GOBIERNO DE MENDOZA Gobernacin

Comit de Informacin Pblica

Decreto n.: 1806/99Resolucin n.: 54

Objetivos de Control para la Informacin y Tecnologas Relacionadas

Cont rol Objec t ives for Informat ion and relat ed Tec hnology (CObIT)

Resumen Ejecutivo

Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) relacionada. En esta sociedad global (donde la informacin viaja a travs del "ciberespacio" sin las restricciones de tiempo, distancia y velocidad) esta criticalidad emerge de: la creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las "ciber amenazas" y la guerra de informacin (information warfare). la escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin; el potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa. Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de TI. Verdaderamente, la informacin y los sistemas de informacin son "penetrantes" en las organizaciones (desde la plataforma del usuario hasta las redes locales o amplias, cliente servidor y equipos Mainframe. Por lo tanto, la administracin requiere niveles de servicio que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, as como un mejoramiento continuo y una disminucin de los tiempos de entrega) al tiempo que demanda que esto se realice a un costo ms bajo. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nueva tecnologa. Por lo tanto, la administracin debe tener una apreciacin por, y un entendimiento bsico de los riesgos y limitantes del empleo de la tecnologa de informacin para proporcionar una direccin efectiva y controles adecuados. CObIT ayuda a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos tcnicos. Proporciona "prcticas sanas" a travs de un Marco Referencial de dominios y procesos y presenta actividades en una estructura manejable y lgica. Las prcticas sanas de CObIT representan el

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

consenso de los expertos (le ayudarn a optimizar la inversin en informacin, pero an ms importante, representan aquello sobre lo usted ser juzgado si las cosas salen mal. Las organizaciones deben cumplir con requerimientos de calidad, de reportes fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La administracin deber obtener un balance adecuado en el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir con esta responsabilidad, as como para alcanzar sus expectativas, la administracin deber establecer un sistema adecuado de control interno. Por lo tanto, este sistema o marco referencial deber existir para proporcionar soporte a los procesos de negocio y debe ser preciso en la forma en la que cada actividad individual de control satisface los requerimientos de informacin y puede impactar a los recursos de TI. El impacto en los recursos de TI es enfatizado en el Marco Referencial de CObIT conjuntamente a los requerimientos de informacin del negocio que deben ser alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin. La administracin, mediante este gobierno corporativo (c orporate governance), debe asegurar que la debida diligencia sea ejercitada por todos los individuos involucrados en la administracin, empleo, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin. Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una actividad de TI. La orientacin a negocios es el tema principal de CObIT. Esta diseado no solo para ser utilizado por usuarios y auditores, sino que en forma ms importante, esta diseado para ser utilizado como una lista de verificacin ( check list) detallada para los propietarios de los procesos de negocio. En forma incremental, las prcticas de negocio requieren de una mayor delegacin y otorgamiento de autoridad (Empowerment) de los dueos de procesos para que estos posean total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En forma particular, esto incluye el proporcionar controles adecuados. El Marco Referencial de CObIT proporciona herramientas al propietario de procesos de negocio que facilitan el cumplimiento de esta responsabilidad. El Marco Referencial comienza con una premisa simple y prctica:
Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural.

Contina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: planeacin & organizacin, adquisicin & implementacin, entrega (de servicio) y monitoreo. Esta estructura cubre todos los aspectos de informacin y de la tecnologa que la soporta. Dirigiendo estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin. Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una gua de auditora o de aseguramiento que permite la revisin de los procesos de TI

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

contra los 302 objetivos detallados de control recomendados por CObIT para proporcionar a la Gerencia la certeza de su cumplimiento y/o una recomendacin para su mejora. CObIT contiene un conjunto de herramientas de implementacin que proporciona lecciones aprendidas por empresas que rpida y exitosamente aplicaron CObIT en sus ambientes de trabajo. Incluye un Resumen Ejecutivo para el entendimiento y la sensibilizacin de la alta gerencia sobre los principios y conceptos fundamentales de CObIT. La gua de implementacin cuenta con dos tiles herramientas (Diagnstico de Sensibilizacin Gerencial Management Awareness Diagnostic y Diagnstico de Control en TI IT Control Diagnostic ) para proporcionar asistencia en el anlisis del ambiente de control en una organizacin. El Marco Referencial CObIT otorga especial importancia al impacto sobre los recursos de TI, as como a los requerimientos de negocios en cuanto a efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad que deben ser satisfechos. Adems, el Marco Referencial proporciona definiciones para los requerimientos de negocio que son derivados de objetivos de control superiores en lo referente a calidad, seguridad y reportes fiduciarios en tanto se relacionen con Tecnologa de Informacin. La administracin de una empresa requiere de prcticas generalmente aplicables y aceptadas de control y gobierno en TI para medir en forma comparativa ( Benchmark) tanto su ambiente de TI existente, como su ambiente planeado. CObIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos tcnicos y riesgos de negocio. CObIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de TI a travs de organizaciones, a nivel mundial. El objetivo de CObIT es proporcionar estos objetivos de control, dentro del marco referencial definido, y obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. Por lo tanto, CObIT esta orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de riesgos asociados con tecnologa de informacin y con tecnologas relacionadas.

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

OBJETIVOS de NEGOCIO

CobIT

Informacin Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

Monitoreo M1 Monitorear los procesos M2 Evaluar lo adecuado del control Interno M3 Obtener aseguramiento independiente M4 Proveer auditora independiente

Planeacin y Organizacin PO1 Definir un Plan Estratgico de T I PO2 Definir la Arquitectura de Informacin PO3 Determinar la direccin tecnolgica PO4 Definir la Organizacin y Relaciones de T I PO5 Manejar la Inversin en TI PO6 Comunicar las directrices gerenciales PO7 Administrar Recursos Humanos PO8 Asegurar el cumplir Requerimientos Externos PO9 Evaluar Riesgos PO10 Administrar proyectos PO11 Administrar Calidad

Recursos de TI Datos Aplicaciones Tecnologa Instalaciones Recurso Humano

Servicios y Soporte DS1 Definir niveles de servicio DS2 Administrar Servicios de T erceros DS3 Administrar Desempeo y Calidad DS4 Asegurar Servicio Continuo DS5 Garantizar la Seguridad de Sistemas DS6 Identificar y Asignar Costos DS7 Capacitar Usuarios DS8 Asistir a los Clientes de T I DS9 Administrar la Configuracin DS10 Administrar Problemas e Incidentes DS11 Administrar Datos DS12 Administrar Instalaciones DS13 Administrar Operaciones

Adquisicin e Implementacin AI1 Identificar Soluciones AI2 Adquisicin y Mantener Software de Aplicacin AI3 Adquirir y Mantener Arquitectura de T I AI4 Desarrollar y Mantener Procedimientos relacionados con TI AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

Antecedentes

Desarrollo del Producto CObIT CObIT ha sido desarrollado como un estndar generalmente aplicable y aceptado para las buenas prcticas de seguridad y control en Tecnologa de Informacin (TI). CObIT es la herramienta innovadora para el gobierno de TI (Governance. Trmino aplicado para definir un control total). CObIT se fundamenta en los Objetivos de Control existentes de la Information Systems Audit and Control Foundation (ISACF), mejorados a partir de estndares internacionales tcnicos, profesionales, regulatorios y especficos para la industria, tanto existentes como en surgimiento. Los Objetivos de Control resultantes han sido desarrollados para su aplicacin en sistemas de informacin en toda la empresa. El trmino "generalmente aplicables y aceptados" es utilizado explcitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas en ingls). Para propsitos del proyecto, "buenas prcticas" significa consenso por parte de los expertos. Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y responder, en la medida de lo posible, a las necesidades de negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas tcnicas de TI adoptadas en una organizacin. El proporcionar indicadores de desempeo (normas, reglas, etc.), ha sido identificado como prioridad para las mejoras futuras que se realizarn al marco referencial. El desarrollo de CObIT ha trado como resultado la publicacin del Marco Referencial general y de los Objetivos de Control detallados, y le seguirn actividades educativas. Estas actividades asegurarn el uso general de los resultados del Proyecto de Investigacin CObIT. Se determin que las mejoras a los objetivos de control originales debera consistir en:
el desarrollo de un marco referencial para control en TI como fundamento para los objetivos de control en TI y como una gua para la investigacin consistente en auditora y control de TI; una alineacin del marco referencial general y de los objetivos de control individuales, con estndares y regulaciones internacionales existentes de hecho y de derecho; y una revisin crtica de las diferentes actividades y tareas que conforman los dominios de control en TI y, cuando fuese posible, la especificacin de indicadores de desempeo relevantes (normas, reglas, etc.) y una revisin crtica y actualizacin de las guas actuales para desarrollo de auditoras de sistemas de informacin.

Sin excluir ningn otro estndar aceptado en el campo del control de sistemas de informacin que pudiera emitirse durante la investigacin, las fuentes han sido identificadas inicialmente como:
Estndares Tcnicos de ISO, EDIFACT, etc. Cdigos de Conducta emitidos por el Council of Europe, OECD, ISACA, etc.;

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

Criterios de Calificacin para sistemas y procesos de TI: ITSEC, ISO9000, SPICE, IickIT, etc.; Estndares Profesionales para control interno y auditora: reporte COSO, GAO, IFAC, IIA, ISACA, estndares CPA, etc.; Prcticas y requerimientos de la Industria de foros industriales (ESF, 14) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI); y Nuevos requerimientos especficos de la industria de la banca y manufactura de TI.

Definicion del producto CObIT El desarrollo de CObIT ha resultado en la publicacin de: un Resumen Ejecutivo el cual, adicionalmente a esta seccin de antecedentes, consiste en un Sntesis Ejecutiva (que proporciona a la alta gerencia entendimiento y conciencia sobre los conceptos clave y principios de CObIT) y el Marco Referencial (el cual proporciona a la alta gerencia un entendimiento ms detallado de los conceptos clave y principios de CObIT e identifica los cuatro dominios de CObIT y los correspondientes 34 procesos de TI); el Marco Referencial que describe en detalle los 34 objetivos de control de alto nivel e identifica los requerimientos de negocio para la informacin y los recursos de TI que son impactados en forma primaria por cada objetivo de control; Objetivos de Control, los cuales contienen declaraciones de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de 302 objetivos de control detallados y especficos a travs de los 34 procesos de TI; Guas de Auditora, las cuales contienen los pasos de auditora correspondientes a cada uno de los 34 objetivos de control de TI de alto nivel para proporcionar asistencia a los auditores de sistemas en la revisin de los procesos de TI con respecto a los 302 objetivos detallados de control recomendados para proporcionar a la gerencia certeza o una recomendaciones de mejoramiento; un Conjunto de Herramientas de Implementacin, el cual proporciona lecciones aprendidas por organizaciones que han aplicado CObIT rpida y exitosamente en sus ambientes de trabajo.

El Conjunto de Herramientas de Implementacin incluye la Sntesis Ejecutiva, proporcionando a la alta gerencia conciencia y entendimiento de CObIT. Tambin incluye una gua de implementacin con dos tiles herramientas Diagnstico de la Conciencia de la Gerencia (Management Awareness Diagnostic ) y el Diagnstico de Control de TI (IT Control Diagnostic) para proporcionar asistencia en el anlisis del ambiente de control en TI de una organizacin. Tambin se incluyen varios casos de estudio que detallan como organizaciones en todo el mundo han implementado CObIT exitosamente. Adicionalmente, se incluyen respuestas a las 25 preguntas mas frecuentes acerca de CObIT y varias presentaciones para distintos niveles jerrquicos y audiencias dentro de las organizaciones.

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

Evolucion del producto CObIT CObIT evolucionar a travs de los aos y ser el fundamento de investigaciones futuras. Por lo tanto, se generar un familia de productos CObIT y al ocurrir esto, las tareas y actividades que sirven como la estructura para organizar los Objetivos de Control de TI, sern refinadas posteriormente, tambin ser revisado el balance entre los dominios y los procesos a la luz de los cambios en la industria. Una temprana adicin significativa visualizada para la familia de productos CObIT, es el desarrollo de las Guas de Gerenciales (Management Guidelines) que incluyen Factores Crticos de Exito, Indicadores Clave de Desempeo y Medidas Comparativas (Benchmarks). Esta adicin proporcionar herramientas a la gerencia para evaluar el ambiente de TI de su organizacin con respecto a los 34 Objetivos de Control de alto nivel de CObIT. Los Factores Crticos de Exito identificarn los aspectos o acciones ms importantes para la administracin y poder as tomar dichas aciones o considerar los aspectos para lograr control sobre sus procesos de TI. Los Indicadores Clave de Desempeo proporcionarn medidas de xito que permitan conocer a la gerencia si un proceso de TI esta alcanzando los requerimientos de negocio. La Medidas Comparativas definirn niveles de madurez que pueden ser utilizadas por la gerencia para: (1) determinar el nivel actual de madurez de la empresa; (2) determinar el nivel de madurez que desea lograr, como una funcin de sus riesgos y objetivos; y (3) proporcionar una base de comparacin de sus prcticas de control de TI contra empresas similares o normas de la industria. Esta adicin proporcionar herramientas a la gerencia para evaluar el ambiente de TI de su organizacin con respecto a los 34 Objetivos de Control de alto nivel de CObIT. Las investigaciones y publicaciones han sido posible gracias a contribuciones de Unysis, Unitech Systems, Inc., MIS Training Institute, Zergo, Ltd., y Coopers & Lybrand. El Forum Europeo de Seguridad (European Security Forum -ESF-) amablemente puso a disposicin material para el proyecto. Otras donaciones fueron recibidas de captulos miembros de ISACA de todo el mundo.

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

El Marco Referencial de CObIT

Estableciendo la Escena
LA NECESIDAD DE CONTROL EN TECNOLOGIA DE INFORMACION En aos

recientes, ha sido cada vez ms evidente para los legisladores, usuarios y proveedores de servicios la necesidad de un Marco Referencial para la seguridad y el control de tecnologa de informacin (TI). Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) relacionada. En esta sociedad global (donde la informacin viaja a travs del "ciberespacio" sin las restricciones de tiempo, distancia y velocidad) esta criticalidad emerge de: la creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las "ciber amenazas" y la guerra de informacin (Information warfare) la escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin; y el potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa. Verdaderamente, la informacin y los sistemas de informacin son "penetrantes" en las organizaciones (desde la plataforma del usuario hasta las redes locales o amplias, cliente servidor y equipos Mainframe. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nueva tecnologa. Por lo tanto, la administracin debe tener una apreciacin por, y un entendimiento bsico de los riesgos y limitantes del empleo de la tecnologa de informacin para proporcionar una direccin efectiva y controles adecuados. La administracin debe decidir la inversin razonable en seguridad y control en TI y cmo lograr un balance entre riesgos e inversiones en control en un ambiente de TI frecuentemente impredecible. La administracin necesita un Marco Referencial de prcticas de seguridad y control de TI generalmente aceptadas para medir comparativamente su ambiente de TI, tanto el existente como el planeado. Existe una creciente necesidad entre los USUARIOS en cuanto a la seguridad en los servicios TI, a travs de la acreditacin y la auditora de servicios de TI proporcionados internamente o por terceras partes, que aseguren la existencia de controles adecuados. Actualmente, sin embargo, es confusa la implementacin de buenos controles de TI en sistemas de negocios por parte de entidades comerciales, entidades sin fines de lucro o entidades gubernamentales. Esta confusin proviene de los diferentes mtodos de evaluacin, tales como ITSEC, TCSEC, evaluaciones ISO9000, nuevas evaluaciones de control interno COSO, etc. Como resultado, los usuarios necesitan una base general a ser establecida como primer paso.

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

Frecuentemente, los AUDITORES han tomado el liderazgo en estos esfuerzos internacionales de estandarizacin, debido a que ellos enfrentan continuamente la necesidad de sustentar y apoyar frente a la Gerencia su opinin acerca de los controles internos. Sin contar con un marco referencial, sta se convierte en una tarea demasiado complicada. Esto ha sido mostrado en varios estudios recientes acerca de la manera en la que los auditores evalan situaciones complejas de seguridad y control en TI, estudios que fueron dados a conocer casi simultneamente en diferentes partes del mundo. Incluso, la administracin consulta cada vez ms a los auditores para que la asesoren en forma proactiva en lo referente a asuntos de seguridad y control de TI.

El ambiente de negocios: competencia, cambio & costos La competencia global es ya un hecho. Las organizaciones se reestructuran con el fin de perfeccionar sus operaciones y al mismo tiempo aprovechar los avances en tecnologa de sistemas de informacin para mejorar su posicin competitiva. La reingeniera en los negocios, las reestructuraciones, el outsourcing, las organizaciones horizontales y el procesamiento distribuido son cambios que impactan la manera en la que operan tanto los negocios como las entidades gubernamentales. Estos cambios han tenido y continuarn teniendo, profundas implicaciones para la administracin y las estructuras de control operacional dentro de las organizaciones en todo el mundo. La especial atencin prestada a la obtencin de ventajas competitivas y a la economa implica una dependencia creciente en la computacin como el componente ms importante en la estrategia de la mayora de las organizaciones. La automatizacin de las funciones organizacionales, por su naturaleza, dicta la incorporacin de mecanismos de control ms poderosos en las computadoras y en las redes, tanto los basados en hardware como los basados en software. Adems, las caractersticas estructurales fundamentales de estos controles estn evolucionando al mismo paso que las tecnologas de computacin y las redes. Si los administradores, los especialistas en sistemas de informacin y los auditores desean en realidad ser capaces de cumplir con sus tareas en forma efectiva dentro de un marco contextual de cambios acelerados, debern aumentar y mejorar sus habilidades tan rpidamente como lo demandan la tecnologa y el ambiente. Debemos comprender la tecnologa de controles involucrada y su naturaleza cambiante si deseamos emitir y ejercer juicios razonables y prudentes al evaluar las prcticas de control que se encuentran en los negocios tpicos o en las organizaciones gubernamentales. Respuesta a las ne cesidades En vista de estos continuos cambios, el desarrollo de este Marco Referencial de objetivos de control para TI, conjuntamente con una investigacin continua aplicada a controles de TI basada en este marco referencial, constituyen el fundamento para el progreso efectivo en el campo de los controles de sistemas de informacin. Por otro lado, hemos sido testigos del desarrollo y publicacin de modelos de control generales de negocios como COSO [Committee of Sponsoring Organisations of the Treadway Commisssion Internal Control-Integrated Framework, 1992] en los EUA, Cadbury en el Reino Unido y CoCo en Canad y

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

King en Sudfrica. Por otro lado, existe un nmero importante de modelos de control ms enfocados al nivel de tecnologa de informacin. Algunos buenos ejemplos de esta ltima categora son el Security Code of Conduct del DTI (Department of Trade and Industry, Reino Unido) y el Security Handbook de NIST (National Institute of Standards and Technology, EUA). Sin embargo, estos modelos de control con orientacin especfica no proporcionan un modelo de control completo y utilizable sobre tecnologa de informacin como soporte para los procesos de negocio. El propsito de CObIT es el cubrir este vaco proporcionando una base que est estrechamente ligada a los objetivos de negocio, al mismo tiempo que se enfoca a la tecnologa de informacin. Un enfoque hacia los requerimientos de negocio en cuanto a controles para tecnologa de informacin y la aplicacin de nuevos modelos de control y estndares internacionales relacionados, hicieron evolucionar los Objetivos de Control y pasar de una herramienta de auditora, a CObIT, que es una herramienta para la administracin. CObIT es, por lo tanto, la herramienta innovadora para el gobierno de TI que ayuda a la ge rencia a comprender y administrar los riesgos asociados con TI. Por lo tanto, el objetivo principal del proyecto CObIT es el desarrollo de polticas claras y buenas prcticas para la seguridad y el control de Tecnologa de Informacin, con el fin de obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. La meta del proyecto es el desarrollar estos objetivos de control principalmente a partir de la perspectiva de los objetivos y necesidades de la empresa. Esto concuerda con la perspectiva COSO, que constituye el primer y mejor marco referencial para la administracin en cuanto a controles internos. Posteriormente, los objetivos de control fueron desarrollados a partir de la perspectiva de los objetivos de auditora (certificacin de informacin financiera, certificacin de medidas de control interno, eficiencia y efectividad, etc.)

Audiencia: administracion, usuarios & auditores CObIT esta diseado para ser utilizado por tres audiencias distintas: Administracin: Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnologa de informacin frecuentemente impredecible. Usuarios: Para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa de informacin proporcionados internamente o por terceras partes. Auditores de sistemas de informacin: Para dar soporte a las opiniones mostradas a la administracin sobre los controles internos. Adems de responder a las necesidades de la audiencia inmediata de la Alta Gerencia, a los auditores y a los profesionales dedicados al control y seguridad, CObIT puede ser utilizado dentro de las empresas por el propietario de procesos de

10

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

negocio en su responsabilidad de control sobre los aspectos de informacin del proceso, y por todos aqullos responsables de TI en la empresa. Orientacin a objetivos de negocio Los Objetivos de Control muestran una relacin clara y distintiva con los objetivos de negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditora. Los Objetivos de Control estn definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios. En dominios y procesos identificados, se identifica tambin un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Se proporcionan consideraciones y guas para definir e implementar el Objetivo de Control de TI. La clasificacin de los dominios a los que se aplican los objetivos de control de alto nivel (dominios y procesos); una indicacin de los requerimientos de negocio para la informacin en ese dominio, as como los recursos de TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamente el marco Referencial CObIT. El marco referencial toma como base las actividades de investigacin que han identificado 34 objetivos de alto nivel y 302 objetivos detallados de control. El Marco Referencial fue mostrado a la industria de TI y a los profesionales dedicados a la auditora para abrir la posibilidad a revisiones, dudas y comentarios. Las ideas obtenidas fueron incorporadas en forma apropiada. Definiciones Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La definicin de "Control" est adaptada del reporte COSO [Committee of Sponsoring Organisations of the Treadway Commission. Internal Control-Integrated Framework, 1992 y la definicin para "Objetivo de Control de TI" ha sido adaptada del reporte SAC (Systems Auditability and Control Report). The Institute of Internal Auditors Research Foundation, 1991 y 1994.

Control Las polticas, procedimientos, prcticas y se define como estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos. Objetivo de control en TI Una definicin del resultado o propsito que se se define como desea alcanzar implementando procedimientos de control en una actividad de TI particular.

11

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

Principios del Marco Referencial

Existen dos clases distintas de modelos de control disponibles actualmente, aqullos de la clase del "modelo de control de negocios" (por ejemplo COSO) y los "modelos ms enfocados a TI" (por ejemplo, DTI). CObIT intenta cubrir la brecha que existe entre los dos. Debido a esto, CObIT se posiciona como una herramienta ms completa para la Administracin y para operar a un nivel superior que los estndares de tecnologa para la administracin de sistemas de informacin. Por lo tanto, CObIT es el modelo para el gobierno de TI. El concepto fundamental del marco referencial CObIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que deben ser administrados por procesos de TI. Requerimientos de negocio

Procesos de TI

Recursos de TI

Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos criterios a los que CObIT hace referencia como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, CObIT combina los principios contenidos en los modelos referenciales existentes y conocidos:

Requerimientos de calidad Calidad Costo Entrega (de servicio) Requerimientos Fiduciarios Efectividad & eficiencia de operaciones (COSO) Confiabilidad de la informacin Cumplimiento de las leyes & regulaciones Requerimientos de Seguridad Confidencialidad Integridad Disponibilidad

La Calidad ha sido considerada principalmente por su aspecto 'negativo' (no fallas, confiable, etc.), lo cual tambin se encuentra contenido en gran medida en los criterios de Integridad. Los aspectos positivos pero menos tangibles de la calidad

12

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

(estilo, atractivo, "ver y sentir look and feel", desempeo ms all de las expectativas, etc.) no fueron, por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La premisa se refiere a que la primera prioridad deber estar dirigida al manejo apropiado de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la Calidad est cubierto por los criterios de efectividad. Se consider que el aspecto de entrega (de servicio) de la Calidad se traslapa con el aspecto de disponibilidad correspondiente a los requerimientos de seguridad y tambin en alguna medida, con la efectividad y la eficiencia. Finalmente, el Costo es tambin considerado que queda cubierto por Eficiencia. Para los requerimientos fiduciarios, CObIT no intent reinventar le rueda se utilizaron las definiciones de COSO para la efectividad y eficiencia de operaciones, confiabilidad de informacin y cumplimiento con leyes y regulaciones. Sin embargo, confiabilidad de informacin fue ampliada para incluir toda la informacin no solo informacin financiera. Con respecto a los aspectos de seguridad, CObIT identific la confidencialidad, integridad y disponibilidad como los elementos clave, fue descubierto que estos mismos tres elementos son utilizados a nivel mundial para describir los requerimientos de seguridad. Comenzando el anlisis a partir de los requerimientos de Calidad, Fiduciarios y de Seguridad ms amplios, se extrajeron siete categoras distintas, ciertamente superpuestas. A continuacin se muestran las definiciones de trabajo de CObIT:

Efectividad Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna,correcta, consistente y de manera utilizable. Eficiencia Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Confidencialidad Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Integridad Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Cumplimiento Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente. Confiabilidad de la informacin. Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

13

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

Los recursos de TI identificados en CobIT pueden identificarse/definirse como se muestra a continuacin: Datos Los elementos de datos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc. Aplicaciones Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados. Tecnologa La tecnologa cubre hardware, software, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. Instalaciones Recursos para alojar y dar soporte a los sistemas de informacin. Personal Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin. El dinero o capital no es considerado como un recurso para la clasificacin de objetivos de control para TI debido a que puede definirse como la inversin en cualquiera de los recursos mencionados anteriormente y podra causar confusin con los requerimientos de auditora financiera. El Marco referencial no menciona, en forma especfica para todos los casos, la documentacin de todos los aspectos materiales importantes relacionados con un proceso de TI particular. Como parte de las buenas prcticas, la documentacin es considerada esencial para un buen control y, por lo tanto, la falta de documentacin podra ser la causa de revisiones y anlisis futuros de controles de compensacin en cualquier rea especfica en revisin. Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se describe a continuacin:

Eventos Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulacin Riesgos

TECNOLOGA INS TALACIONES GENTE

Informacin

mensaje entrada

Sistemas de Aplicacin Datos

servicio salida

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

La informacin que los procesos de negocio necesitan es proporcionada a travs del empleo de recursos de TI. Con el fin de asegurar que los requerimientos de negociio para al informacinson satisfechos,deben definirs, implementarse y monitorearse medidas de control adecuadaspara estos recursos.

14

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

Cmo pueden entonces las empresas estar satisfechas respecto de la informacin obtenida presente las caractersticas que nececitan? Es aqu donde se requiere un sano marco referencial de Objetivos de Control para TI. El diagrama mostrado ilustra este concepto.

Procesos del Negocio

Lo que se obtiene

Lo que se necesita

Criterios
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

Informacin

Recursos de TI
Datos Aplicaciones Tecnologa Instalaciones Recurso Humano

Concuerdan ?

El marco referencial conta de Objetivos de Control de TI de alto nivel y de una estructura general para su clasificacin y presentacin. La teora subyacente para la clasificacin seleccionadada se refiere a que existen, en esencia, tres niveles de actividades de TI al considerar la admistracin de sus recursos. Comenzando por la base, encontramos las actividades y las tareas necesarias para encontrar un resutado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras son cosideras ms discretas. Algunos ejemplo de esta categora son las actividadesde desarrollo de sistemas, administracin de la configuracin y manejo de cambios. La segunda categora incluye tareasllevadas a cabo como soporte para la planeacin estratgica de TI, evaluacin de riesgos, planeacin de la calidad, administracin de la capacidad y el desempeo. Los procesos se definen entonces en un nivel superior como una serie de actividades o tareas conjuntas con cortes naturales (de control). Al nivel ms alto, los pocesos son agrupados de manera natural en dominios. Su agrupamiento natural es confirmado frecuentementecomo dominios de responsabilad en una estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de vida aplicable a los procesos de TI.

15

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

Dominios

Procesos

Actividades

Por lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos estratgicos: (1) recursos de TI, (2) requerimientos de negocio para la informacin y (3) procesos de TI. Estos puntos de vista diferentes permiten al marco referencial ser accedido eficientemente. Por ejemplo, los gerentes de la empresa pueden interesarse en un enfoque de calidad, seguridad o fiduciario (traducido por el marco referencial en siete requerimientos de informacin especficos). Un Gerente de TI puede desear considerar recursos de TI por los cuales es responsable. Propietarios de procesos, especialistas de TI y usuarios pueden tener un inters en procesos particulares. Los auditores podrn desear enfocar el marco referencial desde un punto de vista de cobertura de control.

16

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

Con lo anterior como marco de referencia, los dominios son identificados utilizando las palabras que la gerencia utilizara en las actividades cotidianas de la organizacin y no la jerga (jargon) del auditor. Por lo tanto, cuatro grandes dominios son identificados: planeacin y organizacin, adquisicin e implementacin; entrega y soporte y monitoreo. Las definiciones para los dominios mencionados son las siguientes:

Planeacin y Organizacin Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas. Adquisicin e Implementacin Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. Entrega y Soporte En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin. Monitoreo Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. En resumen, los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos. El diagrama de pgina 4 ilustra este concepto.

17

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

Debe tomarse en cuenta que estos procesos pueden ser aplicados a diferentes niveles dentro de una organizacin. Por ejemplo, algunos de estos procesos sern aplicados al nivel corporativo, otros al nivel de la funcin de servicios de informacin, otros al nivel del propietario de los procesos de negocio. Tambin debe ser tomado en cuenta que el criterio de efectividad de los procesos que planean o entregan soluciones a los requerimientos de negocio, cubrirn algunas veces los criterios de disponibilidad, integridad y confidencialidad en la prctica, se han convertido en requerimientos del negocio. Por ejemplo, el proceso de identificar soluciones automatizadas deber ser efectivo en el cumplimiento de requerimientos de disponibilidad, integridad y confidencialidad. Resulta claro que las medidas de control no satisfarn necesariamente los diferentes requerimientos de informacin del negocio en la misma medida. Se lleva a cabo una clasificacin dentro del marco referencial CobIT basada en rigurosos informes y observaciones de procesos por parte de investigadores, expertos y revisores con las estrictas definiciones determinadas previamente.

Primario es el grado al cual el objetivo de control definido impacta directamente el requerimiento de informacin de inters. Secundario es el grado al cual el objetivo de control definido satisface nicamente de forma indirecta o en menor medida el requerimiento de informacin de inters. Blanco (vaco) podra aplicarse; sin embargo, los requerimientos son satisfechos ms apropiadamente por otro criterio en este proceso y/o por otro proceso.

Similarmente, todos las medidas de control no necesariamente tendrn impacto en los diferentes recursos de TI a un mismo nivel. Por lo tanto, el Marco Referencial de CObIT indica especficamente la aplicabilidad de los recursos de TI que son administrados en forma especfica por el proceso bajo consideracin (no por aquellos que simplemente toman parte en el proceso). Esta clasificacin es hecha dentro el Marco Referencial de CObIT basado en el mismo proceso riguroso de informacin proporcionada por los investigadores, expertos y revisores, utilizando las definiciones estrictas indicadas previamente.

18

Decreto n.: 1806/99Resolucin n.: 54Gobierno de MendozaCom.I.P. COb IT Objetivos de Control para la Informacin Pblica y Tecnologas Relacionadas Fuente: w ww.isaca.org

Tabla Resumen
Criterios de Informacin Confidencialidad Recursos de TI Recursos Humanos Sistemas Informacin Tecnologa

Disponibilidad

Cumplimiento

Confiabilidad

Instalaciones

Efectividad

Integridad

Dominio

Eficiencia

Proceso

Planeacin y Organizacin PO1 Definir un Plan Estratgico de TI PO2 Definir la Arquitectura de Informacin PO3 Determinar la direccin tecnolgica PO4 Definir la Organizacin y Relaciones de TI PO5 Manejar la Inversin en TI PO6 Comunicar las directrices gerenciales PO7 Administrar Recursos Humanos PO8 Asegurar el cumplir Requerimientos Externos PO9 Evaluar Riesgos PO10 Administrar proyectos PO11 Administrar Calidad Adquisicin e Implementacin AI1 Identificar Soluciones AI2 Adquisicin y Mantener Software de Aplicacin AI3 Adquirir y Mantener Arquitectura de TI AI4 Desarrollar y Mantener Procedimientos relacionados con TI AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios Servicios y Soporte DS1 Definir niveles de servicio DS2 Administrar Servicios de Terceros DS3 Administrar Desempeo y Capacidad DS4 Asegurar Servicio Continuo DS5 Garantizar la Seguridad de Sistemas DS6 Identificar y Asignar Costos DS7 Capacitar Usuarios DS8 Asistir a los Clientes de TI DS9 Administrar la Configuracin DS10 Administrar Problemas e Incidentes DS11 Administrar Datos DS12 Administrar Instalaciones DS13 Administrar Operaciones Monitoreo M1 Monitorear los procesos M2 Evaluar lo adecuado del control Interno M3 Obtener aseguramiento independiente M4 Proveer auditora independiente

P P P P P P P P S P P

S S S S S S P S P

P S S P P P S S P P P S

P P P P P P

S P P P P

S S S S S S S S S P P S

P P P P

P S S S S S P S S S S S P S S P P P S S S P P P S P P S S P P S P P P P P P S S

P P P P

S P P P

S S S S

S S S S

S S S S

S S S S

S S S S

19

Datos