Asclases IV 0

METODOS DE CONTROL Y
GESTION EN TI
AUDITORIA EN INFORMATICA
Justificacin
Aumento de
la
vulnerabilidad
Beneficios
para alcanzar
los objetivos
Informacin
como recurso
estratgico
Magnitud de
los costos e
inversiones
TIC
Aumento de
la
productividad
Automatizacin
de los procesos
y prestacin de
servicios
Recursos
TICs
Fuente: Rodrguez (2006)
La productividad de cualquier organizacin depende del funcionamiento
ininterrumpido de los sistemas TIC, transformando a todo el entorno en
un proceso crtico adicional (Rodrguez, 2006:3).
Evidencias
1 El crecimiento del acceso a Internet y de usuarios conectados
incrementa la posibilidad de concrecin de amenazas informticas.
2 Crecimiento de la informacin disponible de empresas y sus
empleados en redes sociales Ingeniera Social.
3 Mensajes de e-mail que contienen attachments que explotan
vulnerabilidades en las aplicaciones instaladas por los usuarios.
4 Robo de credenciales o captura ilegal de datos.
5 Acceso a redes empresariales a travs de cdigos maliciosos
diseados para obtener informacin sensitiva.
6 En el 2009 los sectores financiero, proveedores de servicios TIC,
comercios, seguros, comunidad de Internet, empresas de
telecomunicaciones y el gobierno han sido los ms vulnerables ante
las amenazas informticas.
7 En el 2009 Symantec identific 240 millones de programas maliciosos,
un aumento del 100% con respecto al 2008.
Fuente: Symantec (2010).
Evidencias
8 En el 2010 hubo 286 millones de nuevas ciberamenazas.
9 Junto con las redes sociales otra rea de peligro en el espacio mvil
(Smartphones).
10 Ciberguerras? A lo largo de 2009, diferentes gobiernos de todo el
mundo, como Estados Unidos, UK o Espaa, han mostrado la
preocupacin que tienen ante ataques que puedan afectar a la
economa del pas o incluso a otras reas, tales como las
denominadas infraestructuras crticas. Tambin este ao 2009 vimos
un ataque lanzado a diferentes pginas web de Estados Unidos y
Corea del Sur.
Previsin de tendencias de amenazas informticas para 2010 Fuente: www.cxo-
community.com
11 Cuidar a las empresas en esos momentos no es labor fcil. Los
ataques son incesantes (al menos 10,000 amenazas circulan en la red
cada minuto), y cada ao causan prdidas por ms de 650,000
millones de dlares, dice el grupo Crime-Research.org.
El cibercrimen acecha a las empresas. Fuente. www.cnnexpansion.com
Fuente: Symantec (2010) e ITESPRESSO.ES (2010)..
Supervisin de los CONTROLES IMPLEMENTADOS
y determinacin de su eficiencia
Rol Bsico de la Funcin de Auditora Informtica
Se requiere contar con una efectiva administracin de
los RIESGOS asociados con las TIC
Fuente: Rodrguez (2006)
Factores que propician la Auditora
Informtica
Leyes gubernamentales.
Polticas internas de la empresa.
Necesidad de controlar el uso de equipos
computacionales.
Altos costos debido a errores.
Prdida de informacin y de capacidades
de procesamiento de datos, aumentando as la
posibilidad de toma de decisiones
incorrectas.
Valor del hardware, software y personal.
Necesidad de mantener la privacidad y
confidencialidad de las transacciones de la
organizacin.
Objetivos generales de la Auditora en
Informtica
Asegurar la integridad, confidencialidad
y confiabilidad de la informacin.
Minimizar existencias de riesgos en el
uso de Tecnologa de informacin
Conocer la situacin actual del rea
informtica para lograr los objetivos.
Seguridad, utilidad, confianza,
privacidad y disponibilidad en el
ambiente informtico, as como tambin
seguridad del personal, los datos, el
hardware, el software y las instalaciones.
Auditoria de Sistemas de Barcelona (2004)

Incrementar la satisfaccin de los
usuarios de los sistemas informticos.
Capacitacin y educacin sobre
controles en los Sistemas de
Informacin.
Buscar una mejor relacin costo-
beneficio de los sistemas automticos y
tomar decisiones en cuanto a
inversiones para la tecnologa de
informacin.
Auditoria de Sistemas de Barcelona (2004)
Objetivos generales de la Auditora en
Informtica
Riesgo Informtico
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Fuente:
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
La Organizacin Internacional de
Normalizacin (ISO) define riesgo
tecnolgico (Guas para la Gestin de
la Seguridad) como:
La probabilidad de que una amenaza
se materialice de acuerdo al nivel de
vulnerabilidad existente de un activo,
generando un impacto especfico, el
cual puede estar representado por
prdidas y daos.
Amenaza
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo
Informtico.Fuente:
Acciones que pueden ocasionar
consecuencias negativas en la
plataforma informtica disponible: fallas,
ingresos no autorizados a las reas de
computo, virus, uso inadecuado de
activos informticos, desastres
ambientales (terremotos, inundaciones),
incendios, accesos ilegales a los
sistemas, fallas elctricas.
Pueden ser de tipo lgico o fsico.
Vulnerabilidad
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Fuente:
Condiciones inherentes a los
activos o presentes en su entorno
que facilitan que las amenazas
se materialicen.
Se manifiestan como debilidades o
carencias: falta de conocimiento
del usuario, tecnologa
inadecuada, fallas en la
transmisin, inexistencia de
antivirus, entre otros.
Impacto
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico.
Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Consecuencias de la ocurrencia
de las distintas amenazas:
financieras o no financieras.
Perdida de dinero, deterioro de la
imagen de la empresa, reduccin
de eficiencia, fallas operativas a
corto o largo plazo, prdida de
vidas humanas, etc.
Administracin de Riesgos
Luego de efectuar el anlisis de riesgo-impacto, el
ciclo de administracin de riesgo finaliza con la
determinacin de las acciones a seguir respecto:
Controlar el riesgo fortaleciendo los controles
existentes o agregar nuevos controles.
Eliminar el riesgo.
Compartir el riesgo mediante acuerdos
contractuales traspasando el riesgo a un tercero
(Ejemplo: seguro, outsourcing de informtica).
Aceptar el riesgo, determinando el nivel de
exposicin.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico.
Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf
Y...Qu es el control interno?
Es un proceso, mediante el cual la
administracin, los directivos y/o la alta
gerencia le proporcionan a sus
actividades, un grado razonable de
confianza, que le garantice la consecucin
de sus objetivos, tomando en cuenta: la
eficacia y eficiencia de las operaciones,
fiabilidad de la informacin financiera y
cumplimiento de las leyes y normas
aplicables, con la finalidad de dotar a la
organizacin medidas preventivas,
deteccin y correccin de errores, fallos y
fraudes o sabotajes
CONTROL INTERNO. DEFINICIN Y TIPOS
Cualquier actividad o accin realizada
manual y/o automticamente para
prevenir, corregir errores o irregularidades
que puedan afectar el funcionamiento de
un sistema para conseguir sus objetivos.
La tipologa tradicional de los controles informticos es:
Agente Amenazante
Hacker
Cracker
Espionaje Industrial
Criminales Profesionales
Usuarios
(Daos intencionales o no)
Objetivos: Desafo,
ganancia financiera/poltica,
dao
Causa Fsica (Natural o no)
Concrecin
de la
Amenaza
Bajo Nivel de
Vulnerabilidad?
Dao a los
equipos, datos
o informacin
Confidencialidad
Integridad
Disponibilidad
Prdida de
Dinero
Clientes
Imagen de la Empresa
Correctivo
Disuasivos Preventivos
Detectivo
T
min
Plataforma Informtica Plataforma Informtica
Operatividad
Amenaza o
Riesgo
Tratar de evitar el
hecho
Tratar de evitar el
hecho
Cuando fallan los
preventivos para
tratar de conocer
cuanto antes el
evento
Cuando fallan los
preventivos para
tratar de conocer
cuanto antes el
evento
Vuelta a la
normalidad cuando
se han producido
incidencias
Vuelta a la
normalidad cuando
se han producido
incidencias
Control Interno y Auditora
Entorno y Objetivos de Control
Control
Se define como las polticas, procedimientos, prcticas e infraestructuras
organizativas, diseadas para garantizar razonablemente, que los objetivos de
negocio se llevarn a cabo, y que las incidencias no deseadas se pueden prevenir o
detectar y corregir. (COSO 1992)
Objetivo de control de TI
Se define como el propsito o resultado que se desea alcanzar, mediante la
implantacin de procedimientos de control para una actividad de TI especfica.
Normas de Auditora Informtica
disponibles
COSO (Committee of Sponsoring
Organizations of the Treadway
Commission, EEUU 1992).
ITIL (Information Technology
Infrastructure Library, Inglaterra 1990).
ISO/IEC 27001:2006 (International
Organization for
Standardization/International
Electrotechnical Commission, Inglaterra
2000).
COBIT (Control Objectives for
Information and Related Technology IT,
EEUU 1998).
Modelo de evaluacin del
control interno en los
sistemas, funciones,
procesos o actividades en
forma ntegra.
Modelo de evaluacin del
control interno en los
sistemas, funciones,
procesos o actividades en
forma ntegra.
Marco referencial que evala
el proceso de gestin de los
Servicios de tecnologa de
informacin y de la
infraestructura tecnologa.
Marco referencial que evala
el proceso de gestin de los
Servicios de tecnologa de
informacin y de la
infraestructura tecnologa.
Gua de auditoria del
sistema de gestin de
seguridad de la informacin
Gua de auditoria del
sistema de gestin de
seguridad de la informacin
COBIT :
Modelo de
Gestin de TI
Referencia Bibliogrfica
IT GOVERNANCE
INSTITUTE. 2006. COBIT
4.0. Fuente: www.isaca.org
Information Systems Audit and Control Association
Fundada en 1969, ISACA patrocina conferencias
internacionales, publica la revista ISACA Journal y
desarrolla estndares internacionales en control y auditoria
de sistemas de informacin. Tambin administra la respetada
certificacin a nivel mundial como Auditor de Sistemas de
Informacin.
Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnologa de la
Informacin y Tecnologas relacionadas)
DEFINICIN
DEFINICIN
COBIT es un modelo de gestin y control de TI,
con el objetivo de consensuar:
los riesgos del negocio
las necesidades de control
y los aspectos tecnolgicos,
mediante la entrega de buenas prcticas aplicables
a una estructura lgica de procesos y actividades
Investigar, desarrollar, publicitar y promover un
actualizado, confiable e internacionalmente
aceptado conjunto de Objetivos para el control
de TI, a ser utilizados en el desarrollo habitual
de las operaciones tanto por gerentes del
negocio, como por auditores.
MISIN
COSO (Committe Of Sponsoring Org. of the Treadway Commission)
OECD (Organizarion for Economic Cooperation and Development)
ISO 9003 (International Standars Organization)
NIST (National Institute of Standars and Technology)
DTI (Departament of Trade and Industry of the U.K)
ITSEC (Information Technology Security Evaluation Criteria - Europa)
TCSEC (Trusted Computer Evaluacin Criteria - Orange Book- E.U)
IIA SAC (Institute of Internal Auditors - Systems Auditability and Control)
IS Auditing Standars Japn
COBIT
Representatividad
ISACA - 95 paises 20.000 miembros
Investigacin: E.U-Europa-Australia-Japn
Consolidacin y armonizacin 18 estndares
CONCEPTOS BSICOS
CARACTERSTICAS
Orientado al negocio
Alineado con estndares y regulaciones de
facto (COSO, IFAC, IIA, ISACA, AICPA)
ntegro (basado en una revisin crtica y
analtica de las tareas y actividades en TI)
Flexible
Razones que llevan a considerar
implantar un modelo de gestin de TI
Dependencia creciente del negocio frente a la
informacin
La Tecnologa soporta casi la totalidad de los
procesos del negocio
Los desarrollos constantes en TI y en las
prcticas de negocio
La responsabilidad por el uso de la tecnologa
se extiende en la organizacin
Los cambios ms importantes se realizan
pero igual contina la presin hacia el cambio.
Nivel de inversiones en tecnologa ..
Razones que llevan a considerar implantar
un modelo de gestin de TI
Constante aumento de vulnerabilidades y un
amplio espectro de amenazas.
Potencial de TI para efectuar cambios
profundos en las organizaciones, crear
nuevas oportunidades de negocios y reducir
los costos
Incremento de la necesidad de contar con un
modelo adecuado de gobernabilidad
corporativa (corporate governance)
Nuevas normativas (Sarbanes-Oxley act,
comunicacin 2003/179, NTPs)
Para que la TI tenga xito en satisfacer los requerimientos
del negocio, la direccin debe implantar un sistema de
control interno o un marco de trabajo.
El marco de trabajo de control COBIT contribuye a estas
necesidades de la siguiente manera:
Estableciendo un vnculo con los requerimientos del
negocio.
Organizando las actividades de TI en un modelo de
procesos generalmente aceptado.
Identificando los principales recursos de TI utilizados.
Definiendo los objetivos de control gerencial a ser
considerados.
Marco de Trabajo de Control COBIT
Proveerunmarconicoreconocidoanivelmundialde
lasmejoresprcticasdecontrolyseguridaddeTI.
Consolidaryarmonizarestndaresoriginadosen
diferentes paises desarrollados.
Concientizaralacomunidadsobreimportanciadel
controlylaauditoradeTI.
Enlazalosobjetivosyestrategiasdelosnegocioscon
laestructuradecontroldelaTI,comofactorcrticode
xito
Aplicaatodotipodeorganizacionesindependientede
susplataformasdeTI
Ratificalaimportanciadelainformacin,comounode
losrecursosmsvaliososdetodaorganizacinexitosa
Objetivos
Beneficios
CONCEPTOS BSICOS
Las mejores prcticas de TI se han vuelto
significativas debido a un nmero de factores:
Directores de negocio y consejos directivos que demandan
un mayor retorno de la inversin en TI.
Preocupacin por el creciente nivel de gasto en TI.
La necesidad de satisfacer requerimientos regulatorios
para controles de TI en reas como privacidad y reportes
financieros y en sectores especficos como el financiero,
farmacutico y de atencin a la salud.
..
significativas debido a mltiples factores :
La seleccin de proveedores de servicio y el manejo de
Outsourcing y de Adquisicin de servicios
Riesgos crecientemente complejos de la TI como la
seguridad de redes
Iniciativas de gobierno de TI que incluyen la adopcin de
marcos de referencia de control y de mejores prcticas
para ayudar a monitorear y mejorar las actividades crticas
de TI, aumentar el valor del negocio y reducir los riesgos de
ste.
..
significativas debido a mltiples factores :
La necesidad de optimizar costos siguiendo, siempre que
sea posible, un enfoque estandarizado en lugar de
enfoques desarrollados especialmente.
La madurez creciente y la consecuente aceptacin de
marcos de trabajo respetados tales como COBIT, ITIL, ISO
27001 (17799), ISO 9001, entre otros.
La necesidad de las empresas de valorar su desempeo
en comparacin con estndares generalmente aceptados y
con respecto a su competencia (Benchmarking)
Las organizaciones debern considerar y usar una variedad de modelos, estndares
y mejores practicas de TI por lo tanto asegrese de que entiende esto con el fin de
considerar como pueden usarse juntos, con COBIT actuando como consolidador
COBIT
I
S
O
9
0
0
0
ISO 27000
(17799)
ITIL
COSO
QUE COMO
Marcos de Referencia de Administracin de TI
CAMPO DE COBERTURA
DESEMPEO:
Metas del negocio
CONFORMIDAD
Basilea II, Sarbanes-
Oxley Act, etc
Gobierno Corporativo
Gobierno de TI
ISO
9001:2000
ISO
27000
ISO
20000
Estndares de mejores prcticas
Procedimientos
de QA
Procesos y Procedimientos
Directrices
COBIT
COSO
Principios
de
Seguridad
ITIL
Balanced Scorecard
Administracin de TI - Directrices
La Metodologa CobiT
Control Objectives for Information and Related Technologies.
Propuesta por la ISACF (Information Systems Audit and Control
Foundation).
Es la principal propuesta metodolgica realizada a nivel internacional
para abordar la Auditora de Sistemas de Informacin.
Supone un paso muy importante al considerar que, a efectos de
auditora, el sistema de informacin de una organizacin es UNICO,
aunque ciertos procesos se realicen de forma manual y otros mediante
el uso de la informtica.
La filosofa de CobiT asimila los principios de reingeniera de
empresas (BPR) y divide las funciones que ha de realizar un sistema
de informacin en procesos que, a su vez, estn subdivididos en
actividades y tareas ms simples.
Los sistemas de informacin estn orientados a los procesos y por
tanto su auditora se debe adaptar a estos conceptos.
Modelo CobiT
Origen
LEGISLADORES / REGULADORES
USUARIOS PRESTADORES
DE SERVICIOS
MARCO UNICO
REFERENCIA
PRACTICAS
SEGURIDAD
Y CONTROL
ALTA
GERENCIA
INVERSION CONTROL TI
BALANCE RIESGO/CONTROL
BASE BENCHMARKING
USUARIOS
DE
TI
ACREDITACON CONTROL
/SEGURIDAD POR AUDITORES O
TERCEROS
CONFUSIN ESTANDARES
AUDITORES
DESGASTE
OPINION V.S.
ALTA GCIA.
CONSULTORES EN
CONTROL/SEG.
TI
CONCEPTOS BSICOS
REGLA DE ORO DE COBIT
A fin, de proveer la informacin
que la organizacin requiere
para lograr sus objetivos, los
recursos de TI deben ser
administrados por un conjunto
de procesos, agrupados de
forma adecuada y normalmente
aceptada.
POR QU COBIT?
La Tecnologa se ve como un
costo, no hay una terminologa
comn con el negocio, y se
recorta el presupuesto en la
seguridad, ya que la falta de
difusion de normas y buenas
prcticas que ayuden a generar
conciencia de los riesgos
mantiene la quimera del :
A mi no me va pasar..
POR QU COBIT?
La Direccin, a travs de su Gobierno
Corporativo debe garantizar la debida
diligencia por parte de todos los
individuos involucrados en la
administracin, uso, diseo,
desarrollo, mantenimiento u
operacin de los sistemas de
informacin.
Gobierno de Tecnologa de Informacin
El rol de la Direccin
Los Mandos Gerenciales para saber que
deben exigir, como medir los resultados y
cuales son sus responsabilidades en esos
temas.
Balancear el riesgo y la inversin en control
de un ambiente a menudo impredecible
El Auditor para sustentar sus opiniones
sobre los riesgos y la adecuacin de la
tecnologa a las mejores prcticas. Ser
asesores proactivos del negocio
..
QUINES NECESITAN REGLAS DE JUEGO DEFINIDAS
POR QU COBIT?
El rea usuaria para saber que puede
pedir a TI y qu se le va a exigir sobre el
control de los procesos del negocio.
Son los interesados en saber si los
recursos de TI se utilizan adecuadamente
y les ayudan a alcanzar sus objetivos
El Gerente de Tecnologa para definir un
acuerdo de servicios y justificar su
inversin
Los Organismos estatales de control, para
saber que es lo mnimo que pueden
exigir.
POR QU COBIT?
QUINES NECESITAN REGLAS DE JUEGO DEFINIDAS
ORIENTACIN DE COBIT
Su orientacin hacia el negocio consiste en
vincular objetivos de negocio con objetivos de TI,
facilitar mtricas y modelos de madurez para
medir su xito, e identificar las responsabilidades
asociadas del negocio y los propietarios de los
procesos de TI.
ENFOCADO EN EL NEGOCIO, ORIENTADO
A PROCESO, BASADO EN CONTROLES Y
DIRIGIDO POR MEDIDAS.
PRINCIPIOS DE COBIT
Recursos de TI
Procesos de TI
Requerimientos
del negocio
El concepto o enfoque del marco COBIT, se basa en que el
control en TI se logra obteniendo la informacin necesaria
para apoyar los requerimientos procesos del negocio, y
considerando la informacin como resultado de la aplicacin
combinada de recursos de TI que necesitan ser administrados
por procesos de TI
MARCO DE REFERENCIA
Procesos del
Negocio
Recursos de TI
Datos
Aplicaciones
Tecnologa
Instalaciones
Recurso Humano
Informacin
Lo que usted
Obtiene
Lo que Usted
Necesita
Criterios
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Concuerdan
COBIT: Estructura conceptual
Dominios
Procesos
Actividades
P
e
r
s
o
n
a
s
S
i
s
t
e
m
a
s

A
p
l
i
c
a
t
i
v
o
s
T
e
c
n
o
l
o
g
a
D
a
t
o
s
I
n
s
t
a
l
a
c
i
o
n
e
s
Criterios de Informacin
P
r
o
c
e
s
o
s

d
e

T
I
Se puede enfocar desde tres puntos de vista :
Para satisfacer los objetivos del negocio la
informacin debe cumplir con criterios que COBIT
extrae de los ms reconocidos modelos:
Requerimientos de
calidad (ISO 9000-3)
Calidad
Costo
Entrega
{
Requerimientos de la
Informacin para el Negocio
Requerimientos de
seguridad (libro rojo,
naranja y otros)
Disponibilidad
Integridad
Confidencialidad
{
Requerimientos
fiduciarios (Informe
COSO)
Eficacia y eficiencia
Confiabilidad de la informacin
Cumplimiento de leyes y
reglamentaciones
{
Partiendo de estos tres requerimientos criterios amplios, se
identifican las siguientes siete categoras:
Eficacia: se refiere a la relevancia y pertinencia de
la informacin para el proceso de negocio
y a su entrega en forma oportuna,
correcta, consistente y til.
Eficiencia: se vincula con la provisin de
informacin mediante el uso ptimo (el
ms productivo y econmico) de los
recursos.
Requerimientos de la
Informacin para el Negocio
Confidencialidad: se refiere a la proteccin de la
informacin crtica, contra su divulgacin
no autorizada.
Integridad: se vincula con la exactitud y la totalidad
de la informacin, as como tambin con su
validez de acuerdo con los valores y las
expectativas de negocio.
Disponibilidad: se relaciona con el hecho de que la
informacin se encuentre disponible
cuando la necesite el proceso de negocio,
en el presente y en el futuro.
Tambin se asocia con la proteccin de los
recursos necesarios y las capacidades
asociadas.
Cumplimiento: se refiere al cumplimiento de las leyes,
reglamentaciones y disposiciones
contractuales a las que est sujeto el
proceso de negocio, vale decir, los
criterios de negocio impuestos a
nivel externo.
Confiabilidad de
la informacin: se vincula con la provisin de la
informacin adecuada, para que la
gerencia maneje la entidad y ejerza sus
responsabilidades de presentacin de
informes financieros y de cumplimiento.
Los recursos de TI, identificados en COBIT, para
alcanzar los objetivos del negocio son los siguientes :
Datos: objetos en su sentido ms amplio, es decir,
internos y externos, estructurados y no
estructurados, grficos, sonidos, etc.
Sistemas de aplicacin: se entiende por tales la
suma de los procedimientos manuales y
programados.
RECURSOS DE TI
Tecnologa: la tecnologa abarca el hardware,
los sistemas operativos, los sistemas de
administracin de bases de datos, las redes, los
multimedios, etc.
Instalaciones: recursos diversos utilizados para
alojar y dar soporte a los sistemas de informacin
Personas: habilidades, aptitudes, conocimientos y
productividad del personal para planificar,
organizar, adquirir, entregar, brindar soporte y
monitorear los sistemas y servicios de informacin.
PROCESOS DE TI
Los recursos de las Tecnologas de la
Informacin (TI) se han de gestionar
mediante un conjunto de procesos agrupados
de forma natural para que proporcionen la
informacin que la empresa necesita para
alcanzar sus objetivos.
Procesos
Actividades
o tareas
Dominios
Agrupacin natural de procesos,
normalmente corresponden a una
responsabilidad organizacional
dentro del ciclo de vida de procesos
TI
Conjuntos o series de actividades
unidas con delimitacin o cortes de
control.
Acciones requeridas para lograr un
resultado medible. Las actividades
tienen un ciclo de vida mientras que
las tareas son discretas.
PROCESOS DE TI
Levantamiento de procesos actuales
Procesos de
trabajo
Procesos de
trabajo
Recursos
de TI
Recursos
de TI
Criterios
de Informacin
Criterios
de Informacin
Datos
Sistemas de
Aplicacin
Infraestructura
Tecnolgica
Instalaciones
Fsicas
Recursos humanos
Planeacin y organizacin
Adquisicin e
implantacin de soluciones
Entrega de servicio y
soporte
Monitoreo
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Levantamiento de procesos actuales
Procesos de
trabajo
Procesos de
trabajo
Recursos
de TI
Recursos
de TI
Criterios
de Informacin
Criterios
de Informacin
Objetivos de Control
Factores Crticos de xito
Indicadores de Resultados
Indicadores de Desempeo
Recursos
de TI
Recursos
de TI
EL MODELO DEL MARCO DE TRABAJO DE COBIT
OBJETIVOS DE NEGOCIO
A
p
l
i
c
a
c
i
o
n
e
s
I
n
f
o
r
m
a
c
i
n
I
n
f
r
a
e
s
t
r
u
c
t
u
r
a
G
e
n
t
e
Criterios de
Informacin
Recursos
de TI
Procesos
de TI
Objetivos de
Control de Alto
Nivel
Indicadores clave
de Objetivos
Indicadores clave
de Rendimiento
Resultados de Negocio
Drivers de Gobernabilidad
Procesos de TI
Objetivos de TI
El marco de trabajo
COBIT, relaciona los
requerimientos de
informacin y de
gobierno a los objetivos
de la funcin de servicio
de TI.
El modelo de procesos
COBIT permite que las
actividades de TI y los
recursos que los
soportan sean
administrados y
controlados, basados
en los objetivos de
control de COBIT, y
alineados y
monitoreados usando
las mtricas KGI y KPI
de COBIT
Administracin, Control, Alineacin y Monitoreo de Cobit.
COBIT
Estructura
del Modelo
OBJETIVOS DEL NEGOCIO OBJETIVOS DEL NEGOCIO
COBIT COBIT
INFORMACION INFORMACION
RECURSOS DE TI
EFECTIVIDAD EFECTIVIDAD
EFICIENCIA EFICIENCIA
CONFIDENCIALIDAD CONFIDENCIALIDAD
INTEGRIDAD INTEGRIDAD
DISPONIBILIDAD DISPONIBILIDAD
CUMPLIMIENTO LEGAL CUMPLIMIENTO LEGAL
CONFIABILIDAD CONFIABILIDAD
PLANEACION Y PLANEACION Y
ORGANIZACION ORGANIZACION
MONITOREO MONITOREO
ADQUISICION E ADQUISICION E
IMPLEMENTACION IMPLEMENTACION
ENTREGA Y ENTREGA Y
SOPORTE SOPORTE
DATOS DATOS
APLICATIVOS APLICATIVOS
TECNOLOGIA TECNOLOGIA
FACILIDADES FACILIDADES
PERSONAS PERSONAS
Dominios de
Control
en T I
NEGOCIO
TICS Vs. PROCESOS
Requerimientos Informacin
Indicadores
de
Desempeo
Indicadores
Meta
Modelo de Madurez
Medidos
por
Metas de
Actividades
Prcticas de
Control
Directrices
de
Auditora
Ejecutados a
travs de
Auditados
a travs
de
Objetivos de
Control
Controlados
por
Traduccin Implementacin
Los Objetivos de Control COBIT brindan
buenas prcticas a travs de un marco de
trabajo de dominios y procesos, y presenta las
actividades en una estructura manejable y
lgica. Representan el consenso de expertos.
Enfocadas fuertemente en el control y menos
en la ejecucin. Ayudan a optimizar las
inversiones facilitadas por la TI, asegurarn la
entrega del servicio y brindarn una medida
contra la cual juzgar cuando las cosas no
vayan bien (IT Governance Instituye, 2006).
Herramientas para ayudar a asignar
responsabilidades, medir el desempeo, llevar
a cabo benchmarks () Las directrices
ayudan a brindar respuestas a preguntas de la
administracin: Qu tan lejos podemos llegar
para controlar la TI?, y el costo justifica el
beneficio? Cules son los indicadores de un
buen desempeo? Cules son las prcticas
administrativas clave a aplicar? Qu hacen
otros? Cmo medimos y comparamos? (IT
Governance Institute, 2006).
Resumen Ejecutivo
Casos de Estudio
Preguntas Frecuentes
Presentaciones Power Point
Guas de Implementacin
Diagnstico Conciencia Administrativa
Diagnstico Control de TI
Resumen Ejecutivo
Marco Referencial-Esquema
Objetivos de Alto Nivel
Lineamientos
Gerenciales
Detallados
Guas de
Auditora
Modelos de
Madurez
Factores Crticos
de xito
Indicadores
Clave de
Rendimiento
Indicadores
Clave de Logros
Herramientas de
implementacin
CobiT: enfoque e implementacin
Prcticas de
Control
Dominios
TI (4)
Objetivos de
control (318)
Guas Auditoria
De TI (34)
GERENCIA - UNIDADES DE NEGOCIO - TI
PERSONALIZACIN DE LAS GUIAS
EJECUCIN DE LA AUDITORIA
EVALUACION ADMINISTRATIVA
EVALUACION AUDITORIA
2
1:Nivel Control General 2:Nivel Detallado Control 3:Nivel Detallado Auditora
2
1
1
2
2
Procesos/
Actividades
(34)
3
COBIT
Aplicacin
del modelo
PROCESOS DE TI
Los procesos se agrupan en cuatro grandes
dominios:
Planeacin y Organizacin
(Planning and Organization)
Adquisicin e implementacin
(Acquisition and Implementation)
Prestacin de Servicios y Soporte
(Delivery and Support)
Seguimiento
(monitoring)
Las definiciones de los cuatro dominios identificados para la
clasificacin de alto nivel son:
Este dominio abarca aspectos estratgicos y
tcticos y se vincula con la identificacin de la
forma en que la TI puede contribuir ms
adecuadamente con el logro de los objetivos del
negocio.
Es preciso planificar, comunicar y administrar
la realizacin de la visin estratgica desde
distintas perspectivas.
Debe existir una correcta organizacin e
infraestructura tecnolgica.
PROCESOS DE TI
Planificacin
y
Organizacin
Para gobernar efectivamente TI, es importante
determinar las actividades y los riesgos que
requieren ser administrados.
PLANEAR Y ORGANIZAR
Cubre los siguientes cuestionamientos tpicos de la gerencia:
Estn alineadas las estrategias de TI y del negocio?
La empresa est alcanzando un uso ptimo de sus recursos?
Entienden todas las personas dentro de la organizacin los
objetivos de TI?
Se entienden y administran los riesgos de TI?
Es apropiada la calidad de los sistemas de TI para las
necesidades del negocio?
Para realizar la estrategia de Ti, deben
identificarse, desarrollarse o adquirirse
soluciones de Ti y luego implantarse e
integrarse en el proceso de negocio.
Este dominio abarca los cambios y el
mantenimiento de los sistemas existentes
para garantizar la natural continuidad
del ciclo de vida para estos sistemas.
PROCESOS DE TI
Adquisicin e
Implementacin
ADQUIRIR E IMPLEMENTAR
Adems para garantizar que las soluciones sigan cubre los
siguientes cuestionamientos de la gerencia:
Los nuevos proyectos generan soluciones que
satisfagan las necesidades?
Los nuevos proyectos son entregados a tiempo y dentro
del presupuesto?
Trabajarn adecuadamente los nuevos sistemas una
vez sean implementados?
Los cambios afectarn las operaciones actuales del
negocio?
En este dominio nos ocupamos de la entrega o
prestacin efectiva de los servicios requeridos, que
comprenden desde las operaciones tradicionales
sobre aspectos de seguridad y continuidad hasta la
capacitacin.
Para prestar los servicios, deben establecerse los
procesos de soporte necesarios.
Este dominio incluye el procesamiento real de los
datos por los sistemas de aplicacin, a menudo
clasificados como controles de aplicaciones.
PROCESOS DE TI
Entrega y
Soporte
requieren ser administrados. DOMINIO 3
ENTREGAR Y DAR SOPORTE
Aclara las siguientes preguntas de la gerencia:
Se estn entregando los servicios de TI de
acuerdo con las prioridades del negocio?
Estn optimizados los costos de TI?
Es capaz la fuerza de trabajo de utilizar los
sistemas de TI de manera productiva y segura?
Estn implantadas de forma adecuada la
confidencialidad, la integridad y la
disponibilidad?
Es preciso evaluar regularmente todos los
procesos de TI, a medida que trascurre el
tiempo para determinar su calidad y el
cumplimiento de los requerimientos de control.
Este dominio corresponde al seguimiento de la
gerencia sobre los procesos de control de la
organizacin y la garanta independiente
provista por la auditoria interna y externa u
obtenida de fuentes alternativas.
PROCESOS DE TI
Monitoreo
y
evaluacin
MONITOREAR Y EVALUAR
Abarca las siguientes preguntas de la gerencia:
Se mide el desempeo de TI para detectar los
problemas antes de que sea demasiado tarde?
La Gerencia garantiza que los controles
internos son efectivos y eficientes?
Puede vincularse el desempeo de lo que TI ha
realizado con las metas del negocio?
Se miden y reportan los riesgos, el control, el
cumplimiento y el desempeo?
Es la declaracin del resultado deseable o el
propsito a lograr (el Que) mediante la
implantacin de recomendaciones, procedimientos o
tcnicas de control (el Como) en determinada
actividad de tecnologa de la informacin
COBIT explicita cada objetivo del control a nivel de
actividades Los 34 OCGs propuestos se concretan en 302
objetivos de control detallados (OCDs).
DEFINICIN DE OBJETIVO DE
CONTROL EN COBIT
Las polticas, procedimientos prcticas y
estructuras organizacionales diseadas para
proveer una razonable confiabilidad de que los
objetivos del negocio sern alcanzados y que
los eventos indeseables sern prevenidos o
detectados y corregidos
DEFINICIN DE CONTROL EN
COBIT
Adquisicin e
Implementacin
Identificacin de soluciones
Adquisicin y mantenimiento de SW aplicativo
Adquisicin y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalacin y Acreditacin de sistemas
Administracin de Cambios
Planeacin y
Organizacin
Definir un plan estratgico de TI
Definir la arquitectura de informacin
Determinar la direccin tecnolgica
Definir la organizacin y relaciones de TI
Manejo de la inversin en TI
Comunicacin de la directrices Gerenciales
Administracin del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluacin de Riesgos
Administracin de Proyectos
Administracin de Calidad
PROCESOS DE TI
Se definen 34 objetivos de control generales (OCGs), uno para cada
uno de los procesos de las TI
Servicios y
Soporte
Definicin del nivel de servicio
Administracin del servicio de terceros
Administracin de la capacidad y el desempeo
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificacin y asignacin de costos
Capacitacin de usuarios
Soporte a los clientes de TI
Administracin de la configuracin
Administracin de problemas e incidentes
Administracin de datos
Administracin de Instalaciones
Administracin de Operaciones
Seguimiento
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditora independiente
PROCESOS DE TI
Executive Summary Presentacin del mtodo
Framework -- Explicacin del mtodo
Control Objectives -- Controles mnimos
Audit Guidelines -- Como auditar
Management Guidelines -- Como medir la performance
Implementation Guide -- Como implementar el mtodo
ELEMENTOS
INFORMACIN
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
EVENTOS
Objetivos de
negocio
Oportunidades de
negocio
Requerimientos
externos
Regulacin
Riesgos
Datos
Applicaciones
Tecnologa
Instalaciones
Recursos Humanos
ESTRUCTURA
Recursos de TI
Datos, Aplicaciones
Tecnologa, Instalaciones,
Recurso Humano
Req. Informacin
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad,
Cumplimiento, Confiabilidad
CobiT
Objetivos del
Negocio
Planeacin y
Organizacin
Definir un plan estratgico de TI
Definir la arquitectura de informacin
Determinar la direccin tecnolgica
Definir la organizacin y relaciones de TI
Manejo de la inversin en TI
Comunicacin de la directrices Gerenciales
Administracin del Recurso Humano
Asegurar el cumplir requerimientos externos
Evaluacin de Riesgos
Administracin de Proyectos
Administracin de Calidad
Adquisicin e
Implementacin
Identificacin de soluciones
Adquisicin y mantenimiento de SW aplicativo
Adquisicin y mantenimiento de arquitectura TI
Desarrollo y mantenimiento de Procedimientos de TI
Instalacin y Acreditacin de sistemas
Administracin de Cambios
Seguimiento
Seguimiento de los procesos
Evaluar lo adecuado del control Interno
Obtener aseguramiento inndependiente
Proveer una auditora independiente
Servicios y
Soporte
Definicin del nivel de servicio
Admistracin del servicio de terceros
Administracin de la capacidad y el
desempeo
Asegurar el servicio continuo
Garantizar la seguridad del sistema
Identificacin y asignacin de costos
Capacitacin de usuarios
Soporte a los clientes de TI
Administracin de problemas e incidentes
Administracin de Instalaciones
Administracin de Operaciones
MARCO DE REFERENCIA
Prcticas
De Control
Objetivos
De control
Requerimientos
de negocios
Procesos de TI
El control de
que satisfacen
se habilitan por
Diagrama de cascada
ASISTENTE DE NAVEGACIN
Tres posiciones ventajosas
Criterios de
informacin
Procesos
de TI
Recursos
de TI
S P
Declaraciones
de Control
Prcticas
de Control
es habilitado por las
considerando las
Procesos de TI
El contol de los
Requerimientos
de Negocio
que satisface los
Planificacin y
Organizacin
Adquisicin e
Implementacin
Entrega y
Soporte
Monitoreo
Vnculo entre Procesos,
Recursos y Criterios
El control sobre el proceso de:
administrar la seguridad de los
sistemas
Satisface los requerimientos del negocio:
salvaguardar informacin contra uso, difusin o modificaciones
no autorizadas, dao o prdida
Considerando:
autorizacin, autenticacin, uso de perfiles e
identificaciones, firewalls, deteccin y proteccin de
virus, manejo de incidentes, etc.
Es posible por:
controles de acceso lgico que aseguren que el acceso a
sistemas, datos y programas se encuentra restringido a
usuarios autorizados
Organizacin y
planeacin
Adquisicin e
implementacin
Monitoreo
Entrega y
soporte
S S S P P
OBJETIVOS DE CONTROL DE ALTO
NIVEL: DS5
Administrar Medidas de Seguridad
Identificacin, Autenticacin y Acceso
Seguridad de Acceso a Datos en Lnea
Administracin de Cuentas de Usuario
Revisin Gerencial de Cuentas de Usuario
Control de Usuarios sobre Cuentas de
Usuario
Vigilancia de Seguridad
Clasificacin de Datos
Identificacin y administracin de
asignacin de derechos
Reportes de Violacin y de Actividades de
Seguridad
Manejo de Incidentes
Reacreditacin
Confianza en Contrapartes
Autorizacin de transacciones
No negacin
Sendero Seguro
Proteccin de funciones de seguridad
Administracin de Llaves Criptogrficas
Prevencin, Deteccin y Correccin de
Software "Malicioso
Arquitectura de Fire Walls y conexin a
redes pblicas
Proteccin de Valores Electrnicos
Actividades de Control
Procedimientos
de Seleccin del
Software
Evaluacin del cumplimiento
de los objetivos de control
basados en la Norma COBIT
DOMINIO?
Objetivos de
Control
(PO) Planear y
Organizar
(ME) Monitorear
y Evaluar
(ES) Entregar y
dar soporte
(AI) Adquirir e
Implementar
Establecimiento
inadecuado de los
requerimientos
funcionales
Se detectan fallas
en la puesta en
marcha del sistema
automatizado
Debido a las fallas
los usuarios se
resisten a utilizar el
sistema
(AI1) Identificar
soluciones
automatizadas
(AI2) Adquirir y
mantener software
(AI3) Adquirir y
mantener
infraestructura TIC
(AI4) Facilitar
operacin y uso
Ejemplo: Supongamos la siguiente situacin
AI1 Identificar soluciones automatizadas
AI1.1 Definicin y mantenimiento de los requerimientos tcnicos y
funcionales del negocio.
Identificar, dar prioridades, especificar y acordar los requerimientos
de negocio funcionales y tcnicos.
Definir los criterios de aceptacin de los requerimientos. Estas
iniciativas deben incluir todos los cambios requeridos dada la
naturaleza del negocio, de los procesos, de las aptitudes y
habilidades del personal, su estructura organizacional y la
tecnologa de apoyo.
Establecer procesos para garantizar y administrar la integridad,
exactitud y la validez de los requerimientos del negocio, como
base para el control de la adquisicin y el desarrollo continuo de
sistemas.
AI1.2 Reporte de anlisis de riesgos
Identificar, documentar y analizar los riesgos asociados con los procesos
del negocio como parte de los procesos organizacionales para el
desarrollo de los requerimientos. Los riesgos incluyen las amenazas a la
integridad, seguridad, disponibilidad y privacidad de los datos, as
como el cumplimiento de las leyes y reglamentos.
AI1.3 Estudio de factibilidad y formulacin de cursos de accin
alternativos
Desarrollar un estudio de factibilidad que examine la posibilidad de
implantar los requerimientos.
AI1.4 Requerimientos, decisin de factibilidad y aprobacin.
El patrocinador del negocio aprueba y autoriza los requisitos de negocio,
tanto funcionales como tcnicos, y los reportes del estudio de factibilidad
en las etapas clave predeterminadas. Cada autorizacin va despus de
la terminacin de las revisiones de calidad.
Modelo de Madurez
Escala de medicin creciente a partir de 0 (No existente) hasta 5
(Optimizado) para la evaluacin de los procesos a partir de los objetivos
de control (IT Governance Institute, 2006).
No Existente
0
Inicial
1
Repetible
2
Definido
3
Administrado
4
Optimizado
5
Estado Actual de la empresa
Promedio de la Industria
Objetivo de la empresa
0 No se aplican procesos administrativos en lo absoluto
1 Los procesos son ad-hoc y desorganizados
2 Los procesos siguen un patrn regular
3 Los procesos se documentan y se comunican
4 Los procesos se monitorean y se miden
5 Las buenas prcticas se siguen y se automatizan
Las cinco formas de utilizar COBIT
Como una herramienta de comunicacin
Como una herramienta de organizacin
Como una herramienta para estructurar
consenso
Como una herramienta de autoevaluacin de TI
Como una herramienta para determinar el
alcance de la tarea de auditora
COBIT PERMITE
Posibilidad de aplicar las prcticas en un amplio espectro de
sistemas de informacin, independientemente de la tecnologa
empleada
Cumplimiento de las generalmente aplicables y aceptadas
prcticas para el control de TI
Aumentar el valor de la empresa
Gestin orientada hacia el enfoque de dueos de procesos
Alineacin de objetivos de TI con objetivos del negocio
Utilizacin eficiente y eficaz de los recursos de TI
Gestin medible y auditable
COBIT NECESITA
CONCIENTIZACIN, CAPACITACIN Y
ENTRENAMIENTO
ADAPTACIN A LA ORGANIZACIN
FIJAR ROLES Y RESPONSABILIDADES
SER COMPLEMENTADA CON OTROS
MODELOS QUE PERMITAN CONTAR
CON UN GOBIERNO CORPORATIVO
ADECUADO
PROCESOS
AI1
Identificar soluciones
de IT
Administrar los cambios
Adquirir y mantener
software aplicativo
Adquirir y mantener
arquitectura tecnolgica
Desarrollar y mantener
procedimientos de IT
Instalar y acreditar
sistemas
AI2
AI3
AI4
AI5
AI6
P S
P P S S
P P S
S
P P S S S
P S S
P P P S P
CRITERIOS RECURSOS
E
F
E
C
T
I
V
I
D
A
D
E
F
I
C
I
E
N
C
I
A
C
O
N
F
I
D
E
N
C
I
A
L
I
D
A
D
I
N
T
E
G
R
I
D
A
D
D
I
S
P
O
N
I
B
I
L
I
D
A
D
C
U
M
P
L
I
M
I
E
N
T
O
C
O
N
F
I
A
B
I
L
I
D
A
D
A
P
L
I
C
A
C
I
O
N
E
S
T
E
C
N
O
C
L
O
G
A
F
A
C
I
L
I
D
A
D
E
S
D
A
T
O
S
P
E
R
S
O
N
A
S
DOMINIO AI:
Adquisicin e
Implementacin
COBIT
Navegacin
(Matriz)
PRODUCTOS DE COBIT
INTERRELACIN DE LOS COMPONENTES DE COBIT
Negocio
Procesos de TI
Requerimientos
Informacin
Objetivos
de Control
Practicas
de Control
Guas de
Auditora
Metas de
las Actividades
Modelo de
Madurez
Indicadores
Clave de
Metas
Indicadores
Clave de
Desempeo
I
m
p
l
e
m
e
n
t
a
d
o
c
o
n
P
a
r
a

r
e
s
u
l
t
a
d
o
s
DEFINICIN DE PROCESOS DE TI
PO1: Definir el Plan estratgico de TI
La funcin de servicios de informacin debera
asegurar que hay planes a corto y largo plazo para
administrar y orientar todos los recursos de IT de la
organizacin. Estos planes deben ser actualizados de
manera correcta y oportuna para adecuarlos a los
cambios de las condiciones de la TI.
La evaluacin de los sistemas existentes debe
realizarse antes de desarrollar o modificar el plan
estratgico de TI. As mismo, la funcin de
administracin de los servicios de informacin debe
asegurar que el plan estratgico de TI es consistente
con los objetivos del negocio, y los planes a corto y
largo plazo de la organizacin.
OBJETIVOS DE CONTROL DE
TI - DETALLADOS
1
La TI como
parte de los
planes a
corto/largo
plazo de la
empresa
2
Plan a
largo
plazo de
la TI
3
Enfoque y
estructura
del Plan a
largo plazo
de la TI
4
Cambios
al Plan a
largo
plazo
de la TI
Plan corto
plazo de
la funcin
de
servicios
de TI
5
PROCESO: PO1: Definir el Plan Estratgico de TI
DOMINIO PO: Planeacin y Organizacin
Objetivos de Control - Detallados
Y tiene en consideracin:
Evaluacin objetivos de control detallados
REAS DE REVISIN AUDITORA DE SISTEMAS DE INFORMACIN
Control sobre el proceso de TI de:
Definicin de un plan Estratgico de TI
que satisface los requerimientos del negocio de:
Lograr un balance ptimo entre las oportunidades de
tecnologa de informacin y los requerimientos del negocio
para TI, as como para asegurar sus logros futuros.
se hace posible a travs de:
un proceso de planeacin estratgica emprendido en
intervalos regulares dando lugar a planes a largo plazo.
Los planes a largo plazo debern ser traducidos
peridicamente en planes operacionales estableciendo
metas claras y concretas a corto plazo:
y toma en consideracin:
Estrategia del negocio de la empresa
Definicin de cmo TI soporta los objetivos de negocio
inventario de soluciones tecnolgicas e infraestructura actual
Monitoreo del mercado de tecnologa
Estudios de factibilidad oportunos y chequeos con la realidad
Anlisis de los sistemas existentes
Posicin de la empresa sobre riesgos, en el proceso de compra
Necesidades de la Admn. senior en el proceso de compra
PO1
1. DEFINICIN DE UN PLAN ESTRATGICO DE TI
1.1 Tecnologa de Informacin como parte del Plan de la
Organizacin a corto y largo plazo.
OBJETIVO DE CONTROL
La alta gerencia ser la responsable de desarrollar e
implementar planes a largo y corto plazo que satisfagan la
misin y las metas de la organizacin.
La alta gerencia deber asegurar que los problemas de TI, as
como las oportunidades, sean evaluados adecuadamente y
reflejados en los planes a largo y corto plazo de la
organizacin. Se deben desarrollar planes de TI a largo y
corto plazo para ayudar a asegurar que el uso de la TI est
acorde con la misin y las estrategias de negocio de la
organizacin.
1.2 Plan a largo plazo de TI
OBJETIVO DE CONTROL
La Gerencia de TI y los responsables del proceso de negocio
debern desarrollar regularmente planes
de TI a largo plazo , que apoyen el logro de la misin y las
metas generales de la organizacin.
El mtodo de planeacin deber incluir mecanismos para
solicitar informacin a los interesados internos y externos
ms importantes, que se ven afectados por los planes
estratgicos de TI.
De la misma manera, la Gerencia deber implementar un
proceso de planeacin a largo plazo, adoptar un enfoque
estructurado y determinar la estructura para el plan.
1.3 Plan a largo plazo de TI - Enfoque y Estructura
OBJETIVO DE CONTROL
La Gerencia de TI y los responsables del negocio debern establecer y aplicar
un enfoque estructurado al proceso de planeacin a largo plazo; dando como
resultado un plan de alta calidad que cubra las preguntas bsicas de qu,
quin, cmo, cundo y por qu el proceso de planeacin de TI debe tomar en
cuenta los resultados del anlisis del riesgo, incluyendo los riesgos del
negocio, entorno, tecnologa y recursos humanos.
Los aspectos a ser cubiertos adecuadamente durante el proceso de
planeacin, incluyen el modelo de organizacin y sus cambios, la distribucin
geogrfica, la evolucin tecnolgica, los costos, los requerimientos legales y
regulatorios, requerimientos de terceras partes o del mercado, el horizonte de
planeacin, reingeniera de procesos del negocio, la asignacin de personal,
outsourcing, datos, sistemas de aplicacin y arquitecturas de la tecnologa.
Los planes de TI, de largo y corto alcance debern incorporar indicadores y
objetivos de desempeo. El plan mismo deber hacer referencia a otros
planes tales como el plan de calidad de la organizacin y el plan de manejo
de riesgos de informacin.
1.4 Cambios al Plan a largo plazo de TI
OBJETIVO DE CONTROL
La gerencia de TI y los dueos del proceso del negocio
debern asegurar que se establezca un proceso con el fin de
adaptar los cambios al plan a largo plazo de la
organizacin y los cambios en las condiciones de la TI.
La gerencia central deber establecer una poltica que
requiera que se desarrollen y se mantengan planes de largo y
corto plazo de TI.
1.5 Planeacin a corto plazo para la Funcin de TI
OBJETIVO DE CONTROL
La Gerencia de TI y los responsables del negocio
debern asegurar que el plan a largo plazo de TI se
traduzca regularmente en planes a corto plazo de TI.
Estos planes a corto plazo debern asegurar que se
asignen los recursos apropiados de la funcin de
servicios de TI con una base consistente con el plan a
largo plazo de TI.
Los planes a corto plazo debern ser reevaluados y
modificados peridicamente segn se considere necesario,
respondiendo a las condiciones de cambios en el negocio
y en TI.
La realizacin oportuna de estudios de factibilidad
(Proyectos informticos) deber asegurar que la ejecucin
de los planes a corto plazo, sea iniciada adecuadamente.
1.6 Comunicacin de los Planes de TI
OBJETIVO DE CONTROL
La gerencia debe asegurar que los planes de largo y
de corto plazo de TI sean comunicados a los dueos
del proceso del negocio y a otras partes relevantes
en toda la organizacin.
1.7 Monitoreo y Evaluacin de los Planes de
Tecnologa de la Informacin
OBJETIVO DE CONTROL
La gerencia debe establecer procesos para captar y
reportar la retroalimentacin de los dueos y
usuarios del proceso del negocio respecto a la
calidad y utilidad de los planes de largo y de corto
plazo. La retroalimentacin obtenida debe ser
evaluada y considerada en la planeacin futura de la
tecnologa de la informacin.
1.8 Evaluacin de los Sistemas Existentes
OBJETIVO DE CONTROL
Previo al desarrollo o modificacin del Plan
Estratgico o plan a largo plazo de TI, la Gerencia
de TI debe evaluar los sistemas existentes en
trminos de: nivel de automatizacin de negocio,
funcionalidad, estabilidad, complejidad, costo y
fortalezas y debilidades; con el propsito de
determinar el nivel de soporte que ofrecen los
sistemas existentes a los requerimientos del
negocio.
Definicin de la Arquitectura de Informacin
que satisface los requerimientos de negocio de:
organizar de la mejor manera los sistemas de
informacin
la creacin y mantenimiento de un modelo de
informacin de negocios y asegurando que se definan
sistemas apropiados para optimizar la utilizacin de
esta informacin
Repositorio automatizado de datos y diccionario
reglas de sintaxis de datos
propiedad de la informacin y clasificacin con base
en criticidad /seguridad
un modelo de informacin que represente el negocio
Normas de arquitectura de informacin de la empresa
PO2
determinacin de la direccin tecnolgica
aprovechar la tecnologa disponible y las que van apareciendo
en
el mercado para impulsar y posibilitar la estrategia del negocio.
la creacin y mantenimiento de un plan de infraestructura
tecnolgica que establece y administra expectativas claras
y realistas de lo que puede brindar la tecnologa en
trminos de productos, servicios y mecanismos de entrega
capacidad de la infraestructura actual
monitoreo de desarrollos tecnolgicos por la va de fuentes
confiables
realizacin de prueba de conceptos
riesgos, restricciones y oportunidades
planes de adquisicin
estrategia de migracin y mapas alternativos (roadmaps)
relaciones con los vendedores
reevaluacin independiente de la tecnologa
Cambios de precio /desempeo de hardware y de software
PO3
definicin de la organizacin y de las relaciones de TI
prestacin de los servicios correctos de TI
una organizacin conveniente en nmero y habilidades, con
tareas y responsabilidades definidas y comunicadas,
acordes con el negocio y que facilita la estrategia y provee
una direccin efectiva y un control adecuado.
responsabilidades del nivel directivo sobre TI
direccin de la gerencia y supervisin de TI
Alineacin de TI con el negocio
participacin de TI en los procesos clave de decisin
flexibilidad organizacional
roles y responsabilidades claras
equilibrio entre supervisin y delegacin de autoridad
descripciones de puestos de trabajo
Niveles de asignacin de personal y personal clave
Ubicacin organizacional de las funciones de seguridad,
calidad y control interno
Segregacin de funciones
PO4
Manejo o administracin de la inversin de TI
asegurar el financiamiento y el control de desembolsos de
recursos financieros
Inversin peridica y presupuestos operacionales
establecidos y aprobados por el negocio
alternativas de financiamiento
Claros responsables del presupuesto
Control sobre los gastos actuales
justificacin de costos y concienciacin sobre el costo total
de la propiedad
j u s ti f icacin del beneficio y contabilizacin de todos los
beneficios
obtenidos
Ciclo de vida del software de aplicacin y de la tecnologa
Alineacin con las estrategias del negocio de la empresa
Anlisis de impacto
Administracin de los activos
PO5
comunicacin de los objetivos y aspiraciones de la
gerencia que satisface los requerimientos de
negocio de:
asegurar que el usuario sea consiente y comprenda
dichas aspiraciones
polticas establecidas y transmitidas a la comunidad
de usuarios; adems, se necesitan estndares para
traducirlas opciones estratgicas en reglas de usuario
prcticas y utilizables
Misin claramente articulada
Directivas tecnolgicas vinculadas con aspiraciones de negocios
Cdigo de tica / conducta
Compromiso con la calidad
Polticas de seguridad y control interno
Practicas de seguridad y control interno
Ejemplos de liderazgo
Programacin continua de comunicaciones
Proveer guas y verificar su cumplimiento
PO6
administracin de recursos humanos
Adquirir y mantener una fuerza de trabajo motivada y
competente y maximizar las contribuciones del personal a los
procesos de TI
prcticas de administracin de personal, sensatas,justas y
transparentes para reclutar, alinear, pensionar, compensar,
entrenar, promover y despedir
reclutamiento y promocin
Entrenamiento y requerimientos de calificaciones
desarrollo de conciencia
entrenamiento cruzado y rotacin de puestos
Procedimientos para contratacin, veto y despidos
evaluacin objetiva y medible del desempeo
responsabilidades sobre los cambios tcnicos y de mercado
Balance apropiado de recursos internos y externos
Plan de sucesin para posiciones clave
PO7
aseguramiento del cumplimiento de requerimientos
externos
cumplir con obligaciones legales, regulatorias y
contractuales
la identificacin y anlisis de los requerimientos
externos en cuanto a su impacto en TI, y realizando
las
medidas apropiadas para cumplir con ellos
leyes, regulaciones y contratos
monitoreo de desarrollos legales y regulatorios
Monitoreo regular sobre cumplimiento
seguridad y ergonoma
privacidad
propiedad intelectual
PO8
anlisis de riesgos
Soportar las decisiones de la gerencia a travs del logro de los
objetivos de TI y responder a las amenazas reduciendo su
complejidad e incrementando objetivamente e identificando
factores importantes de decisin.
la participacin de la propia organizacin en la
identificacin de riesgos de TI y en el anlisis de impacto,
involucrando funciones multidisciplinarias y tomando
medidas efectivas en coste para mitigar los riesgos
Administracin de riesgos de la propiedad y del registro de las
operaciones
diferentes tipos de riesgos de TI (por ejemplo: tecnolgicos, de
seguridad, de continuidad, regulatorios, etc.)
Definir y comunicar un perfil tolerable de riesgos
Anlisis de las causas y sesiones de tormenta de ideas sobre riesgos
Medicin cuantitativa y/o cualitativa de los riesgos
metodologa de anlisis de riesgos
Plan de accin contra los riesgos
Volver a realiza anlisis oportunos
PO9
administracin de proyectos que satisface los
requerimientos de negocio de:
establecer prioridades y entregar servicios oportunamente y de
acuerdo al presupuesto de inversin
La organizacin identificando y priorizando proyectos en
lnea con el plan operacional y la adopcin y aplicacin de
tcnicas de administracin de proyectos para cada proyecto
emprendido
El patrocinio que la gerencia de negocios debe dar a los proyectos
Administracin de programas
Capacidad para el manejo de proyectos
Involucramiento del usuario
Divisin de tareas, puntos de control y aprobacin de fases
Distribucin de responsabilidades
Rastreo riguroso de puntos de control y entregables
Costos y presupuestos de mano de obra, balance de recursos internos
y externos
Planes y mtodos de aseguramiento de calidad
Programa y anlisis de riesgos del proyecto
Transicin de desarrollo a operacin
PO10
Administracin de la calidad
satisfacer los requerimientos del cliente de TI
la planeacin, implementacin y mantenimiento de
estndares de administracin de calidad y sistemas
provistos para las distintas fases de desarrollo, claros
entregables y responsabilidades explcitas
Establecimiento de una cultura de calidad
Planes de calidad
responsabilidades de aseguramiento de la calidad
Practicas de control de calidad
metodologa del ciclo de vida de desarrollo de sistemas
pruebas y documentacin de sistemas y programas
revisiones y reporte de aseguramiento de calidad
Entrenamiento e involucramiento del usuario final y del
personal de aseguramiento de calidad
Desarrollo de una base de conocimiento de aseguramiento
de calidad
Benchmarking contra las normas de la industria
PO11
Identificacin de soluciones automatizadas
asegurar un efectivo y eficiente enfoque para satisfacer los
requerimientos del usuario
Una objetiva y clara identificacin y anlisis de oportunidades
alternativas comparadas contra los requerimientos de los
usuarios
Conocimientos de soluciones disponibles en el mercado
Metodologas de Adquisicin e implementacin
Involucramiento del usuario en el proceso de compra
Alineamiento con las estrategias de la empresa y de TI
definicin de requerimientos de informacin
estudios de factibilidad ( de costo-beneficio, alternativas, etc)
Requerimientos de funcionalidad, operatividad, aceptacin y
sostenimiento
Cumplimiento con la arquitectura de informacin
Costo - efectividad de la seguridad y los controles
Responsabilidades de los proveedores
AI1
Identificacin de soluciones automatizadas
asegurar un efectivo y eficiente enfoque para satisfacer
los requerimientos del usuario
Una objetiva y clara identificacin y anlisis de
oportunidades alternativas comparadas contra los
requerimientos de los usuarios
Conocimientos de soluciones disponibles en el mercado
Metodologas de Adquisicin e implementacin
Involucramiento del usuario en el proceso de compra
Alineamiento con las estrategias de la empresa y de TI
definicin de requerimientos de informacin
estudios de factibilidad ( de costo-beneficio, alternativas, etc)
Requerimientos de funcionalidad, operatividad, aceptacin y
sostenimiento
Cumplimiento con la arquitectura de informacin
Costo - efectividad de la seguridad y los controles
Responsabilidades de los proveedores
AI2
Definicin y administracin de niveles de servicio
establecer un entendimiento comn del nivel de servicio
requerido
el establecimiento de acuerdos de niveles de servicio
que formalicen los criterios de desempeo contra los
cuales se medir la cantidad y la calidad del servicio
Acuerdos o convenios formales
definicin de responsabilidades
tiempos y volmenes de respuesta
cargos
garantas de integridad
Acuerdos de confidencialidad
Criterio de satisfaccin del cliente
Anlisis costo-beneficio de los niveles de servicio
requerido
Monitoreo y reporte
DS1
administracin de servicios prestados por terceros
asegurar que los roles y responsabilidades de las
terceras partes estn claramente definidas y que
cumplan y continen satisfaciendo los requerimientos
medidas de control dirigidas a la revisin y monitoreo de
acuerdos/ contratos y procedimientos existentes, en cuanto
a su efectividad y cumplimiento, con respecto a las polticas
de la organizacin
Acuerdos de servicio con terceras partes
Administracin de contrato
Acuerdos de confidencialidad
Requerimientos legales y regulatorios
Monitoreo y reporte de la entrega de servicio
Anlisis de riesgos de la empresa y de TI
Ejecucin de recompensas y sanciones
Contabilidad organizacional interna y externa
Anlisis de costos y variaciones en los niveles de servicio
DS2
administracin de desempeo y capacidad
asegurar que la capacidad adecuada est disponible y
que se est haciendo el mejor uso de ella para alcanzar
el desempeo deseado
Recoleccin de datos, anlisis y reporte del
rendimiento de los recursos, aplicacin de mediciones
y demanda de cargas de trabajo
requerimientos de disponibilidad y desempeo
monitoreo y reporte automatizado
herramientas de modelado
administracin de capacidad
disponibilidad de recursos
Cambios en precio-rendimiento del hardware y
software
DS3
asegurar el servicio continuo
Asegurar que los servicios de TI estn disponibles cuando se
requieran y asegurar el impacto mnimo en el negocio en el
evento que se presente una interrupcin mayor
tener un plan de continuidad de TI probado y funcional,
que est alineado con el plan de continuidad del negocio y
relacionado con los requerimientos de negocio
clasificacin de criticidad (severidad)
Procedimientos alternativos
respaldo y recuperacin
pruebas y entrenamiento sistemticos y regulares
Monitoreo y procesos de escalamiento
Responsabilidades organizacionales internas y externas
Activacin de la continuidad del negocio, vuelta atrs
(fallback) y plan de reactivacin
Actividades de administracin de riesgos
Anlisis de puntos nicos de falla
Administracin de problemas
DS4
garantizar la seguridad de los sistemas
salvaguardar la informacin contra uso no autorizado,
divulgacin o revelacin, modificacin, dao o prdida
controles de acceso lgico que aseguren que el acceso a
sistemas, datos y programas est restringido a usuarios
autorizados
Requerimientos de privacidad y confidencialidad
Autorizacin, autenticacin y control de acceso
identificacin de usuarios y perfiles de autorizacin
Necesidad de saber y necesidad de tener
administracin de llaves criptogrficas
manejo, reporte y seguimiento de incidentes
Prevencin y deteccin de virus
Firewalls
Administracin centralizada de seguridad
Entrenamiento a los usuarios
Herramientas para monitoreo del cumplimiento, pruebas de
intrusin y reportes
DS5
identificacin y asignacin de costos
asegurar un conocimiento correcto de los costos
atribuibles a los servicios de TI
un sistema de contabilidad de costos que asegure
que stos sean registrados, calculados y asignados a
los niveles de detalle requeridos y al apropiado
servicio ofrecido
Recursos identificables y medibles
Procedimientos y polticas de cargo
Tarifas de cargo y procesos de reversin de
cargos.
Conexin a acuerdo de niveles de servicio
Reporte automatizado
Verificacin de comprensin de beneficios
Benchmarking externo
DS6
educacin y entrenamiento de usuarios
asegurar que los usuarios estn haciendo un uso efectivo
de la tecnologa y sean conscientes de los riesgos y
responsabilidades involucrados
un plan completo de entrenamiento y desarrollo
Plan de entrenamiento
Inventario de habilidades
Campaas de concientizacin
Tcnicas de concientizacin
Uso de nuevas tecnologas y mtodos de
entrenamiento
Productividad del personal
Desarrollo de una base de conocimientos
DS7
Apoyo y asistencia a los clientes de TI
asegurar que cualquier problema experimentado por los
usuarios sea atendido apropiadamente
un help desk, o mesa de control y ayuda, que
proporcione soporte y asesora de primera lnea
consultas de los clientes y respuesta a
problemas
monitoreo de consultas y respuestas
anlisis y reporte de tendencias
Desarrollo de una base de conocimientos
Anlisis de las causas
Escalamiento y seguimiento de problemas
DS8
dar cuenta de todos los componentes de TI, prevenir
alteraciones no autorizadas, verificar la existencia fsica y
proporcionar una base para la sana administracin del
cambio
controles que identifiquen y registren todos los
activos de TI as como su localizacin fsica y un
programa regular de verificacin que confirme su
existencia
registro de activos
administracin de cambios en la configuracin
chequeo de software no autorizado
controles de almacenamiento de software
Integracin e interrelacin de hardware y
software
Uso de herramientas automatizadas
DS9
administracin de problemas e incidentes
asegurar que los problemas e incidentes sean resueltos y
que sus causas sean investigadas para prevenir cualquier
recurrencia
un sistema de administracin de problemas que
registre y d seguimiento a todos los incidentes
pistas de auditora de problemas y soluciones
resolucin oportuna de problemas reportados
procedimientos de escalamiento
reportes de incidentes
accesibilidad a la informacin de la configuracin
responsabilidades del proveedor
coordinacin con la administracin de cambios
DS10
asegurar que los datos permanezcan completos, precisos y
vlidos durante su entrada, actualizacin y almacenamiento
una combinacin efectiva de controles generales y de
aplicacin sobre las operaciones de TI
diseo de formatos
controles sobre documentos fuente
controles de entrada, procesamiento y salida
identificacin, movimiento y administracin de la librera de
medios
Recuperacin y almacenamiento de datos
autenticacin e integridad
propiedad de datos
polticas de administracin de datos
modelos de datos y estndares de representacin de datos
integracin y consistencia en todas las plataformas
requisitos legales y regulatorios
DS11
Administracin de instalaciones (sitios donde se procesa
informacin)
proporcionar un ambiente fsico conveniente que proteja
los equipos y al personal de TI contra peligros naturales
o fallas humanas
la instalacin de controles fsicos y ambientales adecuados
que sean revisados regularmente para garantizar su
adecuado funcionamiento
acceso a instalaciones
identificacin del sitio (instalacin)
seguridad fsica
Polticas de inspeccin y escalamiento
Plan de continuidad de negocios y administracin de crisis
salud y seguridad del personal
Polticas de mantenimiento preventivo
proteccin contra amenazas ambientales
Monitoreo automatizado
DS12
administracin de operaciones
asegurar que las funciones importantes de soporte de TI estn
siendo llevadas a cabo regularmente y de una manera
ordenada
una programacin o planeacin de las actividades que sea
registrada y diligenciada con base en el cumplimiento de
todas las actividades
manual de procedimiento de operaciones
documentacin para el inicio de procesos
administracin de servicios de red
Programacin del personal y cargas de trabajo
proceso de cambio de turno
registro de eventos del sistema
Coordinacin con las reas de administracin de cambios,
disponibilidad y manejo continuo de negocios
Mantenimiento preventivo
Acuerdos de niveles de servicio
Operaciones automatizadas
Registro, rastreo y escalamiento de incidentes
DS13
monitoreo del proceso
asegurar el logro de los objetivos establecidos para los
procesos de TI
la definicin de indicadores de desempeo
gerenciales, el reporte oportuno y sistemtico del
desempeo y la oportuna accin sobre las
desviaciones
Tarjetas de decisin (scorecards) con indicadores de
desempeo y medicin de resultados
evaluacin de la satisfaccin de clientes
reportes gerenciales
Base de conocimientos del desempeo histrico
Benchmarking externo
M1
Control sobre el proceso de TI:
Evaluar lo adecuado del control interno
asegurar el logro de los objetivos de control interno
establecidos para los procesos de TI
el compromiso de la Gerencia de monitorear los
controles internos, evaluar su efectividad y emitir
reportes sobre ellos en forma regular
Responsabilidades para el control interno
Monitoreo del control interno en proceso
benchmarks
reportes de errores y excepciones
autoevaluaciones
reportes gerenciales
Cumplimiento con los requerimientos legales y
regulatorios
M2
obtencin de aseguramiento independiente
incrementar los niveles de confianza entre la organizacin,
clientes y proveedores externos
revisiones de aseguramiento independientes llevadas a
cabo en intervalos regulares
certificaciones / acreditaciones independientes
evaluaciones independientes de efectividad
aseguramiento independiente sobre cumplimiento de
requerimientos legales y regulatorios
aseguramiento independiente del cumplimiento de
compromisos contractuales
revisiones y benchmarking a proveedores externos de
servicios
Revisin por personal calificado del aseguramiento de
desempeo
involucramiento proactivo de la auditora
M3
proveer auditora independiente
incrementar los niveles de confianza y beneficiarse de
recomendaciones basadas en mejores prcticas
auditoras independientes desarrolladas a intervalos
regulares
independencia de auditora
involucramiento proactivo de la auditora
ejecucin de auditoras por parte de personal
calificado
aclaracin de resultados y recomendaciones
actividades de seguimiento
Evaluacin del impacto de las recomendaciones de la
auditoria (costos, beneficios, y riesgos)
M4
CPC. Eduardo Miranda Valdivia
INDICE
Introduccin
Marco de referencia
Directrices de auditora
Directrices gerenciales
Gua para la implementacin
Directrices de Auditora
1 Directriz genrica
34 Directrices orientadas a procesos
Directriz
Genrica
de
Auditora
1) OBTENCIN DE UN ENTENDIMIENTO
Los pasos de auditora que se deben realizar para
documentar las actividades que generan inconvenientes a los
objetivos de control, as como tambin identificar las
medidas/procedimientos de control establecidas.
Entrevistar al personal administrativo y de staff apropiado
para lograr la comprensin de:
Los requerimientos del negocio y los riesgos asociados
La estructura organizacional
Los roles y responsabilidades
Polticas y procedimientos
Leyes y regulaciones
Las medidas de control establecidas
La actividad de reporte a la administracin (estatus,
desempeo, acciones)
Documentar el proceso relacionado con los recursos de TI que
se ven especialmente afectados por el proceso bajo revisin.
Confirmar el entendimiento del proceso bajo revisin, los
Indicadores Clave de Desempeo (KPI) del proceso, las implicaciones de
control, por ejemplo, mediante una revisin paso a paso del proceso.
2) EVALUACIN DE LOS CONTROLES
Los pasos de auditora a ejecutar en la evaluacin de la
eficacia de las medidas de control establecidas o el grado en
el que se logra el objetivo de control. Bsicamente, decidir
qu se va a probar, si se va a probar y cmo se va a
probar.
Evaluar la conveniencia de las medidas de control para el
proceso bajo revisin mediante la consideracin de los
criterios identificados
y las prcticas estndares de la industria, los Factores
Crticos de xito (CSF) de las medidas de control y la
aplicacin del juicio profesional de auditor.
Existen procesos documentados
Existen resultados apropiados
La responsabilidad y el registro de las operaciones son
claros y efectivos
Existen controles compensatorios, en donde es
necesario
Concluir el grado en que se cumple el objetivo de control.
3) VALORACIN DEL CUMPLIMIENTO
Los pasos de auditora a realizar para asegurar que las
medidas de control establecidas estn funcionando como
es debido, de
manera consistente y continua, y concluir sobre la
conveniencia del ambiente de control.
Obtener evidencia directa o indirecta de puntos/perodos
seleccionados para asegurarse que se ha cumplido con
los procedimientos durante el perodo de revisin,
utilizando evidencia tanto directa como indirecta.
Realizar una revisin limitada de la suficiencia de los
resultados del proceso.
Determinar el nivel de pruebas sustantivas y trabajo
adicional necesarios para asegurar que el proceso de TI
es adecuado.
4) JUSTIFICAR/COMPROBAR EL RIESGO
Los pasos de auditora a realizar para justificar el riesgo
de que no se cumpla el objetivo de control mediante el
uso de tcnicas
analticas y/o consultas a fuentes alternativas. El
objetivo es respaldar la opinin e impresionar a la
administracin para que tome accin. Los auditores
tienen que ser creativos para encontrar y presentar esta
informacin que con frecuencia es sensible y
confidencial.
Documentar las debilidades de control y las amenazas y
vulnerabilidades resultantes.
Identificar y documentar el impacto real y potencial; por
ejemplo, mediante el anlisis de causa-efecto.
Brindar informacin comparativa; por ejemplo, mediante
benchmarks.
Son un punto de inicio para identificar
tareas asociadas con determinados
objetivos de control de proceso.
CPC. Eduardo Miranda Valdivia
PO 1 DEFINIR UN PLAN ESTRATGICO DE TI
Objetivos de control
1.- TI como parte del Plan a largo y corto plazo
2.- Plan a largo plazo de TI
3.- Plan a largo plazo de TI - Enfoque y Estructura
4.- Cambios al Plan a largo plazo de TI
5.- Planeacin a corto plazo para la Funcin de
Servicios de Informacin
6.- Comunicacin de los planes de TI
7.- Monitoreo y evaluacin de los planes de TI
8.- Evaluacin de los sistemas existentes
Obtener un entendimiento a travs de:
Entrevistas:
Director General (Chief Executive Officer)
Director de Operaciones (Chief Operations Officer)
Director de Finanzas (Chief Financial Officer)
Director de TI (Chief Information Officer)
Miembros del comit de planeacin/direccin de la
funcin de servicios de informacin.
Gerencia de TI y personal de apoyo de RRHH
Obteniendo:
Polticas y procedimientos inherentes al proceso de
planeacin.
Roles y responsabilidades del equipo de Direccin
Objetivos de la Organizacin a largo y corto plazo
Objetivos de TI a largo y corto plazo
Reportes y minutas de seguimiento de las reuniones del
comit de Planeacin/Direccin
Evaluar los controles:
Considerando si:
Las polticas y procedimientos de negocios de la funcin de
servicios de informacin siguen un enfoque de planeacin
estructurado. Se ha establecido una metodologa para
formular y modificar los planes y que cubre, como mnimo:
misin y las metas de la organizacin
iniciativas de tecnologa de informacin para soportar la
misin y las metas de la organizacin
oportunidades para las iniciativas de tecnologa de
informacin
estudios de factibilidad de las iniciativas de tecnologa de
informacin
evaluacin de los riesgos de las iniciativas de tecnologa de
informacin
inversin ptima de las inversiones en tecnologa de informacin
actuales y futuras
reingeniera de las iniciativas de tecnologa de informacin para
reflejar los cambios en la misin y las metas de la organizacin
evaluacin de las estrategias alternativas para las aplicaciones de
datos, tecnologa y organizacin
Los cambios organizacionales, la evolucin tecnolgica,
los requerimientos regulatorios, la reingeniera de los
procesos de negocios, el in-sourcing y el outsourcing, las
reas de apoyo, etc. estn siendo consideradas y
dirigidas adecuadamente en el proceso de planeacin.
Existen planes de tecnologa de informacin a corto y
largo plazo, estn actualizados, estn dirigidos
adecuadamente a toda la empresa, su misin y funciones
clave de negocios.
Los proyectos de TI estn soportados por la
documentacin apropiada segn lo definido en la
metodologa de planeacin de
tecnologa de informacin.
Existen puntos de revisin para asegurar que los
objetivos de tecnologa de informacin y los planes a
corto y largo plazo
continan satisfaciendo los objetivos y los planes a corto
y largo plazo de la organizacin.
Los propietarios de procesos y la Gerencia llevan a cabo
revisiones y aprobaciones formales a los planes de TI.
El plan de tecnologa de informacin evala los sistemas
de informacin existentes en trminos del grado de
automatizacin, funcionalidad, estabilidad, complejidad,
costos, fortalezas y debilidades del negocio.
La ausencia de planeacin a largo plazo para los sistemas
de informacin y la estructura que lo soporta resulta en
sistemas que no soportan los objetivos de la empresa ni
los procesos del negocio, o no proveen integridad,
seguridad y control apropiados.
Evaluar la suficiencia:
Probando que:
Las minutas de las reuniones del comit de Planeacin de la
funcin de servicios de informacin reflejan el proceso de
planeacin.
Los entregables de la metodologa de planeacin existen
segn lo indicado.
Se incluyen iniciativas de tecnologa de informacin
relevantes en los planes a corto y largo plazos de la funcin
de servicios de informacin (por ejemplo, cambios de
hardware, planeacin de capacidad, arquitectura de
informacin, desarrollo u obtencin de nuevos sistemas,
planeacin de recuperacin en caso de desastre, instalacin
de plataformas para nuevos procesamientos, etc.).
Las iniciativas de tecnologa de informacin soportan la
investigacin, el entrenamiento, la asignacin de personal,
las instalaciones, el hardware y el software.
Evaluar la suficiencia:
Probando que:
Se han identificado las implicaciones tcnicas para las
iniciativas de tecnologa de informacin
Se ha tomado en consideracin la optimizacin de las
inversiones de tecnologa de informacin actuales y futuras
Los planes a corto y largo plazo de tecnologa de
informacin son consistentes con los planes a corto y largo
plazo de la organizacin, as como con los requerimientos
de sta.
Se han modificado los planes para reflejar condiciones
cambiantes.
Los planes a largo plazo de tecnologa de informacin son
traducidos peridicamente en planes a corto plazo.
Existen tareas para implementar los planes.
Comprobar el riesgo de los objetivos de control no cumplidos:
Llevando a cabo:
Mediciones ("Benchmarking") de planes estratgicos de
tecnologa de informacin contra organizaciones
similares o apropiados estndares internacionales
reconocidos como buenas prcticas de la industria.
Una revisin detallada de los planes de TI para asegurar
que las iniciativas de tecnologa de informacin reflejen
la misin y las metas de la organizacin.
Una revisin detallada de los planes de TI para
determinar si, como parte de las soluciones de
tecnologa de informacin contenidas en los planes, se
han identificado reas dbiles dentro de la organizacin
que requieren ser mejoradas.
Comprobar el riesgo de los objetivos de control no
cumplidos:
Identificando:
Fallas en la tecnologa de informacin para satisfacer la
misin y las metas de la organizacin.
Fallas en la tecnologa de informacin para concordar
con los planes a corto y largo plazo.
Fallas en los proyectos de TI para satisfacer los planes a
corto plazo.
Fallas en la tecnologa de informacin para satisfacer
lineamientos de costos y tiempos.
Oportunidades de negocios no aprovechadas.
Oportunidades no aprovechadas por TI.
INDICE
Introduccin
Marco de referencia
Gua para la implementacin
Factores crticos de xito
Indicadores clave de desempeo (KPI)
KGI (goal/objetivo)
indicadores medibles
del proceso para conseguir
su objetivo
f(Req. Del negocio de la cascada )
Influenciados por los criterios de informacin
primarios y secundarios
Una fuente potencial puede encontrarse en la seccin
sustanciar el riesgo de las directrices de auditora
de COBIT
Indicadores clave de objetivos (KGI)
Declaracin
de control
Prcticas
de control
Es habilitado por
considerando
Proceso de TI
El control de
Req. de
negocio
Que satisface
Declaracin
de control
Prcticas
de control
Es habilitado por
considerando
Proceso de TI
El control de
Req. de
negocio
Que satisface
Genricas y orientadas a la accin
Con el proposition de
Perfilar el control de TI qu es importante?
Conciencia dnde est el riesgo?
Benchmarking qu hacen los dems?
Soportar la toma de decisiones y supervisin
Indicadores claves de desempeo para
procesos TI
Factores crticos de xito de los controles
Alternativas de implementacin de los
controles
Directriz de Proceso Genrico
Gobierno sobre la tecnologa de informacin y los procesos con las
metas del negocio para aadir valor, mientras se balancean los
riesgos y el retorno
Asegurar la entrega de informacin al Negocio el cual establece
los Criterios de Informacin requeridos y es medido por
Indicadores Clave de Resultados/Logros
Se hace posible a travs de la creacin y mantenimiento de
un sistema de procesos y controles apropiados para el
negocio, el cual dirige y monitorea el valor del negocio
proporcionado por TI
Considera Factores Crticos de xito que tiene en
cuenta todos los Recursos de TI y es medido por
Indicadores Clave de Desempeo
Model os de madur ez par a aut oeval uac i n
DI MENSI ONES DEL MODELO DE MADUREZ
Entendimiento y conocimiento de los riesgos y de los
problemas de control
Capacitacin y comunicacin aplicadas a los problemas
Proceso y prcticas que son implementados
Tcnicas y automatizacin para hacer los procesos ms
efectivos y eficientes
Grado de cumplimiento de la poltica interna, las leyes y
las reglamentaciones
Tipo y grado de pericia empleada.
- Las actividades del gobierno de TI son integradas dentro del
proceso de gobierno de la empresa y las conductas de
liderazgo
- El gobierno de TI se enfoca en los objetivos y metas de la
empresa, en las iniciativas estratgicas y el uso de tecnologa
para mejorar el negocio, con base en la disponibilidad de
recursos y capacidades suficientes para soportar las demandas
del negocio
Las actividades del Gobierno de TI estn definidas sobre
propsitos claros, documentados e implementados, basados en
las necesidades de la empresa y con responsabilidades
concretas.
- Las prcticas gerenciales son implementadas para incrementar
la eficiencia y el uso ptimo de los recursos as como
incrementar la efectividad de los procesos de TI.
- Se establecen prcticas organizacionales para: evitar descuidos;
una cultura/ambiente de control; anlisis de riesgos como
prctica estndar; grado de adherencia a estndares
establecidos; monitoreo y seguimiento a los riesgos y a las
deficiencias de control.
- Se definen prcticas de control para evitar el incumplimiento o
mal uso de controles internos.
- Hay integracin e interoperabilidad transparente de los procesos
de TI mas complejos como podran ser: problemas, cambios y
administracin de la configuracin.
- Se establece un comit de auditora para designar y supervisar
un auditor independiente enfocado sobre TI cuando dirige la
ejecucin de planes de auditora y revisa los resultados de las
auditoras y revisiones de terceros.
- Incrementar el desempeo y la administracin de costos
- Mejorar el retorno de la inversin sobre las mayores inversiones de TI
-Mejorar el tiempo de comercializacin
-Incrementar la calidad, la innovacin y la administracin de riesgos
- Procesos del negocio apropiadamente integrados y estandarizados
- Bsqueda de nuevos clientes y satisfacer los existentes
- Disponibilidad de apropiado ancho de banda, poder de cmputo y
mecanismos para la entrega de servicios de TI
- Satisfacer los requerimientos y las expectativas de los clientes de los
procesos con base en un presupuesto y a tiempo
- Cumplir con las leyes, regulaciones, estndares de la industria y
compromisos contractuales.
- Transparencia en los riesgos asumidos y cumplimiento con el acuerdo del
perfil de riesgo organizacional.
- Comparaciones mediante Benchmarking sobre el nivel de madurez de TI
- Creacin de nuevos canales de distribucin y entrega de servicios
Indicadores clave de objetivo
- Mejorar los procesos de costo-eficiencia de TI
(costos versus entregables o servicios)
- Incrementar el nmero de planes de accin de TI para las
iniciativas de mejora de procesos
- Incrementar la utilizacin de la infraestructura de TI
- Incrementar la satisfaccin de los socios y accionistas
(encuestas y nmero de reclamaciones).
- Incrementar la productividad de los funcionarios de TI (nmero
de entregables) y su moral (encuesta)
- Incrementar la disponibilidad de conocimiento e informacin
para administrar la empresa.
- Incrementar las relaciones entre el gobierno de la empresa y
el gobierno de TI
- Incrementar el desempeo mediante mediciones utilizando
tarjetas de medicin (Balanced Scorecards)
Indicadores clave de desempeo
PO1 Planeacin y Organizacin
Definir un Plan Estratgico de Tecnologa de
Informacin
El Control sobre el proceso de TI de Definir un Plan Estratgico de TI
con el objetivo del negocio de
lograr un equilibrio ptimo de oportunidades de tecnologa de la
informacin y de los requerimientos de TI del negocio as como tambin
asegurar su cumplimiento posterior
Asegura la entrega de informacin al negocio que satisface los
Criterios de Informacin requeridos y se mide por los Indicadores
Clave de Objetivo
Es posibilitado por un proceso de planeacin estratgica
emprendido a intervalos regulares dando lugar a planes a largo
plazo; los planes a largo plazo deben ser traducidos
peridicamente en planes operativos que fijan metas a corto
plazo claras y concretas
Considera los Factores Crticos de xito que apalancan
Recursos de TI especficos y se mide por medio de los
Indicadores Clave de Desempeo.
PO1 Modelo de Madurez
El control sobre el proceso de TI de Definir un Plan
Estratgico de TI con el objetivo del negocio de
alcanzar un balance ptimo de oportunidades de tecnologa
de la informacin y requerimientos de TI del negocio as como
tambin asegurando su posterior cumplimiento
0 Inexistente. No se realiza la planeacin estratgica de TI.
La administracin no est conciente de que la planeacin
estratgica de TI es necesaria para apoyar los objetivos del
negocio.
1 Inicial /Ad hoc La administracin de TI est conciente de la
necesidad de planeacin estratgica de TI, pero no se ha
instalado un proceso estructurado de decisin. La planeacin
estratgica de TI se realiza con base a la necesidad en
respuesta a un requerimiento especfico del negocio y los
resultados son por lo tanto espordicos e inconsistentes. La
planeacin estratgica de TI es discutida ocasionalmente en
las reuniones de administracin de TI, pero no en las
reuniones de administracin del negocio. La correspondencia
con los requerimientos del negocio, las aplicaciones y la
tecnologa ocurren de manera reactiva, impulsadas por ofertas
de los vendedores, en lugar de ser por una estrategia en toda
la organizacin. La posicin estratgica de riesgo es
identificada informalmente en cada proyecto.
2 Repetible pero Intuitiva La planeacin estratgica de TI es
entendida por la administracin de TI, pero no est documentada.
La planeacin estratgica de TI es realizada por la administracin
de TI, pero slo es compartida con la administracin del negocio
en la medida en que se necesita.
La actualizacin del plan estratgico de TI se lleva a cabo slo en
respuesta a solicitudes de la administracin y no hay un proceso
proactivo para identificar los desarrollos de TI y del negocio que
requieren actualizaciones del plan. Las decisiones estratgicas son
impulsadas por proyecto, sin consistencia con una estrategia
general de la organizacin. Los riesgos y los beneficios de usuario
de las principales decisiones estratgicas estn siendo
reconocidos, pero su definicin es intuitiva.
3 Proceso Definido Una poltica define cundo y cmo realizar
la planeacin estratgica de TI. La planeacin estratgica de TI
sigue un mtodo estructurado que est documentado y que es
conocido por todos los miembros del personal. El proceso de
planeacin de TI es razonablemente adecuado y asegura que la
planeacin apropiada probablemente se realice. Sin embargo, se
da discrecin a los administradores individuales respecto a la
implementacin del proceso y no hay procedimientos para
examinar el proceso regularmente. La estrategia general de TI
incluye una definicin consistente de riesgos que la organizacin
est dispuesta a correr como un innovador o seguidor. Las
estrategias financiera, tcnica y de recursos humanos de TI
impulsan cada vez ms la adquisicin de nuevos productos y
tecnologas.
4. Administrado y Medible La planeacin estratgica de TI es una
prctica estndar y la administracin sealara las excepciones. La
planeacin estratgica de TI es una funcin definida de la
administracin con responsabilidades a nivel de alta gerencia. Con
respecto al proceso de planeacin estratgica de TI, la administracin
puede monitorearla, tomar decisiones inteligentes con base en sta y
medir su efectividad. Tanto la planeacin a corto como a largo plazo se
realiza y cae en cascada a la organizacin hacindose
actualizaciones a medida que se necesitan. La estrategia de TI y la
estrategia de toda la organizacin se estn volviendo cada vez ms
coordinadas resolviendo procesos de negocio y capacidades de valor
agregado y apalancando el uso de aplicaciones y de tecnologas a
travs de reingeniera del proceso de negocio. Hay un proceso bien
definido para balancear los recursos internos y externos requeridos en
el desarrollo y en las operaciones del sistema. Benchmarking frente a
normas y competidores de la industria se est volviendo cada vez ms
formalizada.
5. Optimizado La planeacin estratgica de TI, es un proceso
documentado, viviente, es constantemente considerado en la determinacin
del objetivo del negocio y tiene como resultado un valor discernible de
negocio a travs de inversiones en TI. Constantemente se estn
actualizando las consideraciones de riesgo y de valor agregado en el
proceso de planeacin estratgica de TI. Hay una funcin de planeacin
estratgica de TI que es integral con la funcin de planeacin del negocio.
Se desarrollan planes realistas de TI a largo plazo y los mismos estn
siendo constantemente actualizados para que reflejen la tecnologa
cambiante y los desarrollos relacionados con el negocio. Los planes de corto
plazo de TI contienen hitos de tareas de proyectos y productos que son
constantemente monitoreados y actualizados, a medidas que ocurren
cambios. El establecimiento de Benchmarking frente a normas de la
industria bien entendidas y confiables es un proceso bien definido y est
integrado con el proceso de formulacin de estrategias. La organizacin de
TI identifica y respalda nuevos desarrollos de la tecnologa para impulsar la
creacin de nuevas capacidades de negocios y para mejorar la ventaja
competitiva de la organizacin.
NECESIDAD DE RESPUESTA A
LOS RETOS DE TI
Qu no se interrumpa el servicio
Qu aporte valor
Administrar los costos
Dominar la complejidad
Alineacin con el Negocio
Cumplimiento de Regulaciones
Seguridad.
Los 7 retos:
BUEN GOBIERNO DE TI
Dirigir y controlar
Con responsabilidad
Con imputabilidad (Accountability)
Mediante actividades (Procesos)
Principios, participantes, mbito, ventajas
Los 4 principios:
NECESIDAD DE RESPUESTA A
LOS RETOS DE TI
Los participantes (stakeholders):
Internos
Externos
BUEN GOBIERNO DE TI
Las 5 reas:
Alineacin estratgica
Aportacin de Valor
Gestin de Riesgos
Gestin de Recursos
Medidas de Rendimiento
BUEN GOBIERNO DE TI
Las 5 ventajas:
Confianza de la Alta Direccin
TI es co-responsable al negocio
Retorno de Inversin Superior
Servicios ms confiables
Mayor transparencia
MARCOS DE BUEN GOBIERNO
Y DE TI
Las 5 caractersticas generales de un buen
marco:
Enfocado al Negocio
Orientado a Procesos
Generalmente aceptado
Utilice un lenguaje comn
Cumpla con los requisitos regulatorios
Gobierno Corporativo de TI
COBIT 5
Gobierno de TI
COBIT4.0/4.1
Administracin
COBIT3
Control
COBIT2
Un Marco Empresarial de ISACA, www.isaca.org/cobit
Auditora
COBIT1
COBIT: Gobierno de TI de las Empresas (GEIT)
2005/7 2000 1998
E
v
o
l
u
c
i
n

d
e
l

A
l
c
a
n
c
e
1996 2012
Val IT 2.0
(2008)
Risk IT
(2009)
Source: COBIT
5 Introduction Presentation 2012 ISACA
All rights reserved

Gobierno Corporativo de TI
ISO/IEC 38500: 2008
Gobierno Corporativo de Tecnologa
de Informacin
1.1 Alcance
Este estndar establece los principios rectores para directores de
organizaciones (incluyendo propietarios, miembros del consejo,
directores, socios, ejecutivos de alto nivel, o similar) sobre el uso
eficaz, eficiente y aceptable de la tecnologa de la informacin
(TI) dentro de sus organizaciones.
Esta norma se aplica a la gestin de los procesos de gestin
(toma de decisiones) relativas a los servicios de informacin y
comunicacin utilizados por una organizacin. Estos procesos
pueden ser controlados por especialistas en TI dentro de la
organizacin o de los proveedores de servicios externos, o por
unidades de negocio dentro de la organizacin.
Gobierno Corporativo de TI (cont.)
ISO/IEC 38500: 2008
de Informacin
2.1 Principios
2.1.1 Principio 1: Responsabilidad
2.1.2 Principio 2: Estrategia
2.1.3 Principio 3: Adquisicin
2.1.4 Principio 4: Desempeo
2.1.5 Principio 5: Conformidad
2.1.6 Principio 6: Comportamiento Humano
Gobierno Corporativo de TI (cont.)
ISO/IEC 38500: 2008
de Informacin
2.2 Modelo
Los administradores deben gobernar las TI a travs de tres tareas
principales:
a) Evaluar el uso actual y futuro de TI.
b) Preparacin directa y la aplicacin de planes y polticas para
garantizar que el uso de las TI cumple con los objetivos de
negocio.
c) Monitorear la conformidad de las polticas, y el desempeo
contra los planes.
COBIT 5
COBIT 5 en Resumen
COBIT 5 rene a los cinco principios
que permiten a la empresa de construir
una gobernabilidad efectiva y un marco
de gestin basado en un conjunto
holstico de siete facilitadores que
optimiza la informacin y la inversin en
tecnologa y el uso para el beneficio de
las partes interesadas.
El marco COBIT 5
En pocas palabras, COBIT 5 ayuda a las empresas a crear
valor ptimo de TI mediante el mantenimiento de un
equilibrio entre la obtencin de beneficios y la optimizacin
de los niveles de riesgo y el uso de los recursos.
COBIT 5 permite que la informacin y la tecnologa
relacionada para ser gobernado y administrado de manera
integral para el conjunto de la empresa, teniendo en el
pleno de extremo a extremo del negocio y reas
funcionales de responsabilidad, teniendo en cuenta los
intereses relacionados con la TI de grupos de inters
internos y externos.
Los principios y los facilitadores de COBIT 5 son de
carcter genrico y til para las empresas de todos los
tamaos, ya sea comercial, sin fines de lucro o en el sector
pblico.
Los Principios de COBIT 5
Source: COBIT
5, figure 2. 2012 ISACA
All rights reserved.

Principios
de COBIT 5
1. Satisfacer
las
necesidades
de las partes
interesadas
2. Cubrir la
Organizacin de
forma integral
3. Aplicar un
solo marco
integrado
4. Habilitar
un enfoque
holistico
5. Separar el
Gobierno de la
Administracin
Habilitadores de COBIT 5
Source: COBIT
5, figure 12. 2012 ISACA
All rights reserved.

1. Principios, Polticas y Marcos
2. Procesos
3. Estructuras
Organizacionales
4. Cultura, tica
y Comportamiento
5. Informacin
6. Servicios,
Infraestructura
y Aplicaciones
7. Personas,
Habilidades y
Competencias
RECURSOS
COBIT 5
Las organizaciones debern considerar y usar una variedad de modelos, estndares
y mejores practicas de TI por lo tanto asegrese de que entiende esto con el fin de
considerar como pueden usarse juntos, con COBIT actuando como consolidador
COBIT
I
S
O
9
0
0
0
ISO 27001
ITIL
COSO
QUE COMO
Marcos de Referencia de Administracin de TI
CAMPO DE COBERTURA
DESEMPEO:
Metas del negocio
CONFORMIDAD
Basilea II, Sarbanes-
Oxley Act, etc
Gobierno Corporativo
Gobierno de TI
ISO
9001:2000
ISO
27001
ISO
20000
Estndares de mejores prcticas
Procedimientos
de QA
Procesos y Procedimientos
Directrices
COBIT
COSO
Principios
de
Seguridad
ITIL
Balanced Scorecard
Administracin de TI - Directrices
ITIL
Estandariza procesos con un claro enfoque a la
Gestin del Servicio Entregables.
ISO 27001 (17799)
Normativa estndar de SEGURIDAD DE LA
INFORMACIN
COBIT
Proporciona un enlace claro entre los
Requerimientos del Gobierno de TI, los Procesos
de TI y los Controles de TI
Administracin de TI - Relaciones
ITIL 10 procesos,
Procesos de soporte
1. Gestin de la Configuracin (Configuration Management).
2. Gestin de Incidencias (Incident Management).Service Desk
3. Gestin de Problemas (Problem Management).
4. Gestin de Cambios (Change Management).
5. Gestin de la Distribucin (Release Management).
Procesos de entrega de servicios
6. Gestin de la Capacidad (Capacity Management).
7. Gestin de la Disponibilidad (Availability Management).
8. Gestin de la Continuidad (Continuity Management).
9. Gestin Financiera (Financial Management).
10. Gestin del Nivel de Servicio (Service Level Management).
ITIL
Estandariza procesos con un claro enfoque a
la Gestin del Servicio Entregables.
1. Poltica de Seguridad
2. Organizacin de Seguridad
3. Clasificacin y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Fsica y Ambiental
6. Gestin de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
ISO 27001 (17799)
Normativa estandard de SEGURIDAD DE LA
INFORMACIN
OBJETIVOS DEL NEGOCIO
OBJETIVOS DE GOBIERNO
Eficiencia
Aplicaciones
Informacin
Infraestructura
Personas
ENTREGA
Y
SOPORTE
MONITOREAR
Y
EVALUAR
ADQUISICIN
E
IMPLEMENTACIN
INFORMACION
RECURSOS
DE
TI
MARCO DE
REFERENCIA
C O B I T
Efectividad
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
DS1 Definir y administrar niveles de
servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y
capacidad.
DS4 Asegurar continuidad de servicio.
DS5 Garantizar la seguridad de
sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y capacitar usuarios.
DS8 Administrar servicios de apoyo e
incidentes.
DS9 Administrar la configuracin.
DS10 Administrar problemas.
DS11 Administrar datos.
DS12 Administrar el ambiente fsico.
DS13 Administrar operaciones.
ME1 Monitorear y Evaluar el
desempeo de TI.
ME2 Monitorear y Evaluar el control
interno.
ME3 Garantizar el cumplimiento
regulatorio.
ME4 Proveer Gobierno de TI.
PO1 Definir un plan estratgico de TI.
PO2 Definir la arquitectura de
informacin.
PO3 Determinar la direccin
tecnolgica.
PO4 Definir los procesos de TI, la
organizacin y sus relaciones.
PO5 Administrar las inversiones en TI.
PO6 Comunicar la direccin y objetivos
de la gerencia.
PO7 Administrar los recursos humanos
de TI.
PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de
TI.
PO10 Administrar proyectos.
AI1 Identificar soluciones de
automatizacin.
AI2 Adquirir y mantener software de
aplicacin.
AI3 Adquirir y mantener la
infraestructura tecnolgica.
AI4 Permitir la operacin y uso.
AI5 Obtener recursos de TI.
AI6 Administrar cambios.
AI7 Instalar y acreditar soluciones y
cambios.
PLANEACIN
Y
ORGANIZACIN
COBIT
Proporciona un Enlace Claro entre los Requerimientos del
Gobierno de TI, los Procesos de TI y los Controles de TI
Confiabilidad
- Los directivos y responsables empresariales exigen
mejores beneficios de las inversiones en TI.
- Las organizaciones se enfrentan a riesgos
relacionados con las TI, tales como la seguridad de
la red.
- Las mejores prcticas ayudan a cumplir los
requisitos reglamentarios de los controles de las TI
en reas como la confidencialidad y la preparacin
de informes financieros.
- Las organizaciones pueden optimizar sus costes
siguiendo enfoques normalizados.
COBIT, ITIL e ISO 27001 son normativas
valiosas para el crecimiento y xito de una
organizacin por las siguientes razones:
Como las normas trabajan conjuntamente
- Las mejores prcticas ayudan a las
organizaciones a evaluar su rendimiento en
comparacin con normas aceptadas
generalmente.
- Utilizando COBIT como un marco de control
general para la gestin de las TI, e ITIL e ISO
27001 proporcionan procesos normalizados
pormenorizados.
Los 34 procesos de TI de COBIT y los
objetivos de control de alto nivel se mapean
en secciones de ITIL y de ISO 27001.

Asclases IV 0

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Asclases IV 0

Diunggah oleh

Hak Cipta:

Format Tersedia

METODOS DE CONTROL Y

Auditoria de Sistemas de Barcelona (2004)

5 Introduction Presentation 2012 ISACA

All rights reserved

5, figure 2. 2012 ISACA

All rights reserved.

5, figure 12. 2012 ISACA

All rights reserved.

Anda mungkin juga menyukai