COBIT Objetivos de Control PDF

OBJETIVOS DE CONTROL
COBIT
3a Edición
Emitido por el Comité Directivo de COBIT y

El IT Governance Institute MR
La Misión de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos
de control en tecnología de información con autoridad, actualizados,
de carácter internacional y aceptados generalmente para el uso cotidiano
de gerentes de empresas y auditores.
IT GOVERNANCE INSTITUTE 1
ARGENTINA OBJETIVOS DE CONTROL
LIECHTENSTEIN
ARUBA LITUANIA
AUSTRALIA
AUSTRIA
INFORMATION SYSTEMS AUDIT AND LUXEMBURGO
MALASIA
BAHAMAS MALTA
BAHRAIN CONTROL ASSOCIATION MALAWI
BANGLEDESH MÉXICO
BARBADOS PAÍSES BAJOS
Una sola Fuente Internacional para los Controles
BÉLGICA NUEVA GUINEA
BERMUDA de la Tecnología de Información NUEVA ZELANDA
BOLIVIA NIGERIA
BOSTSWANA Information Systems Audit and Control • su programa de educación profesional NORUEGA
BRASIL Association es una organización global OMÁN
ofrece conferencias técnicas y
BRUENI PAKISTÁN
líder de profesionales que representa a administrativas en cinco continentes,
CANADÁ PANAMÁ
CHILE individuos en más de 100 países y así como seminarios en todo el mundo PERÚ
CHINA comprende todos los niveles de la para ayudar a los profesionistas de FILIPINAS
COLOMBIA tecnología de información ⎯ Dirección todas partes a recibir educación POLONIA
COSTA RICA PORTUGAL
ejecutiva, gerencia media y practicantes. continúa de alta calidad.
CROATA QATAR
CURAZAO La Asociación está únicamente posesionada • su área de publicidad técnica
RUSIA
CYPRUS para cubrir el papel de generador central proporciona materiales de desarrollo SAIPAN
REPÚBLICA CHECA que armoniza los estándares de las profesional y referencias con el fin de ARABIA SAUDITA
DINAMARCA prácticas de control de TI a nivel mundial. aumentar su distinguida selección de ESCOCIA
REPÚBLICA DOMI- SEYCHELLES
NICANA
Sus alianzas estratégicas con otros grupos programas y servicios.
SINGAPUR
ECUADOR dentro del ámbito profesional financiero, REP. ESLOVACA
EGIPTO contable, de auditoría y de TI aseguran a La Information Systems Audit and Control ESLOVENIA
ESTONIA los dueños del proceso del negocio un nivel Association se creó en 1969 para cubrir las SUDÁFRICA
ISLAS FAEROE ESPAÑA
sin paralelo de integración y compromiso. necesidades únicas, diversas y de alta
FINLANDIA SRI LANKA
tecnología en el naciente campo de la TI.
FRANCIA
ALEMANIA
Programas y Servicios de la En una industria donde el progreso se mide
ST. KITTS
ST. LUCIA
GHANA Asociación en nanosegundos, ISACA se ha movido ágil SUECIA
GRECIA Los Programas y Servicios de la Asociación y velozmente para satisfacer las necesidades SUIZA
GUAM SIRIA
han ganado prestigio al establecer los de la comunidad de negocios
GUATEMALA TAIWAN
niveles más altos de excelencia en internacionales y de la profesión de
HONDURAS TANZANIA
HONG KONG certificación, estándares, educación controles de la TI. TASMANIA
HUNGRÍA profesional y publicidad técnica. TAILANDIA
ISLANDIA • su programa de certificación (el Para más Información TRINIDAD & TO-
INDIA Para recibir información adicional, puede BAGO
Auditor de Sistemas de Información
INDONESIA TURQUÍA
Certificado) es la única designación llamar al (+1.847.253.1545), enviar un
IRLANDA UGANDA
ISRAEL global en toda la comunidad de e-mail a (research@isaca.org) o visitar los EMIRATOS ARAB
ITALIA control y auditoría de la TI. siguentes sitios web: UNIDOS
IVORY COAST REINO UNIDO
JAMAICA • sus actividades estándar establecen la
ESTADOS UNI-
base de calidad mediante la cual otras www.itgovernance.org
JAPÓN DOS
JORDÁN actividades de control y auditoría de TI www.isaca.org URUGUAY
KENYA VENEZUELA
se miden.
COREA VIETNAM
KUWAIT GALES
LATVIA YEMEN
LEBANON ZAMBIA
ZIMBABWE
2 IT GOVERNANCE INSTITUTE
Límite de Responsabilidad
Reconocimientos 4
La Information Systems Audit and Control Association—ISACA- y
Resumen Ejecutivo 5 el IT Governance Institute –ITGI- (los propietarios) han creado esta
publicación titulada COBIT: Objetivos de Control para la
Información y las Tecnologías Relacionadas (el “trabajo”)
El Marco Referencial de COBIT 9 principalmente como un recurso educativo para los profesionales
dedicados a las actividades de control. Los Propietarios declaran que
Estableciendo la escena 9 no responden o garantizan que el uso que se le de al “Trabajo”
asegurará un resultado exitoso. No deberá considerarse que el
“Trabajo” incluye toda la información, los procedimientos o las
Los Principios del Marco Referencial 14 pruebas apropiadas o excluye otra información, procedimientos y
pruebas que estén razonablemente dirigidas a la obtención de los
Historia y Antecedentes del COBIT 20 mismos resultados. Para determinar la conveniencia de cualquier
información, procedimiento o prueba específica, los expertos en
control deberán aplicar su propio juicio profesional a las
Tabla Resumen 22 circunstancias específicas presentadas por los sistemas o por el
ambiente de tecnología de información en particular.
Principios de los Objetivos de Control 23
Esta edición de COBIT fue traducida al idioma español por Gustavo
Adolfo Solís Montes, Lucio Augusto Molina Focazzio, Johann Tello
Relaciones de Objetivos de Control Meryk y Rocío Torres Suárez, (los “traductores”). Los traductores
Dominios, Procesos y Objetivos de Control 25 asumen la responsabilidad exclusiva por la actualización y por la
fidelidad de la traducción. La Information Systems Audit and
Objetivos de Control Control Association (ISACA) y el IT Governance Institute (ITGI)
Planeación y Organización 33 declaran que no responden por la actualización, totalidad, o por la
calidad de la traducción. En ningún evento ISACA/ITGI será
Adquisición e Implementación 69
responsable ante un individuo u organización por los daños causados
Entrega de Servicios y Soporte 89 en relación con la edición del lenguaje, cualquier actualización,
Monitoreo 127 modificación, localización o traducción.
Apéndice I Acuerdo de Licencia de uso (disclosure)

Directrices Gerenciales del Gobierno de IT 139
Copyright 1996, 1998, 2000, de la Information Systems Audit and
Control Foundation (ISACF). La reproducción para fines
Apéndice II
comerciales no está permitida sin el previo consentimiento por
Descripción del Proyecto COBIT 143 escrito de la ISACF. Se otorga permiso para reproducir el Resumen
Ejecutivo, el Marco Referencial, los Objetivos de Control, las
Apéndice III Directrices Gerenciales y el Conjunto de Herramientas de
Material de Referencia Primaria 145 Implementación para uso interno no comercial, incluyendo
almacenamiento en medios de recuperación de datos y transmisión
en cualquier medio, incluyendo electrónico, mecánico, grabado u
otro medio. Todas las copias del Resumen Ejecutivo, el Marco
Apéndice IV Referencial, los Objetivos de Control, las Directrices Gerenciales y
Glosario de Términos 148 el Conjunto de Herramientas de Implementación deben incluir el
siguiente reconocimiento y leyenda de derechos de autor:
“Copyright 1996, 1998, 2000 Information Systems Audit and
Control Foundation. Reimpreso con la autorización de la
Information Systems Audit and Control Foundation Information Systems Audit and Control Foundation, y el IT
IT Governance Institute Governance Institute”.
3701 Algonquin Road, Suite 1010
Rolling Meadows, Illinois 60008 USA. Las Guías/Directrices de Auditoría no pueden ser usadas, copiadas,
Teléfono: 1+847.253.1525 reproducidas, almacenadas, modificadas en un sistema de
Fax: 1+847.253.1443 recuperación de datos o transmitido en ninguna forma ni por ningún
E-mail: research@isaca.org medio (electrónico, mecánico, fotocopiado, grabado u otro medio)
Web sites: www.isaca.org sin la previa autorización por escrito de la ISACF. Sin embargo, las
www.itgi.org Directrices de Auditoría pueden ser usadas con fines no comerciales
ISBN 1-893209-99-7 (Objetivos de Control, Español) internos únicamente. Excepto por lo indicado, no se otorga ningún
ISBN 1-933284-02-1 (Paquete completo de los 6 libros y CD) otro derecho o permiso relacionado con esta obra. Todos los
derechos de esta obra son reservados.
Impreso en los Estados Unidos de América
RECONOCIMIENTOS
COMITÉ DIRECTIVO DE COBIT
ERIK GULDENTOPS, S.W.I.F.T. SC, BÉLGICA
JOHN LAINHART, PRICEWATERHOUSECOOPERS, USA
EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BÉLGICA
JOHN BEVERIDGE, STATE AUDITOR´S OFFICE, MASSACHUSETTS, USA
MICHAEL DONAHUE, PRICEWATERHOUSECOOPERS, USA
GARY HARDY, ARTHUR ANDERSEN, REINO UNIDO
RONALD SAULL, GREAT-WEST LIFE ASSURANCE, LONDON LIFE AND INVESTORS GROUP, CANADA
MARK STANLEY, SUN AMERICA INC., USA
Agradecimientos Especiales a los Capítulos de ISACA del área de la Capital Nacional y al de Boston por su
contribución a los Objetivos de Control de COBIT
Agradecimientos Especiales a los miembros de la Mesa Directiva de la Information Systems Audit and Control
Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, encabezados por el
Presidente Internacional Paul Williams, por su contínuo y firme apoyo al COBIT
RESUMEN EJECUTIVO
Un elemento crítico para el éxito y la supervivencia de relacionados con TI está siendo entendido como un
las organizaciones, es la administración efectiva de la aspecto clave en el gobierno o dirección empresarial.
información y de la Tecnología de Información (TI)
Dentro del Gobierno Empresarial, el Gobierno /
Relacionada. En esta sociedad global (donde la
Gobernabilidad de TI2 se está volviendo mas y mas
información viaja a través del “ciberespacio” sin las
importante y está definido como una estructura de
restricciones de tiempo, distancia y velocidad) esta
relaciones y procesos para dirigir y controlar a la
criticidad emerge de:
empresa con el fin que ésta pueda cumplir sus metas
z La creciente dependencia en información y en los
dando valor agregado mientras balancea sus riesgos
sistemas que proporcionan dicha información
versus el retorno sobre TI y sus procesos. El Gobierno
z La creciente vulnerabilidad y un amplio espectro de
de TI es parte integral del éxito de la Gerencia de la
amenazas, tales como las “ciber amenazas” y la
Empresa al asegurar mejoras medibles, eficientes y
guerra de información1
efectivas de los procesos relacionados de la empresa. El
z La escala y el costo de las inversiones actuales y
Gobierno de TI provee las estructuras que unen los
futuras en información y en tecnología de
procesos de TI, los recursos de TI y la información con
información; y
las estrategias y los objetivos de la empresa. Además, el
z El potencial que tienen las tecnologías para cambiar
Gobierno de TI integra e institucionaliza buenas (o
radicalmente las organizaciones y las prácticas de
mejores) prácticas de planeación y organización,
negocio, crear nuevas oportunidades y reducir
adquisición e implementación, entrega de servicios y
costos
soporte y monitorea el desempeño de TI para asegurar
Para muchas organizaciones, la información y la que la información de la empresa y las tecnologías
tecnología que la soporta, representan los activos mas relacionadas soportan sus objetivos del negocio. El
valiosos de la empresa. Es más, en nuestro competitivo Gobierno de TI conduce a la empresa a tomar total
y rápidamente cambiante ambiente actual, la Gerencia ventaja de su información logrando con esto maximizar
ha incrementado sus expectativas relacionadas con la sus beneficios, capitalizar sus oportunidades y obtener
entrega de servicios de TI. Por lo tanto, la ventaja competitiva
Administración requiere niveles de servicio que
GOBIERNO DE TI
presenten incrementos en calidad, en funcionalidad y en
facilidad de uso, así como un mejoramiento continuo y Una estructura de relaciones y procesos para dirigir
una disminución de los tiempos de entrega; al tiempo y controlar la empresa con el objeto de alcanzar los
que demanda que esto se realice a un costo más bajo. objetivos de la empresa y añadir valor mientras se
balancean los riesgos versus el retorno sobre TI y sus
Muchas organizaciones reconocen los beneficios
procesos.
potenciales que la tecnología puede proporcionar. Las
organizaciones exitosas, sin embargo, también
Las organizaciones deben cumplir con requerimientos
comprenden y administran los riesgos asociados con
de calidad, fiduciarios y de seguridad, tanto para su
la implementación de nuevas tecnologías.
información, como para sus activos. La Administración
Hay numerosos cambios en TI y en su ambiente de deberá además optimizar el empleo de sus recursos
operación que enfatiza la necesidad de un mejor manejo disponibles, los cuales incluyen: personal, instalaciones,
relacionado con los riesgos de TI. La dependencia en la tecnología, sistemas de aplicación y datos. Para cumplir
información electrónica y en los sistemas de TI son con esta responsabilidad, así como para alcanzar sus
esenciales para soportar los procesos críticos del
negocio. Adicionalmente, el ambiente regulatorio
demanda control estricto sobre la información. Esto a su 1 Guerra de información (information warfare)
2
vez conduce a un incremento de los desastres en los Gobierno de TI (IT Governance) Governance es un
sistemas de información y al incremento del fraude término que representa el sistema de control o
electrónico. La Administración de los riesgos administración que establece la alta gerencia para asegurar
el logro de los objetivos de una Organización.
objetivos, la Administración debe entender el estado de con dichos procesos de negocio. En particular, esto
sus propios sistemas de TI y decidir el nivel de incluye el proporcionar controles adecuados.
seguridad y control que deben proveer estos sistemas.
El Marco de Referencia de COBIT proporciona, al
Los Objetivos de Control para la Información y las propietario de procesos de negocio, herramientas que
Tecnologías Relacionadas (COBIT), ahora en esta facilitan el cumplimiento de esta responsabilidad. El
tercera edición, ayuda a satisfacer las múltiples Marco de Referencia comienza con una premisa simple
necesidades de la Administración estableciendo un y práctica:
puente entre los riesgos del negocio, los controles
Con el fin de proporcionar la información que la
necesarios y los aspectos técnicos. Provee buenas
empresa necesita para alcanzar sus objetivos, los
prácticas a través de un dominio y el marco referencial
recursos de TI deben ser administrados por un
de los procesos y presenta actividades en una estructura
conjunto de procesos de TI agrupados en forma
manejable y lógica. Las “Buenas prácticas” de COBIT
natural.
reúne el consenso de expertos - quienes ayudarán a
optimizar la inversión de la información y El Marco de Referencia continúa con un conjunto de 34
proporcionarán un mecanismo de medición que Objetivos de Control de alto nivel, uno para cada uno de
permitirá juzgar cuando las actividades van por el los Procesos de TI, agrupados en cuatro dominios:
camino equivocado. Planeación y Organización, Adquisición e
Implementación, Entrega de servicios y Soporte y
La Administración debe asegurar que los sistemas de
Monitoreo. Esta estructura cubre todos los aspectos de
control interno o el marco referencial están funcionando
información y de tecnología que la soporta.
y soportan los procesos del negocio y debe tener
Administrando adecuadamente estos 34 Objetivos de
claridad sobre la forma como cada actividad individual
Control de alto nivel, el propietario de procesos de
de control satisface los requerimientos de información e
negocio podrá asegurar que se proporciona un sistema
impacta los recursos de TI. El impacto sobre los
de control adecuado para el ambiente de tecnología de
recursos de TI son resaltados en el Marco de Referencia
información.
de COBIT junto con los requerimientos del negocio que
deben ser alcanzados: eficiencia, efectividad, El Marco de Referencia de COBIT provee además una
confidencialidad, integridad, disponibilidad, guía o lista de verificación para el Gobierno de TI. El
cumplimiento y confiabilidad de la información. El Gobierno de TI proporciona las estructuras que
control, que incluye políticas, estructuras, prácticas y encadenan los procesos de TI, los recursos de TI y la
procedimientos organizacionales, es responsabilidad de información con los objetivos y las estrategias de la
la administración. empresa. El Gobierno de TI integra de una forma
óptima el desempeño de la Planeación y Organización,
La administración, mediante este gobierno corporativo,
la Adquisición e Implementación, la Entrega de
debe asegurar que todos los individuos involucrados en
Servicios y Soporte y el Monitoreo. El Gobierno de TI
la administración, uso, diseño, desarrollo,
facilita que la empresa obtenga total ventaja de su
mantenimiento u operación de sistemas de información
información y así mismo maximiza sus beneficios,
actúen con la debida diligencia.
capitalizando sus oportunidades y obteniendo ventaja
Un Objetivo de Control en TI es una definición del competitiva
resultado o propósito que se desea alcanzar
Adicionalmente, correspondiendo a cada uno de los 34
implementando procedimientos de control específicos
objetivos de control de alto nivel, existe una Guía o
dentro de una actividad de TI.
directriz de Auditoría o de aseguramiento que permite
La orientación al negocio es el tema principal de la revisión de los procesos de TI contra los 318
COBIT. Está diseñado no solo para ser utilizado por objetivos detallados de control recomendados por
usuarios y auditores, sino que, lo más importante, esta COBIT para proporcionar a la Gerencia la certeza de su
diseñado para ser utilizado por los propietarios de los cumplimiento y/o sugerencias para su mejoramiento.
procesos de negocio como una guía clara y entendible.
A medida que ascendemos, las prácticas de negocio
requieren de una mayor delegación y empoderamiento3 3
Empoderamiento (empowerment)
de los dueños de los procesos para que estos tengan
total responsabilidad de todos los aspectos relacionados
Las Guías o Directrices Gerenciales de COBIT, COBIT contiene adicionalmente un Conjunto de
desarrolladas recientemente, ayudan a la Gerencia a Herramientas de Implementación que proporciona
cumplir de una forma mas efectiva con las lecciones aprendidas por empresas que rápida y
necesidades y requerimientos del Gobierno de TI. Las exitosamente aplicaron COBIT en sus ambientes de
Directrices son acciones genéricas orientadas a trabajo. Incluye dos herramientas particularmente
proveer a la Administración la dirección para útiles - Diagnóstico de Sensibilización Gerencial
mantener bajo control la información de la empresa y (Management Awareness Diagnostic) y Diagnóstico
sus procesos relacionados, para monitorear el logro de de Control en TI (IT Control Diagnostic) - para
las metas organizacionales, para monitorear el proporcionar asistencia en el análisis del ambiente de
desempeño de cada proceso de TI y para llevar a cabo control de TI en una organización.
un benchmarking de los logros organizacionales.
En los próximos años las Directivas de las
Específicamente COBIT provee Modelos de Madurez Organizaciones necesitarán demostrar que están
para el control sobre los procesos de TI de tal forma logrando incrementar sus niveles de seguridad y
que la Administración puede ubicarse en el punto control. COBIT es una herramienta que ayuda a los
donde la organización está hoy, donde está en relación Directivos a colocar un puente entre los
con los “mejores de su clase” en su industria y con los requerimientos de control, los aspectos técnicos y los
estándares internacionales y así mismo determinar a riesgos del negocio y adicionalmente informa a los
donde quiere llegar; Factores Críticos de Éxito accionistas o dueños de la empresa el nivel de control
(Critical Success Factors), que definen o determina alcanzado. COBIT habilita el desarrollo de una política
cuales son las mas importantes directrices que deben clara y de buenas prácticas de control de TI a través de
ser consideradas por la Administración para lograr las organizaciones, a nivel mundial.
control sobre y dentro de los procesos de TI.
Por lo tanto, COBIT está diseñado para ser la
Indicadores Claves del logro de Objetivos o de
herramienta de gobierno de TI que ayude al
Resultados (Key Goal Indicators) los cuales definen
entendimiento y a la administración de los riesgos
los mecanismos de medición que indicarán a la
así como de los beneficios asociados con la
Gerencia—después del hecho– si un proceso de TI ha
información y sus tecnologías relacionadas.
satisfecho los requerimientos del negocio; y los
Indicadores Clave de desempeño (Key
Performance Indicators) los cuales son indicadores
primarios que definen la medida para conocer qué tan
bien se está ejecutando el proceso de TI frente o
comparado contra el objetivo que se busca.
Las Directrices Gerenciales de COBIT son genéricas y son
acciones orientadas al propósito de responder los
siguientes tipos de preguntas gerenciales: ¿Qué tan lejos
debemos ir y se justifica el costo respecto al beneficio
obtenido? ¿Cuáles son los indicadores de buen
desempeño? ¿Cuáles son los factores críticos de éxito?
¿Cuáles son los riesgos de no lograr nuestros objetivos?
¿Qué hacen otros? ¿Cómo nos podemos medir y
comparar?
PROCESOS DE TI DEFINIDOS DENTRO DE LOS CUATRO
DOMINIOS DE COBIT
EL MARCO REFERENCIAL DE COBIT

LA NECESIDAD DE CONTROL EN TECNOLOGIA DE
INFORMACION opinión acerca de los controles internos frente a la
Gerencia. Sin contar con un marco referencial, ésta se
En los últimos años , ha sido cada vez más evidente la convierte en una tarea demasiado complicada. Incluso,
necesidad de un Marco Referencial para la seguridad y la administración consulta cada vez más a los auditores
el control de tecnología de información (TI). Las para que la asesoren en forma proactiva en lo referente a
organizaciones exitosas requieren una apreciación y un asuntos de seguridad y control de TI.
entendimiento básico de los riesgos y limitaciones de TI
a todos los niveles dentro de la empresa con el fin de
obtener un efectiva dirección y controles adecuados. EL AMBIENTE DE NEGOCIOS:
COMPETENCIA, CAMBIO Y COSTOS
LA ADMINISTRACION (MANAGEMENT) debe
decidir cual es la inversión razonable en seguridad y en La competencia global es ya un hecho. Las
control en TI y cómo lograr un balance entre riesgos e organizaciones se reestructuran con el fin de
inversiones en control en un ambiente de TI perfeccionar sus operaciones y al mismo tiempo
frecuentemente impredecible. Mientras la seguridad y aprovechar los avances en TI para mejorar su posición
los controles en los sistemas de información ayudan a competitiva. La reingeniería en los negocios, las
administrar los riesgos, no los eliminan. reestructuraciones o right-sizing, el outsourcing, el
Adicionalmente, el exacto nivel de riesgo nunca puede empoderamiento, las organizaciones horizontales y el
ser conocido ya que siempre existe un grado de procesamiento distribuido son cambios que impactan la
incertidumbre. manera en la que operan tanto los negocios como las
entidades gubernamentales. Estos cambios han tenido y
Finalmente, la Administración debe decidir el nivel de continuarán teniendo, profundas implicaciones para la
riesgo que está dispuesta a aceptar. Juzgar cual puede administración y las estructuras de control operacional
ser el nivel tolerable, particularmente cuando se tiene en dentro de las organizaciones en todo el mundo.
cuenta contra el costo, puede ser una decisión difícil
para la Administración. Por esta razón, la La especial atención prestada a la obtención de ventajas
Administración necesita un marco de referencia de las competitivas y a la eficiencia en costos implica una
prácticas generalmente aceptadas de control y seguridad dependencia creciente en la tecnología como el
de TI para compararlos contra el ambiente de TI componente más importante en la estrategia de la
existente y planeado. mayoría de las organizaciones. La automatización de
las funciones organizacionales, por su naturaleza, dicta
Existe una creciente necesidad entre los USUARIOS la incorporación de mecanismos de control más
de los servicios de TI, de estar protegidos a través de la poderosos en las computadoras y en las redes, tanto para
acreditación y la auditoría de servicios de TI las basadas en hardware como las basadas en software.
proporcionados internamente o por terceras partes, que Además, las características estructurales fundamentales
aseguren la existencia de controles y seguridades de estos controles están evolucionando al mismo paso
adecuadas. Actualmente, sin embargo, es confusa la que las tecnologías de computación y las redes.
implementación de buenos controles de TI en sistemas
de negocios por parte de entidades comerciales, Dentro del marco referencial de cambios acelerados, si
entidades sin fines de lucro o entidades los administradores, los especialistas en sistemas de
gubernamentales. Esta confusión proviene de los información y los auditores desean en realidad ser
diferentes métodos de evaluación, tales como ITSEC, capaces de cumplir con sus tareas en forma efectiva ,
TCSEC, evaluaciones ISO9000, nuevas evaluaciones de deberán aumentar y mejorar sus habilidades tan
control interno COSO, etc. Como resultado, los rápidamente como lo demandan la tecnología y el
usuarios necesitan que se establezca una base general ambiente. Debemos comprender la tecnología de
como un primer paso. controles involucrada y su naturaleza cambiante si
deseamos emitir y ejercer juicios razonables y prudentes
Frecuentemente, los AUDITORES han tomado el al evaluar las prácticas de control que se encuentran en
liderazgo en estos esfuerzos internacionales de los negocios típicos o en las organizaciones
estandarización, debido a que ellos enfrentan gubernamentales.
continuamente la necesidad de sustentar y apoyar su
APARICION DEL GOBIERNO DE LA EMPRESA Y

DEL GOBIERNO DE TI
Para lograr el éxito en esta economía de información,
el Gobierno de la empresa y el Gobierno de TI no
pueden ser consideradas separadamente y en distintas
disciplinas. El gobierno efectivo de la empresa enfoca
el conocimiento y la experiencia en forma individual y
grupal, donde puede ser mas productivo, monitoreado
y medido el desempeño así como provisto el
aseguramiento para aspectos críticos. TI, por mucho
tiempo considerada aislada dentro del logro de los
objetivos de la empresa debe ahora ser considerada
como una parte integral de la estrategia.
El Gobierno de TI provee la estructura que une los
procesos de TI, los recursos de TI y las estrategias y
objetivos de la empresa. El Gobierno de TI integra e
institucionaliza de una manera óptima la planeación y Las actividades de la empresa requieren información
organización, la adquisición e implementación, la de las actividades de TI con el fin de satisfacer los
entrega de servicios y soporte y el monitoreo del objetivos del negocio. Organizaciones exitosas
desempeño de TI. El Gobierno de TI es integral para el aseguran la interdependencia entre su plan estratégico
éxito del Gobierno de la Empresa asegurando una y sus actividades de TI. TI debe estar alineado y debe
eficiente y efectiva medición para mejorar los procesos permitir a la empresa tomar ventaja total de su
de la empresa. El Gobierno de TI le permite a la información para maximizar sus beneficios, capitalizar
empresa tomar ventaja total de su información, al oportunidades y ganar ventaja competitiva.
maximizar sus beneficios, capitalizar sus
oportunidades y ganar ventaja competitiva.
Observando en el contexto a la empresa y los procesos
del Gobierno de TI con mayor detalle, el gobierno de
la empresa, el sistema por el cual las entidades son
dirigidas y controladas direcciona y analiza el
Gobierno de TI. Al mismo tiempo, TI debería proveer
insumos críticos y constituirse en un componente
importante de los planes estratégicos. De hecho TI
puede influenciar las oportunidades estratégicas de la
empresa.
Las empresas son gobernadas por buenas (o mejores)

prácticas generalmente aceptadas para asegurar que la
empresa cumpla sus metas asegurando que lo anterior
esté garantizado por ciertos controles. Desde estos
objetivos fluye la dirección de la organización, la cual
dicta ciertas actividades a la empresa usando sus
propios recursos. Los resultados de las actividades de
la empresa son medidos y reportados proporcionando
insumos para el mantenimiento y revisión constante de
los controles, comenzando el ciclo de nuevo.
También TI es gobernado por buenas (o mejores)

prácticas para asegurar que la información de la
empresa y sus tecnologías relacionadas apoyan sus
objetivos del negocio, estos recursos son utilizados
responsablemente y sus riesgos son manejados
apropiadamente. Estas prácticas conforman una base
para la dirección de las actividades de TI las cuales
pueden ser enmarcadas en la Planeación y
Organización, Adquisición e Implementación,
Entrega de Servicios y Soporte y Monitoreo para los
propósitos duales como son el manejo de riesgo
(para obtener seguridad, confiabilidad y
cumplimiento) y la obtención de beneficios
(incrementando la efectividad y eficiencia). Los
reportes son enfocados sobre los resultados de las
actividades de TI, los cuales son medidos contra
diferentes prácticas y controles y el ciclo comienza
otra vez.
Para asegurar que la Gerencia alcance los objetivos de negocios, ésta debe dirigir y administrar las actividades de TI para alcanzar un
balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades
mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se
están desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organización contra las
mejores practicas de la industria y los estándares internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices
Gerenciales de COBIT en las cuales se han identificado Factores Críticos de Exito específicos, Indicadores Claves por Objetivo e
Indicadores Clave de Desempeño y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apéndice I.
RESPUESTA A LAS NECESIDADES Un enfoque hacia los requerimientos del negocio en

cuanto a controles para tecnología de información y la
En vista de estos continuos cambios, el desarrollo de
aplicación de modelos de control emergentes y
este Marco Referencial de objetivos de control para TI,
estándares internacionales relacionados incluyen los
conjuntamente con una investigación continua aplicada
Objetivos de Control originales de la Information
a controles de TI basada en este marco referencial,
Systems Audit and Control Foundation como una
constituyen el fundamento para el progreso efectivo en
herramienta usada por el Auditor y la Administración.
el campo de los controles de sistemas de información.
Adicionalmente, el desarrollo de las Directrices
Por otro lado, hemos sido testigos del desarrollo y Gerenciales de TI ha llevado al COBIT al siguiente nivel
publicación de modelos de control generales de proporcionando a la Administración Indicadores Clave
negocios como COSO [Committee of Sponsoring de Logros (KGIs— Key Goal Indicators), Indicadores
Organisations of the Treadway Commisssion Internal Claves de Desempeño (KPIs— Key Performance
Control-Integrated Framework, 1992] en los EUA, Indicators), Factores Críticos de Éxito (CSFs—Critical
Cadbury en el Reino Unido y CoCo en Canadá y King Success Factors) y Modelos de Madurez con los cuales
en Sudáfrica. Por otro lado, existe un número puede analizar el ambiente de TI y considerar opciones
importante de modelos de control más enfocados al para la implementación y mejoramiento de los controles
nivel de tecnología de información. Algunos buenos sobre la información de la organización y sus
ejemplos de esta última categoría son el Security Code tecnologías relacionadas.
of Conduct del DTI (Department of Trade and Industry,
Por lo tanto, el objetivo principal del proyecto
Reino Unido). Las Directrices de control para
C OBI T es el desarrollo de políticas claras y
Tecnología de Información del CICA (Canadian Insitute
buenas prácticas para la seguridad y el control
of Chartered Accountants, Canada) y el Security
de Tecnología de Información, con el fin de
Handbook de NIST (National Institute of Standards and
obtener la aprobación y el apoyo de las
Technology, EUA). Sin embargo, estos modelos de
entidades comerciales, gubernamentales y
control con orientación específica no proporcionan un
profesionales en todo el mundo. La meta del
modelo de control completo y utilizable sobre
proyecto es desarrollar estos objetivos de
tecnología de información como soporte para los
control principalmente a partir de la perspectiva
procesos de negocio. El propósito de COBIT es el cubrir
de los objetivos y necesidades de la empresa.
este vacío proporcionando una base que esté
(Esto concuerda con la perspectiva COSO, que
estrechamente ligada a los objetivos de negocio, al
constituye el primer y mejor marco referencial
mismo tiempo que se enfoca a la tecnología de
para la administración en cuanto a controles
información.
internos.) Posteriormente, los objetivos de
(El documento que más se acerca al COBIT es una control fueron desarrollados a partir de la
publicación reciente de AICPA/CICA Systrust TM perspectiva de los objetivos de auditoría
Principios y Criterios para la Confiabilidad de los (certificación de información financiera,
Sistemas. SysTrust es una autoridad que realiza certificación de medidas de control interno,
publicaciones para el Comité Ejecutivo de Servicios de eficiencia y efectividad, etc.)
Aseguramiento de los Estados Unidos y para el Comité
de Desarrollo de Servicios de Calidad de Canadá, AUDIENCIA: ADMINISTRACION,
basado en parte en los Objetivos de Control de COBIT.
USUARIOS Y AUDITORES
SysTrust está diseñado para incrementar el confort de la
Administración, los clientes y los socios de negocios COBIT está diseñado para ser utilizado por tres
con los sistemas que soportan un negocio o una audiencias distintas:
actividad en particular. Los servicios de SysTrust
ADMINISTRACION/ GERENCIA (Management):
incluyen al contador público proporcionándole un
servicio de aseguramiento en el cual él o ella evalúa y Para ayudarlos a lograr un balance entre los riesgos y las
prueba si el sistema es confiable cuando lo mide contra inversiones en control en un ambiente de tecnología de
cuatro principios esenciales: Disponibilidad, seguridad, información frecuentemente impredecible.
integridad y mantenimiento.
ORIENTACIÓN A OBJETIVOS DE NEGOCIO Las políticas, procedimientos,

Control se
define como prácticas y estructuras
El COBIT está alineado con los Objetivos del Negocio.
organizacionales diseñadas para
Los Objetivos de Control muestran una relación clara y
garantizar razonablemente que los
distintiva con los objetivos del negocio con el fin de
objetivos del negocio serán
apoyar su uso en forma significativa fuera de las
alcanzados y que eventos no
fronteras de la comunidad de auditoría. Los Objetivos
deseables serán prevenidos o
de Control están definidos con una orientación a los
detectados y corregidos
procesos, siguiendo el principio de reingeniería de
negocios. En dominios y procesos identificados, se
Una sentencia del resultado o
identifica también un objetivo de control de alto nivel Objetivo de
control de TI propósito que se desea alcanzar
para documentar el enlace con los objetivos del
se define como implementando procedimientos de
negocio. Adicionalmente, se establecen
control en una actividad de TI
consideraciones y guías para definir e implementar el
particular.
Objetivo de Control de TI.
La clasificación de los dominios a los que se aplican los
objetivos de control de alto nivel (dominios y procesos);
una indicación de los requerimientos de negocio para la Una estructura de relaciones y
información en ese dominio, así como los recursos de Gobierno de TI procesos para dirigir y controlar la
TI que reciben un impacto primario por parte del se define como empresa con el fin de lograr sus
objetivo del control, forman conjuntamente el Marco de objetivos al añadir valor mientras
Referencia de COBIT. El Marco de Referencia toma se equilibran los riesgos contra el
como base las actividades de investigación que han retorno sobre TI y sus procesos.
identificado 34 objetivos de alto nivel y 318 objetivos
de control detallados. El Marco de Referencia fue
presentado a la industria de TI y a los profesionales
dedicados a la auditoría para abrir la posibilidad a
revisiones, cambios y comentarios. Las ideas obtenidas
fueron incorporadas en forma apropiada.
DEFINICIONES GENERALES
Para propósitos de este proyecto, se proporcionan las
siguientes definiciones. La definición de “Control” está
adaptada del reporte COSO [Committee of Sponsoring
Organisations of the Treadway Commission. Internal
Control-Integrated Framework, 1992 y la definición
para “Objetivo de Control de TI” ha sido adaptada del
reporte SAC (Systems Auditability and Control Report,
The Institute of Internal Auditors Research Foundation,
1991 y 1994).
LOS PRINCIPIOS DEL MARCO REFERENCIAL
Existen dos clases distintas de modelos de control Requerimientos Efectividad y eficiencia de las
actualmente disponibles, aquéllos de la clase del Fiduciarios operaciones
“modelo de control de negocios” (por ejemplo COSO) (COSO)
Confiabilidad de la información
y los “modelos más enfocados a TI” (por ejemplo, Cumplimiento de las leyes y
DTI). COBIT intenta cubrir la brecha que existe entre regulaciones
los dos. Debido a esto, COBIT se posiciona como una
herramienta más completa para la Administración y Confidencialidad
para operar a un nivel superior a los estándares de Requerimientos Integridad
de Seguridad
tecnología para la administración de sistemas de Disponibilidad
información.. Por lo tanto, COBIT es el modelo para
el gobierno de TI! La Calidad ha sido considerada principalmente por su
aspecto ‘negativo’ (ausencia de fallas, confiabilidad,
El concepto fundamental del Marco Referencial de etc.), lo cual también se encuentra contenido en gran
COBIT se refiere a que el enfoque del control en TI se medida en los criterios de Integridad. Los aspectos
lleva a cabo visualizando la información necesaria positivos, pero menos tangibles, de la calidad (estilo,
para dar soporte a los procesos de negocio y atractivo, “ver y sentir”, desempeño más allá de las
considerando a la información como el resultado de la expectativas, etc.) no fueron, por un tiempo,
aplicación combinada de recursos relacionados con la considerados desde un punto de vista de Objetivos de
Tecnología de Información que deben ser Control de TI. La premisa se refiere a que la primera
administrados por procesos de TI. prioridad deberá estar dirigida al manejo apropiado de
los riesgos al compararlos contra las oportunidades. El
aspecto utilizable de la Calidad está cubierto por los
criterios de efectividad. Se consideró que el aspecto de
entrega o distribución del servicio, de la Calidad se
traslapa con el aspecto de disponibilidad
correspondiente a los requerimientos de seguridad y
también en alguna medida, con la efectividad y la
eficiencia. Finalmente, el Costo también es
considerado, siendo cubierto por la Eficiencia.
Para los requerimientos fiduciarios, COBIT no intentó

reinventar la rueda – se utilizaron las definiciones de
COSO para la efectividad y eficiencia de las
operaciones, confiabilidad de información y
cumplimiento con leyes y regulaciones. Sin embargo,
Para satisfacer los objetivos del negocio, la confiabilidad de información fue ampliada para incluir
información necesita concordar con ciertos criterios a toda la información – no sólo información financiera.
los que COBIT hace referencia como requerimientos de
negocio para la información. Al establecer la lista de Con respecto a los aspectos de seguridad, COBIT
requerimientos, COBIT combina los principios identificó la confidencialidad, integridad y
contenidos en los modelos referenciales existentes y disponibilidad como los elementos clave— se encontró
conocidos: que estos mismos tres elementos son utilizados a nivel
mundial para describir los requerimientos de seguridad.
Calidad
Requerimientos de Costo
Calidad
Comenzando el análisis a partir de los requerimientos
Entrega o Distribución (de servicio) de Calidad, Fiduciarios y de Seguridad más amplios, se
extrajeron siete categorías distintas, ciertamente Se refiere al suministro de

Confiabilidad
superpuestas. A continuación se muestran las de la información apropiada para la
definiciones utilizadas por COBIT: Información administración de las operaciones
del negocio y para ejercer sus
Efectividad Se refiere a que la información responsabilidades de reportes
relevante sea pertinente para el financieros y de cumplimiento.
proceso del negocio, así como a que
su entrega sea oportuna, correcta, Los recursos de TI identificados en COBIT pueden
consistente y de manera utilizable. explicarse/definirse como se muestra a continuación:
Eficiencia Se refiere a la provisión de Son objetos en su más amplio

Datos
información a través de la sentido, (por ejemplo, externos e
utilización óptima (más productiva internos), estructurados y no
y económica) de recursos. estructurados, gráficos, sonido, etc.
Confidencialidad Se refiere a la protección de Sistemas de

Se entiende como sistemas de
información sensible contra Aplicación aplicación la suma de
divulgación no autorizada. procedimientos manuales y
programados.
Integridad
Se refiere a la precisión y
suficiencia de la información, así Tecnología La tecnología cubre hardware,
como a su validez de acuerdo con sistemas operativos, sistemas de
los valores y expectativas del administración de bases de datos,
negocio. redes, multimedia, etc.
Disponibilidad Se refiere a la disponibilidad de la Instalaciones Recursos para alojar y dar soporte a

información cuando ésta es los sistemas de información.
requerida por el proceso de negocio
ahora y en el futuro. También se Personal Habilidades del personal,
refiere a la salvaguarda de los conocimiento, sensibilización y
recursos necesarios y capacidades productividad para planear,
asociadas. organizar, adquirir, entregar,
soportar y monitorear servicios y
Cumplimiento Se refiere al cumplimiento de sistemas de información.
aquellas leyes, regulaciones y
acuerdos contractuales a los que el Otra forma de ver la relación de los recursos de TI con
proceso de negocios está sujeto, por respecto a la entrega de servicios se describe a
ejemplo, criterios de negocio continuación:
impuestos externamente.
El dinero o capital no se tuvo en cuenta como un recurso Con el fin de asegurar que los requerimientos de
para la clasificación de objetivos de control para TI negocio para la información son satisfechos, deben
debido a que puede considerarse como la inversión en definirse, implementarse y monitorearse medidas
cualquiera de los recursos mencionados anteriormente. de control adecuadas para estos recursos.
Es importante hacer notar también que el Marco
Referencial no menciona, en forma específica para ¿Cómo pueden entonces las empresas estar satisfechas
todos los casos, la documentación de todos los aspectos respecto a que la información obtenida presente las
“materiales” importantes relacionados con un proceso características que necesitan? Es aquí donde se requiere
de TI particular. Como parte de las buenas prácticas, la de un sano marco referencial de Objetivos de Control
documentación es considerada esencial para un buen para TI. El diagrama mostrado a continuación ilustra
control y, por lo tanto, la falta de documentación podría este concepto.
ser la causa de revisiones y análisis futuros de controles
de compensación en cualquier área específica en
revisión.
El Marco de Referencia de COBIT consta de Objetivos

de Control de TI de alto nivel y de una estructura
general para su clasificación y presentación. La teoría
subyacente para la clasificación seleccionada se refiere a
que existen, en esencia, tres niveles de actividades de TI
al considerar la administración de sus recursos.
Comenzando por la base, encontramos las actividades
y tareas necesarias para alcanzar un resultado medible.
Las actividades cuentan con un concepto de ciclo de
vida, mientras que las tareas son consideradas más
discretas. Los procesos se definen entonces en un
nivel superior como una serie de actividades o tareas
conjuntas con “cortes” naturales (de control). En el
nivel más alto, los procesos son agrupados de manera
natural en dominios. Su agrupamiento natural es
denominado frecuentemente como dominios de
responsabilidad en una estructura organizacional, y
está en línea con el ciclo administrativo o ciclo de vida
aplicable a los procesos de TI.
Las definiciones para los dominios mencionados son
las siguientes:
Este dominio cubre las estrategias y

Planeación y
organización las tácticas y se refiere a la
identificación de la forma en que la
tecnología de información puede
contribuir de la mejor manera al
logro de los objetivos del negocio.
Además, la consecución de la
visión estratégica necesita ser
planeada, comunicada y
administrada desde diferentes
perspectivas. Finalmente, deberá
establecerse una organización y una
infraestructura tecnológica
apropiadas.
Por lo tanto, el Marco de Referencia conceptual puede
ser enfocado desde tres puntos estratégicos: (1) Para llevar a cabo la estrategia de
Adquisición e
Criterios de información, (2) recursos de TI y (3) implementación TI, las soluciones de TI deben ser
procesos de TI. Estos tres puntos estratégicos son identificadas, desarrolladas o
descritos en el Cubo COBIT que se muestra a adquiridas, así como
continuación: implementadas e integradas dentro
del proceso del negocio. Además,
Con lo anterior como marco de referencia, los dominios este dominio cubre los cambios y el
son identificados utilizando las palabras que la gerencia mantenimiento realizados a
utilizaría en las actividades cotidianas de la organización sistemas existentes, para asegurar
–y no la “jerga4” o terminología del auditor -. Por lo que el ciclo de vida es contínuo
tanto, cuatro grandes dominios son identificados: para esos sistemas
planeación y organización, adquisición e
implementación; entrega y soporte y monitoreo.
4 Jerga (jargon)
Entrega
Entrega yy
En este dominio se hace referencia que ser efectivo en proveer requerimientos de
soporte
soporte a la entrega o distribución de los disponibilidad, integridad y Confidencialidad.
servicios requeridos, que abarca
desde las operaciones tradicionales Es claro que todas las medidas de control no
hasta el entrenamiento, pasando por necesariamente satisfarán los diferentes
la seguridad en los sistemas y la requerimientos del negocio para la información en el
continuidad de las operaciones así mismo grado.
como aspectos sobre
entrenamiento. Con el fin de • Primario es el grado en el cual se definen
proveer servicios, deberán objetivos de control que impactan
establecerse los procesos de soporte directamente los criterios de infor-
necesarios. Este dominio incluye el mación considerados
procesamiento de los datos el cual z Secundario es el grado en el cual se definen
es ejecutado por los sistemas de objetivos de control que solo
aplicación, frecuentemente satisfacen una extensión pequeña o
clasificados como controles de satisfacen indirectamente al
aplicación. criterio de información
considerado.
Todos los procesos necesitan ser z En blanco podría ser aplicable. Sin embargo
Monitoreo
evaluados regularmente a través del los requerimientos son satisfechos
tiempo para verificar su calidad y de una forma mas apropiada por
suficiencia en cuanto a los otro criterio en este proceso y/o en
requerimientos de control. Este otro proceso.
dominio también advierte a la
Administración sobre la necesidad En forma similar, todas las medidas de control no
de asegurar procesos de control necesariamente impactarán a los diferentes recursos
independientes, los cuales son de TI en el mismo grado. Por consiguiente, el Marco
provistos por auditorías internas y de Referencia de COBIT indica específicamente la
externas u obtenidas de fuentes aplicabilidad de los recursos de TI que son
alternativas. específicamente administrados por el proceso bajo
consideración (no solamente los que toman parte en
Es importante tener en cuenta que estos procesos de TI el proceso) . Esta clasificación se realiza con el
pueden ser aplicados en diferentes niveles de la Marco de Referencia de COBIT, basado sobre un
organización. Por ejemplo, algunos de los procesos riguroso proceso de recolección de ideas
serán aplicados al nivel de la empresa, otros al nivel proporcionadas por investigadores, expertos y
de la función de TI, otros al nivel del propietario de los revisores, usando estrictas definiciones previamente
procesos del negocio, etc. indicadas.
Debe notarse además, que el criterio de efectividad en En resumen, con el fin de proveer la información que
los procesos que planean o distribuyen soluciones para la organización necesita para lograr sus objetivos, el
los requerimientos del negocio cubrirá algunas veces Gobierno de TI debe ser entrenado por la
los criterios de disponibilidad, integridad y organización para asegurar que los recursos de TI
confidencialidad— en la práctica, éstos se han serán administrados por una colección de procesos
convertido en requerimientos del negocio. Por de TI agrupados naturalmente. El siguiente diagrama
ejemplo, el proceso de “identificar soluciones” tiene ilustra este concepto.
PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS

OBJETIVOS DEL NEGOCIO
HISTORIA Y ANTECEDENTES DE COBIT
La tercera edición de COBIT es la mas reciente versión de Este estándar es relativamente pequeño en tamaño, con el
los Objetivos de Control para la información y sus fin de ser práctico y responder, en la medida de lo posible,
tecnologías relacionadas, que fue liberado primero por la a las necesidades del negocio, manteniendo al mismo
Information Systems Audit and Control Foundation tiempo una independencia con respecto a las plataformas
(ISACF) en 1996. La 2da edición que refleja un técnicas de TI adoptadas en una organización.
incremento en el número de documentos fuente, una
revisión en el alto nivel y objetivos de control detallados y Sin excluir ningún otro estándar aceptado en el campo del
la adición del Conjunto de herramientas de control de sistemas de información que pudiera emitirse
Implementación fue publicado en 1998. La 3a edición durante la investigación, las fuentes han sido identificadas
marca el ingreso de un nuevo editor para COBIT: El inicialmente como:
Instituto de Gobierno5 de TI (IT Governance Institute).
Estándares Técnicos de ISO, EDIFACT, etc.
Códigos de Conducta emitidos por el Council of
El Instituto de Gobierno de TI fue formado por la Europe, OECD, ISACA, etc.;
Information Systems Audit and Control Association Criterios de Calificación para sistemas y procesos de
(ISACA) y su Fundación asociada en 1998 para avanzar en TI: ITSEC, ISO9000, SPICE, TickIT, Common
el entendimiento y la adopción de principios de gobierno Criteria, etc.;
de TI. Con la adición de las Directrices Gerenciales en la Estándares Profesionales para control interno y
3a edición de COBIT y su expansión y mayor cubrimiento auditoría: reporte COSO, IFAC, IIA, ISACA, GAO,
sobre el Gobierno de TI, el Instituto de Gobierno de TI PCIE, CICA, AICPA, etc.;
adquirió un rol de liderazgo en el desarrollo de la Prácticas y requerimientos de la Industria de foros
publicación. industriales (ESF, 14) y plataformas patrocinadas por el
gobierno (IBAG, NIST, DTI); y
Nuevos requerimientos específicos de la industria de
COBIT se basó originalmente en los Objetivos de Control la banca, Comercio Electrónico y manufactura de TI.
de la ISACF y ha sido mejorado con las actuales y
emergentes estándares internacionales a nivel técnico, (Ver Apéndice II, Descripción del Proyecto COBIT;
profesional, regulatorio y específicos de la industria. Los Apéndice III Material de Referencia Primaria de
Objetivos de Control resultantes han sido desarrollados COBIT y Apéndice IV, Glosario de Términos )
para su aplicación en sistemas de información de toda la
empresa. El término “generalmente aplicables y
aceptados” es utilizado explícitamente en el mismo
sentido que los Principios de Contabilidad Generalmente
Aceptados (PCGA o GAAP por sus siglas en inglés).
___________
5
Gobierno (governance): sistema que establece la alta ge-
rencia para asegurar el logro de los objetivos de una Orga-
nización.
HISTORIA Y ANTECEDENTES DE COBIT
EVOLUCIÓN DEL PRODUCTO COBIT La investigación y las publicaciones han sido posibles gra-
cias al fundamental apoyo de PricewaterhouseCoopers y
COBIT evolucionará a través de los años y será el funda- las donaciones de los capítulos de ISACA y de miembros
mento de investigaciones futuras. Por lo tanto, se generará de todo el mundo. La European Security Forum (ESF)
una familia de productos COBIT y al ocurrir esto, las tareas amablemente llevó a cabo la recolección de material dispo-
y actividades que sirven como estructura para organizar los nible para el proyecto. La Gartner Group además participó
Objetivos de Control de TI, serán refinadas posteriormente. en el desarrollo y realizó la revisión de aseguramiento de
También será revisado el balance entre los dominios y los calidad de las Directrices Gerenciales.
procesos a la luz de los cambios en la industria.
TABLA RESUMEN
La siguiente tabla proporciona una indicación, por proceso y dominio de TI, de cuáles criterios de
información son impactados por los objetivos de control de alto nivel, así como una indicación de
cuáles recursos de TI son aplicables.
PRINCIPIOS DE LOS OBJETIVOS DE CONTROL
COBIT, tal como aparece en esta última versión de los Mientras que el Marco de Referencia de COBIT enfoca
Objetivos de Control refleja los compromisos de controles a alto nivel para cada proceso, los Objetivos
ISACA para engrandecer y mantener el cuerpo común de Control se enfocan sobre objetivos de control
del conocimiento requerido para soportar la profesión detallados y específicos asociados a cada proceso de
de auditoría y control de los sistemas de información TI. Por cada uno de los 34 procesos de TI del marco
referencial, hay desde tres hasta 30 objetivos de
El Marco de Referencia de COBIT ha sido limitado a control detallados, para un total de 318.
objetivos de control de alto nivel en forma de
necesidades de negocio dentro de un proceso de TI Los Objetivos de Control se alinean para cubrir todo el
particular, cuyo logro es posible a través del Marco referencial con objetivos de control detallados
establecimiento de controles, para el cual deben con base en 41 fuentes primarias que comprenden
considerarse controles potenciales aplicables. estándares y regulaciones internacionales de TI, de
facto y de jure. Contiene sentencias de los resultados
deseados o propósitos a ser alcanzados mediante la
El control de implementación de procedimientos de control
específicos en una actividad de TI, de esta manera
provee políticas claras y buenas prácticas para los
Proceso de TI Que satisface
controles de TI a través de la industria, alrededor del
mundo.
Requerimiento de Es habilitado por
Negocio
Los Objetivos de Control están dirigidos a la
Administración y al staff de TI, a las funciones de
Declaración de
Control
Consideran- control y auditoría — y lo mas importante, a los
propietarios de los procesos del negocio. Los
Prácticas de Objetivos de Control proporcionan un trabajo, que es
Control un documento de escritorio para esos individuos. Se
identifican definiciones precisas y claras para un
mínimo conjunto de controles con el fin de asegurar la
efectividad, eficiencia y economía de la utilización de
los recursos. Objetivos de control detallados son
Los Objetivos de Control de TI han sido organizados identificados para cada proceso, como los controles
por proceso/actividad y también se han mínimos necesarios . Esos controles serán analizados
proporcionados ayudas de navegación no solamente por los profesionales de control para verificar su
para facilitar la entrada a partir de cualquier punto de suficiencia.
vista estratégico como se explicó anteriormente, sino
también para facilitar enfoques combinados o globales, Los Objetivos de Control permiten el traslado de los
tales como instalación/implementación de un proceso, conceptos presentados en el Marco de Referencia
responsabilidades gerenciales globales para un hacia controles específicos aplicables a cada proceso
proceso y utilización de recursos de TI por un proceso. de TI.
También deberá tomarse en cuenta que los Objetivos

de Control de COBIT han sido definidos de una manera
genérica, por ejemplo, sin depender de la plataforma
técnica, aceptando el hecho de que algunos ambientes
de tecnología especiales pueden requerir una cobertura
separada para objetivos de control.
AYUDAS DE NAVEGACIÓN
di grid dad
co lim d
bi to
ad
a
co icie d
on ad
nf ien
en ia
m lid
li
ef ida
lid
in cia
nf nc
cu ibi
tiv
ia
ec
p
te
id
La sección de los Objetivos de Control contienen
sp
ef
objetivos de control detallados para cada uno de los 34
S P
procesos de TI. A la izquierda de cada página, se
presenta el objetivo de control de alto nivel. El indicador Planeación &
del dominio (“PO” para Planeación y Organización, “AI” Organización
para Adquisición e Implementación, “DS” para Entrega

Criterios de
de Servicios y Soporte y “M” para Monitoreo se Información
Adquisición &
presentan a la izquierda y arriba de cada página. El Implementación
criterio de información aplicable y el recurso de TI
utilizado son mostrados en matrices pequeñas como se Dominios TI Entrega &
describe a continuación. Iniciando en la derecha de la De TI Recursos Soporte
página están las descripciones de los objetivos de control

detallados para cada proceso de TI. Monitoreo
Para facilitar el empleo eficiente de los objetivos de

Tres puntos de posición
control como soporte a los diferentes puntos de vista, se 3 3
proporcionan algunas ayudas de navegación como parte
da nes
in olo s
al gía
e
te cion
de la presentación de los objetivos de control de alto
io
ap nte
s
to
ac
a
ge
nivel. Se proporciona una ayuda de navegación para cada
cn
lic
st
una de las tres dimensiones del Marco de Referencia de
COBIT - procesos, recursos de TI y criterios de
información -
Planeación &
Organización
Los dominios son identificados por este ícono en la
ESQUINA SUPERIOR DERECHA de cada página, en la
sección de Objetivos de Control, agrandando y haciendo Adquisición &
más visible el dominio bajo revisión. Implementación
Entrega &
Soporte
La clave para el criterio de información se presentará en
la ESQUINA SUPERIOR IZQUIERDA, en la sección de
Objetivos de Control mediante la siguiente “mini” Monitoreo
matriz, la cual identificará cuál criterio y en qué grado
(primario o secundario) es aplicable a cada Objetivo de
Control de TI de alto nivel.
Una segunda “mini” matriz en la ESQUINA INFERIOR

di grid dad
co im d
bi to
ad
a
co icie d
nf ien
en ia
m lid
li
ef ida
DERECHA de la sección de Objetivos de Control identifica

lid
a
in cia
nf nc
cu nibi
tiv
ia
pl
los recursos de TI que son administrados en forma específica

ec
te
o
id
sp
ef
por el proceso bajo consideración - no solo aquellos que

simplemente toman parte en el proceso -. Por ejemplo, el S P
proceso “administración de datos” se concentra
particularmente en la integridad y confiabilidad de los
recursos de datos.
3 3
da nes
in olo s
al gía
e
te cion
io
ap nte
s
to
ac
a
ge
cn
lic
st
RELACIONES DE OBJETIVOS DE CONTROL

DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
PLANEACIÓN Y ORGANIZACIÓN 4.5 Responsabilidad del aseguramiento de

calidad
1.0 Definición de un Plan Estratégico de 4.6 Responsabilidad por la seguridad lógica y
Tecnología de Información física
1.1 Tecnología de Información como parte del 4.7 Propiedad y Custodia
Plan de la Organización a corto y largo 4.8 Propiedad de Datos y Sistemas
plazo 4.9 Supervisión
1.2 Plan a largo plazo de Tecnología de 4.10 Segregación de Funciones
Información 4.11 Asignación de Personal para Tecnología
1.3 Plan a largo plazo de Tecnología de de Información
Información - Enfoque y Estructura 4.12 Descripción de Puestos para el Personal de
1.4 Cambios al Plan a largo plazo de la Función de TI
Tecnología de Información 4.13 Personal clave de TI
1.5 Planeación a corto plazo para la función 4.14 Procedimientos y políticas para el personal
de Servicios de Información contratado
1.6 Comunicación de los planes de TI 4.15 Relaciones
1.7 Evaluación y Monitoreo de los planes de
5.0 Manejo de la Inversión en Tecnología de
TI.
Información
1.8 Valoración de los sistemas existentes.
5.1 Presupuesto Operativo Anual para la
2.0 Definición de la Arquitectura de Información Función de Servicio de información
2.1 Modelo de la Arquitectura de Información 5.2 Monitoreo de Costo - Beneficio
2.2 Diccionario de Datos y Reglas de sintaxis 5.3 Justificación de Costo - Beneficio
de datos corporativos
6.0 Comunicación de los Objetivos y Aspiraciones
2.3 Esquema de Clasificación de Datos
de la Gerencia
2.4 Niveles de Seguridad.
6.1 Ambiente positivo de control de la
3.0 Determinación de la Dirección Tecnológica información
3.1 Planeación de la Infraestructura 6.2 Responsabilidad de la Gerencia en cuanto
Tecnológica a Políticas
3.2 Monitoreo de Tendencias y Regulaciones 6.3 Comunicación de las Políticas de la
Futuras Organización
3.3 Contingencias en la Infraestructura 6.4 Recursos para la implementación de
Tecnológica Políticas
3.4 Planes de Adquisición de Hardware y 6.5 Mantenimiento de Políticas
Software 6.6 Cumplimiento de Políticas,
3.5 Estándares de Tecnología Procedimientos y Estándares
6.7 Compromiso con la Calidad
4.0 Definición de la Organización y de las 6.8 Política sobre el Marco Referencial para la
Relaciones de TI Seguridad y el Control Interno
4.1 Planeación de TI o Comité de planeación/ 6.9 Derechos de propiedad intelectual
dirección de la función de servicios de 6.10 Políticas Específicas
información 6.11 Comunicación de Conciencia de
4.2 Ubicación de los servicios de información Seguridad en TI
en la organización
4.3 Revisión de Logros Organizacionales
4.4 Funciones y Responsabilidades
7.0 Administración de Recursos Humanos 10.11 Plan de Prueba

7.1 Reclutamiento y Promoción de Personal 10.12 Plan de Entrenamiento
7.2 Calificación del Personal 10.13 Plan de Revisión Post Implementación
7.3 Roles y Responsabilidades
11.0 Administración de Calidad
7.4 Entrenamiento del personal
11.1 Plan General de Calidad
7.5 Entrenamiento Cruzado o Respaldo de
11.2 Enfoque de Aseguramiento de Calidad
Personal
11.3 Planeación del Aseguramiento de
7.6 Procedimientos para la Acreditación del
Calidad
Personal
11.4 Revisión de Aseguramiento de Calidad
7.7 Evaluación de Desempeño de los
sobre el Cumplimiento de Estándares
Empleados
y Procedimientos de la Función de
7.8 Cambios de Puesto y Terminación de
Servicios de Información
contrato de trabajo
11.5 Metodología del Ciclo de Vida de
8.0 Aseguramiento del Cumplimiento con Desarrollo de Sistemas
Requerimientos Externos 11.6 Metodología del Ciclo de Vida de
8.1 Revisión de Requerimientos Externos Desarrollo de Sistemas para Cambios
8.2 Prácticas y Procedimientos para el Mayores a la Tecnología Actual
Cumplimiento de Requerimientos 11.7 Actualización de la Metodología del
Externos Ciclo de Vida de Desarrollo de
8.3 Cumplimiento de los Estándares de Sistemas
Seguridad y Ergonomía 11.8 Coordinación y Comunicación
8.4 Privacidad, Propiedad Intelectual y Flujo 11.9 Marco Referencial para la Adquisición y
de Datos Mantenimiento de la Infraestructura de
8.5 Comercio Electrónico Tecnología
8.6 Cumplimiento con Contratos de Seguros 11.10 Relaciones con Terceras Partes en su rol
de Implementadores
9.0 Análisis de Riesgos
11.11 Estándares para la Documentación de
9.1 Análisis de Riesgos del Negocio
Programas
9.2 Enfoque de Análisis de Riesgos
11.12 Estándares para Pruebas de Programas
9.3 Identificación de Riesgos
11.13 Estándares para Pruebas de Sistemas
9.4 Medición de Riesgos
11.14 Pruebas Piloto/En Paralelo
9.5 Plan de Acción para mitigar los Riesgos
11.15 Documentación de las Pruebas del
9.6 Aceptación de Riesgos
Sistema
9.7 Selección de Protección.
11.16 Evaluación del Aseguramiento de la Cali
9.8 Compromiso de Análisis de Riesgos
dad sobre el Cumplimiento de
10.0 Administración de Proyectos Estándares de Desarrollo
10.1 Marco Referencial para la Administración 11.17 Revisión del Aseguramiento de Calidad
de Proyectos sobre el Logro de los Objetivos de la
10.2 Participación del Departamento Usuario Función de Servicios de Información
en la Iniciación de Proyectos 11.18 Métricas de Calidad
10.3 Miembros y Responsabilidades del Equipo 11.19 Reportes de Revisiones de
del Proyecto Aseguramiento de la Calidad
10.4 Definición del Proyecto
10.5 Aprobación del Proyecto
10.6 Plan maestro del proyecto ADQUISICIÓN E IMPLEMENTACIÓN
10.7 Plan Maestro del Proyecto 1.0 Identificación de Soluciones
10.8 Plan de Aseguramiento de Calidad de
Sistemas 1.1 Definición de Requerimientos de
10.9 Planeación de Métodos de Aseguramiento Información
10.10 Administración Formal de Riesgos de 1.2 Formulación de Acciones Alternativas
Proyectos
1.3 Formulación de Estrategias de Software

Adquisición. 3.2 Mantenimiento Preventivo para Hardware
1.4 Requerimientos de Servicios de Terceros 3.3 Seguridad del Software del Sistema
1.5 Estudio de Factibilidad Tecnológica 3.4 Instalación del Software del Sistema
1.6 Estudio de Factibilidad Económica 3.5 Mantenimiento del Software del Sistema
1.7 Arquitectura de Información 3.6 Controles para Cambios del Software del
1.8 Reporte de Análisis de Riesgos Sistema
1.9 Controles de Seguridad costo-efectivo 3.7 Uso y Monitoreo de Utilidades/Utilitarios
1.10 Diseño de Pistas de Auditoría del Sistema
1.11 Ergonomía
4.0 Procedimientos de Desarrollo y
1.12 Selección de Software del Sistema
Mantenimiento de TI
1.13 Control de Abastecimiento
4.1 Requerimientos Operacionales y Niveles
1.14 Adquisición de Productos de Software
de Servicio
1.15 Mantenimiento de Software de Terceras
4.2 Manual de Procedimientos para Usuario
Partes
4.3 Manual de Operación
1.16 Contratos para la Programación de
4.4 Material de Entrenamiento
Aplicaciones
1.17 Aceptación de Instalaciones 5.0 Instalación y Acreditación de Sistemas
1.18 Aceptación de Tecnología 5.1 Entrenamiento
5.2 Medición del Desempeño del Software de
2.0 Adquisición y Mantenimiento de Software de
Aplicación
Aplicación
5.3 Plan de Implementación
2.1 Métodos de Diseño
5.4 Conversión del Sistema
2.2 Cambios Significativos a Sistemas
5.5 Conversión de datos
Actuales
5.6 Planes y estrategias de pruebas
2.3 Aprobación del Diseño
5.7 Pruebas a cambios
2.4 Definición y Documentación de
5.8 Criterios y Desempeño de Pruebas en
Requerimientos de Archivos
Paralelo/Piloto
2.5 Especificaciones de Programas
5.9 Prueba de Aceptación Final
2.6 Diseño para la Recopilación de Datos
5.10 Pruebas y Acreditación de la Seguridad
Fuente
5.11 Prueba Operacional
5.12 Promoción a Producción
Requerimientos de Entrada de Datos
5.13 Evaluación de la Satisfacción de los
2.8 Definición de Interfases
Requerimientos del Usuario
2.9 Interfases Usuario-Máquina
5.14 Revisión Gerencial Post - Implementación
Requerimientos de Procesamiento 6.0 Administración de Cambios
2.11 Definición y Documentación de 6.1 Inicio y Control de Solicitudes de Cambio
Requerimientos de Salida de Datos 6.2 Análisis de Impacto
2.12 Controlabilidad 6.3 Control de Cambios
2.13 Disponibilidad como Factor Clave de 6.4 Cambios de Emergencia
Diseño 6.5 Documentación y Procedimientos
2.14 Consideración de Integridad de TI en 6.6 Mantenimiento Autorizado
programas de software de aplicaciones 6.7 Política de Liberación de Software
2.15 Pruebas al Software de Aplicación 6.8 Distribución de Software
2.16 Materiales de Consulta y Soporte para
Usuario ENTREGA DE SERVICIOS Y SOPORTE
2.17 Reevaluación del Diseño del Sistema
3.0 Adquisición y Mantenimiento de la 1.0 Definición de Niveles de Servicio
Arquitectura de Tecnología 1.1 Marco de Referencia para acuerdos de
3.1 Evaluación de Nuevo Hardware y Nivel de Servicio
1.2 Aspectos sobre los Acuerdos de Nivel de
Servicio 4.9 Procedimientos de Respaldo de

1.3 Procedimientos de Desempeño Procesamiento para Departamentos
1.4 Monitoreo y Reporte Usuarios
1.5 Revisión de Contratos y Acuerdos de 4.10 Recursos críticos de Tecnología de
Nivel de Servicio Información
1.6 Elementos sujetos a Cargo 4.11 Centro de Cómputo y Hardware de
1.7 Programa de Mejoramiento del Servicio respaldo
4.12 Almacenamiento de copias de respaldo
2.0 Administración de Servicios prestados por
fuera del sitio
Terceros
4.13 Procedimientos de Refinamiento del Plan
2.1 Interfases con Proveedores
de Continuidad de TI6
2.2 Relaciones con los Dueños
2.3 Contratos con Terceros 5.0 Garantizar la Seguridad de Sistemas
2.4 Calificaciones de terceros 5.1 Administrar Medidas de Seguridad
2.5 Contratos con Outsourcing 5.2 Identificación, Autenticación y Acceso
2.6 Continuidad del Servicios 5.3 Seguridad de Acceso a Datos en Línea
2.7 Relaciones de Seguridad 5.4 Administración de Cuentas de Usuario
2.8 Monitoreo 5.5 Revisión Gerencial de Cuentas de Usuario
5.6 Control de Usuarios sobre Cuentas de
3.0 Administración de Desempeño y Capacidad
Usuario
3.1 Requerimientos de Disponibilidad y
5.7 Vigilancia de Seguridad
Desempeño
5.8 Clasificación de Datos
3.2 Plan de Disponibilidad
5.9 Administración Centralizada de
3.3 Monitoreo y Reporte
Identificación y Derechos de Acceso
3.4 Herramientas de Modelado
5.10 Reportes de Violación y de Actividades de
3.5 Administración de Desempeño Proactivo
Seguridad
3.6 Pronóstico de Carga de Trabajo
5.11 Manejo de Incidentes
3.7 Administración de Capacidad de
5.12 Re-acreditación
Recursos
5.13 Confianza en las Contrapartes
3.8 Disponibilidad de Recursos
5.14 Autorización de Transacciones
3.9 Calendarización / Programación de
5.15 No Rechazo
recursos
5.16 Sendero Seguro
4.0 Aseguramiento de Servicio Continuo 5.17 Protección de las funciones de seguridad
4.1 Marco de Referencia de Continuidad de 5.18 Administración de las Llaves
Tecnología de Información Criptográficas
4.2 Estrategia y Filosofía del Plan de 5.19 Prevención, Detección y Corrección de
Continuidad de Tecnología de Software “Malicioso”
Información 5.20 Arquitecturas de Firewalls y conexión a
4.3 Contenido del Plan de Continuidad de redes públicas
Tecnología de Información 5.21 Protección de Valores Electrónicos
4.4 Minimización de requerimientos de
6.0 Identificación y Asignación de Costos
Continuidad de Tecnología de
6.1 Elementos Sujetos a Cargo
Información
6.2 Procedimientos de Costeo
4.5 Mantenimiento del Plan de Continuidad
6.3 Procedimientos de Cargo y Facturación a
de Tecnología de Información
Usuarios
4.6 Pruebas del Plan de Continuidad de
Tecnología de Información
4.7 Entrenamiento sobre el Plan de
Continuidad de Tecnología de
Información
6 Refinamiento del Plan de Continuidad de TI
4.8 Distribución del Plan de Continuidad de (wrap up): procedimiento seguido para evaluar y
actualizar el Plan
7.0 Educación y Entrenamiento de Usuarios 11.12 Manejo y Retención de Datos de Salida

7.1 Identificación de Necesidades de 11.13 Distribución de Datos de Salida
Entrenamiento 11.14 Balanceo y Conciliación de Datos de
7.2 Organización de Entrenamiento Salida
7.3 Entrenamiento sobre Principios y 11.15 Revisión de Salida de Datos y Manejo de
Conciencia de Seguridad Errores
11.16 Provisiones de Seguridad para Reportes
8.0 Apoyo y Asistencia a los Clientes de
de Salida
11.17 Protección de Información Sensitiva
8.1 Help Desk
durante transmisión y transporte
8.2 Registro de consultas del Cliente
11.18 Protección de Información Sensitiva a ser
8.3 Escalamiento de consultas del Cliente
Desechada
8.4 Monitoreo de Atención a Clientes
11.19 Administración de Almacenamiento
8.5 Análisis y Reporte de Tendencias
11.20 Períodos de Retención y Términos de
9.0 Administración de la Configuración Almacenamiento
9.1 Registro de la Configuración 11.21 Sistema de Administración de la Librería
9.2 Base de la Configuración de Medios
9.3 Registro de status 11.22 Responsabilidades de la Administración
9.4 Control de la Configuración de la Librería de Medios
9.5 Software no Autorizado 11.23 Respaldo y Restauración
9.6 Almacenamiento de Software 11.24 Funciones de Respaldo
9.7 Procedimientos para la Administración de 11.25 Almacenamiento de Respaldo
la Configuración 11.26 Archivo
9.8 Contabilidad y registro del Software 11.27 Protección de Mensajes Sensitivos
11.28 Autenticación e Integridad
10.0 Administración de Problemas e Incidentes 11.29 Integridad de Transacciones Electrónicas
10.1 Sistema de Administración de Problemas 11.30 Integridad Continua de Datos
10.2 Escalamiento de Problemas
Almacenados
10.3 Seguimiento de Problemas y Pistas de
Auditoría 12.0 Administración de Instalaciones
10.4 Autorizaciones para acceso temporal y de 12.1 Seguridad Física
emergencia. 12.2 Discreción (bajo perfil) de las
10.5 Prioridades en Procesos de Emergencia Instalaciones de Tecnología de
Información
11.0 Administración de Datos 12.3 Escolta de Visitantes
11.1 Procedimientos de Preparación de Datos 12.4 Salud y Seguridad del Personal
11.2 Procedimientos de Autorización de 12.5 Protección contra Factores Ambientales
Documentos Fuente
12.6 Suministro Ininterrumpido de Energía
11.3 Recopilación de Datos de Documentos
Fuente 13.0 Administración de Operaciones
11.4 Manejo de Errores de Documentos Fuente 13.1 Manual de Instrucciones y procedimientos
11.5 Retención de Documentos Fuente de Operaciones de procesamiento
11.6 Procedimientos para la Autorización de 13.2 Documentación del Proceso de Inicio y de
Entrada de Datos Otras Operaciones
11.7 Chequeos de Exactitud, Suficiencia y 13.3 Calendarización/programación de Trabajos
Autorización 13.4 Ejecución de los Trabajos estándar
11.8 Manejo de Errores en la Entrada de Datos programados
11.9 Integridad de Procesamiento de Datos 13.5 Continuidad de Procesamiento
11.10 Validación y Edición de Procesamiento de 13.6 Bitácoras de Operación
Datos 13.7 Protección de Formas Especiales y
11.11 Manejo de Errores en el Procesamiento de dispositivos de salida
Datos 13.8 Operaciones Remotas
MONITOREO 3.4 Evaluación Independiente de la Efectividad

de proveedores externos de servicios
1.0 Monitoreo del Proceso 3.5 Aseguramiento Independiente del
1.1 Recolección de Datos de Monitoreo Cumplimiento de leyes y requerimientos
1.2 Análisis del Desempeño regulatorios y compromisos contractuales
1.3 Evaluación de la Satisfacción de Clientes 3.6 Aseguramiento Independiente del
1.4 Reportes Gerenciales Cumplimiento de leyes y requerimientos
regulatorios y compromisos contractuales
2.0 Evaluar lo adecuado del Control Interno con proveedores externos de servicios
2.1 Monitoreo de Control Interno 3.7 Competencia de la Función de
2.2 Operación oportuna del Control Interno Aseguramiento Independiente
2.3 Reporte sobre el Nivel de Control Interno 3.8 Participación Proactiva de Auditoría
2.4 Seguridad en las operaciones y
aseguramiento del Control Interno 4.0 Proveer Auditoría Independiente
4.1 Estatutos de Auditoría
3.0 Obtención de Aseguramiento Independiente 4.2 Independencia
3.1 Certificación / Acreditación Independiente 4.3 Etica y Estándares Profesionales
de Control Interno y Seguridad de los 4.4 Competencia
servicios de TI 4.5 Planeación
3.2 Certificación / Acreditación Independiente 4.6 Desempeño del Trabajo de Auditoría
de Control Interno y Seguridad de 4.7 Reporte
proveedores externos de servicios 4.8 Actividades de Seguimiento
3.3 Evaluación Independiente de la Efectividad
de los Servicios de TI
PAGINA INTENCIONALMENTE EN BLANCO
(PO)
PLANEACION Y ORGANIZACION
OBJETIVOS DE CONTROL DE ALTO NIVEL

PO1
di gri dad
Planeación &
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
Organización
in c ia
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
Adquisición &
P S Implementación
Control sobre el proceso de TI de: Entrega &

Soporte
Definición de un plan Estratégico de TI
que satisface los requerimientos del negocio de: Monitoreo
Lograr un balance óptimo entre las oportunidades de tecnología de

información y los requerimientos del negocio para TI, así como
para asegurar sus logros futuros.
se hace posible a través de:
un proceso de planeación estratégica emprendido en

intervalos regulares dando lugar a planes a largo plazo.
Los planes a largo plazo deberán ser traducidos
periódicamente en planes operacionales estableciendo
metas claras y concretas a corto plazo:
y toma en consideración:
• Estrategia del negocio de la empresa

• definición de cómo TI soporta los objetivos de
negocio
• inventario de soluciones tecnológicas e
infraestructura actual
• Monitoreo del mercado de tecnología
• Estudios de factibilidad oportunos y chequeos 3 3 3 3 3
con la realidad
da nes
in olo s
al gía
e
• Análisis de los sistemas existentes

te cion
io
ap ente
s
to
ac
• Posición de la empresa sobre riesgos, en el

a
cn
g
lic
proceso de compra (time-on-market), calidad

st
• Necesidades de la Administración senior en el

proceso de compra, soportado en revisión
crítica
1. DEFINICIÓN DE UN PLAN ESTRATÉGICO DE regulatorios, requerimientos de terceras partes o del

TI mercado, el horizonte de planeación, reingeniería de
procesos del negocio, la asignación de personal, in u
1.1 Tecnología de Información como parte del Plan de la outsourcing, datos, sistemas de aplicación y
Organización a corto y largo plazo. arquitecturas de la tecnología. Los planes de TI, de
largo y corto alcance deberán incorporar indicadores y
OBJETIVO DE CONTROL
objetivos de desempeño. El plan mismo deberá hacer
La alta gerencia será la responsable de desarrollar e referencia a otros planes tales como el plan de calidad de
implementar planes a largo y corto plazo que satisfagan la organización y el plan de manejo de riesgos de
la misión y las metas de la organización. A este información.
respecto, la alta gerencia deberá asegurar que los
problemas de TI, así como las oportunidades, sean 1.4 Cambios al Plan a largo plazo de TI
evaluados adecuadamente y reflejados en los planes a OBJETIVO DE CONTROL
largo y corto plazo de la organización. Se deben
desarrollar planes de TI a largo y corto plazo para La Gerencia de TI y los dueños del proceso del negocio
ayudar a asegurar que el uso de la TI esté acorde con la deberán asegurar que se establezca un proceso con el fin
misión y las estrategias de negocio de la organización. de adaptar los cambios al plan a largo plazo de la
organización y los cambios en las condiciones de la TI.
1.2 Plan a largo plazo de TI La gerencia Senior deberá establecer una política que
requiera que se desarrollen y se mantengan planes de
OBJETIVO DE CONTROL
largo y corto plazo de TI.
La Gerencia de TI y los dueños del proceso de negocio
serán responsables de desarrollar regularmente planes 1.5 Planeación a corto plazo para la Función de TI
de TI a largo plazo , que apoyen el logro de la misión y OBJETIVO DE CONTROL
las metas generales de la organización. El método de
planeación deberá incluir mecanismos para solicitar La Gerencia de TI y los dueños del proceso del negocio
información a los interesados internos y externos mas deberán asegurar que el plan a largo plazo de TI se
importantes, que se ven afectados por los planes traduzca regularmente en planes a corto plazo de TI.
estratégicos de TI. De la misma manera, la Gerencia Estos planes a corto plazo deberán asegurar que se
deberá implementar un proceso de planeación a largo asignen los recursos apropiados de la función de
plazo, adoptar un enfoque estructurado y determinar la servicios de TI con una base consistente con el plan a
estructura para el plan. largo plazo de TI. Los planes a corto plazo deberán ser
reevaluados y modificados periódicamente según se
1.3 Plan a largo plazo de TI - Enfoque y Estructura considere necesario respondiendo a las condiciones de
cambios en el negocio y en TI. La realización oportuna
OBJETIVO DE CONTROL
de estudios de factibilidad deberá asegurar que la
La Gerencia de TI y los dueños del proceso de negocio ejecución de los planes a corto plazo sea iniciada
deberán establecer y aplicar un enfoque estructurado al adecuadamente.
proceso de planeación a largo plazo. Esto deberá traer
como resultado un plan de alta calidad que cubra las
preguntas básicas de qué, quién, cómo, cuándo y por
qué el proceso de planeación de TI debe tomar en
cuenta los resultados del análisis del riesgo, incluyendo
los riesgos del negocio, entorno, tecnología y recursos
humanos. Los aspectos que necesitan ser tomados en
cuenta y ser cubiertos adecuadamente durante el proceso
de planeación incluyen el modelo de organización y sus
cambios, la distribución geográfica, la evolución
tecnológica, los costos, los requerimientos legales y
1.6 Comunicación de los Planes de TI
OBJETIVO DE CONTROL
La gerencia debe asegurar que los planes de largo y

de corto plazo de tecnología de la información sean
comunicados a los dueños del proceso del negocio y
a otras partes relevantes en toda la organización.
1.7 Monitoreo y Evaluación de los Planes de

Tecnología de la Información
OBJETIVO DE CONTROL
La gerencia debe establecer procesos para captar y
reportar la retroalimentación de los dueños y usuarios
del proceso del negocio respecto a la calidad y utilidad
de los planes de largo y de corto plazo. La
retroalimentación obtenida debe ser evaluada y
considerada en la planeación futura de la tecnología
de la información.
1.8 Evaluación de los Sistemas Existentes
OBJETIVO DE CONTROL
Previo al desarrollo o modificación del Plan
Estratégico o plan a largo plazo de TI, la Gerencia de
TI debe evaluar los sistemas existentes en términos
de: nivel de automatización de negocio,
funcionalidad, estabilidad, complejidad, costo y
fortalezas y debilidades, con el propósito de
determinar el nivel de soporte que ofrecen los
sistemas existentes a los requerimientos del negocio.
PO2
di gri dad
Planeación &
co lim ad
bi to
ad
co icie d
nf ien
id cia
m ilid
li
ef vida
lid
Organización
sp da
in c ia
n
cu nib
en
ti
ia
ec
p
te
o
ef
nf
Adquisición &
P S S S Implementación
Control sobre el proceso de TI de: Entrega &

Soporte
Definición de la Arquitectura de Información
que satisface los requerimientos de negocio de: Monitoreo
organizar de la mejor manera los sistemas de información
la creación y mantenimiento de un modelo de

información de negocios y asegurando que se definan
sistemas apropiados para optimizar la utilización de
esta información
• Repositorio automatizado de datos y

diccionario
• reglas de sintaxis de datos
• propiedad de la información y clasificación
con base en criticidad /seguridad
• un modelo de información que represente
el negocio
• Normas de arquitectura de información de
la empresa
3 3
da nes
in olo s
al gía
e
te cion
io
ap ente
s
to
ac
a
cn
g
lic
st
2 DEFINICIÓN DE LA ARQUITECTURA DE 2.4 Niveles de Seguridad

INFORMACIÓN OBJETIVO DE CONTROL
2.1 Modelo de la Arquitectura de Información La Gerencia deberá definir, implementar y
OBJETIVO DE CONTROL mantener niveles de seguridad para cada una de
las clasificaciones de datos identificadas con un
La información deberá conservar consistencia nivel superior al de "no requiere protección".
con las necesidades y deberá ser identificada, Estos niveles de seguridad deberán representar el
capturada y comunicada de tal forma y dentro de conjunto de medidas de seguridad y de control
períodos de tiempo que permitan a los apropiado (mínimo) para cada una de las
responsables llevar a cabo sus tareas eficiente y clasificaciones y deberán ser reevaluados
oportunamente. Asimismo, la función de periódicamente y modificados en consecuencia.
sistemas de información deberá crear y actualizar
regularmente un modelo de arquitectura de Se deben establecer los criterios para soportar los
información, abarcando el modelo de datos diferentes niveles de seguridad en toda la
corporativo y los sistemas de información empresa para resolver las necesidades del
asociados. El modelo de arquitectura de creciente comercio electrónico, la computación
información deberá conservar consistencia con el móvil y los entornos de teleconmutación.
plan a largo plazo de tecnología de información.
2.2 Diccionario de Datos y Reglas de Sintaxis de
Datos de la Corporación
OBJETIVO DE CONTROL
La función de servicios de información deberá
asegurar la creación y la continua actualización
de un diccionario de datos corporativo que
incorpore las reglas de sintaxis de datos de la
organización.
2.3 Esquema de Clasificación de Datos
OBJETIVO DE CONTROL
Deberá establecerse un marco de referencia de
clasificación general relativo a la ubicación de
datos en clases de información (por ejemplo,
categorías de seguridad), así como la asignación
de propiedad. Las reglas de acceso para las
clases deberán definirse apropiadamente.

PO3
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
Adquisición &
cu nib
tiv
en
ia
Implementación
ec
p
te
o
ef
nf
P S Entrega &
Soporte
Control sobre el proceso de TI de:

Monitoreo
determinación de la dirección tecnológica
que satisface los requerimientos de negocio de:
aprovechar la tecnología disponible y las que van apareciendo en

el mercado para impulsar y posibilitar la estrategia del negocio.
la creación y mantenimiento de un plan de

infraestructura tecnológica que establece y administra
expectativas claras y realistas de lo que puede brindar la
tecnología en términos de productos, servicios y
mecanismos de entrega
• capacidad de la infraestructura actual

• monitoreo de desarrollos tecnológicos por la
vía de fuentes confiables
• realización de prueba de conceptos
• riesgos, restricciones y oportunidades 3 3
• planes de adquisición
da nes
in olo s
• estrategia de migración y mapas alternativos

ac ía
e
te cion
g
io
ap ente
(roadmaps)
to
a
•
cn
relaciones con los vendedores

al
g
lic
st
• reevaluación independiente de la tecnología

• Cambios de precio /desempeño de hardware y
de software
3 DETERMINACIÓN DE LA DIRECCIÓN 3.4 Planes de Adquisición de Hardware y

TECNOLÓGICA Software
3.1 Planeación de la Infraestructura Tecnológica OBJETIVO DE CONTROL
OBJETIVO DE CONTROL La Gerencia de la función de servicios de

información deberá asegurar que los planes de
La función de servicios de información deberá adquisición de hardware y software sean
crear y actualizar regularmente un plan de establecidos y que reflejen las necesidades
infraestructura tecnológica que concuerde con identificadas en el plan de infraestructura
los planes a largo y corto plazo de tecnología de tecnológica.
información. Dicho plan deberá abarcar aspectos
tales como arquitectura de sistemas, dirección
tecnológica y estrategias de migración. 3.5 Estándares de Tecnología
3.2 Monitoreo de Tendencias y Regulaciones OBJETIVO DE CONTROL
Futuras
Tomando como base el plan de infraestructura
OBJETIVO DE CONTROL tecnológica, la Gerencia deberá definir normas
La función de servicios de información deberá de tecnología con la finalidad de fomentar la
asegurar el monitoreo contínuo de tendencias estandarización.
futuras y condiciones regulatorias, de tal manera
que estos factores puedan ser tomados en
consideración durante el desarrollo y
mantenimiento del plan de infraestructura
tecnológica.
3.3 Contingencias en la Infraestructura
Tecnológica
OBJETIVO DE CONTROL
El plan de infraestructura tecnológica deberá ser
evaluado sistemáticamente en cuanto a aspectos
de contingencia (por ejemplo, redundancia,
resistencia7, capacidad de adecuación y
evolución de la infraestructura).
7
Resistencia (resilience): Capacidad de un sistema de vol-
ver a sui estado inicial luego de una falla
PO4
Planeación &
Organización
di grid d
d
da
bi to
ad
m ilida
ef idad
on d
nf en
id cia
in ciali
lid
a
co imi
Adquisición &
n
b
tiv
co icie
i
en
ia
pl
Implementación
ec
te
sp
ef
nf
cu
P S Entrega &
Soporte

Monitoreo
definición de la organización y de las relaciones de TI
prestación de los servicios correctos de TI
una organización conveniente en número y habilidades, con

tareas y responsabilidades definidas y comunicadas, acordes con
el negocio y que facilita la estrategia y provee una dirección
efectiva y un control adecuado.
• responsabilidades del nivel directivo sobre TI

• dirección de la gerencia y supervisión de TI
• Alineación de TI con el negocio
• participación de TI en los procesos clave de decisión
• flexibilidad organizacional
• roles y responsabilidades claras
• equilibrio entre supervisión y delegación de
autoridad (empoderamiento)
• descripciones de puestos de trabajo
• Niveles de asignación de personal y personal clave 3
• Ubicación organizacional de las funciones de
seguridad, calidad y control interno
da es
es
ac a
• Segregación de funciones
n
í
te ion
in olog
io
ap nte
s
to
ac
ge
cn
al
lic
st
4 DEFINICIÓN DE LA ORGANIZACIÓN Y DE clave de una transacción o evento. Todos deberán

LAS RELACIONES DE TI estar conscientes de que tienen un grado de
responsabilidad con respecto a la seguridad y al
4.1 Comité de planeación o dirección de TI control interno. Consecuentemente, deberán
organizarse y emprenderse campañas regulares
OBJETIVO DE CONTROL
para aumentar la conciencia y la disciplina.
La alta gerencia de la organización deberá
designar un comité de planeación o dirección para 4.5 Responsabilidad del Aseguramiento de Calidad
vigilar la función de TI y sus actividades. Entre los OBJETIVO DE CONTROL
miembros del comité deberán encontrarse
representantes de la alta gerencia, de la gerencia La Gerencia deberá asignar la responsabilidad de
usuaria y de la función de TI. El comité deberá la ejecución de la función de aseguramiento de
reunirse regularmente y reportar a la alta gerencia. calidad a miembros del personal de la función de
servicios de información y asegurar que existan
4.2 Ubicación de la Función de TI en la sistemas de aseguramiento de calidad apropiados,
organización controles y experiencia en comunicaciones dentro
del grupo de aseguramiento de calidad de la
OBJETIVO DE CONTROL
función de servicios de información. La ubicación
Al ubicar la función de TI en la estructura de la función dentro del área de servicios de
organizacional general, la alta gerencia deberá información, las responsabilidades y el tamaño del
asegurar la existencia de autoridad, actitud crítica grupo de aseguramiento de calidad deberán
e independencia por parte del departamento satisfacer los requerimientos de la empresa.
usuario con un grado tal que sea posible garantizar
soluciones de tecnología de información efectivas 4.6 Responsabilidad de la Seguridad Lógica y Física
y progreso suficiente al implementarlas, así como OBJETIVO DE CONTROL
establecer una relación de socios con la alta
Gerencia para ayudar a incrementar la La Gerencia deberá asignar formalmente la
concientización, el entendimiento y las responsabilidad de la seguridad lógica y física de
habilidades para identificar y resolver problemas los activos de información de la organización a un
de tecnología de información. Gerente de seguridad de la información, quien
reportará a la alta gerencia. Como mínimo, la
4.3 Revisión de Logros Organizacionales responsabilidad de la Gerencia de seguridad
deberá establecerse a todos los niveles de la
OBJETIVO DE CONTROL
organización para manejar los problemas
Deberá establecerse un marco de referencia con el generales de seguridad en la organización. En
propósito de revisar que la estructura caso necesario, deberán asignarse
organizacional cumpla continuamente con los responsabilidades gerenciales de seguridad
objetivos y se adapte a las circunstancias adicionales a niveles específicos con el fin de
cambiantes. resolver los problemas de seguridad relacionados
con ellos.
4.4 Funciones y Responsabilidades
4.7 Propiedad y Custodia
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deberá asegurar que todo el personal
en la organización conozca sus funciones y La Gerencia deberá crear una estructura para
responsabilidades en relación con los sistemas de designar formalmente a los propietarios y
información. Todo el personal deberá contar con custodios de los datos. Sus funciones y
la autoridad suficiente para llevar a cabo las responsabilidades deberán estar claramente
funciones y responsabilidades que le hayan sido definidas.
asignadas. Las funciones deberán ser designadas
tomando en consideración la segregación 4.8 Propiedad de Datos y Sistemas
apropiada de tareas. Ninguna persona en forma OBJETIVO DE CONTROL
individual deberá controlar todos los aspectos
La Gerencia deberá asegurar que todos los activos
de información (sistemas y datos) cuenten con un servicios de información cuente con un número
propietario asignado que tome decisiones sobre la suficiente de personal competente de tecnología
clasificación y los derechos de acceso. Los de información. Los requerimientos de asignación
propietarios del sistema normalmente delegarán la de personal deberán ser evaluados por lo menos
custodia diaria al grupo de distribución/operación anualmente o al presentarse cambios mayores en
de sistemas y las responsabilidades de seguridad a el negocio, en el ambiente operacional o de
un administrador de la seguridad. Los Propietarios, tecnología de información. Deberá actuarse
sin embargo, permanecerán como responsables del oportunamente tomando como base los resultados
mantenimiento de medidas de seguridad apropiadas. de las evaluaciones para asegurar una asignación
de personal adecuada en el presente y en el futuro.
4.9 Supervisión
4.12 Descripción de Puestos de trabajo para el
OBJETIVO DE CONTROL
Personal de la Función de TI
La alta gerencia deberá implementar prácticas de
OBJETIVO DE CONTROL
supervisión adecuadas en la organización de
servicios de información para asegurar que las La Gerencia deberá asegurar que las descripciones
funciones y responsabilidades sean llevadas a de los puestos para el personal de TI sean
cabo apropiadamente, para evaluar si todo el establecidos y actualizados regularmente. Estas
personal cuenta con suficiente autoridad y descripciones de puestos deberán delinear
recursos para llevar a cabo sus tareas y claramente tanto la responsabilidad como la
responsabilidades, y para revisar de manera autoridad, incluir las definiciones de las
general los indicadores clave de desempeño. habilidades y la experiencia necesarias para el
puesto, y ser adecuadas para su utilización en
4.10 Segregación de Funciones
evaluaciones de desempeño.
OBJETIVO DE CONTROL
4.13 Personal Clave de TI
La alta gerencia deberá implementar una división
OBJETIVO DE CONTROL
de roles y responsabilidades que excluya la
posibilidad de que un solo individuo responda por La Gerencia de TI deberá definir e identificar al
un proceso crítico. La Gerencia deberá asegurar personal clave de tecnología de información.
también que el personal lleve a cabo únicamente
4.14 Políticas y Procedimientos para Personal por
aquellas tareas estipuladas para sus respectivos
Contrato
puestos. En particular, deberá mantenerse una
segregación de funciones entre las siguientes OBJETIVO DE CONTROL
funciones:
La Gerencia deberá definir e implementar
z uso de sistemas de información; políticas y procedimientos relevantes para
z entrada de datos; controlar las actividades de consultores y demás
z operación de cómputo; personal externo contratado por la función de TI
z administración de redes; para asegurar la protección de los activos de
z administración de sistemas; información de la organización.
z desarrollo y mantenimiento de sistemas
z administración de cambios 4.15 Relaciones
z administración de seguridad; y OBJETIVO DE CONTROL
z auditoría a la seguridad
La Gerencia de TI deberá llevar a cabo las acciones
necesarias para establecer y mantener una
4.11 Asignación de Personal de TI coordinación, comunicación y un enlace óptimos
entre la función de TI y demás interesados dentro y
OBJETIVO DE CONTROL
fuera de la función de servicios de información
Las evaluaciones de los requerimientos de (usuarios, proveedores, oficiales de seguridad,
asignación de personal deberán llevarse a cabo administradores de riesgos).
regularmente para asegurar que la función de

PO5
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
Adquisición &
cu nib
tiv
en
ia
Implementación
ec
p
te
o
ef
nf
P P S Entrega &
Soporte

Monitoreo
Manejo o administración de la inversión de TI
asegurar el financiamiento y el control de desembolsos de

recursos financieros
Inversión periódica y presupuestos operacionales

establecidos y aprobados por el negocio
• alternativas de financiamiento
• Claros responsables del presupuesto
• Control sobre los gastos actuales
• justificación de costos y concientización
sobre el costo total de la propiedad
• justificación del beneficio y
contabilización de todos los beneficios
obtenidos 3 3 3 3
• Ciclo de vida del software de aplicación y
da nes
in olo s
de la tecnología
ac ía
e
te cion
g
io
ap ente
• Alineación con las estrategias del negocio

to
a
cn
de la empresa
al
g
lic
st
• Análisis de impacto
• Administración de los activos
5 MANEJO / ADMINISTRACIÓN DE LA
INVERSIÓN EN TECNOLOGÍA DE
INFORMACIÓN
5.1 Presupuesto Operativo Anual para la Función de
Servicios de Información
OBJETIVO DE CONTROL
La alta gerencia deberá implementar un proceso de
asignación de presupuestos para asegurar que un
presupuesto operativo anual para TI sea establecido y
aprobado en línea con los planes a largo y corto plazo
de la organización, así como con los planes a largo y
corto plazo de tecnología de información. Deberán
investigarse alternativas de financiamiento.
5.2 Monitoreo de Costo - Beneficios
OBJETIVO DE CONTROL
La Gerencia deberá establecer un proceso de
monitoreo de costos que compare los costos reales
contra los presupuestados. Aun más, los posibles
beneficios derivados de la actividad de tecnología de
información deberán ser identificados y reportados.
En cuanto al monitoreo de costos, la fuente de las
cifras reales deberá tomar como base el sistema de
contabilidad de la organización, mismo que deberá
registrar, procesar y reportar rutinariamente los
costos asociados con las actividades de la función de
servicios de información. En lo referente al
monitoreo de los beneficios, se deberán definir
indicadores de medición de desempeño de alto nivel
y ser reportados y revisados regularmente para
asegurar que son adecuados.
5.3 Justificación de Costo - Beneficio
OBJETIVO DE CONTROL
Deberá establecerse un control gerencial que
garantice que los servicios que presta la función de
TI presenten un costo justificado y se encuentren en
línea con la industria. Los beneficios derivados de las
actividades de tecnología de información deberán ser
analizados en forma similar.

PO6
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
Adquisición &
cu nib
tiv
en
ia
Implementación
ec
p
te
o
ef
nf
P S Entrega &
Soporte

Monitoreo
comunicación de los objetivos y aspiraciones de la gerencia
asegurar que el usuario sea conciente y comprenda dichas

aspiraciones
políticas establecidas y transmitidas a la comunidad de

usuarios; además, se necesitan estándares para traducir
las opciones estratégicas en reglas de usuario prácticas
y utilizables
• Misión claramente articulada

• Directivas tecnológicas vinculadas con
aspiraciones de negocios
• Código de ética / conducta
• Compromiso con la calidad
• Políticas de seguridad y control interno 3
• Practicas de seguridad y control interno
da nes
in olo s
• Ejemplos de liderazgo
ac ía
e
te cion
g
io
ap ente
• Programación continua de comunicaciones

to
a
•
cn
Proveer guías y verificar su cumplimiento

al
g
lic
st
6 COMUNICACIÓN DE LOS OBJETIVOS Y 6.4 Recursos para la implementación de Políticas

ASPIRACIONES DE LA GERENCIA OBJETIVO DE CONTROL
6.1 Ambiente Positivo de Control de la La Gerencia deberá destinar recursos para la
Información implementación de sus políticas y para asegurar
OBJETIVO DE CONTROL su cumplimiento, de tal manera que ellas se
construyan dentro y formen parte integral de las
Con el fin de proveer guías para el desempeño operaciones. La Gerencia deberá también
apropiado, evitar tentaciones de acciones no monitorear la duración de la implementación de
éticas y crear disciplina donde se requiera, la sus políticas.
Gerencia deberá crear un marco de referencia y
un programa de concientización que fomente un 6.5 Mantenimiento de Políticas
ambiente de control positivo a través de toda la OBJETIVO DE CONTROL
organización. Estas actividades deberán
encauzarse hacia la integridad, los valores éticos, Las políticas deberán ser ajustadas regularmente
competencia del empleado, filosofía de la para adecuarse a las condiciones cambiantes.
Gerencia, estilo de operación y registro. Se debe Las políticas deberán ser reevaluadas, por lo
dar especial atención a los aspectos relacionados menos anualmente o al momento de presentarse
con tecnología de información incluyendo la cambios significativos en el ambiente
seguridad y el plan de continuidad del negocio. operacional o del negocio, para evaluar que sean
convenientes y apropiadas y deberán ser
6.2 Responsabilidad de la Gerencia sobre las modificadas en caso necesario. La Gerencia
Políticas deberá proporcionar un marco de referencia y un
OBJETIVO DE CONTROL proceso para las revisiones periódicas y la
aprobación de estándares, políticas, directrices y
La Gerencia deberá asumir la responsabilidad procedimientos.
completa de la formulación, el desarrollo, la
documentación, la promulgación y el control de 6.6 Cumplimiento de Políticas, Procedimientos y
políticas que cubran metas y directrices Estándares
generales. Deberán llevarse a cabo revisiones OBJETIVO DE CONTROL
regulares de las políticas para asegurar su
conveniencia. La complejidad de las políticas y La Gerencia deberá asegurar que se establezcan
los procedimientos escritos deberán estar procedimientos apropiados para determinar si el
siempre en proporción con el tamaño de la personal comprende los procedimientos y
organización y el estilo gerencial. políticas implementados, y que éste cumple con
dichas políticas y procedimientos. El
6.3 Comunicación de las Políticas de la cumplimiento de las reglas de ética, seguridad y
Organización estándares de control interno deberá ser
OBJETIVO DE CONTROL establecido por la Alta Gerencia y promoverse a
través del ejemplo.
La Gerencia deberá asegurar que las políticas
organizacionales sean claramente comunicadas, 6.7 Compromiso con la Calidad
comprendidas y aceptadas por todos los niveles OBJETIVO DE CONTROL
de la organización. El proceso de comunicación
debe estar soportado por un plan efectivo que La Gerencia de la función de servicios de
utilice diversos mecanismos de comunicación. información deberá definir, documentar y
mantener una filosofía de calidad, así como
políticas y objetivos que sean consistentes con la
filosofía y las políticas de la corporación a este
respecto. La filosofía de calidad, las políticas y
los objetivos deberán ser comprendidos,
implementados y mantenidos a todos los niveles
de la función de servicios de información.
6.8 Política sobre el Marco de Referencia para la 6.10 Políticas para Situaciones Específicas
Seguridad y el Control Interno
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Deberán ponerse en práctica medidas que asegu-
La Gerencia deberá asumir la responsabilidad ren el establecimiento de políticas para situacio-
total del desarrollo y mantenimiento de una nes específicas con el fin de documentar las deci-
política sobre el marco de referencia, que siones gerenciales con respecto al tratamiento de
establezca el enfoque general de la organización actividades, aplicaciones, sistemas o tecnologías
en cuanto a seguridad y control interno para particulares.
establecer y mejorar la protección de los recursos
6.11 Comunicación para educar y concientizar
de tecnología de información. La política deberá
(crear conciencia) sobre Seguridad de TI
cumplir con los objetivos generales del negocio y
estar dirigida a minimizar riesgos a través de OBJETIVO DE CONTROL
medidas preventivas, identificación oportuna de
Un programa de concientización sobre seguridad
irregularidades, limitación de pérdidas y
recuperación oportuna. Estas medidas deberán de TI debe comunicar las políticas de TI a cada
basarse en análisis costo-beneficio y deberá usuario de TI y asegurar el completo entendi-
priorizarse. Además, la alta gerencia deberá miento de la importancia de la seguridad de TI.
asegurar que esta política de seguridad de alto Debe transmitir el mensaje en cuanto a que la
nivel y de control interno especifique el propósito seguridad de TI es para el beneficio de toda la
y los objetivos, la estructura gerencial, el alcance organización, todos los empleados, y así mismo
dentro de la organización, la definición y todos son responsables de ella. El programa de
asignación de responsabilidades para su concientización en seguridad de TI debe estar
implementación a todos los niveles y la apoyado y representar el punto de vista de la
definición de multas y de acciones disciplinarias gerencia.
asociadas con la falta de cumplimiento con las
políticas de seguridad y control interno. Se
deberán establecer criterios para la reevaluación
periódica del marco de referencia con el objeto
de soportar responsablemente los cambios
organizacionales y los requerimientos técnicos y
ambientales.
6.9 Derechos de propiedad intelectual
OBJETIVO DE CONTROL
La gerencia deberá proveer e implementar una
política por escrito sobre derechos de propiedad
intelectual, que cubra el desarrollo de software,
tanto interno como contratado a externos.

PO7
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m lid
li
ef ida
lid
sp da
in c ia
Adquisición &
cu nib
tiv
en
ia
Implementación
ec
p
te
o
ef
nf
P P Entrega &
Soporte

Monitoreo
administración de recursos humanos
Adquirir y mantener una fuerza de trabajo motivada y

competente y maximizar las contribuciones del personal a los
procesos de TI
prácticas de administración de personal, sensatas,

justas y transparentes para reclutar, alinear, pensionar,
compensar, entrenar, promover y despedir
• reclutamiento y promoción
• Entrenamiento y requerimientos de
calificaciones
• desarrollo de conciencia
• entrenamiento cruzado y rotación de puestos
• Procedimientos para contratación, veto y
despidos 3
• evaluación objetiva y medible del desempeño
• responsabilidades sobre los cambios técnicos y
da nes
in olo s
ac ía
e
te cion
g
io
de mercado
ap ente
s
to
• Balance apropiado de recursos internos y

a
cn
al
lic
g
st
externos
• Plan de sucesión para posiciones clave
7 ADMINISTRACIÓN DE RECURSOS efectiva de sus tareas. Los programas de educación y

HUMANOS entrenamiento dirigidos a incrementar los niveles de
habilidad técnica y administrativa del personal deberán
7.1 Reclutamiento y Promoción de Personal ser revisados regularmente.
OBJETIVO DE CONTROL 7.5 Entrenamiento Cruzado o Respaldo de personal
La Gerencia deberá implementar y evaluar OBJETIVO DE CONTROL
regularmente los procesos necesarios para asegurar que
las prácticas de reclutamiento y promoción de personal La Gerencia deberá proporcionar un suficiente
tengan como base criterios objetivos y consideren entrenamiento cruzado o contar con personal de
factores como la educación, la experiencia y la respaldo para personal clave identificado, con la
responsabilidad. Estos procesos deberán estar en línea finalidad de solucionar posibles ausencias. La Gerencia
con las políticas y procedimientos generales de la debe establecer planes de sucesión para todas las
organización a este respecto, como son la contratación, funciones y posiciones claves El personal encargado de
la orientación, el entrenamiento, evaluación, asesoría, puestos sensitivos deberá tomar vacaciones sin
promoción, compensación y disciplina. La interrupciones y con una duración suficiente como para
administración debe asegurar que el conocimiento y las probar la habilidad de la organización para manejar
habilidades necesarias sean continuamente evaluadas y casos de ausencia y detectar actividades fraudulentas.
que la organización esté en la capacidad de obtener una 7.6 Procedimientos de Acreditación de Personal
fuerza de trabajo que tenga las habilidades para
satisfacer los objetivos y metas de la organización OBJETIVO DE CONTROL
7.2 Personal Calificado La Gerencia de TI deberá asegurar que su personal se

sujete a una revisión o acreditación de seguridad antes
OBJETIVO DE CONTROL de ser contratado, transferido o promovido,
La Gerencia de la función de servicios de información dependiendo de lo delicado o sensible del puesto. Un
deberá verificar regularmente que el personal que lleva empleado que no haya pasado por este procedimiento
a cabo tareas específicas esté calificado tomando como de revisión o acreditación al ser contratado por primera
base una educación, entrenamiento y/o experiencia vez, no deberá ser colocado en un puesto delicado hasta
apropiados, según se requiera. La Gerencia deberá que éste haya obtenido la acreditación de seguridad.
alentar al personal para que participe como miembro, en 7.7 Evaluación de Desempeño de los Empleados
organizaciones profesionales.
OBJETIVO DE CONTROL
7.3 Roles y Responsabilidades
La Gerencia deberá implementar un proceso de
OBJETIVO DE CONTROL evaluación de desempeño de los empleados, reforzadas
La Gerencia debe definir claramente los roles y con un efectivo sistema de recompensas que sea
responsabilidades del personal, incluyendo los diseñado para ayudar a los empleados a entender la
requisitos para adherirse a las políticas y procedimientos conexión entre su desempeño y el éxito de la
establecidos por la gerencia, el código de ética y las organización. La evaluación debe ser realizada según
prácticas profesionales. Los términos y condiciones de los estándares establecidos y las responsabilidades
los cargos debe estrechar la responsabilidad de los específicas del puesto. Los empleados deberán recibir
empleados por la seguridad de la información y el asesoría sobre su desempeño o su conducta cuando lo
control interno. requiera.
7.4 Entrenamiento de Personal 7.8 Cambio y Terminación de Trabajo
OBJETIVO DE CONTROL OBJETIVO DE CONTROL
La Gerencia deberá asegurar que los empleados reciban La Gerencia debe asegurar que se tomen acciones
orientación al ser contratados, así como entrenamiento apropiadas y a tiempo en cuanto a cambios y
y capacitación constantes con la finalidad de conservar terminación de trabajo para que los controles internos y
los conocimientos, habilidades, destrezas y conciencia de seguridad no se vean perjudicados por estos
de seguridad al nivel requerido, para la ejecución eventos.

PO8
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m lid
li
ef ida
lid
sp da
in c ia
Adquisición &
cu nib
tiv
en
ia
Implementación
ec
p
te
o
ef
nf
P P S Entrega &
Soporte

Monitoreo
aseguramiento del cumplimiento de requerimientos externos
cumplir con obligaciones legales, regulatorias y contractuales
la identificación y análisis de los requerimientos

externos en cuanto a su impacto en TI, y realizando las
medidas apropiadas para cumplir con ellos
• leyes, regulaciones y contratos

• monitoreo de desarrollos legales y
regulatorios
• Monitoreo regular sobre cumplimiento
• seguridad y ergonomía
• privacidad
• propiedad intelectual
3 3 3
da nes
in olo s
al gía
e
te cion
io
ap ente
s
to
ac
a
cn
g
lic
st
8 ASEGURAMIENTO DE CUMPLIMIENTO 8.4 Privacidad, propiedad intelectual y Flujo de

DE REQUERIMIENTOS EXTERNOS Datos
8.1 Revisión de Requerimientos Externos OBJETIVO DE CONTROL
OBJETIVO DE CONTROL La Gerencia deberá asegurar el cumplimiento de

las regulaciones sobre privacidad, propiedad
La organización deberá establecer y mantener intelectual, flujo de datos a entes externos y
procedimientos para la revisión de regulaciones criptografía aplicables a las
requerimientos externos y para la coordinación prácticas de tecnología de información de la
de estas actividades. La investigación continua organización.
deberá determinar los requerimientos externos
aplicables en la organización. Deberán revisarse 8.5 Comercio Electrónico
los requerimientos legales, gubernamentales o OBJETIVO DE CONTROL
cualquier otro requerimiento externo relacionado
con las prácticas y controles de tecnología de La Gerencia deberá asegurar que se establezcan
información. La Gerencia deberá también contratos formales para que existan acuerdos
evaluar el impacto de cualquier relación externa entre socios comerciales sobre procesos de
en las necesidades generales de información de comunicación, así como sobre estándares de
la organización, incluyendo la determinación del mensajes transaccionales, seguridad y
grado al cual las estrategias de la función de almacenamiento de datos. Cuando se realicen
servicios de información deben soportar o operaciones de intercambio en Internet, la
cumplir con los requerimientos de terceros. gerencia deberá imponer adecuados controles
para asegurar el cumplimiento de leyes locales y
8.2 Prácticas y Procedimientos para el de clientes sobre bases internacionales.
Cumplimiento de Requerimientos Externos
8.6 Cumplimiento con los Contratos de Seguros
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Las prácticas organizacionales deberán asegurar
que se lleven a cabo oportunamente las acciones La Gerencia deberá asegurar que los
correctivas apropiadas para garantizar el requerimientos de contratos de seguros sean
cumplimiento de los requerimientos externos. apropiadamente identificados y cumplidos
Además, deberán establecerse y mantenerse continuamente.
procedimientos adecuados que aseguren el
cumplimiento continuo. A este respecto la
Gerencia deberá solicitar apoyo legal en caso
necesario.
8.3 Cumplimiento de Seguridad y Ergonomía
OBJETIVO DE CONTROL
La Gerencia deberá asegurar el cumplimiento de
los estándares ergonómicos y de seguridad en el
ambiente de trabajo de los usuarios y el personal
de TI.

PO9
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
Adquisición &
cu nib
tiv
en
ia
Implementación
ec
p
te
o
ef
nf
P S P P P S S Entrega &
Soporte
análisis de riesgos Monitoreo
Soportar las decisiones de la gerencia a través del logro de los

objetivos de TI y responder a las amenazas reduciendo su
complejidad e incrementando objetivamente e identificando factores
importantes de decisión.
la participación de la propia organización en la identificación

de riesgos de TI y en el análisis de impacto, involucrando
funciones multidisciplinarias y tomando medidas costo-
efectivas para mitigar los riesgos
• Administración de riesgos de la propiedad y del

registro de las operaciones8
• diferentes tipos de riesgos de TI (por ejemplo:
tecnológicos, de seguridad, de continuidad,
regulatorios, etc.) 3 3 3 3 3
• Definir y comunicar un perfil tolerable de riesgos
da nes
in olo s
• Análisis de las causas y sesiones de tormenta de

ac ía
e
te cion
g
io
ap ente
ideas sobre riesgos

to
a
•
cn
Medición cuantitativa y/o cualitativa de los

al
g
lic
st
riesgos
• metodología de análisis de riesgos
• Plan de acción contra los riesgos
8
• Volver a realiza análisis oportunos Registro de las operaciones: Accountability
9 ANALISIS DE RIESGOS apropiado, clasificación cuantitativa de riesgos y

debe obtener insumos de las tormentas de ideas
9.1 Evaluación de Riesgos del Negocio de la Gerencia, de planeación estratégica,
OBJETIVO DE CONTROL auditorías anteriores y otros análisis. El análisis
de riesgos debe considerar el negocio,
La Gerencia deberá establecer un marco de regulaciones, aspectos legales, tecnología,
referencia de evaluación sistemática de riesgos. comercio entre socios y riesgos del recurso
Este marco de referencia deberá incorporar una humano.
evaluación regular de los riesgos de información
relevantes para el logro de los objetivos del 9.4 Medición de Riesgos
negocio, formando una base para determinar la OBJETIVO DE CONTROL
manera en la que los riesgos deben ser
manejados a un nivel aceptable. El proceso El enfoque de la evaluación de riesgos deberá
deberá proporcionar evaluaciones de riesgos asegurar que la información del análisis de la
tanto a un nivel global como a niveles identificación de riesgos genere como resultado
específicos del sistema, para nuevos proyectos y una medida cuantitativa y/o cualitativa del riesgo
para casos recurrentes y con participación al cual está expuesta el área examinada.
multidisciplinaria. La Administración deberá Asimismo, deberá evaluarse la capacidad de
asegurar que se realicen reevaluaciones y que la aceptación de riesgos de la organización.
información sobre evaluación de riesgos sea 9.5 Plan de Acción contra Riesgos
actualizada como resultado de auditorías,
inspecciones e incidentes identificados. OBJETIVO DE CONTROL
9.2 Enfoque de Evaluación de Riesgos El enfoque de evaluación de riesgos deberá
proporcionar la definición de un plan de acción
OBJETIVO DE CONTROL contra riesgos para asegurar que el costo–
La Gerencia deberá establecer un enfoque efectividad de los controles y las medidas de
general para la evaluación de riesgos que defina seguridad mitiguen los riesgos en forma
el alcance y los límites, la metodología a ser continua. El plan de acción contra los riesgos
adoptada para las evaluaciones de riesgos, las debe identificar la estrategia de riesgos en
responsabilidades y las habilidades requeridas. términos de evitar, mitigar o aceptar el riesgo.
La Gerencia debe adelantar la identificación de 9.6 Aceptación de Riesgos
soluciones para la mitigación de riesgos e
involucrarse en la identificación de OBJETIVO DE CONTROL
vulnerabilidades. Especialistas de seguridad El enfoque de la evaluación de riesgos deberá
deben realizar identificación de amenazas y asegurar la aceptación formal del riesgo residual,
especialistas de TI deben dirigir la selección de dependiendo de la identificación y la medición
controles. La calidad de las evaluaciones de del riesgo, de la política organizacional, de la
riesgos deberá estar asegurada por un método incertidumbre incorporada al enfoque de
estructurado y por asesores expertos en riesgos. evaluación de riesgos y el costo-efectividad de la
9.3 Identificación de Riesgos implementación de protecciones y controles. El
riesgo residual deberá compensarse con una
OBJETIVO DE CONTROL cobertura de seguro adecuada, compromisos de
La evaluación de riesgos deberá enfocarse al negociación contractual y autoaseguramiento.
examen de los elementos esenciales de riesgo y
las relaciones causa/efecto entre ellos. Los
elementos esenciales de riesgo incluyen activos
tangibles e intangibles, valor de los activos,
amenazas, vulnerabilidades, protecciones,
consecuencias y probabilidad de amenaza. El
proceso de identificación de riesgos debe incluir
una clasificación cualitativa y, donde sea
9.7 Selección de Garantías o Protecciones

OBJETIVO DE CONTROL
Mientras se logra un sistema de controles y
garantías razonable, apropiado y proporcional,
controles con el mas alto retorno de inversión
(ROI - return of investment) y aquellos que
provean ganancia rápida deben recibir la primera
prioridad. El sistema de control necesita además
balancear las medidas de prevención, detección,
corrección y recuperación. Adicionalmente, la
Gerencia necesita comunicar el propósito de las
medidas de control, manejar el conflicto y
monitorear continuamente la efectividad de las
medidas de control.
9.8 Compromiso con el Análisis de Riesgos
OBJETIVO DE CONTROL
La Gerencia deberá motivar el análisis de riesgos
como una herramienta importante para proveer
información para el diseño e implementación de
controles internos, en la definición del plan
estratégico de tecnología de información y en los
mecanismos de evaluación y monitoreo.

PO10
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
Adquisición &
cu nib
tiv
en
ia
Implementación
ec
p
te
o
ef
nf
P P Entrega &
Soporte
administración de proyectos Monitoreo
establecer prioridades y entregar servicios oportunamente y de

acuerdo al presupuesto de inversión
La organización identificando y priorizando proyectos en

línea con el plan operacional y la adopción y aplicación de
técnicas de administración de proyectos para cada proyecto
emprendido
• El patrocinio que la gerencia de negocios debe dar a

los proyectos
• Administración de programas
• Capacidad para el manejo de proyectos
• Involucramiento del usuario
• División de tareas, definición de puntos de control y
aprobación de fases 3 3 3 3
• Distribución de responsabilidades
da nes
in olo s
ac ía
e
• Rastreo riguroso de puntos de control y entregables

te cion
g
io
ap ente
s
to
• Costos y presupuestos de mano de obra, balance de

a
cn
al
g
lic
recursos internos y externos

st
• Planes y métodos de aseguramiento de calidad

• Programa y análisis de riesgos del proyecto
• Transición de desarrollo a operación
10 ADMINISTRACIÓN DE PROYECTOS 10.5 Aprobación del Proyecto

10.1 Marco de Referencia para la Administración OBJETIVO DE CONTROL
de Proyectos El marco de referencia de administración de
OBJETIVO DE CONTROL proyectos de la organización deberá asegurar que
la alta gerencia de la organización revise los
La Gerencia deberá establecer un marco de reportes de los estudios de factibilidad relevantes
referencia general para la administración de para cada proyecto propuesto, como una base
proyectos que defina el alcance y los límites del para fundamentar la decisión de proceder con el
mismo, así como la metodología de proyecto.
administración de proyectos a ser adoptada y
aplicada para cada proyecto emprendido. La 10.6 Aprobación de las Fases del Proyecto
metodología deberá cubrir, como mínimo, la OBJETIVO DE CONTROL
asignación de responsabilidades, la
determinación de tareas, la elaboración de El marco de referencia de administración de
presupuestos de tiempo y recursos, los avances, proyectos de la organización deberá disponer que
los puntos de revisión y las aprobaciones. los Gerentes designados en representación de las
funciones del usuario y de los servicios de TI
10.2 Participación del Departamento Usuario en la aprueben el trabajo realizado en cada fase del
Iniciación de Proyectos ciclo antes de iniciar los trabajos de la siguiente
OBJETIVO DE CONTROL fase.
El marco de referencia de la administración de 10.7 Plan Maestro del Proyecto
proyectos de la organización deberá fomentar la OBJETIVO DE CONTROL
participación del departamento usuario afectado
en la definición y autorización de cualquier La Gerencia deberá asegurar que, para cada
proyecto de desarrollo, implementación o proyecto aprobado, se cree un plan maestro
modificación. adecuado para mantener el control del proyecto
a través de todo su desarrollo e incluya un
10.3 Miembros y Responsabilidades del Equipo del método de monitoreo del tiempo y los costos
Proyecto incurridos durante su vida. El contenido del
OBJETIVO DE CONTROL plan del proyecto debe contener objetivos,
recursos y responsabilidades requeridos y debe
El marco de referencia de administración de proveer información que permita a la Gerencia
proyectos de la organización deberá especificar medir el progreso del proyecto.
las bases para asignar a los miembros del
personal al proyecto y definir las 10.8 Plan de Aseguramiento de la Calidad del
responsabilidades y autoridades de los miembros Sistema
del equipo del proyecto. OBJETIVO DE CONTROL
10.4 Definición del Proyecto La Gerencia deberá asegurar que la
OBJETIVO DE CONTROL implementación de un sistema nuevo o la
modificación de otro incluya la preparación de
El marco de referencia de administración de un plan de calidad que sea integrado
proyectos de la organización deberá generar la posteriormente al plan maestro del proyecto y
creación de un estatuto claro y por escrito que que sea formalmente revisado y acordado por
defina la naturaleza y el alcance de cada todas las partes interesadas.
proyecto de implementación antes de que los
trabajos del mismo empiecen.
10.9 Planeación de Métodos de Aseguramiento 10.12 Plan de Entrenamiento

Las tareas de aseguramiento deberán ser El marco de referencia de administración de pro-
definidas durante la fase de planeación del marco yectos de la organización deberá requerir la crea-
de referencia de administración de proyectos. ción de un plan de entrenamiento para cada pro-
Las tareas de aseguramiento deberán apoyar la yecto de desarrollo, implementación y modifica-
acreditación de sistemas nuevos o modificados y ción.
garantizar que los controles internos y los
dispositivos de seguridad cumplan con los 10.13 Plan de Revisión Post - Implementación
requerimientos necesarios. OBJETIVO DE CONTROL
10.10 Administración Formal de Riesgos de El marco de referencia de administración de pro-
Proyectos yectos de la organización deberá disponer que,
como parte integral de las actividades del equipo
OBJETIVO DE CONTROL del proyecto, se desarrolle un plan de revisión
La Gerencia deberá implementar un programa de post - implementación para cada sistema de in-
administración formal de riesgos de proyectos formación nuevo o modificado, con la finalidad
para eliminar o minimizar los riesgos asociados de determinar si el proyecto ha generado los be-
con proyectos individuales (por ejemplo, neficios planeados.
identificación y control de áreas o eventos que
tengan la posibilidad de causar cambios no
deseados).
10.11 Plan de Prueba
OBJETIVO DE CONTROL
El marco de referencia de administración de
proyectos de la organización deberá requerir la
creación de un plan de pruebas para cada
proyecto de desarrollo, implementación y
modificación.

PO11
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
Adquisición &
cu nib
tiv
en
ia
Implementación
ec
p
te
o
ef
nf
P P P S Entrega &
Soporte
Administración de la calidad Monitoreo
satisfacer los requerimientos del cliente de TI
la planeación, implementación y mantenimiento de estándares

de administración de calidad y sistemas provistos para las
distintas fases de desarrollo, claros entregables y
responsabilidades explícitas
• Establecimiento de una cultura de calidad

• Planes de calidad
• responsabilidades de aseguramiento de la calidad
• Practicas de control de calidad
• metodología del ciclo de vida de desarrollo de
sistemas
• pruebas y documentación de sistemas y programas
• revisiones y reporte de aseguramiento de calidad 3 3 3 3
• Entrenamiento e involucramiento del usuario final y
da nes
in olo s
ac ía
e
del personal de aseguramiento de calidad

te cion
g
io
ap ente
s
to
• Desarrollo de una base de conocimiento de

a
cn
al
g
lic
aseguramiento de calidad
st
• Benchmarking contra las normas de la industria
11 ADMINISTRACIÓN DE LA CALIDAD 11.5 Metodología del Ciclo de Vida de Desarrollo

de Sistemas
11.1 Plan General de Calidad
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La alta gerencia de la organización deberá definir
La alta gerencia deberá desarrollar y mantener e implementar estándares de sistemas de
regularmente un plan general de calidad basado información y adoptar una metodología del ciclo
en los planes organizacionales y de tecnología de de vida de desarrollo de sistemas que gobierne el
información a largo plazo. El plan deberá proceso de desarrollo, adquisición,
promover la filosofía de mejora continua y implementación y mantenimiento de sistemas de
contestar a las preguntas básicas de qué, quién y información computarizados y tecnologías
cómo. relacionadas. La metodología del ciclo de vida
11.2 Enfoque de Aseguramiento de Calidad de desarrollo de sistemas elegida deberá ser la
apropiada para los sistemas a ser desarrollados,
OBJETIVO DE CONTROL adquiridos, implementados y mantenidos.
La Gerencia deberá establecer un enfoque 11.6 Metodología del Ciclo de Vida de Desarrollo
estándar con respecto al aseguramiento de de Sistemas para Cambios Mayores a la
calidad, que cubra tanto las actividades de Tecnología Actual
aseguramiento de calidad generales como las
específicas de un proyecto. El enfoque deberá OBJETIVO DE CONTROL
determinar el (los) tipo(s) de actividades de En el caso de requerirse cambios mayores a la
aseguramiento de calidad (tales como revisiones, tecnología actual, como en el caso de adquisición
auditorías, inspecciones, etc.) que deben de nueva tecnología, la Gerencia deberá asegurar
realizarse para alcanzar los objetivos del plan el cumplimiento de la metodología del ciclo de
general de calidad. Asimismo deberá requerir vida de desarrollo de sistemas, .
una revisión específica de aseguramiento de
calidad. 11.7 Actualización de la Metodología del Ciclo de
Vida de Desarrollo de Sistemas
11.3 Planeación del Aseguramiento de Calidad
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La alta gerencia deberá implementar una revisión
La Gerencia deberá implementar un proceso de periódica de su metodología del ciclo de vida de
planeación de aseguramiento de calidad para desarrollo de sistemas para asegurar que incluya
determinar el alcance y la duración de las técnicas y procedimientos actuales generalmente
actividades de aseguramiento de calidad. aceptados.
11.4 Revisión del Aseguramiento de la Calidad 11.8 Coordinación y Comunicación
sobre el Cumplimiento de Estándares y
Procedimientos de TI OBJETIVO DE CONTROL
OBJETIVO DE CONTROL La Gerencia deberá establecer un proceso para
asegurar la coordinación y comunicación
La Gerencia deberá asegurar que las estrecha entre los clientes de la función TI y los
responsabilidades asignadas al personal de implementadores de sistemas. Este proceso
aseguramiento de calidad incluyan una revisión deberá ocasionar que los métodos estructurados
del cumplimiento general de los estándares y que utilice la metodología del ciclo de vida de
procedimientos de TI. desarrollo de sistemas aseguren la provisión de
soluciones de tecnología de información de
calidad que satisfagan las demandas de negocio.
La Gerencia deberá promover una organización
que se caracterice por la estrecha cooperación y
comunicación a lo largo del ciclo de vida de
desarrollo de sistemas.
11.9 Marco de Referencia de Adquisición y requerimientos de pruebas, verificación,

Mantenimiento para la Infraestructura de documentación y retención para probar las
Tecnología unidades de software y los programas
agregados9, creados como parte de cada
OBJETIVO DE CONTROL
proyecto de desarrollo o modificación de
Deberá establecerse un marco de referencia sistemas de información.
general referente a la adquisición y
11.13 Estándares para Pruebas de Sistemas
mantenimiento de la infraestructura de
tecnología. Los diferentes pasos que deben ser OBJETIVO DE CONTROL
seguidos con respecto a la infraestructura de
La metodología del ciclo de vida de desarrollo
tecnología (tales como adquisición;
de sistemas de la organización debe
programación, documentación y pruebas;
proporcionar estándares que cubran los
establecimiento de parámetros; mantenimiento
requerimientos de pruebas, verificación,
y aplicación de correcciones) deberán estar
documentación y retención para la prueba total
regidos por y mantenerse en línea con el marco
del sistema, como parte de cada proyecto de
de referencia para la adquisición y
desarrollo o modificación de sistemas de
mantenimiento de la infraestructura de
información.
tecnología.
11.14 Pruebas Piloto/En Paralelo
11.10 Relaciones con Terceras Partes como
Implementadores OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La Gerencia deberá crear un proceso para de sistemas de la organización debe definir las
asegurar las buenas relaciones de trabajo con los condiciones bajo las cuales deberán conducirse
implementadores externos que pertenezcan a las pruebas piloto o en paralelo de sistemas
terceras partes. Dicho proceso deberá disponer nuevos y/o actuales.
que el usuario y el implementador estén de
acuerdo sobre los criterios de aceptación, el 11.15 Documentación de las Pruebas del Sistema
manejo de cambios, los problemas durante el OBJETIVO DE CONTROL
desarrollo, las funciones de los usuarios, las
instalaciones, las herramientas, el software, los La metodología del ciclo de vida de desarrollo
estándares y los procedimientos. de sistemas de la organización debe disponer,
como parte de cualquier proyecto de desarrollo,
11.11 Estándares para la Documentación de implementación o modificación de sistemas de
Programas información, que se conserve la documentación
OBJETIVO DE CONTROL de los resultados de las pruebas del sistema.
La metodología del ciclo de vida de desarrollo 11.16 Evaluación del Aseguramiento de la Calidad
de sistemas deberá incorporar estándares para la sobre el Cumplimiento de Estándares de
documentación de programas que hayan sido Desarrollo
comunicados y ratificados al personal
interesado. La metodología deberá asegurar que OBJETIVO DE CONTROL
la documentación creada durante el desarrollo El enfoque de aseguramiento de calidad de la
del sistema de información o durante la organización deberá requerir que una revisión
modificación de los proyectos coincida con post - implementación de un sistema de
estos estándares. información operacional evalúe si el equipo
11.12 Estándares para Pruebas de Programas encargado del proyecto, cumplió con las
estipulaciones de la metodología del ciclo de
OBJETIVO DE CONTROL vida de desarrollo de sistemas.
de sistemas de la organización debe
proporcionar estándares que cubran los 9
Agregados (aggregated)
11.17 Revisión del Aseguramiento de Calidad sobre 11.19 Reportes de Revisiones de Aseguramiento de
el Logro de los Objetivos de TI Calidad
El enfoque de aseguramiento de calidad deberá Los reportes de revisiones de aseguramiento de
incluir una revisión de hasta qué punto los calidad deberán ser preparados y enviados a la
sistemas particulares y las actividades de Gerencia de los departamentos usuarios y de la
desarrollo de aplicaciones han alcanzado los función de servicios de información (TI).
objetivos de la función de servicios de
información.
11.18 Métricas de calidad
OBJETIVO DE CONTROL
La gerencia deberá definir y utilizar métricas
para medir los resultados de actividades,
evaluando si las metas de calidad han sido
alcanzadas.
(AI)
ADQUISICIÓN E IMPLEMENTACIÓN

AI1
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
Adquisición &
in c ia
cu nib
tiv
en
Implementación
ia
ec
p
te
o
ef
nf
P S Entrega &
Soporte

Monitoreo
Identificación de soluciones automatizadas
asegurar un efectivo y eficiente enfoque para satisfacer los

requerimientos del usuario
Una objetiva y clara identificación y análisis de oportunidades

alternativas comparadas contra los requerimientos de los
usuarios
• Conocimientos de soluciones disponibles en el

mercado
• Metodologías de Adquisición e implementación
• Involucramiento del usuario en el proceso de
compra
• Alineamiento con las estrategias de la empresa y de
TI 3 3 3
• definición de requerimientos de información
da nes
in olo s
• estudios de factibilidad ( de costo-beneficio,

ac ía
e
te cion
g
io
ap ente
alternativas, etc)
to
a
•
cn
Requerimientos de funcionalidad, operatividad,

al
g
lic
st
aceptación y sostenimiento
• Cumplimiento con la arquitectura de información
• Costo - efectividad de la seguridad y los controles
• Responsabilidades de los proveedores
1 IDENTIFICACIÓN DE SOLUCIONES especificaciones para una RFP (Solicitud de

AUTOMATIZADAS Propuesta)11 cuando se negocie con un proveedor
de servicios externo.
1.1 Definición de Requerimientos de Información
1.5 Estudio de Factibilidad Tecnológica
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La metodología del ciclo de vida de desarrollo de
sistemas de la organización debe asegurar que La metodología del ciclo de vida de desarrollo de
los requerimientos del negocio ya satisfechos por sistemas de la organización debe estipular un
el sistema actual y a ser satisfechos por el examen de factibilidad tecnológica de cada
sistema nuevo propuesto o modificado (software, alternativa con la finalidad de satisfacer los
datos e infraestructura), estén claramente requerimientos de negocio establecidos para el
definidos antes de aprobar cualquier proyecto de desarrollo de un proyecto propuesto de cualquier
desarrollo, implementación o modificación. La sistema nuevo o modificado.
metodología del ciclo de vida de desarrollo de 1.6 Estudio de Factibilidad Económica
sistemas deberá exigir que los requerimientos de
las soluciones funcionales y operacionales sean OBJETIVO DE CONTROL
especificados, incluyendo desempeño, La metodología del ciclo de vida de desarrollo de
protección, confiabilidad, compatibilidad, sistemas de la organización debe generar, en
seguridad y legislación. cada proyecto de desarrollo, implementación y
1.2 Formulación de Acciones Alternativas modificación de sistemas de información
propuesto, el análisis de los costos y beneficios
OBJETIVO DE CONTROL asociados con cada alternativa considerada para
La metodología del ciclo de vida de desarrollo de satisfacer los requerimientos del negocio
sistemas de la organización debe proveer el establecidos.
análisis de las acciones alternativas que deberán 1.7 Arquitectura de Información
satisfacer los requerimientos del negocio,
establecidos para un sistema nuevo o OBJETIVO DE CONTROL
modificado. La Gerencia deberá asegurar que se tome en
1.3 Formulación de Estrategias de Adquisición consideración el modelo de datos de la empresa
al definir las soluciones y analizar la factibilidad
OBJETIVO DE CONTROL de las mismas.
La adquisición, desarrollo y mantenimiento de 1.8 Reporte de Análisis de Riesgos
sistemas de información debe ser considerada en
el contexto de la tecnología de información de la OBJETIVO DE CONTROL
organización y en sus planes a largo y corto La metodología del ciclo de vida de desarrollo de
plazo. La metodología del ciclo de vida de sistemas de la organización debe asegurar, en
desarrollo de sistemas de la organización debe cada proyecto de desarrollo, implementación y
estipular un plan de estrategia de adquisición del modificación de sistemas de información
software, definiendo si el software será propuesto, el análisis y la documentación de las
“adquirido del anaquel10”, desarrollados amenazas a la seguridad, puntos de impacto y
internamente, a través de contratación, por debilidad y protecciones factibles de seguridad y
mejoramiento del software existente o mediante control interno, con la finalidad de reducir o
una combinación de estos.
1.4 Requerimientos de Servicios de Terceros 10
Del anaquel (off-the-shelf): se dice de productos de soft-
OBJETIVO DE CONTROL ware terminados que pueden adquirirse directamente de un
proveedor o distribuidor.
11
La metodología del ciclo de vida de desarrollo de Solicitud de propuesta (request for proposal, RFP): invi-
sistemas de la organización debe estipular la tación que se extiende a proveedores para que presenten
evaluación de requerimientos y las una propuesta.—Términos de referencia
eliminar el riesgo identificado. Esto deberá 1.12 Selección del Software del Sistema
llevarse a cabo en línea con el marco de
OBJETIVO DE CONTROL
referencia general de evaluación de riesgos.
La Gerencia deberá asegurar que la función de
1.9 Costo - efectivo de los controles de Seguridad
servicios de información cumpla con un
OBJETIVO DE CONTROL procedimiento estándar para identificar todos los
programas de software potenciales que deberán
La Gerencia deberá asegurar que los costos y
satisfacer sus requerimientos operacionales.
beneficios de seguridad sean examinados
cuidadosamente en términos monetarios y no 1.13 Control de Abastecimiento
monetarios, para garantizar que los costos de los
OBJETIVO DE CONTROL
controles no excedan a los beneficios. La
decisión requerirá la firma de aprobación formal La Gerencia deberá desarrollar e implementar un
de la Gerencia. Todos los requerimientos de enfoque central de abastecimientos que describa un
seguridad deberán ser identificados en la fase de conjunto común de procedimientos y estándares a
requerimientos de un proyecto y justificados, ser seguidos en la adquisición de hardware, software
acordados y documentados como parte del caso y servicios relacionados con la tecnología de
total del negocio para un sistema de información. información. Los productos deberán ser revisados y
Los requerimientos de seguridad para la probados antes de su utilización y pago.
administración de la continuidad del negocio
deben ser definidos para asegurar que la 1.14 Adquisición de Productos de Software
activación planeada, la recuperación y la OBJETIVO DE CONTROL
reactivación de procesos son soportadas por la
solución propuesta. La adquisición de productos de software deberá
seguir las políticas de adquisición de la
1.10 Diseño de Pistas de Auditoría organización.
OBJETIVO DE CONTROL 1.15 Mantenimiento de Software de Terceras
La metodología del ciclo de vida de desarrollo de Partes
sistemas de la organización debe asegurar que OBJETIVO DE CONTROL
existan mecanismos adecuados para que las La Gerencia deberá asegurar que, para el
pistas de auditoría estén disponibles o que dichos software con licencia adquirido a terceras partes,
mecanismos puedan ser desarrollados para la los proveedores cuenten con los procedimientos
solución identificada y seleccionada. Los apropiados para validar, proteger y mantener los
mecanismos deberán proporcionar la capacidad derechos de integridad de los productos de
de proteger datos sensitivos (ej. identificación de software. Deberá tomarse en consideración el
usuarios -user ID’s- contra divulgación o mal soporte del producto en cualquier acuerdo de
uso) mantenimiento relacionado con el producto
entregado.
1.11 Ergonomía
OBJETIVO DE CONTROL 1.16 Contratos de Programación de Aplicaciones
La Gerencia deberá asegurar que los proyectos OBJETIVO DE CONTROL

de desarrollo, implementación y cambios La metodología del ciclo de vida de desarrollo de
emprendidos por la función de TI, tomen en sistemas de la organización debe asegurar que
consideración los aspectos ergonómicos los servicios de programación contratados estén
asociados con la introducción de soluciones justificados con una solicitud de servicios por
automatizadas. escrito elaborada por un miembro designado de
la función de servicios de información. El
contrato deberá estipular que el software, la
12
Entregable (deliverable): un producto formal que es en-
tregado como parte final de un proceso o trabajo.
documentación y otros elementos entregables12 1.18 Aceptación de Tecnología

estén sujetos a pruebas y revisiones antes de ser
aceptados. Además, deberá asegurar que los OBJETIVO DE CONTROL
productos finales incluidos en el contrato de La Gerencia deberá asegurar que, dentro del con-
servicios de programación sean revisados y trato con el proveedor, se acuerde un plan de
probados de acuerdo con los estándares definidos aceptación para la tecnología específica a ser
por el grupo de aseguramiento de calidad de la proporcionada, el cual defina los procedimientos
función de servicios de información y otras y criterios de aceptación. Además, las pruebas
partes interesadas (como usuarios, de aceptación establecidas en el plan, deberán
administradores de proyecto, etc.) antes de pagar incluir inspección, pruebas de funcionalidad y
por el trabajo y aprobar el producto final. Las seguimiento de cargas de trabajo.
pruebas que deberán ser incluidas en las
especificaciones del contrato deberán consistir en
pruebas del sistema, pruebas de integración,
pruebas de hardware y componentes, pruebas de
procedimientos, pruebas de carga y estrés,
pruebas de afinación y desempeño, pruebas de
regresión, pruebas de aceptación del usuario y,
finalmente, pruebas piloto del sistema total, con
la finalidad de evitar fallas no esperadas del
mismo.
1.17 Aceptación de Instalaciones
OBJETIVO DE CONTROL
La Gerencia deberá asegurar que, dentro del
contrato con el proveedor, se acuerde un plan de
aceptación para las instalaciones que se
proporcionarán, el cual defina los
procedimientos y criterios de aceptación.
Además, deberán llevarse a cabo pruebas de
aceptación para garantizar que la instalación y el
medio ambiente cumplan con los requerimientos
especificados en el contrato.

AI2
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
Adquisición &
in c ia
cu nib
tiv
en
Implementación
ia
ec
p
te
o
ef
nf
P P S S S Entrega &
Soporte

Monitoreo
adquisición y mantenimiento del software de aplicación
proporcionar funciones automatizadas que soporten

efectivamente los procesos del negocio
la definición de declaraciones específicas sobre

requerimientos funcionales y operacionales y una
implementación estructurada con entregables claros
• pruebas funcionales y de aceptación

• controles de aplicación y requerimientos
de seguridad
• Requerimientos de documentación
• Ciclo de vida del software de aplicación
• Arquitectura en la información empresarial
• Metodología para el ciclo de vida de 3
desarrollo del sistema
da nes
in olo s
• Interfase usuario-maquina
ac ía
e
te cion
g
io
ap ente
• Personalización de paquetes
to
a
cn
al
g
lic
st
2 ADQUISICIÓN Y MANTENIMIENTO DEL 2.5 Especificaciones de Programas

SOFTWARE DE APLICACIÓN OBJETIVO DE CONTROL
2.1 Métodos de Diseño La metodología del ciclo de vida de desarrollo de
OBJETIVO DE CONTROL sistemas de la organización debe requerir la
preparación de especificaciones detalladas por
La metodología del ciclo de vida de desarrollo de escrito, de los programas para cada proyecto de
sistemas de la organización debe estipular que se desarrollo o modificación de sistemas de
apliquen técnicas y procedimientos apropiados, información. Además, la metodología deberá
incluyendo una estrecha relación con los garantizar que las especificaciones de los
usuarios del sistema, en la creación de las programas correspondan a las especificaciones
especificaciones de diseño para cada nuevo del diseño del sistema.
proyecto de desarrollo de sistemas de
información, verificando las especificaciones del 2.6 Diseño para la Recopilación13 de Datos Fuente
diseño contra los requerimientos del usuario. OBJETIVO DE CONTROL
2.2 Cambios Significativos a Sistemas Actuales La metodología del ciclo de vida de desarrollo de
OBJETIVO DE CONTROL sistemas de la organización debe requerir la
especificación de mecanismos adecuados, para la
La Gerencia deberá asegurar que, en caso de recopilación y entrada de datos para cada
presentarse la necesidad de realizar proyecto de desarrollo o modificación de
modificaciones significativas a los sistemas sistemas de información.
actuales, se siga un proceso de desarrollo similar
al utilizado en el desarrollo de sistemas nuevos. 2.7 Definición y Documentación de
Requerimientos de Entrada de Datos
2.3 Aprobación del Diseño
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La metodología del ciclo de vida de desarrollo de sistemas de la organización debe requerir que
sistemas de la organización requerirá que las existan mecanismos adecuados para definir y
especificaciones de diseño para todos los documentar los requerimientos de entrada de
proyectos de desarrollo y modificación de datos para cada proyecto de desarrollo o
sistemas de información, sean revisados y modificación de sistemas de información.
aprobados por la Gerencia, por los
departamentos usuarios afectados y por la alta 2.8 Definición de Interfases
gerencia de la organización, cuando esto sea OBJETIVO DE CONTROL
pertinente.
2.4 Definición y Documentación de sistemas de la organización debe estipular que se
Requerimientos de Archivos especifiquen, diseñen y documenten
OBJETIVO DE CONTROL apropiadamente todas las interfases internas y
externas.
sistemas de la organización debe asegurar la
aplicación de un procedimiento apropiado para la
definición y documentación del formato de los
archivos para cada proyecto de desarrollo y
modificación de sistemas de información. Este
procedimiento deberá garantizar el respeto a las
reglas de diccionario de datos.
13
Recopilación (collection): recabar o reunir información.
2.9 Interfase Usuario-Máquina 2.13 Disponibilidad como Factor Clave de Diseño

La metodología del ciclo de vida de desarrollo de La metodología del ciclo de vida de desarrollo de
sistemas de la organización debe asegurar el sistemas de la organización debe asegurar que la
desarrollo de una interfase entre el usuario y la disponibilidad sea considerada en el proceso de
máquina fácil de utilizar y que sea capaz de diseño de nuevos o modificados sistemas de
autodocumentarse (por medio de funciones de ayuda información en la fase más temprana posible. La
en línea). disponibilidad debe ser analizada y, en caso
necesario, incrementada a través de mejoras de
mantenimiento y confiabilidad.
Requerimientos de Procesamiento
2.14 Consideraciones de Integridad de TI para el
OBJETIVO DE CONTROL
Software de Programas de Aplicación
OBJETIVO DE CONTROL
sistemas de la organización debe requerir que
existan mecanismos adecuados para definir y La organización deberá establecer
documentar los requerimientos de procesamiento procedimientos para asegurar, cuando esto
para cada proyecto de desarrollo o modificación aplique, que los programas de aplicación
de sistemas de información. contengan instrucciones que verifiquen
rutinariamente las tareas realizadas por el
software, para apoyar el aseguramiento de la
Requerimientos de Salida de Datos
integridad de los datos y el cual haga posible la
OBJETIVO DE CONTROL restauración de la integridad a través de
procedimientos de recuperación en reversa14 u
otros medios.
sistemas de la organización debe requerir que
existan mecanismos adecuados para definir y 2.15 Pruebas de Software de Aplicación
documentar los requerimientos de salida de datos
OBJETIVO DE CONTROL
para cada proyecto de desarrollo o modificación
de sistemas de información Deberán aplicarse pruebas unitarias, pruebas de
aplicación, pruebas de integración y pruebas de
2.12 Controlabilidad
carga y estrés, de acuerdo con el plan de prueba
OBJETIVO DE CONTROL del proyecto y con los estándares de pruebas
establecidos antes de ser aprobado por el usuario.
Se deberán aplicar adecuadas medidas de
sistemas de la organización debe requerir que se seguridad para prevenir divulgación de
especifiquen mecanismos adecuados, para garantizar
información sensitiva durante las pruebas.
que se identifiquen los requerimientos de seguridad y
control internos para cada proyecto de desarrollo o
modificación de sistemas de información. La
metodología deberá asegurar además que los
sistemas de información estén diseñados para incluir
controles de aplicación que garanticen que los datos
de entrada y salida estén completos, sean precisos,
oportunos y autorizados. Deberá llevarse a cabo una
evaluación de sensibilidad durante el inicio del
desarrollo o modificación del sistema. Los aspectos
básicos de seguridad y control interno de un sistema
a ser desarrollado o modificado deberán ser
evaluados junto con el diseño conceptual del mismo, 14
En reversa (rollback): estrategia de recuperación de bases
con el fin de integrar los conceptos de seguridad en de datos que se utiliza para restaurar un estado previo de
el diseño, tan pronto como sea posible. los datos
2.16 Materiales de Consulta y Soporte para

Usuarios
OBJETIVO DE CONTROL
sistemas de la organización debe asegurar que se
preparen manuales de referencia y soporte adecuados
para los usuarios (preferiblemente en formato
electrónico) como parte de cada proyecto de
desarrollo o modificación de sistemas de
información
2.17 Reevaluación del Diseño del Sistema

OBJETIVO DE CONTROL
sistemas de la organización debe asegurar que el
diseño del sistema sea reevaluado siempre que
ocurran discrepancias técnicas y/o lógicas
durante el desarrollo o mantenimiento del
sistema.

AI3
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
Adquisición &
in c ia
cu nib
tiv
en
Implementación
ia
ec
p
te
o
ef
nf
P P S Entrega &
Soporte

Monitoreo
adquisición y mantenimiento de la infraestructura tecnológica
proporcionar las plataformas apropiadas para soportar las

aplicaciones de negocios
la juiciosa adquisición de hardware y software,

estandarización del software, análisis del rendimiento
del hardware y de software y la administración
consistente del sistema
• Cumplimiento con las direcciones y

estándares de la infraestructura tecnológica
• evaluación de tecnología
• Instalación, mantenimiento y control de
cambios
• Actualización, conversión y planes de 3
migración
da nes
in olo s
• Uso de infraestructuras y/o recursos

ac ía
e
te cion
g
io
ap ente
internos y externos
to
a
•
cn
Responsabilidades y relaciones del

al
g
lic
st
proveedor
• Administración de cambios
• Costo total de propiedad
• Seguridad del software del sistema
3 ADQUISICIÓN Y MANTENIMIENTO DE 3.5 Mantenimiento del Software del Sistema

INFRAESTRUCTURA TECNOLOGICA OBJETIVO DE CONTROL
3.1 Evaluación de Nuevo Hardware y Software Deberán implementarse procedimientos para
OBJETIVO DE CONTROL asegurar que el software del sistema sea
mantenido de acuerdo al marco de referencia de
Criterios de selección de hardware y software adquisición y mantenimiento para infraestructura
deberán basarse en especificaciones funcionales de tecnología.
para el nuevo sistema o para el que se va a
modificar y se deben identificar los 3.6 Controles para Cambios del Software del
requerimientos mandatorios y opcionales. Sistema
Deberán establecerse procedimientos para OBJETIVO DE CONTROL
evaluar el impacto de nuevo hardware y software
sobre el rendimiento del sistema en general. Deberán implementarse procedimientos para
asegurar que las modificaciones realizadas al
3.2 Mantenimiento Preventivo para Hardware software del sistema sean controladas de acuerdo
OBJETIVO DE CONTROL con los procedimientos de administración de
cambios de la organización.
La Gerencia de la función de servicios de 3.7 Uso y monitoreo de los utilitarios (utilities) del
información deberá agendar o programar el sistema
mantenimiento rutinario y periódico del
hardware con el fin de reducir la frecuencia y el OBJETIVO DE CONTROL
impacto de fallas de rendimiento.
Políticas y técnicas deben ser implementadas
3.3 Seguridad del Software del Sistema
para usar, monitorear y evaluar el uso de los
OBJETIVO DE CONTROL utilitarios del sistema. Las responsabilidades por
el uso de utilitarios de software sensitivo deben
La Gerencia de la función de servicios de
estar claramente definidas y entendidas por
información deberá asegurar que la instalación
los desarrolladores y el uso de los utilitarios
del software del sistema no arriesgue la
debe ser monitoreado y registrado.
seguridad de los datos y programas ya
almacenados en el mismo. Deberá prestarse gran
atención a la instalación y mantenimiento de los
parámetros del software del sistema.
3.4 Instalación del Software del Sistema
OBJETIVO DE CONTROL
Deberán implementarse procedimientos para
asegurar que el software del sistema sea
instalado de acuerdo al marco de referencia de
adquisición y mantenimiento de infraestructura
de tecnología. Las pruebas deberán ser llevadas
a cabo antes de autorizarse su utilización en
ambiente de producción. Un grupo independiente
de usuarios y desarrolladores debe controlar el
traslado de programas y datos entre las librerías.

AI4
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
Adquisición &
in c ia
cu nib
tiv
en
Implementación
ia
ec
p
te
o
ef
nf
P P S S S Entrega &
Soporte

Monitoreo
Desarrollo y mantenimiento de Procedimientos
asegurar el uso apropiado de las aplicaciones y de las

soluciones tecnológicas establecidas
un enfoque estructurado del desarrollo de manuales de

procedimientos para las operaciones y para los
usuarios, requerimientos de servicio y material de
entrenamiento
• Rediseño de los procesos de negocios

• Tratamiento de procedimientos como
cualquier otra tecnología disponible
• Desarrollo a tiempo
• procedimientos y controles de usuarios
• procedimientos y controles operacionales 3 3 3 3
• materiales de entrenamiento
da nes
in olo s
• Administración de cambios
ac ía
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st
4 DESARROLLO Y MANTENIMIENTO DE
PROCEDIMIENTOS
4.1 Requerimientos Operacionales y Niveles de
Servicios
OBJETIVO DE CONTROL
sistemas de la organización debe asegurar la
definición oportuna de requerimientos
operacionales y niveles de servicio.
4.2 Manual de Procedimientos para Usuario
OBJETIVO DE CONTROL
preparen y actualicen manuales adecuados de
procedimientos para los usuarios como parte de
cada proyecto de desarrollo o modificación de
sistemas de información.
4.3 Manual de Operaciones
OBJETIVO DE CONTROL
prepare y se mantenga actualizado un manual de
operaciones adecuado como parte de cada
proyecto de desarrollo o modificación de
sistemas de información.
4.4 Material de Entrenamiento
OBJETIVO DE CONTROL
desarrollen materiales de entrenamiento
adecuados como parte de cualquier proyecto de
desarrollo, implementación o modificación de
sistemas de información. Estos materiales
deberán enfocarse al uso del sistema en la
práctica diaria.

AI5
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
Adquisición &
in c ia
cu nib
tiv
en
Implementación
ia
ec
p
te
o
ef
nf
P S S Entrega &
Soporte
instalación y acreditación de sistemas

Monitoreo
verificar y confirmar que la solución sea adecuada para el

propósito deseado
la realización de una migración de instalación,

conversión y plan de aceptación adecuadamente
formalizados
• Entrenamiento del usuario y personal de
operaciones de TI
• Conversión de datos
• Una prueba ambiental reflejando al
ambiente real
• Acreditación
• revisiones post implementación y
retroalimentación
• Participación del usuario final en las
3 3 3 3 3
pruebas
• Planes continuos de mejoramiento de
da nes
in olo s
ac ía
e
te cion
calidad
g
io
ap ente
s
to
• Requerimientos de continuidad del negocio

a
cn
al
g
lic
• Medición de capacidad y desempeño a

st
través del sistema

• Acuerdos y criterios de aceptación
5 INSTALACIÓN Y ACREDITACIÓN DE 5.5 Conversión de Datos

SISTEMAS OBJETIVO DE CONTROL
5.1 Entrenamiento La Gerencia debe requerir que el plan de conversión de
OBJETIVO DE CONTROL datos este preparado, definiendo los métodos de
recolección y verificación de los datos que serán
El personal de los departamentos usuarios convertidos e identificando y resolviendo cualquier
afectados y el grupo de operaciones de la función error encontrado durante la conversión. Las pruebas a
de servicios de información deberán estar ser desarrolladas incluyen la comparación, del archivo
entrenados de acuerdo al plan de entrenamiento original, y el convertido, revisión de la compatibilidad
definido y los materiales relacionados, como de los datos transformados con el nuevo sistema,
parte de cualquier proyecto de desarrollo, revisión de los archivos maestros después de la
implementación o modificación de sistemas de conversión para asegurar la precisión de los datos de los
información. archivo maestros y así asegurar que las transacciones
realizadas actualicen tanto a los archivos maestros
5.2 Dimensionamiento15 del Desempeño del
antiguos como los nuevos durante el periodo entre la
Software de Aplicación
conversión inicial y la implementación final. Una
OBJETIVO DE CONTROL verificación detallada de los procesos iniciales del
nuevo sistema deben ser desarrollados para confirmar
El dimensionamiento (optimización) del
una implementación exitosa. La gerencia debe asegurar
desempeño del software de aplicación deberá
que la responsabilidad de la transformación exitosa de
establecerse como una parte integral de la
datos recaiga sobre los propietarios del sistema.
metodología del ciclo de vida de desarrollo de
sistemas de la organización para predecir los 5.6 Planes y estrategias de prueba
recursos requeridos para operar software nuevo o
OBJETIVO DE CONTROL
significativamente modificado.
Los planes y las estrategias de prueba deben
5.3 Plan de implementación
estar preparadas y autorizadas por el propietario
OBJETIVO DE CONTROL del sistema y por la gerencia de TI.
Un plan de implementación debe ser preparado, 5.7 Pruebas a Cambios
revisado y aprobado por partes relevantes y debe
ser usado para medir el progreso. El plan de OBJETIVO DE CONTROL
implementación debe estar direccionado hacia la La Gerencia deberá asegurar que los cambios
preparación del sitio, adquisición e instalación de sean probados por un grupo de prueba
equipos, entrenamiento del usuario, instalación independiente (distinto al de los desarrolladores)
de cambios al software operativo, de acuerdo con la evaluación de impacto y
implementación de procedimientos operativos y recursos en un ambiente de prueba separado
conversión.. antes de comenzar su uso en el ambiente de
operación regular. También deberán
5.4 Conversión del Sistema
desarrollarse planes de respaldo externo16. Las
OBJETIVO DE CONTROL pruebas de aceptación deberán llevarse a cabo en
un ambiente representativo del ambiente
operacional futuro (por ejemplo, condiciones
sistemas de la organización debe asegurar, como
similares de seguridad, controles internos, cargas
parte de cada proyecto de desarrollo,
de trabajo, etc.)
implementación o modificación de sistemas de
información, que los elementos necesarios del
sistema anterior sean convertidos al sistema
nuevo de acuerdo con el plan preestablecido.
15 Dimensionamiento (sizing): asignar la dimen-
sión o tamaña adecuado.
16 Respaldo externo (back-out)
5.8 Criterios y Desempeño de Pruebas en 5.12 Paso o promoción a Producción

Paralelo/Piloto
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL La Gerencia deberá definir e implementar pro-
cedimientos formales para controlar la entrega
Deben establecerse procedimientos para asegurar
del sistema de desarrollo a pruebas y a opera-
que las pruebas piloto o en paralelo sean llevadas
ción. La Gerencia debe solicitar que se obtenga
a cabo de acuerdo con un plan preestablecido y
la autorización del propietario del sistema antes
que los criterios para la terminación del proceso
que el nuevo sistema sea trasladado a produc-
de pruebas sean especificados con anterioridad.
ción y antes que el sistema viejo sea desconti-
5.9 Prueba de Aceptación Final nuado. El nuevo sistema será sucesivamente
operado durante los ciclos de producción dia-
OBJETIVO DE CONTROL ria, mensual y trimestral. Los ambientes res-
Los procedimientos deberán asegurar, como pectivos deberán separarse y protegerse apro-
parte de las pruebas de aceptación final o de piadamente.
aseguramiento de calidad de sistemas de
5.13 Evaluación del Cumplimiento de los Reque-
información nuevos o modificados, una
rimientos del Usuario
evaluación y aprobación formal de los resultados
de las pruebas por parte de la Gerencia de los OBJETIVO DE CONTROL
departamentos usuarios afectados y de TI. Las
pruebas deben cubrir todos los componentes del
de sistemas de la organización debe requerir
sistema de información (software de aplicación,
que se realice una revisión post - implementa-
instalaciones, tecnología, procedimientos de
ción de los requerimientos operacionales del
usuarios).
sistema de información (por ejemplo, capaci-
5.10 Pruebas y Acreditación de Seguridad dad, desempeño de procesamiento a través del
sistema etc.) con el fin de evaluar si las necesi-
OBJETIVO DE CONTROL dades del usuario están siendo satisfechas por
La Gerencia deberá definir e implementar el sistema.
procedimientos para asegurar que la Gerencia de
5.14 Revisión Gerencial Post - Implementación
operaciones y la Gerencia usuaria acepten
formalmente los resultados de las pruebas y el OBJETIVO DE CONTROL
nivel de seguridad para los sistemas, junto con el
riesgo residual existente. Esos procedimientos
de sistemas de la organización debe requerir
deben reflejar los roles y responsabilidades
que una revisión post - implementación del
acordados entre el usuario final, desarrollo de
sistema de información operacional evalúe y
sistemas, administración de red y del personal de
reporte si el sistema proporcionó los beneficios
operaciones del sistema, considerando los
esperados de la manera más económica.
aspectos de segregación de cuentas, supervisión
y control.
5.11 Prueba Operacional
OBJETIVO DE CONTROL
La Gerencia deberá asegurar que, antes de poner
el sistema en operación, el usuario o custodio
designado (la parte designada para correr el
sistema en nombre del usuario), valide su
operación como un producto completo, bajo
condiciones similares a las del ambiente de
aplicación y de la misma manera en que el
sistema será operado en un ambiente de
producción.

AI6
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
Adquisición &
in c ia
cu nib
tiv
en
Implementación
ia
ec
p
te
o
ef
nf
P P P P S Entrega &
Soporte

Monitoreo
administración de cambios
minimizar la probabilidad de interrupciones, alteraciones no

autorizadas y errores
un sistema de administración que permita el análisis,

implementación y seguimiento de todos los cambios
requeridos y llevados a cabo a la infraestructura de TI
actual
• identificación de cambios
• procedimientos de categorización,
priorización y emergencia
• Análisis de impacto
• autorización de cambios
• Administración de la liberación del cambio 3 3 3 3 3
• distribución de software
da nes
in olo s
• Uso de herramientas automatizadas

ac ía
e
te cion
g
io
ap ente
• Administración de la configuración
to
a
•
cn
Rediseño del proceso del negocio

al
g
lic
st
6 ADMINISTRACIÓN DE CAMBIOS 6.5 Documentación y Procedimientos

6.1 Inicio y Control de Solicitudes de Cambio OBJETIVO DE CONTROL
OBJETIVO DE CONTROL El procedimiento de cambios deberá asegurar
que, siempre que se implementen modificaciones
La Gerencia deberá asegurar que todas las a un sistema, la documentación y procedimientos
solicitudes de cambios tanto internos como por relacionados sean actualizados de manera
parte de proveedores estén estandarizados y correspondiente.
sujetos a procedimientos formales de
administración de cambios. Las solicitudes 6.6 Mantenimiento Autorizado
deberán categorizarse y priorizarse y se deben OBJETIVO DE CONTROL
establecer procedimientos específicos para
manejar cambios urgentes. Los solicitantes de los La Gerencia de TI deberá asegurar que el
cambios deben permanecer informados acerca personal de mantenimiento tenga asignaciones
del estatus de su solicitud. específicas y que su trabajo sea monitoreado
apropiadamente. Además, sus derechos de
6.2 Análisis de Impacto acceso al sistema deberán ser controlados para
OBJETIVO DE CONTROL evitar riesgos de accesos no autorizados a los
sistemas automatizados.
Deberá establecerse un procedimiento para
asegurar que todas las solicitudes de cambio sean 6.7 Política de Liberación de Software
evaluadas en una forma estructurada que OBJETIVO DE CONTROL
considere todos los posibles impactos que el
cambio pueda ocasionar sobre el sistema La Gerencia de TI deberá garantizar que la
operacional y su funcionalidad. liberación de software esté regida por
procedimientos formales asegurando aprobación,
6.3 Control de Cambios empaque17, pruebas de regresión, entrega, etc.
OBJETIVO DE CONTROL 6.8 Distribución de Software
La Gerencia de TI deberá asegurar que la OBJETIVO DE CONTROL
administración de cambios, así como el control y
la distribución de software sean integrados Deberán establecerse medidas de control
apropiadamente en un sistema completo de específicas para asegurar la distribución del
administración de configuración. El sistema elemento de software correcto al lugar correcto,
utilizado para monitorear los cambios a los con integridad y de manera oportuna y con
sistemas de aplicación debe ser automático para adecuadas pistas de auditoría.
soportar el registro y seguimiento de los cambios
realizados a grandes y complejos sistemas de
información.
6.4 Cambios de Emergencia
OBJETIVO DE CONTROL
La gerencia de TI debe establecer parámetros
definiendo cambios de emergencia y
procedimientos para controlar estos cambios
cuando ellos traspasan los procesos normales de
análisis de prioridades de la gerencia para su
implementación. Los cambios de emergencia
deben ser registrados y autorizados por la
gerencia de TI antes de su implementación. 17 Paquete (packaging) programas, reglas y docu-
mentación asociada a un sistema o producto de
software
(DS)
ENTREGA DE SERVICIOS Y SOPORTE

DS1
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P S S S S S Entrega &
Soporte

Monitoreo
Definición y administración de niveles de servicio
establecer un entendimiento común del nivel de servicio

requerido
el establecimiento de acuerdos de niveles de servicio

que formalicen los criterios de desempeño contra los
cuales se medirá la cantidad y la calidad del servicio
• Acuerdos o convenios formales

• definición de responsabilidades
• tiempos y volúmenes de respuesta
• cargos
• garantías de integridad
• Acuerdos de confidencialidad
• Criterio de satisfacción del cliente 3 3 3 3 3
• Análisis costo-beneficio de los niveles de
da nes
in olo s
servicio requerido
ac ía
e
te cion
g
io
ap ente
• Monitoreo y reporte
to
a
cn
al
g
lic
st
1 DEFINICIÓN Y ADMINISTRACIÓN DE 1.3 Procedimientos de Desempeño

NIVELES DE SERVICIO OBJETIVO DE CONTROL
1.1 Marco de Referencia para el Acuerdo de Deberán definirse procedimientos que aseguren
Niveles de Servicio que la forma y las responsabilidades sobre las
OBJETIVO DE CONTROL relaciones que rigen el desempeño (por ejemplo,
acuerdos de confidencialidad) entre todas las
La alta gerencia deberá establecer un marco de partes involucradas sean establecidas,
referencia en donde presente la definición de coordinadas, mantenidas y comunicadas a todos
acuerdos de niveles de servicio formales y los departamentos afectados.
determine el contenido mínimo: disponibilidad,
confiabilidad, desempeño, capacidad de 1.4 Monitoreo y Reporte
crecimiento, niveles de soporte proporcionados OBJETIVO DE CONTROL
al usuario, plan de contingencia/Recuperación,
nivel mínimo aceptable de funcionalidad del La Gerencia de la función de servicios de
sistema satisfactoriamente liberado, restricciones información deberá designar a un Gerente de
(límites en la cantidad de trabajo), cargos por nivel de servicio que sea responsable de
servicio, instalaciones de impresión central monitorear y reportar los alcances de los criterios
(disponibilidad), distribución de impresión de desempeño del servicio especificado y todos
central y procedimientos de cambio. Los los problemas encontrados durante el
usuarios y la función de servicios de información procesamiento. Las estadísticas de monitoreo
deberán contar con un convenio escrito que deberán ser analizadas oportunamente. Deberán
describa el nivel de servicio en términos tomarse acciones correctivas apropiadas e
cualitativos y cuantitativos. El convenio definirá investigarse las fallas.
las responsabilidades de ambas partes. La 1.5 Revisión de Acuerdos y Contratos de Nivel de
función de servicios de información deberá Servicio
prestar la calidad y la cantidad de servicios
ofrecida y los usuarios deberán ajustar los OBJETIVO DE CONTROL
servicios solicitados a los límites acordados. La Gerencia deberá implementar un proceso de
1.2 Aspectos sobre los Acuerdos de Nivel de revisión regular de los convenios de nivel de
Servicio servicio y de los contratos de proveedores de
servicios como terceras partes.
OBJETIVO DE CONTROL
1.6 Elementos sujetos a Cargo
Deberá lograrse un acuerdo explícito sobre los
aspectos que el convenio de nivel de servicios OBJETIVO DE CONTROL
deberá tener. El convenio de nivel de servicio Deberán incluirse provisiones para elementos
deberá cubrir por lo menos los siguientes sujetos a cargo en los acuerdos de niveles de
aspectos: disponibilidad, confiabilidad, servicio para hacer posible las comparaciones y
desempeño, capacidad de crecimiento, niveles de decisiones de niveles de servicio contra su costo.
soporte proporcionados a los usuarios, plan de
contingencia/Recuperación, nivel mínimo 1.7 Programa de Mejoramiento del Servicio
aceptable de funcionalidad del sistema OBJETIVO DE CONTROL
satisfactoriamente liberado, restricciones (límites
en la cantidad de trabajo), cargos por servicio, La Gerencia deberá implementar un proceso para
instalaciones de impresión central asegurar que los usuarios y los Gerentes de nivel
(disponibilidad), distribución de impresión de servicio concuerden regularmente en un
central y procedimientos de cambios programa de mejoramiento del servicio con el fin
de dar seguimiento a mejoras al nivel de servicio
cuyo costo esté justificado.

DS2
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
cu nib
tiv
en
ia
Adquisición &
ec
p
te
o
Implementación
ef
nf
P P S S S S S
Entrega &
Control sobre el proceso de TI de: Soporte
administración de servicios prestados por terceros

Monitoreo
asegurar que los roles y responsabilidades de las terceras partes

estén claramente definidas y que cumplan y continúen
satisfaciendo los requerimientos
medidas de control dirigidas a la revisión y monitoreo

de acuerdos/contratos y procedimientos existentes, en
cuanto a su efectividad y cumplimiento, con respecto a
las políticas de la organización
• Acuerdos de servicio con terceras partes

• Administración de contrato
• Acuerdos de confidencialidad
• Requerimientos legales y regulatorios
• Monitoreo y reporte de la entrega de
servicio
• Análisis de riesgos de la empresa y de TI 3 3 3 3 3
• Ejecución de recompensas y sanciones
•
da nes
Contabilidad organizacional interna y

in olo s
ac ía
e
te cion
externa
io
ap ente
s
to
•
a
Análisis de costos y variaciones en los

cn
al
g
lic
st
niveles de servicio
2 ADMINISTRACIÓN DE SERVICIOS 2.6 Continuidad de Servicios

PRESTADOS POR TERCEROS OBJETIVO DE CONTROL
2.1 Interfases con Proveedores Con respecto al aseguramiento de la continuidad
OBJETIVO DE CONTROL de los servicios, la gerencia deberá considerar el
riesgo de negocios relacionado con la
La Gerencia deberá asegurar que todos los participación de terceros en términos de
servicios prestados por terceros sean incertidumbre legal y con el concepto de interés
propiamente identificados y que las interfaces sobre la continuidad18 y negociar contratos de
técnicas y organizacionales con los proveedores depósito19 en garantía donde sea apropiado
sean documentadas.
2.7 Relaciones con la Seguridad
2.2 Relaciones con los Propietarios (usuarios
dueños) OBJETIVO DE CONTROL
OBJETIVO DE CONTROL Con respecto a las relaciones con los

proveedores de servicios como terceras partes, la
La Gerencia de la organización del cliente deberá Gerencia deberá asegurar que los acuerdos de
establecer relaciones con un dueño que sea seguridad (por ejemplo, los acuerdos de
responsable de asegurar la calidad de las confidencialidad) sean identificados, declarados
relaciones con terceros. explícitamente y acordados, que éstos
concuerden con los estándares de negocios
2.3 Contratos con Terceros
universales y estén en línea con los
OBJETIVO DE CONTROL requerimientos legales y regulatorios, incluyendo
obligaciones.
La gerencia debe definir procedimientos
específicos para asegurar que un contrato formal 2.8 Monitoreo
sea definido y acordado para cada relación de
servicio con un proveedor antes que el trabajo OBJETIVO DE CONTROL
comience. La Gerencia deberá establecer un proceso
continuo de monitoreo sobre la prestación de
2.4 Calificación de Terceros
servicio de terceros, con el fin de asegurar el
OBJETIVO DE CONTROL cumplimiento de los acuerdos del contrato.
La gerencia debe asegurar en forma previa a su
selección, que los terceros potenciales cuentan
con las calificaciones adecuadas a través de una
evaluación de su capacidad para proporcionar los
servicios requeridos (due diligence).
2.5 Contratos de Outsourcing
OBJETIVO DE CONTROL
Deberán definirse procedimientos
organizacionales específicos para asegurar que el
contrato entre la organización y el proveedor de 18 Concepto de interés sobre la continuidad (going con-
la administración de instalaciones esté basado en cern concept)
niveles de procesamiento requeridos, seguridad, 19 Contrato en depósito (scrow contract) contratos que se
monitoreo y requerimientos de contingencia, así celebran para garantizar la continuidad del servicio aun
como en otras estipulaciones según sea cuando el proveedor no pueda proporcionarlo.
apropiado.

DS3
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m lid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P S Entrega &
Soporte

Monitoreo
administración de desempeño y capacidad
asegurar que la capacidad adecuada está disponible y que se

esté haciendo el mejor uso de ella para alcanzar el desempeño
deseado
Recolección de datos, análisis y reporte del

rendimiento de los recursos, aplicación de mediciones
y demanda de cargas de trabajo
• requerimientos de disponibilidad y
desempeño
• monitoreo y reporte automatizado
• herramientas de modelado
• administración de capacidad
• disponibilidad de recursos 3 3 3
• Cambios en precio-rendimiento del
da nes
in olo s
hardware y software
al gía
e
te cion
io
ap ente
s
to
ac
a
cn
g
lic
st
3 ADMINISTRACIÓN DE DESEMPEÑO Y antes de que éstos afecten el desempeño del

CAPACIDAD sistema. Deberán llevarse a cabo análisis de las
fallas e irregularidades del sistema en cuanto a
3.1 Requerimientos de Disponibilidad y frecuencia, grado del impacto y magnitud del
Desempeño daño.
OBJETIVO DE CONTROL 3.6 Pronóstico de Carga de Trabajo
El proceso de administración deberá asegurar OBJETIVO DE CONTROL
que las necesidades del negocio con respecto a
disponibilidad y desempeño de los servicios de Deberán establecerse controles para asegurar que
información sean identificados y convertidas en se preparen pronósticos de carga de trabajo con
requerimientos y términos de disponibilidad. el fin de identificar tendencias y proporcionar la
información necesaria para el plan de
3.2 Plan de Disponibilidad capacidad20.
OBJETIVO DE CONTROL 3.7 Administración de Capacidad de Recursos
La Gerencia deberá asegurar el establecimiento OBJETIVO DE CONTROL
de un plan de disponibilidad para alcanzar,
monitorear y controlar la disponibilidad de los La Gerencia de la función de servicios de
servicios de información. información deberá establecer un proceso de
planeación para la revisión del desempeño y
3.3 Monitoreo y Reporte capacidad del hardware con el fin de asegurar
que siempre exista una capacidad justificable
OBJETIVO DE CONTROL
económicamente para procesar las cargas de
La Gerencia deberá implementar un proceso que trabajo acordadas y para proporcionar la
asegure que el desempeño de los recursos de cantidad y calidad de desempeño requeridas,
tecnología de información sea continuamente prescritas en los acuerdos de nivel de servicio.
monitoreado y que las excepciones sean El plan de capacidad deberá cubrir escenarios
reportadas de manera oportuna y completa. múltiples.
3.4 Herramientas de Modelado 3.8 Disponibilidad de Recursos
La gerencia deberá asegurar que se utilicen las Cuando se identifiquen como recursos de alta
herramientas de modelado apropiadas para disponibilidad, la gerencia deberá prevenir que
producir un modelo del sistema actual, calibrado estos recursos no estén disponibles, mediante la
y ajustado según la carga de trabajo real y que implementación de mecanismos de tolerancia de
sea preciso dentro de los niveles de carga fallas, mecanismos de asignación equitativa de
recomendados. Las herramientas de modelado recursos y la definición de prioridades de tareas.
deberán utilizarse para apoyar el pronóstico de
los requerimientos de capacidad, confiabilidad 3.9 Programación21 de Recursos
de la configuración, desempeño y disponibilidad. OBJETIVO DE CONTROL
Deberán llevarse a cabo investigaciones técnicas
profundas sobre el hardware de los sistemas y La Gerencia deberá asegurar la adquisición
deberán incluirse pronósticos acerca de futuras oportuna de la capacidad requerida, tomando en
tecnologías. cuenta aspectos como resistencia, contingencia,
cargas de trabajo y planes de almacenamiento.
3.5 Manejo Proactivo del Desempeño
OBJETIVO DE CONTROL
El proceso de administración del desempeño
deberá incluir la capacidad de pronóstico para 20 Planeación de la capacidad (capacity plan-
permitir que los problemas sean solucionados ning)
21 Schedule (programación )

DS4
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P S P Entrega &
Soporte

Monitoreo
asegurar el servicio continuo
Asegurar que los servicios de TI estén disponibles cuando se

requieran y asegurar el impacto mínimo en el negocio en el
evento que se presente una interrupción mayor
tener un plan de continuidad de TI probado y funcional,

que esté alineado con el plan de continuidad del negocio y
relacionado con los requerimientos de negocio
• clasificación de criticidad (severidad)

• Procedimientos alternativos
• respaldo y recuperación
• pruebas y entrenamiento sistemáticos y regulares
• Monitoreo y procesos de escalamiento
• Responsabilidades organizacionales internas y 3 3 3 3 3
externas
da nes
in olo s
• Activación de la continuidad del negocio, vuelta

ac ía
e
te cion
g
io
ap ente
atrás (fallback) y plan de reactivación

to
a
•
cn
Actividades de administración de riesgos

al
g
lic
st
• Análisis de puntos únicos de falla

• Administración de problemas
4 ASEGURAR EL SERVICIO CONTINUO z Información crítica sobre grupos de

4.1 Marco de Referencia de Continuidad de continuidad, personal afectado, clientes,
Tecnología de información proveedores, autoridades públicas y medios de
comunicación.
OBJETIVO DE CONTROL
4.4 Reducción de requerimientos de Continuidad
La Gerencia de TI, en cooperación con los de Tecnología de Información.
propietarios de los procesos del negocio, deberá
crear un marco de referencia de continuidad que OBJETIVO DE CONTROL
defina los roles, responsabilidades, el enfoque/ La Gerencia de servicios de información deberá
metodología basada en riesgo a seguir y las establecer procedimientos y guías para
reglas y la estructura para documentar el plan de minimizar los requerimientos de continuidad con
continuidad, así como los procedimientos de respecto a personal, instalaciones, hardware,
aprobación. software, equipo, formatos, consumibles y
4.2 Estrategia y Filosofía del Plan de Continuidad mobiliario.
de TI 4.5 Mantenimiento del Plan de Continuidad de
OBJETIVO DE CONTROL Tecnología de Información
La Gerencia deberá garantizar que el Plan de OBJETIVO DE CONTROL
continuidad de tecnología de información se La Gerencia de TI deberá proveer procedimientos
encuentra en línea con el plan general de de control de cambios para asegurar que el plan
continuidad de la empresa para asegurar de continuidad se mantiene actualizado y refleja
consistencia. Aún más, el plan de continuidad de requerimientos de negocio actuales. Esto requiere
TI debe tomar en consideración el plan a de procedimientos de mantenimiento del plan de
mediano y largo plazo de tecnología de continuidad alineados con el cambio, la
información, con el fin de asegurar consistencia. administración y los procedimientos de recursos
4.3 Contenido del Plan de Continuidad de TI humanos.
OBJETIVO DE CONTROL 4.6 Pruebas del Plan de Continuidad de TI
La Gerencia de TI deberá asegurar que se OBJETIVO DE CONTROL
desarrolle un plan escrito conteniendo lo Para contar con un Plan efectivo de Continuidad,
siguiente: la gerencia necesita evaluar su adecuación de
z Guías sobre la utilización del Plan de manera regular o cuando se presenten cambios
Continuidad; mayores en el negocio o en la infraestructura de
TI; esto requiere una preparación cuidadosa,
z Procedimientos de emergencia para asegurar documentación, reporte de los resultados de las
la integridad de todo el personal afectado; pruebas e implementar un plan de acción de
z Procedimientos de respuesta definidos para acuerdo con los resultados.
regresar al negocio al estado en que se 4.7 Entrenamiento sobre el Plan de Continuidad
encontraba antes del incidente o desastre; de Tecnología de Información
z Procedimientos para salvaguardar y OBJETIVO DE CONTROL
reconstruir las instalaciones;
La metodología de Continuidad ante desastres
z Procedimientos de coordinación con las deberá asegurar que todas las partes interesadas
autoridades públicas; reciban sesiones de entrenamiento regulares con
z Procedimientos de comunicación con los respecto a los procedimientos a ser seguidos en
socios y demás interesados: empleados, caso de un incidente o un desastre.
clientes clave, proveedores críticos,
accionistas y gerencia; y
4.8 Distribución del Plan de Continuidad de TI 4.12 Almacenamiento de respaldo en el sitio alterno
(Off-site)
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Debido a la naturaleza sensitiva de la
información del plan de continuidad, dicha El almacenamiento externo de copias de
información deberá ser distribuida solo a respaldo, documentación y otros recursos
personal autorizado y mantenerse bajo adecuadas tecnológicos de información, catalogados como
medidas de seguridad para evitar su divulgación. críticos, debe ser establecido para soportar el
Consecuentemente, algunas secciones del plan plan de recuperación y continuidad del negocio.
deberán ser distribuidas solo a las personas cuyas Los propietarios de los procesos del negocio y el
actividades hagan necesario conocer dicha personal de la función de TI deben involucrarse
información. en determinar que recursos de respaldo deben ser
almacenados en el sitio alterno23. La instalación
4.9 Procedimientos de respaldo de procesamiento
de almacenamiento externo debe contar con
alternativo para Departamentos usuarios
medidas ambientales para los medios y otros
OBJETIVO DE CONTROL recursos almacenados; y debe tener un nivel de
seguridad suficiente, que permita proteger los
La metodología de continuidad deberá asegurar
recursos de respaldo contra accesos no
que los departamentos usuarios establezcan autorizados, robo o daño. La Gerencia de TI
procedimientos alternativos de procesamiento, debe asegurar que los acuerdos/contratos del
que puedan ser utilizados hasta que la función de
sitio alterno son periódicamente analizados, al
servicios de información sea capaz de restaurar menos una vez al año, para garantizar que
completamente sus servicios después de un
ofrezca seguridad y protección ambiental.
evento o un desastre.
4.13 Procedimiento de afinamiento24 del Plan de
4.10 Recursos Críticos de Tecnología de
Continuidad
Información
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Dada una exitosa reanudación de la función de TI
El plan de continuidad deberá identificar los después de un desastre, la gerencia de servicios
programas de aplicación, servicios de terceros,
de información deberá establecer procedimientos
sistemas operativos, personal, insumos, archivos para evaluar lo adecuado del plan y actualizarlo
de datos que resultan críticos así como los de acuerdo con los resultados de dicha
tiempos necesarios para la recuperación después
evaluación.
de que se presenta un desastre. Los datos y las
operaciones críticas deben ser identificadas,
documentadas, priorizadas y aprobadas por los
dueños de los procesos del negocio en
cooperación con la Gerencia de TI.
4.11 Sitio22 y Hardware de Respaldo
OBJETIVO DE CONTROL
La Gerencia deberá asegurar que la metodología
de continuidad incorpora la identificación de
alternativas relativas al sitio y al hardware de
respaldo, así como una selección alternativa
final. En caso de aplicar, deberá establecerse un
contrato formal para este tipo de servicios.
22 Sitio de Respaldo (Back-up Site)
23 Sitio Alterno (Off-Site)
24 Afinamiento (Wrap-up)

DS5
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P S S S Entrega &
Soporte
garantizar la seguridad de los sistemas Monitoreo
salvaguardar la información contra uso no autorizado, divulgación

o revelación, modificación, daño o pérdida
controles de acceso lógico que aseguren que el acceso a

sistemas, datos y programas está restringido a usuarios
autorizados
• Requerimientos de privacidad y
confidencialidad
• Autorización, autenticación y control de
acceso
• identificación de usuarios y perfiles de
autorización
• Necesidad de saber y necesidad de tener
(need-to-know and need-to-have) 3 3 3 3 3
• administración de llaves criptográficas
da nes
in olo s
• manejo, reporte y seguimiento de incidentes

ac ía
e
te cion
g
io
ap ente
• Prevención y detección de virus

to
a
•
cn
Firewalls
al
g
lic
st
• Administración centralizada de seguridad

• Entrenamiento a los usuarios
• Herramientas para monitoreo del
cumplimiento, pruebas de intrusión y reportes

5. GARANTIZAR LA SEGURIDAD DE LOS necesidades individuales demostradas de

SISTEMAS visualizar, agregar, modificar o eliminar datos.
5.1 Administrar Medidas de Seguridad 5.4 Administración de Cuentas de Usuario
La seguridad en TI deberá ser administrada de tal La Gerencia deberá establecer procedimientos

forma que las medidas de seguridad se para asegurar acciones oportunas relacionadas
encuentren en línea con los requerimientos de con la solicitud, establecimiento, emisión,
negocio. Esto incluye: suspensión y cierre de cuentas de usuario.
Deberá incluirse un procedimiento de aprobación
z Trasladar información sobre evaluación de formal que indique el propietario de los datos o
riesgos a los planes de seguridad de TI; del sistema que otorga los privilegios de acceso.
La seguridad de acceso a terceros debe definirse
z Implementar el plan de seguridad de TI;
contractualmente teniendo en cuenta
z Actualizar el plan de seguridad de TI para requerimientos de administración y no
reflejar cambios en la configuración de TI; revelación. Los acuerdos de outsourcing deben
considerar los riesgos, los controles sobre
z Evaluar el impacto de las solicitudes de
seguridad y los procedimientos para los sistemas
cambio en la seguridad de TI;
de información y las redes en el contrato que se
z Monitorear la implementación del plan de establece entre las partes.
seguridad de TI; y
5.5 Revisión Gerencial de Cuentas de Usuario
z Alinear los procedimientos de seguridad de TI
OBJETIVO DE CONTROL
a otras políticas y procedimientos
La Gerencia deberá contar con un proceso de
5.2 Identificación, Autenticación y Acceso
control establecido para revisar y confirmar
OBJETIVO DE CONTROL periódicamente los derechos de acceso. Se debe
llevar a cabo la comparación periódica entre los
El acceso lógico y el uso de los recursos de TI
recursos y los registros de las cuentas para
deberá restringirse a través de la implementación
reducir el riesgo de errores, fraudes, alteración
de mecanismos adecuados de identificación,
no autorizada o accidental.
autenticación y autorización relacionando los
usuarios y los recursos con las reglas de acceso. 5.6 Control de Usuarios sobre Cuentas de Usuario
Dicho mecanismo deberá evitar que personal no
OBJETIVO DE CONTROL
autorizado, conexiones telefónicas por marcado25
y otros puertos de entrada al sistema (redes) Los usuarios deberán controlar en forma
tengan acceso a los recursos de cómputo, de sistemática la actividad de su(s) propia(s) cuenta
igual forma deberá minimizar la necesidad de (s). También se deberán establecer mecanismos
autorizar usuarios para usar múltiples sign-ons. de información para permitirles supervisar la
Asimismo deberán establecerse procedimientos actividad normal, así como alertarlos
para conservar la efectividad de los mecanismos oportunamente sobre actividades inusuales.
de autenticación y acceso (por ejemplo, cambios
periódicos de contraseñas o passwords). 5.7 Vigilancia de Seguridad
OBJETIVO DE CONTROL
5.3 Seguridad de Acceso a Datos en Línea
La administración de seguridad de TI debe
OBJETIVO DE CONTROL
asegurar que la actividad de seguridad sea
En un ambiente de tecnología de información en registrada y que cualquier indicación sobre una
línea, la Gerencia de TI deberá implementar inminente violación de seguridad sea notificada
procedimientos acordes con la política de inmediatamente a todos aquellos que puedan
seguridad que garantiza el control de la
seguridad de acceso, tomando como base las
25 Marcado por línea telefónica (dial up)

verse afectados, tanto interna como externamente autorizadas. El acceso lógico a la información
y se debe actuar de una manera oportuna. sobre el registro26 de recursos de cómputo
(seguridad y otros logs) deberá otorgarse
5.8 Clasificación de Datos
tomando como base el principio de menor
OBJETIVO DE CONTROL privilegio o necesidad de saber.
La Gerencia deberá implementar procedimientos 5.11 Manejo de Incidentes
para asegurar que todos los datos son clasificados
OBJETIVO DE CONTROL
en términos de sensitividad, mediante una
decisión explícita y formal del dueño de los datos La Gerencia deberá implementar la capacidad de
de acuerdo con el esquema de clasificación de manejar incidentes de seguridad computacional,
datos. Aún los datos que “no requeren dar atención a dichos incidentes mediante el
protección” deberán contar con una decisión establecimiento de una plataforma centralizada
formal que les asigne dicha clasificación. Los con suficiente experiencia y equipada con
dueños deben determinar la ubicación o instalaciones de comunicación rápidas y seguras.
disposición de sus datos y determinar quienes Deberán establecerse las responsabilidades y los
pueden compartir los datos aun si y cuando los procedimientos de manejo de incidentes para
programas y archivos sean mantenidos, asegurar una respuesta apropiada, efectiva y
archivados o borrados. Debe quedar evidencia de oportuna a los incidentes de seguridad.
la aprobación del dueño y de la disposición del
5.12 Reacreditación
dato. Se deben definir políticas para soportar la
reclasificación de la información, basados sobre OBJETIVO DE CONTROL
cambios en la sensitividad. El esquema de
clasificación debe incluir criterios para La Gerencia deberá asegurar que se lleve a cabo
administrar el intercambio de información entre periódicamente una reacreditación de seguridad
organizaciones, teniendo en cuenta tanto la (por ejemplo, a través de equipos de personal
técnico “tigre”27) con el fin de mantener
seguridad y el cumplimiento como la legislación
actualizado el nivel de seguridad aprobado
relevante.
formalmente y la aceptación del riesgo residual.
5.9 Administración de Derechos de Acceso e
Identificación Centralizada 5.13 Confianza en Contrapartes
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Deben existir controles para asegurar que la Las políticas organizacionales deberán asegurar
que se implementen prácticas de control para
identificación y los derechos de acceso de los
usuarios, así como la identidad del sistema y la verificar la autenticidad de las contrapartes que
propiedad de los datos, son establecidos y proporcionan instrucciones o transacciones
electrónicas. Esto puede lograrse mediante el
administrados de forma única y centralizada, para
obtener consistencia y eficiencia de un control de intercambio confiable de passwords, tokens o
acceso global. llaves criptográficas.
5.10 Reportes de Violación y de Actividades de

Seguridad
26 Registro / Contabilización (accountability)
OBJETIVO DE CONTROL 27 Equipo “tigre” (Tiger team): es un grupo de per-
La administración de la función de servicios de sonal técnico al cual se le asignan trabajos de veri-
información deberá asegurar que las violaciones ficación de seguridad en una instalación. Estos
y la actividad de seguridad sean registradas, trabajos consisten tipicamente en actuar en forma
reportadas, revisadas y escaladas apropiadamente incógnita y tratar de violar las medidas de seguri-
en forma regular para identificar y resolver dad establecidas para probar la efectividad de las
mismas e identificar las áreas vulnerables que
incidentes que involucren actividades no
requieren atención.

5.14 Autorización de transacciones 5.18 Administración de Llaves Criptográficas

Las políticas organizacionales deberán asegurar que, en La Gerencia deberá definir e implementar
donde sea apropiado, se implementen controles para procedimientos y protocolos a ser utilizados en la
proporcionar autenticidad a las transacciones y generación, cambio, revocación, destrucción,
establecer la validez de la identificación solicitada por el distribución, certificación, almacenamiento,
usuario ante el sistema. Esto requiere el empleo de entrada, utilización y archivo de llaves
técnicas criptográficas para “firmar” y verificar criptográficas con el fin de asegurar la protección
transacciones. de las mismas contra modificaciones y
divulgación no autorizada. Si una llave se
5.15 No negación o no rechazo
encuentra comprometida (en riesgo), la gerencia
OBJETIVO DE CONTROL deberá asegurarse de que esta información se hace
llegar a todas las partes interesadas a través de una
Las políticas organizacionales deberán asegurar que, en
lista de revocación de certificados o mecanismos
donde sea apropiado, las transacciones no puedan ser
similares.
negadas por ninguna de las partes participantes en la
operación y que se implementen controles para que no 5.19 Prevención, Detección y Corrección de
se pueda negar el origen o destino de la transacción y Software “Malicioso”
que se pueda probar que se envió y recibió la
OBJETIVO DE CONTROL
transacción. Esto puede lograrse a través de firmas
digitales, registro de tiempos y terceros confiables, y Con respecto al software malicioso, tal como los
adicionalmente con políticas apropiadas que tengan en virus computacionales o Caballos de Troya, la
cuenta los requerimientos regulatorios relevantes. Gerencia deberá establecer un marco de
referencia de adecuadas medidas de control
5.16 Sendero Seguro
preventivas, detectivas y correctivas y responder
OBJETIVO DE CONTROL y reportar su presencia. Las Gerencias de TI y de
negocios deben asegurar que se establezcan
Las políticas organizacionales deberán asegurar procedimientos a través de toda la organización
que la información de transacciones sensitivas es para proteger los sistemas de información contra
enviada y recibida exclusivamente a través de
virus computacionales. Los procedimientos
canales o senderos seguros (trusted paths). La deben incorporar protección contra virus,
información sensitiva incluye: información sobre
detección, respuesta ante su presencia y reporte.
administración de seguridad, datos de
transacciones sensitivas, passwords y llaves 5.20 Arquitectura de Firewalls y conexión a redes
criptográficas. Para lograr esto, se pueden públicas
establecer canales confiables utilizando
OBJETIVO DE CONTROL
encripción entre usuarios, entre usuarios y
sistemas y entre sistemas. La organización deberá contar con Firewall
adecuados para proteger contra negación de
5.17 Protección de las funciones de seguridad
servicios y cualquier acceso no autorizado a los
OBJETIVO DE CONTROL recursos internos si existe conexión con Internet
u otras redes públicas; se deberá controlar en
Todo el hardware y software relacionado con ambos sentidos cualquier aplicación y el flujo de
seguridad debe encontrarse permanentemente
administración de infraestructura y se deberá
protegido contra intromisiones para proteger su
proteger contra ataques de negación del servicio.
integridad y contra divulgación de sus claves
secretas. Adicionalmente, la organización deberá
mantener discreción sobre el diseño de su
seguridad, pero no basar la seguridad en
mantener el diseño como secreto.

5.21 Protección de Valores Electrónicos

OBJETIVO DE CONTROL
La Gerencia debe proteger la integridad conti-
nuada de todas las tarjetas o mecanismos de
seguridad física similares, utilizadas para autenti-
cación o almacenamiento de información finan-
ciera o sensitiva tomando en consideración las
instalaciones o equipos relacionados, los disposi-
tivos, los empleados y los métodos de validación
utilizados.



DS6
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P Entrega &
Soporte

Monitoreo
identificación y asignación de costos
asegurar un conocimiento correcto de los costos atribuibles a

los servicios de TI
un sistema de contabilidad de costos que asegure que

éstos sean registrados, calculados y asignados a los
niveles de detalle requeridos y al apropiado servicio
ofrecido
• Recursos identificables y medibles

• Procedimientos y políticas de cargo
• Tarifas de cargo y procesos de reversión de
cargos.
• Conexión a acuerdo de niveles de servicio
• Reporte automatizado 3 3 3 3 3
• Verificación de comprensión de beneficios
da nes
in olo s
• Benchmarking externo
ac ía
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st

6 IDENTIFICACIÓN Y ASIGNACIÓN DE
COSTOS
6.1 Elementos Sujetos a Cargo o Cobro por su
Uso
OBJETIVO DE CONTROL
La Gerencia de TI, en coordinación con la alta
Gerencia, deberá asegurar que los elementos
sujetos a cargo sean identificables, medibles y
predecibles para los usuarios. Los usuarios
deberán ser capaces de controlar el uso de los
servicios de información y de los niveles de
facturación asociados.
6.2 Procedimientos de Costeo
OBJETIVO DE CONTROL
La Gerencia de TI deberá definir e implementar
procedimientos de costeo para proporcionar
información gerencial acerca del costo de prestar
servicios de información, asegurando al mismo
tiempo la economía. Las variaciones entre los
costos pronosticados y los reales deberán ser
analizadas adecuadamente y reportados, con el
fin de facilitar el monitoreo de los mismos.
Además, la alta gerencia deberá evaluar
periódicamente los resultados de los
procedimientos de contabilidad de costos de la
función de servicios de información, a la luz de
los otros sistemas de medición financiera de la
organización.
6.3 Procedimientos de Reversión de Cargos y
Facturación a Usuarios
OBJETIVO DE CONTROL
La Gerencia de TI deberá definir y utilizar
procedimientos de reversión de cargos y
facturación. Esta deberá mantener
procedimientos de reversión de cargos y
facturación que fomenten el uso apropiado de los
recursos de cómputo y aseguren el trato justo de
los departamentos usuarios y de sus necesidades.
El monto cargado deberá reflejar los costos
asociados con los servicios prestados.


DS7
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P S Entrega &
Soporte

Monitoreo
educación y entrenamiento de usuarios
asegurar que los usuarios estén haciendo un uso efectivo de la

tecnología y sean conscientes de los riesgos y
responsabilidades involucrados
un plan completo de entrenamiento y desarrollo
• Plan de entrenamiento
• Inventario de habilidades
• Campañas de concientización
• Técnicas de concientización
• Uso de nuevas tecnologías y métodos de
entrenamiento
• Productividad del personal
• Desarrollo de una base de conocimientos 3
da nes
in olo s
ac ía
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st

7 EDUCACIÓN Y ENTRENAMIENTO DE
USUARIOS
7.1 Identificación de Necesidades de
Entrenamiento
OBJETIVO DE CONTROL
En línea con el plan a largo plazo, la Gerencia
deberá establecer y mantener procedimientos
para identificar y documentar las necesidades de
entrenamiento de todo el personal que haga uso
de los servicios de información. Deberá
establecerse un plan de entrenamiento para cada
grupo de empleados.
7.2 Organización del Entrenamiento
OBJETIVO DE CONTROL
Tomando como base las necesidades
identificadas, la Gerencia deberá definir los
grupos objetivo, identificando y asignando
entrenadores y organizando oportunamente las
sesiones de entrenamiento. Asimismo, deberán
investigarse las alternativas de entrenamiento
(Localidad interna o externa, entrenadores
internos o externos, etc.).
7.3 Entrenamiento sobre Principios y Conciencia
de Seguridad
OBJETIVO DE CONTROL
Todo el personal deberá estar capacitado y
entrenado en los principios de seguridad de
sistemas, incluyendo actualizaciones periódicas
con especial atención en concientización sobre
seguridad y manejo de incidentes. La alta
gerencia deberá proporcionar un programa de
educación y entrenamiento que incluya: conducta
ética de la función de TI, prácticas de seguridad
para proteger de una manera segura contra daños
que afecten la disponibilidad, la confidencialidad
la integridad y el desempeño de las tareas.


DS8
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P Entrega &
Soporte

Monitoreo
Apoyo y asistencia a los clientes de TI
asegurar que cualquier problema experimentado por los

usuarios sea atendido apropiadamente
un help desk, o mesa de control y ayuda, que

proporcione soporte y asesoría de primera línea
• consultas de los clientes y respuesta a

problemas
• monitoreo de consultas y respuestas
• análisis y reporte de tendencias
• Desarrollo de una base de conocimientos
• Análisis de las causas
• Escalamiento y seguimiento de problemas
3 3
da nes
in olo s
ac ía
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st

8 APOYO Y ASISTENCIA A LOS CLIENTES

DE TECNOLOGÍA DE INFORMACIÓN
8.1 Help Desk
OBJETIVO DE CONTROL
Deberá establecerse un soporte para usuarios
dentro de una función de Help Desk o Mesa de
Control y Ayuda. Las personas responsables de
llevar a cabo esta función deberán interactuar
estrechamente con el personal de administración
de problemas.
8.2 Registro de Consultas de los Usuario
OBJETIVO DE CONTROL
Deberán establecerse procedimientos para
asegurar que todas las consultas de los clientes
sean registradas adecuadamente por el Help
desk.
8.3 Escalamiento de Consultas del Cliente
OBJETIVO DE CONTROL
Los procedimientos del help desk deberán
asegurar que las consultas de los clientes que no
puedan ser resueltas inmediatamente sean
reasignadas apropiadamente dentro de la función
de servicios de información escalando hasta el
nivel adecuado para atenderlas.
8.4 Monitoreo de Atención a Clientes
OBJETIVO DE CONTROL
La Gerencia deberá establecer procedimientos
para monitorear oportunamente la atención a las
consultas de los clientes. Las consultas que
permanezcan pendientes por largo tiempo
deberán ser investigadas y atendidas.
8.5 Análisis y Reporte de Tendencias
OBJETIVO DE CONTROL
Deberán establecerse procedimientos que
aseguren el reporte adecuado de las consultas de
los clientes y su solución, de los tiempos de
respuesta y la identificación de tendencias. Los
reportes deberán ser analizados y sus resultados
deberán ser atendidos adecuadamente.


DS9
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P S S Entrega &
Soporte

Monitoreo
Administración de la configuración
dar cuenta de todos los componentes de TI, prevenir

alteraciones no autorizadas, verificar la existencia física y
proporcionar una base para la sana administración del cambio
controles que identifiquen y registren todos los activos

de TI así como su localización física y un programa
regular de verificación que confirme su existencia
• registro de activos
• administración de cambios en la
configuración
• chequeo de software no autorizado
• controles de almacenamiento de software
• Integración e interrelación de hardware y 3 3 3
software
da nes
in olo s
• Uso de herramientas automatizadas

ac ía
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st

9 ADMINISTRACIÓN DE LA 9.5 Software no Autorizado

CONFIGURACIÓN OBJETIVO DE CONTROL
9.1 Registro de la Configuración Se deberán desarrollar y hacer cumplir políticas
OBJETIVO DE CONTROL claras que restrinjan el uso de software personal
y no licenciado. La organización deberá usar
Deberán establecerse procedimientos para software de detección y eliminación de virus. La
asegurar que sean registrados únicamente los Gerencia de TI deberá revisar periódicamente la
elementos de configuración autorizados e existencia de software no autorizado en las
identificables en el inventario, luego de la computadoras personales de la organización. Se
adquisición. Esos procedimientos deberán deberá verificar periódicamente si se está
proveer adicionalmente información de la cumpliendo con los requisitos de contratos de
eliminación autorizada y la consecuente venta de licencia de software y de hardware
los elementos de la configuración. Por otra parte,
deberán establecerse procedimientos para dar 9.6 Almacenamiento de Software
seguimiento a los cambios en la configuración OBJETIVO DE CONTROL
(nuevo elemento, cambio de estatus de desarrollo
a prototipo). El registro en bitácoras y el control Deberá definirse un área de almacenamiento de
deberán ser una parte integrada del registro de archivos (biblioteca o librería) para todos los
configuración del sistema, incluyendo revisiones elementos de software válidos en las fases
de registros modificados. apropiadas del ciclo de vida de desarrollo de
sistemas. Estas áreas deberán estar separadas de
9.2 Configuración Base otras y de las áreas de almacenamiento de
OBJETIVO DE CONTROL archivos de desarrollo, pruebas y producción.
La Gerencia de TI deberá asegurarse de que 9.7 Procedimientos Administrativos de la

exista una configuración base de elementos Configuración
como punto de verificación al cual regresar OBJETIVO DE CONTROL
después de las modificaciones.
Se deberán establecer procedimientos
9.3 Registro de Estatus administrativos de la configuración para asegurar
OBJETIVO DE CONTROL que se hayan identificado debidamente y se
mantengan los componentes críticos de los
La Gerencia de TI deberá asegurar que los recursos de TI de la organización. Deberá haber
registros de la configuración reflejen el estatus un proceso integrado por el cual se midan las
real de todos los elementos de la configuración exigencias actuales y futuras de procesamiento y
incluyendo la historia de los cambios. que provean insumos al proceso de adquisiciones
de recursos de tecnología de la información.
9.4 Control de la Configuración
OBJETIVO DE CONTROL 9.8 Registro o contabilización del Software
Los procedimientos deberán asegurar que la OBJETIVO DE CONTROL

existencia y consistencia del registro de la El software deberá ser etiquetado, inventariado y
configuración de la función de TI sean revisadas debidamente licenciado. Se deberá usar un
periódicamente. software para administración de bibliotecas para
producir rastros de auditoría de los cambios a los
programas y para mantener información sobre el
número de versión del programa, información
sobre fecha de creación y copias de versiones
anteriores.


DS10
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P S Entrega &
Soporte

Monitoreo
administración de problemas e incidentes
asegurar que los problemas e incidentes sean resueltos y que

sus causas sean investigadas para prevenir cualquier
recurrencia
un sistema de administración de problemas que

registre y dé seguimiento a todos los incidentes
• pistas de auditoría de problemas y

soluciones
• resolución oportuna de problemas
reportados
• procedimientos de escalamiento
• reportes de incidentes
• accesibilidad a la información de la 3 3 3 3 3
configuración
da nes
in olo s
• responsabilidades del proveedor

ac ía
e
te cion
g
io
ap ente
• coordinación con la administración de

to
a
cn
cambios
al
g
lic
st

10 ADMINISTRACIÓN DE PROBLEMAS E 10.4 Autorizaciones de Accesos Temporales y

INCIDENTES de Emergencia
10.1 Sistema de Administración de Problemas OBJETIVO DE CONTROL
OBJETIVO DE CONTROL Las autorizaciones de acceso temporal y de

emergencia deberán ser documentadas en
La Gerencia de TI deberá definir e implementar formularios estándar y mantenidas en
un sistema de administración de problemas para archivo, aprobadas por los gerentes
asegurar que todos los eventos operacionales que apropiados, comunicadas de forma segura a la
no formen parte de la operación estándar función de seguridad y las mismas deberán
(incidentes, problemas y errores) sean terminarse automáticamente después de un
registrados, analizados y resueltos período predeterminado.
oportunamente. Los procedimientos de cambios
de emergencia a programas se deben probar,
documentar, aprobar y reportar prontamente. 10.5 Prioridades de Procesamiento de
Deberán emitirse reportes de incidentes en caso Emergencia
de problemas significativos.
OBJETIVO DE CONTROL
10.2 Escalamiento de Problemas
La gerencia de TI debe establecer,
OBJETIVO DE CONTROL
documentar y aprobar mediante el uso de
La Gerencia deberá definir e implementar programas adecuados las prioridades de
procedimientos de escalamiento de problemas procesamiento de emergencia.
para asegurar que los problemas identificados
sean resueltos oportunamente de la manera más
eficiente. Estos procedimientos deberán
asegurar que las prioridades sean establecidas
apropiadamente. Los procedimientos también
deberán documentar el proceso de escalamiento
para la activación del plan de continuidad de TI.
10.3 Seguimiento de Problemas y Pistas de
Auditoría
OBJETIVO DE CONTROL
El sistema de administración de problemas
deberá proporcionar adecuadas pistas de
auditoría que permitan el seguimiento de un
incidente a partir de sus causas (por ejemplo,
liberación de paquetes o implementación de
cambios urgentes) y viceversa. Deberá trabajar
estrechamente con la administración de cambios,
la administración de disponibilidad y la
administración de configuración.


DS11
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P Entrega &
Soporte

Monitoreo
Administración de datos
asegurar que los datos permanezcan completos, precisos y válidos

durante su entrada, actualización y almacenamiento
una combinación efectiva de controles generales y de

aplicación sobre las operaciones de TI
• diseño de formatos
• controles sobre documentos fuente
• controles de entrada, procesamiento y salida
• identificación, movimiento y administración de
la librería de medios
• Recuperación y almacenamiento de datos
• autenticación e integridad
• propiedad de datos 3
• políticas de administración de datos
da nes
in olo s
• modelos de datos y estándares de

ac ía
e
te cion
g
io
ap ente
representación de datos
to
a
•
cn
integración y consistencia en todas las

al
g
lic
st
plataformas
• requisitos legales y regulatorios

11 ADMINISTRACIÓN DE DATOS 11.6 Procedimientos de Autorización de Entrada de

Datos
11.1 Procedimientos de Preparación de Datos
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
La organización deberá establecer procedimien-
La Gerencia deberá establecer procedimientos de tos apropiados para asegurar que la entrada de
preparación de datos que deben ser seguidos por datos sea llevada a cabo únicamente por personal
los departamentos usuarios. En este contexto, el autorizado.
diseño de formas de entrada de datos deberá ayu-
dar a minimizar los errores y las omisiones. Du- 11.7 Chequeos de Exactitud, Suficiencia y Autori-
rante la creación de los datos, los procedimientos zación
de manejo de errores deberán asegurar razona- OBJETIVO DE CONTROL
blemente que los errores y las irregularidades
sean detectados, reportados y corregidos. Los datos de transacciones, ingresados para su
procesamiento (generados por personas, por sis-
11.2 Procedimientos de Autorización de Documen- temas o entradas de interfase) deberán estar suje-
tos Fuente tos a una variedad de controles para verificar su
OBJETIVO DE CONTROL exactitud, suficiencia y validez. Asimismo, de-
berán establecerse procedimientos para asegurar
La Gerencia deberá asegurar que los documentos que los datos de entrada sean validados y edita-
fuente sean preparados apropiadamente por per- dos tan cerca del punto de origen como sea posi-
sonal autorizado que actúa dentro de su autori- ble.
dad, y que se establezca una separación de fun-
ciones adecuada con respecto al origen y aproba- 11.8 Manejo de Errores en la Entrada de Datos
ción de documentos fuente. OBJETIVO DE CONTROL
11.3 Recopilación de Datos de Documentos Fuente La organización deberá establecer procedimien-
OBJETIVO DE CONTROL tos para la corrección y reenvío de datos que
hayan sido capturados erróneamente.
Los procedimientos de la organización deberán
asegurar que todos los documentos fuente autori- 11.9 Integridad de Procesamiento de Datos
zados estén completos, sean precisos, registrados OBJETIVO DE CONTROL
apropiadamente y transmitidos oportunamente
para su ingreso a proceso. La organización deberá establecer procedimien-
tos para el procesamiento de datos que aseguren
11.4 Manejo de errores de documentos fuente que la segregación de funciones sea mantenida
OBJETIVO DE CONTROL y que el trabajo realizado sea verificado rutina-
riamente. Los procedimientos deberán asegurar
Los procedimientos de manejo de errores durante que se establezcan controles de actualización
la creación de datos deberán asegurar razonable- adecuados como totales de control "corrida a
mente que los errores y las irregularidades sean corrida –run to run-" y controles de actualiza-
detectados, reportados y corregidos. ción de archivos maestros.
11.5 Retención de Documentos Fuente 11.10 Validación y Edición de Procesamiento de
OBJETIVO DE CONTROL Datos
Deberán establecerse procedimientos para asegu- OBJETIVO DE CONTROL
rar que la organización pueda retener o reprodu- La organización deberá establecer procedimien-
cir los documentos fuente originales durante un tos para asegurar que la validación, autentica-
período de tiempo razonable para facilitar la re- ción y edición del procesamiento sean llevadas
cuperación o reconstrucción de datos, así como a cabo tan cerca del punto de origen como sea
para satisfacer requerimientos legales. posible. Cuando se utilicen sistemas de Inteli-
gencia Artificial, dichos sistemas serán ubica-

dos en una infraestructura de control interactiva 11.16 Provisiones de Seguridad para Reportes de
con operadores humanos para asegurar que las Salida
decisiones vitales son aprobadas.
OBJETIVO DE CONTROL
11.11 Manejo de Errores en el Procesamiento de
Datos
tos para garantizar que la seguridad de los re-
OBJETIVO DE CONTROL portes generados por los procesos sea manteni-
da para todos aquellos reportes que estén por
distribuirse, así como para todos aquéllos que
tos para el manejo de errores en el procesamien-
ya hayan sido distribuidos a los usuarios.
to de datos que permitan la identificación de
transacciones erróneas sin que éstas sean proce- 11.17 Protección de Información Sensible durante
sadas y sin interrumpir el procesamiento de transmisión y transporte
otras transacciones válidas.
OBJETIVO DE CONTROL
11.12 Manejo y Retención de Datos de Salida
La Gerencia deberá asegurar que durante la
OBJETIVO DE CONTROL transmisión y transporte de información sensi-
ble, se proporcione una adecuada protección
contra acceso o modificación no autorizada, así
tos para el manejo y la retención de datos pro-
como contra envíos a direcciones erróneas.
ducidos por sus programas de aplicación de TI.
En caso de que instrumentos negociables (ej. 11.18 Protección de Información Sensitiva Desecha-
Títulos valores) sean los receptores de la salida, da
se deberá prestar especial cuidado en prevenir
OBJETIVO DE CONTROL
usos inadecuados.
La Gerencia deberá definir e implementar pro-
11.13 Distribución de Datos Salidos de los Procesos
cedimientos para impedir el acceso a la infor-
OBJETIVO DE CONTROL mación sensitiva, al software de las computado-
ras, a los discos y otros equipos o medios cuan-
La organización deberá establecer y comunicar
do los mismos son desechados o transferidos a
procedimientos escritos para la distribución de
otro uso. Tales procedimientos deberán garanti-
datos de salida de tecnología de información.
zar que ninguna información marcada como
11.14 Balanceo y Conciliación de Datos de Salida “borrada” o “desechada”, pueda ser accedida
por personas internas o externas a la organiza-
OBJETIVO DE CONTROL ción.
11.19 Administración de Almacenamiento
tos para asegurar que los datos de salida sean
balanceados rutinariamente con los totales de OBJETIVO DE CONTROL
control relevantes. Deberán existir pistas de
Deberán desarrollarse procedimientos para el
auditoría para facilitar el seguimiento del proce-
almacenamiento de datos que consideren reque-
samiento de transacciones y la conciliación de
rimientos de recuperación, de economía y así
datos con problema.
mismo tengan en cuenta las políticas de seguri-
11.15 Revisión de Datos de Salida y Manejo de dad de la organización.
Errores
11.20 Períodos de Retención y Términos de Alma-
OBJETIVO DE CONTROL cenamiento
La Gerencia de la organización deberá establecer OBJETIVO DE CONTROL
procedimientos para asegurar que la precisión de los
Deberán definirse los períodos de retención y
reportes de los datos de salida sea revisada por el
los términos de almacenamiento para documen-
proveedor y por los usuarios responsables. Asimis-
tos, datos, programas, reportes y mensajes (de
mo, deberán establecerse procedimientos para con-
trolar los errores contenidos en los datos de salida.

entrada y de salida), así como los datos (claves, 11.24 Funciones de Respaldo
certificados) utilizados para su encripción y
OBJETIVO DE CONTROL
autenticación.
Deberán establecerse procedimientos para ase-
11.21 Sistema de Administración de la Librería de
gurar que los respaldos sean realizados de
Medios
acuerdo con la estrategia de respaldo definida, y
OBJETIVO DE CONTROL que las copias de respaldo sean verificadas re-
gularmente.
La función de servicios de información deberá
establecer procedimientos para asegurar que el 11.25 Almacenamiento de Respaldos
contenido de su librería de medios sea inventa-
OBJETIVO DE CONTROL
riado sistemáticamente, que cualquier discre-
pancia revelada por un inventario físico sea so- Los procedimientos de respaldo para los medios
lucionada oportunamente y que se consideren relacionados con tecnología de información
las medidas necesarias para mantener la integri- deberán incluir el almacenamiento apropiado de
dad de los medios magnéticos almacenados en los archivos de datos, del software y de la docu-
la librería. mentación relacionada, tanto dentro como fuera
de las instalaciones. Los respaldos deberán ser
11.22 Responsabilidades de la Administración de la
almacenados con seguridad y las instalaciones
Librería de Medios
de almacenamiento deberán ser revisadas perió-
OBJETIVO DE CONTROL dicamente con respecto a la seguridad de acceso
físico y la seguridad de los archivos de datos y
La Gerencia de la función de servicios de infor-
otros elementos.
mación deberá establecer procedimientos de
administración para proteger el contenido de la 11.26 Archivo
librería de medios. Deberán definirse estándares
OBJETIVO DE CONTROL
para la identificación externa de medios magné-
ticos y el control de su movimiento y almacena- La Gerencia deberá implementar una política y
miento físico para soporte y registro. Las res- procedimientos para asegurar que el archivo
ponsabilidades sobre el manejo de la librerías de cumple con requerimientos legales y de negocio
medios (cintas magnéticas, cartuchos, discos y y que se encuentra debidamente protegido y su
disquetes) deberán ser asignadas a miembros información adecuadamente registrada.
específicos del personal de servicios de infor-
mación. 11.27 Protección de Mensajes Sensitivos
OBJETIVO DE CONTROL
11.23 Respaldo (Back-up) y Restauración
Con respecto a la transmisión de datos a través
OBJETIVO DE CONTROL
de Internet u otra red pública, la Gerencia debe-
La Gerencia deberá implementar una estrategia rá definir e implementar procedimientos y pro-
apropiada de respaldo y recuperación para asegu- tocolos que deben ser utilizados para el asegura-
rar que ésta incluya una revisión de los requerimiento de la integridad, confidencialidad y “no
mientos del negocio, así como el desarrollo, im- negación/rechazo” de mensajes sensitivos.
plementación, prueba y documentación del plan
de recuperación. Se deberán establecer procedi- 11.28 Autenticación e Integridad
mientos para asegurar que los respaldos satisfagan OBJETIVO DE CONTROL
los requerimientos mencionados anteriormente.
Antes que alguna acción crítica sea tomada so-
bre información originada fuera de la Organiza-
ción, que se reciba vía teléfono, correo de voz,
documentos (en papel), fax o correo electrónico,
se deberá verificar adecuadamente la autentici-
dad e integridad de dicha información.

11.29 Integridad de Transacciones Electrónicas

OBJETIVO DE CONTROL
Tomando en consideración que las fronteras
tradicionales de tiempo y de geografía son me-
nos precisas y confiables, la Gerencia deberá
definir e implementar apropiados procedimien-
tos y prácticas para transacciones electrónicas
que sean sensitivas y críticas para la Organiza-
ción, que permitan asegurar su integridad y au-
tenticidad de:
z atomicidad (unidad de trabajo indivisible,
todas sus acciones tienen éxito o todas ellas
fallan)
z consistencia (si la transacción no logra al-
canzar un estado final estable, deberá regre-
sar al sistema a su estado inicial);
z aislamiento (el comportamiento de una tran-
sacción no es afectado por otras transaccio-
nes que se ejecutan concurrentemente); y
z durabilidad (los efectos de una transacción
son permanentes después que concluye su
proceso28, los cambios que origina deben
sobrevivir a fallas de sistema)
11.30 Integridad Continua de Datos Almacenados
OBJETIVO DE CONTROL
La Gerencia deberá asegurar que la integridad y
lo adecuado de los datos mantenidos en archi-
vos y otros medios (ej. tarjetas electrónicas) se
verifique periódicamente. Atención específica
deberá darse a dispositivos de tokens29, archivos
de referencia y archivos que contengan informa-
ción privada.
28
Concluye su proceso (commits): se dice de una
transacción que actualiza los datos que procesa al
concluir su procesamiento.
29
Tokens: Dispositivos especiales que permiten el
cálculo de claves en forma aleatoria. Utiliza semi-
llas / llaves que cambian cada minuto.



DS12
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P Entrega &
Soporte

Monitoreo
Administración de instalaciones (sitios donde se procesa información)
proporcionar un ambiente físico conveniente que proteja los

equipos y al personal de TI contra peligros naturales o fallas
humanas
la instalación de controles físicos y ambientales

adecuados que sean revisados regularmente para
garantizar su adecuado funcionamiento
• acceso a instalaciones
• identificación del sitio (instalación)
• seguridad física
• Políticas de inspección y escalamiento
• Plan de continuidad de negocios y
administración de crisis 3
• salud y seguridad del personal
da nes
in olo s
• Políticas de mantenimiento preventivo

ac ía
e
te cion
g
io
ap ente
• protección contra amenazas ambientales

to
a
•
cn
Monitoreo automatizado
al
g
lic
st

12 ADMINISTRACIÓN DE INSTALACIONES30 12.4 Salud y Seguridad del Personal

12.1 Seguridad Física OBJETIVO DE CONTROL
OBJETIVO DE CONTROL Deberán establecerse y mantenerse prácticas de
salud y seguridad en línea con las leyes y
Deberán establecerse medidas apropiadas de regulaciones internacionales, nacionales,
seguridad física y medidas de control de acceso regionales, estatales y locales.
para las instalaciones de tecnología de
información incluyendo el uso de dispositivos de 12.5 Protección contra Factores Ambientales
información off-site en conformidad con la OBJETIVO DE CONTROL
política general de seguridad. La seguridad
física y los controles de acceso deben abarcar no La Gerencia de la función de servicios de
sólo el área que contenga el hardware del sistema información deberá asegurar que se establezcan
sino también las ubicaciones del cableado usado y mantengan las suficientes medidas para la
para conectar elementos del sistema, servicios de protección contra los factores ambientales (por
soporte (como la energía eléctrica), medios de ejemplo, fuego, polvo, electricidad, calor o
respaldo y demás elementos requeridos para la humedad excesivos). Deberán instalarse equipo
operación del sistema. El acceso deberá y dispositivos especializados para monitorear y
restringirse a las personas que hayan sido controlar el ambiente.
autorizadas. Cuando los recursos de tecnología 12.6 Suministro Ininterrumpido de Energía
de información estén ubicados en áreas públicas,
deberán estar debidamente protegidos para OBJETIVO DE CONTROL
impedir o para prevenir pérdidas o daños por La Gerencia deberá evaluar regularmente la
robo o por vandalismo. necesidad de contar con generadores y baterías
12.2 Discreción31 sobre las Instalaciones de de suministro ininterrumpido de energía (UPS)
Tecnología de Información para las aplicaciones críticas de tecnología de
información, con el fin de protegerse contra
OBJETIVO DE CONTROL fallas y fluctuaciones de energía. Cuando sea
La Gerencia de la función de servicios de justificable, deberá instalarse el equipo más
información deberá asegurar que se mantenga un apropiado.
bajo perfil sobre la identificación física de las
instalaciones relacionadas con sus operaciones
de tecnología de información. La información
sobre la ubicación del sitio debe ser limitada y
mantenerse con la adecuada reserva.
12.3 Escolta de Visitantes
OBJETIVO DE CONTROL
Deberán establecerse procedimientos apropiados
que aseguren que las personas que no formen
parte del grupo de operaciones de la función de
servicios de información sean escoltadas por
algún miembro de ese grupo cuando deban entrar
a las instalaciones de cómputo. Deberá
mantenerse y revisarse regularmente una bitácora
de visitantes.
30
Instalaciones (Facilities)
31
Discreción (low profile)


DS13
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P S S Entrega &
Soporte
administración de operaciones Monitoreo
asegurar que las funciones importantes de soporte de TI estén

siendo llevadas a cabo regularmente y de una manera ordenada
una programación o planeación de las actividades que sea

registrada y diligenciada con base en el cumplimiento de
todas las actividades
• manual de procedimiento de operaciones

• documentación para el inicio de procesos
• administración de servicios de red
• Programación del personal y cargas de trabajo
• proceso de cambio de turno
• registro de eventos del sistema
• Coordinación con las áreas de administración
de cambios, disponibilidad y manejo continuo 3 3 3 3
de negocios
da nes
in olo s
ac ía
e
• Mantenimiento preventivo
te cion
g
io
ap ente
s
to
• Acuerdos de niveles de servicio

a
cn
al
g
lic
• Operaciones automatizadas
st
• Registro, rastreo y escalamiento de incidentes

13 ADMINISTRACIÓN DE OPERACIONES 13.5 Continuidad de Procesamiento

13.1 Manual de Instrucciones y Procedimientos de OBJETIVO DE CONTROL
las Operaciones de Procesamiento Los procedimientos deberán requerir continuidad
OBJETIVO DE CONTROL de procesamiento durante los cambios de turno
de los operadores mediante la existencia de un
La Gerencia de TI deberá establecer y proceso de entrega formal de actividades,
documentar procedimientos estándar para las actualización del estado en que se encuentran los
operaciones de tecnología de información procesos y reporte sobre las responsabilidades
(incluyendo operaciones de red). Todas las actuales.
soluciones y plataformas de tecnología de
información con que cuente la empresa deberán 13.6 Bitácoras de Operación
ser operadas utilizando estos procedimientos, los OBJETIVO DE CONTROL
cuales deberán ser revisados periódicamente para
asegurar su efectividad y cumplimiento. Los controles de la Gerencia deberán garantizar
que se almacene en bitácoras suficiente
13.2 Documentación del Proceso de Inicio y de información cronológica de las operaciones para
Otras Operaciones permitir la reconstrucción, la revisión y el
OBJETIVO DE CONTROL examen oportunos de las secuencias de tiempo
de procesamiento y otras actividades que rodean
La Gerencia de TI deberá asegurar que el y soportan el procesamiento.
personal de operaciones esté adecuadamente
familiarizado y sepa como ejecutar las tareas del 13.7 Custodia de Formularios Especiales y de
proceso de inicio y con otras operaciones con Dispositivos de Salida
base en una adecuada documentación la cual OBJETIVO DE CONTROL
debe ser periódicamente probada y ajustada,
según se requiera. La gerencia deberá establecer seguridades físicas
apropiadas para proteger los formularios
13.3 Programación de Trabajos especiales, como por ejemplo los instrumentos
OBJETIVO DE CONTROL negociables, y los dispositivos sensitivos de
salida, como por ejemplo los cartuchos de firma
La Gerencia de la función de servicios de tomando en consideración el apropiado registro
información deberá asegurar que la de los recursos de tecnología de información,
programación continua de trabajos, procesos y formularios o artículos que requieran protección
tareas sea organizada en la secuencia más adicional y administración de inventario.
eficiente, maximizando el uso de recursos y su
utilización, con el fin de alcanzar los objetivos 13.8 Operaciones Remotas
establecidos en los convenios de nivel de OBJETIVO DE CONTROL
servicio. Las programaciones iniciales así como
los cambios a estas programaciones deberán ser Para las operaciones remotas, deberán existir
autorizados apropiadamente. procedimientos específicos que aseguren que la
conexión y desconexión de los enlaces con la(s)
13.4 Desviaciones32 de la Programación de instalación(es) remota(s) sean identificadas e
Trabajos Estándar implementadas.
OBJETIVO DE CONTROL
Deberán establecerse procedimientos para
identificar, investigar y aprobar la ejecución de
los programas de trabajos estándar.
32
Desviaciones (departures)


(M)
MONITOREO


MONITOREO
M1
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
Entrega &
P P S S S S S Soporte

Monitoreo
monitoreo del proceso
asegurar el logro de los objetivos establecidos para los procesos

de TI
la definición de indicadores de desempeño

gerenciales, el reporte oportuno y sistemático del
desempeño y la oportuna acción sobre las
desviaciones
• Tarjetas de decisión (scorecards) con

indicadores de desempeño y medición de
resultados
• evaluación de la satisfacción de clientes
• reportes gerenciales
• Base de conocimientos del desempeño 3 3 3 3 3
histórico
da nes
in olo s
• Benchmarking externo
ac ía
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st

1 MONITOREO DEL PROCESO

1.1 Recolección de Datos de Monitoreo
OBJETIVO DE CONTROL
Para los procesos de tecnología de información y
de control interno, la Gerencia deberá asegurar
que se definan indicadores de desempeño
relevantes (ej. benchmarks) tanto para
actividades internas como las proporcionadas por
terceros y que se recolecten datos para la
creación de reportes con información gerencial y
reportes de excepción relacionados con estos
indicadores. Los controles deben también estar
dirigidos a validar la integridad y lo apropiado
tanto de las medidas e indicadores de desempeño
organizacional como individuales.
1.2 Evaluación de Desempeño
OBJETIVO DE CONTROL
Los servicios a ser proporcionados por la función
de servicios de información deberán ser medidos
(indicadores clave de desempeño y/o factores
críticos de éxito) y comparados con los niveles
esperados. Las evaluaciones a la función de
servicios de información deberán ser
desarrolladas en forma continua.
1.3 Evaluación de la satisfacción de Clientes
OBJETIVO DE CONTROL
A intervalos regulares, la Gerencia deberá
efectuar mediciones de la satisfacción de los
clientes con respecto a los servicios
proporcionados por la función de servicios de
información, con la intención de identificar
deficiencias en los niveles de servicio y
establecer objetivos de mejoramiento.
1.4 Reportes Gerenciales
OBJETIVO DE CONTROL
Deberán proporcionarse reportes gerenciales
para ser revisados por la alta gerencia en cuanto
al avance de la organización hacia las metas
identificadas. Los reportes de estatus deberán
incluir en qué medida se han logrado los
objetivos planeados, se han obtenido productos,
se han cumplido los objetivos de desempeño y se
han mitigado los riesgos. Con base en la
revisión, la Gerencia deberá iniciar y controlar
las acciones pertinentes.


MONITOREO
M2
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m lid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
Entrega &
P P S S S S S Soporte
Control sobre el proceso de TI:

Monitoreo
Evaluar lo adecuado del control interno
asegurar el logro de los objetivos de control interno

establecidos para los procesos de TI
el compromiso de la Gerencia de monitorear los

controles internos, evaluar su efectividad y emitir
reportes sobre ellos en forma regular
• Responsabilidades para el control interno

• Monitoreo del control interno en proceso
• benchmarks33
• reportes de errores y excepciones
• autoevaluaciones
• reportes gerenciales
• Cumplimiento con los requerimientos 3 3 3 3 3
legales y regulatorios
da nes
in olo s
al gía
e
te cion
io
ap ente
s
to
ac
a
cn
g
lic
st
33
Comparación con mejores prácticas (benchmarks)

2 EVALUAR LO ADECUADO DEL 2.4 Seguridad de la Operación y Aseguramiento

CONTROL INTERNO de Control Interno
2.1 Monitoreo del Control Interno OBJETIVO DE CONTROL
OBJETIVO DE CONTROL La seguridad en las operaciones y el

aseguramiento de control interno deberán ser
La Gerencia deberá monitorear la efectividad de establecidos y repetidos periódicamente a través
los controles internos en el curso normal de las de una “autoanálisis” o de una auditoría
operaciones a través de actividades independiente para examinar si la seguridad y los
administrativas y de supervisión, comparaciones, controles internos se encuentran operando de
reconciliaciones y otras acciones rutinarias. Las acuerdo con los requerimientos de seguridad y
desviaciones deberán generar análisis y acciones control interno establecidos o implícitos. Las
correctivas. Además, las desviaciones deberán actividades de monitoreo continuo por parte de la
ser comunicadas a la persona responsable de la Gerencia deberán revisar la existencia de puntos
función y también, por lo menos, a un nivel de la vulnerables y problemas de seguridad.
gerencia por encima de esa persona. Las
desviaciones graves deberán ser reportadas a la
alta gerencia.
2.2 Operación Oportuna de Controles Internos
OBJETIVO DE CONTROL
La confiabilidad en los controles internos
requiere que los controles operen rápidamente
para detectar errores e inconsistencias y que
éstos sean corregidos antes de que impacten a la
producción y a la prestación de servicios. La
información relacionada con los errores,
inconsistencias y excepciones deberá ser
conservada y reportada sistemáticamente a la
Gerencia.
2.3 Reporte sobre el Nivel de Control Interno
OBJETIVO DE CONTROL
La Gerencia deberá reportar información sobre
los niveles de control interno y sobre las
excepciones a las partes afectadas para asegurar
la efectividad continua de su sistema de control
interno. Deberán llevarse a cabo acciones para
identificar qué información es necesaria y a qué
nivel en particular para facilitar la toma de
decisiones.


MONITOREO
M3
Planeación &
di gri dad
co lim ad
Organización
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
cu nib
tiv
en
ia
ec
p
te
o
Adquisición &
ef
nf
Implementación
P P S S S S S
Entrega &
Soporte
obtención de aseguramiento independiente

Monitoreo
incrementar los niveles de confianza entre la organización,

clientes y proveedores externos
revisiones de aseguramiento independientes llevadas a

cabo en intervalos regulares
• certificaciones / acreditaciones
independientes
• evaluaciones independientes de efectividad
• aseguramiento independiente sobre
cumplimiento de requerimientos legales y
regulatorios
• aseguramiento independiente del
cumplimiento de compromisos
contractuales
• revisiones y benchmarking a proveedores 3 3 3 3 3
externos de servicios
da nes
•
in olo s
Revisión por personal calificado del

al gía
e
te cion
io
ap ente
aseguramiento de desempeño
to
ac
a
• involucramiento proactivo de la auditoría

cn
g
lic
st

3 OBTENCIÓN DE ASEGURAMIENTO 3.5 Aseguramiento Independiente del

INDEPENDIENTE Cumplimiento de leyes, requerimientos
regulatorios y compromisos contractuales
3.1 Certificación / Acreditación Independiente de
Control y Seguridad de los servicios de TI OBJETIVO DE CONTROL
OBJETIVO DE CONTROL La Gerencia deberá obtener un aseguramiento

independiente sobre el cumplimiento de la
La Gerencia deberá obtener una certificación o función de servicios de tecnología de
acreditación independiente sobre la seguridad y información con respecto a requerimientos
el control interno antes de implementar nuevos regulatorios y legales y compromisos
servicios de tecnología de información que contractuales en forma cíclica y rutinaria.
resulten críticos y obtener re-certificaciones o re-
acreditaciones de estas actividades en forma 3.6 Aseguramiento Independiente del
cíclica y rutinaria después de haber hecho la Cumplimiento de leyes, requerimientos
implementación. regulatorios y compromisos contractuales de
proveedores externos de servicios
3.2 Certificación / Acreditación Independiente de
Control y Seguridad de proveedores externos OBJETIVO DE CONTROL
de servicios
La Gerencia deberá obtener un aseguramiento
OBJETIVO DE CONTROL independiente sobre el cumplimiento de
proveedores externos de servicios de tecnología
La Gerencia deberá obtener una certificación o de información con respecto a requerimientos
acreditación independiente de seguridad y regulatorios, leyes y compromisos contractuales
control interno antes de utilizar proveedores de en forma cíclica y rutinaria.
servicios de tecnología de información y obtener
re-certificaciones o re-acreditaciones de estas 3.7 Competencia de la Función de Aseguramiento
actividades en forma cíclica y rutinaria. Independiente
3.3 Evaluación Independiente de la Efectividad de OBJETIVO DE CONTROL

los Servicios de TI
La Gerencia deberá asegurarse de que la función
OBJETIVO DE CONTROL de aseguramiento independiente posea
competencia técnica, habilidades y conocimiento
La Gerencia deberá obtener una evaluación necesario para desempeñar dicha función en una
independiente sobre la efectividad de los forma efectiva, eficiente y económica.
servicios de tecnología de información en forma
cíclica y rutinaria. 3.8 Participación Proactiva de la Auditoría
3.4 Evaluación Independiente de la Efectividad de OBJETIVO DE CONTROL

proveedores externos de servicios
La Gerencia de Tecnología de Información
OBJETIVO DE CONTROL deberá buscar la participación de la auditoría en
una forma proactiva, antes de finalizar
La Gerencia deberá obtener una evaluación soluciones de servicio de tecnología de
independiente sobre la efectividad de los información.
proveedores de servicios de tecnología de
información en forma cíclica y rutinaria.


MONITOREO
M4
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
Entrega &
P P S S S P S Soporte

Monitoreo
proveer auditoría independiente
incrementar los niveles de confianza y beneficiarse de

recomendaciones basadas en mejores prácticas
auditorías independientes desarrolladas a intervalos

regulares
• independencia de auditoría
• involucramiento proactivo de la auditoría
• ejecución de auditorías por parte de
personal calificado
• aclaración de resultados y
recomendaciones
• actividades de seguimiento
• Evaluación del impacto de las 3 3 3 3 3
recomendaciones de la auditoria (costos,
da nes
in olo s
beneficios, y riesgos)
ac ía
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st

4 PROVEER AUDITORÍA INDEPENDIENTE conocimientos (ej. dominios requeridos para

34 obtener el CISA35) necesarios para desempeñar
4.1 Estatuto de Auditoría
dichas revisiones en forma efectiva, eficiente y
OBJETIVO DE CONTROL económica. La Gerencia deberá asegurar que el
personal asignado a tareas de auditoría de
La alta gerencia de la organización deberá sistemas de información, mantiene su nivel de
establecer el estatuto para la función de auditoría. competencia técnica mediante un programa
Este documento deberá establecer la
adecuado de educación profesional continua.
responsabilidad, autoridad y obligaciones de la
función de auditoría. Asimismo este documento 4.5 Planeación
deberá ser revisado periódicamente para asegurar
OBJETIVO DE CONTROL
que se mantengan la independencia, autoridad y
responsabilidad de la función de auditoría. La alta gerencia deberá establecer un plan de
auditoría para garantizar que se obtenga un
4.2 Independencia
aseguramiento regular e independiente con
OBJETIVO DE CONTROL respecto a la efectividad, eficiencia y economía
de la seguridad y de los procedimientos de
El auditor deberá ser independiente del auditado control interno, así como de la habilidad de la
tanto en actitud como en apariencia (real y
Gerencia para controlar las actividades de la
percibida). Los auditores no deberán estar función de servicios de información. Dentro de
relacionados con la sección o departamento que este plan la Gerencia deberá determinar las
esté siendo auditado, y en la medida de lo
prioridades relacionadas con la obtención de
posible, deberá también ser independiente de la aseguramiento independiente. Los auditores
propia empresa. De esta manera, la función de deberán planear el trabajo de auditoría para
auditoría deberá ser suficientemente alcanzar los objetivos de auditoría y cumplir con
independiente del área auditada para concluir una
los estándares profesionales correspondientes.
auditoría en forma objetiva.
4.6 Ejecución del Trabajo de Auditoría
4.3 Etica y Estándares Profesionales
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL Las auditorías deberán ser supervisadas
apropiadamente para proporcionar certeza de que
La función de auditoría deberá asegurar el
los objetivos de auditoría están siendo alcanzados
cumplimiento de los códigos aplicables de ética
y que los estándares profesionales de auditoría
profesional (ej. Código de Etica de la Information
que sean aplicables están siendo considerados.
Systems Audit and Control Association) y
Los auditores deberán asegurarse de obtener
estándares de auditoría (ej. Estándares de la
evidencia suficiente, confiable, relevante y útil
Information Systems Audit and Control
para alcanzar los objetivos de auditoría de forma
Association) en todo lo que el auditor lleve a
efectiva. Los hallazgos y conclusiones de
cabo. El debido cuidado profesional deberá
auditoría deben estar soportadas por un análisis
observarse en todos los aspectos del trabajo de
apropiado y una correcta interpretación de esta
auditoría, incluyendo el respeto de estándares
evidencia.
aplicables sobre auditoría y tecnología de
información.
4.4 Competencia
OBJETIVO DE CONTROL
La Gerencia deberá asegurar que los auditores
34
responsables de las revisiones de las actividades Estatuto (charter)
35
de la función de servicios de información de la CISA: es un acrónimo para el titulo de Certified
organización, sean técnicamente competentes y Information Systems Auditor (auditor de sistemas
cuenten en forma general con las habilidades y de información certificado).

4.7 Reporte
OBJETIVO DE CONTROL
La función de auditoría de la organización deberá
entregar un reporte, en un formato adecuado, a
todo el personal interesado una vez concluida su
revisión. El reporte de auditoría deberá mostrar
los objetivos de la auditoría, el período de
cobertura y la naturaleza y extensión de trabajo
de auditoría realizado. El reporte deberá
identificar la Organización, los destinatarios del
informe y cualquier restricción en su circulación.
El reporte de auditoría deberá también mostrar
los hallazgos, conclusiones y recomendaciones
relacionadas con el trabajo de auditoría llevado a
cabo, así como cualquier salvedad o comentario
que el auditor tenga con respecto a la auditoría.
4.8 Actividades de Seguimiento
OBJETIVO DE CONTROL
La resolución y atención de los comentarios
sobre la auditoría depende de la Gerencia. Los
auditores deberán solicitar y evaluar la
relacionada con los hallazgos, conclusiones y
recomendaciones de auditorías anteriores para
determinar si las acciones apropiadas han sido
implementadas de manera oportuna.

APENDICES


APÉNDICE I – DIRECTRICES GERENCIALES DE GOBIERNO/

GOBERNABILIDAD DE TI
Las siguientes Directrices Gerenciales y el Modelo de Madurez identifican los Factores Críticos de Éxito
(Critical Success Factors — CSFs), los Indicadires Claves de objetivos/resultados (Key Goal Indicators—
KGIs), Indicadores Claves de Desempeño (Key Performance Indicators—KPIs) para la Gobernabilidad de TI.
Primero, la Gobernabilidad de TI se define articulando las necesidades del negocio. A continuación, los
criterios de información relacionados con la Gobernabilidad de TI son identificados. Las necesidades del
negocio son medidas por los Indicadores Claves de Resultados - KGIs - y organizados por sentencias de control
apoyado por todos los recursos de TI. El resultado de las sentencias de control organizadas son medidas por los
Indicadores Clave de desempeño - KPIs los cuales consideran los Factores críticos de Éxito - CSFs.
El modelo de madurez se utiliza para evaluar el nivel de la organización para cumplir con lo establecido por la
Gobernabilidad de TI—desde el mas bajo nivel donde no existe, pasando por un estado inicial /adhoc,
ascendiendo a otro repetible pero intuitivo, luego a otro con procesos definidos, a otro administrado y medido y
llegando al nivel optimista que es el mas alto nivel. Para llegar al nivel de madurez optimista para la
Gobernabilidad de TI, una organización debe estar al menos en el nivel optimizado del dominio de Monitoreo y
al menos estar en el nivel de medir y administrar los demás dominios.
(Ver las Directrices Gerenciales de COBIT para una completa discusión del uso de esas herramientas)

APÉNDICE I - z Hay integración e interoperabilidad transparente

DIRECTRICES GERENCIALES de los procesos de TI mas complejos como
podrían ser: problemas, cambios y
DEL GOBIERNO/GOBERNABILIDAD administración de la configuración.
DE TI z Se establece un comité de auditoría para
Gobierno sobre la tecnología de información y los designar y supervisar un auditor independiente
procesos con las metas del negocio para añadir valor, enfocado sobre TI cuando dirige la ejecución de
mientras se balancean los riesgos y el retorno planes de auditoría y revisa los resultados de las
auditorías y revisiones de terceros.
Asegurar la entrega de información al Negocio el
cual establece los Criterios de Información
requeridos y es medido por Indicadores Clave
Criterios de Recursos de TI
de Resultados/Logros
Información
Efectividad Personas
Se hace posible a través de la creación y
Eficiencia Aplicaciones
mantenimiento de un sistema de procesos y
Confidencialidad Tecnología
controles apropiados para el negocio, el
Integridad Instalaciones
cual dirige y monitorea el valor del negocio
Disponibilidad Datos
proporcionado por TI
Cumplimiento
Confiabilidad
Considera Factores Críticos de Éxito
que tiene en cuenta todos los Recursos
de TI y es medido por Indicadores Indicadores Clave de Resultados / Logros —
Clave de Desempeño KGIs
Factores Críticos de Éxito - CSFs z Incrementar el desempeño y la administración
de costos
z Las actividades del gobierno de TI son z Mejorar el retorno de la inversión sobre las
integradas dentro del proceso de gobierno de la mayores inversiones de TI
empresa y las conductas de liderazgo z Mejorar el tiempo de comercialización
z El gobierno de TI se enfoca en los objetivos y z Incrementar la calidad, la innovación y la
metas de la empresa, en las iniciativas administración de riesgos
estratégicas y el uso de tecnología para mejorar z Procesos del negocio apropiadamente integrados
el negocio, con base en la disponibilidad de y estandartizados
recursos y capacidades suficientes para soportar z Búsqueda de nuevos clientes y satisfacer los
las demandas del negocio. existentes
z Las actividades del Gobierno de TI están z Disponibilidad de apropiado ancho de banda,
definidas sobre propósitos claros, documentados poder de cómputo y mecanismos para la entrega
e implementados, basados en las necesidades de de servicios de TI
la empresa y con responsabilidades concretas. z Satisfacer los requerimientos y las expectativas
z Las prácticas gerenciales son implementadas de los clientes de los procesos con base en un
para incrementar la eficiencia y el uso óptimo de presupuesto y a tiempo
los recursos así como incrementar la efectividad z Cumplir con las leyes, regulaciones, estándares
de los procesos de TI. de la industria y compromisos contractuales.
z Se establecen prácticas organizacionales para: z Transparencia en los riesgos asumidos y
evitar descuidos; una cultura/ ambiente de cumplimiento con el acuerdo del perfil de riesgo
control; análisis de riesgos como práctica organizacional.
estándar; grado de adherencia a estándares z Comparaciones mediante Benchmarking sobre
establecidos; monitoreo y seguimiento a los el nivel de madurez de TI
riesgos y a las deficiencias de control. z Creación de nuevos canales de distribución y
z Se definen prácticas de control para evitar el entrega de servicios
incumplimiento o mal uso de controles internos.

I - DIRECTRICES GERENCIALES relacionados de la empresa. No hay procesos de

DEL GOBIERNO DE TI análisis estándar. El monitoreo de TI está
implementado en una forma reactiva a incidentes
que han causado algunas pérdidas o apuros a la
Indicadores Clave de Desempeño - KPIs organización.
z Mejorar los procesos de costo-eficiencia de TI 2 Repetible pero Intuitiva. Hay una conciencia
(costos versus entregables o servicios) global sobre los aspectos del gobierno de TI. Las
z Incrementare el número de planes de acción de actividades del gobierno de TI y los indicadores
TI para las iniciativas de mejoramiento de de desempeño están en desarrollo, incluyendo la
procesos planeación de TI y los procesos de entrega y
z Incrementar la utilización de la infraestructura monitoreo. Como parte de los esfuerzos, las
de TI actividades del gobierno de TI están formalmente
z Incrementar la satisfacción de los socios y establecidas dentro del proceso de administración
accionistas (encuestas y número de del cambio con el involucramiento activo de la
reclamaciones). alta gerencia. Procesos seleccionados de TI son
z Incrementar la productividad de los funcionarios identificados para mejorar y/o controlar el núcleo
de TI (número de entregables) y su moral de los procesos de la empresa, son efectivamente
(encuesta) planeados y monitoreados como si fueran
z Incrementar la disponibilidad de conocimiento e inversiones y son derivados en el contexto de un
información para administrar la empresa. marco de referencia de la arquitectura de TI. La
z Incrementar las relaciones entre el gobierno de gerencia ha identificado los métodos y técnicas
la empresa y el gobierno de TI básicos de análisis y medición del gobierno de TI,
z Incrementar el desempeño mediante mediciones sin embargo, el proceso no ha sido adoptado a
utilizando tarjetas de medición (Balanced través la organización. No hay entrenamiento y
Scorecards). comunicación sobre los estándares de
gobernabilidad y las responsabilidades son
Modelo de Madurez del Gobierno de TI dejadas a los individuos. Los individuos
direccionan los procesos de gobernabilidad como
El Gobierno sobre la tecnología de información es un si no fueran procesos y proyectos de TI. Las
proceso que tiene como finalidad proveer valor herramientas de gobernabilidad son limitadas,
agregado al negocio mientras balancea riesgos versus escogidas e implementadas para lograr métricas
retorno. de gobernabilidad pero puede que no se usen en
toda su capacidad debido a la falta de experiencia
0 No existe. Hay una completa falta de cualquier en su funcionalidad.
proceso de gobierno de TI identificable. La
organización no ha reconocido aun que hay 3 Procesos Definidos. La necesidad de actuar con
aspectos que deben ser identificados y por lo respecto al gobierno de TI es entendida y
tanto no hay comunicación al respecto. aceptada. Se desarrolla un grupo básico de
indicadores de Gobierno de TI, donde el
1 Inicial / Ad Hoc36. Hay evidencia de que la encadenamiento entre medidas de ingresos y
organización ha reconocido que existen aspectos controladores de desempeño es definido,
del gobierno de TI que deben ser considerados. documentado e integrado dentro de la planeación
Hay, sin embargo, procesos no estandarizados, operacional y estratégica .
pero en su lugar, hay procedimientos ad hoc Los procedimientos han sido estandarizados,
aplicados sobre un caso individual o sobre bases documentados e implementados. La Gerencia ha
de caso a caso37. El enfoque Gerencial es caótico comunicado los procedimientos estandarizados y
y hay una esporádica e inconsistente se establece un entrenamiento informal. Los
comunicación sobre aspectos y enfoques que 36
deban ser considerados. Puede haber algún Ad Hoc: porque sí, por costumbre
37
reconocimiento para utilizar el valor de TI en el case-by-case basis: Bases de caso a caso
desempeño orientado al resultado de los procesos

reados generando mejoras a todo lo largo de de análisis causa-efectos. Hay un limitado,

laempresa. Aunque medidos, los procedimientos primario y táctico uso de la tecnología, basado
no son sofisticados pero son la formalización de en técnicas de madurez y reforzado con
prácticas existentes. Las herramientas están herramientas estándar. Hay involucramiento de
estandarizadas, utilizando técnicas disponibles y todos los expertos internos requeridos. El
modernas. La idea de utilizar tarjetas de medición gobierno de TI involucra los procesos a todo lo
que balancean el negocio y TI son adoptadas por ancho de la empresa. Las actividades del
la organización. Esto, sin embargo, deja que el gobierno de TI están llegando a integrarse con los
individuo, de acuerdo con su entrenamiento, siga procesos de gobierno de la empresa.
y aplique los estándares. El análisis de causa
efecto es ocasionalmente aplicado. La mayoría de 5 Optimizado. En esta fase hay un entendimiento
los procesos son monitoreados sobre métricas avanzado y hacia futuro de los aspectos y
(bases), pero cualquier desviación, debido a que soluciones del gobierno de TI. El entrenamiento y
generalmente se basa en las iniciativas de los las comunicaciones son soportadas por conceptos
individuos, probablemente no serían detectadas y técnicas de vanguardia. Los procesos han sido
por la Gerencia. De todas maneras, el registro refinados a un nivel de mejores prácticas externas
total del desempeño de los procesos claves es basadas sobre resultados de mejoramiento
realizado y la gerencia es recompensada basada contínuo y modelos de madurez con otras
en mediciones clave de desempeño. organizaciones. La implementación de esas
políticas han permitido a la organización, a la
4 Administrado y Medible. Hay un completo gente y a los procesos que se adapten
entendimiento de los aspectos de Gobierno de TI rápidamente y por completo a los requerimientos
a todos los niveles de la organización, soportado de gobierno de TI. Todos los problemas y
por un entrenamiento formal. Hay un claro desviaciones son analizados de raíz y con base en
entendimiento de quien es el cliente y sus ese análisis se identifican e inician acciones
responsabilidades están definidas y monitoreadas eficientes y oportunas. La Tecnología de
a través de acuerdos de nivel de servicio. Las Información es utilizada de una manera extensiva
responsabilidades son claras y el proceso de y optimizada para automatizar el flujo de trabajo
“propiedad” está establecido. Los procesos de TI y proporcionar herramientas para mejorar la
están alineados con el negocio y con la estrategia calidad y la efectividad. Los riesgos y el retorno
de TI. El mejoramiento de los procesos de TI está de los procesos de TI son definidos, balanceados
basado primariamente sobre un entendimiento y comunicados a través de toda la empresa. Se
cuantitativo y por ello es posible monitorear y aprovechan expertos externos y se utilizan
medir el cumplimiento con procesos y con benchmarks como guías. El monitoreo y el auto-
métrica de procesos. Todos los responsables o análisis de riesgos y las comunicaciones acerca
propietarios de los procesos son advertidos sobre de las expectativas del gobierno influencian la
los riesgos, la importancia de TI y las organización y hay un óptimo uso de la
oportunidades que TI puede ofrecer. La Gerencia tecnología para soportar la medición, el análisis,
ha definido una tolerancia bajo la cual los las comunicaciones y el entrenamiento. El
procesos deben operar. Se toman acciones en la gobierno de la empresa y el gobierno de TI están
mayoría, pero no en todos los casos, donde estratégicamente conectados empujando a los
parece que los procesos no están operando recursos humanos y financieros a incrementar la
efectiva o eficientemente. Los procesos se ventaja competitiva de la empresa.
mejoran ocasionalmente y se refuerzan las
mejores prácticas internas. Se estandariza el uso

APÉNDICE II – DESCRIPCIÓN DEL PROYECTO COBIT

El proyecto continua siendo supervisado por un INVESTIGACION Y ENFOQUE PARA LA 3a
Comité de Dirección formado por representantes EDICION
internacionales de la academia, industria, gobierno y El proyecto de la 3a edición de COBIT consistió en
la profesión de auditoría. El Comité de Dirección del desarrollar las Directrices Gerenciales y actualizar la
Proyecto intervino en el desarrollo del Marco 2a Edición de COBIT basado en nuevas y revisadas
Referencial ("Framework") COBIT y en la aplicación referencias internacionales.
de los resultados de la investigación. Se establecieron
grupos de trabajo internacionales con el propósito de Adicionalmente, el Marco de Referencia de COBIT fue
asegurar la calidad y contar con una revisión experta revisado y mejorado para soportar el incremento de
de la investigación y los elementos entregables del controles gerenciales, introducir gerencia de desempeño
desarrollo del proyecto. El IT Governance Institute y también desarrollar el Gobierno de TI. Con el fin de
proporcionó toda la dirección del proyecto. proporcionarle a la gerencia una aplicación del Marco
de Referencia para que pueda analizar y efectuar
INVESTIGACION Y ENFOQUE PARA EL cambios para la implementación de controles y el
DESARROLLO INICIAL mejoramiento sobre la información y las tecnologías
Empezando con el Marco Referencial de COBIT, definido relacionadas, así como medir el desempeño, las
en la primera edición, la aplicación de estándares y Directrices Gerenciales incluyen Modelos de Madurez,
directrices internacionales y la investigación dentro de Factores Críticos de Éxito, Indicadores Clave de
mejores prácticas ha permitido el desarrollo de los Logros/resultados e Indicadores Clave de Desempeño
Objetivos de Control. Las Guías o Directrices de relacionados con los Objetivos de Control.
Auditoría fueron desarrolladas a continuación para
analizar si esos objetivos de control son apropiadamente Las Directrices Gerenciales fueron desarrolladas para
implementados. ser utilizadas por un grupo de 40 expertos de todo el
mundo, pertenecientes a la industria, la academia, el
La investigación de la primera y segunda edición incluyó gobierno y profesionales en control y seguridad de TI.
la recolección y el análisis de fuentes identificadas y fue Esos expertos participaron en talleres de trabajo
llevada a cabo por equipos de investigación en Europa guiados por facilitadores profesionales que utilizaron
(Free University of Amsterdam), Estados Unidos guías definidas por el Comité de Dirección del Proyecto
(California Polytechnic University) y Australia (University COBIT. Los talleres fueron fuertemente apoyados por el
of New South Wales). Los equipos de investigación fueron Gartner Group y PricewaterhouseCoopers, quienes no
encargados de la compilación, revisión, análisis y solo proporcionaron liderazgo de pensamiento sino que
apropiada incorporación de estándares técnicos también enviaron varios de sus expertos en control,
internacionales, códigos de conducta, estándares de gerencia del desempeño y seguridad de la información.
calidad, estándares profesionales en prácticas y Los resultados de los talleres generaron los borradores
requerimientos de la auditoría y de la industria, en cuanto a de los Modelos de Madurez, los Factores Críticos de
su relación con el Marco de Referencia y con los Objetivos Éxito, los Indicadores Clave de Logros y los
de Control individuales. Después de la colección y Indicadores Clave de Desempeño para cada uno de los
análisis los investigadores fueron encargados de examinar 34 objetivos de control de alto nivel. El aseguramiento
cada dominio y cada proceso en profundidad y sugerir de calidad de los entregables iniciales fue dirigido por
nuevos o modificados objetivos de control aplicables a los el Comité de Dirección del Proyecto y el resultado de
procesos particulares de TI. La Consolidación de los este trabajo fue colocado a disposición en la web site de
resultados fue llevada a cabo por el Comité de Dirección ISACA. El documento de las Directrices Gerenciales
de COBIT y por el Director de Investigaciones de ISACF. fue finalmente preparado para ofrecer un nuevo grupo
de herramientas orientadas a la gerencia, mientras que
ofrecía integración y consistencia con el Marco de
Referencia de COBIT.

La actualización de los Objetivos de Control, basada

en nuevos y revisados estándares internacionales fue
conducida por miembros de los Capítulos de ISACA,
bajo la coordinación de los miembros del Comité de
Dirección de COBIT. La intención no fue llevar a
cabo un análisis global de todo el material o volver a
desarrollar los Objetivo de Control, sino generar un
proceso de actualización incremental.
El resultado del desarrollo de las Directrices
Gerenciales fue utilizado para revisar el Marco de
Referencia de COBIT, especialmente en lo que tiene
que ver con las consideraciones, objetivos y
sentencias que configuran los objetivos de control de
alto nivel.

APÉNDICE III – MATERIAL DE REFERENCIA PRIMARIA

Nota del traductor: Debido a que el contenido de este apéndice se compone principalmente de nombres propios de instituciones
y publicaciones, dichos nombres han sido respetados manteniéndolos en inglés.
COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - Integrated
Framework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994.
OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of
Information, Paris, 1992.
DTI Code of Practice for Information Security Management: Department of Trade and Industry and British
Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995.
ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance
Standards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of
software, Switzerland, 1991.
An Introduction to Computer Security: The NIST Handbook: National Institute of Standards and Technology,
U.S. Department of Commerce. Washington, DC, 1995.
ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines
developed by the Central Computer and Telecommunications Agency (CCTA), London, 1989.
IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials
Group on Information Security, advising the European Commission) Brussels, Belgium, 1994.
NSW Premiers Office Statements of Best Practices and Planning Information Management and Techniques:
Statements of Best Practice #1 through #6. premier's Department New South Wales, Government of New South
Wales, Australia, 1990 through 1994.
Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data
Processing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998.
EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph
Series #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994.
PCIE (president's Council on Integrity and Efficiency) Model Framework: A Model Framework for
Management Over Automated Information Systems. Prepared jointly by the president's Council on Management
Improvement and the president's Council on Integrity and Efficiency, Washington, DC, 1987.
Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by
the Chuo Audit Corporation, Tokyo, August 1994.
CONTROL OBJECTIVES Controls in an Information Systems Environment: Control Guidelines and

Audit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation),
Fourth Edition, Rolling Meadows, IL, 1992.
CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified
Information Systems Auditor Job Analysis Study", Rolling Meadows, IL, 1994.

CICA Computer Control Guidelines: Canadian Institute of Chartered Accountants, Toronto, 1986.
IFAC International Guidelines for Managing Security of Information and Communications: International
Federation of Accountants, New York, NY, 1997.
IFAC International Guidelines on Information Technology Management - Managing Information

Technology Planning for Business Impact (Draft): International Federation of Accountants, New York, NY,
1998.
Standards for Internal Control in the U.S. Federal Government: U.S. General Accounting Office, Washington,
DC, 1983.
Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NBS Special
Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington,
DC, 1988.
Government Auditing Standards: U. S. General Accounting Office, Washington, DC, 1994.
Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants,
Denmark, 1994.
SPICE: Software Process Improvement and Capability Determination. A standard on software process
improvement, British Standards Institution, London, 1995.
DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute
International. Guideline for Business Continuity Planners, St. Louis, MO, 1997.
IIA, SAC Systems Audibility and Control: Institute of Internal Auditors Research Foundation, Systems
Audibility and Control Report, Alamonte Springs, FL, 1991, 1994.
IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research
Foundation, Alamonte Springs, FL, 1997.
E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996.
C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, NY, 1997.
ISO IEC JTC1/SC27 Information Technology - Security: International Organisation for Standardisation (ISO)
Technical Committee on Information Technology Security, Switzerland, 1998.
ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical
Committee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992.
ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services:
International Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services,
Draft, Switzerland, 1997.

CCEB 96/011, Common Criteria for Information Technology Security Evaluation: Common Criteria
Implementation Board, Alignment and comparison of existing European, US and Canadian IT Security Criteria,
Draft, Washington, DC, 1997.
Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987.
TickIT: Guide to Software Quality Management System Construction and Certification. British Department of
Trade and Industry (DTI), London, 1994
ESF Baseline Control - Communications: European Security Forum, London. Communications Network
Security, September 1991; Baseline Controls for Local Area Networks, September, 1994.
ESF Baseline Control - Microcomputers: European Security Forum, London. Baseline Controls Microcomputers
Attached to Network, June 1990.
Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information
Systems Audit and Control Foundation), Rolling Meadows, IL, 1992.
Guide for Developing Security Plans for Information Technology: NIST Special Publication 800-18, National
Institute for Standards and Technology, US Department of Commerce, Washington, DC 1998
Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office,
Washington, DC, 1999.
BS7799-Information Security Management: British Standards Institute, London, 1999.
CICA Information Technology Control Guidelines, 3er Edition: Canadian Institute of Chartered Accountants,
Toronto, 1998
ISO/IEC TR 1335-n Guidelines for the Management of IT Security, (GMITS) Parts 1-5: International
Organisation for Standardisation, Switzerland, 1998.
AICPA/CICA SystrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute of
Certified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999.

APÉNDICE IV – GLOSARIO DE TÉRMINOS
AICPA Instituto Americano de Contadores Públicos Certificado. (American Institute of Certified Public
Accountants)
CCEB Criterios comunes para seguridad en tecnología de información. (Common Criteria for
Information Technology Security)
CICA Instituto Canadiense de Contadores. (Canadian Institute of Chartered Accountants)
CISA Auditor Certificado de Sistemas de Información. (Certified Information Systems Auditor)
Control Políticas, procedimientos, prácticas y estructuras organizacionales, diseñados para proporcionar

una seguridad razonable de que los objetivos del negocio serán alcanzados y que eventos no
deseados serán prevenidos o detectados y corregidos.
COSO Comité de Organizaciones Patrocinadoras de la Comisión de Intercambio.

"Tradeway" (Committee of Sponsoring Organisations of the Tradeway Commission).
DRI Instituto Internacional de Recuperación de Desastres. (Disaster Recovery Institute International)
DTI Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of
the United Kingdom)
EDIFACT Intercambio Electrónico de Datos para la Administración, el Comercio y la Industria (Electronic

Data Interchange for Administration, Commerce and Trade)
EDPAF Fundación de Auditores de Procesamiento Electrónico de Datos (Electronic Data Processing

Auditors Foundation), ahora ISACF.
ESF Foro Europeo de Seguridad (European Security Forum), cooperación de 70+ multinacionales
europeas principalmente con el propósito de investigar problemas de seguridad y control
comunes de TI.
GAO Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office)
I4 Instituto Internacional de Integridad de Información. (International Information Integrity

Institute), asociación similar a ESF, con metas similares, pero con base principalmente en los
Estados Unidos y dirigida por el Instituto de Investigaciones de Stanford (Stanford Research
Institute)
IBAG Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group), representantes de la
industria que asesoran al Comité Infosec. Este Comité está compuesto por funcionarios de los
gobiernos de la Comunidad Europea y asesora a la Comisión Europea sobre cuestiones de
seguridad de TI.
IFAC Federación Internacional de Contadores. (International Federation of Accountants)
IIA Instituto de Auditores Internos. (Institute of Internal Auditors)

INFOSEC Comité Consultivo para la Comisión Europea en Materia de Seguridad TI. (Advisory Committee
for IT Security Matters to the European Commission)
ISACA Asociación para la Auditoría y Control de Sistemas de Información. (Information Systems Audit
and Control Foundation)
ISACF Fundación para la Auditoría y Control de Sistemas de Información. (Information Systems Audit
and Control Foundation)
ISO Organización de Estándares Internacionales. (International Standards Organisation) (con

oficinas en Génova, Suiza)
ISO9000 Estándares de manejo y aseguramiento de la calidad definidos por ISO.
ITIL Biblioteca de Infraestructura de Tecnología de Información. (Information Technology

Infrastructure Library)
ITSEC Criterios de Evaluación de Seguridad de Tecnología de Información (Information Technology

Security Evaluation Criteria). Combinación de los criterios de Francia, Alemania, Holanda y
Reino Unido, soportadas consecuentemente por la Comisión Europea (ver también TCSEC, el
equivalente en los Estados Unidos).
NBS Departamento Nacional de Estándares de los Estados Unidos (National Bureau of Standards of
the U.S.)
NIST (antes NBS) Instituto Nacional de Estándares y Tecnología. (National Institute of Standards
and Technology), con base en Washington D.C.
NSW Nueva Gales del Sur, Australia. (New South Wales, Australia)
Objetivo de Una sentencia o declaración del resultado deseado o propósito a ser alcanzado mediante la impleControl
mentación de procedimientos de control en una actividad particular de TI
OECD Organización para la Cooperación y el Desarrollo Económico. (Organisation for Economic

Cooperation and Development)
OSF Fundación de Software Público (Open Software Foundation)
PCIE Consejo Presidencial de Integridad y Eficiencia. (President´s Council on Integrity and

Efficiency)
SPICE Mejoramiento del Proceso de Software y Determinación de la Capacidad (Software Process

Improvement and Capability Determination) - un estándar pare el mejoramiento del proceso de
software
TCSEC Criterios de Evaluación de Sistemas Computarizados Confiables. (Trusted Computer System
Evaluation Criteria), conocido también como "The Orange Book". Criterios de evaluación de
seguridad para sistemas computarizados definidos originalmente por el Departamento de
Defensa de los Estados Unidos. Ver también ITSEC, el equivalente europeo.
TickIT Guía para la Construcción y Certificación de Sistemas de Administración de Calidad. (Guide to

Software Quality Management System Construction and Certification)

COBIT Objetivos de Control PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

COBIT Objetivos de Control PDF

Cargado por

Copyright:

Formatos disponibles

OBJETIVOS DE CONTROL

Emitido por el Comité Directivo de COBIT y

Apéndice I Acuerdo de Licencia de uso (disclosure)

COMITÉ DIRECTIVO DE COBIT

ERIK GULDENTOPS, S.W.I.F.T. SC, BÉLGICA

JOHN LAINHART, PRICEWATERHOUSECOOPERS, USA

EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BÉLGICA

JOHN BEVERIDGE, STATE AUDITOR´S OFFICE, MASSACHUSETTS, USA

MICHAEL DONAHUE, PRICEWATERHOUSECOOPERS, USA

GARY HARDY, ARTHUR ANDERSEN, REINO UNIDO

MARK STANLEY, SUN AMERICA INC., USA

EL MARCO REFERENCIAL DE COBIT

APARICION DEL GOBIERNO DE LA EMPRESA Y

Las empresas son gobernadas por buenas (o mejores)

También TI es gobernado por buenas (o mejores)

RESPUESTA A LAS NECESIDADES Un enfoque hacia los requerimientos del negocio en

ORIENTACIÓN A OBJETIVOS DE NEGOCIO Las políticas, procedimientos,

LOS PRINCIPIOS DEL MARCO REFERENCIAL

Para los requerimientos fiduciarios, COBIT no intentó

extrajeron siete categorías distintas, ciertamente Se refiere al suministro de

Eficiencia Se refiere a la provisión de Son objetos en su más amplio

Confidencialidad Se refiere a la protección de Sistemas de

Disponibilidad Se refiere a la disponibilidad de la Instalaciones Recursos para alojar y dar soporte a

El Marco de Referencia de COBIT consta de Objetivos

Este dominio cubre las estrategias y

PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS

HISTORIA Y ANTECEDENTES DE COBIT

HISTORIA Y ANTECEDENTES DE COBIT

PRINCIPIOS DE LOS OBJETIVOS DE CONTROL

También deberá tomarse en cuenta que los Objetivos

para Adquisición e Implementación, “DS” para Entrega

página están las descripciones de los objetivos de control

Para facilitar el empleo eficiente de los objetivos de

Una segunda “mini” matriz en la ESQUINA INFERIOR

DERECHA de la sección de Objetivos de Control identifica

los recursos de TI que son administrados en forma específica

por el proceso bajo consideración - no solo aquellos que

RELACIONES DE OBJETIVOS DE CONTROL

PLANEACIÓN Y ORGANIZACIÓN 4.5 Responsabilidad del aseguramiento de

7.0 Administración de Recursos Humanos 10.11 Plan de Prueba

1.3 Formulación de Estrategias de Software

Servicio 4.9 Procedimientos de Respaldo de

7.0 Educación y Entrenamiento de Usuarios 11.12 Manejo y Retención de Datos de Salida

MONITOREO 3.4 Evaluación Independiente de la Efectividad

PAGINA INTENCIONALMENTE EN BLANCO

OBJETIVOS DE CONTROL DE ALTO NIVEL

Control sobre el proceso de TI de: Entrega &

Definición de un plan Estratégico de TI

que satisface los requerimientos del negocio de: Monitoreo

Lograr un balance óptimo entre las oportunidades de tecnología de

se hace posible a través de:

un proceso de planeación estratégica emprendido en

• Estrategia del negocio de la empresa

• Análisis de los sistemas existentes

• Posición de la empresa sobre riesgos, en el

proceso de compra (time-on-market), calidad

• Necesidades de la Administración senior en el

1. DEFINICIÓN DE UN PLAN ESTRATÉGICO DE regulatorios, requerimientos de terceras partes o del

1.6 Comunicación de los Planes de TI

La gerencia debe asegurar que los planes de largo y

1.7 Monitoreo y Evaluación de los Planes de

PAGINA INTENCIONALMENTE EN BLANCO

OBJETIVOS DE CONTROL DE ALTO NIVEL