Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Las empresas poseen un capital activo muy valioso: información y tecnología. Cada vez en mayor
medida, el éxito de una empresa depende de la comprensión de ambos componentes. Las buenas
prácticas concentradas en el marco de referencia COBIT, permiten que los negocios se alineen con la
La información y la tecnología que la soporta representan los activos más valiosos de muchas empresas,
aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los beneficios de la
tecnología de información y la utilizan para impulsar el valor de sus interesados (stakeholders). Estas
empresas también entienden y administran los riesgos asociados, es decir, el aumento en los
requerimientos regulatorios, así como también una gran dependencia de muchos de los procesos de
negocio en TI. Pero todos estos elementos son clave para el gobierno de la empresa. El valor, el riesgo y
empresa y para ello, es necesario el liderazgo y una buena base de estructuras y procesos
organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos
organizacionales. De esta manera, el gobierno de TI facilita que la empresa aproveche al máximo su
información, maximizando así los beneficios, capitalizando las oportunidades y ganando ventajas
competitivas.
Los Objetivos de Control para la Información y la Tecnología relacionada (CobiT®) brindan buenas
prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una
estructura manejable y lógica. Las buenas prácticas de CobiT están enfocadas fuertemente en el control y
menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones facilitadas por la TI,
asegurarán la entrega del servicio y brindarán un patrón de medición con el cual se podrá calificar cuando
las cosas no vayan bien. Para que la TI tenga éxito en satisfacer los requerimientos del negocio, la
dirección empresarial debe implantar un sistema de control interno o un marco de trabajo. El marco de
trabajo de control CobiT contribuye a estas necesidades de la siguiente manera:
de TI, brindando métricas y modelos de madurez para medir los logros, e identificando las
acuerdo a las responsabilidades de planear, construir, ejecutar y monitorear; de esta manera, se ofrece
una visión de punta a punta de la TI. El concepto de arquitectura empresarial ayuda a identificar aquellos
recursos esenciales para el éxito de los procesos, es decir, aplicaciones, información, infraestructura y
personas. En resumen, para proporcionar la información que la empresa necesita de acuerdo a sus
objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados de forma
natural.
Una respuesta al requerimiento de determinar y monitorear el nivel apropiado de control y desempeño
basados en los principios de balanced business Scorecard de Robert Kaplan y David Norton
Objetivos de las actividades para controlar estos procesos, con base en los objetivos de control
detallados de COBIT
La evaluación de la capacidad de los procesos basada en los modelos de madurez de CobiT es una
la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar
ese nivel de control a los participantes. CobiT permite el desarrollo de políticas claras y de buenas
prácticas para el control de TI por parte de las empresas. CobiT constantemente se actualiza y armoniza
con otros estándares, por lo tanto, CobiT se ha convertido en el integrador de las mejores prácticas de TI
y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos
y beneficios asociados con TI. La estructura de procesos de CobiT y su enfoque de alto nivel orientado al
Muchísimo ha cambiado con el pasar de los años, no sólo con el creciente número de
organizaciones reguladoras que buscan cumplir con las normas, sino también con lo
estrictamente enredado que se han convertido las Tecnologías de la Información en los
procesos empresariales de cada día. Aunque ISACA ha afinado a COBIT a través de
numerosas actualizaciones en el pasado, las organizaciones saben que el momento ha
llegado: COBIT está programado para reiniciarse.
Según Robert Stroud, integrante del Consejo Asesor Estratégico y del Comité de Marco de
Referencia de ISACA, COBIT 5 no solamente es una actualización del marco, sino que se
realizó una visión completa de todo lo que éste implica para tener seguridad de que lo
importante y aplicable se convirtiera en un esquema de negocio para el gobierno y gestión
de las empresas de TI.
Stroud, también apuntó que “hemos adoptado un enfoque de arriba hacia abajo para el
gobierno, partiendo desde la totalidad del negocio mediante toda la capacidad de TI que a
menudo necesitarán para cumplir a través de la implementación de tecnologías, procesos,
aprovechamiento de personas, consideración de la cultura y otros aspectos similares a
éstos”.
Tomando en cuenta que COBIT 5 fue lanzado oficialmente por ISACA en abril de 2012,
seguimos ahondando sobre las modificaciones que conllevó su actualización y aquí se
presentan cinco aspectos principales con los cuales se reforzaron las reglas de Gobierno,
Gestión del Riesgo y Cumplimiento en este marco de referencia para hacerlo más robusto,
confiable y repetible como un método de proceso de evaluación de la capacidad.
“En lugar de únicamente ser un marco de referencia para el gobierno de TI, nos hemos
movido para ampliarnos pensando en la industria”, dijo Stroud, quien enfatizó que “ahora
es un marco de negocios para el gobierno y gestión de la empresa. Esa es la diferencia
fundamental”.
Con el objetivo de cumplir el objetivo de crear un marco de negocios, ISACA combinó tres
de sus procesos de los modelos de referencia (COBIT, ValIT y RiskIT), bajo la sombrilla de
COBIT.
Mediante esta fusión se ha construido eficazmente este marco de referencia para ayudar a
las personas a entender que los procesos de negocios de arriba hacia abajo para ponerlos
en su lugar de modo que las personas puedan gobernar su negocio, permitiendo una TI
efectiva.
ISACA remodeló aún más los fundamentos de COBIT al distinguir entre el gobierno, la
gestión del negocio y de Tecnologías de la Información.
“Nos hemos convertido un marco de referencia basado en principios, más que en reglas,
por eso hay que hacer el ajuste. Esa es la forma de gestión práctica de estos días”,
expresó la autoridad de ISACA.
El nuevo marco de referencia no sólo está basado en principios, también está cimentado
en valores.
COBIT 5 hace esto a través de la inclusión de requisitos en la parte de gobierno del marco
de referencia, para que las organizaciones identifiquen los beneficios para los nuevos
proyectos, ya que están diseñados para la innovación, seguridad o cumplimiento.
Tomando al cumplimiento como un ejemplo, una organización establecería uno de sus
beneficios más importantes como la oportunidad para experimentar un poco, sin pagar
fianzas o multas, explicó Stroud.
Si se articula por adelantado una propuesta de valor, rápidamente se podrá hacer una
estimación de esas fianzas o multas que se quieren evitar mediante una ejecución eficaz
del marco de referencia.
Stroud dice que de la manera en que el Comité de ISACA trabajó en COBIT 5, uno de los
elementos importantes en el radar fue la continuidad del compromiso para ayudar a las
organizaciones a desarrollar procesos que alimentarían el cumplimiento de los objetivos.
“En las empresas con visión a futuro, el cumplimiento de los requisitos va a ser parte de su
arquitectura empresarial. Las compañías los trasnformarán en parte de su ADN
corporativo. Se convertirá por mucho en una parte cotidiana del negocio, más que una
excepción a los procesos”, expuso Robert Stroud; quien añadió que “ahora nos hemos
consagrado a un proceso para ir a través de éste y asegurar que se han tenido un montón
de métricas que siempre se recolectan para la organización y que hemos alertado con un
respaldo a los puestos directivos de la compañía, así que ellos pueden tomar decisiones
sólidas y entender cuándo las fronteras del cumplimiento ha sido superadas”.
Las empresas que poseen entre sus filas a miembros de ISACA deberían esperar ser
capaces de apoyarse en un nuevo esfuerzo que permitiría a los individuos personalizar el
contenido para sus necesidades y tener contacto con sus pares.
Sin importar cuál es su rol, la persona debe ser capaz de tener una visión del repositorio
online y generar eficazmente su propia salida de COBIT a partir de ese papel que
desempeña, su función y los problemas del negocio que está tratando de resolver.
Robert Stroud sostiene que “en ISACA nos estamos haciendo modernos. Tenemos una
gran comunidad de más de 100 mil miembros en todo el mundo y sin duda queremos
aprovechar esa comunidad para conducir no solamente la forma de elegir los contenidos,
sino para realmente impulsar el desarrollo que hacemos hacia el futuro”.
1. .
2. Requerimientos de la información del negocio
3. Recursos de TI
4. Procesos de TI
5. Acta Testimonial y su Contenido
Características
Orientado al negocio
Alineado con estándares y regulaciones "de facto"
Basado en una revisión crítica y analítica de las tareas y actividades en TI
Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
Principios: El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar
soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación
combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.
Recursos de TI
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:
Datos: Todos los objetos de información. Considera información interna y externa, estructurada o no,
gráficas, sonidos, etc.
Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y
sistematizados.
Tecnología: incluye hardware y software básico, sistemas operativos, sistemas
de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.
Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir,
prestar servicios, dar soporte y monitorear los sistemas de Información.
Procesos de TI
La estructura de COBIT se define a partir de una premisa simple y pragmática: "Los recursos de las
Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de
forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos".
COBIT se divide en tres niveles:
Dominios
Procesos
Actividades
Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o
una responsabilidad organizacional.Procesos: Conjuntos o series de actividades unidas con delimitación o
cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos
procesos están agrupados en cuatro grandes dominios que se detallan a continuación junto con sus
procesos y una descripción general de las actividades de cada uno:
Acta Testimonial y su Contenido
¿Qué es y para qué sirve?
Un Acta Testimonial (AT) es un documento en formato papel y electrónico (PDF) en el que un tercero, la
Asociación de Usuarios de Internet, hace constar el contenido de una página de Internet en una fecha y
hora determinada.
Los usuarios pueden utilizarla como procedimiento previo a una demanda, queja o reclamación
relacionada con el contenido a testimoniar y los prestadores de servicios como garantía sobre las
condiciones ofrecidas a través de Internet (condiciones de venta, contratos,…).
¿Qué incluye el servicio Acta Testimonial (AT)?
AT en Papel
Recoge los datos de la persona de la Asociación que da testimonio, la fecha y hora en la que se hace la
consulta, el contenido de la página de Internet (hasta un máximo de 10 folios), una captura gráfica de la
primera pantalla de la página en cuestión y un anexo con los datos que figuran en el registro WHOIS del
dominio en el que esta alojado este contenido.
Todas las hojas del AT en papel van selladas y firmadas manualmente por la persona de la Asociación
que realiza el testimonio (se realizan dos copias una para el solicitante y otra para su archivo en la
Asociación).
AT electrónica Se genera un PDF firmado electrónicamente que incluye los siguientes elementos: Acta
Impresa, una captura completa de la página web y datos del registro de WHOIS.
Envío del AT al solicitante
Una de las copias del Acta Testimonial en papel se envían por correo postal o bien pueden recogerse en
las oficinas de la Asociación C/ Navaleno 32, 28033 de Madrid en horario de mañanas.
El solicitante tambien recibirá un correo electrónico con el acta en formado pdf firmada electrónicamente.
Archivo en la Asociación
De todas las actas emitidas se conservan copias en papel durante un año.Este servicio no incluye la
personación de la Asociación ni la de la persona que la suscribe en los procedimientos y procesos
donde sea utilizada (de ser necesario sería objeto de una valoración para cada caso).
Tipos de Actas testimoniales en la Auditoria de Sistemas.
Actas por incumplimiento de Actividades.
Debido a que puede ser producto de alguna incidencia disciplinaria, es preferible levantar esta acta
testimonial por incumplimiento, ya que puede llegar a consecuencias que repercutan en la operación
normal de la empresa y en sus activos; por eso es recomendable asentar el hecho lo más claramente
posible con lujos y detalles.
Además el levantamiento de esta acta se pueden deslindar responsabilidades y , en su caso, fincarlas
hacia alguien especial.
Actas de Liberación de Sistemas.
En la operación cotidiana de sistema computacionales, la entrega y liberación de un sistema se realiza
mediante algún documento de carácter oficial, mismo que se elaboraran con la participación del
representante del área de sistemas que lo entrega y el representante del área que lo recibe, sim embargo,
lo mas aconsejable es que esta entrega y liberación del sistema se haga por medio de algún acta
testimonial, con todos los requisitos indicados anteriormente, a fin de que sea mas formal.
Actas por faltantes activos.
Cuando se sospecha o se sabe de algún faltante en los activos de la empresa, es indispensable levantar
un acta testimonial, con el propósito de testificar la desaparición del bien, deslindar y fincar
responsabilidades y dejar la constancia del hecho para que sea investigado posteriormente.
Actas por existencia de software pirata en la empresa.
Cuando el auditor encuentra o sospecha de la existencia de software no autorizado o del cual,
aparentemente, hacen falta las licencias correspondientes, es su deber levantar muy por debajo de lo
normal, apenas lo suficiente para efectuar lo encomendado, ya sean funciones, otorgamientos del servicio
o cualquier otro aspecto.
2. COBIT
3. Planificación y Organización
4. Adquisición e implementación
5. Prestación y Soporte
6. Monitoreo
7. Aplicación de las Normas COBIT
8. Apéndice I
9. Apéndice II
1. Introducción
El siguiente trabajo tiene la finalidad de exponer las Normas COBIT de manera simple y comprensible.
Para ello, además de realizar un desarrollo teórico de las mismas, incluimos un análisis de la situación
actual del Departamento de Recursos Humanos de la organización INEXEI SCHOOL, explicamos si sus
procedimientos respetan o no la norma, e indicamos qué debería hacerse para que aplique y cumpla con
un determinado proceso de la norma.
El cuerpo del trabajo esta dividido en dos partes principales las cuales reflejan las Características y
Estructura de COBIT y el Relevamiento y Aplicación de las Normas COBIT en la Escuela. Además,
incluimos dos Apéndices: en el apéndice I indicamos los componentes de COBIT como Producto y en el
apéndice II incorporamos la lista completa de Dominios, Procesos y Objetivos de Control.
Para Finalizar, adjuntamos con esta monografía un disquette que contiene el Resumen Ejecutivo (2ª
Edición) de la norma y las Guías de Auditoría de la misma, las cuales pueden ser utilizadas por nuestros
compañeros si desean profundizar más en el estudio de COBIT, y que en este trabajo son desarrolladas
brevemente para no hacer tediosa la explicación de la norma y por razones de espacio obvias.
2. COBIT (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que
trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT
consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia,
los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras
personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofía de que los recursos
de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la
información pertinente y confiable que requiere una organización para lograr sus objetivos.
Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de
control para tecnología de información que sea de uso cotidiano para gerentes y auditores
Usuarios:
La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas,
analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que
adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la
organización y determinar el control mínimo requerido.
Los Responsables de TI: para identificar los controles que requieren en sus áreas.
También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su
responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos con
responsabilidades en el campo de la TI en las empresas.
Características:
Orientado al negocio
Alineado con estándares y regulaciones "de facto"
Basado en una revisión crítica y analítica de las tareas y actividades en TI
Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
Principios:
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los
procesos de negocio y considerando a la información como el resultado de la aplicación combinada de
recursos relacionados con las TI que deben ser administrados por procesos de TI.
Requerimientos de la información del negocio
Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros
y Cumplimiento le leyes y regulaciones.
Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser
proporcionada en forma oportuna, correcta, consistente y utilizable.
Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más
productiva y económica).
Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas
para manejar la empresa y cumplir con sus responsabilidades.
Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida
la empresa.
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:
Datos: Todos los objetos de información. Considera información interna y externa, estructurada o no,
gráficas, sonidos, etc.
Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y
sistematizados.
Tecnología: incluye hardware y software básico, sistemas operativos, sistemas de administración de
bases de datos, de redes, telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.
Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar
servicios, dar soporte y monitorear los sistemas de Información.
o Procesos de TI
La estructura de COBIT se define a partir de una premisa simple y pragmática: "Los recursos de las
Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de
forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos".
COBIT se divide en tres niveles:
Dominios
Procesos
Actividades
Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una
responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos
procesos están agrupados en cuatro grandes dominios que se detallan a continuación junto con sus
procesos y una descripción general de las actividades de cada uno:
3. Dominio: Planificación y organización
Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la
tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio.
Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde
diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura
tecnológica apropiadas.
Procesos:
PO1 Definición de un plan Estratégico
Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y los
requerimientos de TI de negocio, para asegurar sus logros futuros.
Su realización se concreta a través un proceso de planeación estratégica emprendido en intervalos
regulares dando lugar a planes a largo plazo, los que deberán ser traducidos periódicamente en planes
operacionales estableciendo metas claras y concretas a corto plazo, teniendo en cuenta:
La definición de objetivos de negocio y necesidades de TI, la alta gerencia será la responsable de
desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas generales de
la organización.
El inventario de soluciones tecnológicas e infraestructura actual, se deberá evaluar los sistemas
existentes en términos de: nivel de automatización de negocio, funcionalidad, estabilidad, complejidad,
costo y fortalezas y debilidades, con el propósito de determinar el nivel de soporte que reciben los
requerimientos del negocio de los sistemas existentes.
Los cambios organizacionales, se deberá asegurar que se establezca un proceso para modificar
oportunamente y con precisión el plan a largo plazo de tecnología de información con el fin de adaptar los
cambios al plan a largo plazo de la organización y los cambios en las condiciones de la TI
Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos
PO2 Definición de la Arquitectura de Información
Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas
de información, a través de la creación y mantenimiento de un modelo de información de negocio,
asegurándose que se definan los sistemas apropiados para optimizar la utilización de esta información,
tomando en consideración:
La documentación deberá conservar consistencia con las necesidades permitiendo a los responsables
llevar a cabo sus tareas eficiente y oportunamente.
El diccionario de datos, el cual incorporara las reglas de sintaxis de datos de la organización y deberá ser
continuamente actualizado.
La propiedad de la información y la clasificación de severidad con el que se establecerá un marco de
referencia de clasificación general relativo a la ubicación de datos en clases de información.
PO3 Determinación de la dirección tecnológica
Objetivo: Asegura el conocimiento y comprensión de los usuarios sobre las aspiraciones del alto nivel
(gerencia), se concreta a través de políticas establecidas y transmitidas a la comunidad de usuarios,
necesitándose para esto estándares para traducir las opciones estratégicas en reglas de usuario prácticas
y utilizables. Toma en cuenta:
Los código de ética / conducta, el cumplimiento de las reglas de ética, conducta, seguridad y estándares
de control interno deberá ser establecido por la Alta Gerencia y promoverse a través del ejemplo.
Las directrices tecnológicas
El cumplimiento, la Gerencia deberá también asegurar y monitorear la duración de la implementación de
sus políticas.
El compromiso con la calidad, la Gerencia de la función de servicios de información deberá definir,
documentar y mantener una filosofía de calidad, debiendo ser comprendidos, implementados y
mantenidos por todos los niveles de la función de servicios de información.
Las políticas de seguridad y control interno, la alta gerencia deberá asegurar que esta política de
seguridad y de control interno especifique el propósito y los objetivos, la estructura gerencial, el alcance
dentro de la organización, la definición y asignación de responsabilidades para su implementación a todos
los niveles y la definición de multas y de acciones disciplinarias asociadas con la falta de cumplimiento de
estas políticas.
o PO7 Administración de recursos humanos
Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así los
requerimientos de negocio, a través de técnicas sólidas para administración de personal, tomando en
consideración:
El reclutamiento y promoción, deberá tener como base criterios objetivos, considerando factores como la
educación, la experiencia y la responsabilidad.
Los requerimientos de calificaciones, el personal deberá estar calificado, tomando como base una
educación, entrenamiento y o experiencia apropiados, según se requiera
La capacitación, los programas de educación y entrenamiento estarán dirigidos a incrementar los niveles
de habilidad técnica y administrativa del personal.
La evaluación objetiva y medible del desempeño, se deberá asegurar que dichas evaluaciones sean
llevada a cabo regularmente según los estándares establecidos y las responsabilidades específicas del
puesto. Los empleados deberán recibir asesoría sobre su desempeño o su conducta cuando esto sea
apropiado.
o PO8 Asegurar el cumplimiento con los requerimientos Externos
Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de
servicios de TI
Para ello se logra la participación de la propia organización en la identificación de riesgos de TI y en el
análisis de impacto, tomando medidas económicas para mitigar los riesgos y se toma en consideración:
Identificación, definición y actualización regular de los diferentes tipos de riesgos de TI (por ej.:
tecnológicos, de seguridad, etc.) de manera de que se pueda determinar la manera en la que los riesgos
deben ser manejados a un nivel aceptable.
Definición de alcances, limites de los riesgos y la metodología para las evaluaciones de los riesgos.
Actualización de evaluación de riesgos
Metodología de evaluación de riesgos
Medición de riesgos cualitativos y/o cuantitativos
Definición de un plan de acción contra los riesgos para asegurar que existan controles y medidas de
seguridad económicas que mitiguen los riesgos en forma continua.
Aceptación de riesgos dependiendo de la identificación y la medición del riesgo, de la política
organizacional, de la incertidumbre incorporada al enfoque de evaluación de riesgos y de que tan
económico resulte implementar protecciones y controles.
o PO10 Administración de proyectos
Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario
Para ello se realiza un análisis claro de las oportunidades alternativas comparadas contra los
requerimientos de los usuarios y toma en consideración:
Definición de requerimientos de información para poder aprobar un proyecto de desarrollo.
Estudios de factibilidad con la finalidad de satisfacer los requerimientos del negocio establecidos para el
desarrollo de un proyecto.
Arquitectura de información para tener en consideración el modelo de datos al definir soluciones y
analizar la factibilidad de las mismas.
Seguridad con relación de costo-beneficio favorable para controlar que los costos no excedan los
beneficios.
Pistas de auditoria para ello deben existir mecanismos adecuados. Dichos mecanismos deben
proporcionar la capacidad de proteger datos sensitivos (ej. Identificación de usuarios contra divulgación o
mal uso)
Contratación de terceros con el objeto de adquirir productos con buena calidad y excelente estado.
Aceptación de instalaciones y tecnología a través del contrato con el Proveedor donde se acuerda un plan
de aceptación para las instalaciones y tecnología especifica a ser proporcionada.
AI2 Adquisición y mantenimiento del software aplicativo
Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas.
Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos de
operaciones para usuarios, requerimientos de servicio y material de entrenamiento y toma en
consideración:
Manuales de procedimientos de usuarios y controles, de manera que los mismos permanezcan en
permanente actualización para el mejor desempeño y control de los usuarios.
Manuales de Operaciones y controles, de manera que estén en permanente actualización.
Materiales de entrenamiento enfocados al uso del sistema en la práctica diaria.
o AI5 Instalación y aceptación de los sistemas
Objetivo: Verificar y confirmar que la solución sea adecuada para el propósito deseado
Para ello se realiza una migración de instalación, conversión y plan de aceptaciones adecuadamente
formalizadas y toma en consideración:
Capacitación del personal de acuerdo al plan de entrenamiento definido y los materiales relacionados.
Conversión / carga de datos, de manera que los elementos necesarios del sistema anterior sean
convertidos al sistema nuevo.
Pruebas específicas (cambios, desempeño, aceptación final, operacional) con el objeto de obtener un
producto satisfactorio.
Acreditación de manera que la Gerencia de operaciones y usuaria acepten los resultados de las pruebas
y el nivel de seguridad para los sistemas, junto con el riesgo residual existente.
Revisiones post implementación con el objeto de reportar si el sistema proporciono los beneficios
esperados de la manera mas económica.
o AI6 Administración de los cambios
Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estén claramente definidas,
que cumplan y continúen satisfaciendo los requerimientos
Para ello se establecen medidas de control dirigidas a la revisión y monitoreo de contratos y
procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las políticas de la
organización y toma en consideración:
Acuerdos de servicios con terceras partes a través de contratos entre la organización y el proveedor de la
administración de instalaciones este basado en niveles de procesamiento requeridos, seguridad,
monitoreo y requerimientos de contingencia, así como en otras estipulaciones según sea apropiado.
Acuerdos de confidencialidad. Además, se deberá calificar a los terceros y el contrato deberá definirse y
acordarse para cada relación de servicio con un proveedor.
Requerimientos legales regulatorios de manera de asegurar que estos concuerde con los acuerdos de
seguridad identificados, declarados y acordados.
Monitoreo de la entrega de servicio con el fin de asegurar el cumplimiento de los acuerdos del contrato.
o Ds3 Administración de desempeño y capacidad
Objetivo: Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de
ella para alcanzar el desempeño deseado.
Para ello se realizan controles de manejo de capacidad y desempeño que recopilen datos y reporten
acerca del manejo de cargas de trabajo, tamaño de aplicaciones, manejo y demanda de recursos y toma
en consideración:
Requerimientos de disponibilidad y desempeño de los servicios de sistemas de información
Monitoreo y reporte de los recursos de tecnología de información
Utilizar herramientas de modelado apropiadas para producir un modelo del sistema actual para apoyar el
pronóstico de los requerimientos de capacidad, confiabilidad de configuración, desempeño y
disponibilidad.
Administración de capacidad estableciendo un proceso de planeación para la revisión del desempeño y
capacidad de hardware con el fin de asegurar que siempre exista una capacidad justificable
económicamente para procesar cargas de trabajo con cantidad y calidad de desempeño
Prevenir que se pierda la disponibilidad de recursos mediante la implementación de mecanismos de
tolerancia de fallas, de asignación equitativos de recursos y de prioridad de tareas.
Monitoreo
Ds4 Asegurar el Servicio Continuo
Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en
caso de interrupciones
Para ello se tiene un plan de continuidad probado y funcional, que esté alineado con el plan de
continuidad del negocio y relacionado con los requerimientos de negocio y toma en consideración:
Planificación de Severidad
Plan Documentado
Procedimientos Alternativos
Respaldo y Recuperación
Pruebas y entrenamiento sistemático y singulares
o Ds5 Garantizar la seguridad de sistemas
Objetivo: salvaguardar la información contra uso no autorizados, divulgación, modificación, daño o pérdida
Para ello se realizan controles de acceso lógico que aseguren que el acceso a sistemas, datos y
programas está restringido a usuarios autorizados y toma en consideración:
Autorización,autenticación y el acceso lógico junto con el uso de los recursos de TI deberá restringirse a
través de la instrumentación de mecanismos de autenticación de usuarios identificados y recursos
asociados con las reglas de acceso
Perfiles e identificación de usuarios estableciendo procedimientos para asegurar acciones oportunas
relacionadas con la requisición, establecimiento, emisión, suspensión y suspensión de cuentas de usuario
Administración de llaves criptográficas definiendo implementando procedimientos y protocolos a ser
utilizados en la generación, distribución, certificación, almacenamiento, entrada, utilización y archivo de
llaves criptográficas con el fin de asegurar la protección de las mismas
Manejo, reporte y seguimiento de incidentes implementado capacidad para la atención de los mismos
Prevención y detección de virus tales como Caballos de Troya, estableciendo adecuadas medidas de
control preventivas, detectivas y correctivas.
Utilizaciónde Firewalls si existe una conexión con Internet u otras redes públicas en la organización
Monitoreo
Ds6 Educación y entrenamiento de usuarios
Objetivo: Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes
de los riesgos y responsabilidades involucrados
Para ello se realiza un plan completo de entrenamiento y desarrollo y se toma en consideración:
Curriculum de entrenamiento estableciendo y manteniendo procedimientos para identificar y documentar
las necesidades de entrenamiento de todo el personal que haga uso de los servicios de información
Campañas de concientización, definiendo los grupos objetivos, identificar y asignar entrenadores y
organizar oportunamente las sesiones de entrenamiento
Técnicas de concientización proporcionando un programa de educación y entrenamiento que incluya
conducta ética de la función de servicios de información
o Ds7 Identificación y asignación de costos
Monitoreo
Ds8 Apoyo y asistencia a los clientes de TI
Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente
Para ello se realiza un Buró de ayuda que proporcione soporte y asesoría de primera línea y toma en
consideración:
Consultas de usuarios y respuesta a problemas estableciendo un soporte de una función de buró de
ayuda
Monitoreo de consultas y despacho estableciendo procedimientos que aseguren que las preguntas de los
clientes que pueden ser resueltas sean reasignadas al nivel adecuado para atenderlas
Análisis y reporte de tendencias adecuado de las preguntas de los clientes y su solución, de los tiempos
de respuesta y la identificación de tendencias
o Ds9 Administración de la configuración
Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la
existencia física y proporcionar una base para el sano manejo de cambios
Para ello se realizan controles que identifiquen y registren todos los activos de TI así como su localización
física y un programa regular de verificación que confirme su existencia y toma en consideración:
Registro de activos estableciendo procedimientos para asegurar que sean registrados únicamente
elementos de configuración autorizados e identificables en el inventario, al momento de adquisición
Administración de cambios en la configuración asegurando que los registros de configuración reflejen el
status real de todos los elementos de la configuración
Chequeo de software no autorizado revisando periódicamente las computadoras personales de la
organización
Controles de almacenamiento de software definiendo un área de almacenamiento de archivos para todos
los elementos de software válidos en las fases del ciclo de vida de desarrollo de sistemas
o Ds10 Administración de Problemas
Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas
para prevenir que vuelvan a suceder.
Para ello se necesita un sistema de manejo de problemas que registre y dé seguimiento a todos los
incidentes, además de un conjunto de procedimientos de escalamiento de problemas para resolver de la
manera más eficiente los problemas identificados. Este sistema de administración de problemas deberá
también realizar un seguimiento de las causas a partir de un incidente dado.
Ds11 Administración de Datos
Objetivo: Asegurar que los datos permanezcan completos, precisos y válidos durante su entrada,
actualización, salida y almacenamiento.
Lo cual se logra a través de una combinación efectiva de controles generales y de aplicación sobre las
operaciones de TI. Para tal fin, la gerencia deberá diseñar formatos de entrada de datos para los usuarios
de manera que se minimicen lo errores y las omisiones durante la creación de los datos.
Este proceso deberá controlar los documentos fuentes (de donde se extraen los datos), de manera que
estén completos, sean precisos y se registren apropiadamente. Se deberán crear también procedimientos
que validen los datos de entrada y corrijan o detecten los datos erróneos, como así también
procedimientos de validación para transacciones erróneas, de manera que éstas no sean procesadas.
Cabe destacar la importancia de crear procedimientos para el almacenamiento, respaldo y recuperación
de datos, teniendo un registro físico (discos, disquetes, CDs y cintas magnéticas) de todas las
transacciones y datos manejados por la organización, albergados tanto dentro como fuera de la empresa.
La gerencia deberá asegurar también la integridad, autenticidad y confidencialidad de los datos
almacenados, definiendo e implementando procedimientos para tal fin.
Ds12 Administración de las instalaciones
Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra
peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la
instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su
funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las
instalaciones y contemplen su seguridad física.
Ds13 Administración de la operación
Objetivo: Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo
regularmente y de una manera ordenada
Esto se logra a través de una calendarización de actividades de soporte que sea registrada y completada
en cuanto al logro de todas las actividades. Para ello, la gerencia deberá establecer y documentar
procedimientos para las operaciones de tecnología de información (incluyendo operaciones de red), los
cuales deberán ser revisados periódicamente para garantizar su eficiencia y cumplimiento.
6. Dominio: Monitoreo
Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad.
Este es, precisamente, el ámbito de este dominio.
Procesos
M1 Monitoreo del Proceso
Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se logra
definiendo por parte de la gerencia reportes e indicadores de desempeño gerenciales y la implementación
de sistemas de soporte así como la atención regular a los reportes emitidos.
Para ello la gerencia podrá definir indicadores claves de desempeño y/o factores críticos de éxito y
compararlos con los niveles objetivos propuestos para evaluar el desempeño de los procesos de la
organización. La gerencia deberá también medir el grado de satisfacción del los clientes con respecto a
los servicios de información proporcionados para identificar deficiencias en los niveles de servicio y
establecer objetivos de mejoramiento, confeccionando informes que indiquen el avance de la organización
hacia los objetivos propuestos.
M2 Evaluar lo adecuado del Control Interno
Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.
Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a través de
actividades administrativas y de supervisión, comparaciones, reconciliaciones y otras acciones rutinarias.,
evaluar su efectividad y emitir reportes sobre ellos en forma regular. Estas actividades de monitoreo
continuo por parte de la Gerencia deberán revisar la existencia de puntos vulnerables y problemas de
seguridad.
M3 Obtención de Aseguramiento Independiente
Objetivo: Incrementar los niveles de confianza entre la organización, clientes y proveedores externos.
Este proceso se lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deberá obtener una certificación o acreditación independiente de seguridad y control
interno antes de implementar nuevos servicios de tecnología de información que resulten críticos, como
así también para trabajar con nuevos proveedores de servicios de tecnología de información. Luego la
gerencia deberá adoptar como trabajo rutinario tanto hacer evaluaciones periódicas sobre la efectividad
de los servicios de tecnología de información y de los proveedores de estos servicios como así también
asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnología de
información y de los proveedores de estos servicios.
M4 Proveer Auditoria Independiente
Organización: Colegio Privado que brinda un servicio de educación a niños de nivel inicial y primario.
Objetivos de la Organización:
Ofrecer el servicio de una excelente educación con orientación bilingüe (Español - Ingles), artística,
deportiva y ecológica en forma personalizada a los niños de nivel inicial y primario, y obtener por el
servicio un beneficio monetario acorde a las ofertas educativa que brinda la Institución (según si el
inscripto participa de escolaridad simple o doble)
Incrementar cada año el número de inscriptos para obtener mayor rentabilidad y ampliar la comunidad
educativa.
Transmitir a la comunidad en general el perfil institucional y los beneficios que los alumnos obtienen por
una educación personalizada.
a. Realizar el proceso de selección: Análisis de la capacidad de los aspirantes para decidir cual tiene
mayores posibilidades.
Orientación de los nuevos empleados mediante talleres de capacitación y entrega de documentación con
las normativas (reglas con las que se rige la institución)
Seguimiento de la actuación de los empleados (y empleados nuevos también).
Compra de materiales didácticos u otros servicios para entregar a los docentes y así los mismos puedan
dictar sus clases eficientemente.
a. Despidos: Terminación legal de las relaciones con los empleados en la forma mas beneficiosa para
ellos y el colegio.
Determinación de servicio médicos y otros para los empleados (y alumnos) que cubran la seguridad e
integridad física del personal dentro de la organización.
Prepara la documentación para la gestión de obras sociales del personal.
2-Administrar sueldos y jornales: lograr que todos los empleados estén remunerados adecuada,
equitativamente y en tiempo.
a. Clasificar la posición, responsabilidades y requerimientos de los empleados
a. Control de Horarios: Fijación de horas de trabajo y periodos de inasistencia con goce de haberes o
sin el, que sean justos tanto para el empleado como para el colegio.
3- Promocionar las Relaciones institucionales: Asegurar que las relaciones de trabajo entre la dirección
general y los empleados al igual que la satisfacción en el trabajo y oportunidad de progreso del personal,
sean desarrollados y mantenidos siguiendo los mejores intereses del colegio y de los empleados.
También su función es la de desarrollar proyectos de Relaciones Institucionales con el medio externo
(otras instituciones escolares, clubes, etc.)
a. Realizar negociaciones colectivas: Lograr concordancia con las organizaciones de empleados
reconocidas oficialmente y establecidas legalmente, de la manera que mejor contemple los intereses
de la escuela y los docentes.
Negociación de convenios
Interpretación y administración de estos
a. Investigación de Personal:
5-Generar Informes
Confeccionar todos los informes mensuales, semestrales y anuales con las estadísticas, resúmenes, etc.
de las gestiones administrativas del personal.
Diagnóstico:
Por lo tanto, podemos especificar que para que la escuela cumpla con las normas COBIT en cuanto al
proceso "Administración de Recursos Humanos" deberá:
Realizar manuales de funciones, de manera que estén definidos todos los puestos de trabajo y sus
correspondientes funciones.
Realizar manuales de Procedimientos, de manera que los empleados puedan identificar cuales son las
tareas que deben realizar de acuerdo a su puesto y funciones.
Establecer Procedimientos de Acreditación, ya que de lo contrario se pueden tener serios problemas por
no haber realizado correctamente las investigaciones de seguridad.
Proporcionar un entrenamiento "cruzado" de manera de tener personal de respaldo con la finalidad de
solucionar posibles ausencias, ya que la escuela no puede contar con suficiente personal por su
economía actual.
Definir y publicar formalmente las evaluaciones de rendimiento, de manera de aplicarlas a la hora de
hacer la evaluación de desempeño para evitar problemas con el personal docente y no docente.
8. Apéndice I
COBIT como Producto, incluye:
Resumen Ejecutivo: es un documento dirigido a la alta gerencia presentando los antecedentes y la
estructura básica de COBIT Además, describe de manera general los procesos, los recursos y los criterios
de información, los cuales conforman la "Columna Vertebral" de COBIT.
Marco de Referencia (Framework): Incluye la introducción contenida en el resumen ejecutivo y presenta
las guías de navegación para que los lectores se orienten en la exploración del material de COBIT
haciendo una presentación detallada de los 34 procesos contenidos en los cuatro dominios.
Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el
marco de referencia y presenta los objetivos de control detallados para cada uno de los 34 procesos.
En total se describen 302 objetivos de control detallados (de 3 a 30 objetivos por cada uno de los
procesos)
Guías de Auditoria: Se hace una presentación del proceso de auditoria generalmente aceptado
(relevamiento de información, evaluación de control, evaluación de cumplimiento y evidenciación de los
riesgos).
Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los
302 objetivos de control detallados.
Guías de Administración: Se enfoca de manera similar a los otros productos e integra los principios del
Balance Business Scorecard.
Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra los conceptos
de:
–Modelo de madurez CMM (prácticas de Control)
–Indicadores claves de Desempeño de los procesos de TI
–Factores Críticos de Éxito a tener en cuenta para mantener bajo control los procesos de TI.
Guías Gerenciales: Incluidas en la Tercera Edición, las mismas proveen modelos de madurez, factores
críticos de éxito, indicadores claves de objetivos e indicadores claves de desempeño para los 34 procesos
de TI de COBIT. Estas guías proveen a la gerencia herramientas que permiten la auto evaluación y poder
seleccionar opciones para implementación de controles y mejoras sobre la información y la tecnología
relacionada. Las guías fueron desarrolladas por un panel de 40 expertos en seguridad y control,
profesionales de administración de TI y de administración de desempeño, analistas de la industria y
académicos de todo el mundo.
Herramientas de implementación: Muestra algunas de las lecciones aprendidas por aquellas
organizaciones que han aplicado COBIT e incluye una guía de implementación con dos herramientas:
Diagnóstico de conciencia Administrativa y Diagnóstico de Control en TI
Como con cualquier investigación amplia e innovadora, COBIT será actualizado cada tres años. Esto
asegurara que el modelo y la estructura permanezcan vigentes. La validación también permite asegurar
que los 41 materiales de referencia primarios no hayan cambiado, y, si hubieran cambiado, reflejas eso en
el documento
9. Apéndice II
Relaciones de Objetivo de Control, Dominios, Procesos y Objetivos de Control
PLANEACIÓN Y ORGANIZACIÓN 4.15 Relaciones
1.0 Definición de un Plan Estratégico de Tecnología 5.0 Manejo de la Inversión en Tecnología de
de Información Información
1.1 Tecnología de Información como parte del Plan 5.1 Presupuesto Operativo Anual para la Función de
de la Organización a corto y largo plazo Servicio de información
1.2 Plan a largo plazo de Tecnología de Información 5.2 Monitoreo de Costo - Beneficio
1.3 Plan a largo plazo de Tecnología de Información 5.3 Justificación de Costo - Beneficio
- Enfoque y Estructura 6.0 Comunicación de la dirección y aspiraciones de
1.4 Cambios al Plan a largo plazo de Tecnología de la gerencia
Información 6.1 Ambiente positivo de control de la información
1.5 Planeación a corto plazo para la función de 6.2 Responsabilidad de la Gerencia en cuanto a
Servicios de Información Políticas
1.6 Evaluación de sistemas existentes 6.3 Comunicación de las Políticas de la
2.0 Definición de la Arquitectura de Información Organización
2.1 Modelo de la Arquitectura de Información 6.4 Recursos para la implementación de Políticas
2.2 Diccionario de Datos y Reglas de cinta de datos 6.5 Mantenimiento de Políticas
de la corporación 6.6 Cumplimiento de Políticas, Procedimientos y
2.3 Esquema de Clasificación de Datos Estándares
2.4 Niveles de Seguridad 6.7 Compromiso con la Calidad
3.0 Determinación de la dirección tecnológica 6.8 Política sobre el Marco de Referencia para la
3.1 Planeación de la Infraestructura Tecnológica Seguridad y el Control Interno
3.2 Monitoreo de Tendencias y Regulaciones 6.9 Derechos de propiedad intelectual
Futuras 6.10 Políticas Específicas
3.3 Contingencias en la Infraestructura Tecnológica 6.11 Comunicación de Conciencia de Seguridad en
3.4 Planes de Adquisición de Hardware y Software TI
3.5 Estándares de Tecnología 7.0 Administración de Recursos Humanos
4.0 Definición de la Organización y de las 7.1 Reclutamiento y Promoción de Personal
Relaciones de TI 7.2 Personal Calificado
4.1 Comité de planeación o dirección de la función 7.3 Entrenamiento de Personal
de servicios de información 7.4 Entrenamiento Cruzado o Respaldo de Personal
4.2 Ubicación de los servicios de información en la 7.5 Procedimientos de Acreditación de Personal
organización 7.6 Evaluación de Desempeño de los Empleados
4.3 Revisión de Logros Organizacionales 7.7 Cambios de Puesto y Despidos
4.4 Funciones y Responsabilidades 8.0 Aseguramiento del Cumplimiento de
4.5 Responsabilidad del aseguramiento de calidad Requerimientos Externos
4.6 Responsabilidad de la seguridad lógica y física 8.1 Revisión de Requerimientos Externos
4.7 Propiedad y Custodia 8.2 Prácticas y Procedimientos para el
4.8 Propiedad de Datos y Sistemas Cumplimiento de Requerimientos Externos
4.9 Supervisión 8.3 Cumplimiento de los Estándares de Seguridad y
4.10 Segregación de Funciones Ergonomía
4.11 Asignación de Personal para Tecnología de 8.4 Privacidad, Propiedad Intelectual y Flujo de
Información Datos
4.12 Descripción de Puestos para el Personal de la 8.5 Comercio Electrónico
Función de TI 8.6 Cumplimiento con Contratos de Seguros
4.13 Personal clave de TI 9.0 Evaluación de Riesgos
4.14 Procedimientos para personal por contrato 9.1 Evaluación de Riesgos del Negocio
9.2 Enfoque de Evaluación de Riesgos
9.3 Identificación de Riesgos
9.4 Medición de Riesgos
9.5 Plan de Acción contra Riesgos
9.6 Aceptación de Riesgos ADQUISICIÓN E IMPLEMENTACIÓN
10.0 Administración de proyectos 1.0 Identificación de Soluciones
10.1 Marco de Referencia para la Administración de 1.1 Definición de Requerimientos de Información
Proyectos 1.2 Formulación de Acciones Alternativas
10.2 Participación del Departamento Usuario en la 1.3 Formulación de Estrategias de Adquisición.
Iniciación de Proyectos 1.4 Requerimientos de Servicios de Terceros
10.3 Miembros y Responsabilidades del Equipo del 1.5 Estudio de Factibilidad Tecnológica
Proyecto 1.6 Estudio de Factibilidad Económica
10.4 Definición del Proyecto 1.7 Arquitectura de Información
10.5 Aprobación del Proyecto 1.8 Reporte de Análisis de Riesgos
10.6 Aprobación de las Fases del Proyecto 1.9 Controles de Seguridad Económicos
10.7 Plan Maestro del Proyecto 1.10 Diseño de Pistas de Auditoría
10.8 Plan de Aseguramiento de la Calidad de 1.11 Ergonomía
Sistemas 1.12 Selección de Software de Sistema
10.9 Planeación de Métodos de Aseguramiento 1.13 Control de Abastecimiento
10.10 Administración Formal de Riesgos de 1.14 Adquisición de Productos de Software
Proyectos 1.15 Mantenimiento de Software de Terceras Partes
10.11 Plan de Prueba 1.16 Contratos de Programación de Aplicaciones
10.12 Plan de Entrenamiento 1.17 Aceptación de Instalaciones
10.13 Plan de Revisión Post Implementación 1.18 Aceptación de Tecnología
11.0 Administración de Calidad 2.0 Adquisición y Mantenimiento de Software de
11.1 Plan General de Calidad Aplicación
11.2 Enfoque de Aseguramiento de Calidad 2.1 Métodos de Diseño
11.3 Planeación del Aseguramiento de Calidad 2.2 Cambios Significativos a Sistemas Actuales
11.4 Revisión de Aseguramiento de Calidad sobre el 2.3 Aprobación del Diseño
Cumplimiento de Estándares y Procedimientos de la 2.4 Definición y Documentación de Requerimientos
Función de Servicios de Información de Archivos
11.5 Metodología del Ciclo de Vida de Desarrollo de 2.5 Especificaciones de Programas
Sistemas 2.6 Diseño para la Recopilación de Datos Fuente
11.6 Metodología del Ciclo de Vida de Desarrollo de 2.7 Definición y Documentación de Requerimientos
Sistemas para Cambios Mayores a la Tecnología de Entrada de Datos
Actual 2.8 Definición de Interfases
11.7 Actualización de la Metodología del Ciclo de 2.9 Interfases Usuario-Máquina
Vida de Desarrollo de Sistemas 2.10 Definición y Documentación de Requerimientos
11.8 Coordinación y Comunicación de Procesamiento
11.9 Marco de Referencia de Adquisición y 2.11 Definición y Documentación de Requerimientos
Mantenimiento para la Infraestructura de Tecnología de Salida de Datos
11.10 Relaciones con Terceras Partes como 2.12 Controlabilidad
Implementadores 2.13 Disponibilidad como Factor Clave de Diseño
11.11 Estándares para la Documentación de 2.14 Estipulación de Integridad de TI en programas
Programas de software de aplicaciones
11.12 Estándares para Pruebas de Programas 2.15 Pruebas de Software de Aplicación
11.13 Estándares para Pruebas de Sistemas 2.16 Materiales de Consulta y Soporte para Usuario
11.14 Pruebas Piloto/En Paralelo 2.17 Reevaluación del Diseño del Sistema
11.15 Documentación de las Pruebas del Sistema 3.0 Adquisición y Mantenimiento de Arquitectura de
11.16 Evaluación del Aseguramiento de la Calidad Tecnología
sobre el Cumplimiento de Estándar de Desarrollo 3.1 Evaluación de Nuevo Hardware y Software
11.17 Revisión del Aseguramiento de Calidad sobre 3.2 Mantenimiento Preventivo para Hardware
el Logro de los Objetivos de la Función de Servicios 3.3 Seguridad del Software del Sistema
de Información 3.4 Instalación del Software del Sistema
11.18 Métricas de Calidad 3.5 Mantenimiento del Software del Sistema
11.19 Reportes de Revisiones de Aseguramiento de 3.6 Controles para Cambios del Sofware del
la Calidad Sistema
4.0 Desarrollo y Mantenimiento de Procedimientos 3.2 Plan de Disponibilidad
relacionados con Tecnología de Información 3.3 Monitoreo y Reporte
4.1 Futuros Requerimientos y Niveles de Servicios 3.4 Herramientas de Modelado
Operacionales 3.5 Manejo de Desempeño Proactivo
4.2 Manual de Procedimientos para Usuario 3.6 Pronóstico de Carga de Trabajo
4.3 Manual de Operación 3.7 Administración de Capacidad de Recursos
4.4 Material de Entrenamiento 3.8 Disponibilidad de Recursos
5.0 Instalación y Acreditación de Sistemas 3.9 Calendarización de recursos
5.1 Entrenamiento 4.0 Aseguramiento de Servicio Continuo
5.2 Adecuación del Desempeño del Software de 4.1 Marco de Referencia de Continuidad de
Aplicación Tecnología de Información
5.3 Conversión 4.2 Estrategia y Filosofía de Continuidad de
5.4 Pruebas de Cambios Tecnología de Información
5.5 Criterios y Desempeño de Pruebas en 4.3 Contenido del Plan de Continuidad de
Paralelo/Piloto Tecnología de Información
5.6 Prueba de Aceptación Final 4.4 Minimización de requerimientos de Continuidad
5.7 Pruebas y Acreditación de Seguridad de Tecnología de Información
5.8 Prueba Operacional 4.5 Mantenimiento del Plan de Continuidad de
5.9 Promoción a Producción 5.10 Evaluación de la Tecnología de Información
Satisfacción de los Requerimientos del Usuario 4.6 Pruebas del Plan de Continuidad de Tecnología
5.11Revisión Gerencial Post - Implementación de Información
6.0 Administración de Cambios 4.7 Capacitación sobre el Plan de Continuidad de
6.1 Inicio y Control de Requisiciones de Cambio Tecnología de Información
6.2 Evaluación del Impacto 4.8 Distribución del Plan de Continuidad de
6.3 Control de Cambios Tecnología de Información
6.4 Documentación y Procedimientos 4.9 Procedimientos de Respaldo de Procesamiento
6.5 Mantenimiento Autorizado para Departamentos Usuarios
6.6 Política de Liberación de Software 4.10 Recursos críticos de Tecnología de
6.7 Distribución de Software Información
ENTREGA DE SERVICIOS Y SOPORTE 4.11 Centro de Cómputo y Hardware de respaldo
1.0 Definición de Niveles de Servicio 4.12 Procedimientos de Refinamiento del Plan de
1.1 Marco de Referencia para el Convenio de Nivel Continuidad de TI
de Servicio 5.0 Garantizar la Seguridad de Sistemas
1.2 Aspectos sobre los Acuerdos de Nivel de 5.1 Administrar Medidas de Seguridad
Servicio 5.2 Identificación, Autenticación y Acceso
1.3 Procedimientos de Ejecución 5.3 Seguridad de Acceso a Datos en Línea
1.4 Monitoreo y Reporte 5.4 Administración de Cuentas de Usuario
1.5 Revisión de Convenios y Contratos de Nivel de 5.5 Revisión Gerencial de Cuentas de Usuario
Servicio 5.6 Control de Usuarios sobre Cuentas de Usuario
1.6 Elementos sujetos a Cargo 5.7 Vigilancia de Seguridad
1.7 Programa de Mejoramiento del Servicio 5.8 Clasificación de Datos
2.0 Administración de Servicios prestados por 5.9 Administración Centralizada de Identificación y
Terceros Derechos de Acceso
2.1 Interfases con Proveedores 5.10 Reportes de Violación y de Actividades de
2.2 Relaciones de Dueños Seguridad
2.3 Contratos con Terceros 5.11 Manejo de Incidentes
2.4 Calificaciones de terceros 5.12 Re-acreditación
2.5 Contratos con Outsourcing 5.13 Confianza en Contrapartes
2.6 Continuidad de Servicios 5.14 Autorización de Transacciones
2.7 Relaciones de Seguridad 5.15 No Rechazo
2.8 Monitoreo 5.16 Sendero Seguro
3.0 Administración de Desempeño y Capacidad 5.17 Protección de funciones de seguridad
3.1 Requerimientos de Disponibilidad y Desempeño 5.18 Administración de Llave Criptográfica
5.19 Prevención, Detección y Corrección de
Software "Malicioso"
5.20 Arquitecturas de FireWalls y conexión a redes
públicas
5.21 Protección de Valores Electrónicos
6.0 Identificación y Asignación de Costos ser Desechada
6.1 Elementos Sujetos a Cargo 11.19 Administración de Almacenamiento
6.2 Procedimientos de Costeo 11.20 Períodos de Retención y Términos de
6.3 Procedimientos de Cargo y Facturación a Almacenamiento
Usuarios 11.21 Sistema de Administración de la Librería de
7.0 Educación y Entrenamiento de Usuarios Medios
7.1 Identificación de Necesidades de Entrenamiento 11.22 Responsabilidades de la Administración de la
7.2 Organización de Entrenamiento Librería de Medios
7.3 Entrenamiento sobre Principios y Conciencia de de proveedores externos de servicios
Seguridad 11.23 Respaldo y Restauración
8.0 Apoyo y Asistencia a los Clientes de Tecnología 11.24 Funciones de Respaldo
de Información 11.25 Almacenamiento de Respaldo
8.1 Buró de Ayuda 11.26 Archivo
8.2 Registro de Preguntas del Usuario 11.27 Protección de Mensajes Sensitivos
8.3 Escalamiento de Preguntas del Cliente 11.28 Autenticación e Integridad
8.4 Monitoreo de Atención a Clientes 11.29 Integridad de Transacciones Electrónicas
8.5 Análisis y Reporte de Tendencias 11.30 Integridad Continua de Datos Almacenados
9.0 Administración de la Configuración 12.0 Administración de Instalaciones
9.1 Registro de la Configuración 12.1 Seguridad Física
9.2 Base de la Configuración 12.2 Discreción de las Instalaciones de Tecnología
9.3 Registro de Estatus de Información
9.4 Control de la Configuración 12.3 Escolta de Visitantes
9.5 Software no Autorizado 12.4 Salud y Seguridad del Personal
9.6 Almacenamiento de Software 12.5 Protección contra Factores Ambientales
10.0 Administración de Problemas e Incidentes 12.6 Suministro Ininterrumpido de Energía
10.1 Sistema de Administración de Problemas 13.0 Administración de Operaciones
10.2 Escalamiento de Problemas 13.1 Manual de procedimientos de Operación e
10.3 Seguimiento de Problemas y Pistas de Instrucciones
Auditoría 13.2 Documentación del Proceso de Inicio y de
11.0 Administración de Datos Otras Operaciones
11.1 Procedimientos de Preparación de Datos 13.3 Calendarización de Trabajos
11.2 Procedimientos de Autorización de 13.4 Salidas de la Calendarización de Trabajos
Documentos Fuente Estándar
11.3 Recopilación de Datos de Documentos Fuente 13.5 Continuidad de Procesamiento
11.4 Manejo de Errores de Documentos Fuente 13.6 Bitácoras de Operación
11.5 Retención de Documentos Fuente 13.7 Operaciones Remotas
11.6 Procedimientos de Autorización de Entrada de MONITOREO
Datos 1.0 Monitoreo del Proceso
11.7 Chequeos de Exactitud, Suficiencia y 1.1 Recolección de Datos de Monitoreo
Autorización 1.2 Evaluación de Desempeño
11.8 Manejo de Errores en la Entrada de Datos 1.3 Evaluación de la Satisfacción de Clientes
11.9 Integridad de Procesamiento de Datos 1.4 Reportes Gerenciales
11.10 Validación y Edición de Procesamiento de 2.0 Evaluar lo adecuado del Control Interno
Datos 2.1 Monitoreo de Control Interno
11.11 Manejo de Error en el Procesamiento de 2.2 Operación oportuna del Control Interno
Datos 2.3 Reporte sobre el Nivel de Control Interno
11.12 Manejo y Retención de Salida de Datos 2.4 Seguridad de operación y aseguramiento de
11.13 Distribución de Salida de Datos Control Interno
11.14 Balanceo y Conciliación de Datos de Salida 3.0 Obtención de Aseguramiento Independiente
11.15 Revisión de Salida de Datos y Manejo de 3.1 Certificación / Acreditación Independiente de
Errores Control y Seguridad de los servicios de TI
11.16 Provisiones de Seguridad para Reportes de 3.2 Certificación / Acreditación Independiente de
Salida Control y Seguridad de proveedores externos de
11.17 Protección de Información Sensible durante servicios
transmisión y transporte 3.3 Evaluación Independiente de la Efectividad
11.18 Protección de Información Crítica a
de los Servicios de TI
3.4 Evaluación Independiente de la Efectividad de
proveedores externos de servicios
3.5 Aseguramiento Independiente del Cumplimiento
de leyes y requerimientos regulatorios y
compromisos contractuales
3.6 Aseguramiento Independiente del Cumplimiento
de leyes y requerimientos regulatorios y
compromisos contractuales
3.7 Competencia de la Función de Aseguramiento
Independiente
3.8 Participación Proactiva de Auditoría
4.0 Proveer Auditoría Independiente
4.1 Estatutos de Auditoría
4.2 Independencia
4.3 Ética y Estándares Profesionales
4.4 Competencia
4.5 Planeación
4.6 Desempeño del Trabajo de Auditoría
4.7 Reporte
4.8 Actividades de Seguimiento
Autor:
Estudiante del 5to. Año de la Carrera Ingeniería en Sistemas, Universidad Tecnológica Nacional (Regional
Córdoba)
Tema: Auditoría de Sistemas de Información
Leer
más: http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#ixzz2m4dR72BC