CAPITULO 1:

En los últimos años, se ha vuelto cada vez más evidente que existe la necesidad
de un marco de referencia para desarrollando y gestionando controles internos y
niveles apropiados de seguridad en tecnología de la información (TI). La aplicación
de TI se ha convertido en un elemento central de la estrategia y los procesos
comerciales de muchas entidades. Como tal, Las organizaciones exitosas
requieren una apreciación y una comprensión básica de los riesgos y limitaciones
de TI en todos los niveles dentro de la empresa para lograr una dirección efectiva
y controles adecuados. C OBI T (Control Objetivos para la información y la
tecnología relacionada ) proporciona un marco de control y seguridad para TI

El gobierno de TI proporciona la estructura que vincula los procesos de TI, los

recursos de TI y la información a la empresa estrategias y objetivos se integra e
institucionaliza formas óptimas de planificación y organizando, adquiriendo e
implementando, entregando y apoyando, y monitoreando y evaluando TI actuación
El gobierno de TI permite a la empresa aprovechar al máximo su información,
maximizando así los beneficios, aprovechando las oportunidades y ganando
ventaja competitiva
Las empresas bien administradas emplean las mejores prácticas generalmente
aceptadas para garantizar que la empresa esté logrando sus objetivos
estratégicos y operativos La gestión de TI también se rige por las mejores
prácticas para garantizar que la información de la empresa y la tecnología
relacionada respalda sus objetivos comerciales
El objetivo principal de COBIT es el desarrollo de políticas claras y buenas
prácticas para la seguridad y el control en TI para respaldo mundial por parte de
organizaciones comerciales, gubernamentales y profesionales. Su objetivo
principal es el desarrollo de objetivos de control principalmente desde los objetivos
del negocio y la perspectiva de las necesidades

CAPITULO 2:

Muchas entidades ahora utilizan la externalización de servicios de soporte dentro

de su función de TI hasta tercerización completa de todas sus funciones de TI a un
tercero se podría contratar la reparación y mantenimiento de sus computadoras
personales a un tercero, coloque sus redes internas y externas en manos de un
especialista en telecomunicaciones o emplea software basado en la web de un
proveedor de servicios de aplicaciones, como NetSuite, que proporciona gestión
de relaciones con el cliente C OBI T define un objetivo de control de alto nivel y de
tres a 30 objetivos de control detallados para cada uno de los 34 procesos
informáticos. Estos objetivos de control contienen declaraciones de los resultados
deseados a ser alcanzados por implementar procedimientos de control específicos
dentro de la actividad relacionada con TI dada.
Por lo tanto, el grado en que el objetivo de control impacta el criterio de
información en cuestión es indicado en la primera página como primario (P) o
secundario (S). La primera página también ofrece una visión general de TI
recursos que son gestionados específicamente por el proceso bajo revisión Los
contactos con terceros y los contratos de subcontratación deben estar claramente
definidos y acordados mutuamente, y antes selección, los terceros potenciales
deben pasar por un control de calidad para asegurarse de que puedan entregar el
servicio requerido Los objetivos de control pueden ser utilizados proactivamente
por las corporaciones para administrar sus relaciones con terceros. Por ejemplo,
cuando una entidad negocia sus acuerdos de externalización de TI .
Las prácticas de control de TI amplían las capacidades de C OBI T al proporcionar
al profesional un nivel adicional de detalle. Los procesos actuales de C OBI T IT,
los requisitos comerciales y los objetivos de control detallados definen que debe
hacerse para implementar una estructura de control efectiva La gestión de
servicios de terceros es importante para facilitar una comunicación efectiva y
eficiente entre organizaciones para ayudar a mantener una efectividad prestación
de servicios Esto se puede lograr mediante la implementación de prácticas de
control, como tener una política y procedimiento para mantener un registro de
proveedores clave y garantizar que este registro se actualice continuamente a
través de un proceso de revisión regular
El Dr. Larry Ponemon informa sobre un estudio de caso de una corporación con
sede en EE. UU. Que subcontrató importantes operaciones de TI funciones a
Ucrania. Esta ubicación fue elegida porque:

• La fuerza laboral estaba bien educada y el vendedor tenía las habilidades

necesarias para configurar el centro de llamadas.

• El costo de las operaciones fue muy favorable e incluyó importantes incentivos

fiscales proporcionados por el gobierno.

• La industria de la subcontratación en Ucrania estaba en auge

Además de y correspondiente a cada uno de los 34 objetivos de control de alto nivel,

C OBI T proporciona auditoría pautas El objetivo de estas pautas es permitir la revisión de
los procesos de TI contra los recomendados objetivos de control detallados. Esto puede
ayudar al auditor de TI a:

• Proporcionar a la gerencia una seguridad razonable de que se están cumpliendo los

objetivos de control.

• Sustanciar los riesgos resultantes, donde hay debilidades de control significativas.

C OBI T aplica una estructura generalmente aceptada para realizar este proceso de auditoría:
1. Obtener una comprensión de los requisitos del negocio, los riesgos relacionados y las
medidas de control relevantes dentro del
proceso que será auditado. Una comprensión profunda de las actividades subyacentes a los
objetivos de control.
y las medidas y procedimientos de control establecidos son un primer paso esencial en el
proceso de auditoría.
2. Evaluar la idoneidad de los controles establecidos en el proceso de TI. La idoneidad
puede ser evaluada por
considerando los criterios identificados y las mejores prácticas de la industria, revisando los
factores críticos de éxito del control
medidas y aplicación del juicio profesional del auditor.
3. Evaluar el cumplimiento comprobando si los controles establecidos funcionan según lo
prescrito, de manera consistente y
continuamente
4. Sustanciar el riesgo de que no se cumplan los objetivos de control mediante el uso de
técnicas analíticas y / o consultoría
fuentes alternativas. El objetivo es dejar en claro la naturaleza de los riesgos mediante, por
ejemplo, una gestión impactante
en acción