Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Planificacin y Gestin de
Sistemas de Informacin
TRABAJO DE TEORA
(Direccin: Francisco Ruiz Gonzlez)
1. ndice
5. VOCABULARIO................................................................................................. Pgina 65
6. BIBLIOGRAFA.................................................................................................. Pgina 66
2
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
2. Introduccin
Hoy en da, uno de los aspectos ms importantes (y crticos a la vez) para el xito y la
supervivencia de cualquier organizacin, es la gestin efectiva de la informacin as como de las
tecnologas relacionadas con ella (tecnologas de la informacin TI). En esta sociedad
informatizada, donde la informacin viaja a travs del ciberespacio sin ninguna restriccin de tiempo,
distancia y velocidad; esta importancia y criticacalidad surge de los siguientes aspectos:
Para muchas organizaciones, la informacin y las tecnologas que las soportan representan su
medio o recurso ms valioso (de hecho, muchas organizaciones reconocen los beneficios potenciales
que la tecnologa puede aportar). Adems, en los cada vez ms cambiantes y competitivos entornos de
negocio que existen en la actualidad, la gestin ha aumentado las espectativas con respecto a las
funciones de liberizacin de las tecnologas de la informacin. Verdaderamente, la informacin y los
sistemas de informacin estn adentrndose a lo largo y ancho de las organizaciones (desde la
plataforma del usuario hasta las redes de area local y ancha, los sistemas cliente/servidor y los grandes
mainframes o supercomputadores). As, la gestin requiere de un aumento de la calidad, funcionalidad y
facilidad de uso; disminuyendo a la vez los periodos de entrega; y mejorando continuamente los niveles
de servicio (con la exigencia de que esto se lleve a cabo con costes ms bajos).
Las organizaciones deben cumplir con los requerimientos de calidad, de informes fiduciarios y de
seguridad, tanto para su informacin, como para sus activos. La administracin deber obtener un
balance adecuado en el empleo de sus recursos disponibles, los cuales incluyen: personal,
instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir con esta responsabilidad, as
como para alcanzar sus expectativas, la administracin deber establecer un sistema adecuado de
control interno. Por lo tanto, este sistema o marco referencial deber existir para proporcionar soporte a
los procesos de negocio y debe ser preciso en la forma en la que cada actividad individual de control
satisface los requerimientos de informacin y puede impactar a los recursos de TI. Este impacto en los
recursos de TI es enfatizado en el Marco Referencial de COBIT conjuntamente a los requerimientos de
informacin del negocio que deben ser alcanzados: efectividad, eficiencia, confidencialidad, integridad,
disponibilidad, cumplimiento y confiabilidad. El control, que incluye polticas, estructuras, prcticas y
procedimientos organizacionales, es responsabilidad de la administracin.
3
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
3. Auditora
En todo caso es una funcin que se realiza a posteriori, en relacin con actividades ya realizadas,
sobre las que hay que emitir una opinin.
Los dos ltimos elementos (objeto y finalidad) distinguen de qu clase o tipo de auditora se trata.
El objeto sometido a estudio, sea cual sea su soporte, por una parte, y la finalidad con que se realiza el
estudio, definen el tipo de auditora de que se trata. Las ms importantes (a ttulo ilustrativo) son las
siguientes:
Cumplimiento: el objeto es comprobar las normas establecidas. La finalidad es ver que las
operaciones se adecuan a estas normas.
1
Procedimientos: La opinin profesional, elemento esencial de la auditora, se fundamenta y justifica por medio de unos
procedimientos especficos tendentes a proporcionar una seguridad razonable de lo que se afirma. Como es natural, cada una
de las clases o tipos de auditora posee sus propios procedimientos para alcanzar el fin previsto, an cuando puedan en
muchos casos coincidir. El alcance de la auditora, concepto de vital importancia, nos viene dado por los procedimientos. La
amplitud y profundidad de los procedimientos que se apliquen nos definen su alcance.
4
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
El control interno informtico controla diariamente que todas las actividades de sistemas de
informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la
Direccin de la Organizacin y/o la Direccin de Informtica, as como los requerimientos legales. La
misin del control interno informtico es asegurarse de que las medidas que se obtienen de los
mecanismos implantados por cada responsable sean correctas y vlidas.
El Control Interno Informtico suele ser un rgano staff2 de la Direccin del Departamento de
Informtica y est dotado de las personas y medios materiales proporcionados a los cometidos que se
le encomienden. Como principales objetivos del Control Interno Informtico, podemos indicar los
siguientes:
Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas
fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados
adecuados del servicio informtico, lo cual no debe considerarse como que la implantacin
de los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique
exclusivamente en la funcin de Control Interno, sino que cada responsable de objetivos y
recursos es responsable de esos niveles, as como de la implantacin de los medios de
medida adecuados.
2
Staff: los puestos staff de una organizacin, son rganos de apoyo que surgen para diferenciar las actividades de la lnea
(toma de decisiones), y tienen dos funciones: asesoramiento, sugerencia y orientacin para la planificacin de objetivos,
polticas y procedimientos; y la realizacin de actividades de servicios para la lnea como el establecimiento de sistemas de
contratacin del personal de lnea.
5
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Revisar y juzgar los controles implantados en los sistemas informticos para verificar su
adecuacin a las rdenes e instrucciones de la Direccin, requisitos legales, proteccin de
confidencialidad y cobertura ante errores y fraudes.
La Auditora Informtica y el Control Interno Informtico son campos anlogos. De hecho, muchos
de los actuales responsables de control interno informtico recibieron formacin en seguridad
informtica tras su paso por la formacin en auditora. Numerosos auditores se pasan al campo de
control interno debido a la similitud de los objetivos profesionales de control y auditora. Pese a que
ambas figuras tienen objetivos comunes, existen diferencias que conviene matizar. Veamos una tabla
ilustrativa que muestra las similitudes y diferencias entre ambas disciplinas:
6
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Se puede definir el control interno como cualquier actividad o accin realizada manual y/o
automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento
de un sistema para conseguir sus objetivos.
Los controles cuando se diseen, desarrollen e implanten han de ser al menos completos,
simples, fiables, revisables, adecuados y rentables. Respecto a esto ltimo ser preciso analizar el
coste-riesgo de su implantacin.
Los controles internos que se utilizan en el entorno informtico continan evolucionando hoy en
da a medida que los sistemas informticos se vuelven complejos. Los progresos que se producen en la
tecnologa de soportes fsicos y de software han modificado de manera significativa los procedimientos
que se emplean tradicionalmente para controlar los procesos de aplicaciones y para gestionar los
sistemas de informacin.
Histricamente, los objetivos de los controles informticos se han clasificado en las siguientes
categoras:
Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que
impida los accesos no autorizados al sistema.
Controles detectivos: cuando fallan los preventivos, para tratar de conocer cuanto antes el
evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la
actividad diaria para detectar errores u omisiones, etc.
Los controles pueden implantarse a varios niveles diferentes. La evaluacin de los controles de la
Tecnologa de la Informacin exige analizar diversos elementos independientes. Por ello es importante
llegar a conocer bien la configuracin del sistema, con el objeto de identificar los elementos, productos y
herramientas que existen para saber dnde pueden implantarse los controles, as como identificar
posibles riesgos. Para llegar a conocer la configuracin del sistema es necesario documentar los
detalles de la red, as como los distintos niveles de control y elementos relacionados:
7
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Configuracin del ordenador base: configuracin del soporte fsico, entorno del sistema
operativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y
conjunto de datos.
Seguridad del ordenador base: identificar y verificar usuarios, control de acceso, registro e
informacin, integridad del sistema, controles de supervisin, etc.
Para la implantacin de un sistema de controles internos informticos habr que definir las
siguientes caractersticas:
Gestin de sistemas de informacin: polticas, pautas y normas tcnicas que sirvan de base
para el diseo y la implantacin de los sistemas de informacin y de los controles
correspondientes.
Seguridad: incluye las tres clases de controles fundamentales implantados en el software del
sistema, como son la integridad del sistema, la confidencialidad (control de acceso) y la
disponibilidad.
8
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
La implantacin de una poltica y cultura sobre la seguridad, requiere que sea realizada por fases
y est respaldada por la Direccin. Cada funcin juega un papel importante en las distintas etapas que
son, bsicamente, las siguientes:
9
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Polticas.
Planificacin (plan estratgico de informacin, plan informtico, plan general de
seguridad y plan de emergencia ante desastres).
Estndares.
Procedimientos.
Organizar el departamento de informtica.
Descripcin de las funciones y responsabilidades dentro del departamento.
Polticas de personal.
Asegurar que la direccin revisa todos los informes de control y resuelve las
excepciones que ocurran.
Asegurar que existe una poltica de clasificacin de la informacin.
Designar oficialmente la figura del Control Interno Informtico y de la Auditora
Informtica.
10
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Resumiendo, la informtica crea unos riesgos informticos de los que hay que proteger y
preservar a la entidad con un entramado de contramedidas, y la calidad y la eficacia de las mismas es el
objetivo a evaluar para poder identificar as sus puntos dbiles y mejorarlos. sta, es una de las
funciones de los auditores informticos, por lo que debemos profundizar ms en este entramado de
contramedidas para ver qu papel tienen las metodologas y los auditores en el mismo. Para explicar
este aspecto, diremos que cualquier contramedida nace de la composicin de varios factores
(expresados en la Figura 3). Todos los factores de la pirmide intervienen en la composicin de una
contramedida:
11
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
La Normativa: debe definir de forma clara y precisa todo lo que debe existir y ser cumplido,
tanto desde el punto de vista conceptual, como prctico, desde lo general a lo particular. Debe
inspirarse en estndares, polticas, marco jurdico, polticas y normas de empresa, experiencia
y prctica profesional. Desarrollando la normativa, debe alcanzarse el resto del grfico valor
mostrado en la Figura 3. Se puede dar el caso en que una normativa y su carcter disciplinado
sea el nico control de un riesgo ( aunque esto no sea frecuente).
12
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Las Metodologas: son necesarias para desarrollar cualquier proyecto que nos propongamos
de manera ordenada y eficaz.
Los Objetivos de Control: son los objetivos a cumplir en el control de procesos. Este concepto
es el ms importante despus de la organizacin, y solamente de un planteamiento correcto
de los mismos, saldrn unos procedimientos eficaces y realistas.
Los Procedimientos de Control: son los procedimientos operativos de las distintas reas de la
empresa, obtenidos con una metodologa apropiada, para la consecucin de uno o varios
objetivos de control y, por lo tanto, deben estar documentados y aprobados por la Direccin.
La tendencia habitual de los informticos es la de dar ms peso a la herramienta que al propio
control o contramedida, pero no se debe olvidar que una herramienta nunca es solucin sino
una ayuda para conseguir un control mejor. Sin la existencia de estos procedimientos, las
herramientas de control son solamente una ancdota.
La Tecnologa de Seguridad: dentro de este nivel, estn todos los elementos (hardware y
software) que ayudan a controlar un riesgo informtico. En este concepto estn los cifradores,
autentificadores, equipos denominados tolerantes al fallo, las herramientas de control, etc.
Las Herramientas de Control: son elementos software que permiten definir uno o varios
procedimientos de control para cumplir una normativa y un objetivo de control.
Todos estos factores estn relacionados entre s, as como la calidad de cada uno con la de los
dems. Cuando se evalua el nivel de Seguridad de Sistemas en una institucin, se estn evaluando
todos estos factores (mencionados antes), y se plantea un Plan de Seguridad nuevo que mejore dichos
factores, aunque conforme vayamos realizando los distintos proyectos del plan, no irn mejorando todos
por igual. Al finalizar el plan se habr conseguido una situacin nueva en la que el nivel de control sea
superior al anterior.
Llamaremos Plan de Seguridad a una estrategia planificada de acciones y proyectos que lleven a
un sistema de informacin y sus centros de proceso de una situacin inicial determinada (y a mejorar) a
una situacin mejorada.
13
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Queda pues por decir, que ambas funciones deben ser independientes de la informtica, dado
que por la disciplina laboral, la labor de las dos funciones quedara mediatizada y comprometida. Esto
es lo que se llama segregacin de funciones entre stas y la informtica.
Las dos metodologas de evaluacin de sistemas por antonomasia son las de Anlisis de Riesgos
y las de Auditora Informtica, con dos enfoques distintos. La auditora informtica slo identifica el nivel
de exposicin por la falta de controles, mientras que el anlisis de riesgos facilita la evaluacin de los
riesgos y recomienda acciones en base al coste-beneficio de las mismas.
Amenaza: todo aquello que se ve como posible fuente de peligro o catstrofe (ya sea
persona o cosa, tal como robo de datos, incendios, sabotaje, falta de procedimientos de
emergencia, divulgacin de datos, aplicaciones mal diseadas, gastos incontrolados, etc).
14
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Vulnerabilidad: Situacin creada, por la falta de uno o varios controles, con la que la
amenaza pudiera acaecer y as afectar al entorno informtico (como por ejemplo, la falta de
control de acceso lgico, la falta de control de versiones, la inexistencia de un control de
soportes magnticos, etc).
Riesgo: probabilidad de que una amenaza llegue acaecer por una vulnerabilidad (como, por
ejemplo, los datos estadsticos de cada evento de una base de datos de incidentes).
Exposicin o impacto: es la evaluacin del efecto del riesgo (por ejemplo, es frecuente
evaluar el impacto en trminos econmicos, aunque no siempre lo es, como vidas humanas,
imagen de la empresa, honor, defensa nacional, etc).
Para los tres primeros, se acta si se establecen controles o contramedidas. Todas las
metodologas existentes en seguridad de sistemas van encaminadas a establecer y mejorar un
entramado de contramedidas que garanticen que la probabilidad de que las amenazas se materialicen
en hechos (por falta de control) sea lo mas baja posible o, al menos, que quede reducida de una forma
razonable en costo-beneficio.
Metodologas Cuantitativas
Estan diseadas para producir una lista de riesgos que pueden compararse entre s con facilidad
por tener asignados unos valores numricos. Estos valores en el caso de metodologas de anlisis de
riesgos o de planes de contingencias son datos de probabilidad de ocurrencia (riesgo) de un evento que
se debe extraer de un registro de incidencias donde el nmero de ellas sea suficientemente grande.
Esto no pasa en la prctica, y se aproxima ese valor de forma subjetiva restando, as, rigor cientfico al
clculo (pero dado que el clculo se hace para ayudar a elegir el mtodo entre varias contramedidas
podramos aceptarlo.
En general, podemos observar con claridad dos grandes inconvenientes que presentan estas
metodologas. Por una parte, la debilidad de los datos de la probabilidad de ocurrencia por los pocos
registros y la poca significacin de los mismos a nivel mundial; y por otro, la imposibilidad o difilcutad de
evaluar econmicamente todos los impactos que pueden acaecer frente a la ventaja de poder usar un
modelo matemtico para el anlisis.
15
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Plan de Contingencias
El auditor debe conocer perfectamente los conceptos de un plan de contingencias para poder
auditarlo. El plan de contingencias y de recuperacin de negocio es lo mismo, pero no as el plan de
restauracin interno. Tambin se manejan a veces los conceptos de plan de contigencias informtico y
plan de contingencias corporativo, cuyos conceptos son slo de alcance. El corporativo cubre no slo la
informtica, sino todos los departamentos de una entidad, y puede incluir tambin el informtico como
un departamento ms. Frecuentemente, se realiza el informtico.
Desarrollo del Plan: esta fase y la siguiente son similares en todas las metodologas. En ella
se desarrolla la estrategia seleccionada, implantndose hasta el final todas las acciones
previstas. Se definen las distintas organizaciones de emergencia y se desarrollan los
procedimientos de actuacin generando, as, la documentacin del plan. Es en esta fase
cuando se analiza la vuelta a la normalidad, dado que pasar de la situacin normal a la
alternativa debe concluirse con la reconstruccin de la situacin inicial antes de la
contingencia, y esto es lo que no todas las metodologas incluyen.
17
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Pruebas y Mantenimiento: en esta fase se definen las pruebas, sus caractersticas y sus
ciclos, y se realiza la primera prueba como comprobacin de todo el trabajo realizado, as
como mentalizar al personal implicado.
Las nicas metodologas que podemos encontrar en la auditora informtica son dos familias
distintas: las auditoras de Controles Generales como producto estndar de las auditorias profesionales,
que son una homologacin de las mismas a nivel internacional, y las Metodologas de los auditores
internos.
El objetivo de las auditoras de controles generales es dar una opinin sobre la fiabilidad de los
datos del ordenador para la auditora financiera. El resultado externo es un escueto informe como parte
del informe de auditora, donde se destacan las vulnerabilidades encontradas. Estn basadas en
pequeos cuestinarios estndares que dan como resultado informes muy generalistas.
Veamos brebemente cuales son las partes bsicas de un plan auditor informtico:
Procedimientos para las distintas tareas de las auditoras. Entre ellos estn el procedimiento
de apertura, el de entrega y discusin de debilidades, entrega de informe preliminar, cierre
de auditora, redaccin de informe final, etc.
Tipos de auditoras que realiza. Metodologas y cuestionarios de las mismas. Existen dos
tipos de auditora segn su alcance: la Completa (Full) de un rea y la Accin de Inspeccin
Correctiva (Corrective Action Review o CAR) que es la comprobacin de acciones
correctivas de auditoras anteriores.
Sistema de evaluacin y los distintos aspectos que evala. Deben definirse varios aspectos
a evaluar como el nivel de gestin econmica, gestin de recursos humanos, cumplimiento
de normas, etc, as como realizar una evaluacin global de resumen para toda la auditora.
Esta evaluacin final nos servir para definir la fecha de repeticin de la misma auditora en
el futuro, segn el nivel de exposicin que se le haya dado a este tipo de auditora en
cuestin.
18
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Plan quinquenal. Todas las reas a auditar deben corresponderse con cuestionarios
metodolgicos y deben repartirse en cuatro o cinco aos de trabajo. Esta planificacin,
adems de las repeticiones y aadido de las auditoras no programadas que se estimen
oportunas, deber componer anualmente el plan de trabajo (anual).
Las metodologas de auditora informtica son del tipo cualitativo/subjetivo (podemos decir que
son las subjetivas por excelencia). Por tanto, estn basadas en profesionales de gran nivel de
experiencia y formacin, capaces de dictar recomendaciones tcnicas, operativas y jurdicas, que
exigen una gran profesionalidad y formacin continuada. Solo as esta funcin se consolidar en las
entidades, esto es, por el respeto profesional a los que ejercen la funcin.
3.5.4 Control Interno Informtico. Sus mtodos y procedimientos. Las herramientas de control.
Hoy en da, la tendencia generalizada es contemplar, al lado de la figura del auditor informtico, la
de control interno informtico. Tal es el caso de la organizacin internacional I.S.A.C.A. (Information
Systems Audit and Control Association Asociacin para la auditora y control de los sistemas de
informacin), creadora de la norma COBIT (tema de estudio de este informe) y que, con anterioridad, se
llam The EDP Auditors Association INC., incluyendo en la actualidad las funciones de control
informtico adems de las de auditora.
Pese a su similitud, podramos decir que existen claras diferencias entre las funciones del control
informtico y las de la auditora informtica:
Las funciones bsicas del control interno informtico son las siguientes:
19
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Todas estas funciones son un poco ambiciosas para desarrollarlas desde el instante inicial de la
implantacin de esta figura, pero no debemos perder el objetivo de que el control informtico es el
componente de la actuacin segura entre los usuarios, la informtica y el control interno, todos ellos
auditados por la auditora informtica.
Para obtener el entramado de contramedidas o controles compuesto por los factores que veamos
en la Figura 3, debemos ir abordando proyectos usando distintas metodologas, tal como se observa en
la Figura 6, que irn conformando y mejorando el nmero de controles.
20
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
En la ltima fase de la pirmide (Figura 3), nos encontramos las herramientas de control. En la
tecnologa de la seguridad informtica que se ve envuelta en los controles, existe tecnologa hardware
(como los cifradores) y software. Las herramientas de control son elementos software que por sus
caractersticas funcionales permiten vertebrar3 un control de una manera ms actual y ms
automatizada. Como se vi antes, el control se define en todo un proceso metodolgico, y en un punto
del mismo se analiza si existe una herramienta que automatice o mejore el control para ms tarde
definirlo con la herramienta incluida, y al final documentar los procedimientos de las distintas reas
involucradas para que estas los cumplan y sean auditados. Es decir, comprar una herramienta sin ms
y ver qu podemos hacer con ella es un error profesional grave que no conduce a nada, comparable a
trabajar sin mtodo e improvisando en cualquier disciplina informtica.
Todas estas herramientas estn inmersas en controles nacidos de unos objetivos de control y que
regularn la actuacin de las distintas reas involucradas.
Son muchas, pus, las metodologas que se pueden encontrar en el mundo de la auditora
informtica y control interno. Como resumen, se podra decir que la metodologa es el fruto del nivel
profesional de cada uno y de su visin de cmo conseguir un mejor resultado en el nivel de control de
cada entidad, aunque el nivel de control resultante debe ser similar.
Pero en realidad, todas ellas son herramientas de trabajo mejores o peores que ayudan a
conseguir mejores resultados, ya que las nicas herramientas verdaderas de la auditora y el control
informtico son la actitud y aptitud, junto con una postura vigilante y una formacin continuada.
Piattini Velthuis, Mario G.; Del Peso Navarro, Emilio. 1998. RA-MA AUDITORA INFORMTICA.
Un enfoque prctico. E-MAIL: rama@arrakis.es
3
Vertebrar: dar consistencia y estructura internas; dar organizacin y cohesin.
21
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Dicho de una forma menos formal, sealaremos que el COBIT ayuda a salvar las brechas
existentes entre los riesgos de negocio, necesidades de control y aspectos tcnicos. Adems,
proporciona "prcticas sanas" a travs de un Marco Referencial (Framework) de dominios y procesos, y
presenta actividades en una estructura manejable y lgica. Las prcticas sanas del COBIT
representan el consenso de los expertos (ayudarn a los profesionales a optimizar la inversin en
informacin, pero an ms importante, representan aquello sobre lo que sern juzgados si las cosas
salen mal).
El tema principal que trata el COBIT es la orientacin a negocios. ste, est diseado no solo para
ser utilizado por usuarios y auditores, sino que en forma ms importante, esta diseado para ser
utilizado como una lista de verificacin detallada para los propietarios de los procesos de negocio. De
forma creciente, las prcticas de negocio comprenden la completa autorizacin de los procesos propios
de negocio, con lo que poseen una total responsabilidad para todos los aspectos de dichos procesos.
La norma COBIT, proporciona una herramienta para los procesos propios de negocio que facilitan la
descarga de esta responsabilidad. La norma parte con una simple y pragmtica premisa:
La norma continua con un conjunto de 34 objetivos de control de alto nivel para cada uno de los
procesos de las tecnologas de la informacin, agrupados en cuatro dominios: planificacin y
organizacin, adquisicin e implementacin, soporte de entrega y monitorizacin. Esta estructura,
abarca todos los aspectos de la informacin y de la tecnologa que la mantiene. Mediante la direccin
de estos 34 objetivos de control de alto nivel, los procesos propios de negocio pueden garantizar la
existencia de un sistema de control adecuado para los entornos de las tecnologas de la informacin. En
suma, cada uno de los 34 objetivos de control de alto nivel correspondiente, es una directiva de revisin
o seguridad para permitir la inspeccin de los procesos de las tecnologas de la informacin en
contraste con los 302 objetivos de control detallados en el COBIT para el suministro de una gestin de
seguridad, as como de un aviso para la mejora. La norma COBIT contiene un conjunto de herramientas
de implementacin el cual aporta una serie de lecciones de aprendizaje, con las que las organizaciones
podrn aplicar de forma rpida y satisfactoria esta norma a sus entornos de trabajo.
22
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
En definitiva, el COBIT es una herramienta que permite a los gerentes comunicarse y salvar la
brecha existente entre los requerimientos de control, aspectos tcnicos y riesgos de negocio. COBIT
habilita el desarrollo de una poltica clara y de buenas prcticas de control de TI, a travs de
organizaciones a nivel mundial. El objetivo del COBIT es proporcionar estos objetivos de control, dentro
del marco referencial definido, y obtener la aprobacin y el apoyo de las entidades comerciales,
gubernamentales y profesionales en todo el mundo. Por lo tanto, COBIT esta orientado a ser la
herramienta de gobierno de TI que ayude al entendimiento y a la administracin de riesgos asociados
con las tecnologas de la informacin y con las tecnologas relacionadas.
El proyecto COBIT se emprendi por primera vez en el ao 1995, con el fin de crear un mayor
producto global que pudiese tener un impacto duradero sobre el campo de visin de los negocios, as
como sobre los controles de los sistemas de informacin implantados. La primera edicin del COBIT,
fu publicada en 1996 y fue vendida en 98 paises de todo el mundo. La segunda edicin (tema de
estudio en este informe) publicada en Abril de 1998, desarrolla y mejora lo que posea la anterior
mediante la incorporacin de un mayor nmero de documentos de referencia fundamentales, nuevos y
revisados (de forma detallada) objetivos de control de alto nivel, intensificando las lineas maestras de
auditora, introduciendo un conjunto de herramientas de implementacin, as como un CD-ROM
completamente organizado el cual contiene la totalidad de los contenidos de esta segunda edicin.
El COBIT evolucionar a travs de los aos y ser el fundamento de investigaciones futuras, por
lo que se generar una familia de productos COBIT. Al ocurrir esto, las tareas y actividades que sirven
como la estructura para organizar los Objetivos de Control de TI, sern refinadas posteriormente,
siendo tambin revisado el balance entre los dominios y los procesos a la luz de los cambios en la
industria.
Una temprana adicin significativa visualizada para la familia de productos COBIT, es el desarrollo
de las Guas de Gerencia que incluyen Factores Crticos de Exito, Indicadores Clave de Desempeo y
Medidas Comparativas. Los Factores Crticos de xito, identificarn los aspectos o acciones ms
importantes para la administracin y poder tomar, as, dichas aciones o considerar los aspectos para
lograr control sobre sus procesos de TI. Los Indicadores Clave de Desempeo proporcionarn medidas
de xito que permitirn a la gerencia conocer si un proceso de TI esta alcanzando los requerimientos
de negocio. La Medidas Comparativas definirn niveles de madurez que pueden ser utilizadas por la
gerencia para: determinar el nivel actual de madurez de la empresa; determinar el nivel de madurez que
se desea lograr, como una funcin de sus riesgos y objetivos; y proporcionar una base de comparacin
de sus prcticas de control de TI contra empresas similares o normas de la industria. Esta adicin,
proporcionar herramientas a la gerencia para evaluar el ambiente de TI de su organizacin con
respecto a los 34 Objetivos de Control de alto nivel de COBIT.
23
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
COBIT ha sido desarrollado como un estndar generalmente aplicable y aceptado para las buenas
prcticas de seguridad y control en Tecnologa de Informacin. El COBIT es, pues, una herramienta
innovadora para el gobierno de las Tecnologas de la Informacin.
Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y responder, en la
medida de lo posible, a las necesidades de negocio, manteniendo al mismo tiempo una independencia
con respecto a las plataformas tcnicas de TI adoptadas en una organizacin. El proporcionar
indicadores de desempeo (normas, reglas, etc.), ha sido identificado como prioridad para las mejoras
futuras que se realizarn al marco referencial.
El desarrollo de COBIT ha trado como resultado la publicacin del Marco Referencial general y de
los Objetivos de Control detallados, y le seguirn actividades educativas. Estas actividades asegurarn
el uso general de los resultados del Proyecto de Investigacin COBIT.
Se determin que las mejoras a los objetivos de control originales deberan consistir en:
una alineacin del marco referencial general y de los objetivos de control individuales, con
estndares y regulaciones internacionales existentes de hecho y de derecho;
y una revisin crtica de las diferentes actividades y tareas que conforman los dominios de
control en tecnologa de informacin y, cuando fuese posible, la especificacin de
indicadores de desempeo relevantes (normas, reglas, etc.), as como una revisin crtica y
una actualizacin de las guas actuales para el desarrollo de auditoras de los sistemas de
informacin.
24
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Existe una creciente necesidad entre los usuarios en cuanto a la seguridad en los servicios de TI,
a travs de la acreditacin y la auditora de servicios de TI proporcionados internamente o por terceras
partes, que aseguren la existencia de controles adecuados. Actualmente, sin embargo, es confusa la
implementacin de buenos controles de TI en sistemas de negocios por parte de entidades comerciales,
entidades sin fines de lucro o entidades gubernamentales. Esta confusin proviene de los diferentes
mtodos de evaluacin (tal como la evaluacin ISO9000), nuevas evaluaciones de control interno
COSO4, etc. Como resultado, los usuarios necesitan una base general para ser establecida como primer
paso.
4
COSO: Committee of Sponsoring Organisations of the Treadway Commisssion Internal Control-Integrated Framework
5
Outsourcing: Contratacin global o parcial de servicios informticos. Se trata de la subcontratacin de todo o de parte del
trabajo informtico mediante un contrato con una empresa externa que se integra en la estrategia de la empresa y busca disear
una solucin a los problemas existentes
26
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
gubernamentales. Estos cambios han tenido y continuarn teniendo, profundas implicaciones para la
administracin y las estructuras de control operacional dentro de las organizaciones en todo el mundo.
Por otra parte, hemos sido testigos del desarrollo y publicacin de modelos de control generales
de negocios como COSO en los Estados Unidos, Cadbury en el Reino Unido, CoCo en Canad y King
en Sudfrica. Por otro lado, existe un nmero importante de modelos de control ms enfocados al nivel
de tecnologa de informacin. Algunos buenos ejemplos de esta ltima categora son el Cdigo de
Seguridad de Conducta del DTI (Departamento de Comercio e Industria, Reino Unido) y el Manual de
Seguridad del NIST (Instituto Nacional de Estndares y Tecnologa, EEUU). Sin embargo, estos
modelos de control con orientacin especfica, no proporcionan un modelo de control completo y
utilizable sobre la tecnologa de informacin como soporte para los procesos de negocio. El propsito de
COBIT es el cubrir este vaco proporcionando una base que est estrechamente ligada a los objetivos
de negocio, al mismo tiempo que se enfoca a la tecnologa de informacin.
27
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
COBIT esta diseado para ser utilizado por tres audiencias distintas:
ADMINISTRACION:
Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente
de tecnologa de informacin frecuentemente impredecible.
USUARIOS:
Para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa
de informacin proporcionados internamente o por terceras partes.
Para dar soporte a las opiniones mostradas a la administracin sobre los controles internos.
Los Objetivos de Control muestran una relacin clara y distintiva con los objetivos de negocio con
el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditora. Los
Objetivos de Control estn definidos con una orientacin a los procesos, siguiendo el principio de
reingeniera de negocios. En dominios y procesos identificados, se identifica tambin un objetivo de
control de alto nivel para documentar el enlace con los objetivos del negocio. Se proporcionan, adems,
consideraciones y guas para definir e implementar el Objetivo de Control de TI.
La clasificacin de los dominios a los que se aplican los objetivos de control de alto nivel (dominios
y procesos); una indicacin de los requerimientos de negocio para la informacin en ese dominio, as
como los recursos de TI que reciben un impacto primario por parte del objetivo del control, forman
conjuntamente el Marco Referencial COBIT. El marco referencial toma como base las actividades de
investigacin que han identificado 34 objetivos de alto nivel y 302 objetivos detallados de control. El
Marco Referencial fue mostrado a la industria de TI y a los profesionales dedicados a la auditora para
abrir la posibilidad a revisiones, dudas y comentarios. Las ideas obtenidas fueron incorporadas en forma
apropiada.
Definiciones
6
SAC: Systems Auditability and Control Report
28
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Existen dos clases distintas de modelos de control disponibles actualmente, aqullos de la clase
del modelo de control de negocios" (por ejemplo COSO) y los "modelos ms enfocados a TI" (por
ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los dos. Debido a esto, COBIT se
posiciona como una herramienta ms completa para la Administracin y para operar a un nivel superior
que los estndares de tecnologa para la administracin de sistemas de informacin. Por lo tanto,
COBIT es el modelo para el gobierno de TI.
El concepto fundamental del marco referencial COBIT se refiere a que el enfoque del control en TI se
lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y
considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados
con la Tecnologa de Informacin que deben ser administrados por procesos de TI.
Figura 7
29
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos criterios a
los que COBIT hace referencia como requerimientos de negocio para la informacin. Al establecer la
lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales
existentes y conocidos:
Requerimientos de calidad
Calidad
Coste
Entrega (de servicio)
Requerimientos Fiduciarios
(COSO)
Requerimientos de
Seguridad
Confidencialidad
Integridad
Disponibilidad
La Calidad ha sido considerada principalmente por su aspecto 'negativo' (sin fallos, confiable,
etc.), lo cual tambin se encuentra contenido en gran medida en los criterios de Integridad. Los
aspectos positivos pero menos tangibles de la calidad (estilo, atractivo, "ver y sentir", desempeo ms
all de las expectativas, etc.) no fueron, por un tiempo, considerados desde un punto de vista de
Objetivos de Control de TI. La premisa se refiere a que la primera prioridad deber estar dirigida al
manejo apropiado de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la
Calidad est cubierto por los criterios de efectividad. Se consider que el aspecto de entrega (de
servicio) de la Calidad se traslapa7 con el aspecto de disponibilidad correspondiente a los
requerimientos de seguridad y tambin en alguna medida, con la efectividad y la eficiencia. Finalmente,
el coste es tambin considerado que queda cubierto por la eficiencia.
7
traslapar: cubrir total o parcialmente una cosa
30
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Para los requerimientos fiduciarios8, COBIT no intent reinventar le rueda. Se utilizaron las
definiciones de COSO para la efectividad y eficiencia de operaciones, confiabilidad de informacin y
cumplimiento con leyes y regulaciones. Sin embargo, la confiabilidad de informacin fue ampliada para
incluir toda la informacin (no slo informacin financiera).
Efectividad
Eficiencia
Confidencialidad
Integridad
8
Fiduciario: que depende del crdito o confianza
31
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Disponibilidad
Cumplimiento
Confiabilidad de
la informacin
Datos
Aplicaciones
32
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Tecnologa
Instalaciones
Personal
El dinero o capital no fue considerado como un recurso para la clasificacin de objetivos de control
para TI debido a que puede definirse como la inversin en cualquiera de los recursos mencionados
anteriormente y podra causar confusin con los requerimientos de auditora financiera.
El Marco referencial no menciona, en forma especfica para todos los casos, la documentacin de
todos los aspectos "materiales" importantes relacionados con un proceso de TI particular. Como parte
de las buenas prcticas, la documentacin es considerada esencial para un buen control y, por lo tanto,
la falta de documentacin podra ser la causa de revisiones y anlisis futuros de controles de
compensacin en cualquier rea especfica en revisin.
Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se
describe a continuacin:
La informacin que los procesos de negocio necesitan es proporcionada a travs del empleo de
recursos de TI. Con el fin de asegurar que los requerimientos de negocio para la informacin son
satisfechos, deben definirse, implementarse y monitorizarse medidas de control adecuadas para estos
recursos. Como pueden entonces las empresas estar satisfechas respecto a que la informacin
obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de un sano marco
referencial de Objetivos de Control para TI. El diagrama mostrado a continuacin ilustra este concepto.
El marco referencial consta de Objetivos de Control de TI de alto nivel y de una estructura general
para su clasificacin y presentacin. La teora subyacente para la clasificacin seleccionada se refiere a
que existen, en esencia, tres niveles de actividades de TI al considerar la administracin de sus
recursos.
Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar un
resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras que las tareas
son consideradas ms discretas. El concepto de ciclo de vida cuenta tpicamente con requerimientos de
control diferentes a los de actividades discretas. Algunos ejemplos de esta categora son las actividades
de desarrollo de sistemas, administracin de la configuracin y manejo de cambios. La segunda
categora incluye tareas llevadas a cabo como soporte para la planeacin estratgica de tecnologas de
la informacin, evaluacin de riesgos, planeacin de la calidad, administracin de la capacidad y el
desempeo. Los procesos se definen entonces en un nivel superior como una serie de actividades o
tareas conjuntas con "cortes" naturales (de control). Al nivel ms alto, los procesos son agrupados de
manera natural en dominios. Su agrupamiento natural es confirmado frecuentemente como dominios de
responsabilidad en una estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de
vida aplicable a los procesos de tecnologas de la informacin.
34
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Por lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos estratgicos:
recursos de TI, requerimientos de negocio para la informacin y procesos de TI. Estos puntos de vista
diferentes permiten al marco referencial ser accedido eficientemente. Por ejemplo, los gerentes de la
empresa pueden interesarse en un enfoque de calidad, seguridad o fiduciario (traducido por el marco
referencial en siete requerimientos de informacin especficos). Un Gerente de TI puede desear
considerar recursos de TI por los cuales es responsable. Propietarios de procesos, especialistas de TI y
usuarios pueden tener un inters en procesos particulares. Los auditores podrn desear enfocar el
marco referencial desde un punto de vista de cobertura de control. Estos tres puntos estratgicos son
descritos en el Cubo COBIT que se muestra a continuacin:
35
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Con lo anterior como marco de referencia, los dominios son identificados utilizando las palabras que
la gerencia utilizara en las actividades cotidianas de la organizacin (y no la "jerga" del auditor). Por lo
tanto, cuatro grandes dominios son identificados: planificacin y organizacin, adquisicin e
implementacin; entrega y soporte, y monitorizacin.
Planificacin y
Organizacin
Adquisicin e
Implementacin
Entrega y Soporte
36
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Monitorizacin
Figura 12. Procesos de TI del COBIT definidos dentro de los cuatro dominios.
37
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
Debe tomarse en cuenta que estos procesos pueden ser aplicados a diferentes niveles dentro de
una organizacin. Por ejemplo, algunos de estos procesos sern aplicados al nivel corporativo, otros al
nivel de la funcin de servicios de informacin, y otros al nivel del propietario de los procesos de
negocio.
Tambin debe ser tomado en cuenta que el criterio de efectividad de los procesos que planean o
entregan soluciones a los requerimientos de negocio, cubrirn algunas veces los criterios de
disponibilidad, integridad y confidencialidad (en la prctica, se han convertido en requerimientos del
negocio). Por ejemplo, el proceso de "identificar soluciones automatizadas" deber ser efectivo en el
cumplimiento de requerimientos de disponibilidad, integridad y confidencialidad.
Resulta claro que las medidas de control no satisfarn necesariamente los diferentes
requerimientos de informacin del negocio en la misma medida. Se lleva a cabo una clasificacin dentro
del marco referencial COBIT basada en rigurosos informes y observaciones de procesos por parte de
investigadores, expertos y revisores con las estrictas definiciones determinadas previamente. Esta
clasificacin es la siguiente:
Blanco (vaco): podra aplicarse; sin embargo, los requerimientos son satisfechos ms
apropiadamente por otro criterio en este proceso y/o por otro proceso.
Similarmente, todas las medidas de control no necesariamente tendrn impacto en los diferentes
recursos de TI a un mismo nivel. Por lo tanto, el Marco Referencial de COBIT indica especficamente la
aplicabilidad de los recursos de TI que son administrados en forma especfica por el proceso bajo
consideracin (no por aquellos que simplemente toman parte en el proceso). Esta clasificacin es hecha
dentro el Marco Referencial de COBIT basado en el mismo proceso riguroso de informacin
proporcionada por los investigadores, expertos y revisores, utilizando las definiciones estrictas indicadas
previamente.
38
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
El marco refencial del COBIT ha sido limitado a una serie de objetivos de control de alto nivel,
enfocados a las necesidades de negocio, dentro de un proceso de tecnologas de la informacin
determinado.
Los objetivos de control de las tecnologas de la informacin han sido organizados por
proceso/actividad. Su forma de uso ha sido proporcionada no slo para facilitar la entrada desde un
punto de vista ventajoso, sino tambin para facilitar aproximaciones globales (o combinadas), tales
como la implementacin/instalacin de un proceso, responsabilidades globales de administracin para
un proceso, y el uso de los recursos de las TI por parte de un proceso.
Es preciso sealar que los objetivos de control de las TI han sido definidos de una forma general
(no dependen de ninguna plataforma tcnica), aunque se debe aceptar el hecho de que algunos
entornos de tecnologa especiales pueden necesitar espacios separados para los objetivos de control.
La forma en que el marco referencial del COBIT presenta los objetivos de control es la siguiente:
El marco refencial se divide en cuatro partes correspondientes a los cuatro dominios existentes
(planificacin y organizacin, adquisicin e implementacin, entrega y soporte y monitorizacin). En
cada parte, se reflejan los objetivos de control de alto nivel correspondientes a cada dominio (34
objetivos en total). Para cada uno de los objetivos de control, se sigue una organizacin como la
mostrada en la Figura 13. Adems, se muestran dos tablas: una que identifica los criterios que son
aplicables a cada objetivo de control y en qu grado lo hacen (P primario, S secundario, Blanco
no se aplica ese criterio); y otra que identifica los recursos de TI que son gestionados
especficamente por el proceso que se est considerando.
Veamos ya, los 34 objetivos de control de alto nivel de las tecnologas de la informacin
reflejados en el Marco de Referencia COBIT (COBIT FRAMEWORK):
39
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
es facilitado por
un proceso planificador estratgico emprendido a intervalos regulares dando origen a planes a
largo plazo; los planes a largo plazo deberan ser traducidos peridicamente en planes
operacionales que coloquen metas claras y concretas a corto plazo
y toma en consideracin
definicin de los objetivos de negocio y necesidades para las TI
inventario de soluciones tecnolgicas e infraestructura actual
servicios de tecnologa de vigilancia
cambios organizativos
estudio de viabilidad oportuno
existencia de evaluaciones de sistemas
X personas
X aplicaciones
X tecnologa
X facilidades
X datos
S integridad
disponibilidad
conformidad
confiabilidad
es facilitado por
creando y manteniendo un modelo de informacin de negocio y asegurando que los sistemas
apropiados son definidos para optimizar el uso de esta informacin
y toma en consideracin
documentacin
diccionario de datos
reglas sintcticas de datos
propiedad de datos y clasificacin crtica
personas
X aplicaciones
tecnologa
facilidades
X datos
es facilitado por
creacin y mantenimiento de un plan de infraestructura tecnolgica
y toma en consideracin
adecuacin y evolucin de la capacidad de la infraestructura actual
41
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
personas
aplicaciones
X tecnologa
X facilidades
datos
es facilitado por
una organizacin apropiada en nmeros y habilidades con roles y responsabilidades comunicadas y
definidas
y toma en consideracin
comit de direccin
consejo de nivel de responsabilidad
propiedad, custodia
supervisin
segregacin de obligaciones
roles y responsabilidades
descripciones del trabajo
provisin de niveles
clave personal
X personas
aplicaciones
tecnologa
facilidades
datos
42
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
es facilitado por
una inversin peridica y un presupuesto operacional establecido y aprobado por la empresa
y toma en consideracin
consolidacin de alternativas
control del gasto efectivo
justificacin de los costes
justificacin de los beneficios
X personas
X aplicaciones
X tecnologa
X facilidades
datos
es facilitado por
polticas establecidas y comunicadas a la comunidad de usuario; adems, los estndares necesitan
ser establecidos para traducir las opciones de estrategia en reglas de usuario que sean prcticas y
tiles
y toma en consideracin
cdigo de conducta/tica
directrices de tecnologa
conformidad
comisin de calidad
polticas de seguridad
polticas de control interno
X personas
aplicaciones
tecnologa
facilidades
datos
es facilitado por
tcnicas firmes de gestin de personal
y toma en consideracin
refuerzo y promocin
requisitos de calidad
entrenamiento
construccin del conocimiento
cross training
procedimientos libres
evaluacin de la ejecucin objetiva y medible
X personas
aplicaciones
44
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
tecnologa
facilidades
datos
es facilitado por
identificacin y anlisis de requisitos externos para su impacto en las TI, y toma de medidas
apropiadas para llevar a cabo su cumplimiento.
y toma en consideracin
leyes, regulaciones y contratos
monitorizacin legal y desarrollos regulados
inspecciones regulares para cambios y mejoras
bsqueda de consejos legales
seguridad y ergonoma
privacidad
propiedad intelectual
flujo de datos
X personas
X aplicaciones
tecnologa
facilidades
X datos
45
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
P disponibilidad
S conformidad
S confiabilidad
es facilitado por
la organizacin se autocompromete en los riesgos de las TI identificando y analizando el impacto,
y tomando medidas efectivas de costes para mitigar los riesgos
y toma en consideracin
diferentes tipos de riesgos de TI (tecnologa, seguridad, continuidad, etc.)
alcance: global o sistemas especficos
evaluacin de riesgos hasta la fecha
metodologa de anlisis de riesgos
medidas de riesgo cuantitativas y/o cualitativas
plan de accin de riesgos
X personas
X aplicaciones
X tecnologa
X facilidades
X datos
es facilitado por
la organizacin identificando y dando prioridad a los proyectos en lnea junto al plan operacional;
adems, la organizacin debera adoptar y aplicar tcnicas de gestin de proyectos para cada uno
46
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
y toma en consideracin
propiedad de proyectos
complicacin del usuario
interrupcin de tareas
distribucin de responsabilidades
proyecto y fase de aprobacin
costes y presupuesto del personal
planes de seguridad de la calidad y mtodos
X personas
X aplicaciones
X tecnologa
X facilidades
datos
es facilitado por
la planificacin, implementacin y mantenimiento de estndares de gestin de calidad y sistemas
por la organizacin; adems, la organizacin debera adoptar y aplicar una metodologa que se
suministrase para las distintas fases del desarrollo y pudiese prever fases claras y libres
y toma en consideracin
plan de estructura de la calidad
responsabilidades de seguridad de la calidad
metodologa del ciclo de vida del desarrollo del sistemas
programacin y testeacin de sistemas y documentacin
inspeccin de seguridad de la calidad e informes
X personas
X aplicaciones
X tecnologa
X facilidades
datos
47
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
es facilitado por
un anlisis claro de las oportunidades alternativas medidas contra los requisitos de usuario
y toma en consideracin
definicin de la informacin de requisitos
estudios factibles (costes, beneficios, alternativas, etc.)
requisitos de usuario
arquitectura de la informacin
seguridad del coste-efectivo
rastros de auditora
contratacin externa
aceptacin de las facilidades y la tecnologa
personas
X aplicaciones
X tecnologa
X facilidades
datos
es facilitado por
la definicin de estados especficos de los requisitos funcionales y operativos, y una
implementacin estructurada con dictmenes claros
y toma en consideracin
requisitos de usuario
archivo, gasto, proceso y requisitos externos
interfaz de la mquina-usuario
embalajes habituales
testeo funcional
controles de aplicacin y requisitos de seguridad
documentacin
personas
X aplicaciones
tecnologa
facilidades
datos
es facilitado por
el asentamiento de la implantacin de hardware y software, la provisin de mantenimiento del
hardware preventivo, y la instalacin, seguridad y control de los sistemas software
y toma en consideracin
asentamiento de la tecnologa
49
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
personas
aplicaciones
X tecnologa
facilidades
datos
es facilitado por
una aproximacin estructurada para el desarrollo de los usuarios y de los manuales de
procedimiento de operaciones, requisitos de servicio y materiales de entrenamiento
y toma en consideracin
procedimientos de usuario y controles
procedimientos operacionales y controles
materiales de entrenamiento
X personas
X aplicaciones
X tecnologa
X facilidades
datos
50
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
S disponibilidad
conformidad
confiabilidad
es facilitado por
la realizacin de una migracin de instalacin bien formalizada, conversin y un plan aceptado
y toma en consideracin
entrenamiento
datos carga/conversin
testeos especficos
acreditacin
inspecciones post-implementacin
X personas
X aplicaciones
X tecnologa
X facilidades
X datos
es facilitado por
un sistema de gestin que se suministre para el anlisis, implementacin y obtencin de todos los
cambios solicitados y realizados para las infraestructuras de TI existentes
51
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
y toma en consideracin
identificacin de los cambios
categorizar, priorizar y procedimientos de emergencia
asentamiento de impactos
cambio de autoridad
gestin de venta
distribucin de software
X personas
X aplicaciones
X tecnologa
X facilidades
X datos
es facilitado por
el establecimiento de un nivel de servicio conforme que formalice el criterio de realizacin en
comparacin con que la cantidad y calidad de servicio ser medida
y toma en consideracin
acuerdos formales
definicin de responsabilidades
tiempos de respuesta y volmenes
cobro
garantas de integridad
acuerdos no declarados
X personas
X aplicaciones
X tecnologa
X facilidades
X datos
52
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
es facilitado por
medidas de control dirigidas en la inspeccin y monitorizacin de contratos existentes y
procedimientos para su efectividad y conformidad con la poltica de la organizacin.
y toma en consideracin
acuerdos de servicio con terceras partes
acuerdos no declarados
requisitos legales y regulados
monitorizacin del servicio entregado
X personas
X aplicaciones
X tecnologa
X facilidades
X datos
53
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
es facilitado por
controles de gestin de capacidad y cumplimiento que coleccionen datos e informen en la gestin
de trabajo, dimensionado de la aplicacin, recursos y gestin demandada
y toma en consideracin
disponibilidad y cumplimiento de los requisitos
monitorizacin e informacin
herramientas de modelado
gestin de la capacidad
disponibilidad del recurso
personas
X aplicaciones
X tecnologa
X facilidades
datos
es facilitado por
posesin de un continuado y testeado plan de TI que est en lnea con la totalidad del plan continuo
de negocio y con sus requisitos de negocio relacionados
y toma en consideracin
clasificacin crtica
plan documentado
procedimientos alternativos
copias de seguridad y recuperacin
anlisis y entrenamiento regular y sistemtico
54
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
X personas
X aplicaciones
X tecnologa
X facilidades
X datos
es facilitado por
controles de acceso lgico que aseguren que el acceso a los sistemas, datos y programas est
restringido a los usuarios autorizados
y toma en consideracin
autorizacin
autenticidad
acceso
uso de proteccin e identificacin
gestin de clave criptogrfica
incidencia de manejo, informar y completar
camino custodiado
deteccin y prevencin de virus
cortafuegos
X personas
X aplicaciones
X tecnologa
X facilidades
X datos
55
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
es facilitado por
un sistema de contabilidad de costes que asegure que dichos costes son registrados, calculados y
localizados para el nivel de detalle requerido
y toma en consideracin
recursos identificables y medibles
imposicin de polticas y procedimientos
imponer valores
X personas
X aplicaciones
X tecnologa
X facilidades
X datos
56
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
es facilitado por
un entrenamiento comprensivo y un plan de desarrollo
y toma en consideracin
plan de estudios de entrenamiento
campaas de conocimiento
tcnicas de conocimiento
X personas
aplicaciones
tecnologa
facilidades
datos
es facilitado por
una fcil ayuda que suministre soporte de primer orden y consejo
y toma en consideracin
cuestiones del cliente y respuestas al problema
monitorizacin de cuestiones y aclaraciones
anlisis de tendencias e informacin
X personas
X aplicaciones
tecnologa
facilidades
datos
57
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
es facilitado por
controles que identifiquen y registren todos los medios de TI y su localizacin fsica, y un
programa regular de verificacin que confirme dicha existencia
y toma en consideracin
medios de registro
gestin del cambio de configuracin
chequeo del software no autorizado
controles de almacenamiento de software
personas
X aplicaciones
X tecnologa
X facilidades
datos
58
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
es facilitado por
una sistema de gestin de problemas que registre y avance todos los incidentes
y toma en consideracin
reglas suficientes de auditora de problemas y soluciones
resolucin oportuna de problemas anunciados
subida de procedimientos
informes de incidentes
X personas
X aplicaciones
X tecnologa
X facilidades
X datos
es facilitado por
una combinacin efectiva de aplicacin y controles generales sobre las operaciones de TI
y toma en consideracin
diseo del modelo
controles de documentos fuente
controles de entrada
controles de proceso
controles de salida
identificacin multimedia, mecanismo y gestin de biblioteca
almacenamiento multimedia y gestin de copias de seguridad
autenticidad e integridad
59
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
personas
aplicaciones
tecnologa
facilidades
X datos
es facilitado por
la instalacin de controles fsicos apropiados que son revisados regularmente para su propia
funcin
y toma en consideracin
acceso a facilidades
identificacin de la situacin
seguridad fsica
salud y seguridad del personal
proteccin de amenazas del entorno
personas
aplicaciones
tecnologa
X facilidades
datos
60
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
S disponibilidad
conformidad
confiabilidad
es facilitado por
un planificador de actividades soportadas que es registrado y aclarado para el cumplimiento de
todas las actividades
y toma en consideracin
manual de procedimiento de operaciones
documentacin del proceso puesto en marcha
gestin de servicios de la red
planificacin del trabajo y el personal
proceso cambiado
registro del suceso del sistema
X personas
X aplicaciones
tecnologa
X facilidades
X datos
Dominio de Monitorizacin
61
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
es facilitado por
la definicin de la administracin del informe relevante de gestin e indicadores realizados,
implementacin de los sistemas soportados as como la aclaracin del informe sobre los
fundamentos regulares
y toma en consideracin
indicadores de realizacin de claves
factores de sucesos crtico
evaluaciones de la satisfaccin del cliente
informe de la gestin
X personas
X aplicaciones
X tecnologa
X facilidades
X datos
es facilitado por
la comisin de la administracin para monitorizar controles internos, fijando su efectividad, e
informando de ellos con bases regulares
y toma en consideracin
monitorizacin de controles internos en proceso
test de pruebas (benchmarks)
informe de error y excepcin
autoevaluacin
informe de la administracin
X personas
X aplicaciones
X tecnologa
X facilidades
X datos
62
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
es facilitado por
inspecciones de la seguridad independiente llevadas a cabo en intervalos regulares
y toma en consideracin
certificaciones/acreditaciones independientes
evaluaciones de efectividad independientes
seguridad independiente de conformidad con leyes y requisitos regulados
seguridad independiente de conformidad con comisiones contractuales
inspecciones a proveedores de servicios a terceros
realizacin de inspecciones de seguridad por personal cualificado
involucracin de auditoras proactivas
X personas
X aplicaciones
X tecnologa
X facilidades
X datos
63
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
es facilitado por
auditoras independientes llevadas a cabo en intervalos regulares
y toma en consideracin
independencia de las auditoras
involucracin de auditoras proactivas
realizacin de auditoras por personal cualificado
claridad de las decisiones y recomendaciones
actividades continuas
X personas
X aplicaciones
X tecnologa
X facilidades
X datos
Control Objetives for Information and Related Technology. 2 Edition. 1998. Information Systems
Audit and Control Foundation. E-MAIL: research@isaca.org
64
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
5. Vocabulario
A I
activo, 3: importe total de los valores, efectos, integridad, 3: calidad de ntegro. De una
crditos y derechos que posee una persona o perfecta probidad.
sociedad comercial.
P
C
priorizar, 52: dar prioridad. Anterioridad de
contingencia, 4: posibilidad de que una cosa una cosa respecto a otra, en tiempo o en orden.
suceda o no suceda. Riesgo.
confiabilidad, 3: fiabilidad, probabilidad de R
buen funcionamiento de una cosa.
regulativo, 24: que regula. Ajustado y
confidencialidad, 3: calidad de confidencial. conforme a regla.
Que se hace o se dice en confidencia, que
requerimiento, 3:requisito.Condicin necesa- ria
contiene una confidencia.
para hacer una cosa.
contramedida, 11: medida tomada para paliar
o anular otra.
categorizar, 52: ordenar o clasificar por
S
categoras. salvaguardar, 5: proteger. Registrar un
conjunto de informaciones contenidas en la
D memoria del ordenador sobre un soporte
magntico.
disponibilidad, 3: propiedad de un sistema que
representa la continuidad del servicio prestado.
T
E traslapar, 30: cubrir total o parcialmente una
cosa.
efectividad, 3: calidad de efectivo.
eficiencia, 3: virtud y facultad para obtener un V
efecto determinado.
vertebrar, 21: dar consistencia y estructura
F internas; dar organizacin y cohesin.
65
The Cobit Framework Roberto Sobrinos Snchez
Planificacin y Gestin de Sistemas de Informacin Escuela Superior de Informtica (UCLM)
6. Bibliografa
Piattini Velthuis, Mario G.; Del Peso Navarro, Emilio. 1998. RA-MA. AUDITORA INFORMTICA. Un
enfoque prctico. E-MAIL: rama@arrakis.es
COBIT. Control Objetives for Information and Related Technology. 2 Edition. 1998. Information
Systems Audit and Control Foundation. E-MAIL: research@isaca.org
66
The Cobit Framework Roberto Sobrinos Snchez