Post on 28-Feb-2018
7/25/2019 02_AUDCobit 1998
1/120
Traduccin al espaol por Gustavo A. Sols Montes, CISA
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de controlen tecnologa de informacin con autoridad, actualizados, de carcter interna-
cional y aceptados generalmente para el uso cotidiano de gerentes de empresasy auditores.
7/25/2019 02_AUDCobit 1998
2/120
Lmite de Responsabilidad
La Information Systems Audit and Control Foundation y los patroci-
nadores de COBIT: Objetivos de Control para la Informacin y Tec-nologas afines, han diseado este producto principalmente como
una fuente de instruccin para los profesionales dedicados a lasactividades de control. La Information Systems Audit and ControlFoundationy los patrocinadores no declaran que el uso de este pro-ducto asegurar un resultado exitoso. No deber considerarse queeste producto incluye todos los procedimientos o pruebas apropiadoso que excluye otros procedimientos y pruebas que estn razonable-mente dirigidos hacia la obtencin de los mismos resultados. Paradeterminar la conveniencia de cualquier prueba o procedimientoespecfico, los expertos en control debern aplicar su propio juicioprofesional a las circunstancias de control especiales presentadas porcada entorno de sistemas en particular.
Acuerdo de Licencia (disclosure)
Copyright 1996, 1998 de laInformation Systems Audit and Control
Foundation (ISACF). La reproduccin para fines comerciales noest permitida sin el previo consentimiento por escrito de la ISACF.Se otorga permiso para reproducir el Resumen Ejecutivo, el MarcoReferencial y los Objetivos de Control para uso interno no comer-cial, incluyendo almacenamiento en medios de recuperacin de da-tos y transmisin en cualquier medio, incluyendo electrnico, mec-nico, grabado u otro medio. Todas las copias del Resumen Ejecuti-vo, el Marco Referencial y los Objetivos de Control deben incluir elsiguiente reconocimiento y leyenda de derechos de autor:
Copyright 1996, 1998Information Systems Audit and Control Foun-dation, reimpreso con la autorizacin de la Information Systems
Audit and Control Foundation. Ningn otro derecho o permiso rela-cionado con esta obra es otorgado.
Las Directrices de Auditora y el conjunto de herramientas de im-
plementacin no pueden ser reproducidos, almacenados en un siste-ma de recuperacin de datos o transmitido en ninguna forma ni porningn medio electrnico, mecnico, fotocopiado, grabado u otromedio- sin la previa autorizacin por escrito de la ISACF.
Excepto por lo indicado, no se otorga ningn otro derecho o permisorelacionado con esta obra.
Traducido al espaol de COBIT 2daEdicin: Objetivos de Controlpara la Informacin y Tecnologas afines por Gustavo A. Sols Mon-tes, CISA con el permiso de la Information Systems Audit and Con-trol Foundation (ISACF). Esta traduccin no fue revisada por laISACF, por lo tanto, no garantiza la fidelidad y/o exactitud de lamisma. Si desea obtener mayor informacin sobre ISACF, visite suweb site en www.isaca.org.
Information Systems Audit and Control Foundation3701 Algonquin Road, Suite 1010Rolling Meadows, Illinois 60008 USA.Telfono: 1+847.253.1525Fax: 1+847.253.1443E-mail: research@isaca.orgWeb site: www.isaca.org
ISBN 0-9629440-5-X (Control Objectives, English)
Reconocimientos 3
Resumen Ejecutivo 5
Antecedentes 8
El Marco Referencial de COBIT
Estableciendo la escena 10
Los Principios del Marco Referencial 13
Gua para la utilizacin del MarcoReferencial y los Objetivos de Control 18
Principios de los Objetivos de Control 20
Tabla Resumen 21
Relaciones de Objetivos de ControlDominios, Procesos y Objetivos de Control 22
Objetivos de Control
Planeacin y Organizacin 29Adquisicin e Implementacin 56Entrega de Servicios y Soporte 73Monitoreo 105
Apndice I
Descripcin del Proyecto COBIT 114
Apndice II
Material de Referencia Primaria 116
Apndice III
Glosario de Terminos Originales 119
7/25/2019 02_AUDCobit 1998
3/120
PATROCINADORESDELOSASOCIADOS
DELACORPORACINFellesdata a/s, Norway
NoviT a/s, Norway
PRINCIPALESCAPTULOSDEISACA
PATROCINADORESBenelux Norway
National Capital Area Toronto
New York Metropolitan
CAPTULOSDEISACA ASOCIADOS
PATROCINADORESAdelaide New Jersey
Atlanta New Mexico
Auckland North Alabama
Austin North Texas
Bangkok Northeast Ohio
Brisbane Northern United Kingdom
Canberra Philadelphia
Central Arkansas Pittsburgh
Central Indiana Puget SoundCentral Maryland Research Triangle
Central New York Sacramento
Denver San Diego
Detroit Santiago de Chile
Finland SeoulGreater Hartford South Texas
Hawaii St. Louis
Houston Sweden
Hudson Valley Tokyo
Indonesia TulsaLondon Victoria
Los Angeles Virginia
Middle Tennessee Wellington
Minnesota Winnipeg
New England
CONTRIBUCIONESINDIVIDUALESBill Bartgis Teresa McCauleyJohn Beveridge Robert G. Parker
William Bialkowski Daniel Ramos
Alllen Bragan Deepak Sarup
Maryanne S. Canant Lily Shue
Michael Donahue Patrick Stachtchenko
John Lainhart Kevin Weston
7/25/2019 02_AUDCobit 1998
4/120
ANALISTASEXPERTOSUSAProf. Ulric J. Gelinas, Bentley CollegeJohn Hayes, Price Waterhouse LLP
Greg Hedges, Arthur Andersen & Co., S.C.
Dave Kent, Price Waterhouse LLPTom Kothe, Ernst & Young LLP
John Lainhart, Inspector General, U.S. House of
Representatives, USA
Robert Roussey, University of Southern California
CALIDADGARANTIZADAGary Austin, GAO
Chris Bagot, NATO
Rick Beatty, California Federal BankPeter De Koninck, Coopers & Lybrand
Balencia Dozier, Manufacturers Bank
Doris Gin, Arthur Andersen & Co., LLP
A.I. Heijkamp, Computercentrum VSB
Max Huijbers, Rijkscomputercentrum
Peter Maertens, NATOBill Pepper, Zergo, Ltd.
Mark Stanley, Santa Barbara Bank
Tjerk Terpstra, Inter Access
Mark Wheeler, Farmers Insurance
Carla Williams, Executive Consultants
AGRADECIMIENTO
ESPECIAL
a los miembros de laMesa directiva de la Information Systems Audit and
Control Association, y los Fideicomisarios de la Infor-mation Systems Audit and Control Foundation por su
continuo y firme apoyo a la familia de productos de
COBIT
ELEQUIPODELPROYECTOErik Guldentops, S.W.I.F.T. S.C., BelgiumEddy Schuermans, Coopers & Lybrand, Belgium
Thomas Lamm, ISACF, USA
COMITQUEDIRIGEELPROYECTOErik Guldentops, S.W.I.F.T. S.C., Belgium
John Beveridge, State Auditors Office,Massachusetts, USA
Prof. Dr. Bart De Schutter, Vrije Universiteit Brussels,Chairman BRT Belgium
Gary Hardy, Arthur Andersen, United KingdomJohn Lainhart, Inspector General, U.S. House of
Representatives, USAAkira Matsuo, Chuo Audit Corporation, JapanEddy Schuermans, Coopers & Lybrand, BelgiumPaul Williams, Arthur Andersen, United KingdomThomas Lamm, ISACF, USA
INVESTIGADORESVrije Universiteit Amsterdam, The Netherlands
Prof. M.E. Van Biene-HersheyRen Barlage, RB Consultants
California Polytechnic University, USAProf. Dan Manson, Lead Researcher
ANALISTASEXPERTOSEUROPAChris Bagot, NATO
Ren Barlage, RB ConsultantsProf. Dr. Henri Beker, Zergo, Ltd.John Beveridge, ISACA Past PresidentErik Guldentops, S.W.I.F.T. S.C.Gary Hardy, Arthur AndersenEddy Schuermans, Coopers & LybrandAlan Stanley, European Security ForumDanny Van Riel, Johnson & JohnsonBram Vandenberg, Ernst & Young
7/25/2019 02_AUDCobit 1998
5/120
Un elemento crtico para el xito y la supervivenciade las organizaciones, es la administracin efecti-va de la informacin y de la Tecnologa de Informacin(TI) relacionada. En esta sociedad global (donde la in-formacin viaja a travs del ciberespacio sin las res-tricciones de tiempo, distancia y velocidad) esta critica-lidad emerge de: la creciente dependencia en informacin y en los
sistemas que proporcionan dicha informacin la creciente vulnerabilidad y un amplio espectro de
amenazas, tales como las ciber amenazas y laguerra de informacin1
la escala y el costo de las inversiones actuales yfuturas en informacin y en tecnologa de informa-cin; y
el potencial que tienen las tecnologas para cambiarradicalmente las organizaciones y las prcticas denegocio, crear nuevas oportunidades y reducir cos-tos
Para muchas organizaciones, la informacin y la tecno-loga que la soporta, representan los activos mas valio-sos de la empresa.
Es ms, en nuestro competitivo y rpidamente cambian-te ambiente actual, la gerencia ha incrementado sus ex-
pectativas relacionadas con la entrega de servicios deTI. Verdaderamente, la informacin y los sistemas deinformacin son penetrantes en las organizaciones(desde la plataforma del usuario hasta las redes locales oamplias, cliente servidor y equiposMainframe. Por lotanto, la administracin requiere niveles de servicio quepresenten incrementos en calidad, en funcionalidad y enfacilidad de uso, as como un mejoramiento continuo yuna disminucin de los tiempos de entrega) al tiempoque demanda que esto se realice a un costo ms bajo.
Muchas organizaciones reconocen los beneficios po-
tenciales que la tecnologa puede proporcionar. Lasorganizaciones exitosas, sin embargo, tambin com-
prenden y administran los riesgos asociados con laimplementacin de nueva tecnologa.Por lo tanto, la
administracin debe tener una apreciacin por, y un en-tendimiento bsico de los riesgos y limitantes del em-pleo de la tecnologa de informacin para proporcionaruna direccin efectiva y controles adecuados. COBITayuda a salvar las brechas existentes entre riesgos denegocio, necesidades de control y aspectos tcnicos.Proporciona prcticas sanas a travs de un Marco Re-
ferencial de dominios y procesos y presenta actividadesen una estructura manejable y lgica. Las prcticas sa-nasde COBIT representan el consenso de los expertos(le ayudarn a optimizar la inversin en informacin,pero an ms importante, representan aquello sobre lousted ser juzgado si las cosas salen mal.
Las organizaciones deben cumplir con requerimien-tos de calidad, de reportes fiduciarios y de seguri-dad, tanto para su informacin, como para sus activos.La administracin deber obtener un balance adecuadoen el empleo de sus recursos disponibles, los cuales in-
cluyen: personal, instalaciones, tecnologa, sistemas deaplicacin y datos. Para cumplir con esta responsabili-dad, as como para alcanzar sus expectativas, la admi-nistracin deber establecer un sistema adecuado decontrol interno. Por lo tanto, este sistema o marco refe-rencial deber existir para proporcionar soporte a losprocesos de negocio y debe ser preciso en la forma en laque cada actividad individual de control satisface losrequerimientos de informacin y puede impactar a losrecursos de TI. El impacto en los recursos de TI es enfa-tizado en el Marco Referencial de COBIT conjuntamentea los requerimientos de informacin del negocio quedeben ser alcanzados: efectividad, eficiencia, confiden-
cialidad, integridad, disponibilidad, cumplimiento yconfiabilidad. El control, que incluye polticas, estructu-ras, prcticas y procedimientos organizacionales, es res-ponsabilidad de la administracin.
La administracin, mediante este gobierno corporativo2,debe asegurar que la debida diligencia sea ejercitada portodos los individuos involucrados en la administracin,empleo, diseo, desarrollo, mantenimiento u operacinde sistemas de informacin.
Un Objetivo de Control en TI es una definicin del re-sultado o propsito que se desea alcanzar implementan-do procedimientos de control especficos dentro de unaactividad de TI.
La orientacin a negocios es el tema principal deCOBIT. Esta diseado no solo para ser utilizado
2 Gobierno corporativo(corporate governance): Govern-ance es un trmino que representael sistema que estable-ce la alta gerencia para asegurar el logro de los objetivosde una Organizacin.
7/25/2019 02_AUDCobit 1998
6/120
por usuarios y auditores, sino que en forma ms impor-tante, esta diseado para ser utilizado como una lista deverificacin3detallada para los propietarios de los pro-
cesos de negocio. En forma incremental, las prcticas denegocio requieren de una mayor delegacin y apodera-miento4de los dueos de procesos para que estos po-sean total responsabilidad de todos los aspectos relacio-nados con dichos procesos de negocio. En forma parti-cular, esto incluye el proporcionar controles adecuados.El Marco Referencial de COBIT proporciona herramien-tas al propietario de procesos de negocio que facilitan elcumplimiento de esta responsabilidad. El Marco Refe-rencial comienza con una premisa simple y prctica:
Con el fin de proporcionar la informacin que
la empresa necesita para alcanzar sus objetivos,
los recursos de TI deben ser administrados por
un conjunto de procesos de TI agrupados enforma natural.
Contina con un conjunto de 34 Objetivos de Con-trol de alto nivel, uno para cada uno de los Proce-sos de TI, agrupados en cuatro dominios: planeacin &organizacin, adquisicin & implementacin, entrega(de servicio) y monitoreo. Esta estructura cubre todoslos aspectos de informacin y de la tecnologa que lasoporta. Dirigiendo estos 34 Objetivos de Control dealto nivel, el propietario de procesos de negocio podrasegurar que se proporciona un sistema de control ade-cuado para el ambiente de tecnologa de informacin.Adicionalmente, correspondiendo a cada uno de los 34objetivos de control de alto nivel, existe una gua deauditora o de aseguramiento que permite la revisin delos procesos de TI contra los 302 objetivos detallados decontrol recomendados por COBIT para proporcionar a laGerencia la certeza de su cumplimiento y/o una reco-mendacin para su mejora. COBIT contiene un conjuntode herramientas de implementacin que proporcionalecciones aprendidas por empresas que rpida y exitosa-mente aplicaron COBIT en sus ambientes de trabajo.Incluye un Resumen Ejecutivo para el entendimiento yla sensibilizacin de la alta gerencia sobre los principiosy conceptos fundamentales de COBIT. La gua de imple-mentacin cuenta con dos tiles herramientas
(Diagnstico de Sensibilizacin Gerencial5y Diagnsti-co de Control en TI6 ) para proporcionar asistencia en elanlisis del ambiente de control en una organizacin.
El Marco Referencial COBIT otorga especial importan-cia al impacto sobre los recursos de TI, as como a losrequerimientos de negocios en cuanto a efectividad, efi-ciencia, confidencialidad, integridad, disponibilidad,cumplimiento y confiabilidad que deben ser satisfechos.
Adems, el Marco Referencial proporciona definicionespara los requerimientos de negocio que son derivadosde objetivos de control superiores en lo referente a cali-
dad, seguridad y reportes fiduciarios en tanto se relacio-nen con Tecnologa de Informacin.
La administracin de una empresa requiere de prc-ticas generalmente aplicables y aceptadas de con-trol y gobierno en TI para medir en forma comparativa7tanto su ambiente de TI existente, como su ambienteplaneado.
COBIT es una herramienta que permite a los gerentescomunicarse y salvar la brecha existente entre los reque-rimientos de control, aspectos tcnicos y riesgos de ne-gocio. COBIT habilita el desarrollo de una poltica claray de buenas prcticas de control de TI a travs de orga-
nizaciones, a nivel mundial. El objetivo de COBIT esproporcionar estos objetivos de control, dentro del mar-co referencial definido, y obtener la aprobacin y elapoyo de las entidades comerciales, gubernamentales yprofesionales en todo el mundo.
Por lo tanto, COBIT est orientado a ser la herra-mienta de gobierno de TI que ayude al entendi-miento y a la administracin de riesgos asociadoscon tecnologa de informacin y con tecnologas re-lacionadas.
3 Lista de verificacin(check list)4 Apoderamiento(empowerment)5 Diagnstico de Sensibilizacin Gerencial (management
awareness diagnostic)6 Diagnstico de Control en TI(IT control diagnostic)7 Medir en forma comparativa(benchmark)
7/25/2019 02_AUDCobit 1998
7/120
datos sistemas de
aplicacin tecnologa instalaciones gente
PO1 Definir un Plan Estratgico deTecnologa de Informacin
PO2 Definir la Arquitectura de InformacinPO3 Determinar la direccin tecnolgica
PO4 Definir la Organizacin y de lasRelaciones de TI
PO5 Manejar la Inversin en Tecnologa deInformacin
PO6 Comunicar la direccin y aspiraciones dela gerencia
PO7 Administrar Recursos HumanosPO8 Asegurar el Cumplimiento de
Requerimientos Externos
PO9 Evaluar RiesgosPO10 Administrar proyectosPO11 Administrar Calidad
AI1 Identificar Soluciones
AI2 Adquirir y Mantener Software deAplicacinAI3 Adquirir y Mantener Arquitectura de
TecnologaAI4 Desarrollar y Mantener Procedimientos
relacionados con TIAI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios
DS1 Definir Niveles de Servicio
DS2 Administrar Servicios prestados por TercerosDS3 Administrar Desempeo y Capacidad
DS4 Asegurar Servicio ContinuoDS5 Garantizar la Seguridad de SistemasDS6 Identificar y Asignar Costos
DS7 Educar y Entrenar a los UsuariosDS8 Apoyar y Asistir a los Clientes de TIDS9 Administrar la Configuracin
DS10 Administrar Problemas e IncidentesDS11 Administrar DatosDS12 Administrar InstalacionesDS13 Administrar Operaciones
M1 Monitorear los procesosM2 Evaluar lo adecuado del control
InternoM3 Obtener aseguramiento
independienteM4 Proporcionar auditora independiente
efectividad eficiencia confidencialidad integridad disponibilidad cumplimiento confiabilidad
COBITCOBIT
OBJEIVOS DE NEGOCIOOBJETIVOS DE NEGOCIO
7/25/2019 02_AUDCobit 1998
8/120
DESARROLLO DEL PRODUCTO COBIT
COBITha sido desarrollado como un estndar generalmenteaplicable y aceptado para las buenas prcticas de seguridady control en Tecnologa de Informacin (TI). COBIT eslaherramienta innovadora para el gobierno8de TI -.
COBIT se fundamenta en los Objetivos de Control existen-
tes de laInformation Systems Audit and Control Founda-tion(ISACF), mejorados a partir de estndares internacio-nales tcnicos, profesionales, regulatorios y especficospara la industria, tanto existentes como en surgimiento.Los Objetivos de Control resultantes han sido desarrolladospara su aplicacin en sistemas de informacin en toda laempresa. El trmino generalmente aplicables y acepta-doses utilizado explcitamente en el mismo sentido quelos Principios de Contabilidad Generalmente Aceptados(PCGA o GAAP por sus siglas en ingls). Para propsitosdel proyecto, buenas prcticas significa consenso porparte de los expertos.
Este estndar es relativamente pequeo en tamao, con elfin de ser prctico y responder, en la medida de lo posible,a las necesidades de negocio, manteniendo al mismo tiem-po una independencia con respecto a las plataformas tcni-cas de TI adoptadas en una organizacin. El proporcionarindicadores de desempeo (normas, reglas, etc.), ha sidoidentificado como prioridad para las mejoras futuras quese realizarn al marco referencial.
El desarrollo de COBIT ha trado como resultado la publi-cacin del Marco Referencial general y de los Objetivos deControl detallados, y le seguirn actividades educativas.Estas actividades asegurarn el uso general de los resulta-dos del Proyecto de Investigacin COBIT.
Se determin que las mejoras a losobjetivos de controloriginales deberan consistir en:
el desarrollo de un marco referencial paracontrol en TI como fundamento para los obje-tivos de control en TI y como una gua para lainvestigacin consistente en auditora y con-trol de TI;
una alineacin del marco referencial general yde los objetivos de control individuales, conestndares y regulaciones internacionales exis-tentes de hecho y de derecho; y
una revisin crtica de las diferentes activida-des y tareas que conforman los dominios decontrol en TI y, cuando fuese posible, la espe-cificacin de indicadores de desempeo rele-vantes (normas, reglas, etc.) y
una revisin crtica y actualizacin de las gu-as actuales para desarrollo de auditoras desistemas de informacin
Sin excluir ningn otro estndar aceptado en el campo delcontrol de sistemas de informacin que pudiera emitirsedurante la investigacin, las fuentes han sido identificadasinicialmente como:
Estndares Tcnicos de ISO, EDIFACT, etc.Cdigos de Conductaemitidos por el Council of Eu-rope, OECD, ISACA, etc.;Criterios de Calificacin para sistemas y procesos deTI: ITSEC, ISO9000, SPICE, TickIT, etc.;
Estndares Profesionales para control interno y audi-tora: reporte COSO, GAO, IFAC, IIA, ISACA, estn-dares CPA, etc.;Prcticas y requerimientos de la Industria de forosindustriales (ESF, 14) y plataformas patrocinadas por elgobierno (IBAG, NIST, DTI); yNuevos requerimientos especficos de la industria dela banca y manufactura de TI. (Ver Apndice III Glosa-rio de Trminos para definiciones de siglas)
DEFINICIN DEL PRODUCTO COBITEl desarrollo de COBIT ha resultado en la publicaci de:
unResumen Ejecutivoel cual, adicionalmente a estaseccin de antecedentes, consiste en una Sntesis Eje-cutiva (que proporciona a la alta gerencia entendi-miento y conciencia sobre los conceptos clave y prin-cipios de COBIT) y elMarco Referencial(el cual pro-porciona a la alta gerencia un entendimiento ms deta-llado de los conceptos clave y principios de COBIT eidentifica los cuatro dominios de COBIT y los corres-pondientes 34 procesos de TI);
elMarco Referencialque describe en detalle los 34objetivos de control de alto nivel e identifica los re-querimientos de negocio para la informacin y losrecursos de TI que son impactados en forma primariapor cada objetivo de control;
Objetivos de Control, los cuales contienen declaracio-nes de los resultados deseados o propsitos a ser al-canzados mediante la implementacin de 302 objeti-vos de control detallados y especficos a travs de los34 procesos de TI;
8 Gobierno(governance): sistema que establece la alta ge-rencia para asegurar el logro de los objetivos de una Orga-nizacin.
7/25/2019 02_AUDCobit 1998
9/120
Directrices de Auditora, las cuales contienen los pa-sos de auditora correspondientes a cada uno de los 34objetivos de control de TI de alto nivel para propor-
cionar asistencia a los auditores de sistemas en la revi-sin de los procesos de TI con respecto a los 302 obje-tivos detallados de control recomendados para propor-cionar a la gerencia certeza o una recomendaciones demejoramiento;
unConjunto de Herramientas de Implementacin,el cual proporciona lecciones aprendidas por organiza-ciones que han aplicado COBIT rpida y exitosamenteen sus ambientes de trabajo.
El Conjunto de Herramientas de Implementacin incluye laSntesis Ejecutiva, proporcionando a la alta gerencia con-ciencia y entendimiento de COBIT. Tambin incluye unagua de implementacin con dos tiles herramientas Dia-
gnstico de la Conciencia de la Gerencia9y el Diagnsticode Control de TI10 - para proporcionar asistencia en el an-lisis del ambiente de control en TI de una organizacin.Tambin se incluyen varios casos de estudio que detallancmo organizaciones en todo el mundo han implementadoCOBIT exitosamente. Adicionalmente, se incluyen respues-tas a las 25 preguntas mas frecuentes acerca de COBIT yvarias presentaciones para distintos niveles jerrquicos yaudiencias dentro de las organizaciones.
EVOLUCIN DEL PRODUCTO COBITCOBIT evolucionar a travs de los aos y ser el funda-mento de investigaciones futuras. Por lo tanto, se generaruna familia de productos COBIT y al ocurrir esto, las tareas
y actividades que sirven como la estructura para organizarlos Objetivos de Control de TI, sern refinadas posterior-mente, tambin ser revisado el balance entre los dominiosy los procesos a la luz de los cambios en la industria.
Una temprana adicin significativa visualizada para la fa-milia de productos COBIT, es el desarrollo de las Guas deGerenciales11que incluyen Factores Crticos de Exito, In-dicadores Clave de Desempeo y Medidas Comparativas12.Esta adicin proporcionar herramientas a la gerencia paraevaluar el ambiente de TI de su organizacin con respectoa los 34 Objetivos de Control de alto nivel de COBIT. LosFactores Crticos de Exito identificarn los aspectos o ac-ciones ms importantes para la administracin y poder astomar dichas acciones o considerar los aspectos para lograrcontrol sobre sus procesos de TI. Los Indicadores Clave deDesempeo proporcionarn medidas de xito que permitanconocer a la gerencia si un proceso de TI esta alcanzandolos requerimientos de negocio. La Medidas Comparativasdefinirn niveles de madurez que pueden ser utilizadas porla gerencia para: (1) determinar el nivel actual de madurezde la empresa; (2) determinar el nivel de madurez que des-ea lograr, como una funcin de sus riesgos y objetivos; y
(3) proporcionar una base de comparacin de sus prcticasde control de TI contra empresas similares o normas de laindustria. Esta adicin proporcionar herramientas a la ge-
rencia para evaluar el ambiente de TI de su organizacincon respecto a los 34 Objetivos de Control de alto nivel deCOBIT.Las investigaciones y publicaciones han sido posibles gra-cias a contribuciones de Unysis, Unitech Systems, Inc.,MIS Training Institute, Zergo, Ltd., y Coopers & Lybrand.El Forum Europeo de Seguridad (European Security Fo-rum ESF-) amablemente puso a disposicin material parael proyecto. Otras donaciones fueron recibidas de captulosmiembros de ISACA de todo el mundo.
9 Diagnstico de la Conciencia de la Gerencia(management awareness diagnostic)
10 Diagnstico de Control de TI(IT control diagnostic)11 Guas gerenciales(management guidelines)12 Medidas comparativas(benchmarks)
Familia de Productos COBIT
7/25/2019 02_AUDCobit 1998
10/120
En aos recientes, ha sido cada vez ms evidente paralos legisladores, usuarios y proveedores de servicios lanecesidad de un Marco Referencial para la seguridad yel control de tecnologa de informacin (TI). Un ele-mento crtico para el xito y la supervivencia de las or-ganizaciones, es la administracin efectiva de la infor-macin y de la Tecnologa de Informacin (TI) relacio-nada. En esta sociedad global (donde la informacin
viaja a travs del ciberespacio sin las restricciones detiempo, distancia y velocidad) esta criticalidad emergede:
la creciente dependencia en informacin y en lossistemas que proporcionan dicha informacin
la creciente vulnerabilidad y un amplio espectro deamenazas, tales como las ciber amenazas y laguerra de informacin
la escala y el costo de las inversiones actuales yfuturas en informacin y en tecnologa de informa-cin; y
el potencial que tienen las tecnologas para cambiarradicalmente las organizaciones y las prcticas denegocio, crear nuevas oportunidades y reducir cos-tos
Para muchas organizaciones, la informacin y la tecno-loga que la soporta, representan los activos mas valio-sos de la empresa. Verdaderamente, la informacin ylos sistemas de informacin son penetrantes en lasorganizaciones (desde la plataforma del usuario hastalas redes locales o amplias, cliente servidor y equipos
Mainframe.Muchas organizaciones reconocen los be-
neficios potenciales que la tecnologa puede propor-
cionar. Las organizaciones exitosas, sin embargo,
tambin comprenden y administran los riesgos asocia-dos con la implementacin de nueva tecnologa. Por lo
tanto, la administracin debe tener una apreciacin por,y un entendimiento bsico de los riesgos y limitantes delempleo de la tecnologa de informacin para proporcio-nar una direccin efectiva y controles adecuados
La administracin debe decidir la inversin razonableen seguridad y control en TI y cmo lograr un balance
entre riesgos e inversiones en control en un ambiente deTI frecuentemente impredecible. La administracinnecesita un Marco Referencial de prcticas de seguridady control de TI generalmente aceptadas para medir com-parativamentesu ambiente de TI, tanto el existente co-mo el planeado.
Existe una creciente necesidad entre los USUARIOS encuanto a la seguridad en los servicios TI, a travs de laacreditacin y la auditora de servicios de TI proporcio-nados internamente o por terceras partes, que aseguren
la existencia de controles adecuados. Actualmente, sinembargo, es confusa la implementacin de buenos con-troles de TI en sistemas de negocios por parte de entida-des comerciales, entidades sin fines de lucro o entidadesgubernamentales. Esta confusin proviene de los dife-rentes mtodos de evaluacin, tales como ITSEC,TCSEC, evaluaciones ISO9000, nuevas evaluaciones decontrol interno COSO, etc. Como resultado, los usua-rios necesitan una base general a ser establecida comoprimer paso.
Frecuentemente, los AUDITORES han tomado el lide-razgo en estos esfuerzos internacionales de estandariza-cin, debido a que ellos enfrentan continuamente la ne-
cesidad de sustentar y apoyar frente a la Gerencia suopinin acerca de los controles internos. Sin contar conun marco referencial, sta se convierte en una tarea de-masiado complicada. Esto ha sido mostrado en variosestudios recientes acerca de la manera en la que los au-ditores evalan situaciones complejas de seguridad ycontrol en TI, estudios que fueron dados a conocer casisimultneamente en diferentes partes del mundo. Inclu-so, la administracin consulta cada vez ms a los audi-tores para que la asesoren en forma proactiva en lo refe-rente a asuntos de seguridad y control de TI.
La competencia global es ya un hecho. Las organiza-ciones se reestructuran con el fin de perfeccionar susoperaciones y al mismo tiempo aprovechar los avancesen tecnologa de sistemas de informacin para mejorarsu posicin competitiva. La reingeniera en los nego-
13 Guerra de informacin(information warfare)
7/25/2019 02_AUDCobit 1998
11/120
cios, las reestructuraciones, el outsourcing, las organiza-
ciones horizontales y el procesamiento distribuido son
cambios que impactan la manera en la que operan tanto
los negocios como las entidades gubernamentales. Es-tos cambios han tenido y continuarn teniendo, profun-das implicaciones para la administracin y las estructu-ras de control operacional dentro de las organizacionesen todo el mundo.
La especial atencin prestada a la obtencin de ventajascompetitivas y a la economa implica una dependenciacreciente en la computacin como el componente msimportante en la estrategia de la mayora de las organi-zaciones. La automatizacin de las funciones organiza-cionales, por su naturaleza, dicta la incorporacin demecanismos de control ms poderosos en las computa-doras y en las redes, tanto los basados en hardware co-
mo los basados en software. Adems, las caractersticasestructurales fundamentales de estos controles estnevolucionando al mismo paso que las tecnologas decomputacin y las redes.
Si los administradores, los especialistas en sistemas deinformacin y los auditores desean en realidad ser capa-ces de cumplir con sus tareas en forma efectiva dentrode un marco contextual de cambios acelerados, debernaumentar y mejorar sus habilidades tan rpidamentecomo lo demandan la tecnologa y el ambiente. Debe-mos comprender la tecnologa de controles involucraday su naturaleza cambiante si deseamos emitir y ejercer
juicios razonables y prudentes al evaluar las prcticas decontrol que se encuentran en los negocios tpicos o enlas organizaciones gubernamentales.
En vista de estos continuos cambios, el desarrollo deeste Marco Referencial de objetivos de control para TI,conjuntamente con una investigacin continua aplicadaa controles de TI basada en este marco referencial,constituyen el fundamento para el progreso efectivo enel campo de los controles de sistemas de informacin.
Por otro lado, hemos sido testigos del desarrollo y pu-blicacin de modelos de control generales de negocioscomo COSO [Committee of Sponsoring Organisationsof the Treadway Commisssion Internal Control-
Integrated Framework, 1992] en los EUA, Cadburyenel Reino Unido y CoCo en Canad y King en Sudfrica.Por otro lado, existe un nmero importante de modelosde control ms enfocados al nivel de tecnologa de in-formacin. Algunos buenos ejemplos de esta ltima
categora son el Security Code of Conductdel DTI(Department of Trade and Industry, Reino Unido) y elSecurity Handbookde NIST (National Institute of Stan-
dards and Technology, EUA). Sin embargo, estos mo-delos de control con orientacin especfica no propor-cionan un modelo de control completo y utilizable sobretecnologa de informacin como soporte para los proce-sos de negocio. El propsito de COBITes el cubrir estevaco proporcionando una base que est estrechamenteligada a los objetivos de negocio, al mismo tiempo quese enfoca a la tecnologa de informacin.
Un enfoque hacia los requerimientos de negocio encuanto a controles para tecnologa de informacin y laaplicacin de nuevos modelos de control y estndaresinternacionales relacionados, hicieron evolucionar losObjetivos de Control y pasar de una herramienta de au-
ditora, a COBIT, que es una herramienta para la admi-nistracin. COBIT es, por lo tanto, laherramientainnovadora para el gobierno de TI que ayuda a la
gerencia a comprender y administrar los riesgos aso-
ciados con TI.
Por lo tanto, el objetivo principal del proyecto COBITesel desarrollo de polticas claras y buenas prcticas parala seguridad y el control de Tecnologa de Informacin,con el fin de obtener la aprobacin y el apoyo de lasentidades comerciales, gubernamentales y profesionalesen todo el mundo. La meta del proyecto es el desarro-llar estos objetivos de control principalmente a partir dela perspectiva de los objetivos y necesidades de la em-presa. Esto concuerda con la perspectiva COSO, queconstituye el primer y mejor marco referencial para laadministracin en cuanto a controles internos. Poste-riormente, los objetivos de control fueron desarrolladosa partir de la perspectiva de los objetivos de auditora(certificacin de informacin financiera, certificacin demedidas de control interno, eficiencia y efectividad,etc.)
COBIT est diseado para ser utilizado por tres audien-cias distintas:
ADMINISTRACION:
Para ayudarlos a lograr un balance entre losriesgos y las inversiones en control en un am-biente de tecnologa de informacin frecuente-mente impredecible.
7/25/2019 02_AUDCobit 1998
12/120
USUARIOS:
Para obtener una garanta en cuanto a la segu-ridad y controles de los servicios de tecnologade informacin proporcionados internamente opor terceras partes.
AUDITORES DE SISTEMAS DE INFORMA-
CION:
Para dar soporte a las opiniones mostradas a laadministracin sobre los controles internos.
Adems de responder a las necesidades de la audienciainmediata de la Alta Gerencia, a los auditores y a losprofesionales dedicados al control y seguridad, COBITpuede ser utilizado dentro de las empresas por el propie-tario de procesos de negocio en su responsabilidad de
control sobre los aspectos de informacin del proceso, ypor todos aqullos responsables de TI en la empresa.
ORIENTACIN A OBJETIVOS DE NEGOCIO
Los Objetivos de Control muestran una relacin clara ydistintiva con los objetivos de negocio con el fin de apo-yar su uso en forma significativa fuera de las fronterasde la comunidad de auditora. Los Objetivos de Controlestn definidos con una orientacin a los procesos, si-guiendo el principio de reingeniera de negocios. Endominios y procesos identificados, se identifica tambinun objetivo de control de alto nivel para documentar el
enlace con los objetivos del negocio. Se proporcionanconsideraciones y guas para definir e implementar elObjetivo de Control de TI.
La clasificacin de los dominios a los que se aplican losobjetivos de control de alto nivel (dominios y procesos);una indicacin de los requerimientos de negocio para lainformacin en ese dominio, as como los recursos deTI que reciben un impacto primario por parte del objeti-vo del control, forman conjuntamente el marco Referen-cial COBIT. El marco referencial toma como base lasactividades de investigacin que han identificado 34objetivos de alto nivel y 302 objetivos detallados decontrol. El Marco Referencial fue mostrado a la indus-tria de TI y a los profesionales dedicados a la auditorapara abrir la posibilidad a revisiones, dudas y comenta-rios. Las ideas obtenidas fueron incorporadas en formaapropiada.
DEFINICIONES
Para propsitos de este proyecto, se proporcionan lassiguientes definiciones. La definicin de Control estadaptada del reporte COSO [Committee of SponsoringOrganisations of the Treadway Commission. Internal
Control-Integrated Framework, 1992 y la definicinpara Objetivo de Control de TI ha sido adaptada delreporte SAC (Systems Auditability and Control Report).The Institute of Internal Auditors Research Foundation,1991 y 1994.
Las polticas, procedimientos, prcti-cas y estructuras organizacionalesdiseadas para garantizar razonable-mente que los objetivos del negociosern alcanzados y que eventos no
deseables sern prevenidos o detec-tados y corregidos
Una definicin del resultado o pro-psito que se desea alcanzar imple-mentando procedimientos de controlen una actividad de TI particular.
Objetivo decontrol en TI
se definecomo
Objetivo decontrol en TI
se definecomo
Control sedefine como
Control sedefine como
7/25/2019 02_AUDCobit 1998
13/120
Existen dos clases distintas de modelos de control dis-
ponibles actualmente, aqullos de la clase del modelode control de negocios (por ejemplo COSO) y losmodelos ms enfocados a TI (por ejemplo, DTI).COBITintenta cubrir la brecha que existe entre los dos.Debido a esto, COBIT se posiciona como una herra-mienta ms completa para la Administracin y paraoperar a un nivel superior que los estndares de tecno-loga para la administracin de sistemas de informa-cin.. Por lo tanto, COBIT es el modelo para el go-bierno de TI.
El concepto fundamental del marco referencial COBITse refiere a que el enfoque del control en TI se lleva acabo visualizando la informacin necesaria para darsoporte a los procesos de negocio y considerando a lainformacin como el resultado de la aplicacin combi-nada de recursos relacionados con la Tecnologa deInformacin que deben ser administrados por procesosde TI.
Para satisfacer los objetivos del negocio, la informa-cin necesita concordar con ciertos criterios a los queCOBIT hace referencia como requerimientos de nego-cio para la informacin. Al establecer la lista de re-querimientos, COBITcombina los principios conteni-
dos en los modelos referenciales existentes y conoci-
dos:
Calidad
Costo
Entrega (de servicio)
Efectividad & eficiencia de
operaciones
Confiabilidad de la informacinCumplimiento de las leyes &
regulaciones
ConfidencialidadIntegridadDisponibilidad
La Calidad ha sido considerada principalmente por suaspecto negativo (no fallas, confiable, etc.), lo cual
tambin se encuentra contenido en gran medida en loscriterios de Integridad. Los aspectos positivos peromenos tangibles de la calidad (estilo, atractivo, ver ysentir14, desempeo ms all de las expectativas, etc.)no fueron, por un tiempo, considerados desde un pun-to de vista de Objetivos de Control de TI. La premisase refiere a que la primera prioridad deber estar diri-gida al manejo apropiado de los riesgos al compararloscontra las oportunidades. El aspecto utilizable de laCalidad est cubierto por los criterios de efectividad.Se consider que el aspecto de entrega (de servicio) dela Calidad se traslapa con el aspecto de disponibilidadcorrespondiente a los requerimientos de seguridad y
tambin en alguna medida, con la efectividad y la efi-ciencia. Finalmente, el Costo es tambin consideradoque queda cubierto por Eficiencia.
Para los requerimientos fiduciarios, COBIT no intentreinventar la rueda se utilizaron las definiciones deCOSO para la efectividad y eficiencia de operaciones,confiabilidad de informacin y cumplimiento con leyesy regulaciones. Sin embargo, confiabilidad de informa-cin fue ampliada para incluir toda la informacin noslo informacin financiera.
Con respecto a los aspectos de seguridad, CobiT identi-fic la confidencialidad, integridad y disponibilidad co-mo los elementos clave, fue descubierto que estos mis-mos tres elementos son utilizados a nivel mundial paradescribir los requerimientos de seguridad.
Comenzando el anlisis a partir de los requerimientosde Calidad, Fiduciarios y de Seguridad ms amplios, se
LOSPRINCIPIOSDELMARCOREFERENCIAL
RequerimientosFiduciarios
(COSO)
Requerimientosde Seguridad
Requerimientos deCalidad
14 Ver y Sentir(look and feel)
Requerimientosde Negocio
Recursos de TI
Procesos de TI
7/25/2019 02_AUDCobit 1998
14/120
Se entiende como sistemas de apli-
cacin la suma de procedimientosmanuales y programados.
La tecnologa cubre hardware, soft-ware, sistemas operativos, sistemasde administracin de bases de datos,redes, multimedia, etc.
Recursos para alojar y dar soporte alos sistemas de informacin.
Habilidades del personal, conoci-miento, conciencia y productividadpara planear, organizar, adquirir,entregar, soportar y monitorear ser-
vicios y sistemas de informacin.El dinero o capital no fue considerado como un recursopara la clasificacin de objetivos de control para TI debi-do a que puede definirse como la inversin en cualquierade los recursos mencionados anteriormente y podra cau-sar confusin con los requerimientos de auditora finan-ciera.
El Marco referencial no menciona, en forma especficapara todos los casos, la documentacin de todos los as-pectos materiales importantes relacionados con unproceso de TI particular. Como parte de las buenasprcticas, la documentacin es considerada esencial pa-ra un buen control y, por lo tanto, la falta de documenta-cin podra ser la causa de revisiones y anlisis futurosde controles de compensacin en cualquier rea espec-fica en revisin.
Otra forma de ver la relacin de los recursos de TI conrespecto a la entrega de servicios se describe a continua-cin:
La informacin que los procesos de negocio necesitanes proporcionada a travs del empleo de recursos de TI.Con el fin de asegurar que los requerimientos de nego-cio para la informacin son satisfechos, deben definirse
extrajeron siete categoras distintas, ciertamente super-puestas. A continuacin se muestran las definiciones detrabajo de COBIT:
Se refiere a que la informacin rele-vante sea pertinente para el procesodel negocio, as como a que su en-trega sea oportuna, correcta, consis-tente y de manera utilizable.
Se refiere a la provisin de informa-cin a travs de la utilizacin pti-ma (ms productiva y econmica)de recursos.
Se refiere a la proteccin de infor-
macin sensible contra divulgacinno autorizada.
Se refiere a la precisin y suficien-cia de la informacin, as como a suvalidez de acuerdo con los valores yexpectativas del negocio.
Se refiere a la disponibilidad de lainformacin cuando sta es requeri-da por el proceso de negocio ahoray en el futuro. Tambin se refiere ala salvaguarda de los recursos nece-sarios y capacidades asociadas.
Se refiere al cumplimiento de aque-llas leyes, regulaciones y acuerdoscontractuales a los que el procesode negocios est sujeto, por ejem-plo, criterios de negocio impuestosexternamente.
Se refiere a la provisin de informa-cin apropiada para la administra-cin con el fin de operar la entidady para ejercer sus responsabilidadesde reportes financieros y de cumpli-
miento.
Los recursos de TI identificados en COBIT pueden expli-carse/definirse como se muestra a continuacin:
Los elementos de datos en su msamplio sentido, (por ejemplo, exter-nos e internos), estructurados y noestructurados, grficos, sonido, etc.
Confidencialidad
Efectividad
Eficiencia
Integridad
Disponibildad
Cumplimiento
Confiabilidadde la
Informacin
Datos
Aplicaciones
Tecnologa
Instalaciones
Personal
mensaje
entrada
servicio
salida
TECNOLOGIATECNOLOGIA
INSTALACIONESINSTALACIONES
GENTEGENTE
Sistemas de AplicacinSistemas de AplicacinDatosDatos
7/25/2019 02_AUDCobit 1998
15/120
Por lo tanto, el marco referencial conceptual puede ser
enfocado desde tres puntos estratgicos: (1) recursosde TI, (2) requerimientos de negocio para la informa-cin y (3) procesos de TI. Estos puntos de vista dife-rentes permiten al marco referencial ser accedido efi-cientemente. Por ejemplo, los gerentes de la empresapueden interesarse en un enfoque de calidad, seguridado fiduciario (traducido por el marco referencial en sie-te requerimientos de informacin especficos). UnGerente de TI puede desear considerar recursos de TIpor los cuales es responsable. Propietarios de proce-sos, especialistas de TI y usuarios pueden tener un in-ters en procesos particulares. Los auditores podrndesear enfocar el marco referencial desde un punto devista de cobertura de control. Estos tres puntos estrat-gicos son descritos en el Cubo COBIT que se muestra acontinuacin:
Cmo pueden entonces las empresas estar satisfechas
respecto a que la informacin obtenida presente las ca-ractersticas que necesitan? Es aqu donde se requiere deun sano marco referencial de Objetivos de Control paraTI. El diagrama mostrado a continuacin ilustra esteconcepto.
El marco referencial consta de Objetivos de Control deTI de alto nivel y de una estructura general para su cla-sificacin y presentacin. La teora subyacente para laclasificacin seleccionada se refiere a que existen, enesencia, tres niveles de actividades de TI al considerar laadministracin de sus recursos. Comenzando por la ba-se, encontramos las actividades y tareas necesarias pa-ra alcanzar un resultado medible. Las actividades
cuentan con un concepto de ciclo de vida, mientrasque las tareas son consideradas ms discretas. El con-cepto de ciclo de vida cuenta tpicamente con requeri-mientos de control diferentes a los de actividades dis-cretas. Algunos ejemplos de esta categora son las ac-tividades de desarrollo de sistemas, administracin dela configuracin y manejo de cambios. La segundacategora incluye tareas llevadas a cabo como soportepara la planeacin estratgica de TI, evaluacin deriesgos, planeacin de la calidad, administracin de lacapacidad y el desempeo.
Los procesos se definen entonces en un nivel superiorcomo una serie de actividades o tareas conjuntas concortes naturales (de control). Al nivel ms alto, losprocesos son agrupados de manera natural en domi-nios. Su agrupamiento natural es confirmado frecuen-temente como dominios de responsabilidad en una es-tructura organizacional, y est en lnea con el cicloadministrativo o ciclo de vida aplicable a los procesosde TI.
PROCESOSPROCESOS
DE NEGOCIODE NEGOCIO
INFORMACIONINFORMACION
RECURSOS DE TIRECURSOS DE TI
datosdatos sistemas de aplicacinsistemas de aplicacin tecnologatecnologa instalacionesinstalaciones gentegente
efectividadefectividad eficienciaeficiencia confidencialidadconfidencialidad integridadintegridad disponibilidaddisponibilidad cumplimientocumplimiento confiabilidadconfiabilidad
CriteriosCriterios
??
Dominios
Procesos
Actividades
Instalaciones
Datos
Gente
SistemasdeA
plicacin
Tecn
ologa
Actividades
Dominios
Procesos
Calid
ad
Fiduc
iarios
Segurid
ad
Recurs
osdeTI
Criterios de informacin
Procesos
deT
I
7/25/2019 02_AUDCobit 1998
16/120
Con lo anterior como marco de referencia, los dominios
son identificados utilizando las palabras que la gerencia
utilizara en las actividades cotidianas de la organiza-
cin y no la jerga15 del auditor -. Por lo tanto, cuatrograndes dominios son identificados: planeacin y orga-nizacin, adquisicin e implementacin; entrega y so-porte y monitoreo.
Las definiciones para los dominios mencionados sonlas siguientes:
Este dominio cubre la estrategia ylas tcticas y se refiere a la identifi-cacin de la forma en que la tecno-loga de informacin puede contri-buir de la mejor manera al logro de
los objetivos del negocio. Adems,la consecucin de la visin estrat-gica necesita ser planeada, comuni-cada y administrada desde diferen-tes perspectivas. Finalmente, debe-rn establecerse una organizacin yuna infraestructura tecnolgicaapropiadas.
Para llevar a cabo la estrategia deTI, las soluciones de TI deben seridentificadas, desarrolladas o adqui-ridas, as como implementadas eintegradas dentro del proceso delnegocio. Adems, este dominio cu-bre los cambios y el mantenimientorealizados a sistemas existentes.
En este dominio se hace referenciaa la entrega de los servicios requeri-dos, que abarca desde las operacio-nes tradicionales hasta el entrena-miento, pasando por seguridad yaspectos de continuidad.Con el finde proveer servicios, debern esta-blecerse los procesos de soportenecesarios.Este dominio incluye el
procesamiento de los datos por sis-temas de aplicacin, frecuentemen-
te clasificados como controles de
aplicacin.
Todos los procesos necesitan ser evalua-
dos regularmente a travs del tiempopara verificar su calidad y suficiencia encuanto a los requerimientos de control.
En resumen, los Recursos de TI necesitan ser adminis-trados por un conjunto de procesos agrupados en for-ma natural, con el fin de proporcionar la informacin
que la empresa necesita para alcanzar sus objetivos.
El siguiente diagrama ilustra este concepto:
Debe tomarse en cuenta que estos procesos pueden seraplicados a diferentes niveles dentro de una organiza-cin. Por ejemplo, algunos de estos procesos sern apli-cados al nivel corporativo, otros al nivel de la funcinde servicios de informacin, otros al nivel del propieta-rio de los procesos de negocio.
Tambin debe ser tomado en cuenta que el criterio deefectividad de los procesos que planean o entregan solu-ciones a los requerimientos de negocio, cubrirn algu-
nas veces los criterios de disponibilidad, integridad yconfidencialidad. en la prctica, se han convertido enrequerimientos del negocio. Por ejemplo, el proceso deidentificar soluciones automatizadas deber ser efecti-vo en el cumplimiento de requerimientos de disponibili-dad, integridad y confidencialidad.
Planeacin yorganizacin
Adquiscin eimplementacin
Monitoreo
Entrega ysoporte
Entrega ysoporte
d at os sistemas de
aplicacin tecnologa instalaciones g en te
PO1 Definir un Plan Estratgico deTecnologa de Informacin
PO2 Definir la Arquitectura de InformacinPO3 Determinar la direccin tecnolgicaPO4 Definir la Organizacin y de las
Relaciones de TIPO5 Manejar la Inversin en Tecnologa de
InformacinPO6 Comunicar la direccin y aspiraciones de
la gerenciaPO7 Administrar Recursos HumanosPO8 Asegurar el Cumplimiento de
Requerimientos ExternosPO9 Evaluar RiesgosPO10 Administrar proyectosPO11 Administrar Calidad
AI1 Identificar SolucionesAI2 Adquirir y Mantener Software de
AplicacinAI3 Adquirir y Mantener Arquitectura de
TecnologaAI4 Desarrollar y Mantener Procedimientos
relacionados con TIAI5 Instalar y Acreditar SistemasAI6 Administrar Cambios
DS1 Definir Niveles de Servicio
DS2 Administrar Servicios prestados por TercerosDS3 Administrar Desempeo y CapacidadDS4 Asegurar Servicio ContinuoDS5 Garantizar la Seguridad de SistemasDS6 Identificar y Asignar CostosDS7 Educar y Entrenar a los UsuariosDS8 Apoyar y Asistir a los Clientes de TIDS9 Administrar la ConfiguracinDS10 Administrar Problemas e Incidentes
DS11 Administrar DatosDS12 Administrar InstalacionesDS13 Administrar Operaciones
M1 Monitorear los procesosM2 Evaluar lo adecuado del control
InternoM3 Obtener aseguramiento
independienteM4 Proporcionar auditora independiente
efectividad ef ic iencia confidencialidad integridad disponibilidad cumplimiento confiabilidad
COBITCOBIT
OBJEIVOS DE NEGOCIO
7/25/2019 02_AUDCobit 1998
17/120
Resulta claro que las medidas de control no satisfarnnecesariamente los diferentes requerimientos de infor-macin del negocio en la misma medida. Se lleva a ca-
bo una clasificacin dentro del marco referencial COBITbasada en rigurosos informes y observaciones de proce-sos por parte de investigadores, expertos y revisores conlas estrictas definiciones determinadas previamente.
Primario es el grado al cual el objetivo decontrol definido impacta directa-mente el requerimiento de informa-cin de inters.
Secundario es el grado al cual el objetivo decontrol definido satisface nica-
mente de forma indirecta o en me-nor medida el requerimiento deinformacin de inters.
Blanco (vaco) podra aplicarse; sin embargo, losrequerimientos son satisfechos msapropiadamente por otro criterio eneste proceso y/o por otro proceso.
Similarmente, todas las medidas de control no necesa-riamente tendrn impacto en los diferentes recursos deTI a un mismo nivel. Por lo tanto, el Marco Referencialde COBIT indica especficamente la aplicabilidad de losrecursos de TI que son administrados en forma especfi-ca por el proceso bajo consideracin (no por aquellosque simplemente toman parte en el proceso). Esta clasi-ficacin es hecha dentro el Marco Referencial de COBITbasado en el mismo proceso riguroso de informacinproporcionada por los investigadores, expertos y revi-sores, utilizando las definiciones estrictas indicadas pre-viamente.
7/25/2019 02_AUDCobit 1998
18/120
PERSPECTIVAS DIFERENTES; ENFO-
QUES DIFERENTESEl marco referencial conceptual puede ser enfocado
desde tres puntos estratgicos:1) recursos de TI, 2) requerimientos de negocio para lainformacin y 3) procesos de TI. Estos puntos de vistadiferentes permiten al marco referencial ser accedidoeficientemente.
Por ejemplo, los gerentes de la empresa pueden intere-sarse en un enfoque de calidad, seguridad o fiduciario
(traducido por el marco referencial en siete requeri-mientos de informacin especficos). Un Gerente deTI puede desear considerar recursos de TI por los cua-les es responsable. Propietarios de procesos, especia-listas de TI y usuarios pueden tener un inters en pro-cesos particulares. Los auditores podrn desear enfo-car el marco referencial desde un punto de vista decobertura de control.
MARCO REFERENCIAL COBITEl marco referencial COBIT ha sido limitado a objeti-vos de control de alto nivel en forma de necesidadesde negocio dentro de un proceso de TI particular, cuyologro es posible a travs de un establecimiento de con-troles, para el cual deben considerarse controles apli-cables potenciales.
Los Objetivos de Control de TI han sido organizadospor proceso/actividad, pero tambin se han proporcio-nados ayudas de navegacin no solamente para facili-
tar la entrada a partir de cualquier punto de vista estra-tgico como se explic anteriormente, sino tambinpara facilitar enfoques combinados o globales, talescomo instalacin/implementacin de un proceso, res-ponsabilidades gerenciales globales para un proceso yutilizacin de recursos de TI por un proceso.
Tambin deber tomarse en cuenta que los Objetivosde Control COBIThan sido definidos en una maneragenrica, por ejemplo, sin depender de la plataformatcnica, aceptando el hecho de que algunos ambientesde tecnologa especiales pueden requerir una coberturaseparada para objetivos de control.
GIA PARA LA UTILIZACIN DEL MARCO REFERENCIAL Y LOSOBJETIVOS DE CONTROL COBIT
Instalaciones
Datos
Gente
SistemasdeAplicacin
Tecnologa
Actividades
Dominios
Procesos
Calid
ad
Fiduc
iarios
Segurid
ad
Recur
sosde
TI
Criterios de informacin
Procesos
de
TI
Considerando
Es habilitado por
Que satisfaceProceso de TI
Requerimientode Negocio
Declaracin deControl
Prcticas deControl
El control de
7/25/2019 02_AUDCobit 1998
19/120
Adquisicin &Implementacin
Planeacin &Organizacin
Entrega &Soporte
Monitoreo
PSe
fectivid
ad
eficie
ncia
inte
grid
ad
disp
onibilid
ad
cu
mplim
iento
confid
encialid
ad
confia
bilid
ad
gente
aplic
acio
nes
tecn
ologa
instalacio
nes
dato
s
Adquisicin &Implementacin
Planeacin &Organizacin
Entrega &Soporte
Monitoreo
PS
efectiv
idad
eficie
ncia
inte
grid
ad
disp
onibili
dad
cumplim
iento
confid
encialid
ad
confiabilid
ad
gente
aplic
acio
nes
tecn
ologa
instalacio
nes
dato
s
AYUDAS DE NAVEGACIN
Para facilitar el empleo eficiente de los objetivos de con-trol como soporte a los diferentes puntos de vista, se pro-porcionan algunas ayudas de navegacin como parte dela presentacin de los objetivos de control de alto nivel.Se proporciona una ayuda de navegacin para cada unade las tres dimensiones del marco referencial COBIT-procesos, recursos y criterios -
Los dominios son identificados ubicando la siguientefigura en la esquina superior derecha de cada pgina en laseccin de Objetivos de Control, agrandando y haciendoms visible el dominio bajo revisin.
La clave para el criterio de informacin ser proporciona-do la esquina superior izquierda en la seccin de Objeti-vos de Control mediante la siguiente mini matriz, lacual identificar cul criterio y en qu grado (primario osecundario) es aplicable a cada Objetivo de Control de TIde alto nivel.
Una segunda mini matriz en la esquina inferior derecha enla seccin de Objetivos de Control identifica los recursos deTI que son administrados en forma especfica por el procesobajo consideracin - no aquellos que simplemente toman par-te en el proceso -. Por ejemplo, el proceso administracin deinformacin se concentra particularmente en la integridad yconfiabilidad de los recursos de datos, mientras que disponibi-lidad y confidencialidad son primariamente proporcionadaspor los procesos que administran los recursos que utilizan losdatos (Ej. Aplicaciones y tecnologa).
7/25/2019 02_AUDCobit 1998
20/120
16 Mejor prctia(best practice)
7/25/2019 02_AUDCobit 1998
21/120
Criterios de Informacin Recursos de TI
efectiv
idad
eficie
ncia
confid
encialid
ad
inte
grid
ad
disp
onibilid
ad
cumplim
ient
o
confiabilid
ad
recu
rsos
hum
anos
sistem
asdein
form
aci
n
tecn
ologa
instalacio
nes
dato
s
DOMINIO PROCESO
Planeacin y PO1 Definir un plan estratgico de sistemas P S
Organizacin PO2 Definir la arquitectura de inf ormacin P S S S
PO3 Determinar la direccin tecnolgica P S
PO4 Definir la organizacin y sus relaciones P S
PO5 Administrar las inversiones (en TI) P P S PO6 Comunicar la direccin y objetivos de la gerencia P S
PO7 Administrar los recursos humanos P P
PO8 Asegurar el apego a disposiciones externas P P S PO9 Evaluar riesgos S S P P P S S
P010 Administrar proyectos P P
PO11 Administrar calidad P P P S
Adquisicin e AI1 Identificar soluciones de automatizacin P S Implementacin AI2 Adquirir y mantener software de aplicacin P P S S S
AI3 Adquirir y mantener la arqu itectura tecnolgica P P S
AI4 Desarrollar y mantener procedimientos P P S S S
AI5 Instalar y acreditar sistemas de informacin P S S
AI6 Administrar cambios P P P P S
Entrega de servicios y DS1 Definir niveles de servicio P P S S S S S
Soporte DS2 Administrar servicios de terceros P P S S S S S DS3 Administrar desempeo y capacidad P P S
DS4 Asegurar continuidad de servicio P S P DS5 Garantizar la seguridad de sistemas P P S S S
DS6 Identificar y asignar costos P P
DS7 Educar y capacitar a usuarios P S
DS8 Apoyar y orientar a clientes P
DS9 Administrar la configuracin P S S
DS10 Administrar problemas e incidentes P P S
DS11 Administrar la informacin P P
DS12 Administrar las instalaciones P P
DS13 Administrar la operacin P P S S
Monitoreo M1 Monitorear el proceso P S S S S S S
M2 Evaluar lo adecuado del control interno P P S S S S S
M3 Obtener aseguramiento independiente P P S S S S S
M4 Proporcionar auditora independiente P P S S S S S
recu
rsos
sistem
asdeaplic
aci
n
tecn
ologia
instalacio
nes
dato
s
7/25/2019 02_AUDCobit 1998
22/120
PLANEACINYORGANIZACIN
1.0 Definicin de un Plan Estratgico de Tecnolo-ga de Informacin1.1 Tecnologa de Informacin como parte del
Plan de la Organizacin a corto y largoplazo
1.2 Plan a largo plazo de Tecnologa de Infor-macin
1.3 Plan a largo plazo de Tecnologa de Infor-
macin - Enfoque y Estructura1.4 Cambios al Plan a largo plazo de Tecnolo-ga de Informacin
1.5 Planeacin a corto plazo para la funcinde Servicios de Informacin
1.6 Evaluacin de sistemas existentes
2.0 Definicin de la Arquitectura de Informacin2.1 Modelo de la Arquitectura de Informacin2.2 Diccionario de Datos y Reglas de sinta de
datos de la corporacin2.3 Esquema de Clasificacin de Datos2.4 Niveles de Seguridad
3.0 Determinacin de la direccin tecnolgica3.1 Planeacin de la Infraestructura Tecnol-
gica3.2 Monitoreo de Tendencias y Regulaciones
Futuras3.3 Contingencias en la Infraestructura Tecno-
lgica3.4 Planes de Adquisicin de Hardware y
Software3.5 Estndares de Tecnologa
4.0 Definicin de la Organizacin y de las Rela-ciones de TI4.1 Comit de planeacin o direccin de la
funcin de servicios de informacin4.2 Ubicacin de los servicios de informacinen la organizacin
4.3 Revisin de Logros Organizacionales4.4 Funciones y Responsabilidades4.5 Responsabilidad del aseguramiento de ca-
lidad4.6 Responsabilidad de la seguridad lgica y
fsica
4.7 Propiedad y Custodia4.8 Propiedad de Datos y Sistemas4.9 Supervisin4.10 Segregacin de Funciones4.11 Asignacin de Personal para Tecnologa
de Informacin4.12 Descripcin de Puestos para el Personal de
la Funcin de TI4.13 Personal clave de TI4.14 Procedimientos para personal por contrato
4.15 Relaciones5.0 Manejo de la Inversin en Tecnologa de In-
formacin5.1 Presupuesto Operativo Anual para la Fun-
cin de Servicio de informacin5.2 Monitoreo de Costo - Beneficio5.3 Justificacin de Costo - Beneficio
6.0 Comunicacin de la direccin y aspiracionesde la gerencia6.1 Ambiente positivo de control de la infor-
macin6.2 Responsabilidad de la Gerencia en cuanto
a Polticas6.3 Comunicacin de las Polticas de la Orga-
nizacin6.4 Recursos para la implementacin de Pol-
ticas6.5 Mantenimiento de Polticas6.6 Cumplimiento de Polticas, Procedimien-
tos y Estndares6.7 Compromiso con la Calidad6.8 Poltica sobre el Marco de Referencia para
la Seguridad y el Control Interno6.9 Derechos de propiedad intelectual6.10 Polticas Especficas6.11 Comunicacin de Conciencia de Seguri-
dad en TI7.0 Administracin de Recursos Humanos
7.1 Reclutamiento y Promocin de Personal7.2 Personal Calificado7.3 Entrenamiento de Personal7.4 Entrenamiento Cruzado o Respaldo de
Personal
7/25/2019 02_AUDCobit 1998
23/120
7.5 Procedimientos de Acreditacin17de Per-sonal
7.6 Evaluacin de Desempeo de los Emplea-
dos7.7 Cambios de Puesto y Despidos
8.0 Aseguramiento del Cumplimiento de Requeri-mientos Externos8.1 Revisin de Requerimientos Externos8.2 Prcticas y Procedimientos para el Cum-
plimiento de Requerimientos Externos8.3 Cumplimiento de los Estndares de Segu-
ridad y Ergonoma8.4 Privacidad, Propiedad Intelectual y Flujo
de Datos8.5 Comercio Electrnico8.6 Cumplimiento con Contratos de Seguros
9.0 Evaluacin de Riesgos9.1 Evaluacin de Riesgos del Negocio9.2 Enfoque de Evaluacin de Riesgos9.3 Identificacin de Riesgos9.4 Medicin de Riesgos9.5 Plan de Accin contra Riesgos9.6 Aceptacin de Riesgos
10.0 Administracin de proyectos10.1 Marco de Referencia para la Administra-
cin de Proyectos10.2 Participacin del Departamento Usuario
en la Iniciacin de Proyectos
10.3 Miembros y Responsabilidades del Equipodel Proyecto
10.4 Definicin del Proyecto10.5 Aprobacin del Proyecto10.6 Aprobacin de las Fases del Proyecto10.7 Plan Maestro del Proyecto10.8 Plan de Aseguramiento de la Calidad de
Sistemas10.9 Planeacin de Mtodos de Aseguramiento10.10 Administracin Formal de Riesgos de Pro-
yectos10.11 Plan de Prueba10.12 Plan de Entrenamiento
10.13 Plan de Revisin Post Implementacin11.0 Administracin de Calidad
11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de Calidad
11.3 Planeacin del Aseguramiento de Cali-dad
11.4 Revisin de Aseguramiento de Calidadsobre el Cumplimiento de Estndares
y Procedimientos de la Funcin de Ser-vicios de Informacin
11.5 Metodologa del Ciclo de Vida de Desa-
rrollo de Sistemas11.6 Metodologa del Ciclo de Vida de Desa-rrollo de Sistemas para Cambios Mayo-res a la Tecnologa Actual
11.7 Actualizacin de la Metodologa del Ci-clo de Vida de Desarrollo de Sistemas
11.8 Coordinacin y Comunicacin11.9 Marco de Referencia de Adquisicin y
Mantenimiento para la Infraestructura deTecnologa
11.10 Relaciones con Terceras Partes comoImplementadores
11.11 Estndares para la Documentacin de
Programas11.12 Estndares para Pruebas de Programas11.13 Estndares para Pruebas de Sistemas11.14 Pruebas Piloto/En Paralelo11.15 Documentacin de las Pruebas del Siste-
ma11.16 Evaluacin del Aseguramiento de la Cali
dad sobre el Cumplimiento de Estndarde Desarrollo
11.17 Revisin del Aseguramiento de Calidadsobre el Logro de los Objetivos de laFuncin de Servicios de Informacin
11.18 Mtricas de Calidad11.19 Reportes de Revisiones de Aseguramien-
to de la Calidad
ADQUISICINEIMPLEMENTACIN
1.0 Identificacin de Soluciones
1.1 Definicin de Requerimientos de Infor-macin
1.2 Formulacin de Acciones Alternativas1.3 Formulacin de Estrategias de Adquisi-
cin.1.4 Requerimientos de Servicios de Terceros1.5 Estudio de Factibilidad Tecnolgica
1.6 Estudio de Factibilidad Econmica1.7 Arquitectura de Informacin1.8 Reporte de Anlisis de Riesgos1.9 Controles de Seguridad Econmicos1.10 Diseo de Pistas de Auditora1.11 Ergonoma1.12 Seleccin de Software de Sistema
17 Acreditacin(clearance)
7/25/2019 02_AUDCobit 1998
24/120
1.13 Control de Abastecimiento
1.14 Adquisicin de Productos de Software1.15 Mantenimiento de Software de Terceras
Partes1.16 Contratos de Programacin de Aplicacio-nes
1.17 Aceptacin de Instalaciones1.18 Aceptacin de Tecnologa
2.0 Adquisicin y Mantenimiento de Software deAplicacin2.1 Mtodos de Diseo2.2 Cambios Significativos a Sistemas Actua-
les2.3 Aprobacin del Diseo2.4 Definicin y Documentacin de Requeri-
mientos de Archivos
2.5 Especificaciones de Programas2.6 Diseo para la Recopilacin de Datos
Fuente2.7 Definicin y Documentacin de Requeri-
mientos de Entrada de Datos2.8 Definicin de Interfases2.9 Interfases Usuario-Mquina2.10 Definicin y Documentacin de Requeri-
mientos de Procesamiento2.11 Definicin y Documentacin de Requeri-
mientos de Salida de Datos2.12 Controlabilidad2.13 Disponibilidad como Factor Clave de Di-
seo2.14 Estipulacin de Integridad de TI en pro-gramas de software de aplicaciones
2.15 Pruebas de Software de Aplicacin2.16 Materiales de Consulta y Soporte para
Usuario2.17 Reevaluacin del Diseo del Sistema
3.0 Adquisicin y Mantenimiento de Arquitecturade Tecnologa3.1 Evaluacin de Nuevo Hardware y
Software3.2 Mantenimiento Preventivo para Hardware3.3 Seguridad del Software del Sistema
3.4 Instalacin del Software del Sistema3.5 Mantenimiento del Software del Sistema3.6 Controles para Cambios del Sofware del
Sistema
4.0 Desarrollo y Mantenimiento de Procedimien-tos relacionados con Tecnologa de Informa-cin4.1 Futuros Requerimientos y Niveles de Ser-
vicios Operacionales
4.2 Manual de Procedimientos para Usuario
4.3 Manual de Operacin
4.4 Material de Entrenamiento5.0 Instalacin y Acreditacin de Sistemas
5.1 Entrenamiento
5.2 Adecuacin del Desempeo del Softwarede Aplicacin
5.3 Conversin5.4 Pruebas de Cambios5.5 Criterios y Desempeo de Pruebas en Para-
lelo/Piloto5.6 Prueba de Aceptacin Final5.7 Pruebas y Acreditacin de Seguridad5.8 Prueba Operacional5.9 Promocin a Produccin
5.10 Evaluacin de la Satisfaccin de losRequerimientos del Usuario
5.11 Revisin Gerencial Post - Implementacin
6.0 Administracin de Cambios6.1 Inicio y Control de Requisiciones de Cam-
bio
6.2 Evaluacin del Impacto6.3 Control de Cambios6.4 Documentacin y Procedimientos6.5 Mantenimiento Autorizado6.6 Poltica de Liberacin de Software6.7 Distribucin de Software
ENTREGADESERVICIOSYSOPORTE
1.0 Definicin de Niveles de Servicio1.1 Marco de Referencia para el Convenio de
Nivel de Servicio
1.2 Aspectos sobre los Acuerdos de Nivel de
Servicio
1.3 Procedimientos de Ejecucin1.4 Monitoreo y Reporte1.5 Revisin de Convenios y Contratos de Ni-
vel de Servicio1.6 Elementos sujetos a Cargo1.7 Programa de Mejoramiento del Servicio
2.0 Administracin de Servicios prestados porTerceros2.1 Interfases con Proveedores
2.2 Relaciones de Dueos2.3 Contratos con Terceros2.4 Calificaciones de terceros2.5 Contratos con Outsourcing2.6 Continuidad de Servicios
7/25/2019 02_AUDCobit 1998
25/120
2.7 Relaciones de Seguridad
2.8 Monitoreo
3.0 Administracin de Desempeo y Capacidad3.1 Requerimientos de Disponibilidad y Des-
empeo3.2 Plan de Disponibilidad3.3 Monitoreo y Reporte3.4 Herramientas de Modelado3.5 Manejo de Desempeo Proactivo3.6 Pronstico de Carga de Trabajo3.7 Administracin de Capacidad de Recur-
sos3.8 Disponibilidad de Recursos3.9 Calendarizacin de recursos
4.0 Aseguramiento de Servicio Continuo
4.1 Marco de Referencia de Continuidad deTecnologa de Informacin4.2 Estrategia y Filosofa de Continuidad de
Tecnologa de Informacin4.3 Contenido del Plan de Continuidad de
Tecnologa de Informacin4.4 Minimizacin de requerimientos de Conti-
nuidad de Tecnologa de Informacin4.5 Mantenimiento del Plan de Continuidad
de Tecnologa de Informacin4.6 Pruebas del Plan de Continuidad de Tec-
nologa de Informacin4.7 Capacitacin sobre el Plan de Continuidad
de Tecnologa de Informacin4.8 Distribucin del Plan de Continuidad de
Tecnologa de Informacin4.9 Procedimientos de Respaldo de Procesa-
miento para Departamentos Usuarios4.10 Recursos crticos de Tecnologa de Infor-
macin4.11 Centro de Cmputo y Hardware de respal-
do4.12 Procedimientos de Refinamiento del Plan
de Continuidad de TI18
5.0 Garantizar la Seguridad de Sistemas5.1 Administrar Medidas de Seguridad
5.2 Identificacin, Autenticacin y Acceso5.3 Seguridad de Acceso a Datos en Lnea5.4 Administracin de Cuentas de Usuario5.5 Revisin Gerencial de Cuentas de Usuario5.6 Control de Usuarios sobre Cuentas de
Usuario5.7 Vigilancia de Seguridad5.8 Clasificacin de Datos5.9 Administracin Centralizada de Identifica-
cin y Derechos de Acceso5.10 Reportes de Violacin y de Actividades de
Seguridad
5.11 Manejo de Incidentes5.12 Re-acreditacin5.13 Confianza en Contrapartes5.14 Autorizacin de Transacciones5.15 No Rechazo5.16 Sendero Seguro5.17 Proteccin de funciones de seguridad5.18 Administracin de Llave Criptogrfica5.19 Prevencin, Deteccin y Correccin de
Software Malicioso5.20 Arquitecturas de FireWallsy conexin a
redes pblicas5.21 Proteccin de Valores Electrnicos
6.0 Identificacin y Asignacin de Costos6.1 Elementos Sujetos a Cargo
6.2 Procedimientos de Costeo
6.3 Procedimientos de Cargo y Facturacin aUsuarios
7.0 Educacin y Entrenamiento de Usuarios7.1 Identificacin de Necesidades de Entrena-
miento7.2 Organizacin de Entrenamiento7.3 Entrenamiento sobre Principios y Con-
ciencia de Seguridad
8.0 Apoyo y Asistencia a los Clientes de Tecnolo-
ga de Informacin8.1 Bur de Ayuda8.2 Registro de Preguntas del Usuario8.3 Escalamiento de Preguntas del Cliente8.4 Monitoreo de Atencin a Clientes8.5 Anlisis y Reporte de Tendencias
9.0 Administracin de la Configuracin9.1 Registro de la Configuracin9.2 Base de la Configuracin9.3 Registro de Estatus9.4 Control de la Configuracin9.5 Software no Autorizado9.6 Almacenamiento de Software
7/25/2019 02_AUDCobit 1998
26/120
10.0 Administracin de Problemas e Incidentes10.1 Sistema de Administracin de Problemas10.2 Escalamiento de Problemas
10.3 Seguimiento de Problemas y Pistas de Au-ditora
11.0 Administracin de Datos11.1 Procedimientos de Preparacin de Datos11.2 Procedimientos de Autorizacin de Docu-
mentos Fuente11.3 Recopilacin de Datos de Documentos
Fuente11.4 Manejo de Errores de Documentos Fuente11.5 Retencin de Documentos Fuente11.6 Procedimientos de Autorizacin de Entra-
da de Datos11.7 Chequeos de Exactitud, Suficiencia y Au-
torizacin11.8 Manejo de Errores en la Entrada de Datos11.9 Integridad de Procesamiento de Datos11.10 Validacin y Edicin de Procesamiento de
Datos11.11 Manejo de Error en el Procesamiento de
Datos11.12 Manejo y Retencin de Salida de Datos11.13 Distribucin de Salida de Datos11.14 Balanceo y Conciliacin de Datos de Sali-
da11.15 Revisin de Salida de Datos y Manejo de
Errores
11.16 Provisiones de Seguridad para Reportesde Salida11.17 Proteccin de Informacin Sensible du-
rante transmisin y transporte11.18 Proteccin de Informacin Crtica a ser
Desechada11.19 Administracin de Almacenamiento11.20 Perodos de Retencin y Trminos de Al-
macenamiento11.21 Sistema de Administracin de la Librera
de Medios11.22 Responsabilidades de la Administracin
de la Librera de Medios
11.23 Respaldo y Restauracin11.24 Funciones de Respaldo11.25 Almacenamiento de Respaldo11.26 Archivo11.27 Proteccin de Mensajes Sensitivos11.28 Autenticacin e Integridad11.29 Integridad de Transacciones Electrnicas11.30 Integridad Continua de Datos Almacena-
dos
12.0 Administracin de Instalaciones12.1 Seguridad Fsica12.2 Discrecin de las Instalaciones de Tecno-
loga de Informacin12.3 Escolta de Visitantes12.4 Salud y Seguridad del Personal12.5 Proteccin contra Factores Ambientales12.6 Suministro Ininterrumpido de Energa
13.0 Administracin de Operaciones13.1 Manual de procedimientos de Operacin e
Instrucciones13.2 Documentacin del Proceso de Inicio y de
Otras Operaciones13.3 Calendarizacin de Trabajos13.4 Salidas de la Calendarizacin de Trabajos
Estndar
13.5 Continuidad de Procesamiento13.6 Bitcoras de Operacin13.7 Operaciones Remotas
MONITOREO
1.0 Monitoreo del Proceso1.1 Recoleccin de Datos de Monitoreo1.2 Evaluacin de Desempeo1.3 Evaluacin de la Satisfaccin de Clientes1.4 Reportes Gerenciales
2.0 Evaluar lo adecuado del Control Interno
2.1 Monitoreo de Control Interno2.2 Operacin oportuna del Control Interno2.3 Reporte sobre el Nivel de Control Interno2.4 Seguridad de operacin y aseguramiento de
Control Interno
3.0 Obtencin de Aseguramiento Independiente3.1 Certificacin / Acreditacin Independiente
de Control y Seguridad de los servicios deTI
3.2 Certificacin / Acreditacin Independientede Control y Seguridad de proveedores ex-ternos de servicios
3.3 Evaluacin Independiente de la Efectividadde los Servicios de TI
3.4 Evaluacin Independiente de la Efectividadde proveedores externos de servicios
3.5 Aseguramiento Independiente del Cumpli-miento de leyes y requerimientos regulato-rios y compromisos contractuales
3.6 Aseguramiento Independiente del Cumpli-miento de leyes y requerimientos regulato-
7/25/2019 02_AUDCobit 1998
27/120
rios y compromisos contractuales de pro-
veedores externos de servicios
3.7 Competencia de la Funcin de Asegura-
miento Independiente3.8 Participacin Proactiva de Auditora
4.0 Proveer Auditora Independiente4.1 Estatutos de Auditora4.2 Independencia4.3 Etica y Estndares Profesionales4.4 Competencia4.5 Planeacin4.6 Desempeo del Trabajo de Auditora4.7 Reporte4.8 Actividades de Seguimiento
7/25/2019 02_AUDCobit 1998
28/120
En las pginas siguientes se individualizan objetivos de
control detallados para cada uno de los 34 procesos dentro
de una funcin de Tecnologa de Informacin.
En la pgina de la izquierda se encuentra el Objetivo de
Control de alto nivel duplicado delMarco de Referenciapara asegurar consistencia en todos los productos COBIT
y para facilitar el entendimiento.
El indicador de Dominio (PO para Planeacin y Orga-
nizacin, AI para Adquisicin e Implementacin, DS
para Entrega y Soporte y M para Monitoreo) se muestra
en la esquina superior derecha. El proceso es entonces des-
crito. Tambin se muestran los indicadores de importancia
primaria y secundaria. Adicionalmente, se lista la informa-
cin descriptiva del Marco de Referencia. Y los recursos
de TI gastados son mostrados va un diagrama.
En la pgina de la derecha y en algunas ocasiones llevados
hasta las siguientes pginas, se encuentran los objetivos de
control detallados para cada proceso. Se muestra una des-
cripcin de dicho objetivo de control detallado. Para man-
tener el formato de lados izquierdo y derecho se requieren
algunas pginas en blanco.Se desarrollan objetivos de control detallados para cada
uno de los 34 procesos.
7/25/2019 02_AUDCobit 1998
29/120
OBJETIVOSDECONTROLDEALTONIVEL
PLANEACIONYORGANIZACION
PO1
Planeacin &Organizacin
Adquisicin &Implementacin
Entrega &Soporte
Monitoreo
gente
aplic
acio
nes
tecn
ologa
instalacio
nes
dato
s
SP
efectiv
idad
eficie
ncia
inte
grid
ad
disp
onibili
dad
cumplim
iento
confid
encialid
ad
confiabilid
ad
Control sobre el proceso de TI de:
Definicin de un plan Estratgico de Tecnologa de Informacin
que satisface los requerimientos de negocio de:
Lograr un balance ptimo entre las oportunidades de tecnologade informacin y los requerimientos de TI de negocio, as comopara asegurar sus logros futuros.
se hace posible a travs de:
un proceso de planeacin estratgica emprendido enintervalos regulares dando lugar a planes a largo plazo.Los planes a largo plazo debern ser traducidos peridi-camente en planes operacionales estableciendo metasclaras y concretas a corto plazo:
y toma en consideracin:
definicin de objetivos de negocio y nece-sidades de TI
inventario de soluciones tecnolgicas einfraestructura actual
servicios de vigilancia tecnolgica21 cambios organizacionales estudios de factibilidad oportunos evaluacin de sistemas existentes
21 Vigilancia tecnolgica(technology watch)
7/25/2019 02_AUDCobit 1998
30/120
1. DEFINICINDEUNPLANESTRATGICODETECNO-
LOGADEINFORMACIN
1.1 Tecnologa de Informacin como parte del Plan de laOrganizacin a corto y largo plazo.
OBJETIVODECONTROL
La alta gerencia ser la responsable de desarrollar e im-plementar planes a largo y corto plazo que satisfagan lamisin y las metas de la organizacin. A este respecto,la alta gerencia deber asegurar que los problemas detecnologa de informacin, as como las oportunidades,sean evaluados adecuadamente y reflejados en los pla-nes a largo y corto plazo de la organizacin.
1.2 Plan a largo plazo de Tecnologa de Informacin
OBJETIVODECONTROL
La Gerencia de la funcin de servicios de informacinser responsable de desarrollar regularmente planes alargo plazo de tecnologa de informacin que apoyen ellogro de la misin y las metas generales de la organiza-cin.
De la misma manera, la Gerencia deber implementarun proceso de planeacin a largo plazo, adoptar un en-foque estructurado y determinar la estructura para elplan.
1.3 Plan a largo plazo de Tecnologa de Informacin -Enfoque y Estructura
OBJETIVODECONTROL
La Gerencia de la funcin de servicios de informacindeber establecer y aplicar un enfoque estructurado alproceso de planeacin a largo plazo. Esto deber traercomo resultado un plan de alta calidad que cubra laspreguntas bsicas de qu, quin y cundo. Los aspectosque necesitan ser tomados en cuenta y ser cubiertos ade-cuadamente durante el proceso de planeacin son elmodelo de organizacin y sus cambios, la distribucingeogrfica, la evolucin tecnolgica, los costos, los re-querimientos legales y regulatorios, requerimientos deterceras partes o del mercado, el horizonte de planea-cin, reingeniera de procesos del negocio, la asignacinde personal, la designacin de fuentes internas o exter-nas, etc. El plan mismo deber hacer referencia a otrosplanes tales como el plan de calidad de la organizacin yel plan de manejo de riesgos de informacin.
1.4 Cambios al Plan a largo plazo de Tecnologa de In-formacin
OBJETIVODECONTROL
La Gerencia de la funcin de servicios de informacindeber asegurar que se establezca un proceso para mo-dificar oportunamente y con precisin el plan a largoplazo de tecnologa de informacin con el fin de adaptarlos cambios al plan a largo plazo de la organizacin ylos cambios en las condiciones de la tecnologa de infor-macin.
1.5 Planeacin a corto plazo para la Funcin de Serviciosde Informacin
OBJETIVODECONTROL
La Gerencia de la funcin de servicios de informacindeber asegurar que el plan a largo plazo de tecnologade informacin sea traducido regularmente en planes acorto plazo de tecnologa de informacin. Estos planes acorto plazo debern asegurar que se asignen los recursosapropiados de la funcin de servicios de tecnologa deinformacin con una base consistente con el plan a largoplazo de tecnologa de informacin. Los planes a cortoplazo debern ser reevaluados y modificados peridica-mente segn se considere necesario respondiendo a lascondiciones de cambios en el negocio y en la tecnologade informacin. La realizacin oportuna de estudios defactibilidad deber asegurar que la ejecucin de los pla-nes a corto plazo sea iniciada adecuadamente.
1.6 Evaluacin de Sistemas Existentes
OBJETIVODECONTROL
En forma previa al desarrollo o modificacin del PlanEstratgico de TI, la Gerencia de servicios de informa-cin debe evaluar los sistemas existentes en trminosde: nivel de automatizacin de negocio, funcionalidad,estabilidad, complejidad, costo y fortalezas y debilida-des, con el propsito de determinar el nivel de soporteque reciben los requerimientos del negocio de los siste-mas existentes.
7/25/2019 02_AUDCobit 1998
31/120
OBJETIVOSDECONTROLDEALTONIVEL
PLANEACIONYORGANIZACION
PO2
S SSP
efectiv
idad
eficie
ncia
inte
grid
ad
disp
onibili
dad
cumplim
iento
confid
encialid
ad
22 Severidad (criticality)
Planeacin &Organizacin
Adquisicin &Implementacin
Entrega &Soporte
Monitoreo
gente
aplic
acio
nes
tecn
ologa
instalacio
nes
dato
s
confiabilid
ad
Control sobre el proceso de TI de:
Definicin de la Arquitectura de Informacin
que satisface los requerimientos de negocio de:
organizar de la mejor manera los sistemas de informacin
se hace posible a travs de:
la creacin y mantenimiento de un modelo de infor-macin de negocios y asegurando que se definan siste-
mas apropiados para optimizar la utilizacin de estainformacin
y toma en consideracin:
documentacin diccionario de datos reglas de sintaxis de datos propiedad de la informacin y clasificacin
de severidad22
7/25/2019 02_AUDCobit 1998
32/120
2 DEFINICINDELAARQUITECTURADEINFORMACIN
2.1 Modelo de la Arquitectura de InformacinOBJETIVODECONTROL
La informacin deber conservar consistenciacon las necesidades y deber ser identificada,capturada y comunicada en una forma y dentrode perodos de tiempo que permitan a los respon-sables llevar a cabo sus tareas eficiente y oportu-namente. Asimismo, la funcin de sistemas deinformacin deber crear y actualizar regular-mente un modelo de arquitectura de informacin,abarcando el modelo de datos corporativo y lossistemas de informacin asociados. El modelo
de arquitectura de informacin deber conservarconsistencia con el plan a largo plazo de tecnolo-ga de informacin.
2.2 Diccionario de Datos y Reglas de Sintaxis deDatos de la Corporacin
OBJETIVODECONTROL
La funcin de servicios de informacin deberasegurar la creacin y la continua actualizacinde un diccionario de datos corporativo que incor-pore las reglas de sintaxis de datos de la organi-zacin.
2.3 Esquema de Clasificacin de Datos
OBJETIVODECONTROL
Deber establecerse un marco de referencia declasificacin general relativo a la ubicacin dedatos en clases de informacin (por ejemplo, ca-tegoras de seguridad), as como a la asignacinde propiedad. Las reglas de acceso para las cla-ses debern definirse apropiadamente.
2.4 Niveles de Seguridad
OBJETIVODECONTROL
La Gerencia deber definir, implementar y man-
tener niveles de seguridad para cada una de lasclasificaciones de datos identificadas con un ni-vel superior al de "no requiere proteccin". Es-tos niveles de seguridad debern representar elconjunto de medidas de seguridad y de controlapropiado (mnimo) para cada una de las clasifi-caciones.
7/25/2019 02_AUDCobit 1998
33/120
OBJETIVOSDECONTROLDEALTONIVEL
PLANEACIONYORGANIZACION
PO3
SP
efectiv
idad
eficie
ncia
inte
grid
ad
disp
onibili
dad
cumplim
iento
confid
encialid
ad
Planeacin &Organizacin
Adquisicin &Implementacin
Entrega &Soporte
Monitoreo
gente
aplic
acio
nes
tecn
ologa
instalacio
nes
dato
s
confiabilid
ad
Control sobre el proceso de TI de:
determinacin de la direccin tecnolgica
que satisface los requerimientos de negocio de:
aprovechar la tecnologa disponible o tecnologa emergente
se hace posible a travs de:
la creacin y mantenimiento de un plan de infraes-tructura tecnolgica
y toma en consideracin:
capacidad de adecuacin y evolucin de lainfraestructura actual
monitoreo de desarrollos tecnolgicos contingencias planes de adquisicin
7/25/2019 02_AUDCobit 1998
34/120
3 DETERMINACINDELADIRECCINTECNOLGICA
3.1 Planeacin de la Infraestructura TecnolgicaOBJETIVODECONTROL
La funcin de servicios de informacin debercrear y actualizar regularmente un plan de in-fraestructura tecnolgica que concuerde con losplanes a largo y corto plazo de tecnologa de in-formacin. Dicho plan deber abarcar aspectostales como arquitectura de sistemas, direccintecnolgica y estrategias de migracin.
3.2 Monitoreo de Tendencias y Regulaciones
Futuras
OBJ