Gobierno y Gestión de TI

CcisA eard
sys ems InfumatIo

ter
ISACR dr"1110
n
Capítulo 2- Gobierno y Gestión de TI Sección Uno: Generalidades
2-8 B La segregación de funciones podrá prevenir la

combinación de funciones conflictivas. Este es un
control preventivo, y es el control más crítico en la
administración de base de datos. La aprobación de
las actividades de DBA no impide la combinación
de funciones conflictivas. Revisión de registros de
acceso y actividades es un control de detección.
Si las actividades de DBA son incorrectamente
aprobadas, la revisión de los registros de acceso
y actividades puede no reducir el riesgo. Revisar
el uso de las herramientas de la base de datos no
reduce el riesgo, ya que éste es sólo un control de
detección y no previene la combinación de funciones
conflictivas.
2-9 B La autorización debe estar separada de todos los

aspectos de mantenimiento de registros (generación,
registro y corrección). Dicha segregación aumenta la
capacidad de detectar el registro de las transacciones
no autorizadas.
2-10 C En las organizaciones más pequeñas, generalmente

no es apropiado reclutar personal adicional para
lograr una estricta segregación de funciones. El
auditor de SI debe analizar las alternativas. De las
opciones, C es la única que es práctica que tiene un
impacto. El auditor de SI debe recomendar procesos
que detecten los cambios al código fuente y al
código objetivo de producción, como por ejemplo las
comparaciones de código de modo que los cambios
puedan ser revisados por un tercero regularmente.
Esto sería un proceso de control compensatorio. La
opción A, que implica el registro de los cambios a
las librerías de desarrollo, no detectaría los cambios
a las librerías de producción. La opción D está
efectivamente requiriendo que un tercero haga
los cambios, lo cual puede no ser práctico en una
organización pequeña.
Manual de Preparación al Examen CISA 2011 91

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI aso Cettffled Information
Sección Dos: Contenido

2.1 REFERENCIA RÁPIDA
Revisión de la Referencia Rápida Revisión de la Referencia Rápida (cont)

El Capítulo 2 define la necesidad de gobierno de TI. Un auditor de SI Este capítulo también aborda la necesidad de continuidad del negocio
debe estar en capacidad de entender y proveer aseguramiento de que y recuperación ante desastres dentro de una organización. La mayoría
la organización cuenta con la estructura, las políticas, los mecanismos de las organizaciones tiene algún grado de Plan de recuperación ante
contables y las prácticas de monitoreo necesarios para alcanzar los desastres (DRPs) para la recuperación de la infraestructura de TI, sistemas
requerimientos de gobiemo corporativo de TI. Para un auditor de SI, el críticos y datos asociados. Sin embargo, muchas organizaciones no
conocimiento del gobiemo de TI es la base para la evaluación de las han desarrollado planes para el funcionamiento de las unidades de
prácticas y mecanismos de control para la supervisión y revisión por negocio clave durante un período de interrupción de TI. Los candidatos
parte de la gerencia. a CISA deberían estar conscientes de los componentes de los Planes
de recuperación ante desastres (DRPs) y los Planes de continuidad del
Los candidatos a CISA deberían comprender los siguientes ítems, no negocio (BCPs), la importancia de alinear unos con otros y alinear los DRPs
sólo dentro del contexto del presente capítulo, sino también para abordar y BCPs con las metas y la tolerancia a riesgos de la organización. De igual
correctamente las preguntas en las áreas relacionadas. Es importante importancia son el respaldo, el almacenamiento y la retención de datos, y
tener presente que no es suficiente el conocimiento de estos conceptos la restauración. Ejemplos de temas claves en este capítulo incluyen:
desde una perspectiva semántica. El candidato a CISA también debe
Los candidatos a CISA deben tener una comprensión profunda de los
ser capaz de identificar cuáles de los elementos disponibles podría
siguientes elementos, no sólo dentro del contexto del presente capítulo,
representar el mayor riesgo y cuáles controles son más efectivos para
sino también para responder correctamente en áreas relacionadas.
mitigar este riesgo. Ejemplos de temas claves en este capítulo incluyen:
Un objetivo de gobiemo corporativo es resolver los objetivos conflictivos Los DRPs para la recuperación de TI deben estar alineados con los
que remitan de explotar las oportunidades disponibles para aumentar BCPs, que tratan la recuperación de procesos y unidades de negocio
el valor de las partes interesadas, mientras que se mantienen las clave. Ambos deben estar alineados apropiadamente con las metas
operaciones de la organización dentro de los límites establecidos por y la tolerancia a riesgos de la organización.
los requerimientos regulatorios y las obligaciones sociales.Aplicado a Para muchas organizaciones, no es viable desde el punto de vista
TI, el gobiemo ayuda a asegurar la alineación de los objetivos de TI y financiero recuperar de inmediato todos los sistemas de aplicaciones y
los de la empresa. Al gobiemo de TI le incumben dos aspectos: que TI procesos de negocio. Es necesario realizar un Análisis de impacto del
entregue valor al negocio y que los riesgos de TI sean gestionados. Lo negocio (BIA) para comprender el costo de la interrupción e identificar
primero es impulsado por la alineación estratégica de TI con el negocio. las aplicaciones y procesos más críticos para el funcionamiento
Lo segundo está impulsado por la integración de la responsabilidad en la permanente de la organización. Posteriormente, los resultados del
empresa. El gobiemo de TI es responsabilidad del consejo de dirección BIA pueden utilizarse para decidir el orden de restauración de las
y de la dirección ejecutiva, y entre las prácticas clave de gobiemo de TI aplicaciones y procesos de negocio y el tiempo de restauración, y
de la dirección ejecutiva se incluyen un comité de estrategias de TI, un cuáles técnicas o mecanismos pudieran ser necesarios para cumplir
proceso de gestión de riesgos y un cuadro de mando integral de TI. con el itinerario de recuperación acordado.
Un comité de estrategias de TI monitorea el valor, los riesgos y el Es importante comprender la diferencia entre el Tiempo Objetivo de
desempeño de TI, además provee información al consejo para respaldar recuperación (RTO) y el Punto Objetivo de recuperación (RPO). El RTO se
la toma de decisiones relacionada con las estrategias de TI. El auditor determina basándose en el tiempo improductivo aceptable en caso de
de SI debe evaluar la efectividad de la estructura de gobierno de TI para una interrupción de las operaciones. Indica el punto más próximo en el
asegurar un control gerencial adecuado de la junta sobre las decisiones, cual se deben retomar las operaciones de negocio luego del desastre.
instrucciones y ejecución de TI de modo que respalde las estrategias y El RPO se determina tomando como base la pérdida de datos aceptables
objetivos de la organización. en el caso de interrupción de las operaciones. Indica la fecha y hora o
Un aspecto clave del gobierno de TI es el gobiemo de la seguridad el punto de sincronización al cual se restaurarán los sistemas y datos
de la información. La información es el activo más valioso de una basándose en la disponibilidad de medios de respaldo.
organización y se debe proteger adecuadamente, independientemente Los candidatos a CISA deberían estar familiarizados con los diferentes
de cómo se maneje, procese, trasporte, almacene o deseche. La equipos de personas que se utilizan en el proceso de recuperación y los
seguridad de la información abarca todos los procesos de información,
componentes de un BCP, tal como se explicó anteriormente en el presente
tanto físicos como electrónicos, independientemente de si ellos
capítulo.
involucran personas y tecnología o relaciones con socios comerciales,
El gobiemo de TI se relaciona con asegurar que la TI brinda valor y,
clientes o terceros. Garantiza que los riesgos de seguridad de la
información sean gestionados de manera apropiada y que los recursos para asegurar este gobiemo, debería existir una estrategia de sistemas
de información de la empresa se usen con responsabilidad. de información que contenga la dirección a largo plazo sobre cómo
El gobiemo de la seguridad de la información se debe ejecutar y se utilizará la tecnología de la información para respaldar y mejorar el
respaldar mediante las estrategias, las políticas y la estructura de negocio. La efectiva planificación estratégica de la TI incluye considerar
la organización de la seguridad de la información. El gobierno de la exigencia de la organización en lo que se refiere a la TI y su capacidad
seguridad de la información debería ser responsabilidad del consejo de para respaldar a la TI. Un comité directivo rige la estrategia y ésta guía
dirección/alta dirección para aprobar políticas y sanciones relacionadas y controla las políticas y los procedimientos, incluida la política de
con incumplimiento, mientras que la dirección de la seguridad de la seguridad de la información. El auditor de SI debe evaluar las estrategias,
información se debería delegar al director general de seguridad de la las políticas y los procedimientos para determinar la importancia que se
información. ha dado al proceso de planificación; la participación de la alta dirección
de TI en la estrategia general de negocio; así como al cumplimiento,
relevancia y aplicabilidad de las políticas dirigidas a terceros.
92 Manual de Preparación al Examen CISA 2011

asA =kator Capítulo 2- Gobierno y Gestión de TI
C Sección Dos: Contenido
IMCMP~die.
Revisión de la Referencia Rápida (cont.)

Cadbury, International Corporate Governance Meeting,
Hanoi, Vietnam, 6 December 2004, p. 3, http://www.oecd.
El gobierno de TI abarca la minimización de los riesgos de TI a org/dataoecd/18/47/34080477.pdf) . Más especificamente,
los que está expuesta la organización. La gestión de riesgos es el un gobierno corporativo es un conjunto de responsabilidades
proceso de identificar las vulnerabilidades y las amenazas para los
recursos de información utilizados por una organización para lograr y prácticas usadas por la gerencia de una organización para
los objetivos de negocio, y decidir qué contramedidas (protecciones proveer dirección estratégica, para garantizar, de ese modo,
o controles) tomar, si hubiera alguna, para reducir el riesgo a un que las metas se puedan alcanzar, los riesgos sean manejados
nivel aceptable (es decir, riesgo residual), basándose en el valor de manera adecuada y los recursos organizacionales sean
del recurso de información para la organización. Este proceso
empieza con la comprensión del apetito de riesgo de la organización utilizados apropiadamente. Organización para la Cooperación
para luego determinar la exposición al riesgo de sus activos de y el Desarrollo Económico (OCDE) "El gobierno corporativo
TI. Además, también puede haber controlesconnpensatorios. incluye un conjunto de relaciones entre la dirección de una
Dependiendo del tipo de riesgo y su importancia para el negocio, los compañía, su consejo de dirección, sus accionistas y otras
riesgos de la gerencia se pueden, omitir, reducir, transferir, aceptar partes interesadas. El gobierno corporativo también ofrece la
o rechazar. El resultado de la presencia de un riesgo se denomina
impacto y puede generar pérdidas en materia financiera y legal, de estructura a través de la cual se establecen los objetivos de la
reputación y eficiencia. compañía, y se determinan los medios para lograr esos objetivos
Los riesgos se miden utilizando un análisis cualitativo (se definen los y monitorear el desempeño. Un buen gobierno corporativo
riesgos en términos de alto/medio/bajo); un análisis semicualitativo debería ofrecer incentivos apropiados para el consejo de
(se definen los riesgos de acuerdo a una escala numérica) o un dirección y la gestión para explorar los objetivos que sean de
análisis cuantitativo (se aplican diversos valores a los riesgos,
incluidos financieros, y se calcula la probabilidad e impacto del interés para la compañía y sus accionistas y debería facilitar
riesgo). Después de haber identificado los riesgos, se mide la un monitoreo efectivo". (OECD 2004, OECD Principies of
fortaleza y probabilidad de efectividad de los controles nuevos Corporate Governance, France, 2004, p. 11,
o existentes. Los controles pueden ser preventivos, detectivos
o correctivos; manuales o programados; y formales (es decir, http://www.oecd.org/dataoecd/32/18/31557724.pdf).
documentados) o provisionales. Además, también puede haber
controles compensatorios. La gerencia puede utilizar el riesgo En relación con el gobierno público, la OECD establece:
residual para determinar cuáles áreas requieren más control y si los "Un gobierno público bueno y efectivo ayuda a fortalecer la
beneficios de tales controles superan los costos. Este proceso entero democracia y los derechos humanos, fomentar la prosperidad
de gestión de riesgos de TI se debe gestionar a diferentes niveles
dentro de la organización, incluidos los niveles operacional, de económica y la cohesión social, reducir la pobreza, mejorar
proyectos y estratégico; además, debería formar parte de la práctica la protección ambiental y el uso sustentable de recursos
de gestión de SI. naturales y profundizar la confianza en el gobierno y
Los procesos de gestión clave que darán forma a la efectividad de un la administración pública". (OECD, Public Governance
departamento de SI y delimitarán los controles para la estrategia y el and Management, http://www.oecd.org/topic/0,3373,
uso de recursos son la gestión de recursos humanos, la gestión de
cambios, las prácticas financieras, la gestión de calidad, la gestión en_2649 37405 1 1 1 1 37405,00.html).
de seguridad de la información y las prácticas de optimización
del desempeño. El control y gobierno del ambiente de SI de la Como parte de este marco, se deben establecer mecanismos
gerencia se puede evaluar con base en su estructura organizacional. para gestionar y reportar sobre los riesgos de negocio. A
Específicamente, las funciones que deben segregarse son: custodia
de los activos, autorización y registros de transacciones. La las organizaciones se les debe exigir que tengan un sistema
estructura debería definir el rol de cada área en el departamento de de control interno para monitorear los riesgos cuando
SI e indicar la segregación apropiada de funciones dentro de este se exploten formas nuevas e innovadoras de mejorar el
departamento. negocio. Simultáneamente, este marco es una plataforma
El propósito de segregación de funciones es reducir o eliminar para la protección de las partes interesadas, ya que define las
los riesgos de negocio a través de la identificación de controles
compensatorios. Especificamente, las funciones que deben responsabilidades del consejo de dirección. De ese modo, los
segregarse son: custodia de los activos, autorización y registros accionistas, los inversionistas y otras partes interesadas tendrán
de transacciones. Si se requieren roles combinados, entonces se deberes definidos y una estructura adecuada para decidir sobre
deberían describir los controles compensatorios. sus inversiones, en un marco transparente. De esta manera, el
gobierno corporativo busca alcanzar un equilibrio entre los
En resumen, para un auditor de SI, las prácticas de gestión de SI se
deberían evaluar para determinar el gobiemo de la gerencia sobre objetivos conflictivos de explotar oportunidades disponibles
TI, incluida la documentación relacionada con las estrategias, los para incrementar el valor de la parte interesada, por un lado,
presupuestos, las políticas y los procedimientos de TI; el control sobre y mantener las operaciones de la organización dentro de los
la seguridad de la información en relación con la compartinnentación límites de los requerimientos regulatorios y las obligaciones
de los derechos de acceso; así como la estructura del departamento sociales, por el otro. Dada la importancia de la responsabilidad
de SI, ya que cada uno de estos elementos ilustra cuán efectiva es una
organización a la hora de asegurar que la unidad de TI brinda valor al social dentro del gobierno corporativo, la Organización
negocio y se gestionan los riesgos. internacional para la estandarización (ISO) ha iniciado el
desarrollo de un estándar internacional (ISO 26000) que ofrece
directrices voluntarias para la responsabilidad social (SR, social
2.2 GOBIERNO CORPORATIVO responsibility).
Los aspectos éticos, la toma de decisiones y las prácticas Este marco se utiliza cada vez más en los organismos
en general dentro de una organización deben fomentarse gubernamentales de diferentes países en un esfuerzo para
por medio de prácticas de gobierno corporativo. Gobierno reducir la frecuencia y el impacto de informes financieros
corporativo se define como "el sistema por el cual se dirigen inexactos y proveer mayor transparencia y responsabilidad.
y controlan las corporaciones de negocios" (Sir Adrian

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI c cerred
so ems trzr
ation
NI Certl/M1
Muchas de estas regulaciones gubernamentales incluyen un custodia de los recursos de TI a nombre de las partes interesadas,
requerimiento para que la alta dirección apruebe lo adecuado de las cuales, al mismo tiempo, esperan el retorno de su inversión.
los controles internos e incluya una evaluación de los controles Los directores responsables de esta custodia velarán porque la
internos organizacionales en los informes financieros de la gerencia implemente los sistemas y controles de TI necesarios.
organización. Si bien la gestión de riesgos y la garantía del cumplimiento son
componentes esenciales del buen gobierno, es más importante
2.3 GOBIERNO DE TI que el gobierno se concentre en ofrecer valor y medir el
rendimiento.
El gobierno de TI, como uno de los dominios del gobierno
corporativo, abarca el grupo de temas tratados para considerar El gobierno de TI es responsabilidad del consejo de dirección
cómo se aplica TI dentro de la empresa. y de la dirección ejecutiva.
Un gobierno corporativo efectivo concentra la pericia y La responsabilidad compartida evita que el departamento de TI
experiencia individual y de grupo en áreas específicas, donde tome decisiones de manera independiente y más adelante sea el
único responsable de las malas decisiones. La responsabilidad
ellos puedan ser más efectivos. La tecnología de la información,
compartida también impide que los usuarios críticos se quejen
considerada por mucho tiempo sólo un facilitador de la
más adelante de que el sistema no se comporta o desempeña
estrategia de una organización, es ahora considerada como parte
como se espera: "Un consejo de dirección necesita entender
integral de esa estrategia. Los directores ejecutivos (CEO), los la arquitectura general de portafolio de aplicaciones de TI de
directores de operaciones (COO), los directores de finanzas su compañía ... El consejo de dirección debe garantizar que la
(CFO), los directores de información (CIO) y los directores de gerencia conoce qué recursos de información están disponibles,
tecnología (CTO) coinciden en que la alineación estratégica en qué condiciones se encuentran y cuál es el rol que juegan
entre los objetivos de TI y los de la empresa constituye un factor para generar ingresos ..." (Nolan, R., F.W. McFarlan;
crucial de éxito. El gobierno de TI ayuda a alcanzar este factor "Information Technology and the Board of Directors," Harvard
crucial de éxito al desplegar de manera económica, eficiente y Business Review, October 2005).
efectiva información segura y confiable, así como tecnología
aplicada. La tecnología de la información es tan crucial para el El propósito del gobierno de TI es dirigir los esfuerzos de TI
éxito de las empresas que no puede ser relegada ni a la gestión para asegurar que su rendimiento logre las metas de alinear a TI
de TI ni a los especialistas en TI, sino que debe recibir la con los objetivos de la empresa y la obtención de los beneficios
atención de ambos en coordinación con la alta dirección. prometidos. Adicionalmente, TI debe apoyar a la empresa al
aprovechar las oportunidades y maximizar los beneficios. Los
recursos de TI deben usarse responsablemente y los riesgos
Un elemento clave del gobierno de TI es la alineación del
relacionados con TI deben manejarse de manera apropiada.
negocio con TI que conlleva al logro del valor de negocio.
La implementación del marco de gobierno de TI trata estos dos
Fundamentalmente, al gobierno de TI le incumben dos aspectos: problemas, implementando prácticas que ofrecen opiniones
que TI entregue valor al negocio y que los riesgos de TI sobre generación de valor y gestión de riesgo. Los procesos
sean gestionados. Lo primero es impulsado por la alineación amplios incluyen:
estratégica de TI con el negocio. Lo segundo está impulsado por La gestión de recursos de TI, que se basa en un inventario
la integración de la responsabilidad en la empresa. actualizado de todos los recursos de TI y trata el proceso de
gestión de riesgos.
La medición del desempeño, que busca asegurar que todos los
2.4 PRÁCTICAS DE MONITOREO Y
recursos de TI tengan el desempeño esperado para dar valor al
ASEGURAMIENTO DE LA TECNOLOGÍA DE negocio y se extiende para identificar los riesgos a tiempo. Este
LA INFORMACIÓN PARA EL CONSEJO DE proceso se basa en los indicadores de desempeño que se optimizan
para la entrega de valor y a partir de los cuales cualquier desviación
DIRECCIÓN Y LA ALTA DIRECCIÓN podría conducir a una materialización del riesgo.
La gestión de cumplimiento, que busca implementar procesos
La tradicional participación de los directores ejecutivos en los que cubran los requerimientos de cumplimiento legales y
aspectos de TI fue entregar todas las decisiones claves a los regulatorios.
profesionales en TI de la compañía. El gobierno de TI implica
un sistema en el cual todas las partes interesadas, incluyendo el Esta meta de alto valor se puede alcanzar al alinear el marco
Consejo, clientes y departamentos internos, tales como finanzas, de gobierno de TI con las mejores prácticas. Tanto el marco
proporcionan una entrada en el proceso de la toma de decisiones. como las prácticas deben estar constituidos por una variedad de
estructuras, procesos y mecanismos relacionales. Las prácticas
El problema con el gobierno de TI es que con frecuencia se clave del gobierno de TI son el comité de estrategias de TI, la
gestión de riesgos y el control de mando integral de TI.
confunde con las buenas prácticas de gestión y con los marcos
de control de TI. El gobierno de TI es el sistema de gestión que
usan los directores. En otras palabras, el gobierno de TI trata de la

CcisAmdiZt" Capítulo 2- Gobierno y Gestión de TI
. l
Figura 2.2—Áreas Foco del Gobierno de TI
La alineación estratégica se concentra en garantizar la vinculación de los planes de

negocio y de TI; definiendo, manteniendo y validando la propuesta de valor de TI; y alineando
operaciones de TI con operaciones empresariales.
La entrega de valor se refiere a ejecutar la propuesta de valor a través del ciclo de entrega,
para asegurar que la TI entrega los beneficios prometidos con respecto a la estrategia,
concentración y optimización de costos y para proporcionar el valor intrínseco de TI.
La gestión de riesgos requiere concienciación de riesgos por parte de los oficiales
corporativos, una comprensión clara del apetito de riesgo de la empresa, comprensión de
los requerimientos de cumplimiento, transparencia de los riesgos significativos para la
empresa e integración de las responsabilidades de la gestión de riesgos en la organización.
La gestión de recursos se refiere a la inversión óptima en recursos de TI críticos y a la
gestión apropiada de éstos: aplicaciones, información, infraestructura y personas. Los
asuntos clave se relacionan con la optimización de conocimientos e infraestructura.
La medición de desempeño hace seguimiento y monitorea la implementación de la
estrategia, la finalización de proyectos, el uso de recursos, el desempeño de procesos y la
prestación de servicios, utilizando, por ejemplo, cuadros de mando integrales que traducen
la estrategia en acciones para alcanzar metas medibles más allá de los procesos de
contabilidad convencionales.
Fuente: ISACA COBIT 4.1, 2007. Todos los derechos reservados. Usado con autorización.
2.4.1 MEJORES PRÁCTICAS PARA EL GOBIERNO DE TI Iniciativas del gobierno de TI, que incluyen la adopción de
El gobierno de TI integra e institucionaliza las buenas prácticas marcos de control y buenas prácticas para ayudar a monitorear
para asegurar que la TI de la empresa respalde los objetivos y mejorar las actividades críticas de TI con el fin de incrementar
de negocio. El gobierno de TI permite que la empresa saque el valor del negocio y reducir el riesgo del negocio
provecho total de su información, maximizando de esta manera La necesidad de optimizar los costos, siguiendo, de ser posible,
los beneficios, capitalizando las oportunidades y obteniendo enfoques estandarizados en lugar de personalizados
una ventaja competitiva. El gobierno de TI es una estructura La creciente madurez y la subsiguiente aceptación de marcos
de relaciones y procesos utilizados para dirigir y controlar que populares
la empresa alcance sus metas, dando valor agregado mientras La necesidad de las empresas de evaluar su desempeño frente
balancea el riesgo vs. el retorno de la inversión en lo que a los estándares generalmente aceptados y otros similares
respecta a TI y sus procesos. El uso de tecnología en todos los (estudio comparativo)
aspectos de esfuerzos económicos y sociales ha creado una
dependencia crítica en la tecnología de la información para iniciar, Marcos de gobierno de Ti
registrar, mover y gestionar todos los aspectos de las transacciones A continuación se mencionan ejemplos de los marcos de
económicas, la información y los conocimientos, creando un lugar gobierno de TI:
critico para el gobierno de TI dentro del gobierno de la empresa. ISACA desarrolló COBIT con el objeto de apoyar el gobierno
de TI proporcionando un marco para garantizar que: TI se alinee
Los temas que la gerencia ejecutiva necesita tratar para gobernar con el negocio, TI apoye el negocio y maximice los beneficios,
TI en la empresa se describen en cinco áreas centrales: alineación los recursos de TI se usen responsablemente y los riesgos de TI
estratégica, entrega de valor, gestión de recursos, gestión de riesgos se gestionen adecuadamente. COBIT proporciona herramientas
y medición del desempeño (véase la figura 2.2). para evaluar y medir el desempeño de 34 procesos de TI en una
organización.
El gobierno de TI se ha vuelto significativo debido a numerosos La serie de estándares ISO/IEC 27001 (ISO 27001) es un
factores: conjunto de buenas prácticas que proporcionan orientación a las
Los gerentes de negocio y consejos de dirección que exigen un organizaciones que aplican y mantienen programas de seguridad
mejor retorno sobre las inversiones de TI (es decir, que la TI de la información. ISO 27001 originalmente se publicó en el
entregue lo que el negocio necesita para mejorar el valor de las Reino Unido (RU) como el estándar británico 7799 (BS7799) y
partes interesadas) se convirtió en un estándar muy conocido en la industria.
Preocupación por el creciente nivel de gasto en TI La Biblioteca de infraestructura de TI (ITIL) desarrollada
La necesidad de cumplir con los requerimientos regulatorios en el Reino Unido por la Oficina de Comercio del Gobierno
para controles de TI en áreas como privacidad y reporte del Reino Unido (OGC), en colaboración con IT Service
financiero (por ejemplo, la Ley Sarbanes-Oxley de EUA, Management Forum y es un marco detallado con información
Basilea II) y en sectores específicos como finanzas, farmacia y
práctica sobre cómo lograr el éxito de gestión de servicios
servicios de salud
operacionales de TI
La selección de proveedores de servicio y la gestión de
Los Catálogos de protección de niveles mínimos de TI o
contratación y adquisición de servicios externos
Catálogos Grundschutz de TI, (conocidos antes del ario 2005
Riesgos cada vez más complejos relacionados con TI, como
como el Manual de protección de niveles mínimos de TI) son
seguridad de una red
Manual de Preparación al Examen C1SA 2011 95
Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI C1SA Certilled ir
tdrlatian
I
una recopilación de documentos de la Oficina Federal Alemana cualitativa que posteriormente facilite el mejoramiento cualitativo
para la seguridad en tecnología de la información (FSI). Los de los procesos de TI y las iniciativas del gobierno de TI asociadas.
documentos son útiles para detectar y combatir los puntos
débiles de seguridad en el entorno de TI. La recopilación abarca Reportar sobre el gobierno de TI implica auditar al más alto nivel
más de 3.000 páginas. en la organización, y puede cruzar los límites de división, de
El Modelo de madurez para la gestión de la seguridad de funciones o de departamentos. El auditor de SI debe confirmar
la información (ISM3) es un modelo que se basa en el proceso que los términos de referencia establezcan:
de madurez de ISM para la seguridad. El alcance del trabajo, incluyendo una clara definición de las
AS8015-2005 es el estándar australiano para el gobierno áreas y aspectos funcionales que se cubrirán.
corporativo de tecnología de la información y comunicación. El nivel al que se entregará el informe, donde estén identificados
AS8015 se adoptó como estándar ISO/IEC 38500 en mayo los temas del gobierno TI al más alto nivel de la organización.
de 2008. El derecho de acceso del auditor de SI a la información dentro
El estándar Gobierno corporativo de tecnología de la de la organización y desde proveedores de servicio de terceros.
información ISO/IEC 38500:2008 (basado en el estándar
AS8015-2005) proporciona un marco para el gobierno efectivo Su estatus dentro de la organización y el conjunto de habilidades
de TI. ISO/IEC 38500 ayuda a aquellos en el nivel más alto del auditor de SI deben considerarse para determinar si son
de la organización a entender y cumplir con sus obligaciones apropiados para la naturaleza de la auditoría planeada. Si se
legales, reglamentarias y éticas con respecto al uso de TI de su considera que son insuficientes, un nivel apropiado de la gestión
organización. ISO/IEC 38500 se aplica a las organizaciones de debe considerar la contratación de un tercero independiente para
todos los tamaños, incluyendo compañías públicas y privadas, gestionar o realizar la auditoría.
entidades gubernamentales y organizaciones sin fines de lucro.
Este estándar proporciona principios de orientación para los De acuerdo con el rol definido del auditor de SI, se necesita evaluar
directores de organizaciones sobre el uso efectivo, eficiente los siguientes aspectos relacionados con el gobierno de TI:
y aceptable de TI en sus organizaciones. La alineación de la función de SI con la misión, la visión, los
valores, los objetivos y las estrategias de la organización.
Rol de la auditoria en el gobierno de TI El logro por parte de la función de SI de los objetivos
Las empresas se gobiernan con buenas o mejores prácticas de desempeño establecidos por el negocio (por ejemplo,
generalmente aceptadas, garantizadas por el establecimiento efectividad y eficiencia).
de controles. Las buenas o mejores prácticas orientan a las Los requerimientos legales, ambientales, de calidad de la
organizaciones para determinar cómo usar los recursos. Los información, fiduciarios, de seguridad y de privacidad.
resultados se miden y registran, proporcionando información de El ambiente de control de la organización.
entrada a la revisión cíclica y al mantenimiento de los controles. Inversión/gasto en TI
De forma parecida, las buenas o mejores prácticas gobiernan a 2.4.2 COMITÉ DE ESTRATEGIA DE TI
TI para garantizar que la información y tecnología relacionada de La creación de un comité estratégico de TI es una mejor práctica
la organización: apoye los objetivos de negocio de la empresa (es de la industria Sin embargo, el comité estratégico de TI necesita
decir, alineación estratégica), entrega de valor, uso de los recursos ampliar su radio de acción para incluir no sólo asesoramiento
responsablemente, adecuada gestión de los riesgos y medición del sobre estrategia cuando apoya al consejo de dirección en
rendimiento. sus responsabilidades de gobierno de TI, sino también para
concentrarse en el valor de TI, los riesgos y el desempeño. Este
TI es ahora intrínseca y penetrante dentro de las empresas, en es un mecanismo para incorporar el gobierno de TI dentro del
lugar de ser una función separada y marginada del resto de la gobierno corporativo. Como un comité del consejo de dirección,
empresa. La manera de aplicar TI dentro de la empresa tendrá lo asesora en la supervisión de los asuntos relacionados con TI de
un efecto enorme sobre si la empresa logrará su misión, visión o la empresa al asegurar que el consejo tenga la información interna
metas estratégicas. Por esta razón, una empresa necesita evaluar y externa que requiere para una efectiva toma de decisiones en lo
su gobierno de TI, ya que se está volviendo una parte cada vez que respecta al gobierno de TI.
más importante del gobierno general de la empresa.
Tradicionalmente, las organizaciones han tenido comités
La auditoría tiene un rol significativo en una implementación directivos a nivel ejecutivo para resolver los problemas de TI que
exitosa del gobierno de TI dentro de una organización. La auditoría son relevantes para toda la organización. Debe existir una clara
está bien posicionada para proveer importantes recomendaciones comprensión tanto de la estrategia de TI como de los niveles de
de prácticas a la alta dirección, para ayudar a mejorar la calidad y la dirección. ISACA emitió un documento en el que se ofrece un
efectividad de las iniciativas del gobierno de TI implementadas. claro análisis (véase la figura 2.3).
Como una entidad que monitorea el cumplimiento, la auditoría
ayuda a asegurar el cumplimiento de las iniciativas de gobierno Nota: El análisis de las responsabilidades del comité directivo
de TI implementadas dentro de una organización. El monitoreo es:una información que el CISA debe conocer.
continuo, el análisis y la evaluación de las métricas asociadas
con las iniciativas del gobierno de TI requieren una visión
independiente y balanceada para asegurar una evaluación

cerred
cisA sw misinfo ation
mitle
Capítulo 2- Gobierno y Gestión de TI Sección Dos: Contenido
Figura 2.3—Análisis de las responsabilidades del Comité directivo

Med CoMitlfte estrategia de TI Comité de Dbeceióndell
Responsabilidad Proporciona información detallada y asesoría al consejo de Decide el nivel global del gasto de TI y la distribución de los
dirección sobre temas como: costos
La relevancia de los desarrollos de TI desde la Alinea y aprueba la arquitectura de TI de la empresa
perspectiva de negocios Aprueba los planes y presupuestos de proyectos, establece
La alineación de TI con la dirección del negocio prioridades y objetivos parciales
El logro de los objetivos estratégicos de TI Obtiene y asigna los recursos apropiados
La disponibilidad de los recursos, destrezas e Garantiza que los proyectos cumplan de manera continua
infraestructura de TI apropiados para satisfacer los con los requerimientos del negocio, incluyendo la
objetivos estratégicos reevaluación del caso de negocios
Optimización de los costos de TI, incluyendo el rol y la Monitorea los planes de proyectos para verificar la entrega
entrega de valor de la contratación externa de servicios de TI de valor esperado y resultados deseados, a tiempo y dentro
Riesgo, retorno y aspectos competitivos de las del presupuesto
inversiones de TI Monitorea el conflicto de recursos y prioridades entre
Progreso en los proyectos mayores de TI divisiones de la empresa y la función de TI, así como entre
– La contribución de TI al negocio (por ejemplo, entrega del proyectos
valor de negocios prometido) Hace recomendaciones y solicitudes para cambios a los planes
– Exposición a riesgos de TI, incluyendo riesgos de estratégicos (prioridades, financiamiento, tecnología, enfoques y
cumplimiento recursos etc.)
– Contención de los riesgos de TI Comunica las metas estratégicas a los equipos de proyectos
– Dirección a la gerencia respecto a la estrategia de TI Es un contribuyente importante para las prácticas y
Impulsores y catalizadores de TI para el consejo de dirección responsabilidades de gobierno de TI de la gerencia
Autoridad Asesora al consejo de dirección y a la gerencia sobre Asiste a los ejecutivos en la preparación de la estrategia
estrategia de TI de TI
Por delegación del consejo de dirección, proporciona Supervisa la gerencia día a día de la prestación del servicio
información de entrada para la estrategia y prepara su de TI y de los proyectos de TI
aprobación Se concentra en la implementación
Se concentra en problemas estratégicos de TI presentes
y futuros
Membresía Miembros del consejo de dirección y especialistas no Ejecutivo patrocinante
miembros del consejo de dirección Ejecutivo de negocios (usuarios clave)
CIO
Asesores claves según se requiera (TI, auditoría, legal, finanzas)
2.4.3 CUADRO DE MANDO DE TI Proveer valor de negocio a los proyectos de TI.

El control de mando integral (BSC) estándar de TI es una técnica Proveer nuevas capacidades de negocio.
para evaluar la gestión de procesos que puede aplicarse al proceso Entrenar y educar al personal de TI y promover la excelencia.
de gobierno de TI para valorar las funciones y los procesos de Proveer apoyo para la investigación y el desarrollo.
TI. El método va más allá de la evaluación fmanciera tradicional, Medidas, por ejemplo:
suplementándolo con medidas que conciernen a la satisfacción del Proveer un conjunto balanceado de métricas (es decir, KPIs)
cliente (usuario), procesos internos (operativos) y la capacidad de para guiar las decisiones de TI orientadas a negocios.
innovar. Estas medidas adicionales impulsan a la organización hacia
el uso óptimo de TI, el cual está alineado con las metas estratégicas El uso de un control de mando integral de TI es uno de los
de la organización, mientras que mantiene en balance todas las medios más efectivos para ayudar al comité estratégico de TI y a
perspectivas relacionadas con la evaluación. Para aplicar la BSC a TI, la gerencia a alcanzar el gobierno de TI mediante una alineación
se usa una estructura de tres capas para tratar las cuatro perspectivas: apropiada de TI y el negocio. Los objetivos son establecer un
Estrategias, por ejemplo: vehículo para reportar información sobre la gestión al consejo de
Convertirse en el proveedor preferido de sistemas de dirección, estimular el consenso entre las partes interesadas clave
información. sobre los objetivos estratégicos de TI, demostrar la efectividad y
Entregar aplicaciones y servicios de TI económicos, eficientes el valor agregado de TI, y comunicar el desempeño, los riesgos y
y efectivos. las capacidades de TI.
Obtener una contribución razonable de las inversiones en TI
para el negocio. Nota: El control de mando integral de TI Estándar es
– Desarrollar oportunidades que respondan a los futuros información que un CISA debe conocer.
desafios.
Estrategias, por ejemplo:
2.4.4 GOBIERNO DE LA SEGURIDAD DE LA
Desarrollar aplicaciones y operaciones superiores.
Desarrollar alianzas con los usuarios y mejores servicios para INFORMACIÓN
los clientes. Dentro del gobierno de TI, el gobierno de la seguridad de
Proveer mejores niveles de servicio y de estructuras de precios. la información debe convertirse en una actividad sobre la
– Controlar los gastos de TI. que se concentra mucha atención, con motivadores de valor

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI liCertifled Information
Iwut Systems Auditor
específicos: confidencialidad, integridad y disponibilidad de La mayor parte de la infraestructura crítica en el mundo

la información, continuidad de servicios y protección de los desarrollado está controlada por el sector privado. Una parte
activos de información. La seguridad está emergiendo como un importante de la tarea de proteger los recursos de información
aspecto significativo de gobierno como resultado de las redes críticos para la supervivencia es responsabilidad absoluta de las
globales, la rapidez en la innovación y los cambios tecnológicos, corporaciones privadas.
la mayor dependencia en TI, la sofisticación cada vez mayor de
los agentes de amenazas y las explotaciones (exploits), así como Para llevar a cabo la tarea de protección adecuada de los recursos
una extensión de la empresa más allá de sus límites tradicionales. de información, se debe elevar el problema de supervisión de TI
De allí que la seguridad de la información debe convertirse en a una actividad a nivel del consejo de dirección como con las
una parte importante e integral del gobierno de TI. La negligencia otras funciones críticas de gobierno. La complejidad, relevancia
en este sentido reducirá la capacidad de una organización para y criticidad de la seguridad de la información y su gobierno
mitigar los riesgos y sacar provecho de las oportunidades de TI exigen que sea tratada y apoyada por los niveles más altos de
para el mejoramiento del proceso de negocio. la organización.
Algunas de las tendencias principales que el negocio global Cada vez más, quienes entienden que el alcance y la profundidad
experimenta actualmente son la contratación de proveedores de los riesgos de la información adoptan la posición de que, por
externos para procesos internos y el uso de la computación en la ser un recurso crítico, la información debe ser tratada con el
nube. La cobertura de la seguridad de la información se extiende mismo cuidado, precaución y prudencia que recibiría cualquier
más allá de los límites geográficos de las instalaciones de la otro activo esencial para el éxito de la organización.
empresa en modelos dentro y fuera del país sede (onshoring/
offshoring) adoptados por las organizaciones. La promesa de la Hasta hace poco, el foco de protección ha estado sobre los
computación en nube está indiscutiblemente revolucionando el sistemas de TI que recopilan, procesan y almacenan la vasta
mundo de los servicios de TI mediante la transformación de la mayoría de información más que en la propia información.
computación en una utilidad ubicua. Estas tendencias también Pero este enfoque es demasiado estrecho para alcanzar el nivel
han cambiado la manera en que se maneja la seguridad de la de integración, aseguramiento del proceso y seguridad general
información. que ahora se requiere. La seguridad de la información adopta
la visión más amplia de que el contenido, la información y los
Visión general del gobierno de la seguridad de la conocimientos basados en ésta se deben proteger de manera
información adecuada independientemente de cómo sea manejada, procesada,
La información puede definirse como "datos que tienen transportada o almacenada, en particular, con herramientas
significado y propósito." Actualmente, juega un rol cada que permiten compartir fácilmente los datos y el contenido por
vez más importante en todos los aspectos de nuestras vidas. Internet a través de blogs, alimentaciones de noticias, redes
La información se ha convertido en un componente indispensable sociales o "peer-to-peer" o sitios web. De esta manera, el alcance
de la conducción del negocio para virtualmente todas las de los esfuerzos de protección debería abarcar no sólo el proceso
organizaciones. En un creciente número de compañías, la que genera la información, sino también la preservación
información es el negocio. Esto incluye importantes actores continuada de la información generada como resultado de los
de la sociedad del conocimiento, como por ejemplo Googlelm, procesos controlados.
eBay®, Microsoft y muchas otras, grandes y pequeñas. Algunos
podrían no pensar en el software como información, pero es El avance implacable de la tecnología de la información y la
simplemente información para computadoras sobre cómo operar capacidad sin paralelo de tener acceso, manipular y usar la
o procesar algo. Además, una cantidad significativa de datos es información ha traído enormes beneficios y oportunidades
creada y distribuida por los usuarios finales, sin involucrar a la a la economía global. También ha generado nuevos riesgos
organización de TI. incomparables, dilemas éticos, una mezcla confusa de leyes y
regulaciones existentes y pendientes, así como cambios sociales
Las organizaciones tradicionales también han sufrido una y problemas relacionados, tales como teleconmutación y mayor
transformación radical en la "era de la información". Las artes movilidad.
gráficas y la industria de la imprenta, por ejemplo, trabajan hoy
en día casi en su totalidad con información en formato digital. La dirección ejecutiva se enfrenta cada vez más a la necesidad
El arte (artwork) y los maestros (masters) ya no son dibujos físicos de seguir siendo competitiva en la economía global y presta
o piezas de películas, sino bloques de información almacenada en atención a la promesa de obtener ganancias indefinidamente si se
discos duros. Finalmente, muchas otras organizaciones continúan utilizan aún más recursos de información. Pero incluso cuando las
luchando por un entorno "libre de papeles". organizaciones cosechan esas ganancias, los espectros gemelos
de creciente dependencia de la información y los sistemas que
Sería dificil encontrar un negocio que no haya sido tocado la soportan y los riesgos crecientes de una cantidad de amenazas
por la tecnología de la información y que no dependa de la están forzando a la gerencia a enfrentar decisiones difíciles
información que procesa. Los sistemas de información se han respecto de cómo tratar de manera efectiva la seguridad de
vuelto penetrantes en la sociedad global y en los negocios, y la información. Además, un gran número de leyes y regulaciones
dependencia de estos sistemas y la información que manejan nuevas y vigentes exigen cada vez más el cumplimiento y
es, para muchos, absoluta. La tendencia de valor creciente y mayores niveles de responsabilidad.
dependencia de la información ha aumentado exponencialmente.

C Cerned Infonnailon
CISA Systems Auditor Capítulo 2- Gobierno y Gestión de TI Sección Dos: Contenido
111ACReertnal»
La seguridad de la información incluye la seguridad de la Establecer la responsabilidad para proteger la información durante
tecnología y es típicamente impulsada desde el nivel del actividades críticas de negocio, tales como fusiones y adquisiciones,
director de información (00). La seguridad de la información recuperación del proceso de negocio y respuestas regulatorias.
relacionada con la privacidad de la información y la propia
seguridad de la información, se ocupa del universo de riesgos, Y finalmente, debido a que la nueva TI provee el potencial para
beneficios y procesos relacionados con la información y debe mejorar considerablemente el desempeño de negocio, la seguridad
impulsarse por la dirección ejecutiva (por ejemplo, CEO, CFO, eficaz de la información puede agregar un valor significativo a la
CTO, CIO) y contar con el respaldo del consejo de dirección. organización al:
Suministrar mayor confianza en las interacciones con los socios
El gobierno de la seguridad de la información es responsabilidad comerciales.
del consejo de dirección y de la dirección ejecutiva, y debe ser Mejorar la confianza en las relaciones con los clientes.
parte integral y transparente del gobierno de la empresa. Está Proteger la reputación de la organización.
constituido por el liderazgo, las estructuras organizacionales Permitir nuevas y mejores formas de procesar las transacciones
y los procesos que protegen la información. Como en el caso electrónicas.
de los controles, nada ha cambiado en relación con la premisa
básica de la información como activo. Lo que ha cambiado es la La seguridad de la información abarca todos los procesos de
plataforma y los repositorios utilizados para recolectar, procesar y información, tanto físicos como electrónicos, independientemente
almacenar la información. Esta es la razón por la cual el consejo y de si ellos involucran personas y tecnología o relaciones con socios
la dirección ejecutiva continúan siendo responsables de uno de los comerciales, clientes o terceros. A la seguridad de la información le
activos más valiosos de la organización, que es la información. conciernen todos los aspectos de la información y su protección en
todos los puntos de su ciclo de vida dentro de la organización.
IMPORTANCIA DEL GOBIERNO DE LA SEGURIDAD
DE LA INFORMACIÓN RESULTADOS DEL GOBIERNO DE LA SEGURIDAD
Desde la perspectiva de una organización, el gobierno de la Los cinco resultados básicos de un gobierno efectivo de la
seguridad de la información es cada vez más critico a medida seguridad deben incluir:
que crece la dependencia de la información y los sistemas de Alineación estratégica—Alinear la seguridad de la
TI. Para la mayoría de las organizaciones, la información (y información con la estrategia de negocio para respaldar los
los conocimientos que se basan en ella), se han convertido objetivos de la organización. Para llevar a cabo la alineación,
cada vez más en uno de sus activos más importantes, sin los se debe lograr lo siguiente:
que llevar a cabo un negocio no sería posible. Los sistemas – Desarrollo exhaustivo de los requerimientos de seguridad
y procesos que manejan esta información se han vuelto impulsados por los requerimientos de la empresa para
verdaderamente penetrantes en todas las organizaciones de proveer orientación sobre lo que se debe hacer y una medida
negocio y gubernamentales del mundo entero. Esta creciente de cuándo se ha alcanzado.
dependencia de la información y los sistemas que la manejan – Ajuste de las soluciones de seguridad a los procesos de
que tienen las organizaciones, aunado con los riesgos, beneficios la empresa que toman en cuenta la cultura, el estilo de
y oportunidades que presentan estos recursos, han hecho del gobierno, la tecnología y la estructura de la organización.
gobierno de la seguridad de la información una faceta cada vez – Alineación de la inversión en seguridad de la información
más crítica del gobierno en general. Además de satisfacer los con la estrategia de la empresa y el perfil bien definido de
requerimientos legales y regulatorios, un gobierno eficaz de la amenaza, vulnerabilidad y riesgo.
seguridad de la información es simplemente buen negocio y Gestión de riesgos—Gestionar y ejecutar medidas apropiadas
debida diligencia. La gerencia prudente ha llegado a entender que para mitigar los riesgos y reducir los impactos potenciales
provee una serie de beneficios significativos, que incluyen: sobre los recursos de información a un nivel aceptable. Para
Ocuparse de la creciente exposición que tiene la organización llevar a cabo la gestión de riesgos, considere lo siguiente:
y su gerencia a la responsabilidad civil o legal como resultado – Entendimiento colectivo del perfil de amenaza,
de información incorrecta suministrada al público o a los vulnerabilidad y riesgo de la organización.
reguladores, así como también las consecuencias de no ejercer el – Comprensión de la exposición al riesgo y de las posibles
debido cuidado en la protección de información privada (según consecuencias de la inestabilidad, incluyendo los impactos
lo demuestra la fuga de información de tarjetas de crédito u regulatorio, legal, operacional y reputacional.
otros datos sensibles sobre el cliente). – Conciencia de las prioridades de la gestión de riesgos con
Proveer certeza del cumplimiento de las políticas y los estándares. base en las posibles consecuencias.
Aumentar la previsibilidad y reducir la incertidumbre en las – Suficiente mitigación de riesgos para obtener consecuencias
operaciones de negocio al reducir los riesgos a niveles definibles aceptables del riesgo residual.
y aceptables. – Aceptación /deferencia/transferencia de riesgos basada en una
Proveer la estructura y el marco para optimizar las asignaciones comprensión de las posibles consecuencias del riesgo residual.
de los limitados recursos de seguridad. 3. Entrega de valor—Optimizar las inversiones en seguridad
Proveer un nivel de certeza de que las decisiones críticas no se para apoyar los objetivos del negocio. Para llevar a cabo la
basan en información defectuosa. entrega de valor, considere lo siguiente:
Proporcionar un fundamento sólido para tener una gestión de – Un conjunto estándar de políticas y prácticas de seguridad (por
riesgos y una mejora de procesos eficientes y eficaces, así como ejemplo, requerimientos de seguridad de nivel mínimo que sigan
una respuesta rápida a incidentes. prácticas adecuadas y suficientes proporcionales al riesgo).

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI CISA calme' rudintrn
– Esfuerzo debidamente priorizado y distribuido en las áreas que se alcancen los objetivos, asegurar que los riesgos sean
con el mayor impacto y beneficio de negocio. gestionados de manera apropiada y verificar que los recursos
Soluciones basadas en estándares, institucionalizadas y de de la empresa se usan con responsabilidad.
uso generalizado
– Soluciones completas que abarquen los procesos de la Gobernar para la seguridad de una empresa significa
organización y de negocio, así como tecnología basada en ver una seguridad adecuada como un requerimiento
una comprensión del negocio integral de la organización. no negociable para estar en el negocio. Si la gerencia
Una cultura de mejoramiento continuo (es decir, Kaizen) de una organización, incluyendo los consejos de
basada en la comprensión de que la seguridad es un proceso, dirección, la alta dirección y todos los gerentes, no
no un evento. establece y refuerza la necesidad del negocio de contar
4. Medición del desempeño—Medir, monitorear y reportar con seguridad efectiva para la empresa, el estado de
sobre los procesos de seguridad de la información para seguridad deseado de la organización no se articulará,
asegurar el logro de los objetivos SMART (específicos, logrará ni sostendrá. Para lograr una capacidad
mensurables, alcanzables, relevantes y basados en el tiempo). sostenible, las organizaciones deben hacer que la
Se debe contar con lo siguiente para llevar a cabo una seguridad de la empresa sea responsabilidad de los
medición del desempeño: líderes a un nivel de gobierno, no de otros roles de la
– Un conjunto de medidas definidas, acordadas y organización que no tienen autoridad, responsabilidad
significativas debidamente alineadas con los objetivos ni recursos para actuar o exigir el cumplimiento.
estratégicos.
— J. Allen; Governing for Enterprise Security, CERT, EUA, junio de 2005,
– Un proceso de medición que ayude a identificar los atajos y
www.certorg/archive/pdf/05tn023.pdf
suministre retroalimentación sobre el progreso hecho para
resolver los problemas.
La dirección estratégica del negocio será definida por las metas
Aseguramiento independiente proporcionado por
y los objetivos de negocio. La seguridad de la información debe
evaluaciones y auditorias externas.
apoyar las actividades de negocio para que sea de valor para
5. Gestión de recursos—Utilizar los conocimientos y la
la organización.
infraestructura de seguridad de la información de manera
eficiente y efectiva. Para llevar a cabo la gestión de recursos,
El gobierno de la seguridad de la información es un subconjunto
considere lo siguiente:
de gobierno corporativo que provee dirección estratégica para las
Asegurar que los conocimientos sean captados y están
actividades de seguridad y asegura que se logren los objetivos.
disponibles.
Garantiza que los riesgos de seguridad de la información
Documentar los procesos y las prácticas de seguridad.
sean gestionados de manera apropiada y que los recursos de
– Desarrollar arquitectura(s) de seguridad para definir y
información de la empresa se usen con responsabilidad.
utilizar los recursos de la infraestructura de manera eficiente.
Para lograr un gobierno efectivo de la seguridad de la
6. Integración de procesos—Se concentra en la integración
información, la gerencia debe establecer y mantener un marco
de los procesos de aseguramiento de gestión de seguridad
para guiar el desarrollo y la gestión de un programa completo de
de una organización. Estas actividades suelen fragmentarse
seguridad de la información que apoye los objetivos de negocio.
y segmentarse en silos que tienen diferentes estructuras
jerárquicas. Esto hace dificil, si no imposible, la integración
Por lo general, el marco de gobierno constará de lo siguiente:
perfecta. La integración del proceso sirve para mejorar la
Una estrategia completa de seguridad intrínsecamente vinculada
seguridad general y las eficiencias operativas.
con los objetivos de negocio.
Políticas de gobierno de seguridad vigentes que traten cada
Conceptos que surgen del aseguramiento del proceso de
aspecto relacionado con la estrategia, los controles y la
negocio regulación.
La integración es un concepto que consiste en integrar todos Un conjunto completo de estándares para cada política que
los factores relevantes de aseguramiento para garantizar que garantice que los procedimientos y directrices cumplan con
los procesos funcionen como se planeó en toda la organización. dicha política.
Para llevar a cabo la integración, se debe considerar lo siguiente: Una estructura organizacional efectiva de seguridad libre de
Determinar todas las funciones organizacionales de conflictos de interés.
aseguramiento. Procesos de monitoreo institucionalizados para asegurar el
Desarrollar relaciones formales con otras funciones de
cumplimiento y proveer retroalimentación sobre la efectividad.
aseguramiento.
Coordinar todas las funciones de aseguramiento para una Este marco a su vez provee la base para el desarrollo de un
seguridad más completa. programa rentable de seguridad de la información que respalde
Asegurar que los roles y responsabilidades entre las funciones
las metas de negocio de la organización. El capítulo 3 de este
de aseguramiento concuerden.
manual, Adquisición, desarrollo e implementación de sistemas
de información, explica cómo implementar un programa de
Gobierno efectivo de la seguridad de la información seguridad. El objetivo del programa es un conjunto de actividades
Gobierno corporativo es un conjunto de responsabilidades y que proveen garantía de que a los activos de información se les da
prácticas ejercidas por el consejo de dirección y la dirección un nivel de protección acorde con su valor o con el riesgo que su
ejecutiva con la meta de proveer dirección estratégica, garantizar inestabilidad representaría para la organización.

CISA
sys infontri
cortr.md r Capítulo 2- Gobierno y Gestión de TI Sección Dos: Contenido
1.K.ff CerlnIcetto
ROLES Y RESPONSABILIDADES DE LA ALTA de los grupos afectados. Esto facilita el logro de consenso sobre
DIRECCIÓN Y LOS CONSEJOS DE DIRECCIÓN las prioridades y los compromisos. También sirve como un canal
El gobierno de la seguridad de la información requiere de efectivo de comunicaciones y provee una base continua para
dirección estratégica y de ímpetu. Requiere dedicación, recursos asegurar la alineación del programa de seguridad con los objetivos
y asignación de responsabilidad en lo que respecta a la gestión de negocio. También puede ser fundamental para alcanzar
de la seguridad de la información, así como un medio para que la modificación del comportamiento hacia una cultura más
el consejo de dirección determine que su objetivo se ha alcanzado. conducente a una seguridad adecuada.
Consejo de dirección/Alta dirección Director de seguridad de la información

Un gobierno efectivo de la seguridad de la información se puede Todas las organizaciones tienen un director de seguridad de la
lograr sólo mediante la participación del consejo de directores y/o información (CISO), independientemente de que alguien posea
de la alta dirección en la aprobación de la política, el monitoreo ese título o no. Puede ser el CIO, el CTO, el CFO o, en algunos
y las métricas apropiadas, así como en el análisis de reportes y casos, el CEO incluso cuando existe una oficina o un director
tendencias. de seguridad de la información. El alcance y la amplitud de
la seguridad de la información en la actualidad es tal que la
Los miembros del consejo de dirección deben tener conocimiento autoridad requerida y la responsabilidad asumida inevitablemente
de los activos de información de la organización y su criticidad la convertirán en una responsabilidad de un funcionario de alta
para las operaciones de negocio continuas. Esto puede lograrse al jerarquía o de la dirección ejecutiva. Esto podría incluir una
proporcionarle al consejo de manera periódica resultados de alto posición tal como un director de riesgo (CRO) o un director de
nivel de las evaluaciones integrales de riesgo y análisis de impacto cumplimiento (CCO). La responsabilidad legal se extenderá,
al negocio (BIA). También se puede lograr mediante evaluaciones por defecto, hasta la estructura de comando y, en última
de los recursos de información respecto de la dependencia del instancia, residirá en la alta dirección y el consejo de dirección.
negocio. Estas actividades deberían incluir la aprobación por parte El no reconocer esto e implementar estructuras de gobierno
de los miembros del consejo de dirección de la evaluación de los inapropiadas puede ocasionar que la alta dirección no tenga
activos clave que deben protegerse, lo que ayuda a garantizar que conocimiento de esta responsabilidad y de la responsabilidad
los niveles y las prioridades de protección son adecuados para un concomitante. Por lo general, también tiene como resultado una
estándar de debido cuidado. falta de alineación efectiva de los objetivos de negocio y las
actividades de seguridad. Cada vez más, la gerencia prudente
La actitud de la gerencia debe conducir a un gobierno eficaz de eleva la posición de oficial de seguridad de la información
la seguridad. No es razonable esperar que el personal de nivel a una posición de alta dirección (es decir, CISO), porque las
más bajo acate las medidas de seguridad si éstas no son ejercidas organizaciones comienzan a entender su dependencia de la
por la alta dirección. El consentimiento de los requerimientos información y las crecientes amenazas a ésta.
intrínsecos de seguridad por parte de la alta dirección provee la
base para asegurar que las expectativas de seguridad se cumplan MATRIZ DE RESULTADOS Y RESPONSABILIDADES
a todos los niveles de la empresa. Las penalizaciones por La relación entre los resultados de un gobierno efectivo de
incumplimiento deben ser definidas, comunicadas y ejecutadas la seguridad de la información y las responsabilidades de la
desde el nivel del consejo de dirección hacia bajo. gerencia se muestran en la figura 2.4. Esta matriz no pretende
ser exhaustiva, sino simplemente indicar algunas tareas y niveles
Alta dirección primarios de lo cuales la gerencia es responsable.
Implementar un gobierno de seguridad efectivo y definir los
objetivos de seguridad estratégicos de una organización es una
Nota: La figura 2.4 sobre Relaciones de los resultados del
tarea compleja y ardua. Como con cualquier otra iniciativa
gobierno de la seguridad con las responsabilidades de la
importante, debe contar con liderazgo y el apoyo continuo de la
gerencia no se prueba de manera específica en el examen
dirección ejecutiva para tener éxito. Desarrollar una estrategia
de certificación CISA, pero es infortn.teión de la que un
efectiva de seguridad de la información requiere integración
CISA debe tener conocimiento.
con, y la cooperación de, los dueños del proceso de negocio. Un
resultado exitoso es la alineación de las actividades de seguridad
de la información con los objetivos de negocio. El grado al que 2.4.5 ARQUITECTURA CORPORATIVA
esto se alcance determinará la rentabilidad del programa de Un área del gobierno de TI que recibe cada vez más atención es
seguridad de la información para alcanzar el objetivo deseado la arquitectura de la empresa (EA). Esencialmente, la EA implica
de suministrar un nivel predecible y definido de aseguramiento documentar los activos de TI de una organización de una forma
para los procesos de negocio y un nivel aceptable de impacto de estructurada para facilitar la comprensión, administración y
eventos adversos. planificación de las inversiones de TI. Una EA a menudo incluye
tanto la representación de un estado actual como de un estado
Comité directivo futuro optimizado (por ejemplo, plan de acción).
Hasta cierto grado, la seguridad afecta todos los aspectos
de una organización. Para ser efectiva, la seguridad debe ser El enfoque actual sobre la EA es una respuesta a la creciente
penetrante en toda la empresa. A fin de garantizar la participación complejidad de la TI, la complejidad de las organizaciones
de todas las partes interesadas que se vean afectadas por las modernas y un enfoque mejorado sobre la alineación de TI con
consideraciones de seguridad, muchas organizaciones recurren a la estrategia de negocio y asegurar que las inversiones de TI
un comité directivo constituido por los principales representantes entreguen beneficios reales.

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI CISA sys
nied
enutior"
Figura 2.4 — Relaciones de los resultados del gobierno de seguridad con las responsabilidades gerenciales
.
Nivel Alineación, Gestión Entrega Valor Medición Gestión Aseguramiento
Gerencia Estratégica de Riesgo . Desempeño Recurso del proceso
Consejo de Requiere de Establece Requiere reportar Requiere reportar Supervisa política Supervisa política
dirección una alineación tolerancia al riesgo. los costos de la eficacia de la de gestión del para la integración
comprobable. Supervisa política las actividades seguridad. conocimiento del proceso de
de administración relacionadas con la y utilización de aseguramiento.
de riesgos. seguridad. recursos.
Asegurar
regulaciones
cumplimiento.
Dirección Instituye procesos Garantiza que Requiere estudios Requiere monitoreo Verifica los Supervisa todas
ejecutiva para integrar a los roles ylas de business case y métricas para procesos las funciones de
la seguridad en responsabilidades (casos de negocio) las iniciativas de para captar aseguramiento
los objetivos de incluyan la gestión de las iniciativas de seguridad. conocimiento y planes de
negocio. de riesgos en todas seguridad. y métricas de integración.
las actividades. eficiencia.
Monitorea el
cumplimiento de
las regulaciones.
Comité Revisa y presta Identifica los Revisa y asesora Revisa y asesora Revisa los Identifica
directivo asistencia en riesgos emergentes, sobre la suficiencia si las iniciativas de procesos para procesos de
la estrategia promueve las de las iniciativas seguridad cumplen captar y difundir negocio críticos
de seguridad e prácticas de la de seguridad con los objetivos de conocimientos. y proveedores de
integración. seguridad de la para ayudar a negocio. aseguramiento.
Garantiza que la unidad de negocio. las funciones de Dirige los
integración cuente negocio. esfuerzos de la
con el apoyo de integración del
los dueños del aseguramiento.
negocio.
Director de Desarrolla la Garantiza que Monitorea la Desarrolla e Desarrolla tanto Se comunica
seguridad de estrategia de se realicen las utilización y la implementa métodos para con otros
información seguridad; vigila evaluaciones de efectividad de enfoques de captar y difundir proveedores de
(CISO) el programa y riesgo e impacto al los recursos de monitoreo y el conocimiento, aseguramiento.
las iniciativas de negocio. seguridad. métricas y dirige como métricas Garantiza que
seguridad, y se Desarrolla y monitorea las para determinar se identifiquen
coordina con los estrategias de actividades de la eficacia y la y resuelvan
dueños del proceso mitigación de seguridad. eficiencia. las brechas y
de negocio para riesgos. los vacíos y
una alineación Hace cumplir las superposiciones.
constante. regulaciones y las
políticas.
Ejecutivos de Evaluar y reportar Evaluar y reportar Evaluar y reportar Evaluar e informar Evaluar y reportar Evaluar y reportar
auditoría el grado de sobre las prácticas sobre la eficiencia sobre el grado sobre la eficiencia sobre la efectividad
alineación y resultados de la de efectividad de o la gestión de de los procesos
gestión de riesgo las medidas y las recursos de aseguramiento
corporativo métricas en uso. realizados por las
diferentes áreas de
la gerencia
Fuente: ISACA, Information Secutity Govemance: Guidance for Information Seculity Managers, 2008. Todos los derechos reservados. Usado con autorización.
El marco para la arquitectura de la empresa, un trabajo innovador El marco básico de Zachman se describe en la figura 2.5.
en el campo de la EA, fue publicado por primera vez por John
Zachman a finales de la década de 1980. La estructura de El objetivo en última instancia es completar todas las celdas
Zachman continúa siendo un punto de partida para muchos de la matriz. Al inicio de un proyecto de EA, la mayoría de las
proyectos contemporáneos de EA. Zachman razonó que la organizaciones tendrá dificultad para proporcionar detalles para
construcción de sistemas de TI tenía considerables similitudes con cada celda, en particular al nivel más alto.
la construcción de edificios. En ambos casos, hay una gama de
participantes que se involucran en diferentes etapas del proyecto. Al tratar de completar una EA, las organizaciones pueden resolver
En la construcción de edificios, uno va desde lo abstracto a lo el desafio ya sea desde una perspectiva de tecnología o desde una
fisico usando modelos y representaciones (tales como planos, perspectiva de proceso de negocio.
distribuciones de espacios y diagramas de cableado). De manera
similar con la TI, los diferentes elementos (tales como diagramas, La EA centrada en la tecnología trata de aclarar las complejas
diagramas de flujo, modelos de datos/clase y código) se usan para opciones de tecnología que enfrentan las organizaciones
describir diferentes aspectos de los sistemas de una organización a modernas. La idea es proveer orientación sobre problemas
niveles de detalle cada vez mayores. tales como si y cuándo usar ambientes técnicos avanzados

cirsrátor Capítulo 2- Gobierno y Gestión de TI
asAsys
ISILMORI10...
Figisa 2.5—Marco de Zachman para la Arclitectura de la Empresa

Funcional Red • Oente
Datos (Aplítáción) (ecnologia) (Organización) (Flujo de trabajo) Estrategia
Alcance
Modelo de empresa
Modelo de sistemas
Modelo de tecnología
Representación detallada
(por ejemplo, J2EE o .NET) para el desarrollo de aplicaciones, Modelo de referencia de componentes de servicio—Un
cómo conectar mejor sistemas entre organizaciones y dentro marco funcional que clasifica los componentes de servicio que
de la organización, cómo heredar aplicaciones "web enable"y respaldan el negocio y los objetivos de desempeño.
ERP (enteprise resource planning) (sin que sea necesaria una Modelo de referencia técnica—Un marco que describe
extensa reprogramación), si las funciones de TI deben realizarse cómo la tecnología respalda la entrega, el intercambio y la
internamente en la empresa o subcontratarse, y si deben utilizarse construcción de componentes de servicio.
soluciones tales como la virtualización y la computación en nube Modelo de referencia de datos—Aunque aún se encuentra en
y cuándo utilizarlas. proceso de desarrollo, describirá los datos y la información que
sirven de apoyo a los programas y las operaciones de negocio.
La EA centrada en el proceso de negocio trata de entender una
organización en términos de sus procesos centrales que agregan La documentación sobre la arquitectura corporativa y la FEA
valor y sus procesos de soporte. La idea es que, al entender los se usan principalmente para mantener y describir la coherencia
procesos, sus partes constitutivas y la tecnología que los respalda, tecnológica, describiendo y evaluando continuamente la
se puede lograr un mejoramiento del negocio a medida que se tecnología que está gestionando el departamento de SI.
rediseñan y reemplazan gradualmente diferentes aspectos. La
génesis de este tipo de razonamiento puede asociarse al trabajo de Aspectos relevantes del gobierno de TI respecto de la gestión
Michael Porter, profesor de Harvard, en particular, a su modelo de un departamento de SI son los procesos de selección y/o
de cadena de valor de negocio. El esfuerzo de modelar procesos las metodologías que se usan para cambiar las tecnologías
de negocio está recibiendo un impulso adicional por parte de estratégicas. Este tema relevante afecta las decisiones de la
varios modelos de negocio en todos los sectores tales como el gerencia y está sujeto a grandes riesgos de negocio.
realzado Mapa de operaciones de telecomunicaciones (eTOM) y
el modelo de Referencia de operaciones de cadena de suministros
(SCOR) del sector de las telecomunicaciones. El contenido de 2.5 ESTRATEGIAS DE SISTEMAS DE
un modelo de proceso de negocio se puede correlacionar con los INFORMACIÓN
estratos superiores del marco de Zachman. Una vez completada la
correlación, una organización puede considerar la mezcla óptima de 2.5.1 PLANIFICACIÓN ESTRATÉGICA
tecnologías que se necesita para respaldar sus procesos de negocio.
La planificación estratégica, desde el punto de vista de SI, se
relaciona con la dirección a largo plazo que una organización
A modo de ejemplo, el gobierno federal de Estados Unidos se
quiere seguir para mejorar sus procesos de negocio utilizando
toma muy en serio el tema de la EA. Por ley, una organización
tecnología de la información.
federal de EUA está obligada a desarrollar una EA y a establecer
una estructura de gobierno de EA que asegure que la EA se utiliza
Bajo la responsabilidad de la alta dirección, los factores a
como referencia y es mantenida en las actividades de planificación
considerar incluyen: identificar soluciones de TI rentables para
y elaboración de presupuestos de todos los sistemas. Para guiar
tratar los problemas y oportunidades que enfrenta la organización
este proceso, se ha desarrollado la Arquitectura Federal de
y desarrollar planes de acción para identificar y adquirir los
Empresas (FEA). La FEA se describe (en el sitio web de la FEA,
recursos que se necesitan. Para desarrollar planes estratégicos,
www.feapmo.gov) como "una estructura basada en el negocio
generalmente de tres a cinco años de duración, las organizaciones
y el desempeño para apoyar la colaboración entre agencias, la
deben asegurarse de que los mismos estén plenamente alineados
transformación y el mejoramiento a nivel de todo el gobierno". La
y sean congruentes con todas las metas y objetivos generales de
FEA tiene una jerarquía de cinco modelos de referencia:
la organización. La gerencia del departamento de SI, junto con el
Modelo de referencia de desempeño—Un marco para
comité de dirección de SI y el comité de estrategia (que provee
medir el desempeño de las principales inversiones de TI y valiosa información estratégica relacionada con el valor para las
su contribución al desempeño de los programas. partes interesadas), tiene una función clave en el desarrollo e
Modelo de referencia de negocio—Un marco basado en la implementación de los planes.
función, que describe las funciones y subfunciones realizadas
por el Gobierno, independiente de las agencias que realmente La planificación estratégica efectiva de TI incluye la
las realizan. consideración de los requerimientos de la empresa para sistemas
de TI nuevos y revisados y la capacidad de la organización de TI

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI CISA Systems Auditor CerlIfied Information
An MG* Certiflos.
para entregar una nueva funcionalidad mediante proyectos bien Dicho comité sirve, por lo general, como un consejo general de
gobernados. Determinar los requerimientos para los sistemas revisión para proyectos importantes de SI y no debe participar en
de TI nuevos y revisados incluirá una consideración sistemática las operaciones de rutina. Las funciones principales realizadas
de las intenciones estratégicas de la empresa , cómo estas por este comité incluyen:
intenciones se convierten en objetivos específicos y en iniciativas Revisar los planes de largo y corto alcance del departamento
de negocios y qué capacidades de TI se necesitarán para apoyar de SI para asegurar que estén en concordancia con los objetivos
dichos objetivos e iniciativas. Para valorar las capacidades de TI, corporativos.
el portafolio de sistemas existente debe revisarse en términos de Revisar y aprobar las adquisiciones importantes de hardware
ajuste funcional, costo y riesgo. La evaluación de la capacidad y software, dentro de los límites aprobados por el consejo de
de TI para cumplir con sus objetivos incluye una revisión de la dirección.
infraestructura técnica de TI de la organización y de los procesos Aprobar y monitorear los proyectos de alta relevancia y
de apoyo claves (por ejemplo gestión de proyectos, desarrollo la situación de los planes y presupuestos de SI, establecer
de software y prácticas de mantenimiento, administración de la prioridades, aprobar los estándares y los procedimientos, y
seguridad y servicios de soporte técnico) para determinar si es monitorear el desempeño general de SI.
necesaria la expansión o el mejoramiento. Es importante que el Revisar y aprobar las estrategias de asignación de ciertas
proceso de planificación estratégica abarque no sólo la entrega actividades o todas las actividades de SI, incluyendo servicios
de nuevos sistemas y tecnología, sino que también considere el internos o externos, y la globalización o traslado de las
rendimiento que se obtiene de la inversión en los sistemas "lights- funciones al extranjero.
on" de TI existentes, así como el retiro de servicio de los sistemas Revisar si los recursos y su asignación son adecuados en
antiguos. El plan estratégico de TI debería equilibrar el costo de términos del tiempo, personal y equipos.
mantenimiento de los sistemas existentes con el costo de nuevas Tomar decisiones con respecto a la centralización o
iniciativas o sistemas para respaldar las estrategias de negocio. descentralización y la asignación de responsabilidades.
Apoyar el desarrollo e implementación de un programa
El auditor de SI debe prestar total atención a la importancia de la de gestión de la seguridad de la información a nivel de toda
planificación estratégica de TI, considerando las prácticas de control la empresa.
de la gestión. Además, el objetivo del gobierno de TI requiere Reportar al consejo de dirección sobre las actividades de SI.
que los planes estratégicos de TI estén en sincronización con la
estrategia de negocio en general. Un auditor de SI debe centrarse en
Nota: Las responsabilidades variarán de empresa a
la importancia del proceso de planificación estratégica o marco de
empresa y las responsabilidades que se muestran son las
planificación. Debe prestarse particular atención a la necesidad de
responsabilidades más comunes del comité de dirección.
evaluar cómo se toman en cuenta los planes operacionales, tácticos
Cada empresa debe documentar formalmente y aprobar
o de desarrollo del negocio para la formulación de la estrategia
los términos de referencia para su comité de dirección y
de TI, el contenido de los planes estratégicos, los requerimientos
el auditor de SI debe familiarizarse con la documentación
para planes de actualización y comunicación, así como los
del comité de dirección de SI y entender las principales
requerimientos de monitoreo y evaluación. El auditor de SI debería
responsabilidades que se asignan a sus miembros. Muchas
considerar cómo el CIO, o la alta dirección de TI, intervienen
empresas pueden referirse a este comité con un nombre
en la creación de la estrategia general de negocio. Una falta de
diferente. El auditor de SI debe identificar el grupo que
participación de TI en la creación de la estrategia de negocio indica
desempeña las funciones antes mencionadas.
que hay un riesgo de que la estrategia y los planes de TI no estén
alineados con la estrategia de negocio.
El comité de dirección de SI debe recibir información de gestión
apropiada de los departamentos de SI, de usuarios y de auditoria,
2.5.2 COMITÉ DE DIRECCIÓN para coordinar y monitorear con efectividad los recursos de SI
La alta dirección de una organización debe designar un comité de en la organización. El comité debe monitorear el desempeño y
dirección o de planificación para supervisar la función de SI y sus establecer las acciones apropiadas para alcanzar los resultados
actividades. Un comité de dirección de alto nivel para tecnología deseados. El comité debe reunirse periódicamente e informar a la
de la información es un factor importante para asegurar que el alta dirección. Deben elaborarse actas formales de las reuniones
departamento de SI esté alineado con la misión y los objetivos del comité de dirección de SI, para documentar las actividades y
corporativos. Aunque no es una práctica común, es muy deseable las decisiones del comité.
que un miembro del consejo de dirección que entienda los
riesgos y los problemas sea el responsable de la tecnología
2.6 MODELOS DE MADUREZ Y
de la información, y dirija este comité. El comité debe incluir
representantes de la alta dirección, de la gerencia de usuarios MEJORAMIENTO DE PROCESOS
y del departamento de SI.
El modelo IDEAL forma una infraestructura para orientar a
Los deberes y las responsabilidades del comité deben estar las empresas en la planificación y aplicación de un programa
definidos en un documento formal de estatutos. Los miembros efectivo para el mejoramiento de procesos de software y es la
del comité deben conocer las políticas, los procedimientos y estrategia base empleada para entregar muchos servicios del
las prácticas del departamento de SI. Cada miembro debe tener Instituto de Ingeniería de Software (SED. Las empresas que
autoridad para tomar decisiones dentro del grupo para sus siguen el enfoque IDEAL para el mejoramiento de procesos de
áreas respectivas. software (SPI) pueden integrar de manera efectiva la tecnología

Casix cerned:1r
MCROMIlliptlen
SE!, cursos, talleres y servicios en un método completo para la Valor de TI

gestión y el mejoramiento de su capacidad general. Las personas encargadas de decidir, toman las decisiones de
selección de proyectos de TI basándose en el valor percibido de
Integración del modelo de madurez de capacidad (CMMI) es la inversión. El valor de TI lo determina la relación entre lo que
un enfoque de mejoramiento de procesos que proporciona a las la organización pagará (costos) y lo que recibirá (beneficios).
empresas los elementos esenciales de procesos efectivos. Se puede Mientras mayor sea el beneficio en relación al costo, mayor será
usar para orientar el mejoramiento de procesos en un proyecto, el valor del proyecto de TI.
división o en toda la organización. CMMI ayuda a integrar las
funciones organizacionales tradicionalmente separadas, fijar El marco de Val TI tiene tres componentes o procesos: gobierno
objetivos y prioridades de mejoramiento de procesos, proporcionar de valor, gestión de portafolio y gestión de inversión. La figura
orientación para los procesos de calidad y representa un punto de 2.6 ilustra la relación entre estos tres dominios y los procesos
referencia para evaluar los procesos actuales. asociados.
La metodología Proceso para equipos de software (TSP) La gestión de portafolio de TI es distinta de la gestión financiera
orienta a los equipos y a su gerencia mediante un proceso de de TI en que establece una dirección explícita, con un objetivo
lanzamiento de cuatro días que establece los objetivos, define los estratégico para determinar las áreas en las que la empresa
roles del equipo, evalúa los riesgos y produce un plan de proyecto seguirá invirtiendo versus las áreas en las que no se harán
completo. Después de la jornada, TSP proporciona un marco de inversiones.
proceso definido y medido para la gestión, medición, rastreo y
registro del trabajo del equipo. Antes de participar en un equipo Implementación de la Gestión de Portafolio de TI
TSP, cada miembro debe entrenarse en los métodos PSP. La aplicación de los métodos incluye: análisis de perfil de riesgos,
diversificación de proyectos, infraestructura y tecnología, alineación
La metodología Proceso para personal de software (PSP) ayuda continua con los objetivos del negocio y mejoras continuas.
a las empresas a gestionar la calidad, mejorar la estimación y
planificación, así como a reducir los defectos en sus productos. No existe una mejor manera de aplicar el enfoque de portafolio
PSP también proporciona los datos a las empresas para justificar de TI.
sus planes. PSP puede aplicarse a muchas partes del proceso de
desarrollo de software, incluyendo el desarrollo del programa, Gestión de Portafolio de TI vs. Cuadros de Mando
definición de requerimientos, documentación escrita, pruebas de La ventaja más grande de la gestión de portafolio de TI es su
sistemas y mantenimiento, así como mantenimiento y mejora de agilidad para ajustar las inversiones. Mientras que los cuadros
grandes y pequeños sistemas de software. de mando también enfatizan el uso de visión y estrategia en una
decisión de inversión, la supervisión y control de los presupuestos
2.7 PRÁCTICAS DE INVERSIÓN Y ASIGNACIÓN de operaciones no son el objetivo. La gestión de portafolio de TI
permite a las organizaciones ajustar las inversiones basadas en el
DE TI mecanismo integrado de realimentación.
Cada empresa se enfrenta al reto de utilizar sus recursos
limitados, incluyendo las personas y el dinero, para lograr sus 2.8 POLÍTICAS Y PROCEDIMIENTOS
metas y objetivos. Cuando una organización invierte sus recursos
en un esfuerzo determinado, incurre en costos de oportunidad, Las políticas y procedimientos reflejan la orientación y dirección
porque no puede seguir otros esfuerzos que podrían aportar valor de la gerencia en el desarrollo de controles sobre los sistemas de
a la empresa. Estos costos de oportunidad deben estar muy bien información, recursos relacionados y procesos del departamento
gestionados porque, de acuerdo con la publicación de ISACA, de SI.
The Val IT Framework 2.0, entre el 20 y el 70 por ciento de las
inversiones a gran escala en cambios para la habilitación de TI 2.8.1 POLÍTICAS
se pierden, son un reto o no aportan ningún retorno a la empresa.
Un auditor de SI debería comprender las prácticas de inversión Las políticas son documentos de alto nivel que representan
la filosofia corporativa de una organización y el pensamiento
y asignación de una empresa para determinar si ésta está bien
estratégico de la alta dirección y de los dueños de los procesos de
posicionada para lograr el mayor valor posible de la inversión de
negocio. Las políticas deben ser claras y concisas para que sean
sus recursos.
efectivas. La gerencia debe crear un ambiente de control positivo,
Los beneficios financieros incluyen impactos en el presupuesto al asumir la responsabilidad de formular, desarrollar, documentar,
y en las finanzas de la organización, por ejemplo reducciones de promulgar y controlar las políticas que abarcan las metas y las
costos o aumento de ingresos. directrices generales. La gerencia debe emprender las acciones
necesarias para asegurar que los empleados afectados por una
Los beneficios no financieros incluyen impactos en las política específica reciban una explicación completa de la política
operaciones o en el cumplimiento de la misión y los resultados, y entiendan cuál es su propósito. Además, las políticas pueden
por ejemplo, mejoras en la satisfacción del cliente, mejor también aplicarse a terceros y a proveedores de servicio externos,
información, tiempo de ciclo más corto. quienes deberán comprometerse a seguir las políticas a través de
contratos o declaraciones de trabajo (SOW).

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI CISA cedill"Art:tkin
Figura 2.6—Dominios y procesos de Val IT
Establecer un liderazgo Definir e implementar Definir las características de

Informado .y comprometido. procesos. la cartera (portafolio).
Alinear e integrar la gestión Establecer un monitores de Mejorar continuamente las

de valor con, la planificación gobierno efectivo. prácbcas de gestión de valor.
Gobierno de valor (VG) financiera de la empresa.
Establecer una combinación de Determinar la disponibilidad Gestionar la disponibilidad de

dirección estratégke e y las fuentes de fondos. los recursos humanos.
inversión de destino.
---
Monitorear y notificar el Optimizar el desempeño de la—
Gestión de la cartera Evaluar y seleccionar
desempeño de la cartera cartera (portafolio) de
programas para financiar.
(portafolio) (PM) Inrtafolió) de inversión. inversión.
Desarrollar y evaluar el Comprender errara- grama Desarrollar el plan Desarrollar costos

caso de negocio de candidato y las opciones de programa, de beneficios del ciclo de vida
programa inicial. 'implementación. L completo.
Desarrollar'el caso de Lanzar y gestionar el Actualizar la cartera
negocio de programa programa". (portafolio') de. TI operativa.
candidato detallado,
Actualizar el caso de Monitorear e infonnar sobre el 1
negocio. programa. Retirar el`programa.
Gestión de la inversión (IM) 11_
Fuente: (SACA, The Val IT Framework 2.0, EUA, 2008, página 15, figura 9
Además de las políticas corporativas que establecen el estilo de eficacia en la productividad o logros competitivos. Las políticas
la organización como un todo, las divisiones y los departamentos formuladas deben apoyar el logro de los objetivos de negocio y
individuales deben definir políticas a un nivel menor. Las la implementación de controles de SI. Sin embargo, la gerencia
políticas de menor nivel deben ser congruentes con las políticas debe atender las necesidades de los clientes y cambiar las
a nivel corporativo. Estas deben aplicarse a los empleados y a las políticas que puedan obstaculizar la satisfacción del cliente o
operaciones de estas unidades, y centrarse en el nivel operativo. la capacidad de la organización para alcanzar los objetivos del
negocio. Esta consideración debe tomar en cuenta los aspectos de
Es deseable un enfoque integral de arriba hacia abajo para el confidencialidad y seguridad de la información, las cuales pueden
desarrollo de las políticas de menor nivel, por ejemplo cuando ser contrarios a la conveniencia del cliente. Así como cada control
se derivan de las políticas corporativas, ya que esto facilita la es formulado para cumplir un objetivo de control, las políticas
uniformidad en toda la organización. Sin embargo, algunas generales a un nivel superior y las políticas detalladas a un nivel
organizaciones comienzan definiendo políticas de nivel operativo inferior necesitan estar alineadas con los objetivos de negocio.
como prioridades inmediatas. Estas compañías consideran que
éste es el enfoque más rentable, ya que estas políticas a menudo Los auditores de SI deben entender que las políticas son parte
se derivan y se implementan como resultado de las evaluaciones del proceso de auditoria y comprobar si éstas cumplen con las
de riesgos. Este es un enfoque de abajo hacia arriba, en el cual las regulaciones. Los controles de SI deben fluir de las políticas de
políticas corporativas son un desarrollo posterior y una síntesis la empresa y los auditores de SI deben usar las políticas como
de las políticas operativas existentes. Este enfoque puede parecer un punto de comparación para evaluar el cumplimiento. Sin
más práctico, pero deja espacio para la falta de uniformidad y embargo, si existen políticas que obstaculizan el logro de los
para situaciones conflictivas en las políticas. objetivos de negocio, se deben identificar y reportar para que
sean mejoradas. El auditor de SI debe también considerar el
La gerencia debe revisar todas las políticas periódicamente. grado al que las políticas se aplican a terceros o a contratistas de
Preferiblemente, estos documentos deben especificar una fecha externalización, el grado al que éstos cumplen con las políticas,
de revisión que el auditor de SI deberá verificar con exactitud. y si las políticas de los terceros o de los proveedores de servicio
Es necesario que las políticas sean actualizadas para que externos están en conflicto con las políticas de la empresa.
reflejen lo nuevo de la tecnología, cambios en el ambiente (por
ejemplo, requerimientos de cumplimiento de regulaciones) y
los cambios significativos en los procesos de negocio que hacen
uso de tecnología de la información para obtener eficiencia y

C cisix sys=it'drir
ce Capítulo 2- Gobierno y Gestión de TI
A.0«.0.111Ist»
Política de seguridad de la información — Requerimientos de formación, capacitación y concienciación

Una política de seguridad comunica un estándar de seguridad en seguridad
coherente a los usuarios, a la gerencia y al personal técnico. Gestión de la continuidad del negocio
Una política de seguridad para tecnología de la información y — Consecuencias de la violación de la política de seguridad
tecnologías relacionadas es un primer paso hacia la construcción de la información
de la infraestructura de seguridad para organizaciones impulsadas Una definición de las responsabilidades generales y específicas
por la tecnología. Las políticas a menudo definirán el escenario para la gerencia de seguridad de la información, incluyendo
en términos de qué herramientas y procedimientos se necesitan reportar incidentes de seguridad de la información.
para la organización. Las políticas de seguridad deben equilibrar Referencias a la documentación que puede respaldar la
el nivel de control con el nivel de productividad. Además, el política; por ejemplo, políticas, estándares y procedimientos
costo de un control nunca debe exceder el beneficio que se espera más detallados de seguridad para sistemas de información
obtener. Para diseñar e implementar estas políticas, la cultura específicos o reglas de seguridad que deben acatar los usuarios.
organizacional desempeñará un papel importante. La política
de seguridad debe ser aprobada por la alta dirección, y debe ser Esta política de seguridad de la información debe ser comunicada
documentada y comunicada a todos los empleados y proveedores en toda la organización a los usuarios de una forma que sea
de servicio y socios de negocio (es decir, proveedores), según accesible y comprensible para el lector al que está destinada.
sea pertinente. La política de seguridad debe ser usada por La política de seguridad de la información podría ser parte de un
los auditores de SI como un marco de referencia para realizar documento de política general y puede ser apropiado distribuirla
diferentes asignaciones de auditoría de SI. La suficiencia y a terceros o a los proveedores de servicio externos de la
pertinencia de la política de seguridad podría también ser un área organización, siempre y cuando se tenga el cuidado de no revelar
de revisión para el auditor de SI. información sensible de la empresa. Se debe requerir que todos
los empleados con acceso a activos de información firmen para
La política de seguridad de la información guía a toda la dar constancia de su comprensión y voluntad de cumplir con la
organización al definir qué debe protegerse, los responsables de la política de seguridad de la información en el momento en que son
protección y la estrategia a seguir para cumplir con esa protección. contratados y regularmente a partir de ese momento (por ejemplo,
anualmente) para informarse de los cambios de la política que
La política de seguridad de la información provee a la gerencia ocurran en el tiempo.
la dirección y el respaldo para la seguridad de la información
de acuerdo con los requerimientos del negocio y las leyes y Dependiendo de la necesidad y pertinencia, las organizaciones
regulaciones relevantes. La gerencia debe fijar una dirección clara pueden documentar las políticas de seguridad de la información
de política en línea con los objetivos de negocio y demostrar su como un conjunto de políticas. Generalmente, se tratan los
apoyo a, y su compromiso con, la seguridad de la información a siguientes grupos de políticas:
través de la emisión y mantenimiento de una política de seguridad Política de seguridad de la información de alto nivel:
de la información para la organización. Esta política debe incluir declaraciones de confidencialidad,
integridad y disponibilidad.
DOCUMENTO DE POLÍTICA DE SEGURIDAD DE LA Política de clasificación de datos: Esta política debe describir
INFORMACIÓN las clasificaciones, los niveles de control en cada clasificación y
El documento de política de seguridad de la información debe las responsabilidades de todos los posibles usuarios, incluyendo
establecer el compromiso de la gerencia y el enfoque de la propiedad.
organización para gestionar la seguridad de la información. El Política de uso aceptable: Debe existir una política integral
estándar ISO 27002 (o el estándar nacional equivalente) puede que incluya información para todos los recursos de información
considerarse un estudio comparativo para el contenido que cubre (HW/SW, redes, Internet, etc.) y describa los permisos de la
el Documento de política de seguridad de la información. organización para el uso de TI y de recursos relacionados con
información.
El documento de política debe contener: Política de computación para el usuario final: Esta política
Una definición de seguridad de la información, sus objetivos describe los parámetros y el uso de herramientas de escritorio
generales y su alcance, así como la importancia de la por parte de los usuarios.
seguridad como un mecanismo que permite que se comparta la Políticas de control de acceso: Esta política describe el método
información. para definir y otorgar acceso a usuarios a varios recursos de TI.
Una declaración de la intención de la gerencia, que apoye las
metas y los principios de seguridad de la información en línea POLÍTICA DE USO ACEPTABLE
con la estrategia y los objetivos de negocio. El uso inadecuado de los recursos de TI por parte de los usuarios
Un marco para fijar los objetivos de control y los controles, expone a una empresa a riesgos que incluyen ataques de
incluyendo la estructura de evaluación de riesgos y gestión de virus, compromiso de sistemas de redes y servicios y aspectos
riesgos. legales. Es una práctica común exigir a los nuevos miembros
Una explicación breve de las políticas, principios, estándares de una empresa que firmen una carta de reconocimiento antes
y requisitos de cumplimiento de importancia particular para la de recibir acceso a los sistemas de información. Esta carta de
organización, incluyendo: reconocimiento se denomina Política de uso aceptable (AUP). La
— Cumplimiento con los requerimientos legislativos, regulatorios AUP es un conjunto de directrices o los estándares que la empresa
y contractuales

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI ce
CISA %I = rurr
mismrowitamo.
pone en práctica para controlar cómo se utilizarán sus recursos de Incidentes de seguridad de la información reportados;
sistemas de información. Recomendaciones suministradas por las autoridades relevantes.
La AUP debe explicar lo que la empresa considera como uso El resultado de la revisión de la gerencia debe incluir decisiones y
aceptable de la computadora, con el objetivo de proteger tanto acciones relacionadas con:
al empleado como a la empresa de las consecuencias de las Mejora en la alineación de la seguridad de la información con
acciones ilegales. Por esta razón, la AUP debe ser concisa objetivos de negocio
y clara, mientras al mismo tiempo cubre los puntos más Mejoramiento de los objetivos de control y los controles;
importantes, tales como definir a quién se le considera usuario Mejoramiento en la asignación de recursos y/o
y qué tiene permitido hacer con los sistemas de TI. La AUP responsabilidades.
deberá referir a los usuarios, cada vez que sea necesario, a las
políticas de seguridad, que son más completas. La AUP deberá Se debe mantener un registro de las revisiones de la gerencia y se
también definir claramente qué sanciones se aplicarán si los debe obtener la aprobación de la gerencia para la política revisada.
usuarios incumplen los estándares de AUP. El cumplimiento de
estas políticas deberá medirse con auditorías regulares.
Nota: Esta revisión es realizada por la gerencia para tratar los
cambios en factores ambientales.
La forma más común de una AUP es la Política de uso de intemet
aceptable, la cual determina el código de conducta que guía la
Mientras revisa las políticas, el auditor de SI debe valorar lo
conducta del usuario mientras está conectado a la red/internet.
siguiente:
El código de conducta puede incluir "netiquette"—una descripción del
Base sobre la cual se ha definido la políticageneralmente, se
lenguaje que se considera adecuado usar cuando se está en línea. El
basa en un proceso de gestión de riesgos.
código de conducta también deberá describir qué se considera ilegal o
Pertinencia de estas políticas.
una actividad personal excesiva. La adhesión a un código de conducta
Contenido de las políticas.
ayuda a garantizar que las actividades iniciadas por un usuario no
Excepciones a las políticas—aclarar en qué áreas no se
expondrán a la empresa a los riesgos de seguridad de la información.
aplican las políticas y por qué; por ejemplo, es posible que las
políticas de contraseñas (passwords) no sean compatibles con
REVISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA aplicaciones existentes).
INFORMACIÓN Proceso de aprobación de políticas.
La política de seguridad de la información debe ser revisada Proceso de implementación de políticas.
a intervalos planeados o si ocurrieran cambios significativos, Efectividad de implementación de políticas.
para asegurar que siga siendo pertinente, adecuada y efectiva. Concienciación y capacitación
La política de seguridad de la información debe tener un dueño Proceso periódico de revisión y actualización.
al que se haya otorgado la responsabilidad de gestión aprobada para
desarrollar, revisar y evaluar la política de seguridad. La revisión
debe incluir la evaluación de las oportunidades de mejoramiento de 2.8.2 PROCEDIMIENTOS
la política de seguridad de la información de la organización y un Los procedimientos son pasos detallados que se definen y se
enfoque para gestionar la seguridad de la información en respuesta documentan para implementar las políticas. Deben derivarse
al ambiente organizacional, las circunstancias de negocio, las de la política madre e implementar el espíritu (la intención) del
condiciones legales o el ambiente técnico. enunciado de la política. Los procedimientos se deben escribir
de forma clara y concisa, de modo que sean comprendidos fácil
El mantenimiento de la política de seguridad de la información y correctamente por todos los que se deben regir por ellos. Los
debe tomar en cuenta los resultados de estas revisiones. Debe procedimientos documentan procesos de negocio (administrativos
haber procedimientos definidos de revisión de la gerencia, que y operacionales) y los controles integrados en los mismos. Los
incluyan un cronograma o período para la revisión. procedimientos son formulados por los dueños de los procesos
como una traducción efectiva de las políticas.
Las contribuciones a la revisión de la gerencia deben incluir:
Retroalimentación de las partes interesadas Generalmente, los procedimientos son más dinámicos que sus
Resultados de revisiones independientes políticas madres respectivas. Deben reflejar los continuos cambios
Estatus de las acciones preventivas y correctivas en el enfoque de negocio y su ambiente. Por lo tanto, es esencial
Resultados de las revisiones anteriores de la gerencia revisar y actualizar frecuentemente los procedimientos si se desea
Desempeño del proceso y cumplimiento de la política de que sean relevantes. Los auditores revisan los procedimientos
seguridad de la información; para identificar, evaluar y, posteriormente, probar los controles
Cambios que podrían afectar el enfoque de la organización para sobre los procesos de negocio. Los controles integrados en los
gestionar la seguridad de la información, incluyendo cambios procedimientos son evaluados para asegurar que cumplan con los
al ambiente organizacional; las circunstancias de negocio; objetivos de control necesarios, al tiempo que hacen el proceso
la disponibilidad de recursos; las condiciones contractuales, tan eficiente y práctico como sea posible. Cuando las prácticas
regulatorias y legales; o el ambiente técnico; operativas no coinciden con los procedimientos documentados o
Consideración del uso de proveedores de servicio externos o cuando no existen procedimientos documentados, es dificil (para
traslado al exterior de la función de TI o funciones de negocio; la gerencia y para los auditores) identificar los controles y asegurar
Las tendencias relacionadas con las amenazas y las vulnerabilidades; que estén en operación continua.

cm 411«1
C linr"
„,,,A„di . Capítulo
2- Gobierno y Gestión de TI Sección Dos: Contenido
. I
Uno de los aspectos más críticos relacionados con los procedimientos 2.9.1 DESARROLLO DE UN PROGRAMA DE GESTIÓN
es que éstos deben ser bien conocidos por las personas que los DE RIESGOS
aplican. Un procedimiento que no es conocido completamente
por el personal que lo tiene que usar es, esencialmente, inefectivo. Para desarrollar un programa de gestión de riesgos, se debe:
Por lo tanto, se debe prestar especial atención a los métodos de Establecer el propósito del programa de gestión de riesgos—
implementación y automatización de mecanismos para almacenar, El primer paso es determinar el propósito de la organización
distribuir y gestionar los procedimientos de TI. para crear un programa de gestión de riesgos. El propósito del
programa puede ser reducir el costo de los seguros o reducir el
Una revisión independiente es necesaria para asegurar que las número de lesiones relacionadas con el programa. Al determinar
políticas y los procedimientos hayan sido debidamente documentados, su intención antes de iniciar la planificación de la gestión de
comprendidos e implementados. El revisor debe mantener su riesgos, la organización puede definir los indicadores clave de
independencia en todo momento y no debe ser influenciado por desempeño (KPIs - siglas del término en inglés: Key Performance
ningún integrante del grupo que está siendo inspeccionado. La Indicators) y evaluar los resultados para determinar su efectividad.
evidencia del trabajo realizado debe ser adecuada y debe proveer En general, la alta dirección, junto con el consejo de dirección,
al revisor un nivel de confianza de que el trabajo se llevó a cabo marca la pauta para el programa de gestión de riesgos.
en cumplimiento de las políticas y procedimientos establecidos. Asignar responsabilidad para el plan de gestión de riesgos—
Se pueden realizar revisiones como parte de una función de TI El segundo paso es designar una persona o un equipo responsable
que implemente el Modelo de Madurez de Capacidad (CMM) del de desarrollar e implementar el programa de gestión de riesgos de
Instituto de Ingeniería de Software, la Biblioteca de Infraestructura de la organización. Aunque el equipo es principalmente responsable
Tecnología de la Información (nlo olas estándares ISO. del plan de gestión de riesgos, un programa exitoso requiere la
integración de la gestión de riesgos dentro de todos los niveles de
la organización. El personal de operaciones y los miembros del
2.9 GESTIÓN DE RIESGOS consejo de dirección deben apoyar al comité de gestión de riesgos
para identificar los riesgos y desarrollar estrategias adecuadas
La gestión de riesgos es el proceso de identificar las para el control de pérdidas e intervención.
vulnerabilidades y las amenazas para los recursos de información
utilizados por una organización para lograr los objetivos de
negocio, y decidir qué contramedidas (protecciones o controles) 2.9.2 PROCESO DE GESTIÓN DE RIESGOS
tomar, si hubiera alguna, para reducir el riesgo a un nivel A fin de garantizar que la empresa gestiona sus riesgos de
aceptable (es decir, riesgo residual), basándose en el valor del forma coherente y adecuada, la organización debe identificar y
recurso de información para la organización. establecer un proceso repetible para gestionar sus riesgos de TI.
La publicación de ISACA, The Risk IT Framework, proporciona
La gestión efectiva de riesgos comienza con una clara un modelo de procesos de gestión de riesgos basado en COBIT y
comprensión del apetito de riesgos de la organización. Esto formado por tres dominios —gobierno de riesgos, evaluación de
impulsa todo el esfuerzo de gestión de riesgos y, en un contexto riesgos y respuesta a riesgos— con tres procesos en cada dominio.
de TI, tiene un impacto sobre las inversiones futuras en La figura 2.7 ilustra la relación entre los dominios y los procesos.
tecnología, el grado de protección de los activos de TI y el nivel
Uno de los paso del proceso es la identificación y clasificación
de garantía requerido. La gestión de riesgos abarca identificar,
de los recursos o activos de información que necesitan
analizar, evaluar, tratar, monitorear y comunicar el impacto del protección porque son vulnerables a amenazas. El propósito de
riesgo sobre los procesos de TI. Después de definir el apetito de la clasificación puede ser priorizar investigaciones adicionales e
riesgo e identificar la exposición al riesgo, se pueden establecer identificar la protección apropiada (clasificación simple, basada
estrategias para gestionar el riesgo y aclarar las responsabilidades. en el valor del activo), o permitir la aplicación de un modelo
Dependiendo del tipo de riesgo y su importancia para el negocio, estándar de protección (clasificación en términos de criticidad y
la gerencia y el consejo de dirección pueden optar por: sensibilidad). Los ejemplos de activos típicos asociados con la
Evitar—por ejemplo, donde sea factible, escoger no información y con TI incluyen:
implementar ciertas actividades o procesos que generen un Información y datos
riesgo (es decir, eliminar el riesgo al eliminar la causa). Hardware
Mitigar—por ejemplo, definir, implementar y monitorear Software
controles apropiados para reducir la probabilidad o el impacto Servicios
del riesgo. Documentos
Transferir (o asignar)—por ejemplo, compartir el riesgo con Personal
socios o transferirlo mediante cobertura de seguro, acuerdo
contractual u otros medios. Otros activos de negocio más tradicionales que se deben considerar
Aceptar—es decir, reconocer formalmente la existencia del son los edificios, el inventario, el efectivo y activos menos tangibles,
riesgo y monitorearlo. como por ejemplo el buen nombre o la imagen/reputación.
En otras palabras, el riesgo puede ser evitado, reducido, transferido Otro paso del proceso es evaluar las amena7ns y las
o aceptado. In other words, risk can be avoided, reduced, vulnerabilidades asociadas con el recurso de información y la
transferred, or accepted. Una organización también puede optar por probabilidad de que ocurran. En este contexto, las amenazas
rechazar el riesgo ignorándolo, hecho que puede ser peligroso y que son cualquier circunstancia o evento con el potencial de dañar
el auditor de SI debería considerar como bandera roja. un recurso de información, tales como destrucción, divulgación,

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI COSA= atkin
ini=r
Figura 2.7—Visión general del modelo de procesos Risk IT

. ,
er r
R61 111) jet :.1 COj ed. I ego eno

onlY•tit
.• •
3ittlIvin
e».
a31.2 10
lai 3 al~-1141 Z
14-o..4 MI« *II.
W4 1•19d/lak!~ di, ron r ns9;z.
, a,n.1 1:.- , N:mei« 1,0+ 7..~Stiilleilhor tl,, dy•p,d, £.
Integración
con UN
Establecer y Tomar decisiones

mantener una- del negocio
vista de riesgos teniendo en cuenta
común los riesgos
Evaluación de ealoi.s +FE.
Lamer. , p los nfinerntyr
11 ,11,41.1111titi *Ale pie:~ en tc.smm...40n,.»
Analizar el
l- CdX.Y13'.
Ketlwitiodtq riesgo
4~1'1,1 0,19I4,
kk., 2 ~NI 41~ dord:wa rd;PV.. ,
rld4,9
"indd2 ,drx. War t rodgM tiá, y xyc~
feyttlytextutwom,
hTy,dy..:1-,,ff R ec olectar Mantener
s intarz-ve.'41.4 yvalo ,IstpartN, perfil del
iy-dd, nd.dca ‘16
NEWIRODIAWIRI
Comunicación dates
riesgo
: R r1
3y
Fuente: ISACA, The Val IT Framework , EUA, 2009, figura 17
modificación de datos y/o negación de servicio. Las clases La magnitud del resultado de un agente de amenazas que
comunes de amenazas son: explota la vulnerabilidad se conoce como impacto y puede dar
Errores lugar a una pérdida de un tipo u otro. En las organizaciones
Daño/ataque intencional comerciales, las amenazas suelen ocasionar una pérdida
Fraude financiera directa en el corto plazo o una pérdida financiera
Robo final (indirecta) en el largo plazo. Ejemplos de dichas pérdidas
Falla del equipo/software incluyen los siguientes:
Pérdida directa de dinero (efectivo o crédito)
Los riesgos de TI se producen debido a que las amenazas tienen Violación de la legislación
la posibilidad de explotar las vulnerabilidades asociadas con Pérdida de reputación/buen nombre
el uso de recursos de información. Las vulnerabilidades son Peligro potencial para el personal o los clientes
características de los recursos de información que pueden ser Violación de la confianza
explotadas por una amenaza para causar daño. Los siguientes Pérdida de oportunidades de negocio
son ejemplos de vulnerabilidades: Reducción en el desempeño/eficiencia operativos
Falta de conocimientos del usuario Interrupción en las actividades de negocio
Falta de funcionalidad en la seguridad
Elección deficiente de contraseñas (passwords) Una vez que se han establecido los elementos de riesgo, éstos se
Tecnología no probada combinan para formar una visión general del riesgo. Un método
Transmisión de comunicaciones no protegidas común de combinar los elementos es calcular la (vulnerabilidad

enisinfo
cisix csrd stion Capítulo 2- Gobierno y Gestión de TI
mdintle Sección Dos: Contenido
Pa V.O Pollee.
de impacto) X (probabilidad de que ocurra en relación con un y grupos dentro de la organización. Sin embargo, estas personas
recurso particular de información) para cada amenaza y obtener y grupos no deben operar completamente por separado, ya que
una medida del riesgo general. El riesgo es proporcional al valor los riesgos en un nivel o en un área pueden impactar a otro. Un
de la pérdida o daño y la frecuencia estimada de la amenaza. mal funcionamiento importante del sistema podría obstaculizar la
capacidad de una organización para prestar servicios al cliente o
Una vez que se han identificado los riesgos, se pueden evaluar tratar con proveedores, y podría tener implicaciones estratégicas
los controles existentes o se pueden diseñar nuevos controles que requirieran la atención de la alta gerencia. De forma
para reducir las vulnerabilidades a un nivel aceptable de riesgo. similar, los problemas en un proyecto importante podrían tener
Estos controles se denominan contramedidas o protecciones. implicaciones estratégicas. También, a medida que los proyectos
Pueden ser acciones, dispositivos, procedimientos o técnicas entregan nuevos sistemas e infraestructura de TI, el nuevo entorno
(es decir, personal, procesos o productos). La fortaleza de de riesgo operativo necesita ser considerado.
un control puede ser medida en términos de su fortaleza
inherente o de diseño y de la probabilidad de su efectividad. En resumen, el proceso de gestión del riesgo debería lograr un
Los elementos de los controles que deben considerarse cuando balance efectivo en costo entre la aplicación de controles de
se evalúe su fortaleza incluyen si los controles son preventivos, seguridad como contramedidas y las amenazas significativas.
detectivos o correctivos, manuales o programados y formales Algunas de las amenazas están relacionadas con aspectos de
(es decir, documentados en manuales de procedimientos, seguridad que pueden ser extremadamente sensitivos para
manteniéndose evidencia de su operación) o provisionales. algunas industrias.
El nivel remanente de riesgo, una vez que los controles han 2.9.3 MÉTODOS DE ANÁLISIS DE RIESGOS
sido aplicados, se denomina riesgo residual y puede ser usado Esta sección discute métodos cualitativos, semicuantitativos
por la gerencia para identificar las áreas en las que se requiere y cuantitativos de administración del riesgo y las ventajas y
más control para reducir aun más los riesgos. La gerencia puede limitaciones de estos últimos.
establecer la meta de un nivel aceptable de riesgo (apetito de
riesgo). Los riesgos que excedan este nivel deben ser reducidos
Métodos de análisis cualitativo
mediante la implementación de controles más estrictos. Los Los métodos de análisis cualitativo de riesgo usan clasificaciones
riesgos que estén por debajo de este nivel deben ser evaluados descriptivas o verbales para describir los impactos o la
para determinar si se está aplicando un nivel excesivo de
probabilidad. Son los más sencillos y los más comúnmente
control y si se puede recortar costos eliminando estos controles usados. Normalmente se basan en listas de verificación y en
excesivos. Para la aceptación definitiva de los riesgos residuales
calificaciones subjetivas del riesgo, tales como alto, medio o bajo.
debe tenerse en cuenta lo siguiente: Dichos enfoques carecen del rigor que es habitual para la
Política organizacional
contabilidad y la administración.
La identificación y la medición del riesgo
La incertidumbre incorporada en el enfoque de evaluación
Métodos de análisis semicuantitativo
de riesgos
Costo y eficacia de la implementación En el análisis semicuantitativo, las clasificaciones descriptivas
están asociadas con una escala numérica. Dichos métodos se usan
Es importante darse cuenta de que la gestión de riesgos de TI frecuentemente cuando no es posible utilizar un método cuantitativo
o para reducir la subjetividad en los métodos cualitativos.
necesita operar a múltiples niveles, que incluyen:
El nivel operativo—En el nivel operativo, uno se preocupa
de los riesgos que podrían comprometer la efectividad Métodos de análisis cuantitativo
de los sistemas de TI y la infraestructura que los soporta, Los métodos de análisis cuantitativo usan valores numéricos
la capacidad de evadir los controles de los sistemas, la para describir la probabilidad y el impacto de los riesgos, usando
posibilidad de pérdida o de no disponibilidad de recursos datos provenientes de varios tipos de fuentes, tales como registros
clave (por ejemplo, sistemas, datos, comunicaciones, históricos, experiencias pasadas, prácticas y registros de la
personal, instalaciones) y falta de cumplimiento de las leyes y industria, teorías estadísticas, pruebas y experimentos.
regulaciones.
El nivel de proyecto—En el nivel de proyecto, la Muchos métodos de análisis cuantitativo del riesgo están
administración de riesgos necesita concentrarse en la capacidad actualmente disponibles para áreas como la militar, nuclear,
de entender y manejar la complejidad del proyecto y (si esto química, financiera y otras. Las siguientes selecciones describen
no se hiciera efectivamente) en el riesgo resultante de que los conceptos relacionados con los métodos cuantitativos.
objetivos del proyecto no sean cumplidos.
El nivel estratégico—El enfoque del riesgo se traslada a Muchas organizaciones utilizan el análisis de riesgo cuantitativo,
consideraciones tales como el grado en que las capacidades de TI el cual expresa los riesgos en términos numéricos (por ejemplo,
están alineadas con la estrategia del negocio, cómo se compara monetarios). Un análisis de riesgo cuantitativo se realiza
con la capacidad de los competidores, y las amenazas (así como generalmente durante un análisis de impacto al negocio (BIA).
también las oportunidades) planteadas por el cambio tecnológico. El principal problema en este proceso es la evaluación de activos
de información. Diferentes individuos pueden asignar diferentes
La identificación, evaluación y administración de los riesgos de valores al mismo activo, dependiendo de la relevancia que tenga
TI en diversos niveles es responsabilidad de diferentes personas la información para ellos. En el caso de activos tecnológicos, no

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI cisix lerlfléd Inforrn
Aidt r.
es el costo del activo lo que se considera, sino también el costo de La gerencia y los auditores de SI deben tener presente ciertas
reemplazo y el valor de la información procesada por ese activo. consideraciones que incluyen:
La administración de riesgos (RM) debe aplicarse a las
PROBABILIDAD Y EXPECTATIVA funciones de TI en toda la compañía.
La mayoría de estos métodos se basan en teorías estadísticas La RM es una responsabilidad de la alta dirección.
"clásicas" de probabilidad y expectativa. La RM cuantitativa es preferible frente a los enfoques
cualitativos.
La mayoría de los fenómenos naturales son afectados por La RM cualitativa siempre enfrenta el desafio de estimar los
muchas variables. Incluso en los casos en que se encuentran riesgos (su probabilidad) y se basa en la subjetividad y en
leyes científicas para su comportamiento, el comportamiento enfoques cualitativos.
real fluctúa alrededor de los valores predichos. Las variables La RM cuantitativa provee supuestos más objetivos
artificiales, por ejemplo, la variable social, económica, (y rastreables).
tecnológica (como por ejemplo las actitudes para votar), el La complejidad real o la aparente sofisticación de los métodos o
producto interno bruto (PIB) o la temperatura de un caldero, están productos usados no debe ser un sustituto del sentido común del
sujetos a un comportamiento similar llamado estocástico. negocio o de la diligencia profesional.
Se debe prestar especial atención para asegurar que se dé la
La ocurrencia de una tormenta no puede predecirse con exactitud, consideración adecuada a tratar con eventos de alto impacto,
pero (si existiera suficiente información científica histórica para incluso si su probabilidad, expresada como una frecuencia de
establecer una tendencia o patrón) la probabilidad de que ocurra ocurrencia en el tiempo, es baja. Recientes tragedias como
puede asignarse con una cierta precisión y nivel de confianza. los ataques terroristas y desastres naturales han demostrado
el potencial de que ocurran eventos catastróficos imprevistos.
La probabilidad de un evento se denota con p (05p51). El valor Determinar las probabilidades futuras basadas en la experiencia
de un activo que será afectado por el evento mencionado se pasada es a menudo difícil, en particular donde los eventos no
denota con v. La pérdida o ganancia esperada es igual a v X p (el tienen precedente, de modo que es prudente asumir que el peor
valor multiplicado por la probabilidad de ocurrencia del evento). caso podría ocurrir. Aunque en cierta medida es desagradable,
las organizaciones necesitan ser realistas al hacer planes
MÉTODO DE EXPECTATIVA DE PÉRDIDA ANUAL para enfrentar la pérdida de personal clave, la pérdida de
La expectativa de pérdida anual (ALE) simplifica la asignación instalaciones, la pérdida de sistemas, y la pérdida generalizada,
de valor (y) y la probabilidad (p) de una forma que es más fácil corrupción o robo de datos. Es necesario recordar que si se
de cuantificar. evalúa que un evento tiene una probabilidad en 50 arios, esto
Con este enfoque, puede crearse fácilmente una hoja de trabajo no significa que tomará 50 arios desde ahora para que ocurra
hecha a la medida y adaptarse a una moneda específica, materialidad podría ocurrir mañana.
de activos y horizontes de tiempo deseados (véase la figura 2.8).
Figura 2.8—Enfoque Expectativa de pérdida anual
Valor de activos
1 100 1.000 10.000 100.000 1 millón 10 1.000
millones millones
1 minuto 526 52.560 525.600
1 hora 9 876 8.760 87.600 876.000
1 día 37 365 3.650 36.500 36.500
1 semana 5 52 521 5.214 52.143 521.429
C0
1 mes 1 12 120 1.200 12.000 120.000
as
3 meses 4 40 400 4.000 40.000
o
1 año 1 10 100 1.000 10.000 1.000.000
5 años 2 20 200 2.000 200.000
10 años 1 10 100 1.000 100.000
20 años 1 5 50 500 50.000
50 años 2 20 200 20.000
100 años 1 10 100 10.000
300 años 3 33 3.333
Las cifras se redondean a US $1,000

Cerred
.,ISAsys
natIon
Aultree
ens Info
Capítulo 2 - Gobierno y Gestión de TI Sección Dos: Contenido
A. MACO PM..
2.10 PRÁCTICAS DE GESTIÓN DE SI Manual del empleado

Los manuales de empleado, distribuidos a todos los empleados
Las prácticas gerenciales de SI reflejan la implementación de al ser contratados, deben explicar puntos tales como:
políticas y procedimientos desarrollados para diversas actividades Políticas y procedimientos de seguridad
gerenciales relacionadas con SI. En la mayoría de las organizaciones, Conducta aceptable e inaceptable.
el departamento de SI es un departamento de servicio (apoyo). La Código de valores y ética de la organización.
función tradicional de un departamento de servicio es ayudar a Expectativas de la empresa
los departamentos de producción a llevar a cabo sus operaciones Beneficios de los empleados
más efectivamente y eficientemente. Hoy, sin embargo, SI se ha Políticas de vacaciones (días feriados)
convertido en parte integral de todas las fases de la operación de una Reglas de horas extra
organización. Su importancia continúa creciendo ario tras ario, y hay Empleo externo
poca probabilidad de que esta tendencia se revierta Los auditores de SI Evaluaciones de desempeño
deben entender y apreciar el grado al que un departamento de SI bien Procedimientos de emergencia
administrado es crucial para lograr los objetivos de la organización. Acciones disciplinarias por:
— Ausencias excesivas
Las actividades de la gerencia para revisar las formulaciones Violación de la confidencialidad y/o seguridad
de políticas y procedimientos y su efectividad dentro del No cumplimiento de las políticas
departamento de SI incluirían prácticas tales como administración
de personal, contratación y administración de cambios de TI. En general, debe existir un código de conducta publicado para
la organización que especifique las responsabilidades de todos
los empleados.
2.10.1 GESTIÓN DE RECURSOS HUMANOS
La gestión de personal se refiere a las políticas y procedimientos de la Políticas de promoción
organización para reclutamiento, selección, capacitación y promoción Las políticas de promoción deben ser justas y comprendidas por
del personal, medición del desempeño del personal, disciplina, los empleados. Las políticas deben estar basadas en criterios
planificación de sucesión y retención de personal. La efectividad de objetivos y tomar en consideración el desempeño, el nivel
estas actividades, a medida que se relacionan con la función de SI, de formación, la experiencia y el nivel de responsabilidad
impacta la calidad del personal y el desempeño de las funciones de SI. individual.
Noto: El auditor de SI debe tener conocimiento de El auditor de SI debe asegurar que la organización de SI tenga
los prob1ema5 de administración de personal pero esta políticas y procedimientos de promoción bien definidos y los
informacion no se prueba en el examen de certificación esté aplicando.
CISA debido a su subjetividad y a su relación con el objetivo
organizacional específico. Capacitación
Todos los empleados deben recibir capacitación de manera
Contratación habitual, dependiendo de las áreas en que les falte experiencia
Las prácticas de contratación de una organización son y conocimientos. Esto es especialmente importante para los
importantes para asegurar que se escoja el personal más eficiente profesionales de SI, dado el rápido ritmo de cambio de la
y efectivo y que la compañía cumpla con los requisitos legales de tecnología y los productos. La capacitación no sólo asegura
reclutamiento. Algunos de los controles comunes incluirían: el uso eficiente y efectivo de los recursos de SI sino que
Verificación de antecedentes (por ejemplo, penales, financieros, también fortalece la moral de los empleados. Se debe proveer
profesionales, referencias). capacitación cuando se está implementando nuevo hardware
Acuerdos de confidencialidad y/o software. La capacitación debe cubrir también áreas
Establecimiento de una fianza para los empleados para proteger pertinentes de gerencia, de gestión de proyectos y aspectos
contra pérdidas, errores y negligencia (Nota: La fianza de técnicos.
empleados no es siempre una práctica aceptada en todo el
mundo; en algunos países no es legalmente aceptada). La capacitación cruzada consiste en capacitar adecuadamente
Acuerdos sobre el conflicto de intereses. a más de un individuo para realizar un trabajo o procedimiento
Códigos de conducta/ética profesional. específico. Esta práctica tiene la ventaja de disminuir la
Acuerdos de no competencia dependencia con respecto a un empleado y puede ser parte de
la planificación de sucesiones. También provee un respaldo de
Los riesgos del control incluyen: personal en los casos en que alguien se ausente por alguna razón
Es posible que el personal no sea el adecuado para la posición y de este modo proveer continuidad en las operaciones. Sin
para la cual es reclutado. embargo, al utilizar este enfoque seria prudente que se evalúen
Es posible que no se lleve a cabo la verificación de referencias. previamente los riesgos de que cualquier persona conozca
El personal temporal y los terceros pueden introducir riesgos todas las partes de un sistema y el grado de exposición que esto
fuera de control. podría generar.
Es posible que el desconocimiento de los requerimientos de
confidencialidad conduzca a comprometer el ambiente esperado
de seguridad general.

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI CISA cedffiedrultr"
MISA tt.G1kM
Cronogramas y reportes de tiempo informáticos de la organización. Las prácticas de terminación

La preparación de un cronograma adecuado permite una de contratos deben considerar tanto los retiros voluntarios como
operación y uso más eficiente de los recursos informáticos. los involuntarios (por ejemplo, despido inmediato). Para ciertas
El reporte de tiempo permite a la administración monitorear situaciones, tales como las terminaciones involuntarias bajo
el proceso de programación de actividades. La gerencia podrá condiciones adversas, la organización debe tener procedimientos
entonces determinar si el personal escogido es el adecuado y si claramente definidos y documentados para escoltar al empleado
la operación está funcionando de manera eficiente. Es importante retirado fuera de las instalaciones. Sin embargo, en todos los
que la información que esté siendo introducida o registrada en casos, se deben aplicar los siguientes procedimientos de control:
dicho sistema sea exacta. Devolución de todas las claves de acceso, tarjetas y
distintivos de identificación para prevenir un posterior acceso
El reporte de tiempo puede ser una excelente fuente de fisico fácil.
información para los fines del gobierno de TI. Uno de los Eliminación/revocación de la identificación para iniciar
recursos más escasos en TI es el tiempo, y su debido reporte sesión (logon) y las contraseñas (passwords) para prohibir el
definitivamente ayudará a administrar mejor este recurso finito. acceso al sistema.
Esta información puede ser útil para la asignación de costos, Notificación a los empleados y personal de seguridad
medición de indicadores clave de metas (KGI) e indicadores pertinentes con respecto al cambio del estado del empleado
clave de desempeño (KPI) y análisis de actividades (por ejemplo, "despedido".
cuántas horas dedica la organización a los cambios en las Arreglo de las rutinas de pago final para eliminar al empleado
aplicaciones vs. nuevos desarrollos). de los archivos vigentes de nómina.
Realización de una entrevista de terminación para recoger
Evaluaciones del desempeño de los empleados una opinión sobre la percepción que tiene el empleado sobre la
Las evaluaciones del desempeño/valoración de los empleados gerencia.
deben ser un estándar y un tema habitual para todo el personal Devolución de todos los bienes de la compañía.
de SI. El departamento de recursos humanos (HR) debe
garantizar que los gerentes y los empleados de SI establezcan 2.10.2 PRÁCTICAS DE SOURCING
metas y resultados esperados de mutuo acuerdo. La evaluación Las prácticas de sourcing se refieren a la forma en que la
puede ser aplicada en función de estas metas sólo si el proceso organización obtendrá las funciones de SI requeridas para
es objetivo y neutral. respaldar el negocio. Las organizaciones pueden realizar todas
las funciones de SI internamente (lo que se conoce como
Los aumentos de salario, las bonificaciones por desempeño y "insourcing") en una forma centralizada, o contratar todas las
las promociones deben basarse en el desempeño del empleado. funciones en otras partes del mundo. La estrategia de sourcing
El mismo proceso puede también permitir que la organización debe considerar cada función de SI y determinar qué enfoque
evalúe las aspiraciones y la satisfacción del empleado y que permite que la función de SI alcance los objetivos de la empresa.
identifique sus problemas.
La entrega de funciones de SI puede incluir:
Vacaciones legales Funciones internas—Realizadas totalmente por el personal de
Las vacaciones legales aseguran que una vez al año, como la organización
mínimo, alguien que no sea el empleado titular realice una
Externalizadas—Realizadas por el personal de los contratistas
función de trabajo. Esto reduce la oportunidad de cometer actos
Híbrido—Realizadas por una mezcla del personal de la
indebidos o ilegales. Durante este tiempo, puede ser posible que
organización y de contratistas, puede incluir personal en
se descubra alguna actividad fraudulenta, siempre y cuando no
asociaciones de negocios/suplementario
haya habido confabulación entre los empleados para cubrir las
posibles discrepancias.
Las funciones de SI se pueden llevar a cabo en diferentes partes
del mundo, para aprovechar las zonas horarias y arbitrar las
La rotación de puestos provee un control adicional (para reducir
tarifas laborales, y pueden incluir:
el riesgo de actos fraudulentos o maliciosos), ya que el mismo
individuo no realiza las mismas funciones todo el tiempo. Esto En el sitio—El personal trabaja en el sitio, en el departamento
genera la oportunidad para que un individuo que no es la persona de SI.
asignada regularmente realice el trabajo y se dé cuenta de Fuera del sitio—También conocido como "ubicación cercana",
posibles irregularidades. el personal trabaja en un lugar distante en la misma área
geográfica.
En el extranjero—El personal trabaja en un lugar distante en
Nota: El auditor de SI (CISA) debe conocer maneras una región geográfica diferente.
de mitigar el fraude interno. La licencia obligatoria para
ausentarse es tina de tales medidas de control.
La organización debe evaluar sus funciones de SI y determinar el
método más apropiado de entregar las funciones de SI, prestando
Políticas de terminación de contrato consideración a lo siguiente:
Se deben establecer políticas escritas para la terminación de ¿,Es esta una función primordial para la organización?
contratos que indiquen pasos claramente definidos para el retiro ¿Tiene esta función conocimientos, procesos y personal
de un empleado. Es importante que las políticas se estructuren específicos que sean críticos para alcanzar las metas y objetivos,
para brindar la protección adecuada a los activos y datos y que no se puedan obtener externamente o en otro lugar?
C Cerned Information
CESA systems Auditor Capítulo 2- Gobierno y Gestión de TI Sección Dos: Contenido
.¿Puede esta función ser efectuada por un tercero o en otro lugar Mayor competencia que exige reducción de costos
por el mismo precio o por un precio más bajo, con la misma o Flexibilidad con respecto tanto a la organización como a la
mayor calidad, y sin aumentar el riesgo? estructura
Jiene la organización experiencia administrando a terceros o
usando lugares distantes/en el extranjero para ejecutar funciones Los servicios brindados por terceros pueden incluir:
de SI o de negocio? Introducción de datos
Diseño y desarrollo de nuevos sistemas cuando el personal
Al completarse la estrategia de sourcing, el comité de dirección interno no tiene las habilidades que se requieren o está de
de SI debe revisar y aprobar la estrategia. En este punto, si la alguna forma ocupado en funciones que tienen mayor prioridad,
organización ha elegido usar externalización, debe seguirse un o en el caso de una tarea que se hace una sola vez, cuando no
proceso riguroso, que incluya: hay necesidad de reclutar personal calificado interno adicional
Definir la función de SI que debe ser externalizada. Mantenimiento de las aplicaciones existentes para liberar al
Describir los niveles de servicio requeridos y las métricas personal interno para el desarrollo de nuevas aplicaciones
mínimas que se deben cumplir. Conversión de las aplicaciones antiguas a nuevas plataformas.
Estar consciente del nivel deseado de conocimiento, habilidades Por ejemplo, una compañía especialista puede convertir la parte
y calidad que se espera del proveedor de servicio. de interacción con el cliente de una aplicación antigua para su
Conocer la información actual del costo interno, para uso en el ambiente web
compararlo con las ofertas de terceros. Operación de la mesa de ayuda o el centro de llamadas (call
Realizar revisiones de debida diligencia de posibles proveedores center)
de servicio. Procesamiento de operaciones
Usando esta información, la organización puede realizar un Un auditor de SI debería determinar si, al desarrollar sus prácticas
análisis detallado de las ofertas de los proveedores de servicio y estrategias de outsourcing, una empresa ha considerado las
y determinar si la externalización permitirá a la organización ventajas, las desventajas y los riesgos del negocio, así como las
cumplir sus metas de una forma eficiente en costo, con riesgo opciones de reducción de riesgos indicadas en la figura 2.9.
limitado. como se desarrolló en sus prácticas y estrategias de outsourcing:
Adicionalmente una empresa debe considerar las siguientes
El mismo proceso debe ser considerado cuando una organización provisiones en sus contratos de outsourcing:
escoge "globalizar" o trasladar sus funciones de SI al extranjero.
Además, una empresa debería considerar las siguientes cláusulas
Prácticas y estrategias de extemalización en sus contratos de externalización:
Las prácticas de externali72ción se refieren a acuerdos Incorporar expectativas de calidad de servicio, incluyendo uso
contractuales por los cuales una organización entrega el control del Modelo de Madurez de Capacidad (CMM), la Biblioteca
de parte o la totalidad de las funciones de SI a un tercero. de Infraestructura de Tecnología de la Información (ITIL)
La mayoría de los departamentos de SI utilizan recursos de o metodologías de la Organización Internacional de Los
información de una amplia gama de proveedores y, por lo tanto, estándares (IS0).
necesitan un proceso definido de extemalización para administrar Asegurar una consideración contractual adecuada del control
efectivamente los acuerdos contractuales con estos proveedores. de acceso/administración de la seguridad, controlada por el
proveedor o por el dueño.
El contratista provee los recursos y la experiencia y Asegurar que el contrato exija un reporte de violaciones y
conocimientos que se requieren para realizar el servicio acordado. seguimiento, y cualquier requerimiento para notificación al
La extemalización se está volviendo cada vez más importante en dueño y cooperación con cualquier investigación.
muchas organizaciones. El auditor de SI debe estar consciente de Asegurar que el contrato exija un control y prueba de cambio/
las diversas formas que puede asumir la extemalización, así como versión para las etapas de implementación y producción.
de los riesgos que están asociados con esta modalidad. Asegurar que las partes responsables y los requerimientos para
los controles sobre la red estén adecuadamente definidos, y
Los objetivos específicos para la externalización de TI varían que esté establecida cualquier delineación necesaria de estas
de una organización a otra. Es característico, sin embargo, responsabilidades.
que la meta sea alcanzar una mejora duradera y significativa Establecer parámetros de desempeño específicos, definidos,
en los procesos de negocio y los servicios a través de una que deben ser cumplidos, por ejemplo, tiempos mínimos de
reestructuración corporativa, para sacar provecho de las procesamiento para las transacciones o tiempos mínimos de
principales competencias de un proveedor. Al igual que con retención para los contratistas.
la decisión de reducir o ajustar el tamaño al nivel adecuado, Incorporar criterios de administración de la capacidad.
la decisión de extemalizar servicios y productos requiere que Proveer disposiciones contractuales para hacer cambios
la gerencia vuelva a analizar el marco de control sobre el que al contrato.
puede basarse. Proveer un proceso claramente definido de escalamiento
y resolución de disputas.
Las razones para decidirse por la externalización incluyen: Asegurar que el contrato indemnice a la compañía por daños
El deseo de centrarse en las actividades centrales causados por la organización responsable de los servicios
Presión sobre los márgenes de utilidades externalizados.

Sección Dos: Contenido Capitulo 2 - Gobierno y Gestión de TI CISA Cerned Infornmflon
Systems Auditor'
Ali HM, C..»
Figura 2.9—Ventajas, desventajas y riesgos del negocio, y opciones de reducción de riesgos relacionadas con la externalización
Posibles ventajas Posibles desventajas y riesgos del negocio Opciones de reducción de riesgos
Las compañías de externalización Costos que excedan las expectativas del Establecer metas y recompensas
(outsourcing) pueden lograr economías de cliente compartidas, mensurables, como parte de la
escala por medio de la implementación de Pérdida de la experiencia interna de SI sociedad
software de componentes reutilizables. Pérdida del control sobre SI Usar múltiples proveedores o retener una
Los proveedores de servicios externos Incumplimiento del proveedor (preocupación parte del negocio como incentivo
tienen la posibilidad de dedicar más tiempo constante) Realizar revisiones periódicas competitivas
y concentrarse con mayor efectividad y Acceso limitado al producto y establecer un estándar de análisis
eficiencia en un proyecto dado que el Dificultad para revertir o cambiar los comparativo/de tendencias
personal interno. contratos de servicios externos Implementar contratos a corto plazo
Los proveedores de servicios externos tienen Deficiente cumplimiento de los Formar un equipo interfuncional de
probablemente más experiencia con un requerimientos legales y regulatorios administración de contratos
conjunto más amplio de problemas, aspectos Incumplimiento de los términos del contrato Incluir provisiones contractuales para
y técnicas que el personal interno. Falta de lealtad del personal del contratista considerar tantas contingencias como puedan
El acto de desarrollar especificaciones y para con el cliente anticiparse razonablemente
acuerdos contractuales empleando servicios Clientes/empleados insatisfechos como
externos probablemente tenga como consecuencia del acuerdo de contratación de
resultado mejores especificaciones que servicios externos
si fueran desarrollados únicamente por el Que los costos del servicio no sean
personal interno. competitivos durante el período total del
Dado que los proveedores son altamente contrato
sensibles a las variaciones y los cambios que Obsolescencia de los sistemas de TI del
consumen tiempo, es mucho menos probable proveedor
que haya un exceso de funcionalidades con Que ninguna de las dos compañías reciba
los proveedores de servicios externos. los beneficios anticipados del acuerdo de
externalización
Daño a la reputación de una de las
compañías, o de ambas, debido a fallas del
proyecto
Litigios prolongados y costosos
Pérdida o fuga de información o procesos
Requerir contratos de confidencialidad que protejan a ambas Requerir que el proveedor identifique todas las relaciones de
partes. subcontrato y requerir la aprobación de la organización para
Incorporar disposiciones claras, no ambiguas, sobre el "derecho cambiar los subcontratistas.
a auditar", que concedan el derecho a auditar las operaciones La externalización requiere que la gerencia maneje activamente
del proveedor (por ejemplo, acceso a instalaciones, acceso a los la relación y los servicios externalizados. Como el acuerdo
registros, derecho a hacer copias, acceso al personal, provisión de externalización se rige por los términos del contrato, el
de archivos computarizados) que se relacionen con los servicios contrato con el proveedor de servicios externos debe incluir
contratados. una descripción de los medios, los métodos, los procesos y la
Asegurar que el contrato trata de manera adecuada las estructura que acompañan la oferta de servicios y productos de
disposiciones de continuidad del negocio y recuperación ante SI, así como también el control de calidad. El carácter formal o
desastres y las pruebas apropiadas. legal de estos contratos depende de la relación entre las partes
Determinar que deben mantenerse la confidencialidad, la y de las exigencias presentadas por los directivos a las personas
integridad y la disponibilidad de los datos (algunas veces encargadas de ejecutar el contrato.
denominado la triada CIA) propiedad de la organización, y
establecer claramente la propiedad de los datos. Una vez que se ha seleccionado el proveedor de servicios
Requerir que el proveedor cumpla con todos los requerimientos externos, el auditor de SI debe revisar regularmente el contrato
legales y regulatorios relevantes, incluyendo los promulgados y los niveles de servicio para asegurar que sean apropiados.
después de la iniciación del contrato. Además, el auditor de SI podría revisar los procedimientos
Establecer el derecho a la propiedad intelectual desarrollada por documentados del proveedor de servicios y los resultados de
el proveedor mientras trabaja para el cliente. sus programas de calidad, que podrían incluir, por ejemplo, las
Establecer períodos definidos de garantía y mantenimiento. metodologías CMM, ITIL e ISO. Estos programas de calidad
Proveer disposiciones para colocar el software en custodia de un requieren auditorias regulares para certificar que el proceso y los
tercero. procedimientos satisfacen el estándar de calidad.
Establecer roles y responsabilidades claros entre las partes.
Requerir que el contratista siga las políticas de la organización, La externalización no es sólo una decisión de costo; es una
incluyendo su política de seguridad, a menos que la decisión estratégica que tiene considerables implicaciones de
organización haya aceptado las políticas del contratista por control para la gerencia. La calidad de servicio, las garantías
anticipado de continuidad del servicio, los procedimientos de control, la
ventaja competitiva y los conocimientos técnicos son aspectos

eins
tifie
Cgirst
OSA P 11° atIn
d Audirgr Capítulo 2- Gobierno y Gestión de TI Sección Dos: Contenido
. t
que necesitan ser parte de la decisión para externalizar servicios Problemas transfronterizos y transculturales—Administrar
de TI. Escoger el proveedor correcto es de extrema importancia, personas y procesos en múltiples zonas horarias, idiomas y
en particular cuando la externalización es una estrategia a largo culturas puede presentar desafios y problemas no planeados.
plazo. La compatibilidad de los proveedores en términos de Extemalización e informes de auditoría de terceros
cultura y de personal es un aspecto importante que no debe ser Un método para que el auditor de SI tenga garantía de los
ignorado por la gerencia. controles implementados por un proveedor de servicio es que
éste provea periódicamente un informe de auditoría realizado
La decisión de externalizar un servicio en particular que por un tercero. Estos informes abarcan la gama de problemas
actualmente está dentro de la organización, exige debida atención relacionados con la confidencialidad, integridad y disponibilidad
a la negociación del contrato. Un contrato con un buen balance de de los datos. En algunas industrias, dichas auditorías pueden estar
acuerdos de nivel de servicio (SLA) es de suma importancia para bajo la supervisión y el control regulatorio. Por ejemplo, existen
la calidad del servicio y la cooperación futura entre las partes. requerimientos tales como Statement on Standards for Attestation
Engagements (SSAE) 16 (conocido anteriormente como
Los SLA son un medio contractual de ayudar al departamento de Statement on Auditing Standards [SAS] 70), una guía de auditoría
SI a administrar los recursos de información bajo el control de del American Institute of Certified Public Accountants (AICPA)
un proveedor. Los SLA estipulan y comprometen a un proveedor en Estados Unidos, y requerimientos internacionales parecidos,
a un nivel requerido de servicio y opciones de soporte técnico. como International Standard on Assurance Engagements (ISAE
Esto incluye garantizar un nivel de desempeño del sistema 3402) para proporcionar informes de auditoría de terceros.
con respecto a tiempo activo o inactivo, así como también un
nivel específico de soporte al cliente. También se estipulan La SSAE 16 está diseñada para proveer orientación a los
los requerimientos de software o hardware. Los SLA también auditores de servicio dedicados a emitir informes sobre los
contienen disposiciones relativas a penalizaciones y opciones de controles de una organización de servicios, que pueden ser
aplicación en el caso de servicios no suministrados, y pueden parte de los sistemas de información de la organización de un
incluir incentivos tales como bonos o participación en las usuario, en el contexto de un estado financiero. También provee
ganancias por superar los niveles de servicio. orientación a los auditores externos dedicados a auditar los
estados financieros de las entidades que utilizan organizaciones
Por encima de todo, los SLA deben servir como instrumento de de servicios.
control. Cuando el proveedor de servicios externos sea de otro
país, la organización debe ser consciente de la legislación más El segundo método podría ser permitir la revisión periódica de la
allá de sus fronteras. organización por parte del auditor del proveedor. Es posible que
esto no sea aceptable para el proveedor, ya que implica invertir
Prácticas y estrategias de globalización tiempo y recursos para cada auditoría.
Además de recurrir a la contratación de funciones como servicios
externos, muchas organizaciones han elegido globalizar sus Gobierno en extemalización
funciones de SI. La globalización de las funciones de SI se realiza La externalización es el mecanismo que permite a las
por muchas de las mismas razones citadas para la externalización; organizaciones transferir la prestación de servicios a terceros.
sin embargo, la organización puede escoger no externalizar Fundamental para la externalización es aceptar que, aunque la
la función. Globalizar las funciones de SI requiere que la entrega es transferida, la responsabilidad sigue estando sobre
administración supervise activamente las ubicaciones distantes y los hombros de la gerencia de la organización cliente, que debe
las instalaciones en el extranjero. asegurar que los riesgos estén correctamente administrados
y haya entrega continua de valor de parte del proveedor de
Cuando la organización realice las funciones internamente, puede servicios. La transparencia y la propiedad del proceso de toma
escoger trasladar las funciones de SI a otro lugar o al extranjero. de decisiones deben estar dentro de la competencia del cliente.
El auditor de SI puede ayudar en este proceso al asegurarse que
la gerencia de SI considere los riesgos y preocupaciones de La decisión de externalizar es una decisión estratégica, no
auditoría siguientes cuando defina la estrategia de globalización simplemente una decisión de adquisición. La organización que
y efectúe la transición subsiguiente a las ubicaciones en externaliza está efectivamente reconfigurando su cadena de valor
el extranjero: al identificar las actividades que son centrales para su negocio,
Aspectos legales, regulatorios y fiscales—Operar en un país retenerlas y seleccionar las actividades no centrales que se puedan
o región diferente puede introducir nuevos riesgos sobre los contratar externamente. Entender esto a la luz del gobierno es
cuales la organización puede tener conocimientos limitados. clave, no sólo porque se ha demostrado que las organizaciones
Continuidad de las operaciones—La continuidad del negocio bien gobernadas aumentan el valor de los accionistas, sino porque,
y la recuperación ante desastres pudieran no estar establecidas más importante aun, las organizaciones están compitiendo en un
y probadas de manera adecuada. mercado global y dinámico cada vez más agresivo.
Personal—Las modificaciones que se necesitan para las
políticas de personal pudieran no considerarse. Establecer y retener la ventaja competitiva y de mercado
Problemas de telecomunicaciones—Los controles y el acceso requiere que la organización pueda responder efectivamente a
a la red desde ubicaciones distantes o en el extranjero pueden la competencia y a las cambiantes condiciones del mercado.
estar sujetos a más interrupciones frecuentes o a un número La externalización puede apoyar esto, pero sólo si la organización
mayor de riesgos de seguridad. entiende qué partes de su negocio verdaderamente crean ventaja
Manual de Preparación al Examen COSA 2011 117

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI CISA Cediese Information
Systems Auditor'
ISACrCertIlkdon
competitiva. Al hacer esa diferenciación y asignar esas funciones El creciente tamaño del espacio de soluciones de tecnología es
a un tercero debe, de por sí, convertirlas en competencias impulsado por el ritmo de la evolución tecnológica. Adquirir,
centrales, porque la externalización es un mecanismo estratégico capacitar y retener personal calificado se está volviendo más caro
que permite a la organización centrar sus esfuerzos y experiencia en una economía cada vez más global, dinámica y móvil. Invertir
constantemente. Como un recurso estratégico, la externalización en la costosa implementación de tecnología, y en la capacitación
debe estar regida en consecuencia. No se trata sólo de adquisiciones relacionada, es considerado menos una actividad organizacional
sino de administración efectiva y de asegurar que ambas partes central que la capacidad para trabajar eficientemente en toda la
se beneficien. cadena de valor al integrar la externalización donde sea apropiado.
Aunque el término 'alineación del negocio' se utiliza con
El gobierno de la externalización es el conjunto de responsabilidades, frecuencia, no siempre está claro lo que abarca. En el sentido
roles, objetivos, interfaces y controles requeridos para anticipar más amplio, implica hacer que los servicios provistos por
el cambio y manejar la introducción, el mantenimiento, el la función corporativa de TI reflejen más estrechamente los
desempeño, los costos y el control de los servicios provistos por requerimientos y deseos de los usuarios del negocio. Cuando las
terceros. Es un proceso activo que el cliente y el proveedor de organizaciones reconocen lo que es central para su negocio y
servicio debe adoptar para proveer un enfoque común, congruente qué servicios les proveen una ventaja diferencial y externalizan
y efectivo que identifique la información necesaria, las relaciones, las actividades que respaldan estos servicios, la alineación del
los controles y los intercambios entre muchas de las partes negocio puede empezar a alcanzarse. Si el grado al que esta
interesadas en ambas partes. alineación es centrada ha de entenderse, la implicación es que los
SLA y los OLA deben ser establecidos, monitoreados y medidos
La decisión de externaliza y posteriormente administrar esa en términos de desempeño y satisfacción de los usuarios.
relación con éxito exige un gobierno efectivo. La mayoría de La alineación del negocio debería ser impulsada por el usuario
las personas que desarrollan contratos de servicios externos final del servicio.
(outsourcing) incluyen disposiciones sobre control básico y
ejecución de los servicios; sin embargo, uno de los principales Se debería planificar previamente el gobierno e integrarlo en el
objetivos del proceso de gobierno de la externalización, contrato como parte de la optimización de costos del servicio.
como se define en el contrato de externalización, es asegurar Los procesos definidos de gobierno deben evolucionar a medida
la continuidad del servicio en los niveles apropiados y la que las necesidades y las condiciones de la relación de servicios
rentabilidad apropiados y el valor agregado para sostener externos se adaptan a los cambios en la demanda y entrega del
la viabilidad comercial de ambas partes. La experiencia ha servicio y a la innovación tecnológica.
demostrado que muchas compañías hacen supuestos sobre lo que
está incluido en la propuesta de externalización. Mientras que Capacidad y planificación del crecimiento
no es ni posible ni rentable definir contractualmente cada detalle Dada la importancia estratégica de TI en las compañías y el
y cada acción, el proceso de gobierno provee el mecanismo cambio constante en la tecnología, la capacidad y la planificación
para equilibrar el riesgo, la demanda de servicio, la provisión de del crecimiento son esenciales. Esta actividad debe reflejar los
servicio y el costo. planes de largo y corto plazo del negocio y debe ser considerada
dentro del proceso de elaboración del presupuesto. Los cambios
El gobierno de externalización extiende las responsabilidades en la capacidad no deben solamente reflejar cambios en la
de ambas partes (por ejemplo, cliente y proveedor) en lo que infraestructura subyacente, sino también en la cantidad de
respecta a: personal disponible para respaldar la organización. Una carencia
Asegurar la viabilidad contractual a través de revisión continua, de personal debidamente calificado puede demorar proyectos que
mejoramiento y obtención de beneficios para ambas partes. son críticos para la organización u ocasionar que los niveles de
Inclusión de un programa explícito de gobierno para el contrato servicio acordados no se cumplan. Esto es lo que lleva a algunas
Gestión de la relación para asegurar que las obligaciones organizaciones a escoger la externalización como una solución
contractuales se cumplan a través de acuerdos de nivel de para el crecimiento.
servicio (SLA) y acuerdos de nivel operativo (OLA).
Identificación y manejo de todas las interesadas, sus relaciones Gestión de prestación de servicios de terceros
y expectativas. Cada organización que usa los servicios de terceros debe tener
Establecimiento de roles y responsabilidades claros para la toma un sistema de administración de prestación de servicios para
de decisiones, escalamiento de problemas, gestión de disputas, implementar y mantener el nivel apropiado de seguridad de la
gestión de demandas y prestación de servicios. información y prestación de servicios que esté alineado con los
Asignación de recursos, gastos y consumo de servicios en contratos de prestación de servicio de terceros.
respuesta a las necesidades priorizadas.
Evaluación continua del desempeño, costo, satisfacción de los La organización debe verificar la implementación de los contratos,
usuarios y eficacia. monitorear el cumplimiento de los contratos y administrar los
Comunicación constante con todas las partes interesadas. cambios para asegurar que los servicios entregados satisfagan los
requerimientos acordados con el tercero.
Enfoques actuales de gobierno de la externalización

cisA sys
C mstribl Capítulo 2- Gobierno
ceri y Gestión de TI Sección Dos: Contenido
MIIMG.111111edlen
PRESTACIÓN DE SERVICIOS y reporte/respuesta a incidentes de seguridad de la información a

Se debe asegurar que los controles de seguridad, las definiciones través de un proceso de reporte, formato y estructura claramente
de servicio y los niveles de entrega incluidos en el contrato de definido. En el caso de la externalización, la organización
prestación de servicios por tercero sean implementados, operados necesita estar consciente de que la responsabilidad en última
y mantenidos por el tercero. instancia de la información procesada por un proveedor de
servicios externos sigue siendo de la organización.
La prestación de servicios por un tercero debe incluir los
acuerdos de seguridad pactados, las definiciones de servicio y los GESTIÓN DE CAMBIOS A LOS SERVICIOS DE
aspectos de administración de servicio. En el caso de acuerdos
de externalización, la organización debe planificar las necesarias TERCEROS
transiciones (de información, instalaciones de procesamiento de Se deben manejar los cambios a la provisión de servicios,
información y cualquiera otro elemento que necesite ser movido) incluyendo mantener y mejorar las políticas de seguridad de la
y debe garantizar que la seguridad se mantenga durante todo el información, procedimientos y controles existentes, tomando
período de transición. en cuenta la criticidad de los sistemas y procesos de negocio
involucrados y reevaluando los riesgos.
La organización debe asegurar que el tercero mantenga capacidad
de servicio suficiente junto con planes aplicables diseñados para El proceso de administrar los cambios a un servicio de tercero
asegurar que los niveles de continuidad del servicio acordados se debe tomar en cuenta:
mantengan en caso de fallas de servicio importantes o desastres. Cambios hechos por la organización para implementar:
— Mejoras en los servicios ofrecidos actualmente
MONITOREO Y REVISIÓN DE LOS SERVICIOS DE — Desarrollo de cualquier aplicación y sistema nuevo
TERCEROS — Modificaciones o actualizaciones de las políticas y los
Los servicios, reportes y registros suministrados por el tercero procedimientos de la organización
deben ser monitoreados y revisados regularmente, y las auditorías — Nuevos controles para resolver incidentes de seguridad de la
deben ser efectuadas regularmente. El monitoreo y revisión información y mejorar la seguridad
de los servicios de terceros deben asegurar que los términos y Actualizaciones a las políticas, incluyendo la política de
condiciones de seguridad de la información de los contratos se seguridad de TI
estén cumpliendo y que los incidentes y problemas de seguridad Cambios en los servicios de terceros para implementar:
de información estén siendo manejados debidamente. Esto debe Cambios y ampliaciones a las redes
involucrar una relación de administración de servicios y un Uso de nuevas tecnologías
proceso entre la organización y el tercero para: Adopción de nuevos productos o de versiones/publicaciones
Monitorear los niveles de desempeño del servicio para verificar más recientes
el cumplimiento de los contratos — Nuevas herramientas y ambientes de desarrollo
Revisar los reportes de servicio producidos por el tercero y Cambios a la ubicación física de las instalaciones de servicios
concertar reuniones regulares para evaluar el progreso que Cambio de proveedores o subcontratistas
requieran los contratos
Suministrar información sobre los incidentes de seguridad de la Mejoramiento del servicio y satisfacción del usuario
información y revisión de esta información por el tercero y por Los SLA fijan el nivel mínimo exigido a los terceros en el
la organización como lo exijan los contratos y las directrices y desempeño de la función de SI. Además, las organizaciones
procedimientos de respaldo. pueden establecer expectativas de mejoramiento del servicio en
Revisar las pistas de auditoría de terceros y los registros de los contratos, con penalizaciones y recompensas asociadas. Los
eventos de seguridad, problemas operativos, fallas, rastreo de siguientes son ejemplos de mejoramiento de servicio:
faltas e interrupciones relacionadas con el servicio entregado. Reducciones en el número de llamadas a la mesa de ayuda
Resolver y manejar cualquier problema identificado Reducciones en el número de errores del sistema
Mejoramientos en la disponibilidad del sistema
La responsabilidad de administrar la relación con un tercero
debe ser asignada a una persona designada o a un equipo de
administración de servicios. Además, la organización debe Las mejoras de servicio deben ser acordadas por los usuarios y TI
asegurar que el tercero asigne responsabilidades para verificar con una meta de mejorar la satisfacción del usuario y alcanzar los
el cumplimiento y ejecutar los requerimientos de los contratos. objetivos de negocio. La satisfacción del usuario debe ser monitoreada
Se deben poner a disposición suficientes habilidades y recursos mediante la realización de entrevistas y encuestas a los usuarios.
técnicos para monitorear si los requisitos del contrato, en
particular los requerimientos de seguridad de la información, Estándares de la industria/estudlos comparativos
se están cumpliendo. Se debe emprender una acción apropiada Los estándares de la industria/estudios comparativos proveen
cuando se observen deficiencias en la prestación del servicio. un medio para determinar el nivel de desempeño brindado por
ambientes similares de procesamiento de información. Estos
La organización debe mantener suficiente control y visibilidad estándares o estadísticas de estudio comparativo pueden ser
general en todos los aspectos de seguridad relacionados obtenidos de los grupos de usuarios de los proveedores, de las
con la información sensible o crítica o las instalaciones de publicaciones de la industria y de las asociaciones profesionales.
procesamiento de información a los que un tercero tuvo acceso, Los ejemplos incluyen ISO 9000 y el CMM del Software
procesó o gestionó. La organización debe asegurar que se Engineering Institute. Las organizaciones que prestan servicios
mantenga la visibilidad en las actividades de seguridad tales como externos deben ceñirse a un conjunto de estándares bien definido
administración de cambios, identificación de las vulnerabilidades en el que sus clientes confíen.

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI CISA Certliled Information
2.10.3 GESTIÓN DE CAMBIOS ORGANIZACIONALES Un presupuesto permite el pronóstico, monitoreo y análisis de la

La gestión de cambios organizacionales comprende el uso de información financiera. El presupuesto permite una asignación
un proceso definido y documentado para identificar y aplicar adecuada de recursos, en particular en un ambiente de SI en el
mejoras de tecnología al nivel de infraestructura y aplicación(es) que los gastos pueden ser cuantiosos. El presupuesto de SI debe
que sean beneficiosas para la organización y abarca todos los estar vinculado con los planes de TI a corto y largo plazo.
niveles de la organización afectados por los cambios. Este nivel
de participación y comunicación asegurará que el departamento 2.10.5 GESTIÓN DE CALIDAD
de SI entienda completamente las expectativas de los usuarios y La administración de la calidad es el medio por el cual los
que los cambios no sean resistidos o ignorados por los usuarios procesos basados en el departamento de SI son controlados,
una vez implementados. medidos y mejorados. Los procesos en este contexto se
definen como un conjunto de tareas que, cuando son realizadas
El departamento de SI es el punto focal para dichos cambios, ya debidamente, producen los resultados deseados. Las áreas de
que lidera o facilita el cambio en la organización. Esto incluye control para la gestión de la calidad pueden incluir lo siguiente:
mantenerse a la vanguardia de los cambios de la tecnología que Desarrollo, mantenimiento e implementación de software
podrían conducir a mejoras significativas de los procesos de Adquisición de hardware y software
negocio y obtener el apoyo de la alta dirección para implementar Operaciones del día a día
los cambios o proyectos que se requerirán a nivel de usuario. Gestión de servicios
Seguridad
Una vez que se obtiene el apoyo de la alta dirección para seguir Gestión de Recursos Humanos
adelante con los cambios o el proyecto, el departamento de SI Administración General
puede comenzar a trabajar con cada área funcional y su gerencia
para obtener respaldo para los cambios. Además, el departamento El desarrollo y mantenimiento de procedimientos definidos y
de SI necesitará desarrollar un proceso de comunicaciones, documentados por el departamento de SI es evidencia de un
que está dirigido a los usuarios finales, actualizarlos sobre los gobierno efectivo de los recursos de información. La insistencia
cambios, su impacto y beneficio y proveer un método para en que se observen los procesos y técnicas de administración de
obtener retroalimentación y participación de los usuarios. procesos relacionados es clave para la efectividad y la eficiencia
de la organización de SI. Han surgido diversos estándares para
La retroalimentación de los usuarios debe obtenerse durante apoyar a las organizaciones de SI en el logro de estos resultados.
todo el proyecto, incluyendo validación de los requerimientos de Los estándares de calidad están usándose cada vez más para
negocio y capacitación y pruebas sobre la funcionalidad nueva o apoyar a las organizaciones de SI en el logro de un ambiente
cambiada. operativo que sea predecible, medible, repetible y certificado en
lo que respecta a sus recursos de tecnología de la información.
2.10.4 PRÁCTICAS DE GESTIÓN FINANCIERA
La gerencia financiera es un elemento crítico en todas las Nota: El auditor de SI debe tener conocimiento de la Gestión
funciones de negocio. En un ambiente de informática con un alto de la calidad. Sin embargo, el examen de certificación CISA
nivel de costos, es imperativo que haya prácticas correctas de no evalúa especificamente los estándares ISO,
gerencia financiera.
Un estándar prominente que recibe amplio reconocimiento y
El esquema de "cargar al usuario", que consiste en aplicar un aceptación es ISO 9001:2000 Sistemas de Gestión de la Calidad,
costo a los usuarios por el uso de los recursos informáticos, que reemplaza a los estándares ISO 9000, 9001, 9002 y 9003,
puede mejorar la aplicación y monitoreo de los gastos de SI y introducido para regir la gestión de la calidad. Este estándar se
la disponibilidad de recursos. En este esquema, el costo de los está convirtiendo en el estándar sobre sistemas de gestión de
servicios de SI, incluidos el tiempo del personal, el tiempo de la calidad más importante y es representativo de los estándares
uso de las computadoras así como otros costos relevantes, es con mayor probabilidad de que se cumplan en la práctica. Se
cargado a los usuarios finales basándose en una fórmula o cálculo aplica a todos los tipos de organizaciones y puede estar orientado
estándar (uniforme). a servicios o productos para satisfacer las necesidades de la
organización, los usuarios y los clientes.
La transferencia de costos es una responsabilidad conjunta de las
gerencias de SI y gestión de usuarios. La transferencia de costos El sistema de gestión de la calidad se basa en un conjunto de
provee al personal de SI y a los usuarios una herramienta para documentos, manuales y registros.
medir la efectividad y eficiencia del servicio brindado por las
instalaciones de procesamiento de información. Una práctica clave para una organización que quiera desarrollar
un sistema de gestión de la calidad que cumpla con los
Presupuestos de SI requerimientos de ISO 9001:2000 es la realización de un análisis
La gerencia de SI, como todos los demás departamentos, debe diferencial en comparación con los requerimientos del estándar.
desarrollar un presupuesto. El análisis permite la mejora en los procesos de la compañía para
resolver las diferencias y cumplir con los estándares. Después
de satisfacer exitosamente los requerimientos de una auditoría

C
CISA ce nadráter Capítulo 2 - Gobierno y Gestión de TI
silm Sección Dos: Contenido
IN.KOCerelkdlee
sobre los procesos internos del sistema de gestión de la calidad, la existencia y eficacia del sistema, y son revisados durante las
se emite y registra un certificado ISO. La certificación es auditorías internas y externas.
válida hasta la siguiente auditoría. Sin embargo, el registro no
es un requerimiento y las compañías pueden escoger cumplir Las auditorías de los procesos del sistema de gestión de la calidad
voluntariamente con los estándares. de ¡SO 9001:2000 (internas y externas) incluirán la provisión de
servicios de TI ya que éstos afectan el desempeño de la calidad
Los auditores de SI deben preocuparse por que las funciones estén de toda la organización. La aplicación de los estándares de
documentadas y sean ejercidas de acuerdo a su definición para calidad ¡SO no debe ser excusa para que la gerencia no realice
producir los resultados deseados. Como hay un costo asociado con evaluaciones periódicas de riesgo con respecto a los servicios de TI.
el desarrollo e implementación de las técnicas de administración de
procesos, un auditor de SI debería estar mayormente preocupado (Véase el capítulo 3, Adquisición, desarrollo e implementación
con los procesos definidos y documentados en relación con TI para de sistemas de información, para obtener una explicación de los
las funciones críticas del negocio. Con este fin, un auditor podría procesos de desarrollo de calidad de software, tales como ¡SO
recomendar el desarrollo de un programa de mejoramiento de 9126 y el CMM del software desarrollado por el Instituto de
procesos que dé prioridad a las acciones requeridas, establezca un Ingeniería de Software de la Universidad de Carnegie Mellon).
plan para llevarlas a cabo y dedique recursos para ejecutar el plan.
Otro estándar ¡SO, ISO/IEC 20000-1:2005 (Tecnología
Adicionalmente, los auditores de SI se preocupan de que exista de Información Gerencia de Servicios), es más específica
documentación actualizada del proceso para administrar las con respecto a la Gerencia de servicios que el estándar ¡SO
siguientes funciones dentro de la organización de SI: 9001:2000 debido a su naturaleza como un estándar de gestión de
Operaciones informáticas la calidad genérico.
Gestión de servicios
Adquisición, implementación y mantenimiento de software ¡SO 20000 está estrechamente alineada con el Soporte de
de sistema Servicio ITIL V2 y las disciplinas de Prestación de servicios, y
Adquisición y mantenimiento de hardware promueve la adopción de un enfoque integrado de proceso para
Adquisición, desarrollo y mantenimiento de software la entrega efectiva de Servicios de TI. Está constituida por un
de aplicación conjunto de declaraciones auditables y requerimientos contra los
Información a la gerencia cuales una organización puede ser evaluada y auditada.
Seguridad fisica y lógica
Planificación a corto y largo plazo La figura 2.10 describe el contenido de ISO/IEC 20000– 1:2005
Reportes de tiempo (los números junto a los encabezados describen las secciones
Gestión de Recursos Humanos del estándar). Extiende la Prestación de Servicios y Soporte
de Servicio ITIL V2 en algunas áreas, introduce un nuevo
En la práctica, ¡SO 9001:2000 puede tener un impacto directo agrupamiento de las prácticas generales de administración de los
en una auditoría de SI debido a la fortaleza de las cláusulas del procesos y desafios que son comunes dentro de otros estándares
estándar. Los siguientes son tres ejemplos: ¡SO relevantes (como ¡SO 9001:2000).
Manual de Calidad—ISO 9001:2000 requiere (cláusula
4.2.2) que se establezca y se mantenga un manual de calidad 2.10.6 GESRÓN DE LA SEGURIDAD DE LA INFORMACIÓN
que contenga procedimientos documentados o referencia a
La gestión de seguridad de la información provee la función
ellos para el sistema de gestión de la calidad y los procesos
rectora para garantizar que la información y los recursos de
involucrados. procesamiento de información de la organización bajo su control
Recursos Humanos—ISO 9001:2000 (cláusula 6.2) requiere estén debidamente protegidos. Esto incluiría dirigir y facilitar
que el personal que realice trabajos que afecten la calidad la implementación de un programa de seguridad de TI a nivel
sea competente sobre la base de formación, capacitación, de toda la organización, que incluya el desarrollo de planes de
habilidades y experiencia apropiadas. El establecimiento análisis de impacto al negocio (BIA), continuidad del negocio
y mantenimiento de personal capacitado adecuadamente y (BCP) y recuperación ante desastres (DR?) relacionados con
experimentado es un aspecto obligatorio y auditable del sistema funciones del departamento de TI en apoyo de los procesos
de administración de la calidad, y así influye directamente, por críticos del negocio de la organización. Un componente
ejemplo, sobre la capacitación del personal de SI. importante al establecer dichos programas es la aplicación de
Compras-1S09001 :2000 (cláusula 7.4) provee un fuerte control principios de administración de riesgos para evaluar los riesgos
sobre las compras, incluyendo la evaluación del proveedor, para los activos de TI, para mitigar estos riesgos hasta un nivel
usando procesos definidos y documentados que pueden incluir la apropiado y determinado por la gerencia, y monitorear los riesgos
totalidad del estándar. Cuando se aplica, por ejemplo, a la compra residuales remanentes.
de servicios externos de TI, el cumplimiento de las condiciones
establecidas para los controles de compra de ¡SO 9001:2000 Consulte el capítulo 5, Protección de los activos de información,
satisface las necesidades de una auditoría de SI. para obtener más detalles sobre la gestión de seguridad de la
información.
El estándar requiere también que se mantenga un conjunto de
registros de calidad obligatorios. Estos son usados para demostrar

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI aso cermet! Aidt , r fi
monrati
NI Mar Cenffleato
2.10.7 OPTIMIZACIÓN DEL RENDIMIENTO Reportar y usar información del desempeño
La medición del desempeño de TI es un proceso dinámico. Esto Las advertencias de la medición de desempeño incluyen:
es significativo porque el ambiente de hoy día es complejo y Modelo—Un modelo se construye o se establece antes de
cambiante. Los sistemas tradicionales de medición pueden dar evaluar el desempeño y la alineación con los objetivos de
señales equivocadas a los gerentes de programa, en especial al negocio.
tratar de evaluar información relacionada con la contribución Error de medición—Las medidas convencionales no dan
de la tecnología a la misión de la organización. Con frecuencia, cuenta debidamente de las verdaderas contribuciones y
muchas variables afectan el desempeño de los sistemas de resultados.
información. La medición del desempeño de TI puede ser un Retrasos—Los retrasos de tiempo entre la ejecución del gasto y
requerimiento establecido en los estatutos de una empresa. el reconocimiento del beneficio no son debidamente reportados
en las medidas actuales.
La optimización del desempeño es un proceso impulsado por Redistribución—La TI se utiliza para redistribuir la fuente de
indicadores del desempeño. Estos indicadores están definidos sobre los costos en las empresas; no hay diferencia en la producción
la base de la complejidad de las operaciones y procesos del negocio total, sólo en la forma de obtenerla.
de una organización, su solución estratégica de TI y los objetivos Mala administración—La falta de medidas explícitas del valor
estratégicos corporativos primarios de implementación de TI. La de la información hace que los recursos sean vulnerables a una
optimización se refiere al proceso de mejorar la productividad de asignación equivocada y a consumo excesivo por parte de los
los sistemas de información al máximo nivel posible sin inversión gerentes. Como resultado, las técnicas adecuadas de medición del
adicional innecesaria en infraestructura de TI. desempeño jugarán un papel cada vez mayor para los gerentes de
programa y los consejos de revisión de las inversiones.
Las fases genéricas de medición del desempeño son:
Establecer y actualizar las medidas de desempeño Generalmente hay cinco formas de usar las medidas del
Establecer responsabilidad por las medidas de desempeño desempeño:
Recolectar y analizar los datos del desempeño 1. Medir productos/servicios
Figura 2.10—ISO/IEC 20000-1:2005
Responsabilidad de la gerencia
Sistema de Gerencia (3) Requerimientos de documentación
Competencias, conocimiento y capacitación
Planear, Implementar, Monitorear, Mejorar

Planeación e Implementación (4) (Planear, Hacer, Verificar, Actuar)
Planeación e Implementación
Planeación de nuevo servicio (5) de servicio nuevo o cambiado
Procesos de Entrega de Servicio (6)

Administración de capacidad Administración a nivel de servicio Administración de
Administración de la continuidad Reporte del servicio seguridad de información
y disponibilidad del servicio Presupuestación y
contabilidad para
los servicios de TI
Procesos de Control (9)

Administración de Configuraciones
Administración de Cambios
Procesos de Procesos de Procesos de

Publicación (10) Resolución (8) Relación (7)
Administración de publicaciones Manejo de Incidentes Administración de
Manejo de problemas Relaciones de Negocio
Administración de
Proveedores
*Los números que aparecen junto a los encabezados indican las secciones del estándar.

cisA Mturitr Capítulo 2- Gobierno y Gestión de TI
MACWOortleadis
Administrar productos/servicios Nota: el examen de CISA no prueba las responsabilidades

Asegurar la responsabilidad especificas del trabajo ya que éstas podrian ,,,ariar dentro
Tomar decisiones de presupuesto de las organizaciones. Sin embargo, las responsabilidades
Optimizar el desempeño conocidas universalmente tales como los propietarios del
negocio, las funciones de seguridad de la información y
Un sistema efectivo de administración del desempeño debe laidireccii5n ejecutiva podrían examinarse en la prueba, en
tener liderazgo, un marco conceptual, una comunicación especial cuando se prueban los controles de acceso y la
interna y externa efectiva, responsabilidad por los resultados, propiedad de los datos, Un C1SA debe estar familiarizado con
e inteligencia para los que toman las decisiones. Las la separación de responsabilidades.
recompensas, la compensación y el reconocimiento deben estar
ligados a las medidas de desempeño. También es importante
compartir los resultados y el progreso con los empleados, 2.11.1 ROLES Y RESPONSABILIDADES DE SI
clientes y partes interesadas. Los organigramas son elementos importantes que deben tener
todos los empleados, ya que ellos proveen una definición clara
Las directrices gerenciales de COBIT están primordialmente de la jerarquía y autoridad del departamento. Adicionalmente, las
diseñadas para satisfacer las necesidades de la gestión de TI descripciones de los puestos de trabajo brindan a los empleados
de medición del desempeño. Se suministran metas, métricas y del departamento de SI una orientación clara respecto a sus roles
modelos de madurez para cada uno de los 34 procesos de TI. y responsabilidades. El auditor de SI debe dedicar tiempo en un
Estos son genéricos y están orientados hacia la acción con el fin área auditada para observar y determinar si las descripciones de
de tratar las siguientes preocupaciones de gestión: tareas y las estructuras son adecuadas. Generalmente se deben
Medición del desempeño—¿Cuáles son los indicadores de revisar las siguientes funciones de SI:
buen desempeño? Gestión de desarrollo de sistemas—Responsable de los
Creación del perfil de control de TI—¿Qué es importante? programadores y analistas que implementan los nuevos sistemas
¿Cuáles son los factores críticos de éxito para el control? y que mantienen los sistemas existentes
Gestión de proyectos—Los gerentes de proyectos son
Concienciación—¿Cuáles son los riesgos de no alcanzar
responsables de planificar y ejecutar los proyectos de SI y
nuestros objetivos?
pueden reportar a una oficina de gestión de proyectos o a la
Creación de estudios comparativos—¿Qué hacen otros? organización de desarrollo. El personal de gestión de proyectos
¿Cómo se miden y se comparan? utiliza el presupuesto que se les asigna para la entrega de
iniciativas de SI e informar sobre el progreso de los proyectos
Desde una perspectiva de control, las directrices de gestión tratan al comité de dirección. Los gerentes de proyectos juegan un
el aspecto clave de "cuál es el nivel correcto de control para TI de papel central en la ejecución de la visión de la estrategia de TI
forma que respalda a los objetivos de la empresa? y del comité de dirección al planificar, coordinar y entregar los
proyectos de SI a la empresa.
Las medidas de desempeño deben ser cortas y concentradas,
Mesa de servicio (mesa de ayuda)—En el entorno actual de
complementando la orientación de control de alto nivel provista
SI, cada vez más compañías consideran importante tener una
por el marco de COBIT, que establece que TI habilita al negocio
función de mesa de servicio. Esta es una unidad dentro de una
entregando la información que el negocio necesita. Las directrices
organización que responde a preguntas y problemas técnicos
de gestión de COBIT se centran en definir las directrices
que enfrentan los usuarios. La mayoría de las compañías de
genéricas y orientadas a acciones para la gestión necesaria para
software tienen mesas de servicio. Las preguntas y respuestas
mantener el control sobre la información de la empresa y los
pueden ser realizadas por teléfono, fax o correo electrónico
procesos y tecnología relacionados. Estas directrices pueden
o mensajería instantánea. El personal de la mesa de servicio
incluir el uso de modelos de madurez para opción estratégica y
puede utilizar software especial de mesa de ayuda de terceros
estudio comparativo, así como metas y métricas.
que les posibilita hallar rápidamente las respuestas a las
preguntas más frecuentes. Debe existir un procedimiento para
registrar el problema reportado, su resolución y escalamiento
2.11 ESTRUCTURA ORGANIZATIVA Y a efectos de un posterior análisis de problemas/preguntas. Este
RESPONSABILIDADES DE SI procedimiento debe ayudar a monitorear los grupos de usuarios
y para mejorar los servicios de software/(instalaciones de
Un departamento de SI puede estar estructurado de diferentes procesamiento de información – IPF) brindados.
maneras. Este tipo de formato se muestra en la figura 2.11.
La administración de mesa de ayuda/soporte incluye las
El organigrama descrito incluye funciones relacionadas con
siguientes actividades:
seguridad, desarrollo y mantenimiento de aplicaciones, soporte
Adquisición de hardware/software (HW/SW) en
técnico para administración de redes y sistemas, y operaciones.
representación de los usuarios.
La estructura organizacional muestra el departamento de
Apoyar a los usuarios finales con las dificultades de HW/SW
SI típicamente encabezado por un gerente/director de TI o,
– Capacitar a los usuarios para usar HW/SW y bases de datos
en las organizaciones grandes, por un director general de
Responder las preguntas de los usuarios finales
información (CIO).
– Monitorear desarrollos técnicos e informar a los usuarios
finales de desarrollos que podrían ser pertinentes para ellos

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI CISA synified
emsran
trn
113.,«1111cdon
Figura 2.11—Organización del Departamento de SI
Oficial Jefe de Información

o Gerente / Director de TI
Gestión de Riesgos Aplicaciones Datos Soporte Técnico Soporte al Usuario Operaciones
Administrador de Desarrollo / Administrador de Datos / Administrador de Administrador de

la Seguridad Administrador de Soporte Administrador de Base Soporte Técnico Mesa de Servicio Operaciones
Coordinador de de Datos
Recuperación Ante
Desastres
Programadores Administrador de Redes Programadores de Sistemas

(Aplicaciones) (LAWWAN) (Sistema Operativo) Operador de Computadora
Analistas de Sistemas Administrador Analistas de Sistemas
(Aplicaciones) de Sistemas (Operación de Sistemas)
Aseguramiento (Sistema Operativo)
de la Calidad
– Determinar la fuente de problemas con sistemas de a gestionar proveedores y contratistas de servicios externos,
producción e iniciar acciones correctivas incluyendo realizar las siguientes funciones:
– Informar a los usuarios finales sobre problemas con HW/ Actuar como el primer contacto para el vendedor y el contratista
SW o bases de datos que podrían afectar sus controles por la de externalización dentro de la función de SI
instalación de actualizaciones de HW/SW Proveer indicaciones al contratista de externalización sobre los
– Iniciar cambios para mejorar la eficiencia problemas y escalar internamente dentro de la organización y la
Usuario final—Responsable de las operaciones relacionadas función de SI
con los servicios de aplicaciones del negocio; utilizado Monitorear y reportar sobre los niveles de servicio a la gerencia
para distinguir la persona para quien se diseñó el producto Revisar los cambios al contrato debidos a nuevos
(generalmente a nivel de aplicación) de la persona que requerimientos y obtener aprobaciones de SI
programa, sirve o instala aplicaciones. Vale la pena señalar que
hay una pequeña distinción entre los términos "usuario final" Operaciones y mantenimiento de infraestructura
y "usuario". El usuario final es levemente más específico, y se El gerente de operaciones es responsable del personal de
refiere a alguien que tendrá acceso a una aplicación de negocio, operaciones informáticas. Esto incluye todo el personal
como se expresó aquí anteriormente. El término usuario es más requerido para operar las computadoras de las instalaciones
amplio, y podría referirse a cuentas administrativas y cuentas de procesamiento de información (IPF) de manera eficiente y
para acceso a plataformas efectiva (por ejemplo, operadores de computadora, cintotecarios,
Gestión de soporte al usuario final—Responsable del enlace programadores y personal de control de datos). Las instalaciones
entre el departamento de SI y los usuarios finales de procesamiento de información (IPF) incluyen la computadora,
Gestión de datos—Responsable de la arquitectura de los datos los periféricos, los medios magnéticos y los datos almacenados
en los ambientes más grandes de TI y encargado de gestionar en los medios. Constituye una inversión importante de activos
los datos como un activo corporativo y tiene un impacto en la capacidad de la organización para
Gestión de aseguramiento de la calidad (QA)—Responsable funcionar eficazmente. La sala de computadoras debe tener
de negociar y facilitar actividades de calidad en todas las áreas seguridad y sólo el personal autorizado debe tener acceso a
de tecnología de información. la misma. Nadie con excepción del personal de operaciones,
Gestión de la seguridad de la información—Esta es una debe tener acceso a las instalaciones. Dentro de las operaciones
función que generalmente se debe separar del departamento informáticas, los controles de gestión se pueden subdividir en tres
de SI y debe estar encabezada por un CISO. El CISO puede categorías relacionadas con la seguridad física, la seguridad de los
reportar al CIO o tener una relación indirecta (reporte indirecto) datos y los controles de procesamiento.
con el CIO. Incluso cuando el oficial de seguridad se reporta al
CIO, existe una posibilidad de conflicto, ya que las metas del El grupo de control es responsable de la recolección, conversión
CIO son proporcionar de modo eficiente servicios continuos y control del ingreso de datos y el balanceo y distribución de
de TI, mientras que el CISO puede estar menos interesado en los datos salientes a la comunidad de usuarios. El supervisor del
la reducción de costos si esto tiene un impacto en la calidad de grupo de control usualmente reporta al gerente de operaciones
la protección. de las instalaciones de procesamiento de información (IPF). El
grupo de control de entrada/salida debe estar en un área separada
Gestión de proveedores y contratistas de externalización donde sólo se permita personal autorizado, ya que ellos manejan
Con el aumento de externalización, que incluye el uso de datos sensibles.
múltiples proveedores, el personal dedicado puede estar obligado

cia Ar Cell!! Audit
Inforrn
""'a ....... 15/
a3
Gestión de medios Administración de sistemas

La gestión de medios se requiere para registrar, emitir, recibir El administrador de sistemas es responsable de mantener los
y salvaguardar todos los archivos de programa y de datos que principales sistemas informáticos de multiusuario, incluyendo
se mantienen en medios extraíbles. Dependiendo del tamaño de redes de área local (LANs), redes inalámbricas de área local
la organización, esta función se puede asignar a un individuo a (WLANs), redes de área amplia (WANs), redes de área personal
tiempo completo o a un miembro de operaciones que también (PANs), redes de área de almacenamiento (SANs), intranets
desempeñe otras funciones. y extranets, y sistemas de rango medio, además de sistemas
mainframe. Sus deberes típicos incluyen:
Esta es una función crucial y por tanto, muchas organizaciones le Agregar y configurar nuevas estaciones de trabajo y periféricos
proveen soporte adicional mediante el uso de software que ayuda Establecer cuentas de usuarios
a mantener el inventario así como también maneja el movimiento Instalar software en todo el sistema
de medios de almacenamiento. El uso de este software también Realizar procedimientos para prevenir/detectar/corregir la
ayuda a mantener el control de versiones y la gestión de divulgación de virus
configuración de los programas. Asignar espacio de almacenamiento masivo
Ingreso de datos Las organizaciones pequeñas pueden tener sólo un administrador

El ingreso de datos es crítico para la actividad de procesamiento de sistemas, mientras que las organizaciones más grandes tienen
de información. El ingreso de datos puede incluir ingreso en lote por lo general un equipo de administradores de sistema. Algunas
o ingreso en línea. organizaciones centradas en mainframes pueden referirse a un
administrador de sistemas como un programador de sistemas.
En la mayoría de las organizaciones, el personal de los
departamentos de usuarios hace su propio ingreso de datos en Administración de la seguridad
línea. En muchos ambientes en línea, los datos son capturados La administración de seguridad comienza con el compromiso de
desde la fuente original (por ejemplo, intercambio electrónico la gerencia. La gerencia debe entender y evaluar los riesgos de la
de datos [EDI], datos capturados vía códigos de barra para seguridad y debe desarrollar y hacer cumplir una política escrita
gestión de tiempo, inventario de almacenes por departamento). que establezca con claridad los estándares y los procedimientos
El departamento de usuarios así como también la aplicación que se deben seguir. Las funciones del administrador de
del sistema deben tener implantados controles para asegurar seguridad deben estar definidas en la política. Para proveer
que los datos estén validados, sean correctos, estén completos y una adecuada segregación de funciones, esta persona debe ser
autorizados. un empleado de tiempo completo que reporte directamente al
director de la instalación. Sin embargo, en una empresa pequeña,
Con el avance de la tecnología y la necesidad de adquirir datos puede no ser práctico contratar a una persona de tiempo completo
desde que se originan, las organizaciones están desplegando para esta posición. La persona que realice esta función debe
sistemas automatizados para la adquisición de datos. Estos asegurar que los diferentes usuarios estén cumpliendo con la
sistemas incluyen lectores de código de barras, o sistemas a los política de seguridad corporativa y que los controles sean los
que se hace referencia como SCADA (Adquisición de datos, adecuados para prevenir el acceso no autorizado a los activos de la
supervisión y control). El término SCADA comúnmente se compañía (incluyendo datos, programas y equipos). Usualmente,
refiere a sistemas centralizados los cuales monitorean y controlan las funciones del administrador de segurid2c1 incluyen:
sitios enteros, o a complejos de sistemas propagados en áreas Mantener las reglas de acceso a los datos y a otros recursos de TI.
grandes (en la escala de kilómetros o millas). La mayor parte Mantener la seguridad y la confidencialidad sobre la emisión y
del control del sitio se realiza automáticamente por terminales mantenimiento de las identificaciones de usuario y contraseñas
remotos (RTUs) o por controladores lógicos programables (passwords).
(PLCs). Las funciones de control del anfitrión (host) suelen Monitorear las violaciones de seguridad y aplicar acciones
restringirse a autorizaciones básica del sitio o intervención a nivel correctivas para asegurar que se provea la seguridad adecuada.
de supervisión. Por ejemplo, medir y controlar la extracción de Revisar y evaluar periódicamente la política de seguridad y
petróleo de plataformas petrolíferas o controlar la temperatura y sugerir a la gerencia los cambios necesarios.
el flujo de agua, etc. Preparar y monitorear el programa de concienciación sobre la
seguridad para todos los empleados.
La adquisición de datos comienza en el nivel de RTU o PLC en Probar la arquitectura de seguridad para evaluar la fortaleza de
incluye lecturas de medidores y reportes de estado de equipos la seguridad y para detectar las posibles amenazas.
que se comunican a SCADA según se requiera. Luego, los datos Trabajar con la gestión de cumplimiento, de riesgos y las
se compilan y formatean de tal manera que un operador de la funciones de auditoría para asegurar que la seguridad esté
sala de control utilizando redes de interfaces hombre-máquina diseñada de manera apropiada y actualizada sobre la base de
(HMI) puede tomar decisiones de supervisión para ajustar o retroalimentación de auditoría o de pruebas.
anular controles de RTU (PLC) normales. Los datos también se
pueden ingresar a un registro histórico, comúnmente creado en un Aseguramiento de la calidad
sistema de gestión de bases de datos de uso general, para permitir El personal de aseguramiento de la calidad realiza usualmente dos
análisis de tendencias y otras auditorías analíticas. funciones distintas, a saber:

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI CISA celme"Aultr
.111K.CertIkat.
Aseguramiento de la calidad (QA)—Ayuda al departamento datos, incluyendo los datos de producción. Usualmente no es
de SI a asegurar que el personal esté siguiendo los procesos de práctico prohibir o impedir por completo el acceso por parte del
calidad establecidos. Por ejemplo, QA ayudará a asegurar que DBA a los datos de producción. Por lo tanto, el departamento de
los programas y documentación se adhieren a los estándares y SI debe ejercer un control estricto sobre la administración de la
convenciones de nomenclatura. base de datos mediante:
Control de calidad (QC)—Responsable de realizar las Segregación de funciones
pruebas o revisiones para verificar y asegurar que el software Aprobación de las actividades del DBA por parte de la gerencia
esté libre de defectos y llene las expectativas del usuario. Esto Revisión de los registros de acceso y actividades por parte del
podría hacerse en varias etapas del desarrollo de un sistema de supervisor
aplicación, pero debe hacerse antes de que los programas sean Controles de detección sobre el uso de las herramientas de la
llevados a producción. base de datos
El grupo de QA está encargado de desarrollar, promulgar y Analista de sistemas

mantener estándares para la función de SI. Esto incluye la Los analistas de sistemas son especialistas que diseñan sistemas
capacitación en estándares y procedimientos de QA. El grupo de basados en las necesidades del usuario. Generalmente participan
QA puede también apoyar mediante la verificación periódica la durante la fase inicial del ciclo de vida de desarrollo de los
exactitud y autenticidad de los datos ingresados, el procesamiento sistemas (SDLC). Estas personas interpretan las necesidades del
y el resultado de las diversas aplicaciones. usuario y desarrollan los requerimientos y las especificaciones
funcionales y documentos de diseño de alto nivel. Estos
Para que este grupo pueda cumplir un papel efectivo debe ser documentos permiten que los programadores creen una
independiente. En algunas organizaciones, este grupo puede aplicación específica.
ser parte del grupo de control. En organizaciones más pequeñas
puede no ser posible tener un grupo de QA separado, en cuyo Arquitecto de seguridad
caso las personas pueden tener más de una función. Sin embargo, Los arquitectos de seguridad evalúan tecnologías de seguridad;
bajo ninguna circunstancia debe ser efectuado por una persona diseñan aspectos de seguridad de topología de la red, controles
cuya función esté en conflicto, por ejemplo, programador de de acceso, gestión de identidades y otros sistemas de seguridad;
sistemas que realiza una revisión de calidad de los cambios del y establecen políticas y requerimientos de seguridad. Se puede
sistema de aplicación. argumentar que los analistas de sistemas realizan la misma
función, sin embargo, los conjuntos de destrezas requeridas son
Administración de base de datos muy diferentes. Sus productos (por ejemplo, especificaciones
El administrador de base de datos (DBA) como custodio de de programa vs. políticas, requerimientos, diagramas de
los datos de una organización, define y mantiene la estructura arquitectura) también son diferentes. Los arquitectos de seguridad
de los datos en el sistema de base de datos corporativo. El deberían también trabajar con la gestión de cumplimiento,
DBA debe tener una comprensión de la organización y de los de riesgos y las funciones de auditoría para incorporar sus
requerimientos de datos del usuario y de la relación entre los requerimientos y recomendaciones para la seguridad en las
datos (estructura). Esta posición es responsable de la seguridad de políticas y la arquitectura de seguridad.
los datos compartidos almacenados en la base de datos. El DBA
es responsable del diseño real, la definición y el mantenimiento Desarrollo y mantenimiento de aplicaciones
adecuado de las bases de datos corporativas. Usualmente, el DBA El personal de aplicaciones es responsable de desarrollar y
reporta directamente al director del IPF. El rol del DBA incluye: mantener las aplicaciones. El desarrollo puede incluir desarrollar un
Especificar la definición física de los datos (orientados a la nuevo código o cambiar la configuración de la aplicación existente.
computadora). Ellos desarrollan los programas o cambian la configuración de
Cambiar la definición física de datos para mejorar el la aplicación que en última instancia correrán en un entorno de
desempeño. producción. Por lo tanto, la gerencia debe asegurar que el personal
Seleccionar e implementar herramientas de optimización de la no pueda modificar los programas de producción ni los datos
base de datos. de aplicación. Ellos deben trabajar únicamente en un ambiente
Probar y evaluar herramientas de los programadores y de de prueba y deben entregar su trabajo a otro grupo que lleve los
optimización. programas y los cambios de aplicación al ambiente de producción.
Responder las consultas de los programadores y formarlos
acerca de las estructuras de la base de datos. Desarrollo y mantenimiento de infraestructura
Implementar los controles de definición, acceso, actualización y El personal de infraestructura es responsable de mantener
concurrencia de la base de datos. el software de sistemas, incluyendo el sistema operativo. Esta
Monitorear el uso de la base de datos, recopilar estadísticas de función puede requerir que ellos tengan acceso irrestricto a todo el
desempeño, y ajustar la base de datos. sistema. La gestión de SI debe monitorear de cerca sus actividades
Definir e iniciar los procedimientos de respaldo y de requiriendo que ellos lleven registros electrónicos de esta actividad
recuperación. y que no sean susceptibles de cambio. El personal de infraestructura
sólo debe tener acceso a las librerías de sistemas del software
El DBA tiene las herramientas para establecer los controles específico que ellos mantienen. El uso de la administración
sobre la base de datos y la capacidad de ignorar estos controles. de dominios y de cuentas de súper usuarios debe controlarse y
El DBA tiene también la capacidad de tener acceso a todos los monitorearse muy de cerca.

cisA
lnfodm
=5 Au iatIon
itor
AA mor ama.
Gestión de red Es posible que no se detecten cambios o modificaciones de

Hoy muchas organizaciones tienen IPFs ampliamente datos y programas no autorizados y erróneos.
descentralizadas. Pueden tener una IPF central, pero también
hacen un uso extensivo de: Cuando las funciones están segregadas, se pueden restringir los
LANs—Redes de área local en sucursales y en sitios distantes accesos a la computadora, la biblioteca de datos de producción,
WANs—Redes de área amplia (WANs) donde los LANs se los programas de producción, la documentación de programación,
pueden interconectar para conveniencia de acceso del personal el sistema operativo y sus utilitarios asociados. El daño potencial
autorizado desde otros lugares. por las acciones de cualquier persona queda por lo tanto reducido.
Redes inalámbricas—Establecidas a través de asistentes Los departamentos de SI y de usuarios finales deben organizarse
digitales personales (PDAs) y otros dispositivos móviles. para lograr una adecuada segregación de funciones. Véase la
figura 2.12, para obtener una directriz de las responsabilidades
Los administradores de red son responsables de los de trabajo que no deberían ser combinadas.
componentes clave de esta infraestructura, (enrutadores
(routers), conmutadores, cortafuegos (firewalls), segmentación Nota: La matriz de control de segregación de funciones
de redes, gestión de desempeño, acceso remoto, etc.). Es (figura 2.12) no es un estándar de la industria, sino una
posible que cada LAN requiera de un administrador debido directriz que indica cuáles posiciones de deben separar y cuáles
a la dispersión geográfica. Dependiendo de la política de la requieren controles de compensación cuando se combinan.
compañía, estos administradores pueden reportar al director La matriz describe posibles problemas de la segregación de
del IPF o, en una operación descentralizada, pueden reportarle funciones y no se debe ver o usar como una verdad absoluta;
al gerente de usuarios finales. Esta posición es responsable del por el contrario, se debe usar para ayudar a identificar posibles
control técnico y administrativo sobre la LAN. Esto incluye conflictos de manera que se puedan plantear las preguntas
asegurar que los enlaces de transmisión estén funcionando apropiadas para identificar controles de compensación
correctamente, que las copias de respaldo del sistema se
estén haciendo y que las compras de software/hardware estén En la práctica real, las funciones y designaciones pueden variar
autorizadas y sean instaladas debidamente. En instalaciones en diferentes empresas. Además, dependiendo de la naturaleza
pequeñas, esta persona puede ser responsable de la de los procesos de negocio y de la tecnología desplegada, los
administración de la seguridad sobre la LAN. El administrador riesgos pueden variar. Sin embargo, es importante que un auditor
de LAN no debe tener responsabilidades de programación de SI entienda las funciones de cada una de las designaciones
de aplicaciones, pero puede tener responsabilidades de especificadas en el manual. Los auditores de SI necesitan
programación de sistemas y usuario final. entender el riesgo de combinar funciones indicadas en la matriz
de control de segregación de funciones. Además, dependiendo de
2.11.2 SEGREGACIÓN DE FUNCIONES DENTRO DE SI la complejidad de las aplicaciones y de los sistemas desplegados,
Los títulos de puestos de trabajo reales y estructuras se puede requerir una herramienta automatizada para evaluar el
organizacionales varían mucho de una organización a otra, acceso real que tiene un usuario contra la matriz de la segregación
dependiendo del tamaño y de la naturaleza del negocio. Sin de funciones. La mayoría de las herramientas vienen con una
embargo, es importante que un auditor de SI obtenga información matriz de segregación de funciones predefinidas que deben ser
para valorar la relación entre las funciones, responsabilidad y adaptadas a los procesos de TI y de negocio de una organización,
autoridad de los puestos de trabajo, para valorar la adecuada incluyendo cualquier función adicional o riesgos que no estén
segregación de funciones. La segregación de funciones evita incluidos en la matriz de segregación de funciones entregada.
la posibilidad de que una sola persona pueda ser responsable
de funciones diversas y criticas de tal forma que pudieran Los controles compensatorios son controles internos que
ocurrir errores o apropiaciones indebidas y no ser detectadas pretenden reducir el riesgo de una debilidad existente o potencial
oportunamente, en el curso normal de los procesos de negocio. de control cuando las funciones no pueden ser segregadas de
La segregación de funciones es un importante medio por el cual una manera apropiada. La estructura de la organización y las
se pueden prevenir y disuadir actos fraudulentos y/o maliciosos. funciones deben ser tomadas en cuenta para determinar los
controles apropiados para el ambiente relevante. Por ejemplo,
Las funciones que deben ser segregadas incluyen: una organización puede no tener todas las posiciones descritas en
Custodia de los activos. la matriz o una persona puede ser responsable de muchas de las
Autorización. funciones descritas. El tamaño del departamento de SI/TI puede
Registro de transacciones. también ser un factor importante que se debe considerar, es decir,
ciertas combinaciones de funciones en un departamento de TI
Si no existiera una segregación de funciones adecuada, podría de un cierto tamaño nunca se deberían usar. Sin embargo, si por
ocurrir lo siguiente: alguna razón se requieren funciones combinadas, entonces se
Apropiación indebida de activos. deben describir controles de mitigación.
Estados financieros falsos.
Documentación financiera inexacta (por ejemplo, errores o El propósito de segregación de funciones es reducir o eliminar
irregularidades). los riesgos de negocio a través de la identificación de controles
Uso indebido de fondos o la modificación de datos podría pasar compensatorios. La magnitud y probabilidad de riesgo se puede
inadvertida. valorar desde baja hasta alta, dependiendo de la organización.

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI CISA Cerdfled Information
Systems Amber'
2.11.3 CONTROLES DE SEGREGACIÓN DE Acceso a los datos

FUNCIONES
Los controles sobre el acceso a los datos son provistos
mediante una combinación de seguridad física, de sistemas
Se pueden emplear varios mecanismos de control para lograr la
y de aplicaciones tanto en el área de los usuarios como en
segregación de funciones. Los controles están descritos en las
la IPE El ambiente físico debe ser seguro para impedir el
siguientes secciones.
acceso de personas no autorizadas a los diversos dispositivos
tangibles conectados a la unidad central de procesamiento y que
Autorización de transacciones permiten así, el acceso a los datos. La seguridad del sistema
La autorización de transacciones es responsabilidad del y de la aplicación son capas adicionales de seguridad que
departamento de usuarios. La autorización es delegada en pueden impedir que personas no autorizadas logren acceder
la medida en que se relacione con el nivel particular de a los datos corporativos. El acceso a los datos proveniente de
responsabilidad de la persona autorizada en el departamento. conexiones externas es una preocupación creciente desde la
Se deben realizar verificaciones periódicas tanto por parte de la aparición de Internet. Por lo tanto, la gestión de TI ha agregado
gerencia como por parte de auditoria para detectar el ingreso de responsabilidades para proteger los activos de información de
transacciones no autorizadas. acceso no autorizado.
Custodia de activos Las decisiones de control de acceso están basadas en política

Se debe determinar y asignar debidamente la custodia de los organizacional y en dos estándares de práctica generalmente
activos corporativos. El propietario de los datos usualmente se aceptados—segregación (separación) de funciones y el menor
asigna a un departamento de usuarios particular, y sus funciones privilegio. Los controles para el uso efectivo no deben alterar el
se deben especificar por escrito. El dueño de los datos tiene la flujo usual de trabajo más de lo necesario o colocar demasiada
responsabilidad de determinar niveles de autorización requeridos carga sobre los administradores, auditores o usuarios autorizados.
para proporcionar seguridad adecuada, mientras que el grupo de El acceso adicional no debe ser incondicional y los controles de
administración suele ser responsable de implementar y reforzar el acceso deben proteger adecuadamente todos los recursos de la
sistema de seguridad. organización.
Figura 2.12—Matriz de segregación de funciones
cli
g fil
11 g
—g
11
l Igi 2
@2
9
1-8
81"-g
M
51
re
-o
1
S
cu
4
a,
1
cl, g
4
1
aa,
cc
1
o
cn
._ 6.-
CI
?t
o- -r.
@
.c2 B
Fci
52
.T -`‘11
Grupo de control X X X X X X X X X
Analista de
X X X X X X
sistemas
Programador
X X X X X X X X X X X
de aplicaciones
Mesa de ayuda y
X X X X X X X X X
Gerente de Soporte
Usuario final X X X X X X X X
Ingreso de datos X X X X X X X X X
Operador de
X X X X X X X X X X
computadoras
Administrador de
la base de datos X X X X X X X X X
Administrador de
X X X X X X X
redes
Administrador de
X X X X X X X
sistemas
Administrador de
X X X X X
la Seguridad
Programador de
X X X X X X X X X X
sistemas
Aseguramiento de
X X X X
la calidad
X—La combinación de estas funciones puede crear una posible debilidad de control.

CCISA Itefild Aufútx•
. 1
natkin Capítulo 2 - Gobierno y Gestión de TI Sección Dos: Contenido
Las políticas establecen niveles de sensibilidad tales como secreto Pistas de auditoría—Las pistas de auditoría son un
máximo, secreto, confidencial y no clasificado, para los datos componente esencial de los sistemas bien diseñados, ayudan
y otros recursos. Estos niveles deben usarse para orientación tanto al departamento de SI como al auditor de SI brindando un
sobre los procedimientos apropiados para manejar los recursos mapa para trazar por segunda vez el flujo de una transacción.
de información. Ellos también se pueden usar como base para Ellas permiten a los departamentos de SI y de usuarios así como
las decisiones sobre control de acceso. A las personas se les también al auditor de SI recrear el flujo real de transacciones
otorga acceso sólo a los recursos que están en un nivel específico a partir del punto en que se originan hasta su ubicación en
de sensibilidad o por debajo de éste. Las etiquetas se usan para un archivo actualizado. Ante la ausencia de una adecuada
indicar el nivel de sensibilidad de los documentos almacenados segregación de funciones, las pistas de auditoría pueden ser un
electrónicamente. Los controles basados en políticas pueden control compensatorio aceptable. Con las pistas de auditoría
caracterizarse bien como obligatorios o como discrecionales. el auditor de SI debe ser capaz de determinar quién inició la
transacción, la hora y la fecha de ingreso, el tipo de ingreso, qué
Para obtener más detalles, consulte la sección Controles de campos de información contenía y qué archivos actualizó.
acceso obligatorios y discrecionales, en el tema Importancia de Conciliación—La conciliación es en última instancia
los activos de información del capítulo 5. responsabilidad del usuario. En algunas organizaciones, el
grupo de control de datos puede realizar una conciliación
FORMULARIOS DE AUTORIZACIÓN limitada de las aplicaciones mediante el uso de totales
Los gerentes de los departamentos de usuarios deben proveer a de control y hojas de balance. Este tipo de verificación
SI formularios de autorización formales (ya sea en copia fisica o independiente, incrementa el nivel de confianza de que la
electrónica) en los que se definan los derechos de acceso de sus aplicación ejecutó exitosamente y de que los datos están
empleados. En otras palabras, los gerentes deben definir quién correctamente balanceados.
tendrá acceso a qué. Los formularios de autorización deben ser Reportes de excepción—Los reportes de excepción deben
debidamente evidenciados con la aprobación a nivel de gerencia. ser manejados a nivel de supervisión para lo cual se requiere
En general, todos los usuarios deben ser autorizados a un acceso al evidencia, como por ejemplo las iniciales en el reporte,
sistema específico, por vía de solicitud formal de la gerencia. En haciendo notar que la excepción ha sido debidamente tratada.
las compañías grandes o en las que tienen sucursales distantes, se También, la gerencia debe asegurarse que las excepciones se
deben mantener registros de firmas autorizadas y las solicitudes hayan atendido oportunamente.
formales recibidas por escrito deben ser comparadas contra el Registros de transacciones—Un registro de transacciones puede
registro de firmas. Los privilegios de acceso deben ser revisados ser manual o automatizado. Un ejemplo de un registro manual es
periódicamente para asegurar que estén actualizados y que sean un registro de transacciones (agrupadas o en lote) antes que las
apropiados para las funciones del puesto de trabajo del usuario. mismas sean entregadas para su procesamiento. Un registro de
transacciones o diario automatizado provee un registro de todas
TABLAS DE AUTORIZACIÓN DE USUARIO las transacciones procesadas y es mantenido por el sistema de
El departamento de SI debe usar los datos provenientes de los computación.
formularios de autorización para crear y mantener tablas de Revisiones de supervisión—Las revisiones de supervisión
autorizaciones de usuarios. Estas definirán quién está autorizado pueden ser efectuadas a través de observación, investigación o
para actualizar, modificar, eliminar o consultar datos. Estos remotamente.
privilegios son asignados a nivel de sistema, de transacción o de Revisiones independientes—Las revisiones independientes se
campo. En efecto, éstas son listas de control de acceso de usuario. llevan a cabo para compensar los errores o fallas intencionales
Estas tablas de autorización deben ser protegidas contra el acceso al seguir los procedimientos prescritos. Estas revisiones son
no autorizado mediante contraseñas (passwords) adicionales particularmente importantes cuando las funciones en una
de protección o mediante de datos. En un registro de control organización pequeña no pueden ser segregadas debidamente.
debe registrarse la actividad de todos los usuarios y la gerencia Dichas revisiones ayudarán a detectar errores o irregularidades.
correspondiente debe revisar este registro. Todos los casos de
excepción deben ser investigados.
2.12 AUDITORÍA A LA ESTRUCTURA E
Controles compensatorios por falta de segregación de IMPLEMENTACIÓN DEL GOBIERNO DE TI
funciones
En negocios pequeños donde el departamento de SI puede estar Aunque son muchos los aspectos que le preocupan al auditor
constituido por sólo cuatro o cinco personas, debe existir medidas de SI cuando audita el funcionamiento de SI, algunos de los
de control compensatorio para mitigar el riesgo resultante de indicadores más significativos de los problemas potenciales
una falta de segregación de funciones. Antes de basarse en incluyen:
reportes generados por el sistema o en funciones como controles Actitudes desfavorables del usuario final.
compensatorios, el auditor de SI debe evaluar cuidadosamente los Costos excesivos
reportes, las aplicaciones y los procesos relacionados con SI en Gasto por encima del presupuesto
busca de controles apropiados, incluyendo pruebas y controles de Proyectos atrasados
acceso para hacer cambios a los reportes o a las funciones. Los Alta rotación de personal
controles compensatorios incluirían: Personal con poca experiencia
Errores frecuentes de HW/SW

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI CISA rstille
ejruár"
Exceso de solicitudes atrasadas de usuarios. reportan periódicamente a la alta dirección y/o los comités
Largo tiempo de respuesta de computadora. directivos. Los auditores de SI deben garantizar que estos
Numerosos proyectos de desarrollo interrumpidos o procedimientos formen parte de los procedimientos operativos.
suspendidos. Manuales de RR.HH.—Proveen las reglas y las regulaciones
Compras de HW/SW sin soporte o sin autorización. (determinadas por una organización) sobre cómo se espera que
Frecuentes ampliaciones de capacidad de HW/SW. sus empleados se conduzcan.
Informes de excepción largos Procedimientos de QA—Estos procedimientos proporcionan
Reportes de excepciones a los que no se les hizo seguimiento. el marco y los estándares que debe seguir el departamento
Motivación deficiente de SI.
Ausencia de planes de reemplazo.
Confianza en uno o dos miembros claves del personal. Además se deben valorar los diferentes documentos revisados
Falta de capacitación adecuada. para determinar si:
Fueron creados como lo autorizó la gerencia y como ésta quería
2.12.1 REVISIÓN DE LA DOCUMENTACIÓN que fueran creados.
La siguiente documentación debe ser revisada: Están vigentes y actualizados.
Las estrategias, planes y presupuestos de TI—Proveen
evidencia de planificación y control de gestión sobre el 2.12.2 REVISIÓN DE COMPROMISOS
ambiente de SI y el alineamiento con la estrategia del negocio. CONTRACTUALES
Documentación de políticas de seguridad—Provee Hay diferentes etapas para los contratos de hardware, software y
el estándar a cumplir. Debe establecer la posición de la servicio de SI que incluyen:
organización respecto de todos y cada uno de los riesgos Desarrollo de los requerimientos de contratación.
de seguridad. Debe identificar quién es responsable de Proceso de licitación de contratos
salvaguardar los activos de la compañía, incluyendo los Proceso de selección de contratos
programas y los datos. Debe establecer las medidas preventivas Aceptación de contratos
a tomarse para brindar la protección adecuada y las acciones Mantenimiento de contratos
que se deben seguir en contra de los transgresores. Por esta Cumplimiento de contratos
razón, esta parte del documento de política debe ser tratado
como un documento confidencial. Cada una de estas etapas debe estar respaldada por documentos
Cuadros organizativos/funcionales—Proveen al auditor de legales, sujeto a la autorización de la gerencia. El auditor de
SI una comprensión de la línea de subordinación dentro de un SI debe verificar la participación de la gerencia en el proceso
departamento u organización determinados. Ellos ilustran una de contratación y debe asegurar un nivel adecuado de revisión
división de responsabilidades y dan una indicación del grado de oportuna del cumplimiento del contrato. El auditor de SI podrá
segregación de funciones dentro de la organización. efectuar una revisión, por separado del cumplimiento en una
Descripciones de los puestos de trabajo—Definen las muestra de dichos contratos.
funciones y las responsabilidades de los cargos en toda la
organización. Estas proveen a la organización la capacidad de Al revisar una muestra de contratos, el auditor de SI debe evaluar
agrupar puestos de trabajo similares en distintos niveles de la adecuación de los siguientes términos y condiciones:
categoría para garantizar una compensación justa a la fuerza de Niveles de servicio.
trabajo. Además, las descripciones de los puestos de trabajo dan Derecho a auditar o reporte de auditoría de tercero.
una indicación del grado de segregación de funciones dentro de Poner el software en custodia de un tercero.
la organización y pueden ayudar a identificar las funciones de Penalizaciones por incumplimiento.
posible conflicto. Las descripciones de los puestos de trabajo Acatamiento de las políticas y procedimientos de seguridad.
deben identificar la posición a la que se subordina este personal. Protección de información de clientes.
El auditor de SI debe entonces verificar que los niveles de Proceso de cambio de contrato.
relación de subordinación estén basados en conceptos correctos Terminación de contrato y cualquier penalización apropiada.
del negocio y no afecten la segregación de funciones.
Reportes del comité directivo—Proveen información
Nota: Un auditor de SI debe estar familiarizado con el
documentada en relación con los nuevos proyectos de sistemas.
proceso de solicitud de propuesta (RFP) y conocer qué es lo
Estos reportes son revisados por la alta dirección y son
qüe necesita ser revisado en una RFP. También es importante
divulgados entre las diferentes unidades del negocio.
señalar que un. C1SA debe saber, desde la perspectiva de
Procedimientos de desarrollo de sistemas y de cambio de gobierno, los criterios de evaluación y la metodología de una
programas—Estos procedimientos proveen un marco dentro RFP, y los requerimientos para cumplir con los estándares
del cual emprender el desarrollo de sistemas o el cambio de organizacionales.
programas.
Procedimientos de operaciones—Estos procedimientos
describen las responsabilidades del personal de operaciones.
Los procedimientos de medición de desempeño generalmente
se encuentran dentro de los procedimientos operativos y se

C jsrdrtor Capítulo 2- Gobierno
cisAsynne y Gestión de TI Sección Dos: Contenido
>a oiNCOCollba.
2.13 PLANEACIÓN DE CONTINUIDAD DEL El BCP toma en consideración:

Las operaciones críticas que son necesarias para la
NEGOCIO supervivencia de la organización
Los recursos humanos/materiales que los soportan
El propósito de la continuidad del negocio/recuperación en caso de
desastre es permitir que una empresa continúe ofreciendo servicios Además del plan para la continuidad de las operaciones, el BCP
críticos en caso de que ocurra una interrupción y que sobreviva a incluye:
una interrupción desastrosa de las actividades. Es necesario contar El DRP que se utiliza para recuperar una instalación que se haya
con una planificación y un compromiso rigurosos de los recursos vuelto inoperable, incluyendo la reubicación de las operaciones
para prever tales eventos de forma adecuada. en una nueva ubicación
El plan de restauración que se utiliza para normalizar las
El primer paso en la preparación de un nuevo BCP es identificar los operaciones en una instalación restaurada o nueva
procesos de negocio de importancia estratégica, aquellos procesos
clave que son responsables del crecimiento del negocio y de la Dependiendo de la complejidad de la organización, podría
consecución de las metas del negocio. Lo ideal es que el BCP/DRP haber uno o más planes para tratar los diferentes aspectos de la
sea respaldado por una política ejecutiva formal que establezca continuidad del negocio y la recuperación ante desastres. Estos
el objetivo general de la organización en lo que respecta a la planes no necesariamente tienen que integrarse en un único plan.
recuperación y asigne atribuciones a las personas que participan Sin embargo, cada uno tiene que ser consistente con otros planes
en el desarrollo, las pruebas y el mantenimiento de los planes. para contar con una estrategia de BCP viable.
Basado en los procesos clave, el proceso de gestión de riesgos Es muy recomendable tener un plan integrado único para
debería comenzar con una evaluación de riesgos. El riesgo es asegurar que:
directamente proporcional al impacto sobre la organización y la todos los aspectos estén cubiertos.
probabilidad de que ocurra la amenaza percibida. Por lo tanto, la los recursos comprometidos se utilicen de la manera más
evaluación de riesgos debería permitir identificar lo siguiente: efectiva y exista la confianza de que, a través de su aplicación,
Los recursos humanos, los datos, los elementos de la la organización sobrevivirá a una interrupción.
infraestructura y otros recursos (incluyendo los proporcionados
por terceros) que respaldan los procesos clave Aun cuando procesos similares de la misma organización se
Una lista de las posibles vulnerabilidades, es decir, los peligros manejen en una ubicación geográfica diferente, las soluciones
o amenazas para la organización de BCP y DRP pudieran ser diferentes para escenarios diferentes.
La probabilidad estimada de que ocurran estas amenazas Las soluciones pudieran ser diferentes debido a requerimientos
La eficiencia y eficacia de los controles existentes de mitigación contractuales (por ejemplo, la misma organización está procesando
de riesgos (contramedidas para afrontar riesgos) una transacción en línea para un cliente y la back office está
procesando una transacción para otro cliente). Una solución
La gestión de estos riesgos se aborda en la preparación del BCP. de BCP para el servicio en línea será significativamente diferente
a la solución para el procesamiento de la back office.
La parte de operaciones del BCP debería tratar todas las funciones
y los activos requeridos para continuar como una organización 2.13.1 PLANEACIÓN DE CONTINUIDAD DEL NEGOCIO
viable. El grado de configuración de instalaciones alternativas es
una decisión de negocio basada en la gestión de riesgos. DE SI
En el caso de los planes de continuidad del negocio de SI, el
El enfoque está en la disponibilidad de procesos de negocio clave enfoque es el mismo que en el BCP con la excepción de que
para continuar con las operaciones en caso de que surja algún tipo está amenazado el procesamiento de SI. El procesamiento de
de interrupción. SI es de importancia estratégica—es un componente crítico
porque la mayoría de los procesos clave de negocios dependen
El BCP es básicamente responsabilidad de la alta gerencia, debido de la disponibilidad de los componentes y los datos de la
a que a ésta se le confió la protección de los activos y la viabilidad infraestructura de sistemas clave.
de la organización, tal como se definió en la política de BCP/DRP.
En general, las unidades de negocio y soporte siguen el BCP para El plan de continuidad del negocio de SI debe estar alineado con la
ofrecer un nivel de funcionalidad reducido pero suficiente en las estrategia de la organización. La criticidad de los diferentes sistemas
operaciones de negocio inmediatamente después de enfrentar una de aplicaciones de la organización depende de la naturaleza del
interrupción, mientras ocurre la recuperación. El plan debería negocio, así como del valor de cada aplicación para el negocio.
tratar todas las funciones y los activos requeridos para continuar
como una organización viable. Esto incluye procedimientos de El valor de cada aplicación para el negocio es directamente
continuidad considerados como necesarios para sobrevivir y proporcional al rol que desempeña el sistema de información
minimizar las consecuencias de la interrupción del negocio. en el apoyo a la estrategia de la organización. Los componentes
del sistema de información (entre ellos los componentes de la
infraestructura de tecnología) se asocian posteriormente con las
aplicaciones (por ejemplo, el valor de una computadora o una red
depende de la importancia del sistema de aplicaciones que la utiliza).

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI Certified Info
Ault • mation
or
Por lo tanto, el BCP/DRP del sistema de información es un

Nota: El candidato a CISA no sera evaluado con respecto al
componente principal de la estrategia general de continuidad del
calCulo real del analisis de riesgo; sin embargo, el auditor de SI
negocio y recuperación en caso de desastre de una organización.
debe estar familiarizado con el calculo del analisis de riesgo.
Si el plan de SI es un plan separado, debe ser consistente con y
apoyar el BCP corporativo.
Si la organización está dispuesta a investigar la magnitud
de las pérdidas que sufrirá el negocio por la interrupción, la
A lo largo de todo el proceso de planificación de la continuidad
organización puede llevar a acabo un BIA (explicado en otra
del negocio de SI (a veces mencionada como continuidad de los
sección de este manual). El BIA permite a la organización
servicios de TI), se debe tener en consideración el plan general de
determinar el máximo tiempo posible de inactividad para
continuidad del negocio de la organización: de nuevo, éste debe
una aplicación en particular y cuántos datos se podrían perder.
contar con el respaldo de la política ejecutiva. Todos los planes de
El BIA también permite a la organización cuantificar las
SI deben ser consistentes con y apoyar el BCP corporativo. Esto
pérdidas a medida que aumentan después de la interrupción,
significa que las instalaciones alternas de procesamiento que apoyan
con lo cual la organización puede tomar una decisión sobre
las operaciones clave deben estar preparadas, ser compatibles
la tecnología (y las instalaciones) utilizada para la protección
con la instalación original de procesamiento y contar con planes
y recuperación de sus activos de información clave (sistema
actualizados en lo que respecta a su uso.
de información, componentes de TI, datos, etc.).
Nuevamente, se deben tomar todas las medidas posibles para
Los resultados de la evaluación de riesgos y el BIA se incorporan
reducir o eliminar la probabilidad de una interrupción utilizando
a la estrategia de continuidad del negocio de SI, la cual describe
el método descrito en otras secciones de este Manual. Un ejemplo
la tecnología principal y los principios que sirven de base a
sería minimizar las amenazas al centro de datos considerando la
la protección y recuperación de SI, así como la directriz para
ubicación: no establecerlo en una llanura inundable, sobre una
implementar la tecnología y los principios.
falla sísmica ni cerca de un área donde se utilicen regularmente
dispositivos explosivos o materiales tóxicos. Otro ejemplo es
A medida que se ejecuta la estrategia de continuidad del negocio
utilizar topografías de red resilientes, como las de Bucle o Malla,
de SI y su estrategia global de TI, la estructura de TI de la
con instalaciones alternas de procesamiento ya integradas a la
organización cambia. Se introducen nuevas contramedidas para
infraestructura de red.
afrontar riesgos y las anteriores se vuelven obsoletas. El BCP del
sistema de información se debe cambiar según corresponda y
Desarrollar y probar el BCP/DRP del sistema de información es un
se debe volver a probar periódicamente para asegurar que estos
componente principal de la estrategia general de continuidad del
cambios sean satisfactorios.
negocio y recuperación en caso de desastre de una organización.
El plan se basa en el uso coordinado de las contramedidas para
Igual que cualquier BCP, un BCP del sistema de información es
afrontar riesgos que están disponibles para la organización (es decir,
mucho más que un plan para los sistemas de información. Un
instalación alterna de procesamiento, redes de datos redundantes,
BCP identifica lo que hará el negocio en caso de que suceda
equipos resilientes, sistemas de respaldo y recuperación, replicación
un desastre. Por ejemplo, adónde se reportarán los empleados
de datos, etc.). Si el plan de SI es un plan separado (o varios planes
para trabajar, cómo se tomarán los pedidos mientras se restablece
separados), debe ser consistente con y apoyar el BCP corporativo.
el sistema informático, a cuáles proveedores se llamará para que
suministren las provisiones necesarias. Un subcomponente del BCP
Establecer dependencias entre los procesos críticos de negocio, las
es el plan de recuperación de TI en caso de desastre. Normalmente
aplicaciones, el sistema de información y los componentes de la
detalla el proceso que utilizará el personal de TI para restablecer
infraestructura de TI es uno de los pasos de la evaluación de riesgos.
los sistemas informáticos, las comunicaciones, las aplicaciones y
El mapa de dependencias resultante con las amenazas para y las
sus datos. Los planes de recuperación en caso de desastre (DRP)
vulnerabilidades de los componentes/dependencias (junto con las
se pueden incluir en el BCP o como un documento separado,
aplicaciones clave agrupadas por su criticidad) es el resultado de la
dependiendo de las necesidades del negocio.
evaluación de riesgos.
No todos los sistemas requerirán una estrategia de recuperación.
Una vez que la evaluación de riesgos identifica la importancia
Basándose en los resultados de la evaluación de riesgos y el
de los componentes de SI para la organización, y las amenazas y
BIA, la gerencia podría considerar que no es conveniente desde el
las vulnerabilidades de esos componentes, se puede desarrollar
punto de vista económico restaurar ciertas aplicaciones en caso de
un plan de acciones correctivas para establecer los métodos más
desastre. Un factor primordial cuando se determinan las opciones
apropiados para proteger los componentes. Siempre hay diferentes
de recuperación es que el costo nunca debe exceder el beneficio
opciones de mitigación de riesgos para escoger (contramedidas
(esto suele determinarse claramente después de un BIA).
para afrontar riesgos), bien sea para eliminar la amenaza y/o
corregir la vulnerabilidad.
La recuperación de SI en caso de desastre suele ocurrir en
circunstancias poco comunes y estresantes (incendio, inundación,
El riesgo se puede calcular bien sea de forma cualitativa
devastación por huracán). Con frecuencia sucede que los
(asignando valores cualitativos al impacto de la amenaza y
controles de seguridad (tanto físicos como de SI) no funcionan.
su probabilidad) o cuantitativa (asignando valor monetario al
Por lo tanto, se recomienda que la organización implemente un
impacto—es decir, la pérdida—y asignando una probabilidad).
sistema de gestión de la seguridad de la información (ISMS) para

C
CISA =1=1 Capítulo 2- Gobierno y Gestión de TI Sección Dos: Contenido
mantener la integridad, confidencialidad y disponibilidad del SI, y Basándose en la evaluación de riesgos, se formulan escenarios
no solamente bajo condiciones normales. del peor caso y estrategias de contingencia a largo y corto plazo
dentro de la estrategia de continuidad del negocio de SI para luego
2.13.2 DESASTRES Y OTROS EVENTOS QUE PUEDEN incorporarlos en el BCP (u otro plan). A corto plazo, se puede
requerir una instalación de procesamiento alterna para satisfacer
CAUSAR INTERRUPCIONES
necesidades operativas inmediatas (como en el caso de un desastre
Los desastres son interrupciones que causan que recursos de natural). A largo plazo, se debe identificar una nueva instalación
información críticos queden inoperantes durante un período, permanente para recuperación en caso de desastre, y esta se
afectando de manera adversa las operaciones organizacionales. debe equipar para proporcionar continuidad de los servicios de
La interrupción podría durar de algunos minutos a varios procesamiento de SI regularmente.
meses, dependiendo del grado del daño causado al recurso de
información. Es importante conocer que, ante situaciones de Enfrentar daños a imagen, reputación o marca
desastre, es necesario desplegar esfuerzos de recuperación para Los rumores perjudiciales pueden surgir de muchas fuentes
restaurar el estado operacional. (incluso internas). Pueden estar o no relacionados con un
incidente serio o crisis. Independientemente de que sean
Un desastre pudiera ser el resultado de desastres naturales, "espontáneos" o un efecto colateral de un problema de
como terremotos, inundaciones, tornados, tormentas eléctricas continuidad del negocio o recuperación ante desastres, sus
severas e incendios, que causan daños extensos a la instalación consecuencias pueden ser devastadoras. Una de las peores
de procesamiento y a la localidad en general. Otros eventos consecuencias de las crisis es la pérdida de confianza.
desastrosos que causan interrupciones pueden ocurrir cuando los
servicios esperados, como energía eléctrica, telecomunicaciones, Las actividades efectivas de relaciones públicas (RP) en una
suministro de gas natural u otro servicio público, ya no estén organización pueden desempeñar un papel importante en la
disponibles para la compañía debido a un desastre natural u otra tarea de contener el daño a la imagen y asegurar que la crisis no
causa. Un desastre podría ser también el resultado de eventos empeore. Ciertas industrias (por ejemplo, bancos, organizaciones
causados por seres humanos, tales como ataques terroristas, de servicios de salud, aerolíneas, refinerías petroleras, productos
ataques de intrusos informáticos, virus o error humano. químicos, transporte, plantas de energía nuclear u otras
organizaciones con impacto social relevante) deberían contar
No todas las interrupciones fisicas del servicio son causadas por con protocolos elaborados para tratar accidentes y catástrofes.
un desastre. Por ejemplo, la interrupción del servicio algunas
veces es causada por desperfectos del sistema, eliminaciones de Una organización que experimente un incidente importante
archivos por accidente, versiones de aplicaciones que no han sido debería considerar y aplicar algunas mejores prácticas básicas.
probadas, pérdida de los datos de respaldo, ataques de negación Independientemente de las consecuencias objetivas resultantes
de servicio (DoS) de red, intrusiones y virus. Estos eventos de un incidente (demora o interrupción de servicio, pérdidas
pueden requerir acciones para recuperar el estado operacional económicas, etc.), de existir alguna, una opinión pública negativa o
a fin de reanudar el servicio. Las acciones pueden necesitar del rumores negativos pueden ser costosos. Reaccionar apropiadamente
restablecimiento del hardware, software o archivos de datos. en público (o ante los medios) durante una crisis no es simple.
Es necesario designar y preparar con antelación a un portavoz
Muchas interrupciones comienzan con simples incidentes. entrenado para estos casos. En general, un asesor legal senior o
Normalmente, si la organización posee un centro de soporte un funcionario de relaciones públicas es la mejor opción. Nadie,
(help desk) o un centro de servicio, éste actuará como el sistema independientemente de su rango en la jerarquía organizacional,
de advertencia temprana para reconocer las primeras señales excepto el portavoz, debería emitir declaraciones públicas.
de una interrupción inminente. A menudo, tales interrupciones
(por ejemplo, un rendimiento de la base de datos que desmejora Como parte de la preparación, el portavoz debería redactar y
gradualmente) pasan desapercibidas. Hasta que estallan estos guardar en archivo un comunicado general con espacios en blanco
"desastres progresivos" (la base de datos se detiene), sólo causan que se llenarán con datos específicos de cada circunstancia. Este
quejas esporádicas de parte de los usuarios. procedimiento no debería eludirse debido a la improvisación o
presión del tiempo. El comunicado no debería establecer las causas
Por lo tanto, se debe implementar un sistema bien definido de del incidente, sino indicar que se inició una investigación y que se
escalamiento de incidentes basado en riesgos para determinar si reportarán los resultados. No se deberían asumir responsabilidades.
un evento perjudicial específico requiere invocar el BCP o el DRP No se debería responsabilizar al sistema o al proceso.
de TI.
Un buen BCP tendrá en cuenta todos los tipos razonables de Neta: Aunque tratar los daños a la imagen, reputación o marca
eventos significativos que pueden tener impacto sobre las es una preocupación de muchas organizaciones públicas, el
instalaciones criticas de procesamiento de SI y las funciones candidato a CISA no será sometido a prueba sobre este tema.
normales de usuarios finales.
Manual de Preparación al Examen COSA 2011 133

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI Catinga Information
CISA Systems /amor
2.13.3 PROCESO DE PLANIFICACIÓN DE El BCP (o DRP de TI) es el control correctivo más crítico. Depende
de que otros controles sean efectivos; en particular, depende de la
CONTINUIDAD DEL NEGOCIO
gestión de incidentes y de las soluciones de respaldo y recuperación.
El proceso de BCP puede dividirse en las fases de ciclo de vida
que se muestran en la figura 2.13. Los incidentes y sus impactos se pueden, hasta cierto punto,
mitigar a través de controles preventivos. Estas relaciones se
2.13.4 POLÍTICA DE CONTINUIDAD DEL NEGOCIO describen en la figura 2.14.
Una política de continuidad del negocio es un documento aprobado
por la alta gerencia que define la magnitud y el alcance del esfuerzo Esto requiere que el grupo de gestión de incidentes (centro de
de continuidad del negocio (un proyecto o un programa continuo) servicio) esté adecuadamente dotado de personal, respaldado y
dentro de la organización. La política de continuidad del negocio capacitado en gestión de crisis, y que el BCP esté bien diseñado,
se puede dividir en dos partes: pública e interna. La política de documentado, probado en profundidad, financiado y auditado.
continuidad del negocio sirve para otros diversos propósitos:
Su parte interna es un mensaje para las partes interesadas de la 2.13.5 GESTIÓN DE INCIDENTES EN LA
organización (por ejemplo, empleados, gerencia, directores) de
PLANIFICACIÓN DE LA CONTINUIDAD DEL NEGOCIO
que la compañía realiza esfuerzos, compromete sus recursos y
espera que el resto de la organización haga lo mismo. Los incidentes y las crisis son dinámicas por naturaleza.
Su parte pública es un mensaje para las partes interesadas Evolucionan, cambian en el tiempo y según las circunstancias y a
externas (accionistas, reguladores, autoridades, etc.) de que la menudo son rápidos e imprevisibles. En vista de esto, su gestión
organización se toma en serio sus obligaciones (por ejemplo, debe ser dinámica, proactiva y bien documentada. Un incidente
prestación de servicios, cumplimiento). es cualquier evento inesperado, aun cuando no cause daños
Es una declaración para la organización que empodera a los significativos.
responsables de la continuidad del negocio.
Puede establecer de manera amplia los principios generales en Dependiendo de una estimación del nivel del daño a la organización,
los cuales se basa la continuidad del negocio. es necesario categorizar todos los tipos de incidentes. Un sistema de
clasificación podría incluir las siguientes categorías: insignificante,
Una política de continuidad del negocio debe ser proactiva. menor, mayor y crisis. La clasificación puede cambiar de manera
El mensaje que se debe transmitir a la organización es que se dinámica mientras se resuelve el incidente. Estos niveles pueden
tienen que usar todos los controles posibles para detectar y evitar describirse como sigue:
interrupciones y que, aunque ocurran, se deben tener los controles Los incidentes insignificantes son los que causan daños
necesarios para mitigar las consecuencias. Posteriormente, esto no perceptibles o significativos, tales como colapsos muy
se refleja en la estrategia de continuidad del negocio de SI y en su breves del sistema operativo (SO) con recuperación total de
ejecución. Existen controles preventivos y detectivos para reducir información o cortes momentáneos de energía con suministro
la probabilidad de una interrupción y controles correctivos para permanente de energía (UPS).
mitigar las consecuencias. Los eventos menores son los que, aunque no sean insignificantes,
no generan impactos materiales (de importancia relativa) o
financieros negativos.
Figura 2.13—Ciclo de vida de la planificación de la continuidad del negocio
f.- Planificación del

-\ 7—
Monitoreo,
Pruebas
proyecto (política mantenimiento
de BC, alcance
•
y actualización
41111-- del plan
de BC
del proyecto) } del plan de BC
1
1 Desarrollo
del plan
Ciclo de vida de la de BC
Evaluación y análisis planificación de continuidad
de riesgos
del negocio
•
Análisis de
BC
Plan
Development
Estrategia de
impacto del desarrollo de BC
negocio Ejecución de estrategia
(implementación de
contramedidas para
enfrentar riesgos). j

C nag" Capítulo 2 - Gobierno y Gestión de TI

entrdiltor
cisix sys Sección Dos: Contenido
. i
Los incidentes mayores causan un impacto material negativo pueden establecer el tiempo improductivo máximo y los estimados
sobre los procesos de negocio y pueden afectar otros sistemas, de recuperación. Aunque no es siempre cierto, la severidad suele
departamentos o incluso clientes externos. basarse en gran medida en el tiempo improductivo estimado. Otros
La crisis es un incidente mayor que puede tener un impacto material criterios pueden incluir el impacto sobre datos o plataformas y
(de importancia relativa) serio sobre el funcionamiento permanente el grado en el cual el funcionamiento de la organización sufre un
del negocio y pudiera afectar de manera adversa otros sistemas impacto adverso. Un enfoque conservador e infalible seria asignar
o a terceros. La severidad del impacto depende de la industria y a cualquier incidente significativo un nivel inicial de severidad
circunstancias, pero en general es directamente proporcional al provisional (ver la figura 2.15). A medida que el incidente
tiempo transcurrido desde el inicio del incidente hasta su solución. evoluciona, este nivel debe ser revaluado regularmente por la
persona o el equipo a cargo, al que comúnmente se hace referencia
como equipo de respuesta a incidentes o "firecall".
Es necesario documentar, clasificar y revisar los incidentes
menores, mayores y de crisis hasta que se corrijan o resuelvan. 2.13.6 ANÁLISIS DE IMPACTO DEL NEGOCIO
Es un proceso dinámico, debido a que un incidente mayor puede
disminuir en grado momentáneamente y extenderse luego para El BIA es un paso critico en el desarrollo de la estrategia de
continuidad del negocio y la subsiguiente implementación de las
convertirse en una crisis.
contramedidas de riesgo y el BCP en particular.
Los incidentes insignificantes se pueden analizar en términos El BIA se utiliza para evaluar los procesos críticos (y
estadísticos para identificar cualquier causa sistémica o evitable. componentes de TI que los respaldan) y para determinar marcos
de tiempo, prioridades, recursos e interdependencias. Incluso
La figura 2.15 muestra un ejemplo de un sistema de clasificación si se ha realizado una extensa evaluación de riesgos antes del
de incidentes y protocolo de reacción. BIA, y la criticidad y los riesgos se incluyen en el BIA, la regla
general es verificar dos veces. Comúnmente, el BIA descubre
El director de seguridad (SO) u otro individuo designado debe algún componente menos visible, pero aun así vital, que respalda
ser notificado de todos los incidentes relevantes tan pronto como el proceso de negocio crítico. En los casos en que se hayan
cualquier evento desencadenante ocurra. Luego, esta persona externalizado actividades de TI a proveedores de servicio,
debe seguir un protocolo de escalamiento pre-establecido también se deben considerar los compromisos contractuales (en el
(por ejemplo, llamar a un portavoz, alertar a la alta gerencia e contexto de un BCP).
involucrar a las agencias regulatorias), el cual puede estar seguido
por la invocación de un plan de recuperación, como el DRP de Para cumplir esta fase con éxito, se debe alcanzar una comprensión
tecnología de la información. de la organización, los procesos clave del negocio y los recursos de
SI utilizados por la organización para respaldar los procesos clave
En general, el principal criterio de severidad (nivel) de incidentes del negocio. Por lo general, esto se obtiene a partir de los resultados
es el estimado de tiempo improductivo de servicio. Otros de la evaluación de riesgos. El BIA requiere un alto grado de
criterios pueden incluir cuán extenso es el impacto sobre datos respaldo por parte de la alta gerencia y una amplia participación del
o plataformas. El servicio se puede definir como compromisos personal de TI y de usuario final. La criticidad de los recursos de
incluyentes con clientes que pueden ser consumidores externos o información (por ejemplo, aplicaciones, datos, redes, software del
departamentos internos. Generalmente, la prestación de servicios sistema, instalaciones) que respaldan los procesos de negocio de una
es regulada por acuerdos de nivel de servicio (SLAs), los cuales organización deben ser aprobados por la alta gerencia.
Figura 2.14 -Diagrama de relación entre incidente e impacto
Controles
(contramedidas
para enfrentar
riesgos)

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI emsl
cerr
CISA sys latbn
Aror
Figura 2.15—Niveles de incidente/crisis
REACCIONES ANTE LOS NIVELES DE INCIDENTES/CRISIS
CRITE PRINCIPAL CRITERIOS COIVE*LEA.NTARIOS

(En horas)
i NIVEL Tiempo Fuere de Sarvicto
PitOttó a-rico ACTUAL
DATOS cuy
24
CASA
24 12
12 p a
INC.,TANTE
MAYOR 4 Anea ERSEPPE,
1NC :DENTE
MENOR
NO 31:114EICATRO
NIVEL 2 ACCIONES
CRA A
7 ~ir el Plan de Continuidad del NEOU:10 a Agenedes regionales
" el Plan. de Contlnuklad del N fa ar al a
mc,;;EATE
ar
mAyoll 4 Alertar al Skri
S al
iNc,DENTE
MENOR
NO E 14FICA1
.....==i .
, Senior 62 (AdrinIstsadar Senior)

C*) SO: SEEUrEY Mear al de Seguridad/
Fuente: Personas & Técnicas Multimedia SL O 2007. Todos los derechos reservados. Usado con autorización.
Para el BIA, es importante incluir todos los tipos de recursos de mismas técnicas, para asignar el valor financiero a la banda de
información y ver más allá de aquellos tradicionales (por ejemplo, impacto particular.
servidores de base de datos).
Además, los datos del BIA se pueden recolectar en las ventanas
Los sistemas de información constan de múltiples componentes. de tiempo necesarias para suministrar recursos vitales cuánto
Algunos de los componentes (por ejemplo, servidores de base de tiempo puede funcionar la organización si se daña un suministro o
datos o matrices de almacenamiento) son bastante visibles. Otros cuándo llegó el reemplazo. Por ejemplo, ¿cuánto tiempo funcionará
(por ejemplo, pasarelas (gateways), servidores de transporte, el banco sin tarjetas plásticas con chips para personalizarlos en
dispositivos de red) pueden quedar fuera de alcance y permanecer las tarjetas de crédito o cuándo necesitará TI que se traigan las
"invisibles". Por ejemplo, una aplicación de banca no puede estaciones de trabajo de escritorio después de un desastre?
realizar sus servicios si las pasarelas (gateways) de pago no están
activas. Con frecuencia, las partes vitales de la aplicación o los
Existen diferentes enfoques para realizar un BIA. Uno de los
datos críticos pueden residir en las estaciones de trabajo del
enfoques populares es el cuestionario. Este enfoque involucra
usuario. Idealmente, al completarse el BIA, estos componentes
"ocultos" se deben descubrir e incluir en el campo del programa el desarrollo de un cuestionario detallado y su distribución a los
(proyecto) de continuidad del negocio para incorporarlos usuarios clave en las áreas de TI y usuario final. La información
posteriormente en el BCP. recopilada se tabula y analiza. En caso de que se requiera
información adicional, el equipo de BIA contactaría a los usuarios
relevantes para obtener esa información. Otro enfoque popular es
Nota: El auditor de Si debería poder evaluar el BIA. El entrevistar a grupos de usuarios clave. La información recopilada
enunciado de tarea en la práctica laboral establece: evaluar. durante estas sesiones de entrevistas se tabula y analiza para
el BCP de la organización para asegurar su capacidad de desarrollar un plan de BIA y estrategia detallados. Un tercer
continuar con operaciones empresariales esenciales durante enfoque es reunir a miembros del personal de TI y usuarios
el período de una interrupción de TI. El auditor necesita saber finales relevantes (es decir, los que son dueños de los procesos
en qué consiste e/ desarrollo de un BIA, de manera de poder críticos) en una habitación para llegar a una conclusión sobre el
evaluarlo apropiadamente. Sin embargo, el candidato a CISA impacto potencial de varios niveles de interrupciones sobre el
no será sometido a prueba sobre cómo se realiza un BIA o negocio. El último método se puede utilizar después de recolectar
qué método se utiliza para realizar un BIA. todos los datos. Un grupo mixto decidirá rápidamente sobre el
tiempo improductivo aceptable y los recursos vitales.
La información que se recolecta para el BIA proviene de
diferentes partes de la organización, la cual posee aplicaciones/ De ser posible, los auditores de SI deberían analizar el volumen
procesos críticos. Para evaluar el impacto de tiempo improductivo de transacciones pasado al determinar el impacto sobre el negocio
para un proceso/aplicación particular, se desarrollan las bandas si el sistema no estuvo disponible durante un largo período. Esto
de impacto (por ejemplo, alto, medio, bajo) y, para cada proceso, sustentaría el proceso de entrevistas que los auditores de SI realiza
el impacto se estima en tiempo (horas, días, semanas). El mismo para ejecutar el BIA.
enfoque se usa al estimar el impacto de la pérdida de datos. Si es
necesario, el impacto financiero se puede estimar utilizando las

itorn Capítulo 2- Gobierno y Gestión de TI
..ISAZutefint rur Sección Dos: Contenido
mem/emulo,.
Las tres preguntas principales que deberían considerarse durante

la fase de BIA se muestran en la figura 2.16. Figura 2.17—Costos de interrupción vs. costos de recuperación
Operaciones
Descontinuadas
Figura 2.16 -Consideraciones del BIA Costos
1. ¿Cuáles son los diferentes procesos del negocio? Cada proceso debe
ser evaluado para determinar su importancia relativa. Las indicaciones
de criticidad incluyen, por ejemplo:
El proceso respalda asuntos de salud y seguridad, tales como registros Total
de pacientes hospitalizados y sistemas de control de tráfico aéreo
La interrupción del proceso causa una pérdida de ingresos a la Tiempo fuera de servicio
organización o costos excepcionales inaceptables Mínimo
El proceso cumple con requerimientos legales o estatutarios
El número de segmentos del negocio o número de usuarios afectados Estrategias de
Recuperación
Alternativas
Un proceso puede ser crítico o no crítico dependiendo de factores tales
como tiempo de operación y modo de operación (por ejemplo, horas Tiempo
hábiles u operaciones de cajeros automáticos).
El otro factor es el costo de las medidas correctivas alternativas
2. ¿Cuáles son los recursos de información críticos relacionados con los (la activación del BCP), que disminuye con el objetivo elegido
procesos del negocio críticos de una organización? Esta es la primera para el tiempo de recuperación. El costo de recuperación también
consideración ya que la interrupción de un recurso de información no tiene muchos componentes (la mayoría de los cuales rígidos--
es un desastre de por sí, a menos que esté relacionado con un proceso inelásticos). Esto incluye el costo de preparación y prueba periódica
del negocio crítico. Por ejemplo, una organización pierde su ingreso, lo del BCP, el costo de instalaciones de almacenamiento fuera del sitio,
que genera procesos del negocio debido a una falla de SI.
el costo de cobertura de seguro, el costo anual de configuración de
sitios alternativos, etc. Las estrategias de recuperación alternativas
Otros ejemplos de procesos del negocio críticos pueden incluir:
pueden representarse mediante puntos, utilizando coordenadas como
Recepción de pagos
intervalo de tiempo y costo.
Producción
Pago de empleados Al identificar estos costos, la figura 2.17 muestra también la
Publicidad suma de las curvas de costos como total de costos (interrupción
Despacho de productos terminados y recuperación), en cuyo caso una organización desea encontrar
Cumplimiento con las leyes y regulaciones el punto en el cual se puede minimizar el costo total. Para esto,
se evalúan las estrategias de desarrollo alternativas, en cuyo
3. ¿Cuál es el período de tiempo de recuperación crítico para recursos caso, con algunas estrategias discretas, se puede dibujar la curva
de información en el cual los procesos del negocio se deben reanudar descendente y cada punto en la curva representaría una posible
antes de sufrir pérdidas significativas o inaceptables? En gran
estrategia. La curva como un todo representa todas las estrategias
medida, la duración del período de tiempo de recuperación depende
posibles. Cada estrategia posible tiene un costo fijo, es decir, no
de la naturaleza del negocio o servicio interrumpido. Por ejemplo, las
cambia en el tiempo. Note que el costo fijo de cada estrategia
instituciones financieras, tales como bancos y casas de corretaje,
suelen tener un período de tiempo de recuperación crítico mucho más posible puede diferir; en general, mientras más corta sea la
corto que las fábricas. Igualmente, el momento del año o el día de la recuperación objetivo, más alto será el costo fijo. La organización
semana pueden afectar la ventana de tiempo de recuperación. Por paga el costo de implementación, aun cuando no ocurran
ejemplo, un banco que experimenta una interrupción importante el accidentes. Si existe un accidente, los costos variables aumentarán
sábado a medianoche tiene más tiempo para recuperarse que el lunes significativamente (por ejemplo, su contrato de "warm site"
a medianoche, suponiendo que el banco no realiza procesos el lunes. puede contemplar una cuota anual plana más una cuota diaria por
ocupación real) debido a la necesidad de personal adicional, horas
Para tomar esta decisión, es necesario considerar dos factores extra, transporte y otros problemas logísticos (por ejemplo, per
de costo independientes, tal como se muestra en la figura 2.17. diem, nuevas líneas de comunicación).
Uno es el costo del tiempo fuera de servicio del desastre. Este
componente, en el corto plazo (por ejemplo, horas, días, semanas), Si la estrategia de continuidad del negocio busca un tiempo de
recuperación más largo, será menos costosa que una estrategia de
crece rápidamente en el tiempo, en cuyo caso el impacto de una
tiempo más reducido, pero puede ser más susceptible a que los
interrupción aumenta a medida que se extiende su duración. En
costos de tiempo fuera de servicio salgan de control.
un momento determinado, deja de crecer, reflejando el momento
o punto en que el negocio ya no puede funcionar. El costo del Uno de los resultados importantes del BIA, aparte del RTO y
tiempo fuera de servicio (que crece en el tiempo) tiene muchos RPO (ver abajo), es que proporciona una manera de agrupar
componentes (dependiendo de la industria y la compañía y sistemas de información de acuerdo a su tiempo de recuperación.
circunstancias específicas), entre éstos: costo de recursos inactivos Esto suele servir como guía en la selección de soluciones tecnológicas
(por ejemplo, en producción), caída en las ventas (por ejemplo, (es decir, controles) que soportan la continuidad del negocio y la
órdenes), costos financieros (por ejemplo, no hay facturación recuperación en caso de desastre de TI.
ni recolección), demoras (por ejemplo, adquisición) y costos
indirectos (por ejemplo, pérdida de participación de mercado, A continuación se indica terminología que el auditor de SI
imagen y buen nombre). puede encontrar asociada con el desarrollo de una estrategia

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI cisA Cerdfled In om
Afuci tation
nor
de recuperación a través de BIA: RTO, RPO, ventana de La próxima fase en la gestión de la continuidad es identificar
interrupción, máximo tiempo tolerable de inoperatividad (MTO) y las diversas estrategias de recuperación y alternativas posibles
objetivo de prestación de servicios (SDO). para recuperarse cuando ocurre una interrupción y/o desastre.
La selección de una estrategia apropiada, basada en el BIA y el
En resumen, es necesario minimizar la suma de todos los análisis de criticidad, es el siguiente paso para desarrollar los planes
costos—tiempo fuera de servicio y recuperación. El primer de continuidad del negocio (BCP) y planes de recuperación en caso
grupo (costos de tiempo fuera de servicio) aumenta en el tiempo, de desastre (DRP). Las dos métricas que ayudan a determinar las
mientras que el segundo (costos de recuperación) disminuye en estrategias de recuperación son el RPO y el RTO.
el tiempo; la suma es generalmente una curva en U. En la parte
inferior de la curva en U, se puede encontrar el costo más bajo.
Las estrategias de recuperación se describen detalladamente en el
capítulo 4.
Nota: El candidato a CISA no se someterá a prueba de
cálculos de costos. 2.13.7 DESARROLLO DE PLANES DE CONTINUIDAD
Clasificación de operaciones y análisis de criticidad DEL NEGOCIO

¿Qué es la clasificación de riesgo del sistema? Involucra una Tomando en cuenta las entradas que se reciben del BIA, los
determinación de riesgo basada en el impacto derivado del análisis de criticidad y la estrategia de recuperación seleccionada
periodo de tiempo de recuperación crítico, así como también por la gerencia, se deberían desarrollar o revisar los BCP y DRP
la posibilidad de que ocurra una interrupción adversa. Muchas detallados. Se deberían tratar todos los problemas concernientes
organizaciones utilizarán un riesgo de ocurrencia para determinar al alcance de la continuidad del negocio relacionados con
un costo razonable de preparación. Por ejemplo, pueden la interrupción de los procesos de negocios, incluyendo la
determinar que existe un riesgo de 0.1 por ciento (o 1 en 1,000) recuperación después de un desastre. Los diferentes factores
de que en los próximos cinco años la organización sufrirá una que se deben considerar cuando se desarrolla/revisa el plan son
seria interrupción. Si el impacto evaluado de una interrupción es los siguientes:
US $10 millones, el costo razonable máximo de estar preparado Capacidad para actuar antes de que ocurran desastres, que cubra
puede ser de US $10 millones x 0.1 por ciento = US $10,000 el manejo de la respuesta a incidentes con el fin de resolver
durante cinco años. Este método se llama Expectativa de pérdidas correctamente todos losincidentes relevantes que afecten los
anuales (ALE). En este proceso de análisis basado en el riesgo, procesos de negocios
la priorización de sistemas críticos puede ocurrir al desarrollar Procedimientos de evacuación
estrategias de recuperación. El procedimiento de clasificación de
Procedimientos para la declaración de un desastre
riesgo se debería realizar en coordinación con el procesamiento
(procedimientos de escalamiento)
de SI y el personal de usuario final.
Circunstancias bajo las cuales se debe declarar un desastre.
Un sistema característico de calificación de riesgos puede Todas las interrupciones no representan desastres, por un
contener las clasificaciones que aparecen en la figura 2.18. mínimo incidente si no se manejan a tiempo o de una manera
adecuada, podrían conducir a un desastre. Por ejemplo, el ataque
de un virus que no se reconoce y se ha mantenido por algún
Figura 2.18—Clasificación de sistemas
tiempo puede destruir toda la instalación de TI.
Clasificación Descripción La identificación clara de las responsabilidades en el plan
Crítica No se pueden realizar estas funciones a menos
La identificación clara de las personas responsables para cada
que se reemplacen por capacidades idénticas. función en el plan
No se pueden reemplazar las aplicaciones críticas La identificación clara de la información sobre el contrato
con métodos manuales. La tolerancia a las La explicación paso a paso del proceso de recuperación
interrupciones es muy baja; por lo tanto, el costo La identificación clara de los diferentes recursos que se
de interrupción es muy alto. requieren para la operación de recuperación y continuidad
Vital Estas funciones se pueden realizar manualmente, de la organización
pero sólo por un breve período de tiempo. Existe
una mayor tolerancia a la interrupción que con los El plan debe estar documentado y escrito en un lenguaje sencillo
sistemas críticos y, por consiguiente, los costos de y fácil de entender.
interrupción resultan un tanto más bajos, siempre
que las funciones se restauren dentro de cierto lapso Es común identificar los equipos de personal que son responsables
de tiempo (por lo general cinco días o menos). de tareas específicas en caso de desastre. Se deben formar equipos
Sensitivas Estas funciones se pueden realizar manualmente, importantes. Sus responsabilidades se explican más adelante. Se
a un costo aceptable y por un período de tiempo deben mantener copias del plan fuera del sitio. El plan se debe
prolongado. Aunque se puede realizar manualmente, estructurar de modo tal que sus partes puedan ser fácilmente
generalmente es un proceso difícil y se requiere manejadas por diferentes equipos.
personal adicional para ejecutarlo.
No sensitivas Estas funciones se pueden interrumpir por un 2.13.8 OTROS PROBLEMAS EN EL DESARROLLO DE
período de tiempo prolongado, a un costo bajo o nulo
LOS PLANES
para la compañía y requieren poco o ningún esfuerzo
de actualización cuando se restauran. El personal que deberá reaccionar a la interrupción o desastre
es aquel responsable por los recursos más críticos. Por

CsAcsy. . 'n'
erred u:Igen Sección Dos: Contenido
Capítulo 2- Gobierno y Gestión de TI
MILCOrCerMance
O
consiguiente, la participación de la gestión de usuario es vital Metas/requerimientos/productos para cada fase.

para el éxito en la ejecución del BCP. La participación de la Instalaciones alternas para realizar las tareas y operaciones
gestión de usuario es esencial para la identificación de sistemas Recursos de información crítica que se van a implementar
críticos, sus correspondientes tiempos de recuperación y la (p.ej. datos y sistemas).
especificación de los recursos necesarios. Las tres principales Personas responsables de llevarlas a cabo.
divisiones que requieren participación en la formulación del Recursos (incluso humanos) disponibles para ayudar en
BCP son los servicios de apoyo (quienes detectan las primeras su implementación
señales de incidentes o desastres), las operaciones comerciales Programa de actividades con prioridades establecidas
(quienes pudieran verse afectadas a raíz del incidente) y el
apoyo en el procesamiento de la información (quién correrá la Muchos BCP son creados como procedimientos que albergan
recuperación). los sistemas de recuperación de la información (es decir:
almacenamiento de datos, servidores, etc.), estaciones de
Debido a que el propósito subyacente del BCP es la recuperación trabajo de usuario, otros equipos determinados (lectores de
y el restablecimiento de las operaciones comerciales, es esencial tarjetas, scanners de códigos de barras, impresoras, etc.) y la
considerar a toda la organización, no solamente los servicios de red (canales, equipo). Las copias del plan deberían mantenerse
procesamiento IS, en el desarrollo del plan. Cuando no exista un fuera del establecimiento: en la instalación de recuperación, en la
plan BCP uniforme en toda la organización, debería ampliarse el instalación de almacenamiento de medios y posiblemente en las
plan para el procesamiento IS a fin de incluir la planificación para casas del personal clave en la toma las decisiones. Cada vez con
todas las divisiones y unidades que dependen de las funciones de mayor frecuencia, una organización coloca la versión electrónica
procesamiento de los sistemas de información. del plan en un sitio web duplicado.
En la formulación del plan, deberían asimismo incluirse los Personal clave para la toma de decisiones
siguientes aspectos: El plan debería contener una lista telefónica o "árbol de llamadas", es
Lista del personal, con información de contacto, necesaria para decir, un directorio de notificación, del personal IS clave en la toma
mantener las funciones críticas del negocio a corto, mediano y de decisiones y del personal de usuario final, que se requieran para
largo plazo. emprender y llevar a cabo los esfuerzos de recuperación. Usualmente
Configuración de las instalaciones del edificio, escritorios, se trata de un directorio telefónico de personas que deberían ser
sillas, teléfonos, etc., que se requieren para mantener las notificadas en el caso de un incidente, desastre o catástrofe. El punto
funciones críticas del negocio a corto, mediano y largo plazo. de atención en la preparación de la lista es que en caso de un desastre
Los recursos requeridos para reanudar/continuar las operaciones de envergadura, incendio o explosión en horas laborables que dañe
(no necesariamente recursos de TI y ni siquiera de tecnología, seriamente las oficinas de la organización, muchos líderes de equipo
como por ejemplo los materiales con el membrete de la compañía) pudieran no estar disponibles.
2.13.9 ELEMENTOS DE UN PLAN DE CONTINUIDAD DEL Este directorio debe contener la siguiente información:
Lista de contactos por orden de prioridad (es decir, ¿A quién
NEGOCIO
debería llamarse primero?)
Dependiendo del tamaño o los requerimientos de una Números telefónicos y direcciones principales y para
organización, un BCP puede constar de uno o más documentos. emergencias por cada persona crítica de contacto. Usualmente
serán los líderes clave de equipo quienes se encarguen de
Esto debe incluir: comunicarse con los integrantes de sus equipos.
Plan de continuidad de las operaciones Números telefónicos y direcciones de representantes de
DRP proveedores de equipo y software.
Plan de restablecimiento del negocio Números telefónicos de contactos dentro de compañías que se
hayan designado para proporcionar servicios, equipo o insumos.
También puede incluir: Números telefónicos de personas de contacto en los sitios de
Continuidad del plan de apoyo/Plan de contingencias TI recuperación, incluso representantes en el hot site o servicios
Plan de comunicaciones de crisis para volver a enrutar comunicaciones de red predefinidas.
Plan de respuesta a incidentes Números telefónicos de personas de contacto en sitios de
Plan de transporte almacenamiento de medios fuera del sitio y de las personas
Plan de emergencia del ocupante de contacto dentro de la compañía que estén autorizadas para
Plan de evacuación y reubicación de emergencia recuperar medios desde la locación fuera del sitio.
Números telefónicos de agentes de seguros.
El propósito y alcance de los componentes de un BCP, tal como lo Número telefónico de los contactos en los servicios
sugiere NIST se indican en la Figura 2.19. suministrados por personal contratado.
Número telefónico y contactos de organismos legales,
Para la fase de planificación, implantación y evaluación del BCP, reglamentarios o gubernamentales, de ser necesario.
debería acordarse lo siguiente: Un procedimiento para determinar a cuántas personas se ubicó
Las políticas que regirán todos los esfuerzos de continuidad mientras se utilizaba la cadena de llamadas (call tree)
y recuperación
Manual de Preparación al Examen ClSA 2011 139

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI cisic cortied Aufodm
In iatIon
itor
Figura 2.19—Propósito del alcance de los componentes del plan de continuidad del negocio
Plan Propósito Alcance
Planes de continuidad del Brindar los procedimientos para sostener las operaciones Aborda los procesos comerciales; TI basada solamente en
negocio esenciales del negocio mientras se recuperan de un su respaldo a los procesos comerciales.
trastorno significativo.
Plan de recuperación (o Brindar los procedimientos para recuperar las Trata los procesos comerciales; TI no enfocada; TI basada
restablecimiento) del negocio operaciones comerciales inmediatamente después de una solamente en el respaldo a los procesos comerciales.
(BRP) situación de desastre.
Plan de continuidad de Brindar los procedimientos y las capacidades para Aborda el subconjunto de las misiones de una
operaciones (COOP) sostener las funciones esenciales y estratégicas de una organización que se caracterizan por ser las más críticas;
organización como sitio alterno durante un lapso de hasta usualmente escritas al nivel de la sede; TI no enfocada
30 días.
Continuidad del plan Brindar los procedimientos y capacidades para recuperar Igual que el plan de contingencia TI; acomete las
de respaldo o plan de una aplicación mayor o un sistema general de respaldo. irregularidades en el sistema TI; no se enfoca en el
contingencia TI proceso comercial.
Plan de comunicaciones Brinda los procedimientos para distribuir informes de Trata las comunicaciones con el personal y con el público;
críticas situación al personal y al público. TI no enfocada.
Plan de respuesta a incidentes Proporciona estrategias para detectar, responder y limitar Se centra en respuestas de seguridad de información a
cibernéticos las consecuencias de incidentes cibernéticos dolosos. los incidentes que afectan los sistemas o redes.
Plan de recuperación en caso Brindar procedimientos detallados para facilitar la A menudo TI enfocada; se limita a los grandes trastornos
de desastre recuperación de capacidades en un sitio altemo. con efectos a largo plazo.
Plan de emergencia del Brinda procedimientos coordinados para minimizar las Se enfoca en el personal y la propiedad de la instalación
ocupante (OEP). pérdidas de vida o lesiones y proteger contra los daños a en particular; no está basado en el proceso comercial ni
la propiedad privada en respuesta a una amenaza física. en una funcionalidad del sistema TI.
Respaldo de los suministros requeridos Los tipos específicos disponibles de cobertura son:
El plan debe tener provisiones para todos los insumos que Equipo e instalaciones IS—Ofrece cobertura contra daños
se necesiten para continuar con las actividades de negocio físicos al IPF y equipo propio. (Debería obtenerse un seguro
normales durante las actividades de recuperación. Esto incluye para el equipo rentado cuando el arrendatario sea responsable
procedimientos detallados impresos y actualizados que pueda por la cobertura contra riesgos.) Se advierte al auditor de SI
seguir fácilmente tanto el personal interno como externo que debería revisar estas pólizas, ya que muchas obligan a los
que no esté familiarizado con las operaciones normales y de proveedores de seguros a reemplazar equipos que no pueden
recuperación. Asimismo, se debe garantizar que la ubicación fuera restaurarse solamente con "de igual clase y calidad", no
del sitio cuente con un abastecimiento de formatos especiales, necesariamente con nuevo equipo por el mismo proveedor
tales como cheques, facturas y pedidos. del equipo dañado.
Reconstrucción de medios (software)—Cubre contra daños
Si la función de entrada de datos depende de ciertos dispositivos a los medios informáticos que sean de la propiedad del
de hardware o de programas de software, tales programas y equipo asegurado y por los cuales el asegurado podría ser responsable.
deberían proporcionarse en el hot site. Lo mismo aplicaría al equipo El seguro está disponible para desastres en las instalaciones,
criptográfico, incluidas las teclas electrónicas (tokens RSA, teclas fuera de las instalaciones o en tránsito y cubre el costo de
USB, etc.). reproducción real del bien. Algunas consideraciones para
determinar el monto de la cobertura necesaria son los costos
Seguro de programación para reproducir los medios dañados, gastos
El plan de recuperación debe contener información clave por respaldo y reemplazo físico de dispositivos de medios,
sobre el seguro de la organización. La póliza de seguro para el tales como cintas, cartuchos y discos.
procesamiento de SI es por lo general una póliza contra múltiples Gastos adicionales—Diseñada para cubrir los costos
daños diseñada para brindar varios tipos de cobertura de TI. Debe adicionales por continuar las operaciones después del daño o
elaborarse modularrnente, para que se pueda adaptar al ambiente destrucción en IPF. El monto del seguro por gastos adicionales
de TI particular del asegurado. necesario se basa en la disponibilidad y el costo de los equipos y
operaciones de respaldo. Los gastos adicionales también pueden
cubrir la pérdida de ganancias netas ocasionadas por daños
Nota: Los pormenores sobre las pólizas de seguro no se
en medios informáticos. Dispone el reembolso por pérdidas
incluyen en el examen de CISA porque difieren de un país a
pecunarias causadas por la suspensión de las operaciones
otro. La prueba abarcado que debería incluirse erizas pólizas
debido a la pérdida física de equipos o medios. Un ejemplo
y acuerdos con terceros, pero no deberían examinar los tipos
de una situación que requiere este tipo de cobertura es si las
específicos de cobertura.
instalaciones para el procesamiento de información estaban
en el sexto piso y se quemaron los cinco primeros pisos.

Aje" Capítulo 2 - Gobierno y Gestión de
cisA =l'
TI
. l
En este caso, las operaciones se interrumpirían aun cuando incluir todos los componentes críticos y simular las condiciones
las instalaciones de procesamiento de información (IPF) no reales de procesamiento durante los momentos de mayor
se hubieran afectado. actividad, aun si se lleva a cabo fuera de las horas pico.
Interrupción del negocio—Cubre el lucro cesante debido
al trastorno de la actividad de la empresa causada por el mal Especificaciones
funcionamiento de la organización IS En la prueba debería hacerse énfasis en el cumplimiento de
Documentos y registros de valor—Cubre el valor real en las siguientes tareas:
efectivo de documentos y registros (no definidos como medios) Verificar la integridad y precisión del BCP.
en las instalaciones del asegurado contra divulgación no Evaluar el desempeño del personal involucrado en el ejercicio.
autorizada, pérdida o daño fisico directo. Informar sobre la capacitación y concienciación de los empleados
Errores y omisiones—Brinda protección contra que no formen parte de un equipo de continuidad del negocio.
responsabilidad legal en caso de que un experto incurra en un Evaluar la coordinación entre los miembros del equipo y los
acto, error u omisión que resulte en una pérdida financiera para contratistas y proveedores externos.
el cliente. Este seguro se diseñó originalmente para agencias de Medir la habilidad y la capacidad del sitio alterno para realizar
servicios, pero ahora está disponible con muchas aseguradoras procesamientos recomendados.
para protegerse contra acciones de analistas de sistemas, Evaluar la capacidad de recuperación de registros vitales.
diseñadores de software, programadores, consultores y otro Evaluar el estado y la cantidad de equipos e insumos que
personal de SI. se han reubicado al sitio de recuperación.
Cobertura de fidelidad—Por lo general se trata de una fianza Medir el desempeño general de las actividades de procesamiento
bancaria general, un seguro por exceso de fidelidad o fianzas de sistemas de información y operativos para mantener la
generales comerciales. Cubre contra pérdida ocasionada por entidad de negocio.
actos deshonestos o fraudulentos por parte de empleados.
Este tipo de cobertura es común en instituciones financieras,
Nota: Esto forma parte importante de la responsabilidad
que operan sus propias instalaciones de procesamiento de
del auditor —evaluar los resultados y el valor del 13CP y las
información (IPF).
pruebas DRP.
Transporte de medios—Proporciona cobertura contra
posible pérdida o daño de medios en tránsito a equipos de
procesamiento de información (IPFs) que estén fuera de las Ejecución de la prueba
instalaciones. La redacción de la cobertura de tránsito en la Para realizar las pruebas, se debe llevar a cabo cada una de las
póliza suele especificar que todos los documentos tienen que siguientes fases de prueba:
ser filmados o copiados por otros medios. Cuando la póliza Prueba preliminar—El conjunto de acciones necesarias
no requiere especificamente que los datos se filmen antes de destinadas a establecer la etapa para la prueba real. Esta fase
su transportación y el trabajo no se filma, la gerencia debe incluye desde colocar mesas en el área de recuperación de
obtener del servicio de mensajería de la aseguradora una carta operaciones hasta transportar e instalar equipo telefónico de
que describa en forma específica la posición del servicio de respaldo. Estas actividades están fuera del ámbito de aquellas
mensajería de la compañía aseguradora y la cobertura en caso de que ocurrirían en el caso de una emergencia real, en la cual por
destrucción de los datos. lo general no hay una advertencia del evento y, por tanto, ningún
tiempo para tomar acciones preparatorias.
Es importante recordar varios puntos clave sobre el seguro. Prueba—Ésta es la acción real de la prueba del plan de
La mayoría de los seguros cubren únicamente las pérdidas continuidad del negocio. Se ejecutan las actividades operativas
financieras con base en el nivel histórico y no en el nivel actual reales para probar los objetivos específicos del plan. Se deben
de rendimiento. Tampoco, el seguro indemniza por pérdida de hacer capturas de datos, llamadas telefónicas, procesamiento
imagen o fondo de comercio. de sistemas de información, manejo de pedidos y movimiento
de personal, equipo y proveedores. Los evaluadores deben
revisar a los miembros del personal mientras realizan las
2.13.10 PRUEBAS DEL PLAN
tareas designadas. Ésta es la prueba real de preparación para
Muchas pruebas de continuidad del negocio no alcanzan a ser responder a una emergencia.
una prueba a toda escala de todas las porciones operativas de la Prueba posterior—La depuración de las actividades de grupo.
organización, si efectivamente se prueban en su totalidad. Esto Esta fase comprende asignaciones como regresar todos los
no descarta hacer pruebas totales o parciales, porque uno de los recursos a su lugar apropiado, desconectar los equipos, regresar
propósitos de la prueba al plan de continuidad del negocio es al personal a sus ubicaciones normales y borrar todos los datos
determinar qué tan bien funciona el plan o qué partes del plan de la compañía de los sistemas de terceros. La depuración
requieren mejoras. posterior a la prueba también incluye evaluar formalmente
el plan e implementar las mejoras indicadas.
Las pruebas deben programarse durante un tiempo que minimice
las interrupciones de operaciones normales. Los fines de semana
son, por lo general, un buen momento para realizar las pruebas.
Es importante que los miembros clave del equipo de recuperación
participen en el proceso de la prueba y le dediquen el tiempo
necesario para poner todo su empeño en ello. La prueba debe

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI Cedilla' Information
CISA spur/13AL~
M 11..010110.1
Además, se pueden realizar los siguientes tipos de pruebas: Mantenimiento del plan
Prueba de evaluación con lápiz y papel—Verificación física Deberían revisarse y actualizarse los planes y estrategias para la
del plan, que involucra a los principales actores en la ejecución continuidad del negocio con base en un cronograma que refleje
del plan, quienes disciernen sobre qué podría pasar en un tipo el reconocimiento continuo de los requerimientos cambiantes o
en particular de trastorno del servicio. Podrían dar un repaso al de manera extraordinaria (revisiones no programadas), cuando
plan entero o sólo a una parte de él. La prueba en papel suele se produzca un cambio importante que afecte los planes y
anteceder a las pruebas de preparación. estrategias. Los siguientes factores, y otros, pueden impactar en
Prueba de preparación—Usualmente es una versión localizada los requerimientos para la continuidad del negocio y la necesidad
de una prueba completa, donde se invierten recursos reales en la de actualizar el plan:
simulación de avería de un sistema. Estas pruebas se aplican a Una estrategia que resulte apropiada en un momento
diferentes aspectos del plan y pueden ser una forma rentable de determinado pudiera no ser adecuada a medida que cambian las
obtener gradualmente evidencia sobre qué tan bueno es el plan. necesidades de la organización (procesos comerciales, nuevos
También brindan los medios para mejorar el plan en incrementos. departamentos, cambios en el personal clave.)
Pruebas operativas completas—Están a un paso de una Se podrían desarrollar o adquirir nuevas aplicaciones/recursos.
interrupción real en el servicio. Una organización necesita haber Los cambios en la estrategia comercial pueden alterar la
realizado una prueba en papel y a nivel local antes de intentar significación de las aplicaciones críticas o catalogar de críticas
parar las operaciones por completo. A los efectos de las pruebas las aplicaciones adicionales.
BCP, éste es el desastre. Cambios en el ambiente de software o hardware podría hacer
que las provisiones actuales sean obsoletas o inapropiadas.
Documentación de los resultados Nuevos acontecimientos o un cambio en la probabilidad de los
Durante cada fase de la prueba, se debe mantener documentación mismos pueden generar trastornos
detallada de las observaciones, problemas y soluciones. Cada equipo
debería tener un formulario en forma de diario, para anotar los Un paso importante en el mantenimiento de un BCP consiste
pasos específicos y la información, que puede emplearse a modo de en actualizarlo y probarlo cada vez que se produzcan cambios
documentación. Esta documentación sirve como una información relevantes dentro de la organización. También sería deseable
histórica importante que puede facilitar la recuperación real durante incluir el BCP como parte del proceso del ciclo de vida de
un desastre real. Además, la compañía aseguradora o las autoridades desarrollo de sistemas (SDLC).
locales pudieran pedirlo. También la documentación ayuda a realizar
un análisis detallado tanto de las fortalezas como de las debilidades La responsabilidad por el mantenimiento del BCP a menudo recae
del plan. en el coordinador del BCP. El plan específico de mantenimiento
comprende las siguientes responsabilidades:
Análisis de resultados Desarrollar un programa para la revisión y el mantenimiento
Es importante contar con una manera de medir el éxito del plan y periódico del plan e informar al personal sobre sus roles y
de la prueba frente a los objetivos establecidos. Por consiguiente, los las fechas límite para recibir modificaciones y comentarios.
resultados deberán calibrarle cuantitativamente en contraposición a Pedir revisiones no programadas cuando se produzcan cambios
una evaluación basada solamente en la observación. significativos.
Verificar las revisiones y los comentarios y actualizar el plan
Las mediciones específicas varían dependiendo de la prueba y en el transcurso de X días (por ejemplo: 30 días, dos semanas)
de la organización; sin embargo, las siguientes medidas generales de la fecha de revisión.
suelen aplicar: Organizar y coordinar pruebas programadas y no programadas
Tiempo—El tiempo transcurrido para llevar a cabo las tareas del BCP a fin de evaluar su suficiencia.
establecidas, la entrega de equipos, la conformación del personal Participar en las pruebas programadas del plan, las cuales
y la llegada al sitio establecido previamente. deberían realizarse al menos una vez al año en determinadas
Cantidad—La cantidad de trabajo realizado por el personal fechas. Para las pruebas programadas y no programadas, el
administrativo en el sitio alterno y el volumen de operaciones coordinador escribirá las evaluaciones e integrará los cambios
de procesamiento de los sistemas de información. a fin de resolver los resultados de pruebas fallidas en el BCP
Conteo—El número de registros vitales que se transportaron con en el transcurso de X días (por ejemplo: 30 días, dos semanas).
éxito al sitio alterno en comparación con el número requerido, Desarrollar un calendario para capacitar al personal de
así como el número de insumos y equipos solicitados en recuperación en los procedimientos de emergencia y
comparación con los que se recibieron en realidad. Asimismo, el recuperación conforme a lo establecido en el BCP. Las fechas de
número de sistemas críticos que se recuperaron con éxito puede la capacitación deberían fijarse en el transcurso de 30 días de la
medirse con el número de transacciones procesadas. revisión de cada plan y de la prueba programada para el plan.
Exactitud—La exactitud de la captura de datos en el sitio Mantener registros de las actividades de mantenimiento del
de recuperación en comparación con la precisión normal BCP, como pruebas, capacitación y revisiones.
(como un porcentaje). De igual forma, la exactitud de los Actualizar periódicamente, al menos trimestralmente (se
ciclos de procesamiento real se puede determinar comparando recomiendan lapsos más cortos), el directorio de notificación de
los resultados de salida con aquellos del mismo periodo todos los cambios en el personal, incluidos números de teléfono,
procesados en condiciones normales. atribuciones o rango dentro de la empresa

C CESA Systems Padlto? Capftulo 2- Gobierno
Cerned Information
.7---i---
y Gestión de TI Sección Dos: Contenido
Una herramienta de software para administrar los planes de Elegir controles apropiados y medidas de recuperación de
continuidad y recuperación pudiera servir para rastrear y hacerle componentes de TI para soportar los procesos de negocio críticos.
seguimiento a las labores de mantenimiento. Desarrollar el plan detallado para recuperar las instalaciones
IS (DRP).
Un elemento clave para este enfoque es que las copias de respaldo Desarrollar un plan detallado para las funciones de negocio que
rotadas fuera del sitio contengan etiquetas para cintas magnéticas y sean críticas para continuar operando a un nivel aceptable (plan
brazos robotizados con lectores de código de barras de continuidad del negocio, BCP).
Probar los planes.
Mejores prácticas en la gestión de continuidad Actualizar los planes a medida que cambia el negocio y se
del negocio desarrollan sistemas.
La necesidad de repasar y mejorar de manera continua y
periódicamente el programa de continuidad del negocio es
determinante para el desarrollo de una estrategia exitosa 2.14 AUDITORÍA A LA PLAN DE CONTINUIDAD
y contundente de recuperación en una organización,
independientemente de que la organización se encuentre DEL NEGOCIO
en la etapa inicial de desarrollo de un BCP En un esfuerzo
por mejorar las capacidades del BCM (y cumplir con las Las tareas del auditor IS abarcan:
directrices reglamentarios), algunas organizaciones han Comprender y evaluar la estrategia sobre la continuidad
comenzado a adoptar las mejores prácticas para entidades tanto del negocio y su conexión con los objetivos del negocio
independientes como específicas de la industria y agencias Revisar los hallazgos de BIA para asegurarse de que reflejen
reglamentarias. Algunas de estas entidades o prácticas/reglamen las prioridades actuales del negocio y los controles actuales
tos/estándares son: Evaluar los BCP a fin de determinar su conveniencia y difusión,
Instituto de Continuidad del Negocio (BCI)—Brinda las al revisar los planes y compararlos con las correspondientes
mejores prácticas para la gestión de la continuidad del negocio estándares o reglamentos gubernamentales, incluidos RTO, RPO
Instituto Internacional de Recuperación en Caso de Desastre etc., definidos por el BIA
(Disaster Recovery Institute International, DRID—Proporciona Verificar la eficacia de los BCP mediante la revisión de los
prácticas especiales para profesionales de la continuidad del resultados de las pruebas realizadas anteriormente por IS
negocio y el personal de usuario final
Agencia Nacional de Estados Unidos de Protección contra Evaluar el almacenamiento externo para asegurar su
Incendios (NFPA) conveniencia al inspeccionar la instalación y verificar sus
Asociación Federal de Estados Unidos para el Manejo de contenidos y controles de seguridad y ambiental
Emergencias (FEMA)—Ofrece una guía para el comercio Verificar los trámites para transportar los medios de respaldo
y la industria en el manejo de las emergencias a fin de asegurarse de que satisfagan los requerimientos
COBIT apropiados de seguridad.
US National Institute of Standards and Technology Evaluar la capacidad del personal para responder efectivamente
US Federal Financial Institution Examination Council (FFIEC) en situaciones de emergencia, al revisar los procedimientos de
Junta de Reserva Federal de Estados Unidos (FRB) emergencia, la capacitación de empleados y los resultados de las
HIPAA pruebas y los ensayos.
US Federal Energy Regulatory Commission (FERC) Velar por el establecimiento y vigencia del proceso para
mantener los planes y porque éste abarque las revisiones tanto
periódicas como no programadas.
I Nota: El candidato a eisa no será evaluado sobre prácticas/ Evaluar si los manuales sobre la continuidad del negocio y los
estándares específicos procedimientos están redactados de una manera sencilla y fácil
de comprender. Esto puede lograrse mediante entrevistas y al
2.13.11 RESUMEN DE CONTINUIDAD DEL NEGOCIO Y determinar si todas las partes involucradas comprenden sus
RECUPERACIÓN EN CASO DE DESASTRE atribuciones y responsabilidades con respecto a las estrategias
sobre la continuidad del negocio.
Con miras a garantizar un servicio continuo, debería redactarse un
BCP para minimizar el impacto de los trastornos. Este plan debería
basarse en el plan TI de largo alcance y debería respaldar y alinearse 2.14.1 REVISAR EL PLAN DE CONTINUIDAD DEL
con la estrategia general de continuidad del negocio. Por lo tanto, el
NEGOCIO
proceso de desarrollar y mantener un DRP o BCP apropiadodebería
consistir en: En la revisión del plan desarrollado, los auditores IS deberían
Realizar una evaluación de riesgos—Identificar y priorizar verificar que los elementos básicos de un plan bien desarrollado
los sistemas y otros recursos que se requieren para soportar se pongan de manifiesto. Los procedimientos de auditoria para
los procesos de negocio críticos en caso de que ocurra una abordar estos elementos básicos comprenden:
interrupción. Identificar y priorizar amenazas y vulnerabilidades.
Elaborar un análisis del impacto del negocio sobre el efecto Revisar el documento.
que tiene la pérdida de procesos de negocio críticos y sus Obtener una copia de la política y estrategia sobre la continuidad
componentes de soporte. del negocio.

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI CISA Certtfled Information
Systems Au ditor'
An Cartkotan
Obtener una copia actual del BCP o manual. Determinar la existencia de un procedimiento idóneo destinado
Obtener una copia de los hallazgos más recientes del BIA e a actualizar los procedimientos escritos para casos de emergencia.
identificar el RTO, RPO y otras directrices estratégicas clave. Determinar que los procedimientos de recuperación de usuario
Tomar una muestra de las copias distribuidas del manual estén documentados.
y verificar que estén vigentes. Determinar que el plan aborde de manera adecuada el
Verificar si el BCP apoya la estrategia sobre la continuidad desplazamiento al sitio de recuperación.
del negocio en general. Determinar que el plan aborde de manera adecuada la
Evaluar la efectividad de los procedimientos documentados recuperación desde el sitio de recuperación.
para la invocación de la ejecución del BCP. Determinar que los artículos necesarios para la reconstrucción
Evaluar el procedimientos de actualización del manual. ¿Se aplican de la instalación de procesamiento de información se hayan
y distribuyen las actualizaciones oportunamente? ¿Se documentan guardado en un almacenamiento externo, tales como proyectos,
las responsabilidades específicas de mantenimiento del manual? inventario del hardware y diagramas de cableado.
Revisar las Aplicaciones Cubiertas por el Plan Las preguntas a considerar incluyen:
Revisar la identificación, prioridades y respaldo previsto de ¿Quién está encargado de la administración o coordinación
las aplicaciones críticas, tanto las basadas en el servidor como del plan?
las basadas en la estación de trabajo. ¿El administrador o coordinador del plan se encarga de
Determinar que se haya revisado en todas las aplicaciones mantener el plan actualizado?
el nivel de tolerancia en caso de desastres. ¿Dónde se guarda el DRP?
Determinar que se hayan identificado todas las aplicaciones ¿Cuáles sistemas críticos cubre el plan?
críticas (incluidas las aplicaciones PC). ¿Cuáles sistemas no están cubiertos en el plan? ¿Por qué no?
Determinar que el sitio secundario tenga las versiones correctas ¿Cuál equipo no está cubierto en el plan? ¿Por qué no?
de todo el software del sistema. Verificar que todo el software ¿El plan opera con algún supuesto? ¿Cuáles son estos supuestos?
sea compatible; caso contrario, el sistema no podrá procesar los ¿El plan identifica puntos de encuentro para que el comité
datos de producción durante la recuperación. de gestión en caso de desastres o el equipo para el manejo de
emergencias se reúna y decida si debería iniciarse la continuidad
Revisar los Equipos de Continuidad del Negocio del negocio?
Obtener una lista de miembros por cada equipo de recuperación, ¿Los procedimientos documentados son adecuados para el éxito
continuidad o respuesta. de la recuperación?
Obtener una copia de los acuerdos relacionados con el empleo ¿El plan acomete los desastres de diversos grados?
de las instalaciones de respaldo. ¿Se abordan en el plan los respaldos de telecomunicaciones
Comprobar la conveniencia e integridad de la lista del personal (tanto de datos como de voz)?
encargado de la continuidad del negocio, los contactos de hot ¿Dónde se encuentra la instalación de respaldo?
site de emergencia, los contactos de proveedores, etc. ¿El plan trata la reubicación hacia una nueva instalación
Llamar a una muestra de las personas indicadas y verificar de procedimiento de información en caso de que no pueda
que sus números telefónicos y direcciones estén correctos, tal restaurarse el centro original?
como se señala, y que poseen una copia vigente del manual de ¿El plan incluye procedimientos para fusionar los datos
continuidad del negocio. del archivo maestro, los datos del sistema automatizado de
Entrevistarlos para tener una idea de cuáles son sus asignaciones administración de cintas, etc., en archivos previos a situaciones
en una situación de interrupción o de desastre. de desastre?
¿El plan aborda la carga de los datos procesados manualmente
Pruebas del plan en un sistema automatizado?
Evaluar los procedimientos para documentar las pruebas. ¿Hay procedimientos formales que especifiquen los
Revisar los procedimientos de respaldo que se siguen en cada procedimientos y responsabilidades de respaldo?
área cubierta por el DRP. ¿Qué capacitación se ha impartido al personal para el empleo
Determinar si se siguen los procedimientos de respaldo y del equipo de respaldo y los procedimientos establecidos?
recuperación. ¿Están documentados los procedimientos de restauración?
¿Se hacen respaldos ordinarios y sistemáticos de las
Además de los pasos anteriores: aplicaciones y archivos de datos sensibles o cruciales?
Evaluar si todos los procedimientos escritos de emergencia ¿Quién determina los métodos y la frecuencia en el respaldo
están completos, son apropiados y exactos, están vigentes y son de los datos para la información crítica que está almacenada?
fáciles de comprender. ¿Qué tipo de medios se utilizan para los respaldos?
Identificar si las transacciones que se ingresan nuevamente ¿El almacenamiento externo se emplea para mantener los
en el sistema a través del proceso de recuperación deberían respaldos de la información crítica que se requiere en el
identificarse aparte de las transacciones normales. procesamiento de las operaciones internas o externas?
Determinar que todos los equipos de recuperación, continuidad ¿Hay documentación adecuada para efectuar una recuperación
y respuesta hayan redactado los procedimientos que deberán en caso de desastre o pérdida de los datos?
seguirse en caso de que ocurra un desastre. ¿Existe un cronograma para probar y capacitar al personal sobre
el plan?

cisA cslied
.infokzation Capítulo 2- Gobierno y Gestión de TI Sección Dos: Contenido
I
2.14.2 EVALUACIÓN DE LOS RESULTADOS DE 2.14.6 REVISIÓN DE CONTRATO DE PROCESAMIENTO

PRUEBAS ANTERIORES ALTERNATIVO
El coordinador de BCP debería mantener documentación histórica El auditor IS debería obtener una copia del contrato con el
acerca de los resultados de una continuidad de negocio deficiente. proveedor sobre la instalación alterna de procesamiento. Deberían
El auditor IS debería revisar estos resultados y determinar que se verificarse las referencias del proveedor para garantizar la
haya incorporado al plan aquellas acciones que deban corregirse. confiabilidal, y todos los compromisos del proveedor deberían
Así mismo, el auditor IS debería evaluar en las pruebas anteriores comprobarse por escrito. Debería cotejarse el contrato con los
de BCP/DRP la meticulosidad y la exactitud en el logro de sus siguientes directrices:
objetivos. Deberían examinarse los resultados de las pruebas para Asegurarse de que el contrato esté escrito claramente y sea
determinar que se hayan logrado los resultados apropiados, así comprensible.
como determinar los posibles problemas y la solución apropiada Reexaminar y confirmar el acuerdo de la organización con
de los mismos. las reglas que aplican a los sitios compartidos con otros
suscriptores.
2.14.3 EVALUACIÓN DEL ALMACENAMIENTO Asegurarse de que la cobertura del seguro concuerde y cubra
todos (o la mayoría de) los gastos relacionados con el desastre.
EXTERNO Asegurarse de que puedan realizarse las pruebas en el hot site
Debería evaluarse la instalación de almacenamiento externo para a intervalos regulares.
garantizar la presencia, sincronización y vigencia de los medios Revisar y evaluar los requerimientos de comunicaciones para
y la documentación crítica. Esto abarca los archivos de datos, el sitio de respaldo.
el software de aplicaciones, la documentación de aplicaciones, Asegurarse de que el contrato exigible de depósito en garantía
el software de sistemas, la documentación de sistemas, la para el código fuente sea revisado por un abogado especialista
documentación de operaciones, los suministros necesarios, en la materia.
formularios especiales y una copia del BCR A objeto de verificar Determinar la tolerancia del recurso de limitación en caso de
las condiciones antes mencionadas, el auditor IS debería efectuar un incumplimiento del contrato.
examen detallado del inventario. Este inventario abarca las pruebas
para corregir los nombres en los conjuntos de datos, seriales de
2.14.7 REVISAR LA COBERTURA DEL SEGURO
volumen, períodos contables y localidades binarias de los medios.
El auditor IS también debería examinar la documentación, Es esencial que la cobertura de seguro refleje el costo real de
comparar su difusión con la documentación de producción, evaluar la recuperación. Al tomar en consideración la prima del seguro
la disponibilidad de la instalación y asegurarse de que concuerde (costo), debería revisarse la idoneidad de la cobertura contra
con los requerimientos de la gerencia. los daños a los medios, la interrupción del negocio, el reemplazo
de equipos y el procesamiento de la continuidad del negocio.
2.14.4 ENTREVISTAS AL PERSONAL CLAVE
El auditor IS debería entrevistar al personal clave que se requiere Nota: El candidato a C1SA debería conocer cuáles disposiciones
para el éxito en la recuperación de las operaciones del negocio. críticas deberían incluirse dentro de las pólizas de seguro en
Todo el personal clave debería estar al tanto de sus asignaciones resguardo de la orgardzación.
así como conocer la documentación actualizada y detallada donde
se describen sus tareas.
2.14.5 EVALUACIÓN DE SEGURIDAD EN

INSTALACIONES EXTERNAS
Debería evaluarse la seguridad de la instalación externa para
asegurarse de que cuente con los controles apropiados de acceso
fisico y ambiental. Estos controles comprenden la capacidad
para limitar el acceso solamente a usuarios autorizados de la
instalación, pisos elevados, controles de humedad, controles de
temperatura, circuitos especializados, suministro ininterrumpido
de electricidad, dispositivos para la detección de agua, detectores
de humo y un sistema apropiado para extinguir incendios. El
auditor IS debería examinar en el equipo la inspección actual y
etiquetas de calibración. Esta revisión también debería considerar
los requerimientos de seguridad para el transporte de los medios.

Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI CISA rotteittAudi
liorofi
r
2.15 CASOS DE ESTUDIOS 2.15.2 CASO DE ESTUDIO B

Escenario de Caso de Estudio B
Los siguientes caso de estudios están incluidos como una Una organización ha implementado una aplicación integrada para
herramienta de aprendizaje para reforzar los conceptos introducidos respaldar los procesos del negocio. También llegó a un acuerdo
en este capítulo. Los candidatos a examen deben notar que el examen con un proveedor para el mantenimiento de la aplicación y para
de CISA actualmente no usa este formato para pruebas. proveer respaldo a los usuarios y administradores del sistema. Este
respaldo se suministrará a través de un centro de proveedores de
2.15.1 CASO DE ESTUDIO A soporte remoto utilizando un ID de usuario dotado de privilegios
Escenario de Caso de Estudio A con autoridad de súper usuario a nivel de sistema operativo (O/S)
A un auditor de SI se le ha pedido que revise el borrador de que tiene acceso a la escritura y lectura de todos los archivos.
un contrato de servicios externos y su SLA y que recomiende El proveedor utilizará este ID de usuario especial para ingresar
cualquier cambio o señale cualquier preocupación antes de que al sistema a fin de solucionar problemas e implementar las
éstos sean presentados a la alta dirección para su aprobación actualizaciones (parches) a la aplicación. Debido al volumen de
final. El contrato incluye soporte externo de Windows y de la transacciones, los registros de actividades sólo se guardan por 90
administración del servidor UNIX y la administración de redes días.
a un tercero. Los servidores serán reubicados a la instalación
del contratista que está ubicada en otro país, y se establecerá la
conectividad usando Internet. Se aumentará la capacidad del PREGUNTAS DEL CASO DE ESTUDIO B
software del sistema operativo dos veces por año, pero éstos no B1 . ¿Cuál de las siguientes actividades representa la MAYOR inquietud
serán entregados en custodia. Todas las solicitudes de adición o para el auditor de SI?
de eliminación de cuentas de usuario serán procesadas dentro
de tres días hábiles. El software de detección de intrusos será Los registros de actividades de usuarios sólo se guardan por
monitoreado continuamente por el contratista y se notificará al 90 días.
cliente por correo electrónico si se detecta cualquier anomalía. El ID de usuario especial accederá al sistema de forma
Los nuevos empleados contratados dentro de los últimos tres años remota.
estuvieron sujetos a verificaciones de antecedentes. Antes de eso, El ID de usuario especial puede alterar los archivos de los
no había políticas establecidas. Está establecida una cláusula de registros de actividades.
derecho a auditoria, pero se requiere un aviso de 24 horas antes El proveedor estará probando e implementando parches a los
de una visita al establecimiento. Si se encontrara que el contratista servidores.
está en violación de cualquiera de los términos o condiciones del
contrato, éste tendrá 10 días hábiles para corregir la deficiencia. B2. ¿Cuál de las siguientes acciones sería la MÁS efectiva para reducir
El contratista no tiene un auditor de SI, pero es auditado por una el riesgo de que una cuenta de usuario con privilegios se utilice
firma regional de contadores públicos. indebidamente?
Se debe inhabilitar el ID de usuario especial, salvo cuando se

PREGUNTAS DEL CASO DE ESTUDIO A requiera mantenimiento.
Al. ¿Cuál de los siguientes aspectos sería de MAYOR preocupación Se debe registrar cualquier utilización de la cuenta de usuario
para el auditor de SI? especial.
Se debe modificar el acuerdo de modo que se realice todo el
Los cambios de cuenta de usuario son procesados dentro de soporte en el sitio.
tres días hábiles. Todos los parches se debe probar y aprobar antes de su
Se requiere un aviso con 24 horas de anticipación para una implementación.
visita al establecimiento. Ver las respuestas y explicaciones a las preguntas de práctica al final del capítulo
El contratista no tiene una función de auditoria de SI. (página 148).
Poner el software en custodia de un tercero no está incluido
en el contrato.
A2. ¿Cuál de los siguientes problemas sería el MÁS significativo para
tratar si los servidores tuvieran información personal identificable
del cliente a la que los usuarios finales pueden acceder
regularmente y que pueden actualizar?
El país en el que el contratista está establecido prohíbe el uso

de encriptación fuerte para los datos transmitidos.
El contratista limita su responsabilidad si toma medidas
razonables para proteger los datos de clientes.
El contratista no efectuó verificaciones de antecedentes de los
empleados contratados hace más de tres años.
El software de sistema sólo se actualiza una vez cada seis
meses.
Ver las respuestas y explicaciones a las preguntas de práctica al final del capítulo
(página 148).

A,Ar
cisiy =1"1°
C lanm Capítulo 2- Gobierno y Gestión de TI Sección Dos: Contenido
An mur arria.
2.15.3 CASO DE ESTUDIO C 2.15.4 CASO DE ESTUDIO D

Escenario de Caso de Estudio C Escenario de Caso de Estudio D
Se pidió a un auditor de SI revisar la alineación entre las metas de la Un auditor de SI está auditando las prácticas de gobierno de TI
TI y del negocio en una institución financiera pequeña. El auditor de una organización. Durante el curso del trabajo, se observa
de SI solicitó diversas informaciones, incluidos los objetivos y las que la organización no tiene un director general de información
metas del negocio y los objetivos y las metas de TI. El auditor de (CIO) de tiempo completo. El organigrama de la entidad hace
posible que un gerente de sistemas de información presente
SI encontró que las metas y los objetivos del negocio se limitaban a
reportes al director general de finanzas (CFO), quien a su vez
una pequeña lista con viñetas, mientras que las metas y los objetivos entrega reportes al consejo de dirección. El consejo juega un
de la TI se limitaban a diapositivas utilizadas en reuniones con el papel fundamental en el monitoreo de las iniciativas de TI en la
CIO (el CIO presenta los reportes al CFO). También se encontró entidad y el CFO comunica el progreso de las iniciativas de TI
en la información proporcionada que durante los últimos dos años, con frecuencia. A partir de la revisión de la matriz de segregación
el comité de gestión de riesgos (conformado por la alta dirección) de funciones, es evidente que sólo se exija a los programadores
sólo se reunió en tres oportunidades y no se levantó acta de lo que de aplicaciones obtener la aprobación del administrador de la
se discutió en esas reuniones. Cuando se comparó el presupuesto de base de datos (DBA) para acceder directamente a los datos de
la TI para el siguiente año con los planes estratégicos para la TI, se la producción. También se observa que los programadores de
aplicaciones tienen que proporcionar el código de programación
evidenció que muchas de las iniciativas mencion. das en los planes
desarrollado al bibliotecario de programas, quien luego se
para el año siguiente no se incluyeron en el presupuesto de ese año.
encarga de migrado a producción. Las auditorías de los sistemas
de información son la responsabilidad del departamento de
PREGUNTAS DEL CASO DE ESTUDIO C auditoría interna, que entrega reportes al CFO al final de cada
mes como parte del proceso de revisión del desempeño del
Cl . ¿Cuál de los siguientes aspectos sería de MAYOR preocupación negocio. Los resultados de índole financiera de la entidad se
para el auditor de SI? revisan exhaustivamente para que luego los gerentes de negocio
confirmen que los datos son correctos.
Los documentos de estrategias son informales y están
incompletos.
El comité de gestión de riesgos se reúne con poca frecuencia PREGUNTAS DEL CASO DE ESTUDIO D
y no levanta actas. Dadas las circunstancias descritas, ¿cuál sería la MAYOR
Los presupuestos no parecen ser adecuados para respaldar preocupación desde la perspectiva de gobiemo de TI?
las futuras inversiones en TI.
El CIO entrega reportes al CFO. La organización no tiene un CIO de tiempo completo.
C2. ¿Cuál de los siguientes problemas sería MÁS importante tratar? La organización no tiene un comité de dirección de TI.
La cultura prevalente dentro de la TI. El consejo de la organización juega un rol fundamental en el
La carencia de políticas y procedimientos para la tecnología de monitoreo de las iniciativas de TI.
la información. El gerente de los sistemas de información entrega reportes
Las prácticas de la gestión de riesgos en comparación con al CFO.
organizaciones similares. D2. Dado el caso, ¿cuál sería la MAYOR preocupación desde una
La estructura jerárquica para TI. perspectiva de segregación de funciones?
(página 149). Se exige a los programadores de aplicaciones contar con la
aprobación solamente del DBA para obtener acceso directo de
escritura a los datos.
Se exige a los programadores de aplicaciones entregar el
código de programación desarrollado al bibliotecario de
programas para su migración a la producción.
El departamento de auditoría intema reporta al CFO.
Se requiere que sólo los gerentes del negocio aprueben las
revisiones del desempeño del negocio.
03. ¿Cuál de las siguientes situaciones trataría de MEJOR manera
la integridad de los datos desde una perspectiva de controles de
mitigación?
Se exige a los programadores de aplicaciones la probación del

DBA para obtener acceso directo a los datos.
Se exige a los programadores de aplicaciones entregar los
códigos de programación desarrollados al bibliotecario de
programas para que los transfiera a producción.
El departamento de auditoría intema reporta al CFO.
Se requieren los resultados del desempeño del negocio
para su revisión y aprobación por parte de los gerentes del
negocio.
Mina 149).


Sección Dos: Contenido Capítulo 2 - Gobierno y Gestión de TI ciso Certified Information
2.15.5 CASO DE ESTUDIO E 2.16 RESPUESTAS A LAS PREGUNTAS DEL

Escenario de Caso de Estudio E CASOS DE ESTUDIOS
Una organización está desarrollando planes revisados de continuidad
de negocios (BCP) y de recuperación en caso de desastre (DRP)
para su sede y red de 16 sucursales. Los planes actuales no se RESPUESTAS A LAS PREGUNTAS DEL CASO DE
han actualizado en más de ocho años, tiempo durante el cual la ESTUDIO A
organización ha crecido aproximadamente más de 300 por ciento.
Al. A Tres días hábiles para eliminar la cuenta de un
En la sede trabajan aproximadamente 750 empleados. Estas
empleado despedido crearía un riesgo inaceptable
personas se conectan por una red de área local a un conjunto de
para la organización. Mientras tanto, se podría
más de 60 servidores de aplicaciones, bases de datos e impresoras
hacer un daño significativo. En contraste, algún
de archivos, que se encuentran ubicados en el centro de datos de
grado de aviso por adelantado antes de una visita al
la organización y por una red de frame relay a las sucursales. Los
establecimiento es generalmente aceptado dentro
usuarios itinerantes tienen acceso remoto a los sistemas corporativos
de la industria. También, no todo contratista tendrá
al conectarse a Internet a través de la conexión privada virtual. Los
su propia función interna de auditoria o auditor de
usuarios, tanto en la sede como en las sucursales tienen acceso
SI. El poner el software en custodia de un tercero
a Internet a través de un cortafuegos (cortafuegos (firewall)) y
es primariamente de importancia cuando se trata
servidor proxy localizados en el centro de datos. Las aplicaciones
con software de aplicación de clientes, donde hay
criticas tienen un objetivo de tiempo de recuperación (RTO) entre
una necesidad de almacenar una copia del código
tres y cinco días. Las sucursales están separadas entre sí a una
fuente con un tercero. El software de sistema
distancia entre 48 y 80 kilómetros, no estando ninguna a menos
operativo para los sistemas operativos comerciales
de 40 kilómetros de la sede. Cada sucursal tiene entre 20 y 35 generalmente disponibles no requeriría custodia del
empleados más un servidor de correo y un servidor de archivo
software.
o impresión. Los medios de respaldo para el centro de datos se
almacenan en una instalación ajena, a 56 kilómetros de distancia.
A2. A Como la conectividad con los servidores es por
Los respaldos para los servidores que se encuentran ubicados en Internet, la prohibición contra encriptación fuerte
las sucursales se guardan en las sucursales cercanas por medio de pondrá en riesgo cualquier dato transmitido. La
acuerdos recíprocos entre las oficinas. Los contratos actuales con
limitación de responsabilidad es una práctica
un tercero proveedor de hot site comprenden 25 servidores, espacio
estándar de la industria. A pesar de que no
para el área de trabajo equipado con computadoras de escritorio
realizar verificaciones de antecedentes para los
para albergar a 100 personas, y un acuerdo aparte para enviar hasta empleados contratados hace más de tres años es
dos servidores y 10 computadoras de escritorio a cualquier sucursal
de importancia, no es un aspecto tan significativo.
que se declare en emergencia. El contrato tiene una duración de
Actualizar el software de sistema una vez cada
tres años, con mejoras al equipo al momento de la renovación. El
seis meses no presenta ninguna exposición
proveedor de hot site tiene múltiples instalaciones en todo el país, en
significativa.
caso de que otro cliente esté haciendo uso de la instalación primaria
o ésta se inutilice a causa de un desastre. Es el deseo de la alta
gerencia que una eventual mejora sea lo más rentable posible. RESPUESTAS A LAS PREGUNTAS DEL CASO DE
ESTUDIO B
PREGUNTAS DEL CASO DE ESTUDIO E B 1. C Debido a que el ID de súper usuario posee acceso
para la lectura y escritura de todos los archivos,
El. Sobre la base de la información anterior, ¿Cuál de lo siguiente no existe manera de asegurar que los registros de
debería recomendar el auditor IS con respecto al hot site?
actividades no se han modificado para ocultar las
El número de escritorios en el hot site debería elevarse actividades no autorizadas del proveedor. El acceso
a 750. remoto no representa mayor inquietud siempre y
Deberían añadirse en el contrato de hot site otros cuando la conexión se establezca a través de una
35 servidores. línea encriptada, y las pruebas e implementación
Todos los medios de respaldo deberían guardarse de parches a los servidores sea parte del soporte
en el hot site para acortar el RTO. suministrado por el proveedor. A pesar de que una
Los requerimientos sobre el escritorio y el equipo retención del registro por 90 días pudiera no ser
del servidor deberían revisarse trimestralmente. suficiente en algunas situaciones de negocio, no
E2. Con base en la información anterior ¿Cuál de lo siguiente representa un problema grave, ya que es un hecho
debería recomendar el auditor IS con respecto a la que el proveedor puede alterar los registros de
recuperación de la sucursal? actividades.
Añadir cada una de las sucursales al contrato existente
B2. A El control MÁS efectivo y práctico en esta
del hot site.
situación es bloquear la cuenta de usuario especial
Garantizar que las sucursales tengan la capacidad
suficiente para respaldarse entre sí. cuando no se necesite. La cuenta se debe abrir
C. Reubicar todos los servidores de correo y archivos únicamente cuando el proveedor necesita acceso
o impresión de la sucursal en el centro de datos. para suministrar soporte, pero se debe cerrar
D.Añadir capacidad al hot site contratado equivalente inmediatamente después de usarla. Se deben
a la sucursal más grande. registrar todas las actividades y revisar si son
Ver las respuestas y explicaciones a las preguntas de práctica al final del capítulo apropiadas. Las otras opciones no son tan efectivas
(página 149). o prácticas para reducir el riesgo.

C
clisA is In
systrfo
Cer AudrAation
i
r
PACZPOIIIMIso
RESPUESTAS A LAS PREGUNTAS DEL CASO DE RESPUESTAS A LASPREGUNTAS DEL CASO DE

ESTUDIO C ESTUDIO E
C 1 . B El hecho de que el comité de gestión de riesgo
se reúne con poca frecuencia y, cuando lo hace, El. D Por cuanto las necesidades de equipo en un entorno
no se levantan actas es la mayor preocupación. en rápido crecimiento están sujetas a cambios
Las pocas reuniones de la alta dirección para frecuentes, se hacen necesarias las revisiones
discutir problemas relacionados con riesgos clave trimestrales para garantizar que la capacidad
y la falta de actas, que permiten el seguimiento, de recuperación se mantenga al ritmo de la
análisis y compromiso, indican una falta grave de organización. Ya que no todas las funciones de un
gobierno. Las otras opciones no son tan graves en empleado son determinantes en un caso de desastre,
lo que se refiere a su impacto potencial sobre la no hace falta comunicarse con el mismo número
organización. de escritorios en una instalación de recuperación
igual al número de empleados. Igualmente, no todo
C2. B La ausencia de políticas y procedimientos hace servidor es determinante para la operación continua
dificil, a veces imposible, la implementación de del negocio. En ambos casos, sólo se requerirá un
un gobierno de TI efectivo. Otros problemas son subconjunto. Ya que no existen garantías de que
secundarios en comparación. el hot site ya no estará ocupado, sería aconsejable
almacenar los medios de respaldo en la instalación.
RESPUESTAS A LAS PREGUNTAS DEL CASO DE Estas instalaciones generalmente no están diseñadas
para ofrecer un amplio almacenamiento de medios,
ESTUDIO D
y las pruebas frecuentes por parte de otros clientes
Dl. D Lo más recomendable es que el gerente de sistemas podrían comprometer la seguridad de los medios.
de información entregue reportes al consejo
de directores o al director general ejecutivo E2. B La solución más rentable es recomendar que
(CEO) para proporcionar un grado suficiente las sucursales cuenten con capacidad suficiente
de independencia. La estructura jerárquica que para alojar al personal crítico de otra sucursal.
requiere que el gerente de sistemas de información Ya que las funciones críticas de un trabajo
entregue reportes al CFO no es la más idónea y representarían apenas 20 por ciento del personal
podría comprometer algunos controles. de la sucursal afectada, sería necesario un espacio
para alojar solamente de cuatro a siete miembros
A Los programadores de aplicaciones deberían del personal critico. Añadir cada una de las
obtener la aprobación de los propietarios del sucursales al contrato de hot site sería mucho
negocio antes de acceder a los datos. Los DBA más costoso, mientras que añadir capacidad no
son simplemente custodios de los datos y deberían brindaría cobertura, toda vez que los contratos
proporcionar acceso únicamente después que el de hot site basan sus precios en cada ubicación
propietario de los datos lo autorice. cubierta. Finalmente, reubicar los servidores
de las sucursales en el en el centro de datos
D La aprobación que dan los gerentes del negocio a acarrearía temas de desempeño, y no respondería
los datos que contienen los resultados financieros a la interrogante de dónde ubicar a los empleados
al final de cada mes detectaría las discrepancias desplazados.
significativas que generaría la manipulación no
autorizada de los datos a través de acceso directo
inadecuado de los datos sin la aprobación o
conocimiento de los gerentes del negocio.

CISA gern3
e fied In1"141
An ISAGYO«Lon
C
Esta página se dejó intencionalmente en blanco

Gobierno y Gestión de TI

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gobierno y Gestión de TI

Cargado por

Copyright:

Formatos disponibles

CcisA eard

sys ems InfumatIo

2-8 B La segregación de funciones podrá prevenir la

2-9 B La autorización debe estar separada de todos los

2-10 C En las organizaciones más pequeñas, generalmente

Manual de Preparación al Examen CISA 2011 91

Sección Dos: Contenido

Revisión de la Referencia Rápida Revisión de la Referencia Rápida (cont)

92 Manual de Preparación al Examen CISA 2011

Revisión de la Referencia Rápida (cont.)

94 Manual de Preparación al Examen CISA 2011

Figura 2.2—Áreas Foco del Gobierno de TI

La alineación estratégica se concentra en garantizar la vinculación de los planes de

96 Manual de Preparación al Examen CISA 2011

Figura 2.3—Análisis de las responsabilidades del Comité directivo

2.4.3 CUADRO DE MANDO DE TI Proveer valor de negocio a los proyectos de TI.

Manual de Preparación al Examen CISA 2011 97

específicos: confidencialidad, integridad y disponibilidad de La mayor parte de la infraestructura crítica en el mundo

98 Manual de Preparación al Examen CISA 2011

Manual de Preparación al Examen CISA 2011 99

100 Manual de Preparación al Examen CISA 2011

Consejo de dirección/Alta dirección Director de seguridad de la información

Manual de Preparación al Examen CISA 2011 101

102 Manual de Preparación al Examen CISA 2011

Figisa 2.5—Marco de Zachman para la Arclitectura de la Empresa

Manual de Preparación al Examen CISA 2011 103

104 Manual de Preparación al Examen CISA 2011

SE!, cursos, talleres y servicios en un método completo para la Valor de TI

Manual de Preparación al Examen CISA 2011 105

Figura 2.6—Dominios y procesos de Val IT

Establecer un liderazgo Definir e implementar Definir las características de

Alinear e integrar la gestión Establecer un monitores de Mejorar continuamente las

Establecer una combinación de Determinar la disponibilidad Gestionar la disponibilidad de

Desarrollar y evaluar el Comprender errara- grama Desarrollar el plan Desarrollar costos

106 Manual de Preparación al Examen CISA 2011

Política de seguridad de la información — Requerimientos de formación, capacitación y concienciación

Manual de Preparación al Examen CISA 2011 107

108 Manual de Preparación al Examen CISA 2011

Manual de Preparación al Examen CISA 2011 109

Figura 2.7—Visión general del modelo de procesos Risk IT

R61 111) jet :.1 COj ed. I ego eno

Establecer y Tomar decisiones

Fuente: ISACA, The Val IT Framework , EUA, 2009, figura 17

110 Manual de Preparación al Examen CISA 2011

Manual de Preparación al Examen CISA 2011 111

Figura 2.8—Enfoque Expectativa de pérdida anual

Las cifras se redondean a US $1,000

112 Manual de Preparación al Examen CISA 2011

2.10 PRÁCTICAS DE GESTIÓN DE SI Manual del empleado

Manual de Preparación al Examen CISA 2011 113

Cronogramas y reportes de tiempo informáticos de la organización. Las prácticas de terminación

Manual de Preparación al Examen CISA 2011 115

Ali HM, C..»

116 Manual de Preparación al Examen CISA 2011

Manual de Preparación al Examen COSA 2011 117

118 Manual de Preparación al Examen CISA 2011

PRESTACIÓN DE SERVICIOS y reporte/respuesta a incidentes de seguridad de la información a

Manual de Preparación al Examen CISA 2011 119

2.10.3 GESTIÓN DE CAMBIOS ORGANIZACIONALES Un presupuesto permite el pronóstico, monitoreo y análisis de la

120 Manual de Preparación al Examen CISA 2011

Manual de Preparación al Examen CISA 2011 121

2.10.7 OPTIMIZACIÓN DEL RENDIMIENTO Reportar y usar información del desempeño

Figura 2.10—ISO/IEC 20000-1:2005

Planear, Implementar, Monitorear, Mejorar