Está en la página 1de 33

NORMAS INTERNACIONALES Sigla de COBIT Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas.

Concepto de COBIT Es un modelo de control dirigido a las necesidades de la Informacin y sus tecnologas relacionadas. Provee guas detalladas sobre objetivos de control para los procesos de gestin de tecnologa de informacin . COBIT complementa a los modelos ms generales como COSO (EEUU), CoCo (Canad) o Cadbury (Inglaterra).

Alcance y Objetivos Representa normas generalmente aplicables e internacionalmente aceptadas para la buena prctica del control de TI. Centrado en el gobierno de TI. Alineado con las reglas y normas de hecho y de derecho. De aplicacin en las funciones de Servicios de Sistemas de Informacin de toda la empresa. Orientado a la gerencia.

La visin de COBIT Ser la herramienta ms avanzada para la gobernabilidad, control y auditoria de informacin que ayude a comprender y a administrar los riesgos asociados con la informacin y sus tecnologas relacionadas. Misin de COBIT Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnologa de informacin que sea de uso cotidiano para gerentes y auditores. CUALES SON LOS BENEFICIOS DE COBIT? En pocas palabras Gobierno de la TI significa gestionar adecuadamente el escenario de la Tecnologa de la Informacin (TI) de una organizacin. Dada la importancia de la TI en las organizaciones actuales este escenario no es segregable o aislable de toda la problemtica de gobierno empresarial de una organizacin, sino que est integrado a todas las funciones de la empresa, y todos los roles: El directivo, la alta gerencia, la gerencia de negocios, los profesionales de TI y los auditores tienen obligaciones o roles a cumplir relativas al gobierno de la TI que adicionalmente se

despliegan en tres niveles paralelos de actividades simultneas: el nivel estratgico, el tctico y el operacional. El modelo prctico de aplicacin del gobierno de la TI es Cobit, una norma que integra y compatibiliza las ms reconocidas normas y mejores prcticas internacionales de seguridad, calidad, eficacia y eficiencia en TI. Los ltimos descalabros histricos vinculados a la gestin de las organizaciones: Problema Y2K, Enron, etc. han enseado la importancia de gestionar adecuadamente los recursos de TI de cada organizacin en base a normas tcnicas que integran las mejores prcticas de trabajo, producto de muchos aos de investigacin, experiencia y aprendizaje de los errores cometidos. Cobit se compatibiliza adecuadamente consigo mismo y con otras 2 normas tambin muy prestigiosas: ISO 17799/ BS 7799:2 e ITIL (IT Infraestructure Library) conformando una triloga que seala el camino seguro hacia la excelencia en materia de gestin de la TI. Los CIOs, los gerentes de TI, los administradores de TI progresan y agregan valor a su empresa conociendo y aplicando estas normas y mejores prcticas, ya que la infraestructura tecnolgica: el mainframe IBM o HP que tienen en su centro de cmputos ya est inventado y funciona mas o menos igual en la empresa de la quinta Avenida de New York, en Latinoamrica o en frica, la real diferencia la hace la gente, y su conocimiento y capacidad de gestionar adecuadamente la TI en base a mejores prcticas que permitan potenciar los resultados de una empresa con los pies y la cabeza en el siglo XXI. Cuales son entonces los beneficios generales de Cobit: G1- La rueda ya est inventada y Cobit es la puerta de entrada a la mayor sumatoria de conocimiento y experiencia internacional en gestin de la TI. G2- Es un modelo estructurado que recoge experiencias internacionales para cada paso adelante que damos y permite situar claramente los procesos a desarrollar con determinados recursos, y determinadas herramientas de medicin de lo actuado. G3- Las mejores prcticas que sugiere son el resultado del trabajo de cientos de personas y organizaciones de todo el mundo. G4- Permite compartir conocimientos e ideas con personas que viven o han vivido situaciones similares a travs de web sites, revistas tcnicas, libros, etc. Tambin criterios comparativos de cmo est nuestra organizacin respecto de benchmarks o informes internacionales que se han clasificado segn giro, regin y tamao de empresa. G5- Permite que nuestra organizacin pueda ser auditada de una forma continuada y sistemtica y por tanto se est permanentemente dando garantas a los tomadores de decisiones, stakeholders, etc. respecto de la confiabilidad de la empresa. Cuales son los beneficios particulares de Cobit: P1- Cobit es una herramienta de comunicacin que con lenguaje de gestin, entendible por todos los involucrados al no caer en tecnicismos, permite sealar con precision los planes e hitos vinculados con la implantacin del gobierno de la TI.

P2- Cobit es una herramienta de organizacin que define claramente roles y quien rinde cuentas a nivel estratgico, tctico y operacional. P3- Cobit es una herramienta para estructurar consensos y eliminar falsas oposiciones al respaldarse y compatibilizarse con las principales normas. P4- Cobit es una herramienta de auto evaluacin del status de la TI de la organizacin que puede ser utilizada por la propia rea responsable de determinadas obligaciones o tareas. P5- Cobit es una herramienta de auditora de los controles de TI de una organizacin. P6- Cobit es una herramienta de medicin gerencial por medio de indicadores y del modelo de madurez. Adoptamos o no Cobit? Por lo expuesto estn claros los beneficios y la importancia de adoptar Cobit, incluso si se trata de una organizacin financiera existe el aliciente adicional de la comunin estructural existente entre COSO, modelo del gobierno corporativo y Cobit modelo del gobierno de la TI. De manera que la pregunta que en realidad ms se impone es: Cmo implantamos Cobit? y all para los ms conservadores se sugiere: -Hacer el pequeo esfuerzo de comprender Cobit para lograr auto conviccin y transmitirlo dentro de nuestra organizacin. -Elegir el rea o los procesos que ms preocupan en nuestra organizacin y comenzar por ellos apuntando a un enfoque incremental que da a da me permita vivir las ricas experiencias que muchos viven hoy da en el mundo. -Comprender que es un proceso que puede ser algo lento al principio por falta de experiencia y de disponibilidad de recursos, y por ello debera comenzarse cuanto antes. Implantar Cobit totalmente se estima de acuerdo al promedio actual en un esfuerzo de aproximadamente 3 aos. MODELO DE METODOLOGA COBIT Para la implementacin de la auditoria en cualquier negocio COBIT ha sido desarrollado como estndares generalmente aplicables y aceptados para mejorar las prcticas de control y seguridad de las TI, que provean un marco de referencia para la administracin, los usuarios y los auditores de cualquier tipo. Bsicamente consta de 4 pasos, los cuales conforman el planeamiento y realizacin de una auditoria, ellos son:

1.- Resumen Ejecutivo

El Resumen Ejecutivo se basa en una visin ejecutiva, la cual provee a la administracin un entendimiento de los principios y conceptos claves de COBIT, as como el marco que provee a la administracin con ms detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 en total. 2.- Antecedentes y Marco de Referencia El Marco describe en detalle los 34 Objetivos de Control de TI a un nivel macro, e identifica los requerimientos del negocio para la informacin e impactos preliminares de recursos de TI para cada objetivo de control. Los objetivos de control contienen declaraciones de los resultados deseados o propsitos a ser alcanzados para la implementacin de 302 objetivos de control especficos, a travs de los 34 Procesos de TI. 3.- Guas de Auditoria Las Guas de Auditoria, las cuales contienen pasos de auditoria sugeridos, correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a los auditores de sistemas de informacin en revisar los procesos de TI, junto a los 302 detalles de objetivos de control para proveer seguridad a la administracin y recomendar sus mejoras. 4.- Herramientas de Implementacin Las Herramientas de implementacin, las cuales contienen el conocimiento de la administracin y diagnstico de control de TI, una gua de implementacin. Esta nueva herramienta es diseada para facilitar la implementacin de COBIT y relacionar sesiones aprendidas desde organizaciones que rpidamente y exitosamente aplicaron COBIT en sus ambientes de trabajo. COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofa de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos. Usuarios: La Gerencia: para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas.

Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas. Caractersticas: Orientado al negocio. Alineado con estndares y regulaciones "de facto" . Basado en una revisin crtica y analtica de las tareas y actividades en TI. Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

Principios: El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI. Requerimientos de la informacin del negocio

Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios: Requerimientos de Calidad: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones. Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica). Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa.

Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.

Recursos de TI En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio: Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.

Procesos de TI La estructura de COBIT se define a partir de una premisa simple y pragmtica: "Los recursos de las Tecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la informacin que la empresa necesita para alcanzar sus objetivos". DIVISIN DE COBIT Se divide en tres aspectos: Dominios Procesos Actividades Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control. Actividades: Acciones requeridas para lograr un resultado medible. Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesos estn agrupados en cuatro grandes dominios que se detallan a continuacin junto con sus procesos y una descripcin general de las actividades de cada uno:

Dominio: Planificacin y organizacin Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos de negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas. Procesos: Definicin de un plan Estratgico Objetivo: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos de TI de negocio, para asegurar sus logros futuros. Su realizacin se concreta a travs un proceso de planeacin estratgica emprendido en intervalos regulares dando lugar a planes a largo plazo, los que debern ser traducidos peridicamente en planes operacionales estableciendo metas claras y concretas a corto plazo, teniendo en cuenta:

La definicin de objetivos de negocio y necesidades de TI, la alta gerencia ser la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misin y las metas generales de la organizacin. El inventario de soluciones tecnolgicas e infraestructura actual, se deber evaluar los sistemas existentes en trminos de: nivel de HYPERLINK automatizacin de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el propsito de determinar el nivel de soporte que reciben los requerimientos del negocio de los sistemas existentes. Los cambios organizacionales, se deber asegurar que se establezca un proceso para modificar oportunamente y con precisin el HYPERLINK plan a largo plazo de tecnologa de informacin con el fin de adaptar los cambios al plan a largo plazo de la organizacin y los cambios en las condiciones de la TI. Estudios de Hiperlink factibilidad oportunos, para que puedan obtener resultados efectivos.

Definicin de la HYPERLINK / Arquitectura de Informacin Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas de informacin, a travs de la creacin y HYPERLINK mantenimiento de un HYPERLINK modelo de informacin de negocio, asegurndose que se definan los sistemas apropiados para optimizar la utilizacin de esta informacin, tomando en consideracin:

La HYPERLINK documentacin que deber conservar consistencia con las necesidades permitiendo a los responsables llevar a cabo sus tareas eficiente y oportunamente.

Determinacin de la direccin tecnolgica Objetivo: Aprovechar al mximo de la tecnologa disponible o tecnologa emergente, satisfaciendo los requerimientos de negocio, a travs de la creacin y mantenimiento de un plan de infraestructura tecnolgica, tomando en consideracin:

La capacidad de adecuacin y evolucin de la infraestructura actual, que deber concordar con los planes a largo y corto plazo de tecnologa de informacin y debiendo abarcar aspectos tales como arquitectura de sistemas, direccin tecnolgica y estrategias de migracin. El monitoreo de desarrollos tecnolgicos que sern tomados en consideracin durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica. Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuacin y evolucin de la infraestructura), con lo que se evaluar sistemticamente el plan de infraestructura tecnolgica. Planes de adquisicin, los cuales debern reflejar las necesidades identificadas en el plan de infraestructura tecnolgica.

Definicin de la organizacin y las relaciones de TI Objetivo: Prestacin de servicios de TI Esto se realiza por medio de una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas, teniendo en cuenta:

El comit de direccin el cual se encargara de vigilar la funcin de servicios de informacin y sus actividades. Propiedad, custodia, la Gerencia deber crear una estructura para designar formalmente a los propietarios y custodios de los datos. Sus funciones y responsabilidades debern estar claramente definidas. Supervisin, para asegurar que las funciones y responsabilidades sean llevadas a cabo apropiadamente Segregacin de funciones, con la que se evitar la posibilidad de que un solo individuo resuelva un proceso crtico. Los roles y responsabilidades, la gerencia deber asegurarse de que todo el personal deber conocer y contar con la autoridad suficiente para llevar a cabo las funciones y responsabilidades que le hayan sido asignadas La descripcin de puestos, deber delinear claramente tanto la responsabilidad como la autoridad, incluyendo las definiciones de las habilidades y la experiencia necesarias para el puesto, y ser adecuadas para su utilizacin en evaluaciones de desempeo. Los niveles de asignacin de personal, debern hacerse evaluaciones de requerimientos regularmente para asegurar para asegurar una asignacin de personal adecuada en el presente y en el futuro. El personal clave, la gerencia deber definir e identificar al personal clave de tecnologa de informacin.

Manejo de la inversin

Objetivo: tiene como finalidad la satisfaccin de los requerimientos de negocio, asegurando el financiamiento y el control de desembolsos de recursos financieros. Su realizacin se concreta a travs presupuestos peridicos sobre inversiones y operaciones establecidas y aprobados por el negocio, teniendo en cuenta:

Las alternativas de financiamiento, se debern investigar diferentes alternativas de financiamiento. El control del gasto real, se deber tomar como base el sistema de contabilidad de la organizacin, mismo que deber registrar, procesar y reportar rutinariamente los costos asociados con las actividades de la funcin de servicios de informacin La justificacin de costos y beneficios, deber establecerse un control gerencial que garantice que la prestacin de servicios por parte de la funcin de servicios de informacin se justifique en cuanto a costos. Los beneficios derivados de las actividades de TI debern ser analizados en forma similar.

Comunicacin de la direccin y aspiraciones de la gerencia Objetivo: Asegura el conocimiento y comprensin de los usuarios sobre las aspiraciones del alto nivel (gerencia), se concreta a travs de polticas establecidas y transmitidas a la comunidad de usuarios, necesitndose para esto estndares para traducir las opciones estratgicas en reglas de usuario prcticas y utilizables. Toma en cuenta:

Los cdigo de tica / conducta, el cumplimiento de las reglas de tica, conducta, seguridad y estndares de control interno deber ser establecido por la Alta Gerencia y promoverse a travs del ejemplo. Las directrices tecnolgicas El cumplimiento, la Gerencia deber tambin asegurar y monitorear la duracin de la implementacin de sus polticas. El compromiso con la calidad, la Gerencia de la funcin de servicios de informacin deber definir, documentar y mantener una filosofa de calidad, debiendo ser comprendidos, implementados y mantenidos por todos los niveles de la funcin de servicios de informacin. Las polticas de seguridad y control interno, la alta gerencia deber asegurar que esta poltica de seguridad y de control interno especifique el propsito y los objetivos, la estructura gerencial, el alcance dentro de la organizacin, la definicin y asignacin de responsabilidades para su implementacin a todos los niveles y la definicin de multas y de acciones disciplinarias asociadas con la falta de cumplimiento de estas polticas.

Administracin de recursos humanos Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo as los requerimientos de negocio, a travs de tcnicas slidas para administracin de personal, tomando en consideracin:

El reclutamiento y promocin, deber tener como base criterios objetivos, considerando factores como la educacin, la experiencia y la responsabilidad.

Los requerimientos de calificaciones, el personal deber estar calificado, tomando como base una educacin, entrenamiento y o experiencia apropiados, segn se requiera La capacitacin, los programas de educacin y entrenamiento estarn dirigidos a incrementar los niveles de habilidad tcnica y administrativa del personal. La evaluacin objetiva y medible del desempeo, se deber asegurar que dichas evaluaciones sean llevada a cabo regularmente segn los estndares establecidos y las responsabilidades especficas del puesto. Los empleados debern recibir asesora sobre su desempeo o su conducta cuando esto sea apropiado.

Asegurar el cumplimiento con los requerimientos Externos Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales Para ello se realiza una identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos y se toma en consideracin:

Definicin y mantenimiento de procedimientos para la revisin de requerimientos externos, para la coordinacin de estas actividades y para el cumplimiento continuo de los mismos. Leyes, regulaciones y contratos Revisiones regulares en cuanto a cambios Bsqueda de asistencia legal y modificaciones Seguridad y ergonoma con respecto al ambiente de trabajo de los usuarios y el personal de la funcin de servicios de informacin. Privacidad Propiedad intelectual Flujo de datos externos y criptografa

Evaluacin de riesgos Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de servicios de TI Para ello se logra la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, tomando medidas econmicas para mitigar los riesgos y se toma en consideracin:

Identificacin, definicin y actualizacin regular de los diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de seguridad, etc.) de manera de que se pueda determinar la manera en la que los riesgos deben ser manejados a un nivel aceptable. Definicin de alcances, limites de los riesgos y la metodologa para las evaluaciones de los riesgos. Actualizacin de evaluacin de riesgos Metodologa de evaluacin de riesgos Medicin de riesgos cualitativos y/o cuantitativos

Definicin de un plan de accin contra los riesgos para asegurar que existan controles y medidas de seguridad econmicas que mitiguen los riesgos en forma continua. Aceptacin de riesgos dependiendo de la identificacin y la medicin del riesgo, de la poltica organizacional, de la incertidumbre incorporada al enfoque de evaluacin de riesgos y de que tan econmico resulte implementar protecciones y controles.

Administracin de proyectos Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversin Para ello se realiza una identificacin y priorizacin de los proyectos en lnea con el plan operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido y se toma en consideracin:

Definicin de un marco de referencia general para la administracin de proyectos que defina el alcance y los lmites del mismo, as como la metodologa de administracin de proyectos a ser adoptada y aplicada para cada proyecto emprendido. La metodologa deber cubrir, como mnimo, la asignacin de responsabilidades, la determinacin de tareas, la realizacin de presupuestos de tiempo y recursos, los avances, los puntos de revisin y las aprobaciones. El involucramiento de los usuarios en el desarrollo, implementacin o modificacin de los proyectos. Asignacin de responsabilidades y autoridades a los miembros del personal asignados al proyecto. Aprobacin de fases de proyecto por parte de los usuarios antes de pasar a la siguiente fase. Presupuestos de costos y horas hombre Planes y metodologas de aseguramiento de calidad que sean revisados y acordados por las partes interesadas. Plan de administracin de riesgos para eliminar o minimizar los riesgos. Planes de prueba, entrenamiento, revisin post-implementacin.

Administracin de calidad Objetivo: Satisfacer los requerimientos del cliente Para ello se realiza una planeacin, implementacin y mantenimiento de estndares y sistemas de administracin de calidad por parte de la organizacin y se toma en consideracin:

Definicin y mantenimiento regular del plan de calidad, el cual deber promover la filosofa de mejora continua y contestar a las preguntas bsicas de qu, quin y cmo. Responsabilidades de aseguramiento de calidad que determine los tipos de actividades de aseguramiento de calidad tales como revisiones, auditorias,

inspecciones, etc. que deben realizarse para alcanzar los objetivos del plan general de calidad. Metodologas del ciclo de vida de desarrollo de sistemas que rija el proceso de desarrollo, adquisicin, implementacin y mantenimiento de sistemas de informacin. Documentacin de pruebas de sistemas y programas Revisiones y reportes de aseguramiento de calidad

Dominio: Adquisicin e implementacin Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. Procesos: Identificacin de Soluciones Automatizadas Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario Para ello se realiza un anlisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios y toma en consideracin:

Definicin de requerimientos de informacin para poder aprobar un proyecto de desarrollo. Estudios de factibilidad con la finalidad de satisfacer los requerimientos del negocio establecidos para el desarrollo de un proyecto. Arquitectura de informacin para tener en consideracin el modelo de datos al definir soluciones y analizar la factibilidad de las mismas. Seguridad con relacin de costo-beneficio favorable para controlar que los costos no excedan los beneficios. Pistas de auditoria para ello deben existir mecanismos adecuados. Dichos mecanismos deben proporcionar la capacidad de proteger datos sensitivos (ej. Identificacin de usuarios contra divulgacin o mal uso) Contratacin de terceros con el objeto de adquirir productos con buena calidad y excelente estado. Aceptacin de instalaciones y tecnologa a travs del contrato con el Proveedor donde se acuerda un plan de aceptacin para las instalaciones y tecnologa especifica a ser proporcionada.

Adquisicin y mantenimiento del software aplicativo Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio. Para ello se definen declaraciones especficas sobre requerimientos funcionales y operacionales y una implementacin estructurada con entregables claros y se toma en consideracin:

Requerimientos de usuarios, para realizar un correcto anlisis y obtener un software claro y fcil de usar. Requerimientos de archivo, entrada, proceso y salida. Interfase usuario-maquina asegurando que el software sea fcil de utilizar y que sea capaz de auto documentarse. Personalizacin de paquetes Realizar pruebas funcionales (unitarias, de aplicacin, de integracin y de carga y estrs), de acuerdo con el plan de prueba del proyecto y con los estndares establecidos antes de ser aprobado por los usuarios. Controles de aplicacin y requerimientos funcionales Documentacin (materiales de consulta y soporte para usuarios) con el objeto de que los usuarios puedan aprender a utilizar el sistema o puedan sacarse todas aquellas inquietudes que se les puedan presentar.

Adquisicin y mantenimiento de la infraestructura tecnolgica Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios Para ello se realizara una evaluacin del desempeo del hardware y software, la provisin de mantenimiento preventivo de hardware y la instalacin, seguridad y control del software del sistema y toma en consideracin:

Evaluacin de tecnologa para identificar el impacto del nuevo hardware o software sobre el rendimiento del sistema general. Mantenimiento preventivo del hardware con el objeto de reducir la frecuencia y el impacto de fallas de rendimiento. Seguridad del software de sistema, instalacin y mantenimiento para no arriesgar la seguridad de los datos y programas ya almacenados en el mismo.

Desarrollo y mantenimiento de procedimientos Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas. Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de servicio y material de entrenamiento y toma en consideracin:

Manuales de procedimientos de usuarios y controles, de manera que los mismos permanezcan en permanente actualizacin para el mejor desempeo y control de los usuarios. Manuales de Operaciones y controles, de manera que estn en permanente actualizacin. Materiales de entrenamiento enfocados al uso del sistema en la prctica diaria.

Instalacin y aceptacin de los sistemas Objetivo: Verificar y confirmar que la solucin sea adecuada para el propsito deseado Para ello se realiza una migracin de instalacin, conversin y plan de aceptaciones adecuadamente formalizadas y toma en consideracin:

Capacitacin del personal de acuerdo al plan de entrenamiento definido y los materiales relacionados. Conversin / carga de datos, de manera que los elementos necesarios del sistema anterior sean convertidos al sistema nuevo. Pruebas especficas (cambios, desempeo, aceptacin final, operacional) con el objeto de obtener un producto satisfactorio. Acreditacin de manera que la Gerencia de operaciones y usuaria acepten los resultados de las pruebas y el nivel de seguridad para los sistemas, junto con el riesgo residual existente. Revisiones post implementacin con el objeto de reportar si el sistema proporciono los beneficios esperados de la manera mas econmica.

Administracin de los cambios Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores. Esto se hace posible a travs de un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual y toma en consideracin:

Identificacin de cambios tanto internos como por parte de proveedores Procedimientos de categorizacin, priorizacin y emergencia de solicitudes de cambios. Evaluacin del impacto que provocaran los cambios. Autorizacin de cambios Manejo de liberacin de manera que la liberacin de software este regida por procedimientos formales asegurando aprobacin, empaque, pruebas de regresin, entrega, etc. Distribucin de software, estableciendo medidas de control especificas para asegurar la distribucin de software correcto al lugar correcto, con integridad y de manera oportuna.

Dominio: Prestacin y soporte En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin.

Procesos Definicin de niveles de servicio Objetivo: Establecer una comprensin comn del nivel de servicio requerido Para ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio y se toma en consideracin: Convenios formales que determinen la disponibilidad, confiabilidad, desempeo, capacidad de crecimiento, niveles de soporte proporcionados al usuario, plan de contingencia / recuperacin, nivel mnimo aceptable de funcionalidad del sistema satisfactoriamente liberado, restricciones (lmites en la cantidad de trabajo), cargos por servicio, instalaciones de impresin central (disponibilidad), distribucin de impresin central y procedimientos de cambio. Definicin de las responsabilidades de los usuarios y de la funcin de servicios de informacin Procedimientos de desempeo que aseguren que la manera y las responsabilidades sobre las relaciones que rigen el desempeo entre todas las partes involucradas sean establecidas, coordinadas, mantenidas y comunicadas a todos los departamentos afectados. Definicin de dependencias asignando un Gerente de nivel de Servicio que sea responsable de monitorear y reportar los alcances de los criterios de desempeo del servicio especificado y todos los problemas encontrados durante el procesamiento. Provisiones para elementos sujetos a cargos en los acuerdos de niveles de servicio para hacer posibles comparaciones y decisiones de niveles de servicios contra su costo. Garantas de integridad Convenios de confidencialidad Implementacin de un programa de mejoramiento del servicio.

Administracin de servicios prestados por terceros Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas, que cumplan y continen satisfaciendo los requerimientos Para ello se establecen medidas de control dirigidas a la revisin y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la organizacin y toma en consideracin: Acuerdos de servicios con terceras partes a travs de contratos entre la organizacin y el proveedor de la administracin de instalaciones este basado en niveles de procesamiento requeridos, seguridad, monitoreo y requerimientos de contingencia, as como en otras estipulaciones segn sea apropiado. Acuerdos de confidencialidad. Adems, se deber calificar a los terceros y el contrato deber definirse y acordarse para cada relacin de servicio con un proveedor. Requerimientos legales regulatorios de manera de asegurar que estos concuerde con los acuerdos de seguridad identificados, declarados y acordados.

Monitoreo de la entrega de servicio con el fin de asegurar el cumplimiento de los acuerdos del contrato.

Administracin de desempeo y capacidad Objetivo: Asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado. Para ello se realizan controles de manejo de capacidad y desempeo que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos y toma en consideracin: Requerimientos de disponibilidad y desempeo de los servicios de sistemas de informacin . Monitoreo y reporte de los recursos de tecnologa de informacin Utilizar herramientas de modelado apropiadas para producir un modelo del sistema actual para apoyar el pronstico de los requerimientos de capacidad, confiabilidad de configuracin, desempeo y disponibilidad. Administracin de capacidad estableciendo un proceso de planeacin para la revisin del desempeo y capacidad de hardware con el fin de asegurar que siempre exista una capacidad justificable econmicamente para procesar cargas de trabajo con cantidad y calidad de desempeo . Prevenir que se pierda la disponibilidad de recursos mediante la implementacin de mecanismos de tolerancia de fallas, de asignacin equitativos de recursos y de prioridad de tareas.

Monitoreo Asegurar el Servicio Continuo Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en caso de interrupciones Para ello se tiene un plan de continuidad probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio y toma en consideracin:

Planificacin de Severidad. Plan Documentado . Procedimientos Alternativos. Respaldo y Recuperacin . Pruebas y entrenamiento sistemtico y singulares

Garantizar la seguridad de sistemas Objetivo: salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdida Para ello se realizan controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados y toma en consideracin: el acceso lgico junto con el uso de los autenticacin y Autorizacin, recursos de TI deber restringirse a travs de la instrumentacin de mecanismos de autenticacin de usuarios identificados y recursos asociados con las reglas de acceso . Perfiles e identificacin de usuarios estableciendo procedimientos para asegurar acciones oportunas relacionadas con la requisicin, establecimiento, emisin, suspensin y suspensin de cuentas de usuario . Administracin de llaves criptogrficas definiendo implementando procedimientos y protocolos a ser utilizados en la generacin, distribucin, certificacin, almacenamiento, entrada, utilizacin y archivo de llaves criptogrficas con el fin de asegurar la proteccin de las mismas . Manejo, reporte y seguimiento de incidentes implementado capacidad para la atencin de los mismos . Prevencin y deteccin de virus tales como Caballos de Troya, estableciendo adecuadas medidas de control preventivas, detectivas y correctivas. Firewalls si existe una conexin con de Utilizacin Internet u otras redes pblicas en la organizacin

Identificacin y asignacin de costos Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI Para ello se realiza un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos y toma en consideracin: Los elementos sujetos a cargo deben ser recursos identoificables,medibles y predecibles para los usuarios. Procedimientos y polticas de cargo que fomenten el uso apropiado de los recursos de computo y aseguren el trato justo de los departamentos usuarios y sus necesidades Tarifas definiendo e implementando procedimientos de costeo de prestar servicios, para ser analizados, moni toreados, evaluados asegurando al mismo tiempo la economa

Monitoreo Apoyo y asistencia a los clientes de TI Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente Para ello se realiza un Bur de ayuda que proporcione soporte y asesora de primera lnea y toma en consideracin:

Consultas de usuarios y respuesta a problemas estableciendo un soporte de una funcin de bur de ayuda . Monitoreo de consultas y despacho estableciendo procedimientos que aseguren que las preguntas de los clientes que pueden ser resueltas sean reasignadas al nivel adecuado para atenderlas . Anlisis y reporte de tendencias adecuado de las preguntas de los clientes y su solucion de los tiempos de respuesta y la identificacin de tendencias.

Administracin del a configuracin Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de cambios Para ello se realizan controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia y toma en consideracin: Registro de activos estableciendo procedimientos para asegurar que sean registrados nicamente elementos de configuracin autorizados e identificables en el inventario, al momento de adquisicin . Administracin de cambios en la configuracin asegurando que los registros de configuracin reflejen el status real de todos los elementos de la configuracin Chequeo de software no autorizado revisando peridicamente las computadoras personales de la organizacin . Controles de almacenamiento de software definiendo un rea de almacenamiento de archivos para todos los elementos de software vlidos en las fases del ciclo de vida de desarrollo de sistemas

Administracin de Problemas Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder. Para ello se necesita un sistema de manejo de problemas que registre y d seguimiento a todos los incidentes, adems de un conjunto de procedimientos de escalamiento de problemas para resolver de la manera ms eficiente los problemas identificados. Este sistema de administracin de problemas deber tambin realizar un seguimiento de las causas a partir de un incidente dado. Administracin de Datos Objetivo: Asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin, salida y almacenamiento. Lo cual se logra a travs de una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI. Para tal fin, la gerencia deber disear formatos de entrada de datos para los usuarios de manera que se minimicen lo errores y las omisiones durante la creacin de los datos.

Este proceso deber controlar los documentos fuentes (de donde se extraen los datos), de manera que estn completos, sean precisos y se registren apropiadamente. Se debern crear tambin procedimientos que validen los datos de entrada y corrijan o detecten los datos errneos, como as tambin procedimientos de validacin para transacciones errneas, de manera que stas no sean procesadas. Cabe destacar la importancia de crear procedimientos para el almacenamiento, respaldo y recuperacin de datos, teniendo un registro fsico (discos, disquetes, CDs y cintas magnticas) de todas las transacciones y datos manejados por la organizacin, albergados tanto dentro como fuera de la empresa. La gerencia deber asegurar tambin la integridad, autenticidad y confidencialidad de los datos almacenados, definiendo e implementando procedimientos para tal fin. Administracin de las instalaciones Objetivo: Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad fsica. Administracin de la operacin Objetivo: Asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada Esto se logra a travs de una calendarizacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades. Para ello, la gerencia deber establecer y documentar procedimientos para las operaciones de tecnologa de informacin (incluyendo operaciones de red), los cuales debern ser revisados peridicamente para garantizar su eficiencia y cumplimiento. Dominio: Monitoreo Todos los procesos de una organizacin necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Este es, precisamente, el mbito de este dominio. Procesos Monitoreo del Proceso Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeo gerenciales y la implementacin de sistemas de soporte as como la atencin regular a los reportes emitidos. Para ello la gerencia podr definir indicadores claves de desempeo y/o factores crticos de xito y compararlos con los niveles objetivos propuestos para evaluar el desempeo de los procesos de la organizacin. La gerencia deber tambin medir el grado de satisfaccin del los clientes con respecto a los servicios de informacin proporcionados para identificar deficiencias en los niveles de servicio y establecer supervisin, comparaciones, reconciliaciones y otras acciones rutinarias., evaluar su efectividad y emitir reportes sobre ellos en forma regular. Estas actividades de monitoreo

continuo por parte de la Gerencia debern revisar la existencia de puntos vulnerables y problemas de seguridad. Obtencin de Aseguramiento Independiente Objetivo: Incrementar los niveles de confianza entre la organizacin, clientes y proveedores externos. Este proceso se lleva a cabo a intervalos regulares de tiempo. Para ello la gerencia deber obtener una certificacin o acreditacin independiente de seguridad y control interno antes de implementar nuevos servicios de tecnologa de informacin que resulten crticos, como as tambin para trabajar con nuevos proveedores de servicios de tecnologa de informacin. Luego la gerencia deber adoptar como trabajo rutinario tanto hacer evaluaciones peridicas sobre la efectividad de los servicios de tecnologa de informacin y de los proveedores de estos servicios como as tambin asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnologa de informacin y de los proveedores de estos servicios. Proveer Auditoria Independiente Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas de su implementacin, lo que se logra con el uso de auditorias independientes desarrolladas a intervalos regulares de tiempo. Para ello la gerencia deber establecer los estatutos para la funcin de auditoria, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoria. El auditor deber ser independiente del auditado, esto significa que los auditores no debern estar relacionados con la seccin o departamento que est siendo auditado y en lo posible deber ser independiente de la propia empresa. Esta auditoria deber respetar la tica y los estndares profesionales, seleccionando para ello auditores que sean tcnicamente competentes, es decir que cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes de auditoria. La funcin de auditoria deber proporcionar un reporte que muestre los objetivos de la auditoria, perodo de cobertura, naturaleza y trabajo de auditoria realizado, como as tambin la organizacin, conclusin y recomendaciones relacionadas con el trabajo de auditoria llevado a cabo. Los 34 procesos propuestos se concretan en 32 objetivos de control detallados anteriormente. Un Control se define como "las normas, estndares, procedimientos, usos y costumbres y las estructuras organizativas, diseadas para proporcionar garanta razonable de que los objetivos empresariales se alcanzaran y que los eventos no deseados se prevern o se detectaran, y corregirn" Un Objetivo de Control se define como "la declaracin del resultado deseado o propuesto que se ha de alcanzar mediante la aplicacin de procedimientos de control en cualquier actividad de TI",En resumen, la estructura conceptual se puede enfocar desde tres puntos de vista: -Los recursos de las TI -Los criterios empresariales que deben satisfacer la informacin -Los procesos de TI

Las tres dimensiones conceptales de COBIT Aplicacin de las Normas COBIT A continuacin, analizaremos como se deberan aplicar las Normas COBIT en una Organizacin, utilizando para ello la Gua de Auditoria presentada en la pagina Web www.isaca.org, la misma indica los pasos a seguir para auditar cada uno de los procesos de TI de la norma. Este reporte lo confeccionamos dndole el formato de un informe de auditoria: Relaciones de Objetivo de Control, Dominios, Procesos y Objetivos de Control Planeacin y Organizacin Definicin de un Plan Estratgico de Tecnologa de Informacin. Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo. Plan a largo plazo de Tecnologa de Informacin. Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura Cambios al Plan a largo plazo de Tecnologa de Informacin. Planeacin a corto plazo para la funcin de Servicios de Informacin Evaluacin de sistemas existentes Definicin de la Arquitectura de Informacin Modelo de la Arquitectura de Informacin Diccionario de Datos y Reglas de cinta de datos de la corporacin. Esquema de Clasificacin de Datos Niveles de Seguridad Determinacin de la direccin tecnolgica. Planeacin de la Infraestructura Tecnolgica. Monitoreo de Tendencias y Regulaciones Futuras. Contingencias en la Infraestructura Tecnolgica. Planes de Adquisicin de Hardware y Software. Estndares de Tecnologa. Definicin de la Organizacin y de las Relaciones de TI. Comit de planeacin o direccin de la funcin de servicios de informacin. Ubicacin de los servicios de informacin en la organizacin.

Revisin de Logros Organizacionales. Funciones y Responsabilidades. Responsabilidad del aseguramiento de calidad Responsabilidad de la seguridad lgica y fsica Propiedad y Custodia Propiedad de Datos y Sistemas Supervisin Segregacin de Funciones Asignacin de Personal para Tecnologa de Informacin. Descripcin de Puestos para el Personal de la Funcin de TI Personal clave de TI Procedimientos para personal por contrato 4.15 Relaciones. Manejo de la Inversin en Tecnologa de Informacin. Presupuesto Operativo Anual para la Funcin de Servicio de informacin. Monitoreo de Costo Beneficio. Justificacin de Costo Beneficio. Comunicacin de la direccin y aspiraciones de la gerencia. Ambiente positivo de control de la informacin. Responsabilidad de la Gerencia en cuanto a Polticas. Comunicacin de las Polticas de la Organizacin. Recursos para la implementacin de Polticas. Mantenimiento de Polticas. Cumplimiento de Polticas, Procedimientos y Estndares. Compromiso con la Calidad. Poltica sobre el Marco de Referencia para la Seguridad y el Control Interno. Derechos de propiedad intelectual. Polticas Especficas. Comunicacin de Conciencia de Seguridad en TI. Administracin de Recursos Humanos. Reclutamiento y Promocin de Personal.

Personal Calificado. Entrenamiento de Personal. Entrenamiento Cruzado o Respaldo de Personal. Procedimientos de Acreditacin de Personal. Evaluacin de Desempeo de los Empleados. Cambios de Puesto y Despidos. Aseguramiento del Cumplimiento de Requerimientos Externos. Revisin de Requerimientos Externos. Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos. Cumplimiento de los Estndares de Seguridad y Ergonoma. Privacidad, Propiedad Intelectual y Flujo de Dato. Comercio Electrnico Cumplimiento con Contratos de Seguros. Evaluacin de Riesgos Evaluacin de Riesgos del Negocio Enfoque de Evaluacin de Riesgos Identificacin de Riesgos Medicin de Riesgos Plan de Accin contra Riesgos Aceptacin de Riesgos Administracin de proyectos Marco de Referencia para la Administracin de Proyectos Participacin del Departamento Usuario en la Iniciacin de Proyectos Miembros y Responsabilidades del Equipo del Proyecto Definicin del Proyecto Aprobacin del Proyecto Aprobacin de las Fases del Proyecto Plan Maestro del Proyecto Plan de Aseguramiento de la Calidad de Sistemas Planeacin de Mtodos de Aseguramiento

Administracin Formal de Riesgos de Proyectos Plan de Prueba Plan de Entrenamiento Plan de Revisin Post Implementacin Administracin de Calidad Plan General de Calidad Enfoque de Aseguramiento de Calidad Planeacin del Aseguramiento de Calidad Revisin de Aseguramiento de Calidad sobre el Cumplimiento de Estndares y Procedimientos de la Funcin de Servicios de Informacin Metodologa del Ciclo de Vida de Desarrollo de Sistemas Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas Coordinacin y Comunicacin Marco de Referencia de Adquisicin y Mantenimiento para la Infraestructura de Tecnologa Relaciones con Terceras Partes como Implementadores Estndares para la Documentacin de Programas Estndares para Pruebas de Programas Estndares para Pruebas de Sistemas Pruebas Piloto/En Paralelo Documentacin de las Pruebas del Sistema Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndar de Desarrollo Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Funcin de Servicios de Informacin Mtricas de Calidad Reportes de Revisiones de Aseguramiento de la Calidad

Adquisicin e Implementacin Identificacin de Soluciones Definicin de Requerimientos de Informacin Formulacin de Acciones Alternativas Formulacin de Estrategias de Adquisicin. Requerimientos de Servicios de Terceros Estudio de factibilidad Tecnolgica Estudio de Factibilidad Econmica Arquitectura de Informacin Reporte de Anlisis de Riesgos Controles de Seguridad Econmicos Diseo de Pistas de Auditoria Ergonoma Seleccin de Software de Sistema Control de Abastecimiento Adquisicin de Productos de Software Mantenimiento de Software de Terceras Partes Contratos de Programacin de Aplicaciones Aceptacin de Instalaciones Aceptacin de Tecnologa Adquisicin y Mantenimiento de Software de Aplicacin Mtodos de Diseo Cambios Significativos a Sistemas Actuales Aprobacin del Diseo Definicin y Documentacin de Requerimientos de Archivos Especificaciones de Programas Diseo para la Recopilacin de Datos Fuente Definicin y Documentacin de Requerimientos de Entrada de Datos Definicin de Interfases Interfases Usuario-Mquina Definicin y Documentacin de Requerimientos de Procesamiento Definicin y Documentacin de Requerimientos de Salida de Datos Controlabilidad Disponibilidad como Factor Clave de Diseo Estipulacin de Integridad de TI en programas de software de aplicaciones Pruebas de Software de Aplicacin Materiales de Consulta y Soporte para Usuario Reevaluacin del Diseo del Sistema Adquisicin y Mantenimiento de Arquitectura de Tecnologa Evaluacin de Nuevo Hardware y Software Mantenimiento preventivo para Hardware Seguridad del Software del Sistema

Instalacin del Software del Sistema Mantenimiento del Software del Sistema Controles para Cambios del Software del Sistema Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnologa de Informacin Futuros Requerimientos y Niveles de Servicios Operacionales Manual de procedimientos para Usuario Manual de Operacin Material de Entrenamiento Instalacin y Acreditacin de Sistemas Entrenamiento Adecuacin del Desempeo del Software de Aplicacin Conversin Pruebas de Cambios Criterios y Desempeo de Pruebas en Paralelo / Piloto Prueba de Aceptacin Final Pruebas y Acreditacin de Seguridad Prueba Operacional Promocin a Produccin 5.10 Evaluacin de la Satisfaccin de los Requerimientos del Usuario Revisin Gerencial Post Implementacin Administracin de Cambios Inicio y Control de Requisiciones de Cambio Evaluacin del Impacto Control de Cambios Documentacin y Procedimientos Mantenimiento Autorizado Poltica de Liberacin de Software Distribucin de Software

Entrega de Servicios y Soporte Definicin de Niveles de Servicio Marco de Referencia para el Convenio de Nivel de Servicio Aspectos sobre los Acuerdos de Nivel de Servicio Procedimientos de Ejecucin Monitoreo y Reporte Revisin de Convenios y Contratos de Nivel de Servicio Elementos sujetos a Cargo Programa de Mejoramiento del Servicio Administracin de Servicios prestados por Terceros Interfases con Proveedores Relaciones de Dueos Contratos con Terceros

Calificaciones de terceros Contratos con Outsourcing Continuidad de Servicios Relaciones de Seguridad Monitoreo Administracin de Desempeo y Capacidad Requerimientos de Disponibilidad y Desempeo 3.2 Plan de Disponibilidad Monitoreo y Reporte Herramientas de Modelado Manejo de Desempeo Proactivo Pronstico de Carga de Trabajo Administracin de Capacidad de Recursos Disponibilidad de Recursos Calendarizacin de recursos Aseguramiento de Servicio Continuo Marco de Referencia de Continuidad de Tecnologa de Informacin Estrategia y Filosofa de Continuidad de Tecnologa de Informacin Contenido del Plan de Continuidad de Tecnologa de Informacin Minimizacin de requerimientos de Continuidad de Tecnologa de Informacin Mantenimiento del Plan de Continuidad de Tecnologa de Informacin Pruebas del Plan de Continuidad de Tecnologa de Informacin Capacitacin sobre el Plan de Continuidad de Tecnologa de Informacin Distribucin del Plan de Continuidad de Tecnologa de Informacin Procedimientos de Respaldo de Procesamiento para Departamentos Usuarios Recursos crticos de Tecnologa de Informacin Centro de computo y Hardware de respaldo Procedimientos de Refinamiento del Plan de Continuidad de TI Garantizar la Seguridad de Sistemas Administrar Medidas de Seguridad Identificacin, Autenticacin y Acceso Seguridad de Acceso a Datos en Lnea Administracin de Cuentas de Usuario Revisin Gerencial de Cuentas de Usuario Control de Usuarios sobre Cuentas de Usuario Vigilancia de Seguridad Clasificacin de Datos Administracin Centralizada de Identificacin y Derechos de Acceso Reportes de Violacin y de Actividades de Seguridad Manejo de Incidentes Re-acreditacin Confianza en Contrapartes Autorizacin de Transacciones No Rechazo Sendero Seguro

Proteccin de funciones de seguridad Administracin de Llave Criptogrfica Prevencin, Deteccin y Correccin de Software "Malicioso" Arquitecturas de FireWalls y conexin a redes pblicas Proteccin de Valores Electrnicos Identificacin y Asignacin de Costos Elementos Sujetos a Cargo Procedimientos de Costeo Procedimientos de Cargo y Facturacin a Usuarios Educacin y Entrenamiento de Usuarios Identificacin de Necesidades de entrenamiento. Organizacin de entrenamiento. Administracin de la Configuracin Registro de la Configuracin Base de la Configuracin Registro de Estatus Control de la Configuracin Software no Autorizado Almacenamiento de Software Administracin de Problemas e Incidentes Sistema de Administracin de Problemas Escalamiento de Problemas Seguimiento de Problemas y Pistas de Auditoria Administracin de Datos Procedimientos de Preparacin de Datos Procedimientos de Autorizacin de Documentos Fuente Recopilacin de Datos de Documentos Fuente Manejo de Errores de Documentos Fuente Retencin de Documentos Fuente Procedimientos de Autorizacin de Entrada de Datos Chequeos de Exactitud, Suficiencia y Autorizacin Manejo de Errores en la Entrada de Datos Integridad de Procesamiento de Datos Validacin y Edicin de Procesamiento de Datos Manejo de Error en el Procesamiento de Datos Manejo y Retencin de Salida de Datos Distribucin de Salida de Datos Balanceo y Conciliacin de Datos de Salida Revisin de Salida de Datos y Manejo de Errores Provisiones de Seguridad para Reportes de Salida Proteccin de Informacin Sensible durante transmisin y transporte Proteccin de Informacin Crtica de los Servicios de TI Evaluacin Independiente de la Efectividad de proveedores externos de servicios

Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales Competencia de la Funcin de Aseguramiento Independiente Participacin Proactiva de Auditoria Proveer Auditoria Independiente Estatutos de Auditoria Independencia tica y Estndares Profesionales Competencia Planeacin Desempeo del Trabajo de Auditoria Reporte Actividades de Seguimiento ser Desechada Administracin de Almacenamiento Perodos de Retencin y Trminos de Almacenamiento Sistema de Administracin de la Librera de Medios Responsabilidades de la Administracin de la Librera de Medios de proveedores externos de servicios Respaldo y Restauracin Funciones de Respaldo Almacenamiento de Respaldo Archivo Proteccin de Mensajes Sensitivos Autenticacin e Integridad Integridad de Transacciones Electrnicas Integridad Continua de Datos Almacenados Administracin de Instalaciones Seguridad Fsica Discrecin de las Instalaciones de Tecnologa de Informacin Escolta de Visitantes Salud y Seguridad del Personal Proteccin contra Factores Ambientales Suministro Ininterrumpido de Energa Administracin de Operaciones Manual de procedimientos de Operacin e Instrucciones Documentacin del Proceso de Inicio y de Otras Operaciones Calendarizacin de Trabajos Salidas de la Calendarizacin de Trabajos Estndar Continuidad de Procesamiento Bitcoras de Operacin Operaciones Remotas

monitoreo Monitoreo del Proceso Recoleccin de Datos de Monitoreo Evaluacin de Desempeo Evaluacin de la Satisfaccin de Clientes Reportes Gerenciales Evaluar lo adecuado del Control Interno Monitoreo de Control Interno Operacin oportuna del Control Interno Reporte sobre el Nivel de Control Interno Seguridad de operacin y aseguramiento de Control Interno. Obtencin de Aseguramiento Independiente. Certificacin / Acreditacin Independiente de Control y Seguridad de los servicios de TI. Certificacin / Acreditacin Independiente de Control y Seguridad de proveedores externos de servicios. Evaluacin Independiente de la Efectividad.

Fuentes de COBIT - Modelo de Control de Negocios - Normas profesionales en control interno y auditora: Normas y lineamientos COSO, IFAC, AICPA, ISACA, IIA, GAO, etc. - Estndares tcnicos extrados de las normas ISO, EDIFACT y otros. - Criterios de calificacin sistemas y procesos de TI: ITSEC, TCSEC, ISO9000-3, SPICE, TICKIT, etc. - Cdigos de conducta publicadas por el Consejo Europeo, OCDE, ISACA, etc. - Prcticas y requerimientos de la industria, emanados de foros de la industria (ESF, I-4) y programas que cuentan con auspicio gubernamental (IBAG, NIST, DTI). - Requisitos emergentes especficos de la industria, como por ejemplo: del sector bancario, del comercio electrnico y la industria de fabricantes de TI.

ISO
Sigla de ISO Organismo Internacional de Normalizacin (International Standards Organization). Creacin de ISO Fue creado en 1947 y que cuenta con 110 estados miembros representados por sus organismos nacionales de normalizacin, por ejemplo en : Espaa es AENOR (Agencia Espaola de Normalizacin) Argentina el IRAM (Instituto Argentino de Racionalizacin de Materiales) Estados Unidos el ANSI (American National Standards Institute).

Entre las normas que ha dictado esta organizacin se encuentran las recientes ISO 9001 e ISO 14001 que son independientes una de la otra, es decir, no por tener la calificacin ISO 9001 se obtiene automticamente la ISO 14001. Normas de Gestin ISO ISO 9001 Calidad ISO 14001 Ambiental ISO 17799 Seguridad de la Informacin La principal norma de Evaluacin e Implementacin de medidas de Seguridad en Tecnologas de la Informacin es la NORMA ISO 17799. Basada en el BRITISH STANDARD 7799. ISO (Europa) y NIST (USA). Normas ISO 9001 y 14001 Son normas que regulan la calidad de los bienes o de los servicios que venden u ofrecen las empresas, as como los aspectos ambientales implicados en la produccin de los mismos. Tanto el comercio como la industria tienden a adoptar normas de produccin y comercializacin uniformes para todos los pases, es decir, tienden a la normalizacin. sta no slo se traduce en leyes que regulan la produccin de bienes o servicios sino que su influencia tiende a dar estabilidad a la economa, ahorrar gastos, evitar el desempleo y garantizar el funcionamiento rentable de las empresas. ISO 9001 Es el modelo de diseo-desarrollo del producto, su proceso de produccin, instalacin y mantenimiento, es decir, es un sistema para asegurar la calidad. Este sistema obliga a una estrecha relacin entre el cliente y el proveedor; tambin interrelaciona cada una de las reas de la compaa o empresa y minimiza el factor de error en la toma de decisiones en toda la organizacin, ya sea en situaciones habituales o especiales. Actualmente la ISO

9001 tiene ms de 70.000 registros en todo el mundo, lo cual evidencia que la comunidad de negocios internacional la ha adoptado como un sistema vlido, fiable y realizable. En 1993 la ISO comenz en Ginebra el proceso de desarrollo de estndares de manejo ambiental para las empresas dedicadas al comercio internacional, es decir, sistemas de proteccin al medio ambiente que se pudieran aplicar en las empresas independientemente de condicionantes locales, regionales o estatales, e incluso del tamao de la organizacin. Esto significa que el esfuerzo realizado es comparable en cualquier lugar del mundo por ello nace: ISO 14001 Que es un sistema de estndares ambientales administrativos. Los estndares pueden ser aplicados o implementados en toda la organizacin o slo en partes especficas de la misma (produccin, ventas, administracin, transporte, desarrollo, etc.). No hay una actividad industrial o de servicios especfica a la que aplicar esas normas. Su adopcin obliga a la empresa a intentar disminuir los costos ambientales a travs de estrategias como la prevencin de la contaminacin del agua y de la atmsfera. Lo primero que se debe conocer para optar a la calificacin de ISO 14000 es en qu fallos incurre la empresa para saber dnde se puede mejorar. Es decir, se hace casi imprescindible que la empresa se someta a una auditoria ambiental que caracterice adecuadamente los efluentes, por ejemplo: El costo de una auditoria vara dependiendo de la actividad, siendo mayor cuanto ms peligrosa o compleja es la actividad desarrollada (una empresa de curtidos que utiliza numerosos productos altamente txicos, frente a una panificadora). Con los resultados de sta se puede comenzar a tomar las medidas correctoras para encuadrar al establecimiento dentro de la legislacin sectorial vigente y as poder optar a la calificacin. ISO 17799 Es un sistema de Seguridad de la Informacin, que se encarga de preservar la: Confidencialidad: accesible slo a aquellas personas autorizadas a tener acceso. Integridad: exactitud y totalidad de la informacin y los mtodos de procesamiento. Disponibilidad: acceso a la informacin y a los recursos relacionados con ella toda vez que se requiera.
1.- Poltica de Seguridad 2.- Organizacin de Seguridad 3.- Clasificacin y Control de Activos 4.- Aspectos humanos de la seguridad 5.- Seguridad Fsica y Ambiental 6.- Gestin de Comunicaciones y Operaciones 7.- Sistema de Control de Accesos 8.- Desarrollo y Mantenimiento de Sistemas 9.- Plan de Continuidad del Negocio 10.- Cumplimiento

Factores crticos del xito Poltica de seguridad, objetivos y actividades que reflejen los objetivos de la empresa. una estrategia de implementacin de seguridad que sea consecuente con la cultura organizacional. Apoyo y compromiso manifiestos por parte de la gerencia. un claro entendimiento de los requerimientos de seguridad, la evaluacin de riesgos y la administracin de los mismos. Comunicacin eficaz de los temas de seguridad a todos los gerentes y empleados. Distribucin de guas sobre polticas y estndares de seguridad de la informacin a todos los empleados y contratistas instruccin y entrenamiento adecuados. Un sistema integral y equilibrado de medicin que se utilice para evaluar el desempeo de la gestin de la seguridad de la informacin y para brindar sugerencias tendientes a mejorarlo.