ComitTcnico para la Seguridad de la Tecnologa de Informacin, Suiza, 1998.
IS0 TC68/WGA, Directrices para la Seguridad de la Informacin para la Banca y Servicios Financieros Relacionados: Organizacin Internacional de Estandarizacin (ISO) Comit Tcnico para la Banca y Servicios Financieros, Borrador,
Suiza, 1997.
CCEB 96/011, Criterios Comunes para la Evaluacin de la Seguridad de la Tecnologa de Informacin: Consejo de
implementacin de los Criterios Comunes, Alineacin y comparacin de los criterios de seguridad de la TI Europeos, E.U.
A. y Canadienses, Borrador, Washington, DC, 1997.
Prctica Recomendada para EDI: EDIFACT (EDI para la Administracin de Comercio e Industria), Pars, 1987.
TICKIT: Gua para la Construccin y Certificacin de software por Sistemas de Manejo de la Calidad, Departamento de
Comercio e Industria Britnico (DTI), Londres, 1994.
Control Base ESF Comunicaciones: Foro de Seguridad Europeo, Londres, Seguridad de Redes de Comunicaciones,
Septiembre 1991, Controles Base para Redes de rea Local, Septiembre 1994.
Control Base ESF Microcomputadoras: Foro de Seguridad Europeo, Londres, Cantidades de Base, Microcomputadoras
Conectadas a la Red, Junio 1990.
Manual de Auditora de los Sistemas de Informacin Computalizados (CIS): Fundacin de Auditores EDP (ahora la
Fundacin de Control y Auditora de Sistema de Informacin), Rolling Meadows, IL, 1992.
211
COBIT
APNDICE III GLOSARIO DE TRMINOS
AICPA
CCEB
CICA
CISA
Control
COSO
DRI
DTI
EDIFACT
EDPAF
ESF
GAO
I4
IBAG
IFAC
IIA
INFOSEC
ISACA
ISACF
ISO
ISO9000
ITIL
ITSEC
NBS
212
Instituto Americano de Contadores Pblicos Certificado. (American Institute of Certified Public

Accountants)
Criterios comunes para seguridad en tecnologa de informacin. (Common Criteria for
Information Technology Security)
Instituto Canadiense de Contadores. (Canadian Institute of Chartered Accountants)
Auditor Certificado de Sistemas de Informacin. (Certified Information Systems Auditor)
Polticas, procedimientos, prcticas y estructuras organizacionales, diseados para proporcionar
una seguridad razonable de que los objetivos del negocio sern alcanzados y que eventos no
deseados sern prevenidos o detectados y corregidos.
Comit de Organizaciones Patrocinadoras de la Comisin de Intercambio.
"Tradeway" (Committee of Sponsoring Organisations of the Tradeway Commission).
Instituto Internacional de Recuperacin de Desastres. (Disaster Recovery Institute International)
Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of
the United Kingdom)
Intercambio Electrnico de Datos para la Administracin, el Comercio y la Industria (Electronic
Data Interchange for Administration, Commerce and Trade)
Fundacin de Auditores de Procesamiento Electrnico de Datos (Electronic Data Processing
Auditors Foundation), ahora ISACF.
Foro Europeo de Seguridad (European Security Forum), cooperacin de 70+ multinacionales
europeas principalmente con el propsito de investigar problemas de seguridad y control
comunes de TI.
Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office)
Instituto Internacional de Integridad de Informacin. (International Information Integrity
Institute), asociacin similar a ESF, con metas similares, pero con base principalmente en los
Estados Unidos y dirigida por el Instituto de Investigaciones de Stanford (Stanford Research
Institute)
Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group), representantes de la
industria que asesoran al Comit Infosec. Este Comit est compuesto por funcionarios de los
gobiernos de la Comunidad Europea y asesora a la Comisin Europea sobre cuestiones de
seguridad de TI.
Federacin Internacional de Contadores. (International Federation of Accountants)
Instituto de Auditores Internos. (Institute of Internal Auditors)
Comit Consultivo para la Comisin Europea en Materia de Seguridad TI. (Advisory Committee
for IT Security Matters to the European Commission)
Asociacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit
and Control Foundation)
Fundacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit
and Control Foundation)
Organizacin de Estndares Internacionales. (International Standards Organisation) (con
oficinas en Gnova, Suiza)
Estndares de manejo y aseguramiento de la calidad definidos por ISO.
Biblioteca de Infraestructura de Tecnologa de Informacin. (Information Technology
Infrastructure Library)
Criterios de Evaluacin de Seguridad de Tecnologa de Informacin (Information Technology
Security Evaluation Criteria). Combinacin de los criterios de Francia, Alemania, Holanda y
Reino Unido, soportadas consecuentemente por la Comisin Europea (ver tambin TCSEC, el
equivalente en los Estados Unidos).
Departamento Nacional de Estndares de los Estados Unidos (National Bureau of Standards of
NIST
NSW
Objetivo de
Control de TI
OECD
OSF
PCIE
TCSEC
TickIT
Y TECNOLOGAS AFINES
the U.S.)
(antes NBS)
Instituto Nacional de Estndares y Tecnologa. (National Institute of Standards
and Technology), con base en Washington D.C.
Nueva Gales del Sur, Australia. (New South Wales, Australia)
Declaracin del resultado deseado o propsito a ser alcanzado al implementar
procedimientos de control en una actividad particular de TI.
Organizacin para la Cooperacin y el Desarrollo Econmico. (Organisation for Economic
Cooperation and Development)
Fundacin de Software Pblico (Open Software Foundation)
Consejo Presidencial de Integridad y Eficiencia. (Presidents Council on Integrity and
Efficiency)
Criterios de Evaluacin de Sistemas Computarizados Confiables. (Trusted Computer System
Evaluation Criteria), conocido tambin como "The Orange Book". Criterios de evaluacin de
seguridad para sistemas computarizados definidos originalmente por el Departamento de
Defensa de los Estados Unidos. Ver tambin ITSEC, el equivalente europeo.
Gua para la Construccin y Certificacin de Sistemas de Administracin de Calidad. (Guide to
Software Quality Management System Construction and Certification)
213
COBIT
APNDICE IV PROCESO DE AUDITORA
(PREPARADO POR EL CAPTULO NACIONAL DE REA CAPITAL)
Los diagramas de flujo que se muestran a continuacin tratan
de cada uno de los pasos para la satisfaccin de un solo objetivo de control. Define el objetivo del paso y especifica lo que
el auditor debe haber alcanzado antes de continuar con el siguiente paso. Finalmente, un diagrama de flujo es la representacin grfica del proceso de recoleccin de informacin y
toma de decisiones que deben ocurrir en cada uno de los pasos.
Dado que muchos de los objetivos son particulares, no sugerimos estos diagramas como una regla estricta. Resultan tiles
como gua porque representan un marco de referencia conceptual preciso para cada una de las fases del trabajo de auditora.
Se presenta un glosario consolidado de trminos despus de
cada diagrama. Los trminos definidos se representan en cursiva a lo largo del texto.
PASO DE AUDITORA DE IDENTIFICACIN/DOCUMENTACIN
Objetivo del Paso El objetivo del paso de auditora de identificacin/documentacin es que el auditor se familiarice con
la tarea cubierta por el objetivo de control y la manera en que
la administracin de SI cree que estn siendo controlados.
Esto incluye la identificacin de las personas, los procesos y la
locacin que realiza dicha tarea, y los procedimientos establecidos que los controlan.
Resultados Deseados del Paso Al finalizar el paso de auditora de identificacin/documentacin, el auditor deber haber
identificado, documentado y verificado:
Quin realiza la tarea cubierta por el objetivo de

control
Dnde se realiza la tarea
Cundo se realiza la tarea
Sobre qu datos de entrada se realiza la tarea
Qu datos de salida/resultados se esperan de la

tarea, y
Cules son los procedimientos establecidos para

realizar la tarea.
Inicio
Identidad,
Procesos,
Locaciones,
Individuos, y
Procedimientos
PASO DE AUDITORA DE EVALUACIN

Objetivo del Paso El objetivo del paso de auditora de evaluacin es evaluar los procedimientos establecidos y determinar si los procedimientos brindan una estructura de control
eficaz. Los procedimientos deben evaluarse contra los criterios identificados, las prcticas estndar de la industria y el
criterio del auditor. Una estructura de control eficaz es eficiente en costos y proporciona aseguramiento razonable de
que la tarea est siendo realizada y de que se estn cumpliendo el objetivo de control.
Resultados Deseados del Paso Al finalizar el paso de auditora de evaluacin, el auditor debe haber:
Evaluado las leyes, regulaciones y criterios organizacionales en cuanto a su aplicacin sobre los procedimientos
Evaluado los procedimientos establecidos para

determinar si son eficientes en costos y proporcionan aseguramiento razonable de que se est realizando la tarea y de que se est cumpliendo el objetivo de control
Evaluado los controles compensatorios utilizados

para apoyar procedimientos dbiles
Concluido si los procedimientos establecidos y los

controles compensatorios proporcionan conjuntamente una estructura de control eficaz
Identificado si son apropiadas las pruebas de cumplimiento.

PASO DE AUDITORA DE PRUEBAS DE CUMPLIMIENTO
Objetivo del Paso El objetivo del paso de auditora de pruebas de cumplimiento es analizar la adherencia de una organizacin a los controles prescritos. Deber compararse los procedimientos reales y los controles compensatorios en relacin
con los procedimientos establecidos, y deber realizarse entrevistas y revisin de documentos para determinar si los controles estn debida y consistentemente aplicados. Las pruebas de
cumplimiento solamente se realizan sobre la base de los procedimientos que han sido determinados como eficaces.
Entrevista
a clientes
Procedimientos
Percibidos del
cliente
Procedimientos
Escritos
Procedimientos
Definidos
Para
Evaluar
Fusin
Figura 1. Diagrama de Flujo del Paso de Auditora

Identificacin/Documentacin
214
Y TECNOLOGAS AFINES

Resultados Esperados del Paso Al finalizar el paso de
auditora de pruebas de cumplimiento, el auditor debe
haber documentado la adherencia de la organizacin a los
procedimientos identificados anteriormente y debe haber
concluido si los procedimientos establecidos y los controles compensatorios estn debida y consistentemente aplicados. Basndose en el nivel de cumplimiento, el auditor
debe determinar el nivel de pruebas justificantes necesarias
para brindar aseguramiento de que el proceso de control es
adecuado.
necesarias para brindar aseguramiento o no-aseguramiento

total a la administracin sobre la consecucin de un objetivo de negocios dado.
Resultados Deseados del Paso Al finalizar el paso de
auditora de pruebas justificantes, el auditor deber haber
realizado pruebas suficientes sobre los resultados de la
tarea para concluir si se est alcanzando un objetivo de
control dado. Debern realizarse pruebas justificantes significativas si:
No existen medidas de control
Las medidas de control han sido calificadas como no

satisfactorias, o
Las pruebas de cumplimiento indican que las medidas de
control no han sido debida y consistentemente aplicadas.
PASO DE AUDITORA DE PRUEBAS JUSTIFICANTES

Objetivo del Paso El objetivo del paso de auditora de
pruebas justificantes es realizar las pruebas de datos
Ident/Doc
Procedimientos
Definidos
Evaluar los
Procedimientos
Definidos
Procedimiento NO
Efectivo?
Identificar y
Evaluar los
Controles de
Compensacin
Controles de
Comp.
Efectivo?
NO
Prueba
Significativa
y Sustantiva
SI
SI
Leyes,
Requericiones,
y Criterios de
la Org.
Prueba de
Cumplimiento
Figura 2. Diagrama de Flujo del Paso de Auditora de Evaluacin

Adecuar los
Procedimientos de
Control aplicados de
manera apropiada y
consistente
Proced.
Definido
Evaluacin
Revisar Muestra de
resultados de Tareas
para Determinar el
cumplimiento de los
Proced. Definidos
Cumple
Pruebas
Sustantivas
Limitadas
SI
NO
Muestreo de
Resultados de
las Tareas
Identificar
Procedimientos
Reales
Proced. Reales NO
Adecuados
Adecuar los
Procedimientos de
control imprecisos y
aplicados de manera
inconsistente
Pruebas
Significativas
Sustantivas
Figura 3. Diagrama de Flujo del Paso de Auditora de Prueba del Cumplimiento

215
COBIT
Desarrollar el inverso
de los Resultados de las
tareas y determine las
tcnicas de muestreo
Se requieren
pruebas
Significativas?
SI
Realice el muestreo
Significativo aleatorio
o estadstico
Determinar si el
objetivo de Control
se ha logrado para
el Muestreo
Se cumpli el
objetivo de
Control?
SI
Aseguramiento
NO
NO
Realice el
Muestreo Limitado
Aleatorio o de
Juicio
No Aseguramiento
Figura 4. Diagrama de Flujo del Paso de Auditora de Pruebas
216
Y TECNOLOGAS AFINES

GLOSARIO:
Procedimientos Reales Son los procedimientos que estn
siendo realizados por la organizacin para satisfacer el
objetivo de auditora. Los procedimientos reales se identifican durante la fase de auditora de pruebas de cumplimiento.
Controles Compensatorios Son los pasos o procedimientos adicionales de control que no se relacionan directamente con el objetivo de control que se est probando, pero
cuya presencia sirve para fortalecer los controles que s se
relacionan directamente con el objetivo de control. Los
controles compensatorios se identifican durante la fase de
pruebas de cumplimiento del trabajo de auditora. Los
controles compensatorios se procuran de manera activa
solamente cuando la eficacia de los controles establecidos
es cuestionable.
Objetivo de Control El resultado deseado de cualquier
procedimiento establecido para una organizacin. Desde el
punto de vista de Sistemas de Informacin, el objetivo de
control se utiliza para catalogar y definir el alcance del
trabajo de auditora que se est realizando.
Aseguramiento Razonable Un estndar para la evaluacin de la suficiencia de los procedimientos establecidos
para cumplir con un objetivo de control en particular. El
aseguramiento razonable involucra la aplicacin del criterio, conocimiento y experiencia para desarrollar una opinin informada. El aseguramiento razonable requiere que
un sistema de controles sea eficaz, pero no demasiado gravoso. El estndar de aseguramiento razonable tambin
requiere que un sistema de controles sea eficiente en costos.
Procedimientos Establecidos Controles que la organizacin cree establecidos y que se siguen para brindar aseguramiento de que se est cumpliendo el objetivo de control.
Los procedimientos establecidos son lo que la administracin cree que est sucediendo. Incluyen tanto procedimientos escritos, como procedimientos informales identificados por la administracin. Los procedimientos establecidos se identifican en la fase de identificacin/
documentacin del trabajo de auditora y se comparan en
relacin con los procedimientos reales durante la fase de
cumplimiento.
Tarea El resultado deseado de una serie de procedimientos cubiertos por un objetivo de control. La tarea es lo que
el objetivo de control est diseado a asegurar.
Datos de Entrada y Resultados de la Tarea Productos,
reportes o informacin requerida para, asociada con o resultado de la realizacin de una tarea.
217
COBIT
APNDICE V
Como una muestra de la aplicacin del Marco de Referencia de COBIT a problemas especficos, as como tambin a procesos especficos, Robert Parker, ExPresidente de ISACA (AACSI), ha brindado una muestra de un lineamiento de auditora
aplicable al problema del Milenio Ao 2000, relacionado con los campos de datos de los programas de cmputo y las dificultades potenciales de procesamiento asociados con el cambio de los ltimos dgitos de 99 a 00. A manera de demostracin, no pretende incluir todos los aspectos, sino ms bien el ser de utilidad como un enfoque hacia el tema, utilizando el
Marco de Referencia de COBIT para desarrollar un lineamiento de auditora.
CUMPLIMIENTO DE LOS REQUERIMIENTOS DEL AO 2000

1
2
3
Asegurar que todos los programas de aplicacin cumplan con los requerimientos del Ao 2000
Asegurar que todo el hardware y software de sistema cumpla con los requerimientos del Ao 2000
Asegurar que existan planes para monitorear el cumplimiento de los requerimientos del Ao 2000 y que se efecte la
respuesta oportuna donde sea necesario
8
Entrevistas:
Director General de Finanzas
Director General de Informacin
Miembros seleccionados del Comit Directivo de la Funcin de Servicios de Informacin
Jefe del sub-comit especial para el Ao 2000 de la organizacin
Administracin de la Funcin de Servicios de Informacin responsable de las iniciativas para el Ao 2000
Personal de la Funcin de Servicios de Informacin responsable de la implantacin y los resultados de las iniciativas
para el Ao 2000
Usuarios responsables de aplicaciones de comercio electrnico
8 Obteniendo:
El plan para el Ao 2000 de la organizacin, incluyendo tiempos especficos y costo presupuestado
El reporte de evaluacin para el Ao 2000 de la organizacin
El anlisis, por parte de la funcin de servicios de informacin, del esfuerzo requerido para cumplir con los requerimientos del Ao 2000, clasificado por aplicacin, programas y utilidades de los sistemas, y dispositivos de hardware
Informacin sobre certificacin de cumplimiento de los requerimientos del Ao 2000 de los distribuidores, y fecha anticipada de cumplimiento, si no estn certificados todava
Minutas de las reuniones del sub-comit especial para el Ao 2000
Iniciativas importantes de la industria para resolver problemas a nivel industria (por ejemplo, comercio electrnico)
218
Y TECNOLOGAS AFINES

8 Considerando s:
La organizacin ha realizado una revisin de su utilizacin de la tecnologa de informacin, incluyendo la preparacin
de un inventario apropiado, y ha evaluado adecuadamente los problemas potenciales y especficos del Ao 2000
La organizacin ha establecido un plan para asegurar que sus sistemas cumplan con los requerimientos del Ao 2000 y
ha dedicado tiempo suficiente para un cumplimiento total
La organizacin ha desarrollado planes especficos para evaluar los sistemas antiguos que pueden no tener documentacin o fuentes suficientes para permitir su modificacin para que cumplan con los requerimientos del Ao 2000
La organizacin negocia electrnicamente con proveedores (EDI; EFI, etc.), y si ellos necesitan cumplir con los requerimientos del Ao 2000, incluyendo la certificacin apropiada
La calidad de la documentacin existente es suficiente para permitir que la organizacin cumpla con los requerimientos
para el Ao 2000
Los sistemas operativos y otro software estn certificados por su cumplimiento de los requerimientos para el Ao 2000
La organizacin ha utilizado 99 como una opcin predeterminada en el diseo de sistemas, particularmente en polticas de retencin (por ejemplo, 99365 para especificar una retencin sin eliminar de los archivos guardados)
La organizacin ha adoptado una poltica que requiere que todo el software nuevo cumpla con los requerimientos para
el Ao 2000
La organizacin tiene la capacidad suficiente para llevar a cabo y finalizar las iniciativas para el Ao 2000, incluyendo
las pruebas de validacin, en el tiempo requerido
La organizacin ha adquirido y validado productos de software para ayudar en la implantacin de su programa para el
Ao 2000
La organizacin se apoya o se apoyar en fuentes externas para realizar su plan para el Ao 2000, y si dichos recursos
ya estn contratados
El plan para el Ao 2000 de la organizacin incluye dispositivos controlados por computadora, tales como puertas,
alarmas, elevadores, claves de seguridad, pases, mquinas de fax, etc.
La organizacin probablemente evitar un problema de creciente preocupacin dados el plan actual para el Ao 2000
y el estatus de cualquier iniciativa para el Ao 2000
8
Probando que:
El inventario de aplicaciones, utilidades, APIs, etc., es preciso y completo, y que el estatus del cumplimiento con los
requerimientos para el Ao 2000 est correcto
Los planes para el Ao 2000 sean razonables, completos y alcanzables, y que estn manejados apropiadamente
Que las interfaces electrnicas con los proveedores cumplan con los requerimientos para el Ao 2000
La documentacin es adecuada para permitir a la organizacin evaluar, actualizar y probar todos los programas requeridos para hacer que la organizacin cumpla con los requerimientos del Ao 2000
Los fabricantes, distribuidores y otros proveedores hayan certificado sus productos como en cumplimiento de los requerimientos del Ao 2000, y que mantengan registros de dicha certificacin
Para los productos certificados para el Ao 2000, la organizacin ha realizado las pruebas apropiadas en su ambiente
normal/habitual de procesamiento, incluyendo las comunicaciones
El uso de las opciones predeterminadas 99 ha sido apropiadamente resuelto
Las polticas, procedimientos y estndares de la organizacin reflejan los requerimientos del Ao 2000 y se cumple
con ellos
Todos los acuerdos de licencia de software y hardware actual especifican el cumplimiento de los requerimientos del
Ao 2000 y/o una fecha lmite de cumplimiento especificada por el distribuidor/proveedor
219
COBIT
La organizacin ha incluido tiempo de capacitacin suficiente para asegurar que todos los empleados de la Funcin de
Servicios de Informacin tengan los conocimientos para apoyar las iniciativas para el Ao 2000 de la organizacin
Los acuerdos de licencia de software permiten a la organizacin realizar pruebas para el Ao 2000 en sitios distintos de
la locacin principal con licencia
Las iniciativas para el Ao 2000 de la organizacin incluyen la prueba y validacin apropiada, incluyendo una prueba
completa de los sistemas, y que los sitios remotos apropiados han sido asegurados para simular ambientes remotos
de procesamiento y comunicaciones, y que han realizado dicha prueba
El plan comprende a los dispositivos, adems de los sistemas computacionales
El plan permita a la organizacin continuar con sus actividades normales de negocios, sin interrupciones, despus del
Ao 2000
8
Llevando a cabo:
Referencia de los planes e iniciativas para el Ao 2000 y de su estatus actual respecto a organizaciones similares o criterios razonables apropiados
Una revisin detallada de las diversas iniciativas para el Ao 2000, incluyendo la evaluacin del tiempo estimado, los
recursos asignados, los conocimientos disponibles y el presupuesto establecido
Revisiones de los contratos con distribuidores y proveedores para calificar el grado de cumplimiento con los requerimientos del Ao 2000
Revisiones de las pruebas para el Ao 2000 de la organizacin para evaluar el cumplimiento de los sistemas individuales para cubrir los requerimientos del Ao 2000 de la organizacin
Revisiones de los contratos externos para el Ao 2000 y evaluacin de los plazos y los resultados de los contratos
Identificando:
Planes e iniciativas para el Ao 2000 poco realistas o demasiado ambiciosos
Fondos, asignacin de recursos, personal y conocimientos insuficientes para el Ao 2000
Contratacin inadecuada o inapropiada en el rea de requerimientos para el Ao 2000
Pruebas inadecuadas o inapropiadas de los sistemas y programas de aplicacin que han sido modificados para cumplir
con los requerimientos del Ao 2000
Plazos, condiciones o temporalidad inadecuada o inapropiada para que el software suministrado por medio de distribuidores cumpla con los requerimientos del Ao 2000
Pruebas inadecuadas o inapropiadas del software de distribuidores externos que ha sido certificado por el distribuidor como en cumplimiento de los requerimientos para el Ao 2000
220
Asociacin de Auditora y Control

de Sistemas de Informacin
Y TECNOLOGAS AFINES
3701 ALGOLQUN ROAD, SUITE 1010

ROLLING MEADOWS, ILLINOIS 60008, USA
TELEPHONE: +1.847.253.1545
FACSMILE: +1.847.253.1443
E- MAIL: publication@isaca.org
WEB SITE: http//www.isaca.org
DGANOS QU PIENSA DE COBIT

Nos interesa conocer su reaccin a COBIT: Objetivos de Control para la Informacin y Tecnologa Relacionada. Srvase proporcionar sus comentarios a continuacin. Las respuestas sern recopiladas y publicadas en IS Audit and Control Journal.
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
Nombre
_____________________________________________________________________________________
Compaa _____________________________________________________________________
Direccin ____________________________________________________________________
Ciudad ______________________________ Estado/Provincia __________________________
Pas _________________________________ Cdigo Postal _____________________________
Nmero de Fax ________________________________________________________________
Direccin Electrnica ____________________________________________________________
? Estoy interesado en saber ms sobre cmo puede utilizarse CobiT dentro de mi organizacin.
Favor de solicitar a un representante de la Asociacin que se ponga en contacto conmigo.
? Envenme ms informacin sobre:
? Otros productos de CobiT
? Cursos de Capacitacin de CobiT (privados o sesiones generales)
? Certificacin de Auditor Certificado de Sistemas de Informacin [CISA (ACSI)]
? Conferencias de ISACA (AACSI)
? Membresa de la Asociacin
? IS Audit & Control Journal
? Otras publicaciones de ISACA (AACSI)
Muchas Gracias!
Todas las encuestas sern tomadas en consideracin.
221
COBIT
DIRECTRIZ GENRICA PARA AUDITORAS
OBTENCIN DE UNA COMPRENSIN
Los pasos de auditora a realizar para documentar las actividades subyacentes de los objetivos de control, as como tambin para identificar las medidas de control/procedimientos establecidos existentes.
Entrevistar al personal y directivos para obtener una comprensin de:
Los requerimientos del negocio y los riesgos asociados
La estructura organizacional
Las funciones y responsabilidades
Las polticas y procedimientos
Las leyes y regulaciones
Las medidas de control existentes
El reporte administrativo (estatus, desempeo, puntos de accin)

Documentar los recursos de TI relacionados particularmente afectados por los procesos bajo revisin, los Indicadores Clave
de Desempeo [ICD (KPI)] del proceso, las implicaciones del control, mediante una revisin paso a paso del proceso
EVALUACIN DE LOS CONTROLES
Los pasos de auditora a realizar para la evaluacin de la eficacia de las medidas de control existentes o el grado en que
se logra un objetivo de control. Bsicamente, trata de decidir qu y cmo probarlo.
Evaluar la suficiencia de las medidas de control para el proceso bajo revisin, por medio de considerar los criterios identificados y las prcticas estndar de la industria, los Factores Crticos de xito [FCE (CSF)] de las medidas de control, y la
aplicacin del criterio profesional del auditor.
Existen procesos documentados
Existen resultados apropiados
Las responsabilidades son claras y eficaces
Existen controles compensatorios, donde es necesario

Concluir el grado en el que se cumple el objetivo de control.
EVALUACIN DEL CUMPLIMIENTO
Los pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como debiera,
de manera consistente y continua, y concluir sobre la suficiencia del ambiente de control.
Obtener evidencia directa o indirecta para puntos/perodos seleccionados para asegurar que los procedimientos cumplieron
en el periodo bajo revisin, utilizando evidencia directa o indirecta.
Realizar una revisin limitada de la suficiencia de los resultados del proceso.
Determinar el nivel de pruebas justificantes y el trabajo adicional necesarios para asegurar que el proceso de TI es adecuado.
JUSTIFICACIN DEL RIESGO
Los pasos de auditora a realizar para justificar el riesgo de no cumplir con el objetivo de control mediante el uso de tcnicas analticas y/o consultando a fuentes alternativas. El objetivo es fundamentar la opinin y cimbrar a la administracin para que tome accin. Los auditores deben ser creativos para encontrar y presentar esta informacin frecuentemente
confidencial y delicada.
Documentar las debilidades del control, y las amenazas y los puntos vulnerables resultantes.
Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-raz.
Brindar informacin comparativa; por ejemplo, mediante puntos de referencia.
222

Cobit - Directrices de Auditoria 2EDICION 290

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cobit - Directrices de Auditoria 2EDICION 290

Cargado por

Copyright:

Formatos disponibles

DIRECTRICES DE AUDITORIA

INFORMATION SYSTEMS AUDIT AND

su programa de educacin profesional

Association es una organizacin global

ofrece conferencias tcnicas y adminis-

lder de profesionales que representa a

trativas en cinco continentes, as como

individuos en ms de 100 pases y compren-

seminarios en todo el mundo para

de todos los niveles de la tecnologa de

ayudar a los profesionistas de todo el

informacin Direccin ejecutiva, media

mundo a recibir educacin contina de

gerencia y practicantes. La Asociacin est

su rea de publicidad tcnica propor-

papel de generador central que armoniza

ciona materiales de desarrollo profe-

los estndares de las prcticas de control

sional y referencias con el fin de au-

de la TI a nivel mundial. Sus alianzas es-

mentar su distinguida seleccin de

tratgicas con otros grupos dentro del m-

bito profesional financiero, contable, de

La Information Systems Audit and Control

paralelo de integracin y compromiso a los

Association se cre en 1969 para cubrir las

dueos del proceso de negocio.

necesidades nicas, diversas y de alta tecno-

las actividades estndares establecen

loga en el naciente campo de la TI. En una

OBJETIVOS DE CONTROL PARA LA INFORMACIN

El Marco Referencial de COBIT

Lineamiento General de Auditoria

ISBN 0-9629440-6-8 (Audit Guidelines, English)

Cumplimiento del Ao 2000..............................217-219

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

PATROCINADORES DE LOS ASOCIADOS DE LA

PRINCIPALES CAPTULOS DE ISACA

CAPTULOS DE ISACA ASOCIADOS

OBJETIVOS DE CONTROL PARA LA INFORMACIN

ANALISTAS EXPERTOS USA

Erik Guldentops, S.W.I.F.T. S.C., Belgium

Prof. Ulric J. Gelinas, Bentley College

COMIT QUE DIRIGE EL PROYECTO

ANALISTAS EXPERTOS EUROPA

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

n elemento crtico para el xito y la supervivencia de las organizaciones, es

as organizaciones deben cumplir con requerimientos de calidad, de reportes

a orientacin a negocios es el tema principal de COBIT. Esta diseado no

El Marco Referencial COBIT otorga especial importancia al impacto sobre los

Guerra de informacin (information warfare)

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

Definir un Plan Estratgico de

Definir Niveles de Servicio

AI1 Identificar Soluciones

OBJETIVOS DE CONTROL PARA LA INFORMACIN

DESARROLLO DEL PRODUCTO COBIT

actuales para desarrollo de auditoras de sistemas de informacin

Gobierno (governance): sistema que establece la alta gerencia

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

Directrices de Auditora, las cuales contienen los pasos

El Conjunto de Herramientas de Implementacin incluye la

pueden ser utilizadas por la gerencia para: (1) determinar el

Familia de Productos COBIT