Documentos de Académico
Documentos de Profesional
Documentos de Cultura
COBIT Objetivos de Control PDF
COBIT Objetivos de Control PDF
COBIT
OBJETIVOS DE CONTROL
3a Edición
La Misión de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos
de control en tecnología de información con autoridad, actualizados,
de carácter internacional y aceptados generalmente para el uso cotidiano
de gerentes de empresas y auditores.
IT GOVERNANCE INSTITUTE 1
ARGENTINA OBJETIVOS DE CONTROL
LIECHTENSTEIN
ARUBA LITUANIA
AUSTRALIA
AUSTRIA
INFORMATION SYSTEMS AUDIT AND LUXEMBURGO
MALASIA
BAHAMAS MALTA
BAHRAIN CONTROL ASSOCIATION MALAWI
BANGLEDESH MÉXICO
BARBADOS PAÍSES BAJOS
Una sola Fuente Internacional para los Controles
BÉLGICA NUEVA GUINEA
BERMUDA de la Tecnología de Información NUEVA ZELANDA
BOLIVIA NIGERIA
BOSTSWANA Information Systems Audit and Control • su programa de educación profesional NORUEGA
BRASIL Association es una organización global OMÁN
ofrece conferencias técnicas y
BRUENI PAKISTÁN
líder de profesionales que representa a administrativas en cinco continentes,
CANADÁ PANAMÁ
CHILE individuos en más de 100 países y así como seminarios en todo el mundo PERÚ
CHINA comprende todos los niveles de la para ayudar a los profesionistas de FILIPINAS
COLOMBIA tecnología de información ⎯ Dirección todas partes a recibir educación POLONIA
COSTA RICA PORTUGAL
ejecutiva, gerencia media y practicantes. continúa de alta calidad.
CROATA QATAR
CURAZAO La Asociación está únicamente posesionada • su área de publicidad técnica
RUSIA
CYPRUS para cubrir el papel de generador central proporciona materiales de desarrollo SAIPAN
REPÚBLICA CHECA que armoniza los estándares de las profesional y referencias con el fin de ARABIA SAUDITA
DINAMARCA prácticas de control de TI a nivel mundial. aumentar su distinguida selección de ESCOCIA
REPÚBLICA DOMI- SEYCHELLES
NICANA
Sus alianzas estratégicas con otros grupos programas y servicios.
SINGAPUR
ECUADOR dentro del ámbito profesional financiero, REP. ESLOVACA
EGIPTO contable, de auditoría y de TI aseguran a La Information Systems Audit and Control ESLOVENIA
ESTONIA los dueños del proceso del negocio un nivel Association se creó en 1969 para cubrir las SUDÁFRICA
ISLAS FAEROE ESPAÑA
sin paralelo de integración y compromiso. necesidades únicas, diversas y de alta
FINLANDIA SRI LANKA
tecnología en el naciente campo de la TI.
FRANCIA
ALEMANIA
Programas y Servicios de la En una industria donde el progreso se mide
ST. KITTS
ST. LUCIA
GHANA Asociación en nanosegundos, ISACA se ha movido ágil SUECIA
GRECIA Los Programas y Servicios de la Asociación y velozmente para satisfacer las necesidades SUIZA
GUAM SIRIA
han ganado prestigio al establecer los de la comunidad de negocios
GUATEMALA TAIWAN
niveles más altos de excelencia en internacionales y de la profesión de
HONDURAS TANZANIA
HONG KONG certificación, estándares, educación controles de la TI. TASMANIA
HUNGRÍA profesional y publicidad técnica. TAILANDIA
ISLANDIA • su programa de certificación (el Para más Información TRINIDAD & TO-
INDIA Para recibir información adicional, puede BAGO
Auditor de Sistemas de Información
INDONESIA TURQUÍA
Certificado) es la única designación llamar al (+1.847.253.1545), enviar un
IRLANDA UGANDA
ISRAEL global en toda la comunidad de e-mail a (research@isaca.org) o visitar los EMIRATOS ARAB
ITALIA control y auditoría de la TI. siguentes sitios web: UNIDOS
IVORY COAST REINO UNIDO
JAMAICA • sus actividades estándar establecen la
ESTADOS UNI-
base de calidad mediante la cual otras www.itgovernance.org
JAPÓN DOS
JORDÁN actividades de control y auditoría de TI www.isaca.org URUGUAY
KENYA VENEZUELA
se miden.
COREA VIETNAM
KUWAIT GALES
LATVIA YEMEN
LEBANON ZAMBIA
ZIMBABWE
2 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
Límite de Responsabilidad
Reconocimientos 4
La Information Systems Audit and Control Association—ISACA- y
Resumen Ejecutivo 5 el IT Governance Institute –ITGI- (los propietarios) han creado esta
publicación titulada COBIT: Objetivos de Control para la
Información y las Tecnologías Relacionadas (el “trabajo”)
El Marco Referencial de COBIT 9 principalmente como un recurso educativo para los profesionales
dedicados a las actividades de control. Los Propietarios declaran que
Estableciendo la escena 9 no responden o garantizan que el uso que se le de al “Trabajo”
asegurará un resultado exitoso. No deberá considerarse que el
“Trabajo” incluye toda la información, los procedimientos o las
Los Principios del Marco Referencial 14 pruebas apropiadas o excluye otra información, procedimientos y
pruebas que estén razonablemente dirigidas a la obtención de los
Historia y Antecedentes del COBIT 20 mismos resultados. Para determinar la conveniencia de cualquier
información, procedimiento o prueba específica, los expertos en
control deberán aplicar su propio juicio profesional a las
Tabla Resumen 22 circunstancias específicas presentadas por los sistemas o por el
ambiente de tecnología de información en particular.
Principios de los Objetivos de Control 23
Esta edición de COBIT fue traducida al idioma español por Gustavo
Adolfo Solís Montes, Lucio Augusto Molina Focazzio, Johann Tello
Relaciones de Objetivos de Control Meryk y Rocío Torres Suárez, (los “traductores”). Los traductores
Dominios, Procesos y Objetivos de Control 25 asumen la responsabilidad exclusiva por la actualización y por la
fidelidad de la traducción. La Information Systems Audit and
Objetivos de Control Control Association (ISACA) y el IT Governance Institute (ITGI)
Planeación y Organización 33 declaran que no responden por la actualización, totalidad, o por la
calidad de la traducción. En ningún evento ISACA/ITGI será
Adquisición e Implementación 69
responsable ante un individuo u organización por los daños causados
Entrega de Servicios y Soporte 89 en relación con la edición del lenguaje, cualquier actualización,
Monitoreo 127 modificación, localización o traducción.
IT GOVERNANCE INSTITUTE 3
OBJETIVOS DE CONTROL
RECONOCIMIENTOS
RONALD SAULL, GREAT-WEST LIFE ASSURANCE, LONDON LIFE AND INVESTORS GROUP, CANADA
Agradecimientos Especiales a los Capítulos de ISACA del área de la Capital Nacional y al de Boston por su
contribución a los Objetivos de Control de COBIT
Agradecimientos Especiales a los miembros de la Mesa Directiva de la Information Systems Audit and Control
Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, encabezados por el
Presidente Internacional Paul Williams, por su contínuo y firme apoyo al COBIT
4 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
RESUMEN EJECUTIVO
Un elemento crítico para el éxito y la supervivencia de relacionados con TI está siendo entendido como un
las organizaciones, es la administración efectiva de la aspecto clave en el gobierno o dirección empresarial.
información y de la Tecnología de Información (TI)
Dentro del Gobierno Empresarial, el Gobierno /
Relacionada. En esta sociedad global (donde la
Gobernabilidad de TI2 se está volviendo mas y mas
información viaja a través del “ciberespacio” sin las
importante y está definido como una estructura de
restricciones de tiempo, distancia y velocidad) esta
relaciones y procesos para dirigir y controlar a la
criticidad emerge de:
empresa con el fin que ésta pueda cumplir sus metas
z La creciente dependencia en información y en los
dando valor agregado mientras balancea sus riesgos
sistemas que proporcionan dicha información
versus el retorno sobre TI y sus procesos. El Gobierno
z La creciente vulnerabilidad y un amplio espectro de
de TI es parte integral del éxito de la Gerencia de la
amenazas, tales como las “ciber amenazas” y la
Empresa al asegurar mejoras medibles, eficientes y
guerra de información1
efectivas de los procesos relacionados de la empresa. El
z La escala y el costo de las inversiones actuales y
Gobierno de TI provee las estructuras que unen los
futuras en información y en tecnología de
procesos de TI, los recursos de TI y la información con
información; y
las estrategias y los objetivos de la empresa. Además, el
z El potencial que tienen las tecnologías para cambiar
Gobierno de TI integra e institucionaliza buenas (o
radicalmente las organizaciones y las prácticas de
mejores) prácticas de planeación y organización,
negocio, crear nuevas oportunidades y reducir
adquisición e implementación, entrega de servicios y
costos
soporte y monitorea el desempeño de TI para asegurar
Para muchas organizaciones, la información y la que la información de la empresa y las tecnologías
tecnología que la soporta, representan los activos mas relacionadas soportan sus objetivos del negocio. El
valiosos de la empresa. Es más, en nuestro competitivo Gobierno de TI conduce a la empresa a tomar total
y rápidamente cambiante ambiente actual, la Gerencia ventaja de su información logrando con esto maximizar
ha incrementado sus expectativas relacionadas con la sus beneficios, capitalizar sus oportunidades y obtener
entrega de servicios de TI. Por lo tanto, la ventaja competitiva
Administración requiere niveles de servicio que
GOBIERNO DE TI
presenten incrementos en calidad, en funcionalidad y en
facilidad de uso, así como un mejoramiento continuo y Una estructura de relaciones y procesos para dirigir
una disminución de los tiempos de entrega; al tiempo y controlar la empresa con el objeto de alcanzar los
que demanda que esto se realice a un costo más bajo. objetivos de la empresa y añadir valor mientras se
balancean los riesgos versus el retorno sobre TI y sus
Muchas organizaciones reconocen los beneficios
procesos.
potenciales que la tecnología puede proporcionar. Las
organizaciones exitosas, sin embargo, también
Las organizaciones deben cumplir con requerimientos
comprenden y administran los riesgos asociados con
de calidad, fiduciarios y de seguridad, tanto para su
la implementación de nuevas tecnologías.
información, como para sus activos. La Administración
Hay numerosos cambios en TI y en su ambiente de deberá además optimizar el empleo de sus recursos
operación que enfatiza la necesidad de un mejor manejo disponibles, los cuales incluyen: personal, instalaciones,
relacionado con los riesgos de TI. La dependencia en la tecnología, sistemas de aplicación y datos. Para cumplir
información electrónica y en los sistemas de TI son con esta responsabilidad, así como para alcanzar sus
esenciales para soportar los procesos críticos del
negocio. Adicionalmente, el ambiente regulatorio
demanda control estricto sobre la información. Esto a su 1 Guerra de información (information warfare)
2
vez conduce a un incremento de los desastres en los Gobierno de TI (IT Governance) Governance es un
sistemas de información y al incremento del fraude término que representa el sistema de control o
electrónico. La Administración de los riesgos administración que establece la alta gerencia para asegurar
el logro de los objetivos de una Organización.
IT GOVERNANCE INSTITUTE 5
OBJETIVOS DE CONTROL
objetivos, la Administración debe entender el estado de con dichos procesos de negocio. En particular, esto
sus propios sistemas de TI y decidir el nivel de incluye el proporcionar controles adecuados.
seguridad y control que deben proveer estos sistemas.
El Marco de Referencia de COBIT proporciona, al
Los Objetivos de Control para la Información y las propietario de procesos de negocio, herramientas que
Tecnologías Relacionadas (COBIT), ahora en esta facilitan el cumplimiento de esta responsabilidad. El
tercera edición, ayuda a satisfacer las múltiples Marco de Referencia comienza con una premisa simple
necesidades de la Administración estableciendo un y práctica:
puente entre los riesgos del negocio, los controles
Con el fin de proporcionar la información que la
necesarios y los aspectos técnicos. Provee buenas
empresa necesita para alcanzar sus objetivos, los
prácticas a través de un dominio y el marco referencial
recursos de TI deben ser administrados por un
de los procesos y presenta actividades en una estructura
conjunto de procesos de TI agrupados en forma
manejable y lógica. Las “Buenas prácticas” de COBIT
natural.
reúne el consenso de expertos - quienes ayudarán a
optimizar la inversión de la información y El Marco de Referencia continúa con un conjunto de 34
proporcionarán un mecanismo de medición que Objetivos de Control de alto nivel, uno para cada uno de
permitirá juzgar cuando las actividades van por el los Procesos de TI, agrupados en cuatro dominios:
camino equivocado. Planeación y Organización, Adquisición e
Implementación, Entrega de servicios y Soporte y
La Administración debe asegurar que los sistemas de
Monitoreo. Esta estructura cubre todos los aspectos de
control interno o el marco referencial están funcionando
información y de tecnología que la soporta.
y soportan los procesos del negocio y debe tener
Administrando adecuadamente estos 34 Objetivos de
claridad sobre la forma como cada actividad individual
Control de alto nivel, el propietario de procesos de
de control satisface los requerimientos de información e
negocio podrá asegurar que se proporciona un sistema
impacta los recursos de TI. El impacto sobre los
de control adecuado para el ambiente de tecnología de
recursos de TI son resaltados en el Marco de Referencia
información.
de COBIT junto con los requerimientos del negocio que
deben ser alcanzados: eficiencia, efectividad, El Marco de Referencia de COBIT provee además una
confidencialidad, integridad, disponibilidad, guía o lista de verificación para el Gobierno de TI. El
cumplimiento y confiabilidad de la información. El Gobierno de TI proporciona las estructuras que
control, que incluye políticas, estructuras, prácticas y encadenan los procesos de TI, los recursos de TI y la
procedimientos organizacionales, es responsabilidad de información con los objetivos y las estrategias de la
la administración. empresa. El Gobierno de TI integra de una forma
óptima el desempeño de la Planeación y Organización,
La administración, mediante este gobierno corporativo,
la Adquisición e Implementación, la Entrega de
debe asegurar que todos los individuos involucrados en
Servicios y Soporte y el Monitoreo. El Gobierno de TI
la administración, uso, diseño, desarrollo,
facilita que la empresa obtenga total ventaja de su
mantenimiento u operación de sistemas de información
información y así mismo maximiza sus beneficios,
actúen con la debida diligencia.
capitalizando sus oportunidades y obteniendo ventaja
Un Objetivo de Control en TI es una definición del competitiva
resultado o propósito que se desea alcanzar
Adicionalmente, correspondiendo a cada uno de los 34
implementando procedimientos de control específicos
objetivos de control de alto nivel, existe una Guía o
dentro de una actividad de TI.
directriz de Auditoría o de aseguramiento que permite
La orientación al negocio es el tema principal de la revisión de los procesos de TI contra los 318
COBIT. Está diseñado no solo para ser utilizado por objetivos detallados de control recomendados por
usuarios y auditores, sino que, lo más importante, esta COBIT para proporcionar a la Gerencia la certeza de su
diseñado para ser utilizado por los propietarios de los cumplimiento y/o sugerencias para su mejoramiento.
procesos de negocio como una guía clara y entendible.
A medida que ascendemos, las prácticas de negocio
requieren de una mayor delegación y empoderamiento3 3
Empoderamiento (empowerment)
de los dueños de los procesos para que estos tengan
total responsabilidad de todos los aspectos relacionados
6 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
Las Guías o Directrices Gerenciales de COBIT, COBIT contiene adicionalmente un Conjunto de
desarrolladas recientemente, ayudan a la Gerencia a Herramientas de Implementación que proporciona
cumplir de una forma mas efectiva con las lecciones aprendidas por empresas que rápida y
necesidades y requerimientos del Gobierno de TI. Las exitosamente aplicaron COBIT en sus ambientes de
Directrices son acciones genéricas orientadas a trabajo. Incluye dos herramientas particularmente
proveer a la Administración la dirección para útiles - Diagnóstico de Sensibilización Gerencial
mantener bajo control la información de la empresa y (Management Awareness Diagnostic) y Diagnóstico
sus procesos relacionados, para monitorear el logro de de Control en TI (IT Control Diagnostic) - para
las metas organizacionales, para monitorear el proporcionar asistencia en el análisis del ambiente de
desempeño de cada proceso de TI y para llevar a cabo control de TI en una organización.
un benchmarking de los logros organizacionales.
En los próximos años las Directivas de las
Específicamente COBIT provee Modelos de Madurez Organizaciones necesitarán demostrar que están
para el control sobre los procesos de TI de tal forma logrando incrementar sus niveles de seguridad y
que la Administración puede ubicarse en el punto control. COBIT es una herramienta que ayuda a los
donde la organización está hoy, donde está en relación Directivos a colocar un puente entre los
con los “mejores de su clase” en su industria y con los requerimientos de control, los aspectos técnicos y los
estándares internacionales y así mismo determinar a riesgos del negocio y adicionalmente informa a los
donde quiere llegar; Factores Críticos de Éxito accionistas o dueños de la empresa el nivel de control
(Critical Success Factors), que definen o determina alcanzado. COBIT habilita el desarrollo de una política
cuales son las mas importantes directrices que deben clara y de buenas prácticas de control de TI a través de
ser consideradas por la Administración para lograr las organizaciones, a nivel mundial.
control sobre y dentro de los procesos de TI.
Por lo tanto, COBIT está diseñado para ser la
Indicadores Claves del logro de Objetivos o de
herramienta de gobierno de TI que ayude al
Resultados (Key Goal Indicators) los cuales definen
entendimiento y a la administración de los riesgos
los mecanismos de medición que indicarán a la
así como de los beneficios asociados con la
Gerencia—después del hecho– si un proceso de TI ha
información y sus tecnologías relacionadas.
satisfecho los requerimientos del negocio; y los
Indicadores Clave de desempeño (Key
Performance Indicators) los cuales son indicadores
primarios que definen la medida para conocer qué tan
bien se está ejecutando el proceso de TI frente o
comparado contra el objetivo que se busca.
Las Directrices Gerenciales de COBIT son genéricas y son
acciones orientadas al propósito de responder los
siguientes tipos de preguntas gerenciales: ¿Qué tan lejos
debemos ir y se justifica el costo respecto al beneficio
obtenido? ¿Cuáles son los indicadores de buen
desempeño? ¿Cuáles son los factores críticos de éxito?
¿Cuáles son los riesgos de no lograr nuestros objetivos?
¿Qué hacen otros? ¿Cómo nos podemos medir y
comparar?
IT GOVERNANCE INSTITUTE 7
OBJETIVOS DE CONTROL
PROCESOS DE TI DEFINIDOS DENTRO DE LOS CUATRO
DOMINIOS DE COBIT
8 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 9
OBJETIVOS DE CONTROL
10 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
Para asegurar que la Gerencia alcance los objetivos de negocios, ésta debe dirigir y administrar las actividades de TI para alcanzar un
balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades
mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se
están desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organización contra las
mejores practicas de la industria y los estándares internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices
Gerenciales de COBIT en las cuales se han identificado Factores Críticos de Exito específicos, Indicadores Claves por Objetivo e
Indicadores Clave de Desempeño y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apéndice I.
IT GOVERNANCE INSTITUTE 11
OBJETIVOS DE CONTROL
12 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
DEFINICIONES GENERALES
Para propósitos de este proyecto, se proporcionan las
siguientes definiciones. La definición de “Control” está
adaptada del reporte COSO [Committee of Sponsoring
Organisations of the Treadway Commission. Internal
Control-Integrated Framework, 1992 y la definición
para “Objetivo de Control de TI” ha sido adaptada del
reporte SAC (Systems Auditability and Control Report,
The Institute of Internal Auditors Research Foundation,
1991 y 1994).
IT GOVERNANCE INSTITUTE 13
OBJETIVOS DE CONTROL
Existen dos clases distintas de modelos de control Requerimientos Efectividad y eficiencia de las
actualmente disponibles, aquéllos de la clase del Fiduciarios operaciones
“modelo de control de negocios” (por ejemplo COSO) (COSO)
Confiabilidad de la información
y los “modelos más enfocados a TI” (por ejemplo, Cumplimiento de las leyes y
DTI). COBIT intenta cubrir la brecha que existe entre regulaciones
los dos. Debido a esto, COBIT se posiciona como una
herramienta más completa para la Administración y Confidencialidad
para operar a un nivel superior a los estándares de Requerimientos Integridad
de Seguridad
tecnología para la administración de sistemas de Disponibilidad
información.. Por lo tanto, COBIT es el modelo para
el gobierno de TI! La Calidad ha sido considerada principalmente por su
aspecto ‘negativo’ (ausencia de fallas, confiabilidad,
El concepto fundamental del Marco Referencial de etc.), lo cual también se encuentra contenido en gran
COBIT se refiere a que el enfoque del control en TI se medida en los criterios de Integridad. Los aspectos
lleva a cabo visualizando la información necesaria positivos, pero menos tangibles, de la calidad (estilo,
para dar soporte a los procesos de negocio y atractivo, “ver y sentir”, desempeño más allá de las
considerando a la información como el resultado de la expectativas, etc.) no fueron, por un tiempo,
aplicación combinada de recursos relacionados con la considerados desde un punto de vista de Objetivos de
Tecnología de Información que deben ser Control de TI. La premisa se refiere a que la primera
administrados por procesos de TI. prioridad deberá estar dirigida al manejo apropiado de
los riesgos al compararlos contra las oportunidades. El
aspecto utilizable de la Calidad está cubierto por los
criterios de efectividad. Se consideró que el aspecto de
entrega o distribución del servicio, de la Calidad se
traslapa con el aspecto de disponibilidad
correspondiente a los requerimientos de seguridad y
también en alguna medida, con la efectividad y la
eficiencia. Finalmente, el Costo también es
considerado, siendo cubierto por la Eficiencia.
14 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 15
OBJETIVOS DE CONTROL
El dinero o capital no se tuvo en cuenta como un recurso Con el fin de asegurar que los requerimientos de
para la clasificación de objetivos de control para TI negocio para la información son satisfechos, deben
debido a que puede considerarse como la inversión en definirse, implementarse y monitorearse medidas
cualquiera de los recursos mencionados anteriormente. de control adecuadas para estos recursos.
Es importante hacer notar también que el Marco
Referencial no menciona, en forma específica para ¿Cómo pueden entonces las empresas estar satisfechas
todos los casos, la documentación de todos los aspectos respecto a que la información obtenida presente las
“materiales” importantes relacionados con un proceso características que necesitan? Es aquí donde se requiere
de TI particular. Como parte de las buenas prácticas, la de un sano marco referencial de Objetivos de Control
documentación es considerada esencial para un buen para TI. El diagrama mostrado a continuación ilustra
control y, por lo tanto, la falta de documentación podría este concepto.
ser la causa de revisiones y análisis futuros de controles
de compensación en cualquier área específica en
revisión.
16 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 17
OBJETIVOS DE CONTROL
Entrega
Entrega yy
En este dominio se hace referencia que ser efectivo en proveer requerimientos de
soporte
soporte a la entrega o distribución de los disponibilidad, integridad y Confidencialidad.
servicios requeridos, que abarca
desde las operaciones tradicionales Es claro que todas las medidas de control no
hasta el entrenamiento, pasando por necesariamente satisfarán los diferentes
la seguridad en los sistemas y la requerimientos del negocio para la información en el
continuidad de las operaciones así mismo grado.
como aspectos sobre
entrenamiento. Con el fin de • Primario es el grado en el cual se definen
proveer servicios, deberán objetivos de control que impactan
establecerse los procesos de soporte directamente los criterios de infor-
necesarios. Este dominio incluye el mación considerados
procesamiento de los datos el cual z Secundario es el grado en el cual se definen
es ejecutado por los sistemas de objetivos de control que solo
aplicación, frecuentemente satisfacen una extensión pequeña o
clasificados como controles de satisfacen indirectamente al
aplicación. criterio de información
considerado.
Todos los procesos necesitan ser z En blanco podría ser aplicable. Sin embargo
Monitoreo
evaluados regularmente a través del los requerimientos son satisfechos
tiempo para verificar su calidad y de una forma mas apropiada por
suficiencia en cuanto a los otro criterio en este proceso y/o en
requerimientos de control. Este otro proceso.
dominio también advierte a la
Administración sobre la necesidad En forma similar, todas las medidas de control no
de asegurar procesos de control necesariamente impactarán a los diferentes recursos
independientes, los cuales son de TI en el mismo grado. Por consiguiente, el Marco
provistos por auditorías internas y de Referencia de COBIT indica específicamente la
externas u obtenidas de fuentes aplicabilidad de los recursos de TI que son
alternativas. específicamente administrados por el proceso bajo
consideración (no solamente los que toman parte en
Es importante tener en cuenta que estos procesos de TI el proceso) . Esta clasificación se realiza con el
pueden ser aplicados en diferentes niveles de la Marco de Referencia de COBIT, basado sobre un
organización. Por ejemplo, algunos de los procesos riguroso proceso de recolección de ideas
serán aplicados al nivel de la empresa, otros al nivel proporcionadas por investigadores, expertos y
de la función de TI, otros al nivel del propietario de los revisores, usando estrictas definiciones previamente
procesos del negocio, etc. indicadas.
Debe notarse además, que el criterio de efectividad en En resumen, con el fin de proveer la información que
los procesos que planean o distribuyen soluciones para la organización necesita para lograr sus objetivos, el
los requerimientos del negocio cubrirá algunas veces Gobierno de TI debe ser entrenado por la
los criterios de disponibilidad, integridad y organización para asegurar que los recursos de TI
confidencialidad— en la práctica, éstos se han serán administrados por una colección de procesos
convertido en requerimientos del negocio. Por de TI agrupados naturalmente. El siguiente diagrama
ejemplo, el proceso de “identificar soluciones” tiene ilustra este concepto.
18 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 19
OBJETIVOS DE CONTROL
La tercera edición de COBIT es la mas reciente versión de Este estándar es relativamente pequeño en tamaño, con el
los Objetivos de Control para la información y sus fin de ser práctico y responder, en la medida de lo posible,
tecnologías relacionadas, que fue liberado primero por la a las necesidades del negocio, manteniendo al mismo
Information Systems Audit and Control Foundation tiempo una independencia con respecto a las plataformas
(ISACF) en 1996. La 2da edición que refleja un técnicas de TI adoptadas en una organización.
incremento en el número de documentos fuente, una
revisión en el alto nivel y objetivos de control detallados y Sin excluir ningún otro estándar aceptado en el campo del
la adición del Conjunto de herramientas de control de sistemas de información que pudiera emitirse
Implementación fue publicado en 1998. La 3a edición durante la investigación, las fuentes han sido identificadas
marca el ingreso de un nuevo editor para COBIT: El inicialmente como:
Instituto de Gobierno5 de TI (IT Governance Institute).
Estándares Técnicos de ISO, EDIFACT, etc.
Códigos de Conducta emitidos por el Council of
El Instituto de Gobierno de TI fue formado por la Europe, OECD, ISACA, etc.;
Information Systems Audit and Control Association Criterios de Calificación para sistemas y procesos de
(ISACA) y su Fundación asociada en 1998 para avanzar en TI: ITSEC, ISO9000, SPICE, TickIT, Common
el entendimiento y la adopción de principios de gobierno Criteria, etc.;
de TI. Con la adición de las Directrices Gerenciales en la Estándares Profesionales para control interno y
3a edición de COBIT y su expansión y mayor cubrimiento auditoría: reporte COSO, IFAC, IIA, ISACA, GAO,
sobre el Gobierno de TI, el Instituto de Gobierno de TI PCIE, CICA, AICPA, etc.;
adquirió un rol de liderazgo en el desarrollo de la Prácticas y requerimientos de la Industria de foros
publicación. industriales (ESF, 14) y plataformas patrocinadas por el
gobierno (IBAG, NIST, DTI); y
Nuevos requerimientos específicos de la industria de
COBIT se basó originalmente en los Objetivos de Control la banca, Comercio Electrónico y manufactura de TI.
de la ISACF y ha sido mejorado con las actuales y
emergentes estándares internacionales a nivel técnico, (Ver Apéndice II, Descripción del Proyecto COBIT;
profesional, regulatorio y específicos de la industria. Los Apéndice III Material de Referencia Primaria de
Objetivos de Control resultantes han sido desarrollados COBIT y Apéndice IV, Glosario de Términos )
para su aplicación en sistemas de información de toda la
empresa. El término “generalmente aplicables y
aceptados” es utilizado explícitamente en el mismo
sentido que los Principios de Contabilidad Generalmente
Aceptados (PCGA o GAAP por sus siglas en inglés).
___________
5
Gobierno (governance): sistema que establece la alta ge-
rencia para asegurar el logro de los objetivos de una Orga-
nización.
20 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
EVOLUCIÓN DEL PRODUCTO COBIT La investigación y las publicaciones han sido posibles gra-
cias al fundamental apoyo de PricewaterhouseCoopers y
COBIT evolucionará a través de los años y será el funda- las donaciones de los capítulos de ISACA y de miembros
mento de investigaciones futuras. Por lo tanto, se generará de todo el mundo. La European Security Forum (ESF)
una familia de productos COBIT y al ocurrir esto, las tareas amablemente llevó a cabo la recolección de material dispo-
y actividades que sirven como estructura para organizar los nible para el proyecto. La Gartner Group además participó
Objetivos de Control de TI, serán refinadas posteriormente. en el desarrollo y realizó la revisión de aseguramiento de
También será revisado el balance entre los dominios y los calidad de las Directrices Gerenciales.
procesos a la luz de los cambios en la industria.
IT GOVERNANCE INSTITUTE 21
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
TABLA RESUMEN
La siguiente tabla proporciona una indicación, por proceso y dominio de TI, de cuáles criterios de
información son impactados por los objetivos de control de alto nivel, así como una indicación de
cuáles recursos de TI son aplicables.
22 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
COBIT, tal como aparece en esta última versión de los Mientras que el Marco de Referencia de COBIT enfoca
Objetivos de Control refleja los compromisos de controles a alto nivel para cada proceso, los Objetivos
ISACA para engrandecer y mantener el cuerpo común de Control se enfocan sobre objetivos de control
del conocimiento requerido para soportar la profesión detallados y específicos asociados a cada proceso de
de auditoría y control de los sistemas de información TI. Por cada uno de los 34 procesos de TI del marco
referencial, hay desde tres hasta 30 objetivos de
El Marco de Referencia de COBIT ha sido limitado a control detallados, para un total de 318.
objetivos de control de alto nivel en forma de
necesidades de negocio dentro de un proceso de TI Los Objetivos de Control se alinean para cubrir todo el
particular, cuyo logro es posible a través del Marco referencial con objetivos de control detallados
establecimiento de controles, para el cual deben con base en 41 fuentes primarias que comprenden
considerarse controles potenciales aplicables. estándares y regulaciones internacionales de TI, de
facto y de jure. Contiene sentencias de los resultados
deseados o propósitos a ser alcanzados mediante la
El control de implementación de procedimientos de control
específicos en una actividad de TI, de esta manera
provee políticas claras y buenas prácticas para los
Proceso de TI Que satisface
controles de TI a través de la industria, alrededor del
mundo.
Requerimiento de Es habilitado por
Negocio
Los Objetivos de Control están dirigidos a la
Administración y al staff de TI, a las funciones de
Declaración de
Control
Consideran- control y auditoría — y lo mas importante, a los
propietarios de los procesos del negocio. Los
Prácticas de Objetivos de Control proporcionan un trabajo, que es
Control un documento de escritorio para esos individuos. Se
identifican definiciones precisas y claras para un
mínimo conjunto de controles con el fin de asegurar la
efectividad, eficiencia y economía de la utilización de
los recursos. Objetivos de control detallados son
Los Objetivos de Control de TI han sido organizados identificados para cada proceso, como los controles
por proceso/actividad y también se han mínimos necesarios . Esos controles serán analizados
proporcionados ayudas de navegación no solamente por los profesionales de control para verificar su
para facilitar la entrada a partir de cualquier punto de suficiencia.
vista estratégico como se explicó anteriormente, sino
también para facilitar enfoques combinados o globales, Los Objetivos de Control permiten el traslado de los
tales como instalación/implementación de un proceso, conceptos presentados en el Marco de Referencia
responsabilidades gerenciales globales para un hacia controles específicos aplicables a cada proceso
proceso y utilización de recursos de TI por un proceso. de TI.
IT GOVERNANCE INSTITUTE 23
OBJETIVOS DE CONTROL
AYUDAS DE NAVEGACIÓN
di grid dad
co lim d
bi to
ad
a
co icie d
on ad
nf ien
en ia
m lid
li
ef ida
lid
in cia
nf nc
cu ibi
tiv
ia
ec
p
te
id
La sección de los Objetivos de Control contienen
sp
ef
objetivos de control detallados para cada uno de los 34
S P
procesos de TI. A la izquierda de cada página, se
presenta el objetivo de control de alto nivel. El indicador Planeación &
del dominio (“PO” para Planeación y Organización, “AI” Organización
da nes
in olo s
al gía
e
te cion
de la presentación de los objetivos de control de alto
io
ap nte
s
to
ac
a
ge
nivel. Se proporciona una ayuda de navegación para cada
cn
lic
st
una de las tres dimensiones del Marco de Referencia de
COBIT - procesos, recursos de TI y criterios de
información -
Planeación &
Organización
Los dominios son identificados por este ícono en la
ESQUINA SUPERIOR DERECHA de cada página, en la
sección de Objetivos de Control, agrandando y haciendo Adquisición &
más visible el dominio bajo revisión. Implementación
Entrega &
Soporte
La clave para el criterio de información se presentará en
la ESQUINA SUPERIOR IZQUIERDA, en la sección de
Objetivos de Control mediante la siguiente “mini” Monitoreo
matriz, la cual identificará cuál criterio y en qué grado
(primario o secundario) es aplicable a cada Objetivo de
Control de TI de alto nivel.
co im d
bi to
ad
a
co icie d
nf ien
en ia
m lid
li
ef ida
cu nibi
tiv
ia
pl
te
o
id
sp
ef
3 3
da nes
in olo s
al gía
e
te cion
io
ap nte
s
to
ac
a
ge
cn
lic
st
24 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 25
OBJETIVOS DE CONTROL
26 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 27
OBJETIVOS DE CONTROL
28 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 29
OBJETIVOS DE CONTROL
30 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 31
OBJETIVOS DE CONTROL
32 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
(PO)
PLANEACION Y ORGANIZACION
IT GOVERNANCE INSTITUTE 33
OBJETIVOS DE CONTROL
PO1
di gri dad
Planeación &
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
Organización
in c ia
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
Adquisición &
P S Implementación
y toma en consideración:
io
ap ente
s
to
ac
34 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 35
OBJETIVOS DE CONTROL
OBJETIVO DE CONTROL
36 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 37
OBJETIVOS DE CONTROL
PLANEACION Y ORGANIZACION
PO2
di gri dad
Planeación &
co lim ad
bi to
ad
co icie d
nf ien
id cia
m ilid
li
ef vida
lid
Organización
sp da
in c ia
n
cu nib
en
ti
ia
ec
p
te
o
ef
nf
Adquisición &
P S S S Implementación
y toma en consideración:
io
ap ente
s
to
ac
a
cn
g
lic
st
38 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 39
OBJETIVOS DE CONTROL
PO3
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
Adquisición &
cu nib
tiv
en
ia
Implementación
ec
p
te
o
ef
nf
P S Entrega &
Soporte
y toma en consideración:
g
io
ap ente
(roadmaps)
to
a
•
cn
st
40 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
7
Resistencia (resilience): Capacidad de un sistema de vol-
ver a sui estado inicial luego de una falla
IT GOVERNANCE INSTITUTE 41
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
OBJETIVOS DE CONTROL
PO4
Planeación &
Organización
di grid d
d
da
bi to
ad
m ilida
ef idad
on d
nf en
id cia
in ciali
lid
a
co imi
Adquisición &
n
b
tiv
co icie
i
en
ia
pl
Implementación
ec
te
sp
ef
nf
cu
P S Entrega &
Soporte
y toma en consideración:
ac a
• Segregación de funciones
n
í
te ion
in olog
io
ap nte
s
to
ac
ge
cn
al
lic
st
42 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 43
OBJETIVOS DE CONTROL
de información (sistemas y datos) cuenten con un servicios de información cuente con un número
propietario asignado que tome decisiones sobre la suficiente de personal competente de tecnología
clasificación y los derechos de acceso. Los de información. Los requerimientos de asignación
propietarios del sistema normalmente delegarán la de personal deberán ser evaluados por lo menos
custodia diaria al grupo de distribución/operación anualmente o al presentarse cambios mayores en
de sistemas y las responsabilidades de seguridad a el negocio, en el ambiente operacional o de
un administrador de la seguridad. Los Propietarios, tecnología de información. Deberá actuarse
sin embargo, permanecerán como responsables del oportunamente tomando como base los resultados
mantenimiento de medidas de seguridad apropiadas. de las evaluaciones para asegurar una asignación
de personal adecuada en el presente y en el futuro.
4.9 Supervisión
4.12 Descripción de Puestos de trabajo para el
OBJETIVO DE CONTROL
Personal de la Función de TI
La alta gerencia deberá implementar prácticas de
OBJETIVO DE CONTROL
supervisión adecuadas en la organización de
servicios de información para asegurar que las La Gerencia deberá asegurar que las descripciones
funciones y responsabilidades sean llevadas a de los puestos para el personal de TI sean
cabo apropiadamente, para evaluar si todo el establecidos y actualizados regularmente. Estas
personal cuenta con suficiente autoridad y descripciones de puestos deberán delinear
recursos para llevar a cabo sus tareas y claramente tanto la responsabilidad como la
responsabilidades, y para revisar de manera autoridad, incluir las definiciones de las
general los indicadores clave de desempeño. habilidades y la experiencia necesarias para el
puesto, y ser adecuadas para su utilización en
4.10 Segregación de Funciones
evaluaciones de desempeño.
OBJETIVO DE CONTROL
4.13 Personal Clave de TI
La alta gerencia deberá implementar una división
OBJETIVO DE CONTROL
de roles y responsabilidades que excluya la
posibilidad de que un solo individuo responda por La Gerencia de TI deberá definir e identificar al
un proceso crítico. La Gerencia deberá asegurar personal clave de tecnología de información.
también que el personal lleve a cabo únicamente
4.14 Políticas y Procedimientos para Personal por
aquellas tareas estipuladas para sus respectivos
Contrato
puestos. En particular, deberá mantenerse una
segregación de funciones entre las siguientes OBJETIVO DE CONTROL
funciones:
La Gerencia deberá definir e implementar
z uso de sistemas de información; políticas y procedimientos relevantes para
z entrada de datos; controlar las actividades de consultores y demás
z operación de cómputo; personal externo contratado por la función de TI
z administración de redes; para asegurar la protección de los activos de
z administración de sistemas; información de la organización.
z desarrollo y mantenimiento de sistemas
z administración de cambios 4.15 Relaciones
z administración de seguridad; y OBJETIVO DE CONTROL
z auditoría a la seguridad
La Gerencia de TI deberá llevar a cabo las acciones
necesarias para establecer y mantener una
4.11 Asignación de Personal de TI coordinación, comunicación y un enlace óptimos
entre la función de TI y demás interesados dentro y
OBJETIVO DE CONTROL
fuera de la función de servicios de información
Las evaluaciones de los requerimientos de (usuarios, proveedores, oficiales de seguridad,
asignación de personal deberán llevarse a cabo administradores de riesgos).
regularmente para asegurar que la función de
44 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 45
OBJETIVOS DE CONTROL
PO5
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
Adquisición &
cu nib
tiv
en
ia
Implementación
ec
p
te
o
ef
nf
P P S Entrega &
Soporte
y toma en consideración:
• alternativas de financiamiento
• Claros responsables del presupuesto
• Control sobre los gastos actuales
• justificación de costos y concientización
sobre el costo total de la propiedad
• justificación del beneficio y
contabilización de todos los beneficios
obtenidos 3 3 3 3
• Ciclo de vida del software de aplicación y
da nes
in olo s
de la tecnología
ac ía
e
te cion
g
io
ap ente
de la empresa
al
g
lic
st
• Análisis de impacto
• Administración de los activos
46 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
5 MANEJO / ADMINISTRACIÓN DE LA
INVERSIÓN EN TECNOLOGÍA DE
INFORMACIÓN
5.1 Presupuesto Operativo Anual para la Función de
Servicios de Información
OBJETIVO DE CONTROL
La alta gerencia deberá implementar un proceso de
asignación de presupuestos para asegurar que un
presupuesto operativo anual para TI sea establecido y
aprobado en línea con los planes a largo y corto plazo
de la organización, así como con los planes a largo y
corto plazo de tecnología de información. Deberán
investigarse alternativas de financiamiento.
5.2 Monitoreo de Costo - Beneficios
OBJETIVO DE CONTROL
La Gerencia deberá establecer un proceso de
monitoreo de costos que compare los costos reales
contra los presupuestados. Aun más, los posibles
beneficios derivados de la actividad de tecnología de
información deberán ser identificados y reportados.
En cuanto al monitoreo de costos, la fuente de las
cifras reales deberá tomar como base el sistema de
contabilidad de la organización, mismo que deberá
registrar, procesar y reportar rutinariamente los
costos asociados con las actividades de la función de
servicios de información. En lo referente al
monitoreo de los beneficios, se deberán definir
indicadores de medición de desempeño de alto nivel
y ser reportados y revisados regularmente para
asegurar que son adecuados.
5.3 Justificación de Costo - Beneficio
OBJETIVO DE CONTROL
Deberá establecerse un control gerencial que
garantice que los servicios que presta la función de
TI presenten un costo justificado y se encuentren en
línea con la industria. Los beneficios derivados de las
actividades de tecnología de información deberán ser
analizados en forma similar.
IT GOVERNANCE INSTITUTE 47
OBJETIVOS DE CONTROL
PO6
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
Adquisición &
cu nib
tiv
en
ia
Implementación
ec
p
te
o
ef
nf
P S Entrega &
Soporte
y toma en consideración:
• Ejemplos de liderazgo
ac ía
e
te cion
g
io
ap ente
•
cn
st
48 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 49
OBJETIVOS DE CONTROL
6.8 Política sobre el Marco de Referencia para la 6.10 Políticas para Situaciones Específicas
Seguridad y el Control Interno
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Deberán ponerse en práctica medidas que asegu-
La Gerencia deberá asumir la responsabilidad ren el establecimiento de políticas para situacio-
total del desarrollo y mantenimiento de una nes específicas con el fin de documentar las deci-
política sobre el marco de referencia, que siones gerenciales con respecto al tratamiento de
establezca el enfoque general de la organización actividades, aplicaciones, sistemas o tecnologías
en cuanto a seguridad y control interno para particulares.
establecer y mejorar la protección de los recursos
6.11 Comunicación para educar y concientizar
de tecnología de información. La política deberá
(crear conciencia) sobre Seguridad de TI
cumplir con los objetivos generales del negocio y
estar dirigida a minimizar riesgos a través de OBJETIVO DE CONTROL
medidas preventivas, identificación oportuna de
Un programa de concientización sobre seguridad
irregularidades, limitación de pérdidas y
recuperación oportuna. Estas medidas deberán de TI debe comunicar las políticas de TI a cada
basarse en análisis costo-beneficio y deberá usuario de TI y asegurar el completo entendi-
priorizarse. Además, la alta gerencia deberá miento de la importancia de la seguridad de TI.
asegurar que esta política de seguridad de alto Debe transmitir el mensaje en cuanto a que la
nivel y de control interno especifique el propósito seguridad de TI es para el beneficio de toda la
y los objetivos, la estructura gerencial, el alcance organización, todos los empleados, y así mismo
dentro de la organización, la definición y todos son responsables de ella. El programa de
asignación de responsabilidades para su concientización en seguridad de TI debe estar
implementación a todos los niveles y la apoyado y representar el punto de vista de la
definición de multas y de acciones disciplinarias gerencia.
asociadas con la falta de cumplimiento con las
políticas de seguridad y control interno. Se
deberán establecer criterios para la reevaluación
periódica del marco de referencia con el objeto
de soportar responsablemente los cambios
organizacionales y los requerimientos técnicos y
ambientales.
6.9 Derechos de propiedad intelectual
OBJETIVO DE CONTROL
La gerencia deberá proveer e implementar una
política por escrito sobre derechos de propiedad
intelectual, que cubra el desarrollo de software,
tanto interno como contratado a externos.
50 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 51
OBJETIVOS DE CONTROL
PO7
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m lid
li
ef ida
lid
sp da
in c ia
Adquisición &
cu nib
tiv
en
ia
Implementación
ec
p
te
o
ef
nf
P P Entrega &
Soporte
y toma en consideración:
• reclutamiento y promoción
• Entrenamiento y requerimientos de
calificaciones
• desarrollo de conciencia
• entrenamiento cruzado y rotación de puestos
• Procedimientos para contratación, veto y
despidos 3
• evaluación objetiva y medible del desempeño
• responsabilidades sobre los cambios técnicos y
da nes
in olo s
ac ía
e
te cion
g
io
de mercado
ap ente
s
to
st
externos
• Plan de sucesión para posiciones clave
52 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
La Gerencia deberá asegurar que los empleados reciban La Gerencia debe asegurar que se tomen acciones
orientación al ser contratados, así como entrenamiento apropiadas y a tiempo en cuanto a cambios y
y capacitación constantes con la finalidad de conservar terminación de trabajo para que los controles internos y
los conocimientos, habilidades, destrezas y conciencia de seguridad no se vean perjudicados por estos
de seguridad al nivel requerido, para la ejecución eventos.
IT GOVERNANCE INSTITUTE 53
OBJETIVOS DE CONTROL
PO8
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m lid
li
ef ida
lid
sp da
in c ia
Adquisición &
cu nib
tiv
en
ia
Implementación
ec
p
te
o
ef
nf
P P S Entrega &
Soporte
y toma en consideración:
io
ap ente
s
to
ac
a
cn
g
lic
st
54 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 55
OBJETIVOS DE CONTROL
PO9
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
Adquisición &
cu nib
tiv
en
ia
Implementación
ec
p
te
o
ef
nf
P S P P P S S Entrega &
Soporte
Control sobre el proceso de TI de:
y toma en consideración:
g
io
ap ente
•
cn
st
riesgos
• metodología de análisis de riesgos
• Plan de acción contra los riesgos
8
• Volver a realiza análisis oportunos Registro de las operaciones: Accountability
56 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 57
OBJETIVOS DE CONTROL
58 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 59
OBJETIVOS DE CONTROL
PO10
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
Adquisición &
cu nib
tiv
en
ia
Implementación
ec
p
te
o
ef
nf
P P Entrega &
Soporte
y toma en consideración:
g
io
ap ente
s
to
60 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 61
OBJETIVOS DE CONTROL
62 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 63
OBJETIVOS DE CONTROL
PO11
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
Adquisición &
cu nib
tiv
en
ia
Implementación
ec
p
te
o
ef
nf
P P P S Entrega &
Soporte
y toma en consideración:
g
io
ap ente
s
to
aseguramiento de calidad
st
64 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 65
OBJETIVOS DE CONTROL
66 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
11.17 Revisión del Aseguramiento de Calidad sobre 11.19 Reportes de Revisiones de Aseguramiento de
el Logro de los Objetivos de TI Calidad
OBJETIVO DE CONTROL OBJETIVO DE CONTROL
El enfoque de aseguramiento de calidad deberá Los reportes de revisiones de aseguramiento de
incluir una revisión de hasta qué punto los calidad deberán ser preparados y enviados a la
sistemas particulares y las actividades de Gerencia de los departamentos usuarios y de la
desarrollo de aplicaciones han alcanzado los función de servicios de información (TI).
objetivos de la función de servicios de
información.
11.18 Métricas de calidad
OBJETIVO DE CONTROL
La gerencia deberá definir y utilizar métricas
para medir los resultados de actividades,
evaluando si las metas de calidad han sido
alcanzadas.
IT GOVERNANCE INSTITUTE 67
OBJETIVOS DE CONTROL
68 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
(AI)
ADQUISICIÓN E IMPLEMENTACIÓN
IT GOVERNANCE INSTITUTE 69
OBJETIVOS DE CONTROL
AI1
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
Adquisición &
in c ia
cu nib
tiv
en
Implementación
ia
ec
p
te
o
ef
nf
P S Entrega &
Soporte
y toma en consideración:
g
io
ap ente
alternativas, etc)
to
a
•
cn
st
aceptación y sostenimiento
• Cumplimiento con la arquitectura de información
• Costo - efectividad de la seguridad y los controles
• Responsabilidades de los proveedores
70 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 71
OBJETIVOS DE CONTROL
eliminar el riesgo identificado. Esto deberá 1.12 Selección del Software del Sistema
llevarse a cabo en línea con el marco de
OBJETIVO DE CONTROL
referencia general de evaluación de riesgos.
La Gerencia deberá asegurar que la función de
1.9 Costo - efectivo de los controles de Seguridad
servicios de información cumpla con un
OBJETIVO DE CONTROL procedimiento estándar para identificar todos los
programas de software potenciales que deberán
La Gerencia deberá asegurar que los costos y
satisfacer sus requerimientos operacionales.
beneficios de seguridad sean examinados
cuidadosamente en términos monetarios y no 1.13 Control de Abastecimiento
monetarios, para garantizar que los costos de los
OBJETIVO DE CONTROL
controles no excedan a los beneficios. La
decisión requerirá la firma de aprobación formal La Gerencia deberá desarrollar e implementar un
de la Gerencia. Todos los requerimientos de enfoque central de abastecimientos que describa un
seguridad deberán ser identificados en la fase de conjunto común de procedimientos y estándares a
requerimientos de un proyecto y justificados, ser seguidos en la adquisición de hardware, software
acordados y documentados como parte del caso y servicios relacionados con la tecnología de
total del negocio para un sistema de información. información. Los productos deberán ser revisados y
Los requerimientos de seguridad para la probados antes de su utilización y pago.
administración de la continuidad del negocio
deben ser definidos para asegurar que la 1.14 Adquisición de Productos de Software
activación planeada, la recuperación y la OBJETIVO DE CONTROL
reactivación de procesos son soportadas por la
solución propuesta. La adquisición de productos de software deberá
seguir las políticas de adquisición de la
1.10 Diseño de Pistas de Auditoría organización.
OBJETIVO DE CONTROL 1.15 Mantenimiento de Software de Terceras
La metodología del ciclo de vida de desarrollo de Partes
sistemas de la organización debe asegurar que OBJETIVO DE CONTROL
existan mecanismos adecuados para que las La Gerencia deberá asegurar que, para el
pistas de auditoría estén disponibles o que dichos software con licencia adquirido a terceras partes,
mecanismos puedan ser desarrollados para la los proveedores cuenten con los procedimientos
solución identificada y seleccionada. Los apropiados para validar, proteger y mantener los
mecanismos deberán proporcionar la capacidad derechos de integridad de los productos de
de proteger datos sensitivos (ej. identificación de software. Deberá tomarse en consideración el
usuarios -user ID’s- contra divulgación o mal soporte del producto en cualquier acuerdo de
uso) mantenimiento relacionado con el producto
entregado.
1.11 Ergonomía
OBJETIVO DE CONTROL 1.16 Contratos de Programación de Aplicaciones
12
Entregable (deliverable): un producto formal que es en-
tregado como parte final de un proceso o trabajo.
72 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 73
OBJETIVOS DE CONTROL
AI2
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
Adquisición &
in c ia
cu nib
tiv
en
Implementación
ia
ec
p
te
o
ef
nf
P P S S S Entrega &
Soporte
y toma en consideración:
• Interfase usuario-maquina
ac ía
e
te cion
g
io
ap ente
• Personalización de paquetes
to
a
cn
al
g
lic
st
74 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 75
OBJETIVOS DE CONTROL
76 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 77
OBJETIVOS DE CONTROL
AI3
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
Adquisición &
in c ia
cu nib
tiv
en
Implementación
ia
ec
p
te
o
ef
nf
P P S Entrega &
Soporte
y toma en consideración:
g
io
ap ente
internos y externos
to
a
•
cn
st
proveedor
• Administración de cambios
• Costo total de propiedad
• Seguridad del software del sistema
78 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 79
OBJETIVOS DE CONTROL
AI4
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
Adquisición &
in c ia
cu nib
tiv
en
Implementación
ia
ec
p
te
o
ef
nf
P P S S S Entrega &
Soporte
y toma en consideración:
• Administración de cambios
ac ía
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st
80 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
4 DESARROLLO Y MANTENIMIENTO DE
PROCEDIMIENTOS
4.1 Requerimientos Operacionales y Niveles de
Servicios
OBJETIVO DE CONTROL
La metodología del ciclo de vida de desarrollo de
sistemas de la organización debe asegurar la
definición oportuna de requerimientos
operacionales y niveles de servicio.
4.2 Manual de Procedimientos para Usuario
OBJETIVO DE CONTROL
La metodología del ciclo de vida de desarrollo de
sistemas de la organización debe asegurar que se
preparen y actualicen manuales adecuados de
procedimientos para los usuarios como parte de
cada proyecto de desarrollo o modificación de
sistemas de información.
4.3 Manual de Operaciones
OBJETIVO DE CONTROL
La metodología del ciclo de vida de desarrollo de
sistemas de la organización debe asegurar que se
prepare y se mantenga actualizado un manual de
operaciones adecuado como parte de cada
proyecto de desarrollo o modificación de
sistemas de información.
4.4 Material de Entrenamiento
OBJETIVO DE CONTROL
La metodología del ciclo de vida de desarrollo de
sistemas de la organización debe asegurar que se
desarrollen materiales de entrenamiento
adecuados como parte de cualquier proyecto de
desarrollo, implementación o modificación de
sistemas de información. Estos materiales
deberán enfocarse al uso del sistema en la
práctica diaria.
IT GOVERNANCE INSTITUTE 81
OBJETIVOS DE CONTROL
AI5
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
Adquisición &
in c ia
cu nib
tiv
en
Implementación
ia
ec
p
te
o
ef
nf
P S S Entrega &
Soporte
Control sobre el proceso de TI de:
y toma en consideración:
• Entrenamiento del usuario y personal de
operaciones de TI
• Conversión de datos
• Una prueba ambiental reflejando al
ambiente real
• Acreditación
• revisiones post implementación y
retroalimentación
• Participación del usuario final en las
3 3 3 3 3
pruebas
• Planes continuos de mejoramiento de
da nes
in olo s
ac ía
e
te cion
calidad
g
io
ap ente
s
to
82 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 83
OBJETIVOS DE CONTROL
84 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 85
OBJETIVOS DE CONTROL
AI6
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
Adquisición &
in c ia
cu nib
tiv
en
Implementación
ia
ec
p
te
o
ef
nf
P P P P S Entrega &
Soporte
y toma en consideración:
• identificación de cambios
• procedimientos de categorización,
priorización y emergencia
• Análisis de impacto
• autorización de cambios
• Administración de la liberación del cambio 3 3 3 3 3
• distribución de software
da nes
in olo s
g
io
ap ente
• Administración de la configuración
to
a
•
cn
st
86 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 87
OBJETIVOS DE CONTROL
88 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
(DS)
ENTREGA DE SERVICIOS Y SOPORTE
IT GOVERNANCE INSTITUTE 89
OBJETIVOS DE CONTROL
DS1
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P S S S S S Entrega &
Soporte
y toma en consideración:
servicio requerido
ac ía
e
te cion
g
io
ap ente
• Monitoreo y reporte
to
a
cn
al
g
lic
st
90 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 91
OBJETIVOS DE CONTROL
DS2
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
cu nib
tiv
en
ia
Adquisición &
ec
p
te
o
Implementación
ef
nf
P P S S S S S
Entrega &
Control sobre el proceso de TI de: Soporte
y toma en consideración:
externa
io
ap ente
s
to
•
a
st
niveles de servicio
92 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
monitoreo y requerimientos de contingencia, así celebran para garantizar la continuidad del servicio aun
como en otras estipulaciones según sea cuando el proveedor no pueda proporcionarlo.
apropiado.
IT GOVERNANCE INSTITUTE 93
OBJETIVOS DE CONTROL
DS3
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m lid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P S Entrega &
Soporte
y toma en consideración:
• requerimientos de disponibilidad y
desempeño
• monitoreo y reporte automatizado
• herramientas de modelado
• administración de capacidad
• disponibilidad de recursos 3 3 3
• Cambios en precio-rendimiento del
da nes
in olo s
hardware y software
al gía
e
te cion
io
ap ente
s
to
ac
a
cn
g
lic
st
94 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 95
OBJETIVOS DE CONTROL
DS4
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P S P Entrega &
Soporte
y toma en consideración:
g
io
ap ente
•
cn
st
96 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 97
OBJETIVOS DE CONTROL
4.8 Distribución del Plan de Continuidad de TI 4.12 Almacenamiento de respaldo en el sitio alterno
(Off-site)
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Debido a la naturaleza sensitiva de la
información del plan de continuidad, dicha El almacenamiento externo de copias de
información deberá ser distribuida solo a respaldo, documentación y otros recursos
personal autorizado y mantenerse bajo adecuadas tecnológicos de información, catalogados como
medidas de seguridad para evitar su divulgación. críticos, debe ser establecido para soportar el
Consecuentemente, algunas secciones del plan plan de recuperación y continuidad del negocio.
deberán ser distribuidas solo a las personas cuyas Los propietarios de los procesos del negocio y el
actividades hagan necesario conocer dicha personal de la función de TI deben involucrarse
información. en determinar que recursos de respaldo deben ser
almacenados en el sitio alterno23. La instalación
4.9 Procedimientos de respaldo de procesamiento
de almacenamiento externo debe contar con
alternativo para Departamentos usuarios
medidas ambientales para los medios y otros
OBJETIVO DE CONTROL recursos almacenados; y debe tener un nivel de
seguridad suficiente, que permita proteger los
La metodología de continuidad deberá asegurar
recursos de respaldo contra accesos no
que los departamentos usuarios establezcan autorizados, robo o daño. La Gerencia de TI
procedimientos alternativos de procesamiento, debe asegurar que los acuerdos/contratos del
que puedan ser utilizados hasta que la función de
sitio alterno son periódicamente analizados, al
servicios de información sea capaz de restaurar menos una vez al año, para garantizar que
completamente sus servicios después de un
ofrezca seguridad y protección ambiental.
evento o un desastre.
4.13 Procedimiento de afinamiento24 del Plan de
4.10 Recursos Críticos de Tecnología de
Continuidad
Información
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Dada una exitosa reanudación de la función de TI
El plan de continuidad deberá identificar los después de un desastre, la gerencia de servicios
programas de aplicación, servicios de terceros,
de información deberá establecer procedimientos
sistemas operativos, personal, insumos, archivos para evaluar lo adecuado del plan y actualizarlo
de datos que resultan críticos así como los de acuerdo con los resultados de dicha
tiempos necesarios para la recuperación después
evaluación.
de que se presenta un desastre. Los datos y las
operaciones críticas deben ser identificadas,
documentadas, priorizadas y aprobadas por los
dueños de los procesos del negocio en
cooperación con la Gerencia de TI.
4.11 Sitio22 y Hardware de Respaldo
OBJETIVO DE CONTROL
La Gerencia deberá asegurar que la metodología
de continuidad incorpora la identificación de
alternativas relativas al sitio y al hardware de
respaldo, así como una selección alternativa
final. En caso de aplicar, deberá establecerse un
contrato formal para este tipo de servicios.
22 Sitio de Respaldo (Back-up Site)
23 Sitio Alterno (Off-Site)
24 Afinamiento (Wrap-up)
98 IT GOVERNANCE INSTITUTE
OBJETIVOS DE CONTROL
IT GOVERNANCE INSTITUTE 99
OBJETIVOS DE CONTROL
DS5
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P S S S Entrega &
Soporte
Control sobre el proceso de TI de:
y toma en consideración:
• Requerimientos de privacidad y
confidencialidad
• Autorización, autenticación y control de
acceso
• identificación de usuarios y perfiles de
autorización
• Necesidad de saber y necesidad de tener
(need-to-know and need-to-have) 3 3 3 3 3
• administración de llaves criptográficas
da nes
in olo s
g
io
ap ente
•
cn
Firewalls
al
g
lic
st
verse afectados, tanto interna como externamente autorizadas. El acceso lógico a la información
y se debe actuar de una manera oportuna. sobre el registro26 de recursos de cómputo
(seguridad y otros logs) deberá otorgarse
5.8 Clasificación de Datos
tomando como base el principio de menor
OBJETIVO DE CONTROL privilegio o necesidad de saber.
La Gerencia deberá implementar procedimientos 5.11 Manejo de Incidentes
para asegurar que todos los datos son clasificados
OBJETIVO DE CONTROL
en términos de sensitividad, mediante una
decisión explícita y formal del dueño de los datos La Gerencia deberá implementar la capacidad de
de acuerdo con el esquema de clasificación de manejar incidentes de seguridad computacional,
datos. Aún los datos que “no requeren dar atención a dichos incidentes mediante el
protección” deberán contar con una decisión establecimiento de una plataforma centralizada
formal que les asigne dicha clasificación. Los con suficiente experiencia y equipada con
dueños deben determinar la ubicación o instalaciones de comunicación rápidas y seguras.
disposición de sus datos y determinar quienes Deberán establecerse las responsabilidades y los
pueden compartir los datos aun si y cuando los procedimientos de manejo de incidentes para
programas y archivos sean mantenidos, asegurar una respuesta apropiada, efectiva y
archivados o borrados. Debe quedar evidencia de oportuna a los incidentes de seguridad.
la aprobación del dueño y de la disposición del
5.12 Reacreditación
dato. Se deben definir políticas para soportar la
reclasificación de la información, basados sobre OBJETIVO DE CONTROL
cambios en la sensitividad. El esquema de
clasificación debe incluir criterios para La Gerencia deberá asegurar que se lleve a cabo
administrar el intercambio de información entre periódicamente una reacreditación de seguridad
organizaciones, teniendo en cuenta tanto la (por ejemplo, a través de equipos de personal
técnico “tigre”27) con el fin de mantener
seguridad y el cumplimiento como la legislación
actualizado el nivel de seguridad aprobado
relevante.
formalmente y la aceptación del riesgo residual.
5.9 Administración de Derechos de Acceso e
Identificación Centralizada 5.13 Confianza en Contrapartes
OBJETIVO DE CONTROL
OBJETIVO DE CONTROL
Deben existir controles para asegurar que la Las políticas organizacionales deberán asegurar
que se implementen prácticas de control para
identificación y los derechos de acceso de los
usuarios, así como la identidad del sistema y la verificar la autenticidad de las contrapartes que
propiedad de los datos, son establecidos y proporcionan instrucciones o transacciones
electrónicas. Esto puede lograrse mediante el
administrados de forma única y centralizada, para
obtener consistencia y eficiencia de un control de intercambio confiable de passwords, tokens o
acceso global. llaves criptográficas.
DS6
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P Entrega &
Soporte
y toma en consideración:
• Benchmarking externo
ac ía
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st
6 IDENTIFICACIÓN Y ASIGNACIÓN DE
COSTOS
6.1 Elementos Sujetos a Cargo o Cobro por su
Uso
OBJETIVO DE CONTROL
La Gerencia de TI, en coordinación con la alta
Gerencia, deberá asegurar que los elementos
sujetos a cargo sean identificables, medibles y
predecibles para los usuarios. Los usuarios
deberán ser capaces de controlar el uso de los
servicios de información y de los niveles de
facturación asociados.
6.2 Procedimientos de Costeo
OBJETIVO DE CONTROL
La Gerencia de TI deberá definir e implementar
procedimientos de costeo para proporcionar
información gerencial acerca del costo de prestar
servicios de información, asegurando al mismo
tiempo la economía. Las variaciones entre los
costos pronosticados y los reales deberán ser
analizadas adecuadamente y reportados, con el
fin de facilitar el monitoreo de los mismos.
Además, la alta gerencia deberá evaluar
periódicamente los resultados de los
procedimientos de contabilidad de costos de la
función de servicios de información, a la luz de
los otros sistemas de medición financiera de la
organización.
6.3 Procedimientos de Reversión de Cargos y
Facturación a Usuarios
OBJETIVO DE CONTROL
La Gerencia de TI deberá definir y utilizar
procedimientos de reversión de cargos y
facturación. Esta deberá mantener
procedimientos de reversión de cargos y
facturación que fomenten el uso apropiado de los
recursos de cómputo y aseguren el trato justo de
los departamentos usuarios y de sus necesidades.
El monto cargado deberá reflejar los costos
asociados con los servicios prestados.
DS7
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P S Entrega &
Soporte
y toma en consideración:
• Plan de entrenamiento
• Inventario de habilidades
• Campañas de concientización
• Técnicas de concientización
• Uso de nuevas tecnologías y métodos de
entrenamiento
• Productividad del personal
• Desarrollo de una base de conocimientos 3
da nes
in olo s
ac ía
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st
7 EDUCACIÓN Y ENTRENAMIENTO DE
USUARIOS
7.1 Identificación de Necesidades de
Entrenamiento
OBJETIVO DE CONTROL
En línea con el plan a largo plazo, la Gerencia
deberá establecer y mantener procedimientos
para identificar y documentar las necesidades de
entrenamiento de todo el personal que haga uso
de los servicios de información. Deberá
establecerse un plan de entrenamiento para cada
grupo de empleados.
7.2 Organización del Entrenamiento
OBJETIVO DE CONTROL
Tomando como base las necesidades
identificadas, la Gerencia deberá definir los
grupos objetivo, identificando y asignando
entrenadores y organizando oportunamente las
sesiones de entrenamiento. Asimismo, deberán
investigarse las alternativas de entrenamiento
(Localidad interna o externa, entrenadores
internos o externos, etc.).
7.3 Entrenamiento sobre Principios y Conciencia
de Seguridad
OBJETIVO DE CONTROL
Todo el personal deberá estar capacitado y
entrenado en los principios de seguridad de
sistemas, incluyendo actualizaciones periódicas
con especial atención en concientización sobre
seguridad y manejo de incidentes. La alta
gerencia deberá proporcionar un programa de
educación y entrenamiento que incluya: conducta
ética de la función de TI, prácticas de seguridad
para proteger de una manera segura contra daños
que afecten la disponibilidad, la confidencialidad
la integridad y el desempeño de las tareas.
DS8
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P Entrega &
Soporte
y toma en consideración:
g
io
ap ente
s
to
a
cn
al
g
lic
st
DS9
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P S S Entrega &
Soporte
y toma en consideración:
• registro de activos
• administración de cambios en la
configuración
• chequeo de software no autorizado
• controles de almacenamiento de software
• Integración e interrelación de hardware y 3 3 3
software
da nes
in olo s
g
io
ap ente
s
to
a
cn
al
g
lic
st
DS10
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P S Entrega &
Soporte
y toma en consideración:
g
io
ap ente
cambios
al
g
lic
st
DS11
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P Entrega &
Soporte
y toma en consideración:
• diseño de formatos
• controles sobre documentos fuente
• controles de entrada, procesamiento y salida
• identificación, movimiento y administración de
la librería de medios
• Recuperación y almacenamiento de datos
• autenticación e integridad
• propiedad de datos 3
• políticas de administración de datos
da nes
in olo s
g
io
ap ente
representación de datos
to
a
•
cn
st
plataformas
• requisitos legales y regulatorios
dos en una infraestructura de control interactiva 11.16 Provisiones de Seguridad para Reportes de
con operadores humanos para asegurar que las Salida
decisiones vitales son aprobadas.
OBJETIVO DE CONTROL
11.11 Manejo de Errores en el Procesamiento de
La organización deberá establecer procedimien-
Datos
tos para garantizar que la seguridad de los re-
OBJETIVO DE CONTROL portes generados por los procesos sea manteni-
da para todos aquellos reportes que estén por
La organización deberá establecer procedimien-
distribuirse, así como para todos aquéllos que
tos para el manejo de errores en el procesamien-
ya hayan sido distribuidos a los usuarios.
to de datos que permitan la identificación de
transacciones erróneas sin que éstas sean proce- 11.17 Protección de Información Sensible durante
sadas y sin interrumpir el procesamiento de transmisión y transporte
otras transacciones válidas.
OBJETIVO DE CONTROL
11.12 Manejo y Retención de Datos de Salida
La Gerencia deberá asegurar que durante la
OBJETIVO DE CONTROL transmisión y transporte de información sensi-
ble, se proporcione una adecuada protección
La organización deberá establecer procedimien-
contra acceso o modificación no autorizada, así
tos para el manejo y la retención de datos pro-
como contra envíos a direcciones erróneas.
ducidos por sus programas de aplicación de TI.
En caso de que instrumentos negociables (ej. 11.18 Protección de Información Sensitiva Desecha-
Títulos valores) sean los receptores de la salida, da
se deberá prestar especial cuidado en prevenir
OBJETIVO DE CONTROL
usos inadecuados.
La Gerencia deberá definir e implementar pro-
11.13 Distribución de Datos Salidos de los Procesos
cedimientos para impedir el acceso a la infor-
OBJETIVO DE CONTROL mación sensitiva, al software de las computado-
ras, a los discos y otros equipos o medios cuan-
La organización deberá establecer y comunicar
do los mismos son desechados o transferidos a
procedimientos escritos para la distribución de
otro uso. Tales procedimientos deberán garanti-
datos de salida de tecnología de información.
zar que ninguna información marcada como
11.14 Balanceo y Conciliación de Datos de Salida “borrada” o “desechada”, pueda ser accedida
por personas internas o externas a la organiza-
OBJETIVO DE CONTROL ción.
La organización deberá establecer procedimien-
11.19 Administración de Almacenamiento
tos para asegurar que los datos de salida sean
balanceados rutinariamente con los totales de OBJETIVO DE CONTROL
control relevantes. Deberán existir pistas de
Deberán desarrollarse procedimientos para el
auditoría para facilitar el seguimiento del proce-
almacenamiento de datos que consideren reque-
samiento de transacciones y la conciliación de
rimientos de recuperación, de economía y así
datos con problema.
mismo tengan en cuenta las políticas de seguri-
11.15 Revisión de Datos de Salida y Manejo de dad de la organización.
Errores
11.20 Períodos de Retención y Términos de Alma-
OBJETIVO DE CONTROL cenamiento
La Gerencia de la organización deberá establecer OBJETIVO DE CONTROL
procedimientos para asegurar que la precisión de los
Deberán definirse los períodos de retención y
reportes de los datos de salida sea revisada por el
los términos de almacenamiento para documen-
proveedor y por los usuarios responsables. Asimis-
tos, datos, programas, reportes y mensajes (de
mo, deberán establecerse procedimientos para con-
trolar los errores contenidos en los datos de salida.
entrada y de salida), así como los datos (claves, 11.24 Funciones de Respaldo
certificados) utilizados para su encripción y
OBJETIVO DE CONTROL
autenticación.
Deberán establecerse procedimientos para ase-
11.21 Sistema de Administración de la Librería de
gurar que los respaldos sean realizados de
Medios
acuerdo con la estrategia de respaldo definida, y
OBJETIVO DE CONTROL que las copias de respaldo sean verificadas re-
gularmente.
La función de servicios de información deberá
establecer procedimientos para asegurar que el 11.25 Almacenamiento de Respaldos
contenido de su librería de medios sea inventa-
OBJETIVO DE CONTROL
riado sistemáticamente, que cualquier discre-
pancia revelada por un inventario físico sea so- Los procedimientos de respaldo para los medios
lucionada oportunamente y que se consideren relacionados con tecnología de información
las medidas necesarias para mantener la integri- deberán incluir el almacenamiento apropiado de
dad de los medios magnéticos almacenados en los archivos de datos, del software y de la docu-
la librería. mentación relacionada, tanto dentro como fuera
de las instalaciones. Los respaldos deberán ser
11.22 Responsabilidades de la Administración de la
almacenados con seguridad y las instalaciones
Librería de Medios
de almacenamiento deberán ser revisadas perió-
OBJETIVO DE CONTROL dicamente con respecto a la seguridad de acceso
físico y la seguridad de los archivos de datos y
La Gerencia de la función de servicios de infor-
otros elementos.
mación deberá establecer procedimientos de
administración para proteger el contenido de la 11.26 Archivo
librería de medios. Deberán definirse estándares
OBJETIVO DE CONTROL
para la identificación externa de medios magné-
ticos y el control de su movimiento y almacena- La Gerencia deberá implementar una política y
miento físico para soporte y registro. Las res- procedimientos para asegurar que el archivo
ponsabilidades sobre el manejo de la librerías de cumple con requerimientos legales y de negocio
medios (cintas magnéticas, cartuchos, discos y y que se encuentra debidamente protegido y su
disquetes) deberán ser asignadas a miembros información adecuadamente registrada.
específicos del personal de servicios de infor-
mación. 11.27 Protección de Mensajes Sensitivos
OBJETIVO DE CONTROL
11.23 Respaldo (Back-up) y Restauración
Con respecto a la transmisión de datos a través
OBJETIVO DE CONTROL
de Internet u otra red pública, la Gerencia debe-
La Gerencia deberá implementar una estrategia rá definir e implementar procedimientos y pro-
apropiada de respaldo y recuperación para asegu- tocolos que deben ser utilizados para el asegura-
rar que ésta incluya una revisión de los requeri- miento de la integridad, confidencialidad y “no
mientos del negocio, así como el desarrollo, im- negación/rechazo” de mensajes sensitivos.
plementación, prueba y documentación del plan
de recuperación. Se deberán establecer procedi- 11.28 Autenticación e Integridad
mientos para asegurar que los respaldos satisfagan OBJETIVO DE CONTROL
los requerimientos mencionados anteriormente.
Antes que alguna acción crítica sea tomada so-
bre información originada fuera de la Organiza-
ción, que se reciba vía teléfono, correo de voz,
documentos (en papel), fax o correo electrónico,
se deberá verificar adecuadamente la autentici-
dad e integridad de dicha información.
OBJETIVO DE CONTROL
La Gerencia deberá asegurar que la integridad y
lo adecuado de los datos mantenidos en archi-
vos y otros medios (ej. tarjetas electrónicas) se
verifique periódicamente. Atención específica
deberá darse a dispositivos de tokens29, archivos
de referencia y archivos que contengan informa-
ción privada.
28
Concluye su proceso (commits): se dice de una
transacción que actualiza los datos que procesa al
concluir su procesamiento.
29
Tokens: Dispositivos especiales que permiten el
cálculo de claves en forma aleatoria. Utiliza semi-
llas / llaves que cambian cada minuto.
DS12
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P Entrega &
Soporte
y toma en consideración:
• acceso a instalaciones
• identificación del sitio (instalación)
• seguridad física
• Políticas de inspección y escalamiento
• Plan de continuidad de negocios y
administración de crisis 3
• salud y seguridad del personal
da nes
in olo s
g
io
ap ente
•
cn
Monitoreo automatizado
al
g
lic
st
30
Instalaciones (Facilities)
31
Discreción (low profile)
DS13
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
P P S S Entrega &
Soporte
Control sobre el proceso de TI de:
y toma en consideración:
• Mantenimiento preventivo
te cion
g
io
ap ente
s
to
• Operaciones automatizadas
st
32
Desviaciones (departures)
(M)
MONITOREO
M1
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
Entrega &
P P S S S S S Soporte
y toma en consideración:
• Benchmarking externo
ac ía
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st
M2
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m lid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
Entrega &
P P S S S S S Soporte
y toma en consideración:
io
ap ente
s
to
ac
a
cn
g
lic
st
33
Comparación con mejores prácticas (benchmarks)
M3
Planeación &
di gri dad
co lim ad
Organización
bi to
ad
co icie d
nf ien
id ncia
m ilid
li
ef ida
lid
sp da
in c ia
cu nib
tiv
en
ia
ec
p
te
o
Adquisición &
ef
nf
Implementación
P P S S S S S
Entrega &
Soporte
Control sobre el proceso de TI de:
y toma en consideración:
• certificaciones / acreditaciones
independientes
• evaluaciones independientes de efectividad
• aseguramiento independiente sobre
cumplimiento de requerimientos legales y
regulatorios
• aseguramiento independiente del
cumplimiento de compromisos
contractuales
• revisiones y benchmarking a proveedores 3 3 3 3 3
externos de servicios
da nes
•
in olo s
io
ap ente
aseguramiento de desempeño
to
ac
a
st
M4
Planeación &
Organización
di gri dad
co lim ad
bi to
ad
co icie d
nf ien
id ncia
Adquisición &
m ilid
li
ef ida
lid
sp da
in c ia
Implementación
cu nib
tiv
en
ia
ec
p
te
o
ef
nf
Entrega &
P P S S S P S Soporte
y toma en consideración:
• independencia de auditoría
• involucramiento proactivo de la auditoría
• ejecución de auditorías por parte de
personal calificado
• aclaración de resultados y
recomendaciones
• actividades de seguimiento
• Evaluación del impacto de las 3 3 3 3 3
recomendaciones de la auditoria (costos,
da nes
in olo s
beneficios, y riesgos)
ac ía
e
te cion
g
io
ap ente
s
to
a
cn
al
g
lic
st
OBJETIVO DE CONTROL
La Gerencia deberá asegurar que los auditores
34
responsables de las revisiones de las actividades Estatuto (charter)
35
de la función de servicios de información de la CISA: es un acrónimo para el titulo de Certified
organización, sean técnicamente competentes y Information Systems Auditor (auditor de sistemas
cuenten en forma general con las habilidades y de información certificado).
4.7 Reporte
OBJETIVO DE CONTROL
La función de auditoría de la organización deberá
entregar un reporte, en un formato adecuado, a
todo el personal interesado una vez concluida su
revisión. El reporte de auditoría deberá mostrar
los objetivos de la auditoría, el período de
cobertura y la naturaleza y extensión de trabajo
de auditoría realizado. El reporte deberá
identificar la Organización, los destinatarios del
informe y cualquier restricción en su circulación.
El reporte de auditoría deberá también mostrar
los hallazgos, conclusiones y recomendaciones
relacionadas con el trabajo de auditoría llevado a
cabo, así como cualquier salvedad o comentario
que el auditor tenga con respecto a la auditoría.
4.8 Actividades de Seguimiento
OBJETIVO DE CONTROL
La resolución y atención de los comentarios
sobre la auditoría depende de la Gerencia. Los
auditores deberán solicitar y evaluar la
relacionada con los hallazgos, conclusiones y
recomendaciones de auditorías anteriores para
determinar si las acciones apropiadas han sido
implementadas de manera oportuna.
APENDICES
Las siguientes Directrices Gerenciales y el Modelo de Madurez identifican los Factores Críticos de Éxito
(Critical Success Factors — CSFs), los Indicadires Claves de objetivos/resultados (Key Goal Indicators—
KGIs), Indicadores Claves de Desempeño (Key Performance Indicators—KPIs) para la Gobernabilidad de TI.
Primero, la Gobernabilidad de TI se define articulando las necesidades del negocio. A continuación, los
criterios de información relacionados con la Gobernabilidad de TI son identificados. Las necesidades del
negocio son medidas por los Indicadores Claves de Resultados - KGIs - y organizados por sentencias de control
apoyado por todos los recursos de TI. El resultado de las sentencias de control organizadas son medidas por los
Indicadores Clave de desempeño - KPIs los cuales consideran los Factores críticos de Éxito - CSFs.
El modelo de madurez se utiliza para evaluar el nivel de la organización para cumplir con lo establecido por la
Gobernabilidad de TI—desde el mas bajo nivel donde no existe, pasando por un estado inicial /adhoc,
ascendiendo a otro repetible pero intuitivo, luego a otro con procesos definidos, a otro administrado y medido y
llegando al nivel optimista que es el mas alto nivel. Para llegar al nivel de madurez optimista para la
Gobernabilidad de TI, una organización debe estar al menos en el nivel optimizado del dominio de Monitoreo y
al menos estar en el nivel de medir y administrar los demás dominios.
(Ver las Directrices Gerenciales de COBIT para una completa discusión del uso de esas herramientas)
z Mejorar los procesos de costo-eficiencia de TI 2 Repetible pero Intuitiva. Hay una conciencia
(costos versus entregables o servicios) global sobre los aspectos del gobierno de TI. Las
z Incrementare el número de planes de acción de actividades del gobierno de TI y los indicadores
TI para las iniciativas de mejoramiento de de desempeño están en desarrollo, incluyendo la
procesos planeación de TI y los procesos de entrega y
z Incrementar la utilización de la infraestructura monitoreo. Como parte de los esfuerzos, las
de TI actividades del gobierno de TI están formalmente
z Incrementar la satisfacción de los socios y establecidas dentro del proceso de administración
accionistas (encuestas y número de del cambio con el involucramiento activo de la
reclamaciones). alta gerencia. Procesos seleccionados de TI son
z Incrementar la productividad de los funcionarios identificados para mejorar y/o controlar el núcleo
de TI (número de entregables) y su moral de los procesos de la empresa, son efectivamente
(encuesta) planeados y monitoreados como si fueran
z Incrementar la disponibilidad de conocimiento e inversiones y son derivados en el contexto de un
información para administrar la empresa. marco de referencia de la arquitectura de TI. La
z Incrementar las relaciones entre el gobierno de gerencia ha identificado los métodos y técnicas
la empresa y el gobierno de TI básicos de análisis y medición del gobierno de TI,
z Incrementar el desempeño mediante mediciones sin embargo, el proceso no ha sido adoptado a
utilizando tarjetas de medición (Balanced través la organización. No hay entrenamiento y
Scorecards). comunicación sobre los estándares de
gobernabilidad y las responsabilidades son
Modelo de Madurez del Gobierno de TI dejadas a los individuos. Los individuos
direccionan los procesos de gobernabilidad como
El Gobierno sobre la tecnología de información es un si no fueran procesos y proyectos de TI. Las
proceso que tiene como finalidad proveer valor herramientas de gobernabilidad son limitadas,
agregado al negocio mientras balancea riesgos versus escogidas e implementadas para lograr métricas
retorno. de gobernabilidad pero puede que no se usen en
toda su capacidad debido a la falta de experiencia
0 No existe. Hay una completa falta de cualquier en su funcionalidad.
proceso de gobierno de TI identificable. La
organización no ha reconocido aun que hay 3 Procesos Definidos. La necesidad de actuar con
aspectos que deben ser identificados y por lo respecto al gobierno de TI es entendida y
tanto no hay comunicación al respecto. aceptada. Se desarrolla un grupo básico de
indicadores de Gobierno de TI, donde el
1 Inicial / Ad Hoc36. Hay evidencia de que la encadenamiento entre medidas de ingresos y
organización ha reconocido que existen aspectos controladores de desempeño es definido,
del gobierno de TI que deben ser considerados. documentado e integrado dentro de la planeación
Hay, sin embargo, procesos no estandarizados, operacional y estratégica .
pero en su lugar, hay procedimientos ad hoc Los procedimientos han sido estandarizados,
aplicados sobre un caso individual o sobre bases documentados e implementados. La Gerencia ha
de caso a caso37. El enfoque Gerencial es caótico comunicado los procedimientos estandarizados y
y hay una esporádica e inconsistente se establece un entrenamiento informal. Los
comunicación sobre aspectos y enfoques que 36
deban ser considerados. Puede haber algún Ad Hoc: porque sí, por costumbre
37
reconocimiento para utilizar el valor de TI en el case-by-case basis: Bases de caso a caso
desempeño orientado al resultado de los procesos
COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - Integrated
Framework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994.
OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of
Information, Paris, 1992.
DTI Code of Practice for Information Security Management: Department of Trade and Industry and British
Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995.
ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance
Standards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of
software, Switzerland, 1991.
An Introduction to Computer Security: The NIST Handbook: National Institute of Standards and Technology,
U.S. Department of Commerce. Washington, DC, 1995.
ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines
developed by the Central Computer and Telecommunications Agency (CCTA), London, 1989.
IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials
Group on Information Security, advising the European Commission) Brussels, Belgium, 1994.
NSW Premiers Office Statements of Best Practices and Planning Information Management and Techniques:
Statements of Best Practice #1 through #6. premier's Department New South Wales, Government of New South
Wales, Australia, 1990 through 1994.
Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data
Processing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998.
EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph
Series #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994.
PCIE (president's Council on Integrity and Efficiency) Model Framework: A Model Framework for
Management Over Automated Information Systems. Prepared jointly by the president's Council on Management
Improvement and the president's Council on Integrity and Efficiency, Washington, DC, 1987.
Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by
the Chuo Audit Corporation, Tokyo, August 1994.
CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified
Information Systems Auditor Job Analysis Study", Rolling Meadows, IL, 1994.
CICA Computer Control Guidelines: Canadian Institute of Chartered Accountants, Toronto, 1986.
IFAC International Guidelines for Managing Security of Information and Communications: International
Federation of Accountants, New York, NY, 1997.
Standards for Internal Control in the U.S. Federal Government: U.S. General Accounting Office, Washington,
DC, 1983.
Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NBS Special
Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington,
DC, 1988.
Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants,
Denmark, 1994.
SPICE: Software Process Improvement and Capability Determination. A standard on software process
improvement, British Standards Institution, London, 1995.
DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute
International. Guideline for Business Continuity Planners, St. Louis, MO, 1997.
IIA, SAC Systems Audibility and Control: Institute of Internal Auditors Research Foundation, Systems
Audibility and Control Report, Alamonte Springs, FL, 1991, 1994.
IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research
Foundation, Alamonte Springs, FL, 1997.
E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996.
C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, NY, 1997.
ISO IEC JTC1/SC27 Information Technology - Security: International Organisation for Standardisation (ISO)
Technical Committee on Information Technology Security, Switzerland, 1998.
ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical
Committee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992.
ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services:
International Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services,
Draft, Switzerland, 1997.
CCEB 96/011, Common Criteria for Information Technology Security Evaluation: Common Criteria
Implementation Board, Alignment and comparison of existing European, US and Canadian IT Security Criteria,
Draft, Washington, DC, 1997.
Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987.
TickIT: Guide to Software Quality Management System Construction and Certification. British Department of
Trade and Industry (DTI), London, 1994
ESF Baseline Control - Communications: European Security Forum, London. Communications Network
Security, September 1991; Baseline Controls for Local Area Networks, September, 1994.
ESF Baseline Control - Microcomputers: European Security Forum, London. Baseline Controls Microcomputers
Attached to Network, June 1990.
Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information
Systems Audit and Control Foundation), Rolling Meadows, IL, 1992.
Guide for Developing Security Plans for Information Technology: NIST Special Publication 800-18, National
Institute for Standards and Technology, US Department of Commerce, Washington, DC 1998
Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office,
Washington, DC, 1999.
BS7799-Information Security Management: British Standards Institute, London, 1999.
CICA Information Technology Control Guidelines, 3er Edition: Canadian Institute of Chartered Accountants,
Toronto, 1998
ISO/IEC TR 1335-n Guidelines for the Management of IT Security, (GMITS) Parts 1-5: International
Organisation for Standardisation, Switzerland, 1998.
AICPA/CICA SystrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute of
Certified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999.
AICPA Instituto Americano de Contadores Públicos Certificado. (American Institute of Certified Public
Accountants)
CCEB Criterios comunes para seguridad en tecnología de información. (Common Criteria for
Information Technology Security)
DTI Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of
the United Kingdom)
ESF Foro Europeo de Seguridad (European Security Forum), cooperación de 70+ multinacionales
europeas principalmente con el propósito de investigar problemas de seguridad y control
comunes de TI.
GAO Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office)
IBAG Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group), representantes de la
industria que asesoran al Comité Infosec. Este Comité está compuesto por funcionarios de los
gobiernos de la Comunidad Europea y asesora a la Comisión Europea sobre cuestiones de
seguridad de TI.
INFOSEC Comité Consultivo para la Comisión Europea en Materia de Seguridad TI. (Advisory Committee
for IT Security Matters to the European Commission)
ISACA Asociación para la Auditoría y Control de Sistemas de Información. (Information Systems Audit
and Control Foundation)
ISACF Fundación para la Auditoría y Control de Sistemas de Información. (Information Systems Audit
and Control Foundation)
NBS Departamento Nacional de Estándares de los Estados Unidos (National Bureau of Standards of
the U.S.)
NIST (antes NBS) Instituto Nacional de Estándares y Tecnología. (National Institute of Standards
and Technology), con base en Washington D.C.
NSW Nueva Gales del Sur, Australia. (New South Wales, Australia)
Objetivo de Una sentencia o declaración del resultado deseado o propósito a ser alcanzado mediante la impleControl
mentación de procedimientos de control en una actividad particular de TI