COBIT

Ing. Amparo del Carmen Lafuente Ayala

Conjunto de buenas prácticas para el manejo
de información.

Consolida y armoniza estándares de

fuentes globales prominentes en un
recurso crítico para la gerencia, los
profesionales de control y los auditores.

Se aplica a los sistemas de información de

toda la empresa, incluyendo computadoras
personales, mini computadoras y ambientes
distribuidos.
 • OBJETIVOS DE CONTROL
PARA LA INFORMACIÓN Y
LA TECNOLOGÍA
RELACIONADA

Requerimientos
de Control

Cerrar la Brecha
entre:
CONCEPTO BÁSICOS
ISACA - 95 paises 20.000 miembros

COBIT
Representatividad Investigación: E.U-Europa-Australia-Japón

Consolidación y armonización 18 estándares

COSO : (Committe Of Sponsoring Org. of the Treadway Commission)

OECD : (Organizarion for Economic Cooperation and Development)
ISO 9003 : (International Standars Organization)
NIST : (National Institute of Standars and Technology)
DTI : (Departament of Trade and Industry of the U.K´)
ITSEC : (Information Technology Security Evaluation Criteria - Europa)
TCSEC : (Trusted Computer Evaluación Criteria - Orange Book- E.U)
IIA SAC : (Institute of Internal Auditors - Systems Auditability and Control)
IS : Auditing Standars Japón Fuente: Ing. Víctor Manuel Montaño Ardila
CONCEPTO BÁSICOS
Para satisfacer los objetivos del negocio la información debe
cumplir con criterios que COBIT extrae de los más reconocidos
modelos:

•Calidad

Requerimientos de calidad •Costo

(ISO 9000-3)
•Entrega

Ing. Víctor Manuel Montaño Ardila

CONCEPTO BÁSICOS
Requerimientos fiduciarios
(informe COSO)
Requerimientos de seguridad
(libro rojo, naranja,
ISO 17799 y otros)
Eficacia y eficiencia
Confiabilidad de la información
Cumplimiento con leyes y
reglamentaciones
Disponibilidad
Integridad
Confidencialidad
Ing. Víctor Manuel Montaño Ardila
REGLA DE ORO DEL COBIT

A fin, de proveer la información que la

organización requiere para lograr sus
objetivos, los recursos de TI deben ser
administrados por un conjunto de
procesos, agrupados de forma
adecuada y normalmente aceptada.

Ing. Víctor Manuel Montaño Ardila

¿POR QUÉ COBIT?
La Tecnología se ve como un costo, no
hay una terminología común con el
negocio, y se recorta el presupuesto
en la seguridad, ya que la falta de
difusion de normas y buenas
prácticas que ayuden a generar
conciencia de los riesgos mantiene la
quimera del :
“ A mi no me va pasar..”

Ing. Víctor Manuel Montaño Ardila

¿POR QUÉ COBIT?
Gobierno de Tecnología de Información
El rol de la Dirección

La Dirección, a través de su
Gobierno Corporativo debe
garantizar la debida diligencia por
parte de todos los individuos
involucrados en la administración,
uso, diseño, desarrollo,
mantenimiento u operación de los
sistemas de información.

Ing. Víctor Manuel Montaño Ardila

QUIÉNES NECESITAN REGLAS DE JUEGO
DEFINIDAS?
• Los Mandos Gerenciales para saber que
deben exigir, como medir los resultados y
cuales son sus responsabilidades en esos
temas.
•
Balancear el riesgo y la inversión en control
de un ambiente a menudo impredecible

• El Auditor para sustentar sus opiniones sobre

los riesgos y la adecuación de la tecnología a
las mejores prácticas. Ser asesores proactivos
del negocio

Ing. Víctor Manuel Montaño Ardila

ADEMÁS...

• El Área usuaria para saber que puede pedir a

tecnología y que se le va a exigir sobre el control
de los procesos del negocio.
Son los interesados en saber si los recursos de
Tecnología de Información se utilizan
adecuadamente y les ayudan a alcanzar sus
objetivos
• El Gerente de Tecnología para definir un acuerdo
de servicios y justificar su inversión
• Los Organismos estatales de control, para saber
que es lo mínimo que pueden exigir.

Ing. Víctor Manuel Montaño Ardila

ORIENTACIÓN DE COBIT
Su orientación hacia el negocio consiste en vincular
objetivos de negocio con objetivos de TI, facilitar
métricas y modelos de madurez para medir su éxito, e
identificar las responsabilidades asociadas del negocio
y los propietarios de los procesos de TI.

“ENFOCADO EN EL NEGOCIO, ORIENTADO A PROCESO,

BASADO EN CONTROLES Y DIRIGIDO POR MEDIDAS.”

Ing. Víctor Manuel Montaño Ardila

COBIT 5: Ahora un único Marco
Empresarial Completofor
Gobierno Corporativo de TI
Evolución del Alcance

Gobierno de TI

Val IT 2.0
Administración (2008)

Control
Risk IT
(2009)
Auditoría

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

Un Marco Empresarial de ISACA, en www.isaca.org/cobit 14

© 2012 ISACA® Todos los derechos reservados.
 Planear,
Práctica buena para
implementar,
Desarrollo claro de el control de
controlar y evaluar
políticas. Tecnologías de
el gobierno sobre
Información.
TI.

Reducir riesgos
Aumentar el valor
asociados a
en tecnologías de
proyectos
Información.
tecnológicos.
Proveer un Consolidar y Concientizar a Aplica a todo Ratifica la
Marco único – Armonizar la comunidad tipo de importancia de
Nivel Mundial estándares •Sobre importancia Organizaciones la información
•Mejores prácticas •Originados en del Control y la •Independiente de •Como recurso
de control y diferentes países Auditoría de TI. su plataforma de valioso.
seguridad de TI TI.
DEFINICIONES
Las Pólíticas, Procedimientos, Prácticas y
Estructuras Organizacionales, diseñadas
para asegurar razonablemente el logro
de los objetivos del negocio y que los
CONTROL
eventos indeseables serán prevenidos o
detectados o corregidos.

Son declaraciones del resultado

Objetivos de esperado o del propósito a lograr
mediante la implementación de los
Control de IT
controles en una actividad de IT
específica.

Ing. Víctor Manuel Montaño Ardila

PRINCIPIOS
Se refiere a la información que es relevante para
Efectividad el negocio y que debe ser entregada de manera
correcta, oportuna, consistente y usable.

Se refiere a la provisión de información a través

Eficiencia del óptimo (más productivo y económico) uso
de los recursos.

Relativa a la protección de la información

Confidencialidad sensitiva de su revelación no autorizada.

Se refiere a la exactitud y completitud de la

información, así como su validez, en
Integridad concordancia con los valores y expectativas del
negocio.

Ing. Víctor Manuel Montaño Ardila

 PRINCIPIOS
Se refiere a la que la información debe estar
disponible cuando es requerida por los procesos
Disponibilidad del negocio ahora y en el futuro. Involucra la
salvaguarda de los recursos y sus capacidades
asociadas.

Se refiere a cumplir con aquellas leyes,

regulaciones y acuerdos contractuales, a los que
Cumplimiento están sujetos los procesos del negocio.

Se refiere a la provisión de la información

apropiada a la alta gerencia, para operar la
Confiabilidad entidad y para ejercer sus responsabilidades
finacieras y de cumplir con los reportes de su
gestión.

Ing. Víctor Manuel Montaño Ardila

NECESIDAD DE RESPUESTA A LOS
RETOS DE TI
Los 7 retos:

 Qué no se interrumpa el servicio

 Qué aporte valor
 Administrar los costos
 Dominar la complejidad
 Alineación con el Negocio
 Cumplimiento de Regulaciones
 Seguridad.
Ing. Víctor Manuel Montaño Ardila
Estructura de la Auditoria
Basada en COBIT
• Objetivo: Establecer los pasos ha seguir y los entregables de
una auditoría basada en COBIT
1) Verificar la Situación Actual
de la Empresa
• Misión
• Visión
• Entorno General de la Empresa
3) Análisis de Riesgos de TI
3) Análisis de Riesgos de TI
4) Determinación de los
Procesos COBIT aplicables a
la auditoría en
ejecución.
4) Determinación de los Procesos COBIT aplicables a la auditoría en
ejecución.
4) Determinación de los Procesos COBIT aplicables a la auditoría en
ejecución.
4) Determinación de los Procesos COBIT aplicables a la auditoría en
ejecución.
PLAN DE AUDITORIA
(VERIFICAR)
5) Puesta en Marcha
6) Elaboración de la Matriz de
Pruebas
7) Resultados
8) Análisis de resultados
9) Informe Final
 Fase 1
Levantamiento de procesos actuales

Recursos Procesos de Criterios

de TI trabajo de Información

 Datos  Planeación y organización  Efectividad

 Sistemas de  Adquisición e implantación  Eficiencia
Aplicación
de soluciones  Confidencialidad
 Infraestructura
 Entrega de servicio y  Integridad
Tecnológica
soporte  Disponibilidad
 Instalaciones
 Monitoreo  Cumplimiento
Físicas
 Confiabilidad
 Recursos humanos

Ing. Víctor Manuel Montaño Ardila

Fase 1
Levantamiento de procesos actuales

Recursos Procesos de Criterios

de TI
Recursos trabajo de Información
de TI

 Objetivos de Control

 Factores Críticos de Éxito

 Indicadores de Resultados

 Indicadores de Desempeño
Ing. Víctor Manuel Montaño Ardila
EL MODELO DEL MARCO DE TRABAJO DE COBIT
Administración, Control, Alineación y Monitoreo de Cobit. El marco de trabajo COBIT,
OBJETIVOS DE NEGOCIO relaciona los requerimientos
de información y de gobierno
Drivers de Gobernabilidad
Criterios de a los objetivos de la función
Resultados de Negocio Información de servicio de TI. El modelo
de procesos COBIT permite
que las actividades de TI y los
recursos que los soportan
Infraestructura

sean administrados y
Aplicaciones

controlados basados en los

Información

Recursos objetivos de control de COBIT,

de TI y alineados y monitoreados
Gente

usando las métricas KGI y KPI

de COBIT

Indicadores clave
de Rendiemiento
Procesos
Procesos de TI
de TI
Indicadores clave
de Objetivos
Objetivos de Control de
Objetivos de TI
Alto Nivel

Ing. Víctor Manuel Montaño Ardila

ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL
Criterios de Información

Información
Dominios

Infraestructura
Dominios

Aplicaciones
Personas
Procesos
Procesos

Actividades
Actividades

Ing. Víctor Manuel Montaño Ardila

CLASIFICACIÓN
Agrupamiento lógico de procesos, a
menudo se concibe como dominios de
responsabilidad dentro de una estructura
y se relaciona con el ciclo de vida
Dominios
aplicable a los procesos de Tecnología de
Información.
Una serie de actividades o tareas
vinculadas con cortes (de control)
naturales.
Procesos Son necesarias para lograr un resultado
mensurable. Las actividades tienen un
ciclo de vida mientras que las tareas son
Actividades
o tareas discretas.

Ing. Víctor Manuel Montaño Ardila

Ing. Víctor Manuel Montaño Ardila
CobiT: enfoque e implementación
Resumen Ejecutivo

Marco Referencial-Esquema
Objetivos de Alto Nivel
Herramientas de
implementación
• Resumen Ejecutivo
• Casos de Estudio
• Preguntas Frecuentes
• Presentaciones Power Point
• Guías de Implementación
•Diagnóstico Conciencia Administrativa
•Diagnóstico Control de TI

Lineamientos Objetivos de Control Guías de Prácticas de

Gerenciales Detallados Auditoría Control

Modelos de Factores Críticos Indicadores Indicadores

Madurez de Exito Clave de Clave de Logros
Rendimiento

Ing. Víctor Manuel Montaño Ardila

 DOMINIOS DEL COBIT

Planeación y Organización
• Abarca aspectos estratégicos y tácticos
• Se vincula con la identificación de la forma en que
la tecnología de información puede contribuir más
adecuadamente con el logro de los objetivos del
negocio.
• Incluye las actividades de planificar, comunicar y
administrar la realización de la visión estratégica
desde distintas perspectivas.

Ing. Víctor Manuel Montaño Ardila

 DOMINIO
Planificación y Organización
Proceso: PO1 Definición de un plan estratégico de TI

Proceso: PO2 Definición de la arquitectura de la información

Proceso: PO3 Determinación de la dirección tecnológica

Proceso: PO4 Definición de la organización y el relacionamiento en TI

Proceso: PO5 Administración de la inversión en TI

Proceso: PO6 Comunicación de los objetivos y directivas de la gerencia

Proceso: PO7 Administración de los recursos humanos

Proceso: PO8 Aseguramiento del cumplimiento de los requerimientos externos

Proceso: PO9 Evaluación de riesgos

Proceso: PO10 Administración de proyectos

Proceso: PO11 Administración de la calidad

Ing. Víctor Manuel Montaño Ardila
 DOMINIOS DEL COBIT
Adquisición e Implementación

 Identificación, desarrollo o adquisición de

soluciones de Ti
 Implantación e integración en el proceso de
negocio.
 Cambios y mantenimiento de los sistemas
existentes para garantizar la natural
continuidad del ciclo de vida para estos
sistemas.

Ing. Víctor Manuel Montaño Ardila

 DOMINIO
Adquisición e Implementación
Proceso: AI12 Identificación de soluciones

Proceso: AI13 Adquisición y mantenimiento de software de aplicación

Proceso: AI14 Adquisición y mantenimiento de la infraestructura tecnológica

Proceso: AI15 Desarrollo y mantenimiento de procedimientos de TI

Proceso: AI16 Instalación y certificación de sistemas

Proceso: AI17 Administración de cambios

Ing. Víctor Manuel Montaño Ardila

DOMINIOS DEL COBIT

Entrega y Soporte

• Prestación efectiva de los servicios

requeridos, que comprenden desde
las operaciones tradicionales sobre
aspectos de seguridad y continuidad
hasta la capacitación.
• Procesos de soporte necesarios.
• Procesamiento real de los datos por
los sistemas de aplicación.

Ing. Víctor Manuel Montaño Ardila

 DOMINIO
Entrega y Soporte

Proceso: DS18 Definición de los niveles del servicio

Proceso: DS19 Administración de los servicios prestados terceros

Proceso: DS20 Administración de la capacidad y del desempeño del sistema

Proceso: DS21 Aseguramiento de la continuidad del servicio

Proceso: DS22 Establecimiento de pautas para la seguridad de los sistemas

Proceso: DS23 Identificación e imputación de costos

Ing. Víctor Manuel Montaño Ardila

DOMINIO
Entrega y Soporte
Proceso: DS24 Educación y capacitación de los usuarios

Proceso: DS25 Asistencia y asesoramiento a los clientes de TI

Proceso: DS26 Administración de la configuración

Proceso: DS27 Administración de problemas e incidentes

Proceso: DS28 Administración de datos

Proceso: DS29 Administración de instalaciones

Proceso: DS30 Administración de las operaciones

Ing. Víctor Manuel Montaño Ardila

DOMINIOS DE COBIT
Monitoreo

 Evaluar regularmente todos los procesos de

TI para determinar su calidad y el
cumplimiento de los requerimientos de
control.
 Seguimiento de la gerencia sobre los
procesos de control de la organización
 Garantía independiente provista por la
auditoria interna y externa u obtenida de
fuentes alternativas.

Ing. Víctor Manuel Montaño Ardila

DOMINIO
Monitoreo
Proceso: ME31 Monitoreo de los procesos

Proceso: ME32 Evaluación de la adecuación del control interno

Proceso: ME33 Obtención de aseguramiento independiente

Proceso: ME34 Provisión de auditoria independiente

Ing. Víctor Manuel Montaño Ardila

PROCESOS

CONFIDENCIALIDAD
COBIT DOMINIO AI:

DISPONIBILIDAD

CONFIABILIDAD
CUMPLIMIENTO

APLICACIONES
TECNOCLOGÍA
FACILIDADES
EFECTIVIDAD
Navegación Adquisición e

INTEGRIDAD

PERSONAS
EFICIENCIA
(Matriz) Implementación

DATOS
Identificar soluciones P S
AI1 de IT
Adquirir y mantener P P S S S
AI2 software aplicativo
Adquirir y mantener P P S
AI3 arquitectura tecnológica
Desarrollar y mantener P P S S S
AI4 procedimientos de IT
Instalar y acreditar
AI5 sistemas P S S
Administrar los cambios P P P P S
AI6
CRITERIOS RECURSOS
DEFINICIÓN DE PROCESOS DE TI
PO1: Definir el Plan estratégico de IT
La función de servicios de información debería asegurar que hay planes a corto y
largo plazo para administrar y orientar todos los recursos de IT de la organización.
Estos planes deben ser actualizados de manera correcta y oportuna para
adecuarlos a los cambios de las condiciones de la IT. La evaluación de los
sistemas existentes debe realizarse antes de desarrollar o modificar el plan
estratégico de IT. Así mismo, la función de administración de los servicios de
información debe asegurar que el plan estratégico de IT es consistente con los
objetivos del negocio, y los planes a corto y largo plazo de la organización.

Ing. Víctor Manuel Montaño Ardila

OBJETIVOS DE CONTROL DE TI - DETALLADOS
DOMINIO PO: Planeación y Organización

PROCESO: PO1: Definir el Plan Estratégico de TI

Y tiene en consideración:
Objetivos de Control - Detallados
1 2 3 4 5
La TI como Enfoque y Cambios Plan corto
parte de los Plan a estructura al Plan a plazo de
planes a largo del Plan a largo la función
corto/largo plazo de largo plazo plazo de
plazo de la la TI de la TI de la TI servicios
empresa de TI

Evaluación objetivos de control detallados

PRODUCTOS DE COBIT

Ing. Víctor Manuel Montaño Ardila

INTERRELACIÓN DE LOS COMPONENTES DE COBIT
Negocio

Requerimientos Información

Procesos de TI

Objetivos
de Control

Implementado
con
Para resultados

Metas de Guías de Practicas

las Actividades Auditoría de Control

Indicadores Indicadores
Modelo de
Clave de Clave de
Desempeño Metas
Madurez

Ing. Víctor Manuel Montaño Ardila

CONTROLES GENERALES

• Desarrollo de soluciones
Controles Generales • Administración de Cambios
sobre procesos de
TI
• Seguridad
• Operación del Computador

• Integridad (completitud)
Controles sobre • Precisión
procesos de negocio • Validez
que utilizan TI • Autorización
• Segregación de Funciones

Ing. Víctor Manuel Montaño Ardila

CONTROLES DE APLICACIÓN - ORIGEN
 Preparación de Datos (AC1)
 Autorización de documentos fuente (AC2)
 Recolección de datos fuente (AC3)
 Manejo de errores en documentos fuente (AC4)
 Retención de documentos fuente (AC5)

Autorización Ingreso de Salida de

de Datos Datos Procesamiento Datos
de Datos
ORIGEN INPUT OUTPUT

ENTORNO CON TERCEROS

Ing. Víctor Manuel Montaño Ardila

Los procedimientos de manejo de errores durante la generación Los procedimientos garantizan que todos los documentos
de los datos aseguran de forma razonable la detección, el fuente autorizados son completos y precisos, debidamente
reporte y la corrección de errores e irregularidades. justificados y transmitidos de manera oportuna para su
captura.

 Preparación de Datos (AC1)

 Autorización de documentos fuente (AC2)
 Recolección de datos fuente (AC3)
 Manejo de errores en documentos fuente (AC4)
 Retención de documentos fuente (AC5)

El personal autorizado, actuando dentro de su autoridad,
prepara los documentos fuente de forma adecuada y existe
una segregación de funciones apropiada con respecto a la
generación y aprobación de los documentos fuente.
Existen procedimientos para garantizar que los documentos
fuente originales son retenidos o pueden ser reproducidos
por la organización durante un lapso adecuado de tiempo
para facilitar el acceso o reconstrucción de datos así como
para satisfacer los requerimientos legales.

Los departamentos usuarios implementan y dan seguimiento

a los procedimientos de preparación de datos. En este
contexto, el diseño de los formatos de entrada asegura que
los errores y las omisiones se minimicen. Los procedimientos
de manejo de errores durante la generación de los datos
aseguran de forma razonable que los errores y las
irregularidades son detectadas, reportadas y corregidas

Ing. Víctor Manuel Montaño Ardila

CONTROLES DE APLICACIÓN -
INPUT

Autorización Ingreso de Salida de

de Datos Datos Procesamiento Datos
de Datos
ORIGEN INPUT OUTPUT

ENTORNO CON TERCEROS

Ing. Víctor Manuel Montaño Ardila

Los datos de transacciones, ingresados para ser procesados
Existen y se siguen procedimientos para la corrección y re-
(generados por personas, por sistemas o entradas de
captura de datos que fueron ingresados de manera
interfases) están sujetos a una variedad de controles para
incorrecta.
verificar su precisión, integridad y validez. Los procedimientos
también garantizan que los datos de entrada son validados y
editados tan cerca del punto de origen como sea posible.

 Procedimientos de autorización de captura de datos

(AC6)
 Verificación de precisión, integridad y autorización
(AC7)
 Manejo de errores en la entrada de datos (AC8)

Los procedimientos aseguran que solo el personal autorizado

capture los datos de entrada.

Ing. Víctor Manuel Montaño Ardila

CONTROLES DE APLICACIÓN -

PROCESAMIENTO 
Integridad en el procesamiento de datos (AC9)
Validación y edición del procesamiento de datos
(AC10)
 Manejo de errores en el procesamiento de datos
(AC11)

Autorización Ingreso de Salida de

de Datos Datos Procesamiento Datos
de Datos
ORIGEN INPUT OUTPUT

ENTORNO CON TERCEROS

Ing. Víctor Manuel Montaño Ardila

 Los procedimientos garantizan que la validación, la
autenticación y la edición del procesamiento de datos se
realizan tan cerca como sea posible del punto de generación.
Los individuos aprueban decisiones vitales que se basan en
sistemas de inteligencia artificial.
Los procedimientos de manejo de errores en el
procesamiento de datos permiten que las transacciones
erróneas sean identificadas sin ser procesadas y sin una
indebida interrupción del procesamiento de otras
transacciones válidas.

Los procedimientos para el procesamiento de datos aseguran

que la separación de funciones se mantiene y que el trabajo
realizado de forma rutinaria se verifica. Los procedimientos
garantizan que existen controles de actualización adecuados,
tales como totales de control de corrida-a-corrida, y controles
de actualización de archivos maestros

 Procedimientos de autorización de captura de datos

(AC6)
 Verificación de precisión, integridad y autorización
(AC7)
 Manejo de errores en la entrada de datos (AC8)

Ing. Víctor Manuel Montaño Ardila

CONTROLES DE APLICACIÓN -
OUTPUT
 Manejo y retención de salidas (AC12)
 Distribución de Salidas (AC13)
 Cuadre y conciliación de salidas (AC14)
 Revisión de Salidas y Manejo de errores (AC13)
 Provisión de seguridad para reportes de salida (AC14)

Autorización Ingreso de Salida de

de Datos Datos Procesamiento Datos
de Datos
ORIGEN INPUT OUTPUT

ENTORNO CON TERCEROS

Ing. Víctor Manuel Montaño Ardila

 Existen procedimientos para garantizar que se mantiene la
seguridad de los reportes de salida, tanto para aquellos que
esperan ser distribuidos como para aquellos que ya están
entregados a los usuarios.

 Manejo y retención de salidas (AC12)

Los procedimientos garantizan que tanto el proveedor como
los usuarios relevantes revisan la precisión de los reportes de
salida. También existen procedimientos para la identificación
y el manejo de errores contenidos en las salidas.
 Distribución de Salidas (AC13)
 Cuadre y conciliación de salidas (AC14)
 Revisión de Salidas y Manejo de errores (AC13)
 Provisión de seguridad para reportes de salida
(AC14)

Las salidas cuadran rutinariamente con los totales de control

relevantes. Las pistas de auditoría facilitan el rastreo del
procesamiento de las transacciones y la conciliación de datos
alterados.

Los procedimientos para la distribución de las salidas de TI se

definen, se comunican y se les da seguimiento.

El manejo y la retención de salidas provenientes de

aplicaciones de TI siguen procedimientos definidos y tienen
en cuenta los requerimientos de privacidad y de seguridad.

Ing. Víctor Manuel Montaño Ardila

 CONTROLES DE APLICACIÓN – ENTORNO CON TERCEROS

Autorización Ingreso de Salida de

de Datos Datos Procesamiento Datos
de Datos
ORIGEN INPUT OUTPUT

ENTORNO CON TERCEROS

 Autenticidad e Integridad (AC15)

 Protección de información sensitiva durante su
transmisión y transporte (AC16)

Ing. Víctor Manuel Montaño Ardila

Se proporciona una protección adecuada contra accesos
no autorizados, modificaciones y envíos incorrectos de
información sensitiva
durante la transmisión y el transporte.

 Autenticidad e Integridad (AC15)

 Protección de información sensitiva durante su
transmisión y transporte (AC16)

Se verifica de forma apropiada la autenticidad e integridad

de la información generada fuera de la organización, ya sea
que haya sido recibida por teléfono, por correo de voz,
como documento en papel, fax o correo electrónico, antes
de que se tomen medidas potencialmente críticas.

Ing. Víctor Manuel Montaño Ardila