04 COBIT Objetivos de Control

OBJETIVOS DE CONTROL

COBITOBJETIVOS DE CONTROL3a EdicinEmitido por el Comit Directivo de COBIT y El IT Governance Institute MR

La Misin de COBIT:Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologa de informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.IT GOVERNANCE INSTITUTE

1

ARGENTINA ARUBA AUSTRALIA AUSTRIA BAHAMAS BAHRAIN BANGLEDESH BARBADOS BLGICA BERMUDA BOLIVIA BOSTSWANA BRASIL BRUENI CANAD CHILE CHINA COLOMBIA COSTA RICA CROATA CURAZAO CYPRUS REPBLICA CHECA DINAMARCA REPBLICA DOMINICANA

LIECHTENSTEIN OBJETIVOS DE CONTROL

INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATIONUna sola Fuente Internacional para los Controles de la Tecnologa de InformacinInformation Systems Audit and Control Association es una organizacin global lder de profesionales que representa a individuos en ms de 100 pases y comprende todos los niveles de la tecnologa de informacin Direccin ejecutiva, gerencia media y practicantes. La Asociacin est nicamente posesionada para cubrir el papel de generador central que armoniza los estndares de las prcticas de control de TI a nivel mundial. Sus alianzas estratgicas con otros grupos dentro del mbito profesional financiero, contable, de auditora y de TI aseguran a los dueos del proceso del negocio un nivel sin paralelo de integracin y compromiso. La Information Systems Audit and Control Association se cre en 1969 para cubrir las necesidades nicas, diversas y de alta tecnologa en el naciente campo de la TI. En una industria donde el progreso se mide en nanosegundos, ISACA se ha movido gil y velozmente para satisfacer las necesidades de la comunidad de negocios internacionales y de la profesin de controles de la TI. su programa de educacin profesional ofrece conferencias tcnicas y administrativas en cinco continentes, as como seminarios en todo el mundo para ayudar a los profesionistas de todas partes a recibir educacin contina de alta calidad. su rea de publicidad tcnica proporciona materiales de desarrollo profesional y referencias con el fin de aumentar su distinguida seleccin de programas y servicios.

ECUADOR EGIPTO ESTONIA ISLAS FAEROE FINLANDIA FRANCIA ALEMANIA GHANA GRECIA GUAM GUATEMALA HONDURAS HONG KONG HUNGRA ISLANDIA INDIA INDONESIA IRLANDA ISRAEL ITALIA IVORY COAST JAMAICA JAPN JORDN KENYA COREA KUWAIT LATVIA LEBANON

Programas y Servicios de la AsociacinLos Programas y Servicios de la Asociacin han ganado prestigio al establecer los niveles ms altos de excelencia en certificacin, estndares, educacin profesional y publicidad tcnica. su programa de certificacin (el Auditor de Sistemas de Informacin Certificado) es la nica designacin global en toda la comunidad de control y auditora de la TI.

Para ms InformacinPara recibir informacin adicional, puede llamar al (+1.847.253.1545), enviar un e-mail a ([email protected]) o visitar los siguentes sitios web:

LITUANIA LUXEMBURGO MALASIA MALTA MALAWI MXICO PASES BAJOS NUEVA GUINEA NUEVA ZELANDA NIGERIA NORUEGA OMN PAKISTN PANAM PER FILIPINAS POLONIA PORTUGAL QATAR RUSIA SAIPAN ARABIA SAUDITA ESCOCIA SEYCHELLES SINGAPUR REP. ESLOVACA ESLOVENIA SUDFRICA ESPAA SRI LANKA ST. KITTS ST. LUCIA SUECIA SUIZA SIRIA TAIWAN TANZANIA TASMANIA TAILANDIA TRINIDAD & TOBAGO

sus actividades estndar establecen la base de calidad mediante la cual otras actividades de control y auditora de TI se miden. www.itgovernance.org www.isaca.org

TURQUA UGANDA EMIRATOS ARAB UNIDOS REINO UNIDO ESTADOS UNIDOS

URUGUAY VENEZUELA VIETNAM GALES YEMEN ZAMBIA ZIMBABWE

2

IT GOVERNANCE INSTITUTE

OBJETIVOS DE CONTROLReconocimientos Resumen Ejecutivo El Marco Referencial de COBIT Estableciendo la escena Los Principios del Marco Referencial Historia y Antecedentes del COBIT Tabla Resumen Principios de los Objetivos de Control Relaciones de Objetivos de Control Dominios, Procesos y Objetivos de Control Objetivos de Control Planeacin y Organizacin Adquisicin e Implementacin Entrega de Servicios y Soporte Monitoreo Apndice I Directrices Gerenciales del Gobierno de IT Apndice II Descripcin del Proyecto COBIT Apndice III Material de Referencia Primaria 4 5 9 9 14 20 22 23Lmite de Responsabilidad La Information Systems Audit and Control AssociationISACA- y el IT Governance Institute ITGI- (los propietarios) han creado esta publicacin titulada COBIT: Objetivos de Control para la Informacin y las Tecnologas Relacionadas (el trabajo) principalmente como un recurso educativo para los profesionales dedicados a las actividades de control. Los Propietarios declaran que no responden o garantizan que el uso que se le de al Trabajo asegurar un resultado exitoso. No deber considerarse que el Trabajo incluye toda la informacin, los procedimientos o las pruebas apropiadas o excluye otra informacin, procedimientos y pruebas que estn razonablemente dirigidas a la obtencin de los mismos resultados. Para determinar la conveniencia de cualquier informacin, procedimiento o prueba especfica, los expertos en control debern aplicar su propio juicio profesional a las circunstancias especficas presentadas por los sistemas o por el ambiente de tecnologa de informacin en particular. Esta edicin de COBIT fue traducida al idioma espaol por Gustavo Adolfo Sols Montes, Lucio Augusto Molina Focazzio, Johann Tello Meryk y Roco Torres Surez, (los traductores). Los traductores asumen la responsabilidad exclusiva por la actualizacin y por la fidelidad de la traduccin. La Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI) declaran que no responden por la actualizacin, totalidad, o por la calidad de la traduccin. En ningn evento ISACA/ITGI ser responsable ante un individuo u organizacin por los daos causados en relacin con la edicin del lenguaje, cualquier actualizacin, modificacin, localizacin o traduccin. Acuerdo de Licencia de uso (disclosure) Copyright 1996, 1998, 2000, de la Information Systems Audit and Control Foundation (ISACF). La reproduccin para fines comerciales no est permitida sin el previo consentimiento por escrito de la ISACF. Se otorga permiso para reproducir el Resumen Ejecutivo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el Conjunto de Herramientas de Implementacin para uso interno no comercial, incluyendo almacenamiento en medios de recuperacin de datos y transmisin en cualquier medio, incluyendo electrnico, mecnico, grabado u otro medio. Todas las copias del Resumen Ejecutivo, el Marco Referencial, los Objetivos de Control, las Directrices Gerenciales y el Conjunto de Herramientas de Implementacin deben incluir el siguiente reconocimiento y leyenda de derechos de autor: Copyright 1996, 1998, 2000 Information Systems Audit and Control Foundation. Reimpreso con la autorizacin de la Information Systems Audit and Control Foundation, y el IT Governance Institute. Las Guas/Directrices de Auditora no pueden ser usadas, copiadas, reproducidas, almacenadas, modificadas en un sistema de recuperacin de datos o transmitido en ninguna forma ni por ningn medio (electrnico, mecnico, fotocopiado, grabado u otro medio) sin la previa autorizacin por escrito de la ISACF. Sin embargo, las Directrices de Auditora pueden ser usadas con fines no comerciales internos nicamente. Excepto por lo indicado, no se otorga ningn otro derecho o permiso relacionado con esta obra. Todos los derechos de esta obra son reservados.

25

33 69 89 127

139

143

145

Apndice IV Glosario de Trminos 148

Information Systems Audit and Control Foundation IT Governance Institute 3701 Algonquin Road, Suite 1010 Rolling Meadows, Illinois 60008 USA. Telfono: 1+847.253.1525 Fax: 1+847.253.1443 E-mail: [email protected] Web sites: www.isaca.org www.itgi.org ISBN 1-893209-99-7 (Objetivos de Control, Espaol) ISBN 1-933284-02-1 (Paquete completo de los 6 libros y CD) Impreso en los Estados Unidos de Amrica


3


RECONOCIMIENTOS

COMIT DIRECTIVO DE COBITERIK GULDENTOPS, S.W.I.F.T. SC, BLGICA JOHN LAINHART, PRICEWATERHOUSECOOPERS, USA EDDY SCHUERMANS, PRICEWATERHOUSECOOPERS, BLGICA JOHN BEVERIDGE, STATE AUDITORS OFFICE, MASSACHUSETTS, USA MICHAEL DONAHUE, PRICEWATERHOUSECOOPERS, USA GARY HARDY, ARTHUR ANDERSEN, REINO UNIDO RONALD SAULL, GREAT-WEST LIFE ASSURANCE, LONDON LIFE AND INVESTORS GROUP, CANADA

MARK STANLEY, SUN AMERICA INC., USA

Agradecimientos Especiales a los Captulos de ISACA del rea de la Capital Nacional y al de Boston por su contribucin a los Objetivos de Control de COBIT

Agradecimientos Especiales a los miembros de la Mesa Directiva de la Information Systems Audit and Control Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, encabezados por el Presidente Internacional Paul Williams, por su contnuo y firme apoyo al COBIT

4



RESUMEN EJECUTIVOUn elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) Relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticidad emerge de: La creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de informacin1 La escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin; y El potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa. Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la Gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de TI. Por lo tanto, la Administracin requiere niveles de servicio que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, as como un mejoramiento continuo y una disminucin de los tiempos de entrega; al tiempo que demanda que esto se realice a un costo ms bajo. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nuevas tecnologas. Hay numerosos cambios en TI y en su ambiente de operacin que enfatiza la necesidad de un mejor manejo relacionado con los riesgos de TI. La dependencia en la informacin electrnica y en los sistemas de TI son esenciales para soportar los procesos crticos del negocio. Adicionalmente, el ambiente regulatorio demanda control estricto sobre la informacin. Esto a su vez conduce a un incremento de los desastres en los sistemas de informacin y al incremento del fraude electrnico. La Administracin de los riesgos relacionados con TI est siendo entendido como un aspecto clave en el gobierno o direccin empresarial. Dentro del Gobierno Empresarial, el Gobierno / Gobernabilidad de TI2 se est volviendo mas y mas importante y est definido como una estructura de relaciones y procesos para dirigir y controlar a la empresa con el fin que sta pueda cumplir sus metas dando valor agregado mientras balancea sus riesgos versus el retorno sobre TI y sus procesos. El Gobierno de TI es parte integral del xito de la Gerencia de la Empresa al asegurar mejoras medibles, eficientes y efectivas de los procesos relacionados de la empresa. El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la informacin con las estrategias y los objetivos de la empresa. Adems, el Gobierno de TI integra e institucionaliza buenas (o mejores) prcticas de planeacin y organizacin, adquisicin e implementacin, entrega de servicios y soporte y monitorea el desempeo de TI para asegurar que la informacin de la empresa y las tecnologas relacionadas soportan sus objetivos del negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su informacin logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva GOBIERNO DE TI Una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar los objetivos de la empresa y aadir valor mientras se balancean los riesgos versus el retorno sobre TI y sus procesos. Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La Administracin deber adems optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir con esta responsabilidad, as como para alcanzar susGuerra de informacin (information warfare) Gobierno de TI (IT Governance) Governance es un trmino que representa el sistema de control o administracin que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.

1 2


5

OBJETIVOS DE CONTROLobjetivos, la Administracin debe entender el estado de sus propios sistemas de TI y decidir el nivel de seguridad y control que deben proveer estos sistemas. Los Objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT), ahora en esta tercera edicin, ayuda a satisfacer las mltiples necesidades de la Administracin estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos tcnicos. Provee buenas prcticas a travs de un dominio y el marco referencial de los procesos y presenta actividades en una estructura manejable y lgica. Las Buenas prcticas de COBIT rene el consenso de expertos - quienes ayudarn a optimizar la inversin de la informacin y proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividades van por el camino equivocado. La Administracin debe asegurar que los sistemas de control interno o el marco referencial estn funcionando y soportan los procesos del negocio y debe tener claridad sobre la forma como cada actividad individual de control satisface los requerimientos de informacin e impacta los recursos de TI. El impacto sobre los recursos de TI son resaltados en el Marco de Referencia de COBIT junto con los requerimientos del negocio que deben ser alcanzados: eficiencia, efectividad, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la informacin. El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin. La administracin, mediante este gobierno corporativo, debe asegurar que todos los individuos involucrados en la administracin, uso, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin acten con la debida diligencia. Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una actividad de TI. La orientacin al negocio es el tema principal de COBIT. Est diseado no solo para ser utilizado por usuarios y auditores, sino que, lo ms importante, esta diseado para ser utilizado por los propietarios de los procesos de negocio como una gua clara y entendible. A medida que ascendemos, las prcticas de negocio requieren de una mayor delegacin y empoderamiento3 de los dueos de los procesos para que estos tengan total responsabilidad de todos los aspectos relacionados 6 con dichos procesos de negocio. En particular, esto incluye el proporcionar controles adecuados. El Marco de Referencia de COBIT proporciona, al propietario de procesos de negocio, herramientas que facilitan el cumplimiento de esta responsabilidad. El Marco de Referencia comienza con una premisa simple y prctica: Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural. El Marco de Referencia contina con un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: Planeacin y Organizacin, Adquisicin e Implementacin, Entrega de servicios y Soporte y Monitoreo. Esta estructura cubre todos los aspectos de informacin y de tecnologa que la soporta. Administrando adecuadamente estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin. El Marco de Referencia de COBIT provee adems una gua o lista de verificacin para el Gobierno de TI. El Gobierno de TI proporciona las estructuras que encadenan los procesos de TI, los recursos de TI y la informacin con los objetivos y las estrategias de la empresa. El Gobierno de TI integra de una forma ptima el desempeo de la Planeacin y Organizacin, la Adquisicin e Implementacin, la Entrega de Servicios y Soporte y el Monitoreo. El Gobierno de TI facilita que la empresa obtenga total ventaja de su informacin y as mismo maximiza sus beneficios, capitalizando sus oportunidades y obteniendo ventaja competitiva Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una Gua o directriz de Auditora o de aseguramiento que permite la revisin de los procesos de TI contra los 318 objetivos detallados de control recomendados por COBIT para proporcionar a la Gerencia la certeza de su cumplimiento y/o sugerencias para su mejoramiento.

3

Empoderamiento (empowerment)


OBJETIVOS DE CONTROLLas Guas o Directrices Gerenciales de COBIT, desarrolladas recientemente, ayudan a la Gerencia a cumplir de una forma mas efectiva con las necesidades y requerimientos del Gobierno de TI. Las Directrices son acciones genricas orientadas a proveer a la Administracin la direccin para mantener bajo control la informacin de la empresa y sus procesos relacionados, para monitorear el logro de las metas organizacionales, para monitorear el desempeo de cada proceso de TI y para llevar a cabo un benchmarking de los logros organizacionales. Especficamente COBIT provee Modelos de Madurez para el control sobre los procesos de TI de tal forma que la Administracin puede ubicarse en el punto donde la organizacin est hoy, donde est en relacin con los mejores de su clase en su industria y con los estndares internacionales y as mismo determinar a donde quiere llegar; Factores Crticos de xito (Critical Success Factors), que definen o determina cuales son las mas importantes directrices que deben ser consideradas por la Administracin para lograr control sobre y dentro de los procesos de TI. Indicadores Claves del logro de Objetivos o de Resultados (Key Goal Indicators) los cuales definen los mecanismos de medicin que indicarn a la Gerenciadespus del hecho si un proceso de TI ha satisfecho los requerimientos del negocio; y los Indicadores Clave de desempeo (Key Performance Indicators) los cuales son indicadores primarios que definen la medida para conocer qu tan bien se est ejecutando el proceso de TI frente o comparado contra el objetivo que se busca. Las Directrices Gerenciales de COBIT son genricas y son acciones orientadas al propsito de responder los siguientes tipos de preguntas gerenciales: Qu tan lejos debemos ir y se justifica el costo respecto al beneficio obtenido? Cules son los indicadores de buen desempeo? Cules son los factores crticos de xito? Cules son los riesgos de no lograr nuestros objetivos? Qu hacen otros? Cmo nos podemos medir y comparar? COBIT contiene adicionalmente un Conjunto de Herramientas de Implementacin que proporciona lecciones aprendidas por empresas que rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo. Incluye dos herramientas particularmente tiles - Diagnstico de Sensibilizacin Gerencial (Management Awareness Diagnostic) y Diagnstico de Control en TI (IT Control Diagnostic) - para proporcionar asistencia en el anlisis del ambiente de control de TI en una organizacin. En los prximos aos las Directivas de las Organizaciones necesitarn demostrar que estn logrando incrementar sus niveles de seguridad y control. COBIT es una herramienta que ayuda a los Directivos a colocar un puente entre los requerimientos de control, los aspectos tcnicos y los riesgos del negocio y adicionalmente informa a los accionistas o dueos de la empresa el nivel de control alcanzado. COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de TI a travs de las organizaciones, a nivel mundial. Por lo tanto, COBIT est diseado para ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de los riesgos as como de los beneficios asociados con la informacin y sus tecnologas relacionadas.


7


PROCESOS DE TI DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS DE COBIT

8



EL MARCO REFERENCIAL DE COBITLA NECESIDAD DE CONTROL EN TECNOLOGIA DE INFORMACION En los ltimos aos , ha sido cada vez ms evidente la necesidad de un Marco Referencial para la seguridad y el control de tecnologa de informacin (TI). Las organizaciones exitosas requieren una apreciacin y un entendimiento bsico de los riesgos y limitaciones de TI a todos los niveles dentro de la empresa con el fin de obtener un efectiva direccin y controles adecuados. LA ADMINISTRACION (MANAGEMENT) debe decidir cual es la inversin razonable en seguridad y en control en TI y cmo lograr un balance entre riesgos e inversiones en control en un ambiente de TI frecuentemente impredecible. Mientras la seguridad y los controles en los sistemas de informacin ayudan a administrar los riesgos, no los eliminan. Adicionalmente, el exacto nivel de riesgo nunca puede ser conocido ya que siempre existe un grado de incertidumbre. Finalmente, la Administracin debe decidir el nivel de riesgo que est dispuesta a aceptar. Juzgar cual puede ser el nivel tolerable, particularmente cuando se tiene en cuenta contra el costo, puede ser una decisin difcil para la Administracin. Por esta razn, la Administracin necesita un marco de referencia de las prcticas generalmente aceptadas de control y seguridad de TI para compararlos contra el ambiente de TI existente y planeado. Existe una creciente necesidad entre los USUARIOS de los servicios de TI, de estar protegidos a travs de la acreditacin y la auditora de servicios de TI proporcionados internamente o por terceras partes, que aseguren la existencia de controles y seguridades adecuadas. Actualmente, sin embargo, es confusa la implementacin de buenos controles de TI en sistemas de negocios por parte de entidades comerciales, entidades sin fines de lucro o entidades gubernamentales. Esta confusin proviene de los diferentes mtodos de evaluacin, tales como ITSEC, TCSEC, evaluaciones ISO9000, nuevas evaluaciones de control interno COSO, etc. Como resultado, los usuarios necesitan que se establezca una base general como un primer paso. Frecuentemente, los AUDITORES han tomado el liderazgo en estos esfuerzos internacionales de estandarizacin, debido a que ellos enfrentan continuamente la necesidad de sustentar y apoyar su opinin acerca de los controles internos frente a la Gerencia. Sin contar con un marco referencial, sta se convierte en una tarea demasiado complicada. Incluso, la administracin consulta cada vez ms a los auditores para que la asesoren en forma proactiva en lo referente a asuntos de seguridad y control de TI. EL AMBIENTE DE NEGOCIOS: COMPETENCIA, CAMBIO Y COSTOS La competencia global es ya un hecho. Las organizaciones se reestructuran con el fin de perfeccionar sus operaciones y al mismo tiempo aprovechar los avances en TI para mejorar su posicin competitiva. La reingeniera en los negocios, las reestructuraciones o right-sizing, el outsourcing, el empoderamiento, las organizaciones horizontales y el procesamiento distribuido son cambios que impactan la manera en la que operan tanto los negocios como las entidades gubernamentales. Estos cambios han tenido y continuarn teniendo, profundas implicaciones para la administracin y las estructuras de control operacional dentro de las organizaciones en todo el mundo. La especial atencin prestada a la obtencin de ventajas competitivas y a la eficiencia en costos implica una dependencia creciente en la tecnologa como el componente ms importante en la estrategia de la mayora de las organizaciones. La automatizacin de las funciones organizacionales, por su naturaleza, dicta la incorporacin de mecanismos de control ms poderosos en las computadoras y en las redes, tanto para las basadas en hardware como las basadas en software. Adems, las caractersticas estructurales fundamentales de estos controles estn evolucionando al mismo paso que las tecnologas de computacin y las redes. Dentro del marco referencial de cambios acelerados, si los administradores, los especialistas en sistemas de informacin y los auditores desean en realidad ser capaces de cumplir con sus tareas en forma efectiva , debern aumentar y mejorar sus habilidades tan rpidamente como lo demandan la tecnologa y el ambiente. Debemos comprender la tecnologa de controles involucrada y su naturaleza cambiante si deseamos emitir y ejercer juicios razonables y prudentes al evaluar las prcticas de control que se encuentran en los negocios tpicos o en las organizaciones gubernamentales. 9


OBJETIVOS DE CONTROLAPARICION DEL GOBIERNO DE LA EMPRESA Y DEL GOBIERNO DE TI Para lograr el xito en esta economa de informacin, el Gobierno de la empresa y el Gobierno de TI no pueden ser consideradas separadamente y en distintas disciplinas. El gobierno efectivo de la empresa enfoca el conocimiento y la experiencia en forma individual y grupal, donde puede ser mas productivo, monitoreado y medido el desempeo as como provisto el aseguramiento para aspectos crticos. TI, por mucho tiempo considerada aislada dentro del logro de los objetivos de la empresa debe ahora ser considerada como una parte integral de la estrategia. El Gobierno de TI provee la estructura que une los procesos de TI, los recursos de TI y las estrategias y objetivos de la empresa. El Gobierno de TI integra e institucionaliza de una manera ptima la planeacin y organizacin, la adquisicin e implementacin, la entrega de servicios y soporte y el monitoreo del desempeo de TI. El Gobierno de TI es integral para el xito del Gobierno de la Empresa asegurando una eficiente y efectiva medicin para mejorar los procesos de la empresa. El Gobierno de TI le permite a la empresa tomar ventaja total de su informacin, al maximizar sus beneficios, capitalizar sus oportunidades y ganar ventaja competitiva. Observando en el contexto a la empresa y los procesos del Gobierno de TI con mayor detalle, el gobierno de la empresa, el sistema por el cual las entidades son dirigidas y controladas direcciona y analiza el Gobierno de TI. Al mismo tiempo, TI debera proveer insumos crticos y constituirse en un componente importante de los planes estratgicos. De hecho TI puede influenciar las oportunidades estratgicas de la empresa.

Las actividades de la empresa requieren informacin de las actividades de TI con el fin de satisfacer los objetivos del negocio. Organizaciones exitosas aseguran la interdependencia entre su plan estratgico y sus actividades de TI. TI debe estar alineado y debe permitir a la empresa tomar ventaja total de su informacin para maximizar sus beneficios, capitalizar oportunidades y ganar ventaja competitiva.

Las empresas son gobernadas por buenas (o mejores) prcticas generalmente aceptadas para asegurar que la empresa cumpla sus metas asegurando que lo anterior est garantizado por ciertos controles. Desde estos objetivos fluye la direccin de la organizacin, la cual dicta ciertas actividades a la empresa usando sus propios recursos. Los resultados de las actividades de la empresa son medidos y reportados proporcionando insumos para el mantenimiento y revisin constante de los controles, comenzando el ciclo de nuevo. 10IT GOVERNANCE INSTITUTE

OBJETIVOS DE CONTROLTambin TI es gobernado por buenas (o mejores) prcticas para asegurar que la informacin de la empresa y sus tecnologas relacionadas apoyan sus objetivos del negocio, estos recursos son utilizados responsablemente y sus riesgos son manejados apropiadamente. Estas prcticas conforman una base para la direccin de las actividades de TI las cuales pueden ser enmarcadas en la Planeacin y Organizacin, Adquisicin e Implementacin, Entrega de Servicios y Soporte y Monitoreo para los propsitos duales como son el manejo de riesgo (para obtener seguridad, confiabilidad y cumplimiento) y la obtencin de beneficios (incrementando la efectividad y eficiencia). Los reportes son enfocados sobre los resultados de las actividades de TI, los cuales son medidos contra diferentes prcticas y controles y el ciclo comienza otra vez.

Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y administrar las actividades de TI para alcanzar un balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se estn desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organizacin contra las mejores practicas de la industria y los estndares internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices Gerenciales de COBIT en las cuales se han identificado Factores Crticos de Exito especficos, Indicadores Claves por Objetivo e Indicadores Clave de Desempeo y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apndice I.


11

OBJETIVOS DE CONTROLRESPUESTA A LAS NECESIDADES En vista de estos continuos cambios, el desarrollo de este Marco Referencial de objetivos de control para TI, conjuntamente con una investigacin continua aplicada a controles de TI basada en este marco referencial, constituyen el fundamento para el progreso efectivo en el campo de los controles de sistemas de informacin. Por otro lado, hemos sido testigos del desarrollo y publicacin de modelos de control generales de negocios como COSO [Committee of Sponsoring Organisations of the Treadway Commisssion Internal Control-Integrated Framework, 1992] en los EUA, Cadbury en el Reino Unido y CoCo en Canad y King en Sudfrica. Por otro lado, existe un nmero importante de modelos de control ms enfocados al nivel de tecnologa de informacin. Algunos buenos ejemplos de esta ltima categora son el Security Code of Conduct del DTI (Department of Trade and Industry, Reino Unido). Las Directrices de control para Tecnologa de Informacin del CICA (Canadian Insitute of Chartered Accountants, Canada) y el Security Handbook de NIST (National Institute of Standards and Technology, EUA). Sin embargo, estos modelos de control con orientacin especfica no proporcionan un modelo de control completo y utilizable sobre tecnologa de informacin como soporte para los procesos de negocio. El propsito de COBIT es el cubrir este vaco proporcionando una base que est estrechamente ligada a los objetivos de negocio, al mismo tiempo que se enfoca a la tecnologa de informacin. (El documento que ms se acerca al COBIT es una publicacin reciente de AICPA/CICA Systrust TM Principios y Criterios para la Confiabilidad de los Sistemas. SysTrust es una autoridad que realiza publicaciones para el Comit Ejecutivo de Servicios de Aseguramiento de los Estados Unidos y para el Comit de Desarrollo de Servicios de Calidad de Canad, basado en parte en los Objetivos de Control de COBIT. SysTrust est diseado para incrementar el confort de la Administracin, los clientes y los socios de negocios con los sistemas que soportan un negocio o una actividad en particular. Los servicios de SysTrust incluyen al contador pblico proporcionndole un servicio de aseguramiento en el cual l o ella evala y prueba si el sistema es confiable cuando lo mide contra cuatro principios esenciales: Disponibilidad, seguridad, integridad y mantenimiento. Un enfoque hacia los requerimientos del negocio en cuanto a controles para tecnologa de informacin y la aplicacin de modelos de control emergentes y estndares internacionales relacionados incluyen los Objetivos de Control originales de la Information Systems Audit and Control Foundation como una herramienta usada por el Auditor y la Administracin. Adicionalmente, el desarrollo de las Directrices Gerenciales de TI ha llevado al COBIT al siguiente nivel proporcionando a la Administracin Indicadores Clave de Logros (KGIs Key Goal Indicators), Indicadores Claves de Desempeo (KPIs Key Performance Indicators), Factores Crticos de xito (CSFsCritical Success Factors) y Modelos de Madurez con los cuales puede analizar el ambiente de TI y considerar opciones para la implementacin y mejoramiento de los controles sobre la informacin de la organizacin y sus tecnologas relacionadas. Por lo tanto, el objetivo principal del proyecto C OBI T es el desarrollo de polticas claras y buenas prcticas para la seguridad y el control de Tecnologa de Informacin, con el fin de obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. La meta del proyecto es desarrollar estos objetivos de control principalmente a partir de la perspectiva de los objetivos y necesidades de la empresa. (Esto concuerda con la perspectiva COSO, que constituye el primer y mejor marco referencial para la administracin en cuanto a controles internos.) Posteriormente, los objetivos de control fueron desarrollados a partir de la perspectiva de los objetivos de auditora (certificacin de informacin financiera, certificacin de medidas de control interno, eficiencia y efectividad, etc.) AUDIENCIA: ADMINISTRACION, USUARIOS Y AUDITORES COBIT est diseado para ser utilizado por tres audiencias distintas: ADMINISTRACION/ GERENCIA (Management): Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnologa de informacin frecuentemente impredecible.

12


OBJETIVOS DE CONTROLORIENTACIN A OBJETIVOS DE NEGOCIO El COBIT est alineado con los Objetivos del Negocio. Los Objetivos de Control muestran una relacin clara y distintiva con los objetivos del negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditora. Los Objetivos de Control estn definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios. En dominios y procesos identificados, se identifica tambin un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Adicionalmente, se establecen consideraciones y guas para definir e implementar el Objetivo de Control de TI. La clasificacin de los dominios a los que se aplican los objetivos de control de alto nivel (dominios y procesos); una indicacin de los requerimientos de negocio para la informacin en ese dominio, as como los recursos de TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamente el Marco de Referencia de COBIT. El Marco de Referencia toma como base las actividades de investigacin que han identificado 34 objetivos de alto nivel y 318 objetivos de control detallados. El Marco de Referencia fue presentado a la industria de TI y a los profesionales dedicados a la auditora para abrir la posibilidad a revisiones, cambios y comentarios. Las ideas obtenidas fueron incorporadas en forma apropiada.Control se define como

Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos Una sentencia del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular.

Objetivo de control de TI se define como

Gobierno de TI se define como

Una estructura de relaciones y procesos para dirigir y controlar la empresa con el fin de lograr sus objetivos al aadir valor mientras se equilibran los riesgos contra el retorno sobre TI y sus procesos.

DEFINICIONES GENERALES Para propsitos de este proyecto, se proporcionan las siguientes definiciones. La definicin de Control est adaptada del reporte COSO [Committee of Sponsoring Organisations of the Treadway Commission. Internal Control-Integrated Framework, 1992 y la definicin para Objetivo de Control de TI ha sido adaptada del reporte SAC (Systems Auditability and Control Report, The Institute of Internal Auditors Research Foundation, 1991 y 1994).


13


LOS PRINCIPIOS DEL MARCO REFERENCIALExisten dos clases distintas de modelos de control actualmente disponibles, aqullos de la clase del modelo de control de negocios (por ejemplo COSO) y los modelos ms enfocados a TI (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la Administracin y para operar a un nivel superior a los estndares de tecnologa para la administracin de sistemas de informacin.. Por lo tanto, COBIT es el modelo para el gobierno de TI! El concepto fundamental del Marco Referencial de COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que deben ser administrados por procesos de TI.Requerimientos Fiduciarios (COSO)

Efectividad y eficiencia de las operaciones Confiabilidad de la informacin Cumplimiento de las leyes y regulaciones Confidencialidad Integridad Disponibilidad

Requerimientos de Seguridad

La Calidad ha sido considerada principalmente por su aspecto negativo (ausencia de fallas, confiabilidad, etc.), lo cual tambin se encuentra contenido en gran medida en los criterios de Integridad. Los aspectos positivos, pero menos tangibles, de la calidad (estilo, atractivo, ver y sentir, desempeo ms all de las expectativas, etc.) no fueron, por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La premisa se refiere a que la primera prioridad deber estar dirigida al manejo apropiado de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la Calidad est cubierto por los criterios de efectividad. Se consider que el aspecto de entrega o distribucin del servicio, de la Calidad se traslapa con el aspecto de disponibilidad correspondiente a los requerimientos de seguridad y tambin en alguna medida, con la efectividad y la eficiencia. Finalmente, el Costo tambin es considerado, siendo cubierto por la Eficiencia. Para los requerimientos fiduciarios, COBIT no intent reinventar la rueda se utilizaron las definiciones de COSO para la efectividad y eficiencia de las operaciones, confiabilidad de informacin y cumplimiento con leyes y regulaciones. Sin embargo, confiabilidad de informacin fue ampliada para incluir toda la informacin no slo informacin financiera. Con respecto a los aspectos de seguridad, COBIT identific la confidencialidad, integridad y disponibilidad como los elementos clave se encontr que estos mismos tres elementos son utilizados a nivel mundial para describir los requerimientos de seguridad. Comenzando el anlisis a partir de los requerimientos de Calidad, Fiduciarios y de Seguridad ms amplios, se

Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos criterios a los que COBIT hace referencia como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos: Calidad Costo Entrega o Distribucin (de servicio)

Requerimientos de Calidad

14


OBJETIVOS DE CONTROLextrajeron siete categoras distintas, ciertamente superpuestas. A continuacin se muestran las definiciones utilizadas por COBIT:Efectividad Confiabilidad de la Informacin

Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable. Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente.

Se refiere al suministro de informacin apropiada para la administracin de las operaciones del negocio y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

Los recursos de TI identificados en COBIT pueden explicarse/definirse como se muestra a continuacin:Datos

Eficiencia

Son objetos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc. Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados. La tecnologa cubre hardware, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. Recursos para alojar y dar soporte a los sistemas de informacin. Habilidades del personal, conocimiento, sensibilizacin y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin.

Confidencialidad

Sistemas de Aplicacin

Integridad

Tecnologa

Disponibilidad

Instalaciones

Personal

Cumplimiento

Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se describe a continuacin:


15

OBJETIVOS DE CONTROLEl dinero o capital no se tuvo en cuenta como un recurso para la clasificacin de objetivos de control para TI debido a que puede considerarse como la inversin en cualquiera de los recursos mencionados anteriormente. Es importante hacer notar tambin que el Marco Referencial no menciona, en forma especfica para todos los casos, la documentacin de todos los aspectos materiales importantes relacionados con un proceso de TI particular. Como parte de las buenas prcticas, la documentacin es considerada esencial para un buen control y, por lo tanto, la falta de documentacin podra ser la causa de revisiones y anlisis futuros de controles de compensacin en cualquier rea especfica en revisin. Con el fin de asegurar que los requerimientos de negocio para la informacin son satisfechos, deben definirse, implementarse y monitorearse medidas de control adecuadas para estos recursos. Cmo pueden entonces las empresas estar satisfechas respecto a que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de un sano marco referencial de Objetivos de Control para TI. El diagrama mostrado a continuacin ilustra este concepto.

16


OBJETIVOS DE CONTROLEl Marco de Referencia de COBIT consta de Objetivos de Control de TI de alto nivel y de una estructura general para su clasificacin y presentacin. La teora subyacente para la clasificacin seleccionada se refiere a que existen, en esencia, tres niveles de actividades de TI al considerar la administracin de sus recursos. Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras que las tareas son consideradas ms discretas. Los procesos se definen entonces en un nivel superior como una serie de actividades o tareas conjuntas con cortes naturales (de control). En el nivel ms alto, los procesos son agrupados de manera natural en dominios. Su agrupamiento natural es denominado frecuentemente como dominios de responsabilidad en una estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de vida aplicable a los procesos de TI. Las definiciones para los dominios mencionados son las siguientes:Planeacin y organizacin

Este dominio cubre las estrategias y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deber establecerse una organizacin y una infraestructura tecnolgica apropiadas. Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes, para asegurar que el ciclo de vida es contnuo para esos sistemas

Por lo tanto, el Marco de Referencia conceptual puede ser enfocado desde tres puntos estratgicos: (1) Criterios de informacin, (2) recursos de TI y (3) procesos de TI. Estos tres puntos estratgicos son descritos en el Cubo COBIT que se muestra a continuacin: Con lo anterior como marco de referencia, los dominios son identificados utilizando las palabras que la gerencia utilizara en las actividades cotidianas de la organizacin y no la jerga4 o terminologa del auditor -. Por lo tanto, cuatro grandes dominios son identificados: planeacin y organizacin, adquisicin e implementacin; entrega y soporte y monitoreo.

Adquisicin e implementacin

4

Jerga (jargon)


17

OBJETIVOS DE CONTROLEntrega y Entrega y soporte soporte

En este dominio se hace referencia a la entrega o distribucin de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por la seguridad en los sistemas y la continuidad de las operaciones as como aspectos sobre entrenamiento. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos el cual es ejecutado por los sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin. Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Este dominio tambin advierte a la Administracin sobre la necesidad de asegurar procesos de control independientes, los cuales son provistos por auditoras internas y externas u obtenidas de fuentes alternativas.

que ser efectivo en proveer requerimientos de disponibilidad, integridad y Confidencialidad. Es claro que todas las medidas de control no necesariamente satisfarn los diferentes requerimientos del negocio para la informacin en el mismo grado. Primario es el grado en el cual se definen objetivos de control que impactan directamente los criterios de informacin considerados Secundario es el grado en el cual se definen objetivos de control que solo satisfacen una extensin pequea o satisfacen indirectamente al criterio de informacin considerado. En blanco podra ser aplicable. Sin embargo los requerimientos son satisfechos de una forma mas apropiada por otro criterio en este proceso y/o en otro proceso.

Monitoreo

Es importante tener en cuenta que estos procesos de TI pueden ser aplicados en diferentes niveles de la organizacin. Por ejemplo, algunos de los procesos sern aplicados al nivel de la empresa, otros al nivel de la funcin de TI, otros al nivel del propietario de los procesos del negocio, etc. Debe notarse adems, que el criterio de efectividad en los procesos que planean o distribuyen soluciones para los requerimientos del negocio cubrir algunas veces los criterios de disponibilidad, integridad y confidencialidad en la prctica, stos se han convertido en requerimientos del negocio. Por ejemplo, el proceso de identificar soluciones tiene

En forma similar, todas las medidas de control no necesariamente impactarn a los diferentes recursos de TI en el mismo grado. Por consiguiente, el Marco de Referencia de COBIT indica especficamente la aplicabilidad de los recursos de TI que son especficamente administrados por el proceso bajo consideracin (no solamente los que toman parte en el proceso) . Esta clasificacin se realiza con el Marco de Referencia de COBIT, basado sobre un riguroso proceso de recoleccin de ideas proporcionadas por investigadores, expertos y revisores, usando estrictas definiciones previamente indicadas. En resumen, con el fin de proveer la informacin que la organizacin necesita para lograr sus objetivos, el Gobierno de TI debe ser entrenado por la organizacin para asegurar que los recursos de TI sern administrados por una coleccin de procesos de TI agrupados naturalmente. El siguiente diagrama ilustra este concepto.

18


OBJETIVOS DE CONTROLPROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOSOBJETIVOS DEL NEGOCIO


19

OBJETIVOS DE CONTROL HISTORIA Y ANTECEDENTES DE COBIT

La tercera edicin de COBIT es la mas reciente versin de los Objetivos de Control para la informacin y sus tecnologas relacionadas, que fue liberado primero por la Information Systems Audit and Control Foundation (ISACF) en 1996. La 2da edicin que refleja un incremento en el nmero de documentos fuente, una revisin en el alto nivel y objetivos de control detallados y la adicin del Conjunto de herramientas de Implementacin fue publicado en 1998. La 3a edicin marca el ingreso de un nuevo editor para COBIT: El Instituto de Gobierno5 de TI (IT Governance Institute).

Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y responder, en la medida de lo posible, a las necesidades del negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas tcnicas de TI adoptadas en una organizacin. Sin excluir ningn otro estndar aceptado en el campo del control de sistemas de informacin que pudiera emitirse durante la investigacin, las fuentes han sido identificadas inicialmente como: Estndares Tcnicos de ISO, EDIFACT, etc. Cdigos de Conducta emitidos por el Council of Europe, OECD, ISACA, etc.; Criterios de Calificacin para sistemas y procesos de TI: ITSEC, ISO9000, SPICE, TickIT, Common Criteria, etc.; Estndares Profesionales para control interno y auditora: reporte COSO, IFAC, IIA, ISACA, GAO, PCIE, CICA, AICPA, etc.; Prcticas y requerimientos de la Industria de foros industriales (ESF, 14) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI); y Nuevos requerimientos especficos de la industria de la banca, Comercio Electrnico y manufactura de TI. (Ver Apndice II, Descripcin del Proyecto COBIT; Apndice III Material de Referencia Primaria de COBIT y Apndice IV, Glosario de Trminos )

El Instituto de Gobierno de TI fue formado por la Information Systems Audit and Control Association (ISACA) y su Fundacin asociada en 1998 para avanzar en el entendimiento y la adopcin de principios de gobierno de TI. Con la adicin de las Directrices Gerenciales en la 3a edicin de COBIT y su expansin y mayor cubrimiento sobre el Gobierno de TI, el Instituto de Gobierno de TI adquiri un rol de liderazgo en el desarrollo de la publicacin.

COBIT se bas originalmente en los Objetivos de Control de la ISACF y ha sido mejorado con las actuales y emergentes estndares internacionales a nivel tcnico, profesional, regulatorio y especficos de la industria. Los Objetivos de Control resultantes han sido desarrollados para su aplicacin en sistemas de informacin de toda la empresa. El trmino generalmente aplicables y aceptados es utilizado explcitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas en ingls).

___________ 5 Gobierno (governance): sistema que establece la alta gerencia para asegurar el logro de los objetivos de una Organizacin.

20


OBJETIVOS DE CONTROL HISTORIA Y ANTECEDENTES DE COBIT

EVOLUCIN DEL PRODUCTO COBITCOBIT evolucionar a travs de los aos y ser el fundamento de investigaciones futuras. Por lo tanto, se generar una familia de productos COBIT y al ocurrir esto, las tareas y actividades que sirven como estructura para organizar los Objetivos de Control de TI, sern refinadas posteriormente. Tambin ser revisado el balance entre los dominios y los procesos a la luz de los cambios en la industria.

La investigacin y las publicaciones han sido posibles gracias al fundamental apoyo de PricewaterhouseCoopers y las donaciones de los captulos de ISACA y de miembros de todo el mundo. La European Security Forum (ESF) amablemente llev a cabo la recoleccin de material disponible para el proyecto. La Gartner Group adems particip en el desarrollo y realiz la revisin de aseguramiento de calidad de las Directrices Gerenciales.


21

OBJETIVOS DE CONTROL OBJETIVOS DE CONTROL TABLA RESUMENLa siguiente tabla proporciona una indicacin, por proceso y dominio de TI, de cules criterios de informacin son impactados por los objetivos de control de alto nivel, as como una indicacin de cules recursos de TI son aplicables.

22


OBJETIVOS DE CONTROL PRINCIPIOS DE LOS OBJETIVOS DE CONTROL

COBIT, tal como aparece en esta ltima versin de los Objetivos de Control refleja los compromisos de ISACA para engrandecer y mantener el cuerpo comn del conocimiento requerido para soportar la profesin de auditora y control de los sistemas de informacin El Marco de Referencia de COBIT ha sido limitado a objetivos de control de alto nivel en forma de necesidades de negocio dentro de un proceso de TI particular, cuyo logro es posible a travs del establecimiento de controles, para el cual deben considerarse controles potenciales aplicables.

Mientras que el Marco de Referencia de COBIT enfoca controles a alto nivel para cada proceso, los Objetivos de Control se enfocan sobre objetivos de control detallados y especficos asociados a cada proceso de TI. Por cada uno de los 34 procesos de TI del marco referencial, hay desde tres hasta 30 objetivos de control detallados, para un total de 318. Los Objetivos de Control se alinean para cubrir todo el Marco referencial con objetivos de control detallados con base en 41 fuentes primarias que comprenden estndares y regulaciones internacionales de TI, de facto y de jure. Contiene sentencias de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de procedimientos de control especficos en una actividad de TI, de esta manera provee polticas claras y buenas prcticas para los controles de TI a travs de la industria, alrededor del mundo. Los Objetivos de Control estn dirigidos a la Administracin y al staff de TI, a las funciones de control y auditora y lo mas importante, a los propietarios de los procesos del negocio. Los Objetivos de Control proporcionan un trabajo, que es un documento de escritorio para esos individuos. Se identifican definiciones precisas y claras para un mnimo conjunto de controles con el fin de asegurar la efectividad, eficiencia y economa de la utilizacin de los recursos. Objetivos de control detallados son identificados para cada proceso, como los controles mnimos necesarios . Esos controles sern analizados por los profesionales de control para verificar su suficiencia. Los Objetivos de Control permiten el traslado de los conceptos presentados en el Marco de Referencia hacia controles especficos aplicables a cada proceso de TI.

El control de

Proceso de TI

Que satisface

Requerimiento de Es habilitado por Negocio Declaracin de Control ConsideranPrcticas de Control

Los Objetivos de Control de TI han sido organizados por proceso/actividad y tambin se han proporcionados ayudas de navegacin no solamente para facilitar la entrada a partir de cualquier punto de vista estratgico como se explic anteriormente, sino tambin para facilitar enfoques combinados o globales, tales como instalacin/implementacin de un proceso, responsabilidades gerenciales globales para un proceso y utilizacin de recursos de TI por un proceso. Tambin deber tomarse en cuenta que los Objetivos de Control de COBIT han sido definidos de una manera genrica, por ejemplo, sin depender de la plataforma tcnica, aceptando el hecho de que algunos ambientes de tecnologa especiales pueden requerir una cobertura separada para objetivos de control.


23

OBJETIVOS DE CONTROLef ec tiv ef ida co icie d nf nc id en ia in cia te li di grid dad sp on ad cu ibi m lid a p co lim d nf ien ia bi to lid ad

AYUDAS DE NAVEGACINLa seccin de los Objetivos de Control contienen objetivos de control detallados para cada uno de los 34 procesos de TI. A la izquierda de cada pgina, se presenta el objetivo de control de alto nivel. El indicador del dominio (PO para Planeacin y Organizacin, AI para Adquisicin e Implementacin, DS para Entrega de Servicios y Soporte y M para Monitoreo se presentan a la izquierda y arriba de cada pgina. El criterio de informacin aplicable y el recurso de TI utilizado son mostrados en matrices pequeas como se describe a continuacin. Iniciando en la derecha de la pgina estn las descripciones de los objetivos de control detallados para cada proceso de TI. Para facilitar el empleo eficiente de los objetivos de control como soporte a los diferentes puntos de vista, se proporcionan algunas ayudas de navegacin como parte de la presentacin de los objetivos de control de alto nivel. Se proporciona una ayuda de navegacin para cada una de las tres dimensiones del Marco de Referencia de COBIT - procesos, recursos de TI y criterios de informacin Los dominios son identificados por este cono en la ESQUINA SUPERIOR DERECHA de cada pgina, en la seccin de Objetivos de Control, agrandando y haciendo ms visible el dominio bajo revisin.

S

PPlaneacin & Organizacin

Criterios de Informacin

Adquisicin & Implementacin

Dominios De TI

TI Recursos

Entrega & Soporte

Monitoreo

Tres puntos de posicinge ap nte lic a te cion cn e in olo s st al ga ac io da nes to sPlaneacin & Organizacin


La clave para el criterio de informacin se presentar en la ESQUINA SUPERIOR IZQUIERDA, en la seccin de Objetivos de Control mediante la siguiente mini matriz, la cual identificar cul criterio y en qu grado (primario o secundario) es aplicable a cada Objetivo de Control de TI de alto nivel. Una segunda mini matriz en la ESQUINA INFERIOR DERECHA de la seccin de Objetivos de Control identifica los recursos de TI que son administrados en forma especfica por el proceso bajo consideracin - no solo aquellos que simplemente toman parte en el proceso -. Por ejemplo, el proceso administracin de datos se concentra particularmente en la integridad y confiabilidad de los recursos de datos.

Entrega & Soporte

Monitoreo

24


ge ap nte lic a te cion cn e in olo s st al ga ac io da nes to s

ef ec tiv ef ida co icie d nf nc id en ia in cia te li di grid dad sp ad o cu nibi m lid a p co lim d nf ien ia bi to lid ad

S

P

OBJETIVOS DE CONTROL RELACIONES DE OBJETIVOS DE CONTROL DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROLPLANEACIN Y ORGANIZACIN1.0 Definicin de un Plan Estratgico de Tecnologa de Informacin 1.1 Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo 1.2 Plan a largo plazo de Tecnologa de Informacin 1.3 Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura 1.4 Cambios al Plan a largo plazo de Tecnologa de Informacin 1.5 Planeacin a corto plazo para la funcin de Servicios de Informacin 1.6 Comunicacin de los planes de TI 1.7 Evaluacin y Monitoreo de los planes de TI. 1.8 Valoracin de los sistemas existentes. Definicin de la Arquitectura de Informacin 2.1 Modelo de la Arquitectura de Informacin 2.2 Diccionario de Datos y Reglas de sintaxis de datos corporativos 2.3 Esquema de Clasificacin de Datos 2.4 Niveles de Seguridad.

4.5 4.6 4.7 4.8 4.9 4.10 4.11 4.12 4.13 4.14 4.15

Responsabilidad del aseguramiento de calidad Responsabilidad por la seguridad lgica y fsica Propiedad y Custodia Propiedad de Datos y Sistemas Supervisin Segregacin de Funciones Asignacin de Personal para Tecnologa de Informacin Descripcin de Puestos para el Personal de la Funcin de TI Personal clave de TI Procedimientos y polticas para el personal contratado Relaciones

2.0

5.0 Manejo de la Inversin en Tecnologa de Informacin 5.1 Presupuesto Operativo Anual para la Funcin de Servicio de informacin 5.2 Monitoreo de Costo - Beneficio 5.3 Justificacin de Costo - Beneficio 6.0 Comunicacin de los Objetivos y Aspiraciones de la Gerencia 6.1 Ambiente positivo de control de la informacin 6.2 Responsabilidad de la Gerencia en cuanto a Polticas 6.3 Comunicacin de las Polticas de la Organizacin 6.4 Recursos para la implementacin de Polticas 6.5 Mantenimiento de Polticas 6.6 Cumplimiento de Polticas, Procedimientos y Estndares 6.7 Compromiso con la Calidad 6.8 Poltica sobre el Marco Referencial para la Seguridad y el Control Interno 6.9 Derechos de propiedad intelectual 6.10 Polticas Especficas 6.11 Comunicacin de Conciencia de Seguridad en TI

3.0 Determinacin de la Direccin Tecnolgica 3.1 Planeacin de la Infraestructura Tecnolgica 3.2 Monitoreo de Tendencias y Regulaciones Futuras 3.3 Contingencias en la Infraestructura Tecnolgica 3.4 Planes de Adquisicin de Hardware y Software 3.5 Estndares de Tecnologa 4.0 Definicin de la Organizacin y de las Relaciones de TI 4.1 Planeacin de TI o Comit de planeacin/ direccin de la funcin de servicios de informacin 4.2 Ubicacin de los servicios de informacin en la organizacin 4.3 Revisin de Logros Organizacionales 4.4 Funciones y Responsabilidades


25

OBJETIVOS DE CONTROL7.0 Administracin de Recursos Humanos 7.1 Reclutamiento y Promocin de Personal 7.2 Calificacin del Personal 7.3 Roles y Responsabilidades 7.4 Entrenamiento del personal 7.5 Entrenamiento Cruzado o Respaldo de Personal 7.6 Procedimientos para la Acreditacin del Personal 7.7 Evaluacin de Desempeo de los Empleados 7.8 Cambios de Puesto y Terminacin de contrato de trabajo 8.0 Aseguramiento del Cumplimiento con Requerimientos Externos 8.1 Revisin de Requerimientos Externos 8.2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos 8.3 Cumplimiento de los Estndares de Seguridad y Ergonoma 8.4 Privacidad, Propiedad Intelectual y Flujo de Datos 8.5 Comercio Electrnico 8.6 Cumplimiento con Contratos de Seguros 9.0 Anlisis de Riesgos 9.1 Anlisis de Riesgos del Negocio 9.2 Enfoque de Anlisis de Riesgos 9.3 Identificacin de Riesgos 9.4 Medicin de Riesgos 9.5 Plan de Accin para mitigar los Riesgos 9.6 Aceptacin de Riesgos 9.7 Seleccin de Proteccin. 9.8 Compromiso de Anlisis de Riesgos 10.0 Administracin de Proyectos 10.1 Marco Referencial para la Administracin de Proyectos 10.2 Participacin del Departamento Usuario en la Iniciacin de Proyectos 10.3 Miembros y Responsabilidades del Equipo del Proyecto 10.4 Definicin del Proyecto 10.5 Aprobacin del Proyecto 10.6 Plan maestro del proyecto 10.7 Plan Maestro del Proyecto 10.8 Plan de Aseguramiento de Calidad de Sistemas 10.9 Planeacin de Mtodos de Aseguramiento 10.10 Administracin Formal de Riesgos de Proyectos 26 10.11 Plan de Prueba 10.12 Plan de Entrenamiento 10.13 Plan de Revisin Post Implementacin 11.0 Administracin de Calidad 11.1 Plan General de Calidad 11.2 Enfoque de Aseguramiento de Calidad 11.3 Planeacin del Aseguramiento de Calidad 11.4 Revisin de Aseguramiento de Calidad sobre el Cumplimiento de Estndares y Procedimientos de la Funcin de Servicios de Informacin 11.5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas 11.6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnologa Actual 11.7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas 11.8 Coordinacin y Comunicacin 11.9 Marco Referencial para la Adquisicin y Mantenimiento de la Infraestructura de Tecnologa 11.10 Relaciones con Terceras Partes en su rol de Implementadores 11.11 Estndares para la Documentacin de Programas 11.12 Estndares para Pruebas de Programas 11.13 Estndares para Pruebas de Sistemas 11.14 Pruebas Piloto/En Paralelo 11.15 Documentacin de las Pruebas del Sistema 11.16 Evaluacin del Aseguramiento de la Cali dad sobre el Cumplimiento de Estndares de Desarrollo 11.17 Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Funcin de Servicios de Informacin 11.18 Mtricas de Calidad 11.19 Reportes de Revisiones de Aseguramiento de la Calidad

ADQUISICIN E IMPLEMENTACIN1.0 Identificacin de Soluciones 1.1 1.2 Definicin de Requerimientos de Informacin Formulacin de Acciones Alternativas


OBJETIVOS DE CONTROL1.3 1.4 1.5 1.6 1.7 1.8 1.9 1.10 1.11 1.12 1.13 1.14 1.15 1.16 1.17 1.18 Formulacin de Estrategias de Adquisicin. Requerimientos de Servicios de Terceros Estudio de Factibilidad Tecnolgica Estudio de Factibilidad Econmica Arquitectura de Informacin Reporte de Anlisis de Riesgos Controles de Seguridad costo-efectivo Diseo de Pistas de Auditora Ergonoma Seleccin de Software del Sistema Control de Abastecimiento Adquisicin de Productos de Software Mantenimiento de Software de Terceras Partes Contratos para la Programacin de Aplicaciones Aceptacin de Instalaciones Aceptacin de Tecnologa 3.2 3.3 3.4 3.5 3.6 3.7 Software Mantenimiento Preventivo para Hardware Seguridad del Software del Sistema Instalacin del Software del Sistema Mantenimiento del Software del Sistema Controles para Cambios del Software del Sistema Uso y Monitoreo de Utilidades/Utilitarios del Sistema

4.0 Procedimientos de Desarrollo y Mantenimiento de TI 4.1 Requerimientos Operacionales y Niveles de Servicio 4.2 Manual de Procedimientos para Usuario 4.3 Manual de Operacin 4.4 Material de Entrenamiento 5.0 Instalacin y Acreditacin de Sistemas 5.1 Entrenamiento 5.2 Medicin del Desempeo del Software de Aplicacin 5.3 Plan de Implementacin 5.4 Conversin del Sistema 5.5 Conversin de datos 5.6 Planes y estrategias de pruebas 5.7 Pruebas a cambios 5.8 Criterios y Desempeo de Pruebas en Paralelo/Piloto 5.9 Prueba de Aceptacin Final 5.10 Pruebas y Acreditacin de la Seguridad 5.11 Prueba Operacional 5.12 Promocin a Produccin 5.13 Evaluacin de la Satisfaccin de los Requerimientos del Usuario 5.14 Revisin Gerencial Post - Implementacin 6.0 Administracin de Cambios 6.1 Inicio y Control de Solicitudes de Cambio 6.2 Anlisis de Impacto 6.3 Control de Cambios 6.4 Cambios de Emergencia 6.5 Documentacin y Procedimientos 6.6 Mantenimiento Autorizado 6.7 Poltica de Liberacin de Software 6.8 Distribucin de Software

2.0 Adquisicin y Mantenimiento de Software de Aplicacin 2.1 Mtodos de Diseo 2.2 Cambios Significativos a Sistemas Actuales 2.3 Aprobacin del Diseo 2.4 Definicin y Documentacin de Requerimientos de Archivos 2.5 Especificaciones de Programas 2.6 Diseo para la Recopilacin de Datos Fuente 2.7 Definicin y Documentacin de Requerimientos de Entrada de Datos 2.8 Definicin de Interfases 2.9 Interfases Usuario-Mquina 2.10 Definicin y Documentacin de Requerimientos de Procesamiento 2.11 Definicin y Documentacin de Requerimientos de Salida de Datos 2.12 Controlabilidad 2.13 Disponibilidad como Factor Clave de Diseo 2.14 Consideracin de Integridad de TI en programas de software de aplicaciones 2.15 Pruebas al Software de Aplicacin 2.16 Materiales de Consulta y Soporte para Usuario 2.17 Reevaluacin del Diseo del Sistema 3.0 Adquisicin y Mantenimiento de la Arquitectura de Tecnologa 3.1 Evaluacin de Nuevo Hardware y

ENTREGA DE SERVICIOS Y SOPORTE1.0 Definicin de Niveles de Servicio 1.1 Marco de Referencia para acuerdos de Nivel de Servicio 1.2 Aspectos sobre los Acuerdos de Nivel de


27

OBJETIVOS DE CONTROL1.3 1.4 1.5 1.6 1.7 Servicio Procedimientos de Desempeo Monitoreo y Reporte Revisin de Contratos y Acuerdos de Nivel de Servicio Elementos sujetos a Cargo Programa de Mejoramiento del Servicio 4.9 Procedimientos de Respaldo de Procesamiento para Departamentos Usuarios Recursos crticos de Tecnologa de Informacin Centro de Cmputo y Hardware de respaldo Almacenamiento de copias de respaldo fuera del sitio Procedimientos de Refinamiento del Plan de Continuidad de TI6

4.10 4.11 4.12 4.13

2.0 Administracin de Servicios prestados por Terceros 2.1 Interfases con Proveedores 2.2 Relaciones con los Dueos 2.3 Contratos con Terceros 2.4 Calificaciones de terceros 2.5 Contratos con Outsourcing 2.6 Continuidad del Servicios 2.7 Relaciones de Seguridad 2.8 Monitoreo 3.0 Administracin de Desempeo y Capacidad 3.1 Requerimientos de Disponibilidad y Desempeo 3.2 Plan de Disponibilidad 3.3 Monitoreo y Reporte 3.4 Herramientas de Modelado 3.5 Administracin de Desempeo Proactivo 3.6 Pronstico de Carga de Trabajo 3.7 Administracin de Capacidad de Recursos 3.8 Disponibilidad de Recursos 3.9 Calendarizacin / Programacin de recursos 4.0 Aseguramiento de Servicio Continuo 4.1 Marco de Referencia de Continuidad de Tecnologa de Informacin 4.2 Estrategia y Filosofa del Plan de Continuidad de Tecnologa de Informacin 4.3 Contenido del Plan de Continuidad de Tecnologa de Informacin 4.4 Minimizacin de requerimientos de Continuidad de Tecnologa de Informacin 4.5 Mantenimiento del Plan de Continuidad de Tecnologa de Informacin 4.6 Pruebas del Plan de Continuidad de Tecnologa de Informacin 4.7 Entrenamiento sobre el Plan de Continuidad de Tecnologa de Informacin 4.8 Distribucin del Plan de Continuidad de Tecnologa de Informacin 28

5.0 Garantizar la Seguridad de Sistemas 5.1 Administrar Medidas de Seguridad 5.2 Identificacin, Autenticacin y Acceso 5.3 Seguridad de Acceso a Datos en Lnea 5.4 Administracin de Cuentas de Usuario 5.5 Revisin Gerencial de Cuentas de Usuario 5.6 Control de Usuarios sobre Cuentas de Usuario 5.7 Vigilancia de Seguridad 5.8 Clasificacin de Datos 5.9 Administracin Centralizada de Identificacin y Derechos de Acceso 5.10 Reportes de Violacin y de Actividades de Seguridad 5.11 Manejo de Incidentes 5.12 Re-acreditacin 5.13 Confianza en las Contrapartes 5.14 Autorizacin de Transacciones 5.15 No Rechazo 5.16 Sendero Seguro 5.17 Proteccin de las funciones de seguridad 5.18 Administracin de las Llaves Criptogrficas 5.19 Prevencin, Deteccin y Correccin de Software Malicioso 5.20 Arquitecturas de Firewalls y conexin a redes pblicas 5.21 Proteccin de Valores Electrnicos 6.0 Identificacin y Asignacin de Costos 6.1 Elementos Sujetos a Cargo 6.2 Procedimientos de Costeo 6.3 Procedimientos de Cargo y Facturacin a Usuarios

6

Refinamiento del Plan de Continuidad de TI (wrap up): procedimiento seguido para evaluar y actualizar el Plan


OBJETIVOS DE CONTROL7.0 Educacin y Entrenamiento de Usuarios 7.1 Identificacin de Necesidades de Entrenamiento 7.2 Organizacin de Entrenamiento 7.3 Entrenamiento sobre Principios y Conciencia de Seguridad 8.0 Apoyo y Asistencia a los Clientes de Tecnologa de Informacin 8.1 Help Desk 8.2 Registro de consultas del Cliente 8.3 Escalamiento de consultas del Cliente 8.4 Monitoreo de Atencin a Clientes 8.5 Anlisis y Reporte de Tendencias 9.0 Administracin de la Configuracin 9.1 Registro de la Configuracin 9.2 Base de la Configuracin 9.3 Registro de status 9.4 Control de la Configuracin 9.5 Software no Autorizado 9.6 Almacenamiento de Software 9.7 Procedimientos para la Administracin de la Configuracin 9.8 Contabilidad y registro del Software 10.0 Administracin de Problemas e Incidentes 10.1 Sistema de Administracin de Problemas 10.2 Escalamiento de Problemas 10.3 Seguimiento de Problemas y Pistas de Auditora 10.4 Autorizaciones para acceso temporal y de emergencia. 10.5 Prioridades en Procesos de Emergencia 11.0 Administracin de Datos 11.1 Procedimientos de Preparacin de Datos 11.2 Procedimientos de Autorizacin de Documentos Fuente 11.3 Recopilacin de Datos de Documentos Fuente 11.4 Manejo de Errores de Documentos Fuente 11.5 Retencin de Documentos Fuente 11.6 Procedimientos para la Autorizacin de Entrada de Datos 11.7 Chequeos de Exactitud, Suficiencia y Autorizacin 11.8 Manejo de Errores en la Entrada de Datos 11.9 Integridad de Procesamiento de Datos 11.10 Validacin y Edicin de Procesamiento de Datos 11.11 Manejo de Errores en el Procesamiento de Datos 11.12 Manejo y Retencin de Datos de Salida 11.13 Distribucin de Datos de Salida 11.14 Balanceo y Conciliacin de Datos de Salida 11.15 Revisin de Salida de Datos y Manejo de Errores 11.16 Provisiones de Seguridad para Reportes de Salida 11.17 Proteccin de Informacin Sensitiva durante transmisin y transporte 11.18 Proteccin de Informacin Sensitiva a ser Desechada 11.19 Administracin de Almacenamiento 11.20 Perodos de Retencin y Trminos de Almacenamiento 11.21 Sistema de Administracin de la Librera de Medios 11.22 Responsabilidades de la Administracin de la Librera de Medios 11.23 Respaldo y Restauracin 11.24 Funciones de Respaldo 11.25 Almacenamiento de Respaldo 11.26 Archivo 11.27 Proteccin de Mensajes Sensitivos 11.28 Autenticacin e Integridad 11.29 Integridad de Transacciones Electrnicas 11.30 Integridad Continua de Datos Almacenados 12.0 Administracin de Instalaciones 12.1 Seguridad Fsica 12.2 Discrecin (bajo perfil) de las Instalaciones de Tecnologa de Informacin 12.3 Escolta de Visitantes 12.4 Salud y Seguridad del Personal 12.5 Proteccin contra Factores Ambientales 12.6 Suministro Ininterrumpido de Energa 13.0 Administracin de Operaciones 13.1 Manual de Instrucciones y procedimientos de Operaciones de procesamiento 13.2 Documentacin del Proceso de Inicio y de Otras Operaciones 13.3 Calendarizacin/programacin de Trabajos 13.4 Ejecucin de los Trabajos estndar programados 13.5 Continuidad de Procesamiento 13.6 Bitcoras de Operacin 13.7 Proteccin de Formas Especiales y dispositivos de salida 13.8 Operaciones Remotas 29


OBJETIVOS DE CONTROLMONITOREO1.0 Monitoreo del Proceso 1.1 Recoleccin de Datos de Monitoreo 1.2 Anlisis del Desempeo 1.3 Evaluacin de la Satisfaccin de Clientes 1.4 Reportes Gerenciales 2.0 Evaluar lo adecuado del Control Interno 2.1 Monitoreo de Control Interno 2.2 Operacin oportuna del Control Interno 2.3 Reporte sobre el Nivel de Control Interno 2.4 Seguridad en las operaciones y aseguramiento del Control Interno Obtencin de Aseguramiento Independiente 3.1 Certificacin / Acreditacin Independiente de Control Interno y Seguridad de los servicios de TI 3.2 Certificacin / Acreditacin Independiente de Control Interno y Seguridad de proveedores externos de servicios 3.3 Evaluacin Independiente de la Efectividad de los Servicios de TI 3.4 Evaluacin Independiente de la Efectividad de proveedores externos de servicios 3.5 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales 3.6 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales con proveedores externos de servicios 3.7 Competencia de la Funcin de Aseguramiento Independiente 3.8 Participacin Proactiva de Auditora 4.0 Proveer Auditora Independiente 4.1 Estatutos de Auditora 4.2 Independencia 4.3 Etica y Estndares Profesionales 4.4 Competencia 4.5 Planeacin 4.6 Desempeo del Trabajo de Auditora 4.7 Reporte 4.8 Actividades de Seguimiento

3.0

30





31


PAGINA INTENCIONALMENTE EN BLANCO

32



(PO)PLANEACION Y ORGANIZACION


33

OBJETIVOS DE CONTROL OBJETIVOS DE CONTROL DE ALTO NIVELPLANEACION Y ORGANIZACION

PO1ef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad

Planeacin & Organizacin

P

S


Control sobre el proceso de TI de: Definicin de un plan Estratgico de TI que satisface los requerimientos del negocio de: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos del negocio para TI, as como para asegurar sus logros futuros. se hace posible a travs de: un proceso de planeacin estratgica emprendido en intervalos regulares dando lugar a planes a largo plazo. Los planes a largo plazo debern ser traducidos peridicamente en planes operacionales estableciendo metas claras y concretas a corto plazo: y toma en consideracin:

Entrega & Soporte

Monitoreo

Estrategia del negocio de la empresa definicin de cmo TI soporta los objetivos de negocio inventario de soluciones tecnolgicas e infraestructura actual Monitoreo del mercado de tecnologa Estudios de factibilidad oportunos y chequeos con la realidad Anlisis de los sistemas existentes Posicin de la empresa sobre riesgos, en el proceso de compra (time-on-market), calidad Necesidades de la Administracin senior en el proceso de compra, soportado en revisin crticaIT GOVERNANCE INSTITUTE

34

g ap ente lic a te cion cn e in olo s st al ga ac io da nes to s

OBJETIVOS DE CONTROL1. DEFINICIN DE UN PLAN ESTRATGICO DE TIregulatorios, requerimientos de terceras partes o del mercado, el horizonte de planeacin, reingeniera de procesos del negocio, la asignacin de personal, in u outsourcing, datos, sistemas de aplicacin y arquitecturas de la tecnologa. Los planes de TI, de largo y corto alcance debern incorporar indicadores y objetivos de desempeo. El plan mismo deber hacer referencia a otros planes tales como el plan de calidad de la organizacin y el plan de manejo de riesgos de informacin. 1.4 Cambios al Plan a largo plazo de TI OBJETIVO DE CONTROL La Gerencia de TI y los dueos del proceso del negocio debern asegurar que se establezca un proceso con el fin de adaptar los cambios al plan a largo plazo de la organizacin y los cambios en las condiciones de la TI. La gerencia Senior deber establecer una poltica que requiera que se desarrollen y se mantengan planes de largo y corto plazo de TI. 1.5 Planeacin a corto plazo para la Funcin de TI OBJETIVO DE CONTROL La Gerencia de TI y los dueos del proceso del negocio debern asegurar que el plan a largo plazo de TI se traduzca regularmente en planes a corto plazo de TI. Estos planes a corto plazo debern asegurar que se asignen los recursos apropiados de la funcin de servicios de TI con una base consistente con el plan a largo plazo de TI. Los planes a corto plazo debern ser reevaluados y modificados peridicamente segn se considere necesario respondiendo a las condiciones de cambios en el negocio y en TI. La realizacin oportuna de estudios de factibilidad deber asegurar que la ejecucin de los planes a corto plazo sea iniciada adecuadamente.

1.1 Tecnologa de Informacin como parte del Plan de la Organizacin a corto y largo plazo. OBJETIVO DE CONTROL La alta gerencia ser la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misin y las metas de la organizacin. A este respecto, la alta gerencia deber asegurar que los problemas de TI, as como las oportunidades, sean evaluados adecuadamente y reflejados en los planes a largo y corto plazo de la organizacin. Se deben desarrollar planes de TI a largo y corto plazo para ayudar a asegurar que el uso de la TI est acorde con la misin y las estrategias de negocio de la organizacin. 1.2 Plan a largo plazo de TI OBJETIVO DE CONTROL La Gerencia de TI y los dueos del proceso de negocio sern responsables de desarrollar regularmente planes de TI a largo plazo , que apoyen el logro de la misin y las metas generales de la organizacin. El mtodo de planeacin deber incluir mecanismos para solicitar informacin a los interesados internos y externos mas importantes, que se ven afectados por los planes estratgicos de TI. De la misma manera, la Gerencia deber implementar un proceso de planeacin a largo plazo, adoptar un enfoque estructurado y determinar la estructura para el plan. 1.3 Plan a largo plazo de TI - Enfoque y Estructura OBJETIVO DE CONTROL La Gerencia de TI y los dueos del proceso de negocio debern establecer y aplicar un enfoque estructurado al proceso de planeacin a largo plazo. Esto deber traer como resultado un plan de alta calidad que cubra las preguntas bsicas de qu, quin, cmo, cundo y por qu el proceso de planeacin de TI debe tomar en cuenta los resultados del anlisis del riesgo, incluyendo los riesgos del negocio, entorno, tecnologa y recursos humanos. Los aspectos que necesitan ser tomados en cuenta y ser cubiertos adecuadamente durante el proceso de planeacin incluyen el modelo de organizacin y sus cambios, la distribucin geogrfica, la evolucin tecnolgica, los costos, los requerimientos legales y


35

OBJETIVOS DE CONTROL1.6 Comunicacin de los Planes de TI OBJETIVO DE CONTROL La gerencia debe asegurar que los planes de largo y de corto plazo de tecnologa de la informacin sean comunicados a los dueos del proceso del negocio y a otras partes relevantes en toda la organizacin. 1.7 Monitoreo y Evaluacin de los Planes de Tecnologa de la Informacin OBJETIVO DE CONTROL La gerencia debe establecer procesos para captar y reportar la retroalimentacin de los dueos y usuarios del proceso del negocio respecto a la calidad y utilidad de los planes de largo y de corto plazo. La retroalimentacin obtenida debe ser evaluada y considerada en la planeacin futura de la tecnologa de la informacin. 1.8 Evaluacin de los Sistemas Existentes OBJETIVO DE CONTROL Previo al desarrollo o modificacin del Plan Estratgico o plan a largo plazo de TI, la Gerencia de TI debe evaluar los sistemas existentes en trminos de: nivel de automatizacin de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el propsito de determinar el nivel de soporte que ofrecen los sistemas existentes a los requerimientos del negocio.

36



PAGINA INTENCIONALMENTE EN BLANCO


37


PO2ef ec ti ef vida co icie d nf n id cia en in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad

Planeacin & Organizacin

P

S

S

S


Control sobre el proceso de TI de: Definicin de la Arquitectura de Informacin que satisface los requerimientos de negocio de: organizar de la mejor manera los sistemas de informacin se hace posible a travs de: la creacin y mantenimiento de un modelo de informacin de negocios y asegurando que se definan sistemas apropiados para optimizar la utilizacin de esta informacin y toma en consideracin:

Entrega & Soporte

Monitoreo

Repositorio automatizado de datos y diccionario reglas de sintaxis de datos propiedad de la informacin y clasificacin con base en criticidad /seguridad un modelo de informacin que represente el negocio Normas de arquitectura de informacin de la empresag ap ente lic a te cion cn e in olo s st al ga ac io da nes to s

38


OBJETIVOS DE CONTROL2 DEFINICIN DE LA ARQUITECTURA DE INFORMACINOBJETIVO DE CONTROL La informacin deber conservar consistencia con las necesidades y deber ser identificada, capturada y comunicada de tal forma y dentro de perodos de tiempo que permitan a los responsables llevar a cabo sus tareas eficiente y oportunamente. Asimismo, la funcin de sistemas de informacin deber crear y actualizar regularmente un modelo de arquitectura de informacin, abarcando el modelo de datos corporativo y los sistemas de informacin asociados. El modelo de arquitectura de informacin deber conservar consistencia con el plan a largo plazo de tecnologa de informacin. 2.2 Diccionario de Datos y Reglas de Sintaxis de Datos de la Corporacin OBJETIVO DE CONTROL La funcin de servicios de informacin deber asegurar la creacin y la continua actualizacin de un diccionario de datos corporativo que incorpore las reglas de sintaxis de datos de la organizacin. 2.3 Esquema de Clasificacin de Datos OBJETIVO DE CONTROL Deber establecerse un marco de referencia de clasificacin general relativo a la ubicacin de datos en clases de informacin (por ejemplo, categoras de seguridad), as como la asignacin de propiedad. Las reglas de acceso para las clases debern definirse apropiadamente. 2.4 Niveles de Seguridad OBJETIVO DE CONTROL La Gerencia deber definir, implementar y mantener niveles de seguridad para cada una de las clasificaciones de datos identificadas con un nivel superior al de "no requiere proteccin". Estos niveles de seguridad debern representar el conjunto de medidas de seguridad y de control apropiado (mnimo) para cada una de las clasificaciones y debern ser reevaluados peridicamente y modificados en consecuencia. Se deben establecer los criterios para soportar los diferentes niveles de seguridad en toda la empresa para resolver las necesidades del creciente comercio electrnico, la computacin mvil y los entornos de teleconmutacin.

2.1 Modelo de la Arquitectura de Informacin


39


PO3

Planeacin & Organizacinef ec tiv ef ida co icie d nf id ncia en in c ia te li di gri dad sp da o d cu nib m ilid p co lim ad nf ien ia bi to lid ad


P

S

Entrega & Soporte

Control sobre el proceso de TI de:Monitoreo

determinacin de la direccin tecnolgica que satisface los requerimientos de negocio de: aprovechar la tecnologa disponible y las que van apareciendo en el mercado para impulsar y posibilitar la estrategia del negocio. se hace posible a travs de: la creacin y mantenimiento de un plan de infraestructura tecnolgica que establece y administra expectativas claras y realistas de lo que puede brindar la tecnologa en trminos de productos, servicios y mecanismos de entrega y toma en consideracin:

capacidad de la infraestructura actual monitoreo de desarrollos tecnolgicos por la va de fuentes confiables realizacin de prueba de conceptos riesgos, restricciones y oportunidades planes de adquisicin estrategia de migracin y mapas alternativos (roadmaps) relaciones con los vendedores reevaluacin independiente de la tecnologa Cambios de precio /desempeo de hardware y de software

40


g ap ente lic a te cion cn e in olo s st g al ac a io da nes to s

OBJETIVOS DE CONTROL3 DETERMINACIN DE LA DIRECCINTECNOLGICA

3.4 Planes de Adquisicin de Hardware y Software OBJETIVO DE CONTROL La Gerencia de la funcin de servicios de informacin deber asegurar que los planes de adquisicin de hardware y software sean establecidos y que reflejen las necesidades identificadas en el plan de infraestructura tecnolgica.

3.1 Planeacin de la Infraestructura Tecnolgica OBJETIVO DE CONTROL La funcin de servicios de informacin deber crear y actualizar regularmente un plan de infraestructura tecnolgica que concuerde con los planes a largo y corto plazo de tecnologa de informacin. Dicho plan deber abarcar aspectos tales como arquitectura de sistemas, direccin tecnolgica y estrategias de migracin. 3.2 Monitoreo de Tendencias y Regulaciones Futuras OBJETIVO DE CONTROL La funcin de servicios de informacin deber asegurar el monitoreo contnuo de tendencias futuras y condiciones regulatorias, de tal manera que estos factores puedan ser tomados en consideracin durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica. 3.3 Contingencias en la Infraestructura Tecnolgica OBJETIVO DE CONTROL El plan de infraestructura tecnolgica deber ser evaluado sistemticamente en cuanto a aspectos de contingencia (por ejemplo, redundancia, resistencia7, capacidad de adecuacin y evolucin de la infraestructura).

3.5 Estndares de Tecnologa OBJETIVO DE CONTROL Tomando como base el plan de infraestructura tecnolgica, la Gerencia deber definir normas de tecnologa con la finalidad de fomentar la estandarizacin.

7

Resistencia (resilience): Capacidad de un sistema de volver a sui estado inicial luego de una falla


41

OBJETIVOS DE CONTROL DE ALTO NIVELPLANEACION Y ORGANIZACION

O

Documents

04 COBIT Objetivos de Control