Cobit

COBIT
GOVERNANCE, CONTROL and AUDIT for INFORMATION and RELATED TECHNOLOGY
Planificacin y Gestin de Sistemas de Informacin

TRABAJO DE TEORA
(Direccin: Francisco Ruiz Gonzlez)
Roberto Sobrinos Snchez Escuela Superior de Informtica de Ciudad Real Universidad de Castilla La Mancha 19 de Mayo de 1999
Escuela Superior de Informtica (UCLM)
1. ndice
0. PORTADA ......................................................................................................... Pgina 1 1. INDICE .............................................................................................................. Pgina 2 2. INTRODUCCIN............................................................................................... Pgina 3 3. AUDITORA....................................................................................................... Pgina 4 3.1. Auditora. Concepto. .............................................................................. Pgina 4 3.2. Clases de auditora................................................................................ Pgina 4 3.3. Funciones de control interno y auditora informtica.............................. Pgina 5 3.3.1. Control interno informtico ........................................................ Pgina 5 3.3.2. Auditora informtica.................................................................. Pgina 5 3.4. Sistemas de control interno informtico................................................. Pgina 7 3.4.1. Definicin y tipos de controles internos ..................................... Pgina 7 3.4.2. Implantacin de un sistema de controles internos ..................... Pgina 7 3.5. Metodologas de control interno, seguridad y auditora informtica ....... Pgina 11 3.5.1. Conceptos fundamentales ......................................................... Pgina 11 3.5.2. Metodologas de evaluacin de sistemas .................................. Pgina 14 3.5.3. Las metodologas de auditora informtica ................................ Pgina 18 3.5.4. Control interno informtico. Sus mtodos y procedimientos. Las herramientas de control ...................................................... Pgina 19 3.6. Aspectos finales .................................................................................... Pgina 21 3.7. Lecturas recomendadas ........................................................................ Pgina 21 4. THE COBIT FRAMEWORK............................................................................... Pgina 22 4.1. Funcin bsica y orientacin del COBIT................................................ Pgina 22 4.2. Historia y evolucin del COBIT .............................................................. Pgina 23 4.3. Desarrollo y componentes del COBIT.................................................... Pgina 24 4.4. El marco referencial del COBIT (COBIT Framework) ............................ Pgina 26 4.5. Los principios del marco referencial ...................................................... Pgina 29 4.6 Objetivos de control de marco referencial (The COBIT Framework) ...... Pgina 39 Dominio de Planificacin & Organizacin ............................................ Pgina 40 Dominio de Adquisicin & Implementacin.......................................... Pgina 48 Dominio de Entrega & Soporte ............................................................ Pgina 52 Dominio de Monitorizacin .................................................................. Pgina 61 4.7. Lecturas recomendadas ........................................................................ Pgina 64 5. VOCABULARIO................................................................................................. Pgina 65 6. BIBLIOGRAFA.................................................................................................. Pgina 66
The Cobit Framework
Roberto Sobrinos Snchez
2. Introduccin
Hoy en da, uno de los aspectos ms importantes (y crticos a la vez) para el xito y la supervivencia de cualquier organizacin, es la gestin efectiva de la informacin as como de las tecnologas relacionadas con ella (tecnologas de la informacin TI). En esta sociedad informatizada, donde la informacin viaja a travs del ciberespacio sin ninguna restriccin de tiempo, distancia y velocidad; esta importancia y criticacalidad surge de los siguientes aspectos: aumento de la dependencia de la informacin, as como de los sistemas que proporcionan dicha informacin; aumento de la vulnerabilidad, as como un amplio espectro de amenazas (como las amenazas del ciberespacio y la lucha por la informacin); escala y coste de las inversiones actuales y futuras en informacin y tecnologas de la informacin; potencial de las tecnologas para realizar cambios importantes en las organizaciones y en las prcticas de negocio, creando nuevas oportunidades y reduciendo costes. Para muchas organizaciones, la informacin y las tecnologas que las soportan representan su medio o recurso ms valioso (de hecho, muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede aportar). Adems, en los cada vez ms cambiantes y competitivos entornos de negocio que existen en la actualidad, la gestin ha aumentado las espectativas con respecto a las funciones de liberizacin de las tecnologas de la informacin. Verdaderamente, la informacin y los sistemas de informacin estn adentrndose a lo largo y ancho de las organizaciones (desde la plataforma del usuario hasta las redes de area local y ancha, los sistemas cliente/servidor y los grandes mainframes o supercomputadores). As, la gestin requiere de un aumento de la calidad, funcionalidad y facilidad de uso; disminuyendo a la vez los periodos de entrega; y mejorando continuamente los niveles de servicio (con la exigencia de que esto se lleve a cabo con costes ms bajos). Las organizaciones deben cumplir con los requerimientos de calidad, de informes fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La administracin deber obtener un balance adecuado en el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir con esta responsabilidad, as como para alcanzar sus expectativas, la administracin deber establecer un sistema adecuado de control interno. Por lo tanto, este sistema o marco referencial deber existir para proporcionar soporte a los procesos de negocio y debe ser preciso en la forma en la que cada actividad individual de control satisface los requerimientos de informacin y puede impactar a los recursos de TI. Este impacto en los recursos de TI es enfatizado en el Marco Referencial de COBIT conjuntamente a los requerimientos de informacin del negocio que deben ser alcanzados: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales, es responsabilidad de la administracin. De esta forma, la gestin de la informacin necesita tener una apreciacin y un entendimiento bsico de los riesgos y restricciones de las tecnologas de la informacin, en orden de proporcionar directrices efectivas as como los controles adecuados, es decir, la realizacin de un proceso de revisin y verificacin de la informacin y de las tecnologas que las soportan. Todo este procedimiento es lo que se conoce como Auditora que, al estar aplicada sobre el uso y manejo de la informacin y de sus tecnologas, ser una Auditora Informtica. The COBIT Framework es un conjunto de objetivos de control que ayudan (dando unas pautas de actuacin) en la realizacin de una Auditora Informtica. Antes de ver de qu trata y qu elementos contiene este COBIT Framework, veremos en profundidad que es exactamente una Auditora (Informtica en nuestro caso) y cuales son sus elementos y pasos de actuacin.
3
The Cobit Framework
3. Auditora
3.1. AUDITORA. CONCEPTO Conceptualmente la auditora, en general, es la actividad consistente en la emisin de una opinin profesional sobre si el objeto sometido a anlisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas. Podemos descomponer este concepto en los elementos fundamentales que a continuacin se especifican: Contenido: una opinin. Condicin: profesional. Justificacin: sustentada en determinados procedimientos. 1 Objeto: una determinada informacin obtenida en un cierto soporte. Finalidad: determinar si presenta adecuadamente la realidad o sta responde a las expectativas que le son atribuidas, es decir, su fiabilidad.
En todo caso es una funcin que se realiza a posteriori, en relacin con actividades ya realizadas, sobre las que hay que emitir una opinin. 3.2. CLASES DE AUDITORIA Los dos ltimos elementos (objeto y finalidad) distinguen de qu clase o tipo de auditora se trata. El objeto sometido a estudio, sea cual sea su soporte, por una parte, y la finalidad con que se realiza el estudio, definen el tipo de auditora de que se trata. Las ms importantes (a ttulo ilustrativo) son las siguientes: Financiera: el objeto de esta es revisar las cuentas anuales, y su finalidad es presentar la realidad de dichas cuentas. Informtica: es la auditora que nosotros estudiaremos con ms detenimiento. Su objeto es la revisin de sistemas de aplicacin, recursos informticos, planes de contingencia, etc. La finalidad es comprobar la operatividad (que esta sea eficiente), segn las normas establecidas. Gestin: su objeto es la direccin, y su finalidad es comprobar la eficacia, eficiencia y economicidad. Cumplimiento: el objeto es comprobar las normas establecidas. La finalidad es ver que las operaciones se adecuan a estas normas.
Procedimientos: La opinin profesional, elemento esencial de la auditora, se fundamenta y justifica por medio de unos procedimientos especficos tendentes a proporcionar una seguridad razonable de lo que se afirma. Como es natural, cada una de las clases o tipos de auditora posee sus propios procedimientos para alcanzar el fin previsto, an cuando puedan en muchos casos coincidir. El alcance de la auditora, concepto de vital importancia, nos viene dado por los procedimientos. La amplitud y profundidad de los procedimientos que se apliquen nos definen su alcance. 4
The Cobit Framework
3.3. FUNCIONES DE CONTROL INTERNO Y AUDITORA INFORMTICA 3.3.1. Control Interno Informtico El control interno informtico controla diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la Direccin de la Organizacin y/o la Direccin de Informtica, as como los requerimientos legales. La misin del control interno informtico es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas. El Control Interno Informtico suele ser un rgano staff2 de la Direccin del Departamento de Informtica y est dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. Como principales objetivos del Control Interno Informtico, podemos indicar los siguientes: Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de Auditora Informtica, as como de las auditoras externas al grupo. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informtico, lo cual no debe considerarse como que la implantacin de los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique exclusivamente en la funcin de Control Interno, sino que cada responsable de objetivos y recursos es responsable de esos niveles, as como de la implantacin de los medios de medida adecuados. 3.3.2. Auditora Informtica La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. De este modo la auditora informtica sustenta y confirma la consecucin de los objetivos tradicionales de la auditora, los cuales son: Objetivos de proteccin de activos e integridad de datos. Objetivos de gestin que abarcan, no solamente los de proteccin de activos sino tambin los de eficacia y eficiencia. El auditor evala y comprueba en determinados momentos del tiempo los controles y procedimientos informticos ms complejos, desarrollando y aplicando tcnicas mecanizadas de auditora, incluyendo el uso del software. En muchos casos, ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se deben emplear software de auditora y otras tcnicas asistidas por ordenador.
Staff: los puestos staff de una organizacin, son rganos de apoyo que surgen para diferenciar las actividades de la lnea (toma de decisiones), y tienen dos funciones: asesoramiento, sugerencia y orientacin para la planificacin de objetivos, polticas y procedimientos; y la realizacin de actividades de servicios para la lnea como el establecimiento de sistemas de contratacin del personal de lnea. 5
The Cobit Framework
El auditor es responsable de revisar e informar a la Direccin de la Organizacin sobre el diseo y el funcionamiento de los controles implantados y sobre la fiabilidad de la informacin suministrada. Se pueden establecer tres grupos de funciones a realizar por un auditor informtico: Participar en las revisiones durante y despus del diseo, realizacin, implantacin y explotacin de aplicaciones informticas, as como en las fases anlogas de realizacin de cambios importantes. Revisar y juzgar los controles implantados en los sistemas informticos para verificar su adecuacin a las rdenes e instrucciones de la Direccin, requisitos legales, proteccin de confidencialidad y cobertura ante errores y fraudes. Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos e informacin.
La Auditora Informtica y el Control Interno Informtico son campos anlogos. De hecho, muchos de los actuales responsables de control interno informtico recibieron formacin en seguridad informtica tras su paso por la formacin en auditora. Numerosos auditores se pasan al campo de control interno debido a la similitud de los objetivos profesionales de control y auditora. Pese a que ambas figuras tienen objetivos comunes, existen diferencias que conviene matizar. Veamos una tabla ilustrativa que muestra las similitudes y diferencias entre ambas disciplinas:
CONTROL INTERNO INFORMTICO SIMILITUDES
AUDITOR INFORMTICO
Personal interno. Conocimientos especializados en Tecnologa de la Informacin. Verificacin del cumplimiento de controles internos, normativa y procedimientos establecidos por la Direccin de Informtica y la Direccin General para los sistemas de informacin. Anlisis de los controles en el da a da. Informa a la Direccin del Departamento de Informtica. Slo personal interno. El alcance de sus funciones es nicamente sobre el Departamento de Informtica. Anlisis de un momento informtico determinado. Informa a la Direccin General de la Organizacin. Personal interno y/o externo. Tiene cobertura sobre todos los componentes de los sistemas de informacin de la Organizacin.
DIFERENCIAS
Tabla 1. Diferencias y similitudes del Control interno y la Auditora Informtica
The Cobit Framework

3.4. SISTEMAS DE CONTROL INTERNO INFORMTICO 3.4.1. Definicin y tipos de controles internos
Se puede definir el control interno como cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. Los controles cuando se diseen, desarrollen e implanten han de ser al menos completos, simples, fiables, revisables, adecuados y rentables. Respecto a esto ltimo ser preciso analizar el coste-riesgo de su implantacin. Los controles internos que se utilizan en el entorno informtico continan evolucionando hoy en da a medida que los sistemas informticos se vuelven complejos. Los progresos que se producen en la tecnologa de soportes fsicos y de software han modificado de manera significativa los procedimientos que se emplean tradicionalmente para controlar los procesos de aplicaciones y para gestionar los sistemas de informacin. Para asegurar la integridad, disponibilidad y eficacia de los sistemas, se requieren complejos mecanismos de control, la mayora de los cuales son automticos. Resulta interesante observar, sin embargo, que hasta en los sistemas cliente/servidor avanzados, aunque algunos controles son completamente automticos, otros son completamente manuales, y muchos dependen de una combinacin de elementos de software y de procedimientos. Histricamente, los objetivos de los controles informticos se han clasificado en las siguientes categoras: Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Controles detectivos: cuando fallan los preventivos, para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc. Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperacin de un fichero daado a partir de las copias de seguridad. 3.4.2. Implantacin de un sistema de controles internos informticos Los controles pueden implantarse a varios niveles diferentes. La evaluacin de los controles de la Tecnologa de la Informacin exige analizar diversos elementos independientes. Por ello es importante llegar a conocer bien la configuracin del sistema, con el objeto de identificar los elementos, productos y herramientas que existen para saber dnde pueden implantarse los controles, as como identificar posibles riesgos. Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red, as como los distintos niveles de control y elementos relacionados: Entorno de red: esquema de la red, descripcin de la configuracin hardware de comunicaciones, descripcin del software que se utiliza como acceso a las telecomunicaciones, control de red, situacin general de los ordenadores de entornos de base que soportan aplicaciones crticas y consideraciones relativas a la seguridad de la red.
The Cobit Framework
Configuracin del ordenador base: configuracin del soporte fsico, entorno del sistema operativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y conjunto de datos. Entorno de aplicaciones: procesos de transacciones, sistemas de gestin de bases de datos y entornos de procesos distribuidos. Productos y herramientas: software para desarrollo de programas, software de gestin de bibliotecas y para operaciones automticas. Seguridad del ordenador base: identificar y verificar usuarios, control de acceso, registro e informacin, integridad del sistema, controles de supervisin, etc. Para la implantacin de un sistema de controles internos informticos habr que definir las siguientes caractersticas: Gestin de sistemas de informacin: polticas, pautas y normas tcnicas que sirvan de base para el diseo y la implantacin de los sistemas de informacin y de los controles correspondientes. Administracin de sistemas: controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administracin de las redes. Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, como son la integridad del sistema, la confidencialidad (control de acceso) y la disponibilidad. Gestin del cambio: separacin de las pruebas y la produccin a nivel de software y controles de procedimientos, para la migracin de programas software aprobados y probados.
Figura 1. Control Interno y Auditora
The Cobit Framework
La implantacin de una poltica y cultura sobre la seguridad, requiere que sea realizada por fases y est respaldada por la Direccin. Cada funcin juega un papel importante en las distintas etapas que son, bsicamente, las siguientes: Direccin de Negocio o Direccin de Sistemas de Informacin (S.I.): han de definir la poltica y/o directrices para los sistemas de informacin en base a las exigencias del negocio, que podrn ser internas o externas. Direccin de Informtica: ha de definir las normas de funcionamiento del entorno informtico y de cada una de las funciones de informtica mediante la creacin y publicacin de procedimientos, estndares, metodologa y normas, aplicables a todas las reas de informtica, as como a los usuarios que establezcan el marco de funcionamiento. Control Interno Informtico: ha de definir los diferentes controles peridicos a realizar en cada una de las funciones informticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser diseados conforme a los objetivos de negocio y dentro del marco legal aplicable. Estos se plasmarn en los oportunos procedimientos de control interno y podrn ser preventivos o de deteccin. Realizar peridicamente la revisin de los controles establecidos de Control Interno Informtico, informando de las desviaciones a la Direccin de Informtica y sugiriendo cuantos cambios crea convenientes en los controles. Deber, adems, transmitir constantemente a toda la Organizacin de Informtica la cultura y polticas del riesgo informtico.
Figura 2. Control Interno Informtico
The Cobit Framework
Auditor interno/externo informtico: ha de revisar los diferentes controles internos definidos en cada una de las funciones informticas y el cumplimiento de la normativa interna y externa, de acuerdo al nivel de riesgo y conforme a los objetivos definidos por la Direccin de Negocio y la Direccin de Informtica. Informar tambin a la Alta Direccin, de los hechos observados y al detectarse deficiencias o ausencias de controles recomendarn acciones que minimicen los riesgos que pueden originarse. La creacin de un sistema de control informtico es una responsabilidad de la Gerencia y un punto destacable de la poltica en el entorno informtico. A continuacin, se indican algunos controles internos para los sistemas de informacin, agrupados por secciones funcionales, y que seran los que el Control Interno Informtico y la Auditora Informtica deberan verificar para determinar su cumplimiento y validez: Controles generales organizativos: engloba una serie de elementos, tales como: Polticas. Planificacin (plan estratgico de informacin, plan informtico, plan general de seguridad y plan de emergencia ante desastres). Estndares. Procedimientos. Organizar el departamento de informtica. Descripcin de las funciones y responsabilidades dentro del departamento. Polticas de personal. Asegurar que la direccin revisa todos los informes de control y resuelve las excepciones que ocurran. Asegurar que existe una poltica de clasificacin de la informacin. Designar oficialmente la figura del Control Interno Informtico y de la Auditora Informtica. Controles de desarrollo, adquisicin y mantenimiento de sistemas de informacin: se utilizan para que se puedan alcanzar la eficacia del sistema, economa y eficiencia, integridad de los datos, proteccin de los recursos y cumplimiento con las leyes y regulaciones. Se compone de: Metodologa del ciclo de vida del desarrollo de sistemas. Explotacin y mantenimiento. Controles de explotacin de sistemas de informacin: consta de: Planificacin y gestin de recursos. Controles para usar de manera efectiva los recursos en ordenadores. Procedimientos de seleccin del software del sistema, de instalacin, de mantenimiento, de seguridad y de control de cambios. Seguridad fsica y lgica.
10
The Cobit Framework
Controles en aplicaciones: cada aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin, y mantenimiento de los datos: Control de entrada de datos. Controles de tratamiento de datos. Controles de salida de datos. Controles especficos de ciertas tecnologas: Controles en Sistemas de Gestin de Bases de Datos. Controles en informtica distribuida y redes. Controles sobre ordenadores personales y redes de rea local.
3.5. METODOLOGAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORA INFORMTICA 3.5.1. Conceptos fundamentales En general, una metodologa es un conjunto de mtodos que se siguen en una investigacin cientfica o en una exposicin doctrinal, es decir, que cualquier proceso cientfico debe estar sujeto a una disciplina definida con anterioridad. En el campo de la informtica, el cual ha sido siempre una materia compleja en todos sus aspectos, se hace necesaria la utilizacin de metodologas debido, precisamente, a esa dificultad. Estas metodologas, se aplican en la totalidad de mbitos de esta materia, desde su diseo de ingeniera hasta el desarrollo del software, y como no, la auditora de los sistemas de informacin. La metodologa es necesaria para que un equipo de profesionales alcance un resultado homogneo tal como si lo hiciera uno slo. Por ello, resulta habitual el uso de metodologas en las empresas auditoras/consultoras profesionales (desarrolladas por los ms expertos) para conseguir resultados similares (homogneos) en equipos de trabajo diferentes (heterogneos). El uso de mtodos de auditora es casi paralelo al nacimiento de la informtica, en la que existen muchas disciplinas cuyo uso de las metodologas constituye una prctica habitual. Una de ellas es la seguridad de los sistemas de informacin, que si la definimos como la doctrina que trata de los riesgos informticos o creados por la informtica, entonces la auditora es una de las figuras involucradas en este proceso de proteccin y preservacin de la informacin y de sus medios de proceso. Por lo tanto, el nivel de seguridad informtica en una entidad es un objetivo a evaluar y est directamente relacionado con la calidad y eficacia de un conjunto de acciones y medidas, destinadas a proteger y preservar la informacin de dicha entidad y sus medios de proceso. Resumiendo, la informtica crea unos riesgos informticos de los que hay que proteger y preservar a la entidad con un entramado de contramedidas, y la calidad y la eficacia de las mismas es el objetivo a evaluar para poder identificar as sus puntos dbiles y mejorarlos. sta, es una de las funciones de los auditores informticos, por lo que debemos profundizar ms en este entramado de contramedidas para ver qu papel tienen las metodologas y los auditores en el mismo. Para explicar este aspecto, diremos que cualquier contramedida nace de la composicin de varios factores (expresados en la Figura 3). Todos los factores de la pirmide intervienen en la composicin de una contramedida:
11
The Cobit Framework
Figura 3. Factores de la Contramedida
Veamos ms detalladamente cada uno de los elementos que conforman la contramedida: La Normativa: debe definir de forma clara y precisa todo lo que debe existir y ser cumplido, tanto desde el punto de vista conceptual, como prctico, desde lo general a lo particular. Debe inspirarse en estndares, polticas, marco jurdico, polticas y normas de empresa, experiencia y prctica profesional. Desarrollando la normativa, debe alcanzarse el resto del grfico valor mostrado en la Figura 3. Se puede dar el caso en que una normativa y su carcter disciplinado sea el nico control de un riesgo ( aunque esto no sea frecuente). La Organizacin: la integran personas con funciones especficas y con actuaciones concretas, procedimientos definidos metodolgicamente y aprobados por la direccin de la empresa. ste es el aspecto ms importante, dado que sin l, nada es posible. Se pueden establecer controles sin alguno de los dems aspectos, pero nunca sin personas, ya que son stas las que realizarn los procedimientos y desarrollan los diversos planes (Plan de Seguridad, Plan de Contingencias, Auditoras, etc).
12
The Cobit Framework
Las Metodologas: son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz. Los Objetivos de Control: son los objetivos a cumplir en el control de procesos. Este concepto es el ms importante despus de la organizacin, y solamente de un planteamiento correcto de los mismos, saldrn unos procedimientos eficaces y realistas. Los Procedimientos de Control: son los procedimientos operativos de las distintas reas de la empresa, obtenidos con una metodologa apropiada, para la consecucin de uno o varios objetivos de control y, por lo tanto, deben estar documentados y aprobados por la Direccin. La tendencia habitual de los informticos es la de dar ms peso a la herramienta que al propio control o contramedida, pero no se debe olvidar que una herramienta nunca es solucin sino una ayuda para conseguir un control mejor. Sin la existencia de estos procedimientos, las herramientas de control son solamente una ancdota. La Tecnologa de Seguridad: dentro de este nivel, estn todos los elementos (hardware y software) que ayudan a controlar un riesgo informtico. En este concepto estn los cifradores, autentificadores, equipos denominados tolerantes al fallo, las herramientas de control, etc. Las Herramientas de Control: son elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control.
Todos estos factores estn relacionados entre s, as como la calidad de cada uno con la de los dems. Cuando se evalua el nivel de Seguridad de Sistemas en una institucin, se estn evaluando todos estos factores (mencionados antes), y se plantea un Plan de Seguridad nuevo que mejore dichos factores, aunque conforme vayamos realizando los distintos proyectos del plan, no irn mejorando todos por igual. Al finalizar el plan se habr conseguido una situacin nueva en la que el nivel de control sea superior al anterior.
Llamaremos Plan de Seguridad a una estrategia planificada de acciones y proyectos que lleven a un sistema de informacin y sus centros de proceso de una situacin inicial determinada (y a mejorar) a una situacin mejorada.
En la Figura 4 se expone la tendencia actual en la organizacin de la seguridad de sistemas en la empresa. Por una parte un comit que estara formado por el director de la estrategia y de las polticas; y por otra parte, el control interno y la auditora informtica. La funcin del control interno se ve involucrada en la realizacin de los procedimientos de control, y es una labor del da a da. La funcin de la auditora informtica est centrada en la evaluacin de los distintos aspectos que designe su Plan Auditor, con unas caractersticas de trabajo que son las visitas concretas al centro, con objetivos concretos y, tras terminar su trabajo, la presentacin del informe de resultados.
13
The Cobit Framework
Figura 4. Organizacin interna de la Seguridad Informtica
Queda pues por decir, que ambas funciones deben ser independientes de la informtica, dado que por la disciplina laboral, la labor de las dos funciones quedara mediatizada y comprometida. Esto es lo que se llama segregacin de funciones entre stas y la informtica.
3.5.2.Metodologas de evaluacin de sistemas En el mundo de la seguridad de sistemas, se utilizan todas las metodologas necesarias para realizar un plan de seguridad adems de las de auditora informtica. Las dos metodologas de evaluacin de sistemas por antonomasia son las de Anlisis de Riesgos y las de Auditora Informtica, con dos enfoques distintos. La auditora informtica slo identifica el nivel de exposicin por la falta de controles, mientras que el anlisis de riesgos facilita la evaluacin de los riesgos y recomienda acciones en base al coste-beneficio de las mismas. Veamos una serie de definiciones para profundizar en estas metodologas: Amenaza: todo aquello que se ve como posible fuente de peligro o catstrofe (ya sea persona o cosa, tal como robo de datos, incendios, sabotaje, falta de procedimientos de emergencia, divulgacin de datos, aplicaciones mal diseadas, gastos incontrolados, etc).
14
The Cobit Framework
Vulnerabilidad: Situacin creada, por la falta de uno o varios controles, con la que la amenaza pudiera acaecer y as afectar al entorno informtico (como por ejemplo, la falta de control de acceso lgico, la falta de control de versiones, la inexistencia de un control de soportes magnticos, etc). Riesgo: probabilidad de que una amenaza llegue acaecer por una vulnerabilidad (como, por ejemplo, los datos estadsticos de cada evento de una base de datos de incidentes). Exposicin o impacto: es la evaluacin del efecto del riesgo (por ejemplo, es frecuente evaluar el impacto en trminos econmicos, aunque no siempre lo es, como vidas humanas, imagen de la empresa, honor, defensa nacional, etc). Todos los riesgos que se presentan podemos: Evitarlos (no construir un centro donde hay peligro constante de inundaciones). Transferirlos (uso de un centro de clculo contratado). Reducirlos (sistema de deteccin y extincin de incendios). Asumirlos, que es lo que se hace si no se controla el riesgo en absoluto. Para los tres primeros, se acta si se establecen controles o contramedidas. Todas las metodologas existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la probabilidad de que las amenazas se materialicen en hechos (por falta de control) sea lo mas baja posible o, al menos, que quede reducida de una forma razonable en costo-beneficio. Todas las metodologas existentes desarrolladas y utilizadas en la auditora y el control informticos, se pueden agrupar en dos grandes familias: Cuantitativas: basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo. Cualitativas: basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a la experiencia acumulada.
Metodologas Cuantitativas Estan diseadas para producir una lista de riesgos que pueden compararse entre s con facilidad por tener asignados unos valores numricos. Estos valores en el caso de metodologas de anlisis de riesgos o de planes de contingencias son datos de probabilidad de ocurrencia (riesgo) de un evento que se debe extraer de un registro de incidencias donde el nmero de ellas sea suficientemente grande. Esto no pasa en la prctica, y se aproxima ese valor de forma subjetiva restando, as, rigor cientfico al clculo (pero dado que el clculo se hace para ayudar a elegir el mtodo entre varias contramedidas podramos aceptarlo. En general, podemos observar con claridad dos grandes inconvenientes que presentan estas metodologas. Por una parte, la debilidad de los datos de la probabilidad de ocurrencia por los pocos registros y la poca significacin de los mismos a nivel mundial; y por otro, la imposibilidad o difilcutad de evaluar econmicamente todos los impactos que pueden acaecer frente a la ventaja de poder usar un modelo matemtico para el anlisis.
15
The Cobit Framework

Metodologas Cualitativas Subjetivas
Estn basadas en mtodos estadsticos y lgica difusa (humana, no matemtica FUZZY LOGIC). Precisan de la colaboracin de un profesional experimentado, pero requieren menos recursos humanos/tiempo que las metodologas cuantitativas. La tendencia de uso en la realidad, es la mezcla de ambas. En la Tabla 2 se muestra el cuadro comparativo de ambas metodologas:
Cuantitativa
Cualitativa Subjetiva
P R O S
Enfoca pensamientos mediante el uso Enfoque lo amplio que se desee. de nmeros. Plan de trabajo flexible y reactivo. Facilita la comparacin de vulnerabilidades muy distintas. Se concentra en la identificacin de eventos. Proporciona una cifra justificante para cada contramedida. Incluye factores intangibles.
C O N T R A S
Estimacin de probabilidad depende de Depende fuertemente de la habilidad y estadsticas fiables inexistentes. calidad del personal involucrado. Estimacin de las prdidas potenciales Puede excluir slo si son valores cuantificables. desconocidos. Metodologas estndares. Difciles de mantener o modificar. Dependencia de un profesional. riesgos significantes
Identificador de eventos reales ms claros al no tener que aplicarles probabilidades complejas de calcular. Dependencia de un profesional.
Tabla 2. Comparacin entre metodologas cuantitativas y cualitativas
Las metodologas usadas ms comunmente son las siguientes: Metodologas de Anlisis de Riesgos Estn desarrolladas para la identificacin de la falta de controles y el establecimiento de un plan de contramedidas. En base a unos cuestionarios, se identifican vulnerabilidades y riesgos, y se evala el impacto para ms tarde identificar las contramedidas y el coste. La siguiente etapa es la ms importante, pues mediante un juego de simulacin (que llamaremos Que pasa s?...) analizamos el efecto de las distintas contramedidas en la disminucin de los riesgos analizados, eligiendo de esta manera un plan de contramedidas (plan de seguridad) que compondr el informe final de la evaluacin. El esquema bsico de una metodologa de anlisis de riesgos es, en esencia, el representado en la Figura 5.
16
The Cobit Framework
Figura 5. Esquema bsico de una metodologa de anlisis de riesgos
Plan de Contingencias El auditor debe conocer perfectamente los conceptos de un plan de contingencias para poder auditarlo. El plan de contingencias y de recuperacin de negocio es lo mismo, pero no as el plan de restauracin interno. Tambin se manejan a veces los conceptos de plan de contigencias informtico y plan de contingencias corporativo, cuyos conceptos son slo de alcance. El corporativo cubre no slo la informtica, sino todos los departamentos de una entidad, y puede incluir tambin el informtico como un departamento ms. Frecuentemente, se realiza el informtico. El plan de contingencias es una estrategia planificada constituida por un conjunto de recursos de respaldo, una organizacin de emergencia y unos procedimientos de actuacin, encaminada a conseguir una restauracin progresiva y gil de los servicios de negocio afectados por una paralizacin total o parcial de la capacidad operativa de la empresa. Esa estrategia, materializada en un manual, es el resultado de todo un proceso de anlisis y definiciones que es lo que d lugar a las metodologas. Es muy importante tener en cuenta que el concepto a considerar es la continuidad en el negocio; es decir, estudiar todo lo que puede paralizar la actividad y producir prdidas. Todo lo que no considere este criterio no ser nunca un plan de contingencias. Veamos cuales son las fases de un plan: Anlisis y Diseo: se estudia la problemtica, las necesidades de recursos, las alternativas de respaldo, y se analiza el coste/beneficio de las mismas. sta es la fase ms importante, pudiendo llegarse al final de la misma incluso a la conclusin de que no es viable o es muy costoso su seguimiento. Desarrollo del Plan: esta fase y la siguiente son similares en todas las metodologas. En ella se desarrolla la estrategia seleccionada, implantndose hasta el final todas las acciones previstas. Se definen las distintas organizaciones de emergencia y se desarrollan los procedimientos de actuacin generando, as, la documentacin del plan. Es en esta fase cuando se analiza la vuelta a la normalidad, dado que pasar de la situacin normal a la alternativa debe concluirse con la reconstruccin de la situacin inicial antes de la contingencia, y esto es lo que no todas las metodologas incluyen.
17
The Cobit Framework
Pruebas y Mantenimiento: en esta fase se definen las pruebas, sus caractersticas y sus ciclos, y se realiza la primera prueba como comprobacin de todo el trabajo realizado, as como mentalizar al personal implicado. Herramientas: en este caso, como en todas las metodologas, la herramienta es una ancdota, y lo importante es tener y usar la metodologa apropiada para desarrollar ms tarde la herramienta que se necesite. Toda herramienta debera tener, al menos, los siguientes componentes: base de datos relacional, mdulo de entrada de datos, mdulo de consultas, procesador de textos, generador de informes, ayudas on-line, hoja de clculo, gestor de proyectos y generador de grficos. 3.5.3. Las metodologas de auditora informtica Las nicas metodologas que podemos encontrar en la auditora informtica son dos familias distintas: las auditoras de Controles Generales como producto estndar de las auditorias profesionales, que son una homologacin de las mismas a nivel internacional, y las Metodologas de los auditores internos. El objetivo de las auditoras de controles generales es dar una opinin sobre la fiabilidad de los datos del ordenador para la auditora financiera. El resultado externo es un escueto informe como parte del informe de auditora, donde se destacan las vulnerabilidades encontradas. Estn basadas en pequeos cuestinarios estndares que dan como resultado informes muy generalistas. Veamos brebemente cuales son las partes bsicas de un plan auditor informtico: Funciones. Ubicacin de la figura en el organigrama de la empresa Procedimientos para las distintas tareas de las auditoras. Entre ellos estn el procedimiento de apertura, el de entrega y discusin de debilidades, entrega de informe preliminar, cierre de auditora, redaccin de informe final, etc. Tipos de auditoras que realiza. Metodologas y cuestionarios de las mismas. Existen dos tipos de auditora segn su alcance: la Completa (Full) de un rea y la Accin de Inspeccin Correctiva (Corrective Action Review o CAR) que es la comprobacin de acciones correctivas de auditoras anteriores. Sistema de evaluacin y los distintos aspectos que evala. Deben definirse varios aspectos a evaluar como el nivel de gestin econmica, gestin de recursos humanos, cumplimiento de normas, etc, as como realizar una evaluacin global de resumen para toda la auditora. Esta evaluacin final nos servir para definir la fecha de repeticin de la misma auditora en el futuro, segn el nivel de exposicin que se le haya dado a este tipo de auditora en cuestin. Nivel de exposicin. Es un valor definido subjetivamente que permite definir la fecha de la repeticin de la misma auditora, en base a la evaluacin final de la ltima auditora realizada sobre ese tema. Lista de distribucin de informes. Seguimiento de las acciones correctoras.
18
The Cobit Framework
Plan quinquenal. Todas las reas a auditar deben corresponderse con cuestionarios metodolgicos y deben repartirse en cuatro o cinco aos de trabajo. Esta planificacin, adems de las repeticiones y aadido de las auditoras no programadas que se estimen oportunas, deber componer anualmente el plan de trabajo (anual). Plan de trabajo anual. Deben estimarse tiempos de manera racional y componer un calendario que, una vez terminado, nos d un resultado de horas de trabajo previstas y, por tanto, de los recursos que se necesitarn.
Las metodologas de auditora informtica son del tipo cualitativo/subjetivo (podemos decir que son las subjetivas por excelencia). Por tanto, estn basadas en profesionales de gran nivel de experiencia y formacin, capaces de dictar recomendaciones tcnicas, operativas y jurdicas, que exigen una gran profesionalidad y formacin continuada. Solo as esta funcin se consolidar en las entidades, esto es, por el respeto profesional a los que ejercen la funcin.
3.5.4 Control Interno Informtico. Sus mtodos y procedimientos. Las herramientas de control. Hoy en da, la tendencia generalizada es contemplar, al lado de la figura del auditor informtico, la de control interno informtico. Tal es el caso de la organizacin internacional I.S.A.C.A. (Information Systems Audit and Control Association Asociacin para la auditora y control de los sistemas de informacin), creadora de la norma COBIT (tema de estudio de este informe) y que, con anterioridad, se llam The EDP Auditors Association INC., incluyendo en la actualidad las funciones de control informtico adems de las de auditora. Pese a su similitud, podramos decir que existen claras diferencias entre las funciones del control informtico y las de la auditora informtica: El rea informtica monta los procesos informticos seguros. El control interno monta los controles. La auditora informtica evala el grado de control. Las funciones bsicas del control interno informtico son las siguientes: Administracin de la seguridad lgica. Funciones de control dual con otros departamentos. Funcin normativa y del cumplimiento del marco jurdico. Responsable del desarrollo y actualizacin del Plan de Contingencias, Manuales de procedimientos, etc. Dictar normas de seguridad informtica. Definir los procedimientos de control. Control del Entorno de Desarrollo. Controles de soportes magnticos segn la clasificacin de la informacin. Controles de soportes fsicos. Control de informacin comprometida o sensible. Control de calidad del software. Control de calidad del servicio informtico. Control de costes.
19
The Cobit Framework

Responsable de los departamentos de recursos humanos y tcnico. Control y manejo de claves de cifrado. Vigilancia del cumplimiento de las normas y controles. Control de cambios y versiones. Control de paso de aplicaciones a explotacin. Control de medidas de seguridad fsica o corporativa en la informtica. Responsable de datos personales.
Todas estas funciones son un poco ambiciosas para desarrollarlas desde el instante inicial de la implantacin de esta figura, pero no debemos perder el objetivo de que el control informtico es el componente de la actuacin segura entre los usuarios, la informtica y el control interno, todos ellos auditados por la auditora informtica. Para obtener el entramado de contramedidas o controles compuesto por los factores que veamos en la Figura 3, debemos ir abordando proyectos usando distintas metodologas, tal como se observa en la Figura 6, que irn conformando y mejorando el nmero de controles.
Figura 6. Obtencin de los Controles
20
The Cobit Framework

Las Herramientas de Control
En la ltima fase de la pirmide (Figura 3), nos encontramos las herramientas de control. En la tecnologa de la seguridad informtica que se ve envuelta en los controles, existe tecnologa hardware (como los cifradores) y software. Las herramientas de control son elementos software que por sus caractersticas funcionales permiten vertebrar3 un control de una manera ms actual y ms automatizada. Como se vi antes, el control se define en todo un proceso metodolgico, y en un punto del mismo se analiza si existe una herramienta que automatice o mejore el control para ms tarde definirlo con la herramienta incluida, y al final documentar los procedimientos de las distintas reas involucradas para que estas los cumplan y sean auditados. Es decir, comprar una herramienta sin ms y ver qu podemos hacer con ella es un error profesional grave que no conduce a nada, comparable a trabajar sin mtodo e improvisando en cualquier disciplina informtica. Las herramientas de control (software) ms comunes son: Seguridad lgica del sistema. Seguridad lgica complementaria al sistema (desarrollado a medida). Seguridad lgica para entornos distribuidos. Control de acceso fsico. Control de presencia. Control de copias. Gestin de copias. Gestin de soportes magnticos. Gestin y control de impresin y envo de listados por red. Control de proyectos. Control y gestin de incidencias. Control de cambios. Todas estas herramientas estn inmersas en controles nacidos de unos objetivos de control y que regularn la actuacin de las distintas reas involucradas.
3.6. ASPECTOS FINALES Son muchas, pus, las metodologas que se pueden encontrar en el mundo de la auditora informtica y control interno. Como resumen, se podra decir que la metodologa es el fruto del nivel profesional de cada uno y de su visin de cmo conseguir un mejor resultado en el nivel de control de cada entidad, aunque el nivel de control resultante debe ser similar. Pero en realidad, todas ellas son herramientas de trabajo mejores o peores que ayudan a conseguir mejores resultados, ya que las nicas herramientas verdaderas de la auditora y el control informtico son la actitud y aptitud, junto con una postura vigilante y una formacin continuada.
3.7. LECTURAS RECOMENDADAS Piattini Velthuis, Mario G.; Del Peso Navarro, Emilio. 1998. RA-MA AUDITORA INFORMTICA. Un enfoque prctico. E-MAIL: rama@arrakis.es
Vertebrar: dar consistencia y estructura internas; dar organizacin y cohesin. 21
The Cobit Framework
4. The COBIT Framework
4.1. FUNCIN BSICA Y ORIENTACIN DEL COBIT. El COBIT, es una herramienta de gobierno de las Tecnologas de la Informacin que ha cambiado de igual forma que lo ha hecho el trabajo de los profesionales de TI. La ISACF, organizacin creadora de esta norma COBIT (Information Systems Audit and Control Foundation) as como sus patrocinadores, han diseado este producto principalmente como una fuente de instruccin para los profesionales dedicados a las actividades de control. La defnicin que nos ofrece el sumario ejecutivo del COBIT (Control OBjetives for Information and related Tecnology Gobierno, Control y Revisin de la Informacin y Tecnologas Relacionadas) es la siguiente: La misin del COBIT: buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de control de tecnologas de la informacin, generalmente aceptadas, para el uso diario por parte de gestores de negocio y auditores. Dicho de una forma menos formal, sealaremos que el COBIT ayuda a salvar las brechas existentes entre los riesgos de negocio, necesidades de control y aspectos tcnicos. Adems, proporciona "prcticas sanas" a travs de un Marco Referencial (Framework) de dominios y procesos, y presenta actividades en una estructura manejable y lgica. Las prcticas sanas del COBIT representan el consenso de los expertos (ayudarn a los profesionales a optimizar la inversin en informacin, pero an ms importante, representan aquello sobre lo que sern juzgados si las cosas salen mal). El tema principal que trata el COBIT es la orientacin a negocios. ste, est diseado no solo para ser utilizado por usuarios y auditores, sino que en forma ms importante, esta diseado para ser utilizado como una lista de verificacin detallada para los propietarios de los procesos de negocio. De forma creciente, las prcticas de negocio comprenden la completa autorizacin de los procesos propios de negocio, con lo que poseen una total responsabilidad para todos los aspectos de dichos procesos. La norma COBIT, proporciona una herramienta para los procesos propios de negocio que facilitan la descarga de esta responsabilidad. La norma parte con una simple y pragmtica premisa: En orden de proporcionar la informacin que la organizacin necesita para llevar a cabo sus objetivos, los requisitos de las tecnologas de la informacin necesitan ser gestionados por un conjunto de procesos agrupados de forma natural. La norma continua con un conjunto de 34 objetivos de control de alto nivel para cada uno de los procesos de las tecnologas de la informacin, agrupados en cuatro dominios: planificacin y organizacin, adquisicin e implementacin, soporte de entrega y monitorizacin. Esta estructura, abarca todos los aspectos de la informacin y de la tecnologa que la mantiene. Mediante la direccin de estos 34 objetivos de control de alto nivel, los procesos propios de negocio pueden garantizar la existencia de un sistema de control adecuado para los entornos de las tecnologas de la informacin. En suma, cada uno de los 34 objetivos de control de alto nivel correspondiente, es una directiva de revisin o seguridad para permitir la inspeccin de los procesos de las tecnologas de la informacin en contraste con los 302 objetivos de control detallados en el COBIT para el suministro de una gestin de seguridad, as como de un aviso para la mejora. La norma COBIT contiene un conjunto de herramientas de implementacin el cual aporta una serie de lecciones de aprendizaje, con las que las organizaciones podrn aplicar de forma rpida y satisfactoria esta norma a sus entornos de trabajo.
22
The Cobit Framework
En definitiva, el COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos tcnicos y riesgos de negocio. COBIT habilita el desarrollo de una poltica clara y de buenas prcticas de control de TI, a travs de organizaciones a nivel mundial. El objetivo del COBIT es proporcionar estos objetivos de control, dentro del marco referencial definido, y obtener la aprobacin y el apoyo de las entidades comerciales, gubernamentales y profesionales en todo el mundo. Por lo tanto, COBIT esta orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de riesgos asociados con las tecnologas de la informacin y con las tecnologas relacionadas.
4.2. HISTORIA Y EVOLUCIN DEL COBIT. El proyecto COBIT se emprendi por primera vez en el ao 1995, con el fin de crear un mayor producto global que pudiese tener un impacto duradero sobre el campo de visin de los negocios, as como sobre los controles de los sistemas de informacin implantados. La primera edicin del COBIT, fu publicada en 1996 y fue vendida en 98 paises de todo el mundo. La segunda edicin (tema de estudio en este informe) publicada en Abril de 1998, desarrolla y mejora lo que posea la anterior mediante la incorporacin de un mayor nmero de documentos de referencia fundamentales, nuevos y revisados (de forma detallada) objetivos de control de alto nivel, intensificando las lineas maestras de auditora, introduciendo un conjunto de herramientas de implementacin, as como un CD-ROM completamente organizado el cual contiene la totalidad de los contenidos de esta segunda edicin.
Evolucin del producto COBIT El COBIT evolucionar a travs de los aos y ser el fundamento de investigaciones futuras, por lo que se generar una familia de productos COBIT. Al ocurrir esto, las tareas y actividades que sirven como la estructura para organizar los Objetivos de Control de TI, sern refinadas posteriormente, siendo tambin revisado el balance entre los dominios y los procesos a la luz de los cambios en la industria. Una temprana adicin significativa visualizada para la familia de productos COBIT, es el desarrollo de las Guas de Gerencia que incluyen Factores Crticos de Exito, Indicadores Clave de Desempeo y Medidas Comparativas. Los Factores Crticos de xito, identificarn los aspectos o acciones ms importantes para la administracin y poder tomar, as, dichas aciones o considerar los aspectos para lograr control sobre sus procesos de TI. Los Indicadores Clave de Desempeo proporcionarn medidas de xito que permitirn a la gerencia conocer si un proceso de TI esta alcanzando los requerimientos de negocio. La Medidas Comparativas definirn niveles de madurez que pueden ser utilizadas por la gerencia para: determinar el nivel actual de madurez de la empresa; determinar el nivel de madurez que se desea lograr, como una funcin de sus riesgos y objetivos; y proporcionar una base de comparacin de sus prcticas de control de TI contra empresas similares o normas de la industria. Esta adicin, proporcionar herramientas a la gerencia para evaluar el ambiente de TI de su organizacin con respecto a los 34 Objetivos de Control de alto nivel de COBIT. En definitiva, la organizacin ISACF (creadora, como ya se ha comentado, de la norma) espera que el COBIT sea adoptado por las comunidades de auditora y negocio como un estndar generalmente aceptado para el control de las Tecnologas de la Informacin.
23
The Cobit Framework

4.3. DESARROLLO Y COMPONENTES DEL COBIT.
COBIT ha sido desarrollado como un estndar generalmente aplicable y aceptado para las buenas prcticas de seguridad y control en Tecnologa de Informacin. El COBIT es, pues, una herramienta innovadora para el gobierno de las Tecnologas de la Informacin. El COBIT se fundamenta en los Objetivos de Control existentes de la Information Systems Audit and Control Foundation (ISACF), mejorados a partir de estndares internacionales tcnicos, profesionales, regulativos y especficos para la industria, tanto los ya existentes como los que estn surgiendo en la actualidad. Los Objetivos de Control resultantes han sido desarrollados para su aplicacin en sistemas de informacin en toda la empresa. El trmino "generalmente aplicables y aceptados" es utilizado explcitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados (PCGA o GAAP por sus siglas en ingls). Para propsitos del proyecto, "buenas prcticas" significa consenso por parte de los expertos. Este estndar es relativamente pequeo en tamao, con el fin de ser prctico y responder, en la medida de lo posible, a las necesidades de negocio, manteniendo al mismo tiempo una independencia con respecto a las plataformas tcnicas de TI adoptadas en una organizacin. El proporcionar indicadores de desempeo (normas, reglas, etc.), ha sido identificado como prioridad para las mejoras futuras que se realizarn al marco referencial. El desarrollo de COBIT ha trado como resultado la publicacin del Marco Referencial general y de los Objetivos de Control detallados, y le seguirn actividades educativas. Estas actividades asegurarn el uso general de los resultados del Proyecto de Investigacin COBIT. Se determin que las mejoras a los objetivos de control originales deberan consistir en: el desarrollo de un marco referencial para el control en tecnologas de la informacin como fundamento para los objetivos de control en TI, y como una gua para la investigacin consistente en auditora y control de las tecnologas de la informacin; una alineacin del marco referencial general y de los objetivos de control individuales, con estndares y regulaciones internacionales existentes de hecho y de derecho; y una revisin crtica de las diferentes actividades y tareas que conforman los dominios de control en tecnologa de informacin y, cuando fuese posible, la especificacin de indicadores de desempeo relevantes (normas, reglas, etc.), as como una revisin crtica y una actualizacin de las guas actuales para el desarrollo de auditoras de los sistemas de informacin.
24
The Cobit Framework

Componentes del COBIT 2 Edicin
El desarrollo del COBIT (2 Edicin), ha resultado en la publicacin de los siguientes componentes:
Un Resumen Ejecutivo (Executive Sumary), el cual consiste en una sntesis ejecutiva que proporciona a la alta gerencia entendimiento y conciencia sobre los conceptos clave y principios del COBIT;
un Marco Referencial (Framework), el cual proporciona a la alta gerencia un entendimiento ms detallado de los conceptos clave y principios del COBIT, e identifica los cuatro dominios de COBIT describiendo en detalle, adems, los 34 objetivos de control de alto nivel e identificando los requerimientos de negocio para la informacin y los recursos de las Tecnologas de la Informacin que son impactados en forma primaria por cada objetivo de control;
los Objetivos de Control (Control Objetives), los cuales contienen declaraciones de los resultados deseados o propsitos a ser alcanzados mediante la implementacin de 302 objetivos de control detallados y especficos a travs de los 34 procesos de las Tecnologas de la Informacin;
las Guas de Auditora (Audit Guidelines), las cuales contienen los pasos de auditora correspondientes a cada uno de los 34 objetivos de control de TI de alto nivel para proporcionar asistencia a los auditores de sistemas en la revisin de los procesos de TI con respecto a los 302 objetivos detallados de control recomendados para proporcionar a la gerencia certeza o unas recomendaciones para mejorar;
un Conjunto de Herramientas de Implementacin (Implementation Tool Set), el cual proporciona las lecciones aprendidas por organizaciones que han aplicado COBIT rpida y exitosamente en sus ambientes de trabajo. Este conjunto de herramientas de implementacin incluye la Sntesis Ejecutiva, proporcionando a la alta gerencia conciencia y entendimiento del COBIT. Tambin incluye una gua de implementacin con dos tiles herramientas: Diagnstico de la Conciencia de la Gerencia y el Diagnstico de Control de TI, para proporcionar asistencia en el anlisis del ambiente de control en TI de una organizacin. Tambin se incluyen varios casos de estudio que detallan como organizaciones en todo el mundo han implementado COBIT exitosamente. Adicionalmente, se incluyen respuestas a las 25 preguntas mas frecuentes acerca del COBIT, as como varias presentaciones para distintos niveles jerrquicos y audiencias dentro de las organizaciones;
25
The Cobit Framework
Por ltimo, se incluye un completo CD-ROM en el cual se puede encontrar toda la informacin detallada en los manuales descritos anteriormente.
4.4. EL MARCO REFERENCIAL DEL COBIT (COBIT FRAMEWORK). La necesidad de control en tecnologa de informacin Como se coment en la introduccin de este informe, hoy en da uno de los aspectos ms importantes para el xito y la supervivencia de cualquier organizacin, es la gestin efectiva de la informacin as como de las tecnologas relacionadas con ella (TI). Por lo general, la administracin debe decidir la inversin razonable en seguridad y control de estas tecnologas de la Informacin y cmo lograr un balance entre riesgos e inversiones en control en un ambiente de TI frecuentemente impredecible. La administracin, necesita un Marco Referencial de prcticas de seguridad y control de TI generalmente aceptadas para medir comparativamente su ambiente de TI, tanto el existente como el planeado. Existe una creciente necesidad entre los usuarios en cuanto a la seguridad en los servicios de TI, a travs de la acreditacin y la auditora de servicios de TI proporcionados internamente o por terceras partes, que aseguren la existencia de controles adecuados. Actualmente, sin embargo, es confusa la implementacin de buenos controles de TI en sistemas de negocios por parte de entidades comerciales, entidades sin fines de lucro o entidades gubernamentales. Esta confusin proviene de los diferentes mtodos de evaluacin (tal como la evaluacin ISO9000), nuevas evaluaciones de control interno COSO4, etc. Como resultado, los usuarios necesitan una base general para ser establecida como primer paso. Frecuentemente, los auditores han tomado el liderazgo en estos esfuerzos internacionales de estandarizacin, debido a que ellos enfrentan continuamente la necesidad de sustentar y apoyar frente a la Gerencia su opinin acerca de los controles internos. Sin contar con un marco referencial, sta se convierte en una tarea demasiado complicada. Esto ha sido mostrado en varios estudios recientes acerca de la manera en la que los auditores evalan situaciones complejas de seguridad y control en TI, estudios que fueron dados a conocer casi simultneamente en diferentes partes del mundo. Incluso, la administracin consulta cada vez ms a los auditores para que le asesoren en forma proactiva en lo referente a asuntos de seguridad y control de TI. El ambiente de negocios: competencia, cambio y costes La competencia global es ya un hecho. Las organizaciones se reestructuran con el fin de perfeccionar sus operaciones y al mismo tiempo aprovechar los avances en tecnologa de sistemas de informacin para mejorar su posicin competitiva. La reingeniera en los negocios, las reestructuraciones, el outsourcing5, las organizaciones horizontales y el procesamiento distribuido son cambios que impactan la manera en la que operan tanto los negocios como las entidades
4 5
COSO: Committee of Sponsoring Organisations of the Treadway Commisssion Internal Control-Integrated Framework
Outsourcing: Contratacin global o parcial de servicios informticos. Se trata de la subcontratacin de todo o de parte del trabajo informtico mediante un contrato con una empresa externa que se integra en la estrategia de la empresa y busca disear una solucin a los problemas existentes 26
The Cobit Framework
gubernamentales. Estos cambios han tenido y continuarn teniendo, profundas implicaciones para la administracin y las estructuras de control operacional dentro de las organizaciones en todo el mundo. La especial atencin prestada a la obtencin de ventajas competitivas y a la economa, implica una dependencia creciente en la computacin como el componente ms importante en la estrategia de la mayora de las organizaciones. La automatizacin de las funciones organizacionales, por su naturaleza, dicta la incorporacin de mecanismos de control ms poderosos en las computadoras y en las redes, tanto los basados en hardware como los basados en software. Adems, las caractersticas estructurales fundamentales de estos controles estn evolucionando al mismo paso que las tecnologas de computacin y las redes. Si los administradores, los especialistas en sistemas de informacin y los auditores desean en realidad ser capaces de cumplir con sus tareas en forma efectiva dentro de un marco contextual de cambios acelerados, debern aumentar y mejorar sus habilidades tan rpidamente como lo demandan la tecnologa y el ambiente. Es preciso, pues, comprender la tecnologa de controles involucrada y su naturaleza cambiante, si se desea emitir y ejercer juicios razonables y prudentes al evaluar las prcticas de control que se encuentran en los negocios tpicos o en las organizaciones gubernamentales.
Respuesta a las necesidades En vista de estos continuos cambios, el desarrollo de este Marco Referencial de objetivos de control para TI, conjuntamente con una investigacin continua aplicada a controles de TI basada en este marco referencial, constituyen el fundamento para el progreso efectivo en el campo de los controles de sistemas de informacin. Por otra parte, hemos sido testigos del desarrollo y publicacin de modelos de control generales de negocios como COSO en los Estados Unidos, Cadbury en el Reino Unido, CoCo en Canad y King en Sudfrica. Por otro lado, existe un nmero importante de modelos de control ms enfocados al nivel de tecnologa de informacin. Algunos buenos ejemplos de esta ltima categora son el Cdigo de Seguridad de Conducta del DTI (Departamento de Comercio e Industria, Reino Unido) y el Manual de Seguridad del NIST (Instituto Nacional de Estndares y Tecnologa, EEUU). Sin embargo, estos modelos de control con orientacin especfica, no proporcionan un modelo de control completo y utilizable sobre la tecnologa de informacin como soporte para los procesos de negocio. El propsito de COBIT es el cubrir este vaco proporcionando una base que est estrechamente ligada a los objetivos de negocio, al mismo tiempo que se enfoca a la tecnologa de informacin. Un enfoque hacia los requerimientos de negocio en cuanto a controles para tecnologa de informacin y la aplicacin de nuevos modelos de control y estndares internacionales relacionados, hicieron evolucionar los Objetivos de Control y pasar de una herramienta de auditora al COBIT, que es una herramienta para la administracin. COBIT es, por lo tanto, la herramienta innovadora para el gobierno de TI que ayuda a la gerencia a comprender y administrar los riesgos asociados con TI. Por lo tanto, la meta del proyecto es el desarrollar estos objetivos de control principalmente a partir de la perspectiva de los objetivos y necesidades de la empresa. Esto concuerda con la perspectiva COSO, que constituye el primer y mejor marco referencial para la administracin en cuanto a controles internos. Posteriormente, los objetivos de control fueron desarrollados a partir de la perspectiva de los objetivos de auditora (certificacin de informacin financiera, certificacin de medidas de control interno, eficiencia y efectividad, etc.)
27
The Cobit Framework

Audiencia: administracin, usuarios y auditores
COBIT esta diseado para ser utilizado por tres audiencias distintas: ADMINISTRACION: Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnologa de informacin frecuentemente impredecible. USUARIOS: Para obtener una garanta en cuanto a la seguridad y controles de los servicios de tecnologa de informacin proporcionados internamente o por terceras partes. AUDITORES DE SISTEMAS DE INFORMACION: Para dar soporte a las opiniones mostradas a la administracin sobre los controles internos. Adems de responder a las necesidades de la audiencia inmediata de la Alta Gerencia, a los auditores y a los profesionales dedicados al control y seguridad, COBIT puede ser utilizado dentro de las empresas por el propietario de procesos de negocio en su responsabilidad de control sobre los aspectos de informacin del proceso, y por todos aqullos responsables de TI en la empresa.
Orientacin a objetivos de negocio Los Objetivos de Control muestran una relacin clara y distintiva con los objetivos de negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditora. Los Objetivos de Control estn definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios. En dominios y procesos identificados, se identifica tambin un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Se proporcionan, adems, consideraciones y guas para definir e implementar el Objetivo de Control de TI. La clasificacin de los dominios a los que se aplican los objetivos de control de alto nivel (dominios y procesos); una indicacin de los requerimientos de negocio para la informacin en ese dominio, as como los recursos de TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamente el Marco Referencial COBIT. El marco referencial toma como base las actividades de investigacin que han identificado 34 objetivos de alto nivel y 302 objetivos detallados de control. El Marco Referencial fue mostrado a la industria de TI y a los profesionales dedicados a la auditora para abrir la posibilidad a revisiones, dudas y comentarios. Las ideas obtenidas fueron incorporadas en forma apropiada.
Definiciones Para propsitos de este proyecto, se proporcionan una serie de definiciones. La definicin de "Control" est adaptada del reporte COSO, y la definicin para "Objetivo de Control de Tecnologas de la Informacin" ha sido adaptada del reporte SAC6 .
SAC: Systems Auditability and Control Report 28
The Cobit Framework
Control se define como
Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para garantizar razonablemente que los objetivos del negocio sern alcanzados y que eventos no deseables sern prevenidos o detectados y corregidos.
Objetivo de control en TI se define como
Una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad de TI particular.
4.5. LOS PRINCIPIOS DEL MARCO REFERENCIAL. Existen dos clases distintas de modelos de control disponibles actualmente, aqullos de la clase del modelo de control de negocios" (por ejemplo COSO) y los "modelos ms enfocados a TI" (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe entre los dos. Debido a esto, COBIT se posiciona como una herramienta ms completa para la Administracin y para operar a un nivel superior que los estndares de tecnologa para la administracin de sistemas de informacin. Por lo tanto, COBIT es el modelo para el gobierno de TI. El concepto fundamental del marco referencial COBIT se refiere a que el enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa de Informacin que deben ser administrados por procesos de TI.
Figura 7
29
The Cobit Framework
Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos criterios a los que COBIT hace referencia como requerimientos de negocio para la informacin. Al establecer la lista de requerimientos, COBIT combina los principios contenidos en los modelos referenciales existentes y conocidos:
Requerimientos de calidad Calidad Coste Entrega (de servicio)
Requerimientos Fiduciarios (COSO) Efectividad y eficiencia de operaciones Confiabilidad de la informacin Cumplimiento de las leyes y regulaciones
Requerimientos de Seguridad Confidencialidad Integridad Disponibilidad
La Calidad ha sido considerada principalmente por su aspecto 'negativo' (sin fallos, confiable, etc.), lo cual tambin se encuentra contenido en gran medida en los criterios de Integridad. Los aspectos positivos pero menos tangibles de la calidad (estilo, atractivo, "ver y sentir", desempeo ms all de las expectativas, etc.) no fueron, por un tiempo, considerados desde un punto de vista de Objetivos de Control de TI. La premisa se refiere a que la primera prioridad deber estar dirigida al manejo apropiado de los riesgos al compararlos contra las oportunidades. El aspecto utilizable de la Calidad est cubierto por los criterios de efectividad. Se consider que el aspecto de entrega (de servicio) de la Calidad se traslapa7 con el aspecto de disponibilidad correspondiente a los requerimientos de seguridad y tambin en alguna medida, con la efectividad y la eficiencia. Finalmente, el coste es tambin considerado que queda cubierto por la eficiencia.
traslapar: cubrir total o parcialmente una cosa 30
The Cobit Framework
Para los requerimientos fiduciarios8, COBIT no intent reinventar le rueda. Se utilizaron las definiciones de COSO para la efectividad y eficiencia de operaciones, confiabilidad de informacin y cumplimiento con leyes y regulaciones. Sin embargo, la confiabilidad de informacin fue ampliada para incluir toda la informacin (no slo informacin financiera). Con respecto a los aspectos de seguridad, COBIT identific la confidencialidad, integridad y disponibilidad como los elementos clave, fue descubierto que estos mismos tres elementos son utilizados a nivel mundial para describir los requerimientos de seguridad. Comenzando el anlisis a partir de los requerimientos de Calidad, Fiduciarios y de Seguridad ms amplios, se extrajeron siete categoras distintas, ciertamente superpuestas. A continuacin se muestran las definiciones de trabajo de COBIT:
Efectividad
Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.
Eficiencia
Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos.
Confidencialidad
Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada.
Integridad
Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio.
Fiduciario: que depende del crdito o confianza 31
The Cobit Framework
Disponibilidad
Se refiere a la disponibilidad de la informacin cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.
Cumplimiento
Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocio est sujeto, por ejemplo, criterios de negocio impuestos externamente.
Confiabilidad de la informacin
Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.
Los recursos de las tecnologas de la informacin identificados en COBIT pueden explicarse o definirse como se muestra a continuacin:
Datos Los elementos de datos en su ms amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, grficos, sonido, etc.
Aplicaciones Se entiende como sistemas de aplicacin la suma de procedimientos manuales y programados.
32
The Cobit Framework
Tecnologa La tecnologa cubre hardware, software, sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia, etc. Instalaciones Recursos para alojar y dar soporte a los sistemas de Informacin.
Personal
Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorizar servicios y sistemas de informacin. El dinero o capital no fue considerado como un recurso para la clasificacin de objetivos de control para TI debido a que puede definirse como la inversin en cualquiera de los recursos mencionados anteriormente y podra causar confusin con los requerimientos de auditora financiera. El Marco referencial no menciona, en forma especfica para todos los casos, la documentacin de todos los aspectos "materiales" importantes relacionados con un proceso de TI particular. Como parte de las buenas prcticas, la documentacin es considerada esencial para un buen control y, por lo tanto, la falta de documentacin podra ser la causa de revisiones y anlisis futuros de controles de compensacin en cualquier rea especfica en revisin. Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se describe a continuacin:
Figura 8. Relacin de los recursos de TI

33
The Cobit Framework
La informacin que los procesos de negocio necesitan es proporcionada a travs del empleo de recursos de TI. Con el fin de asegurar que los requerimientos de negocio para la informacin son satisfechos, deben definirse, implementarse y monitorizarse medidas de control adecuadas para estos recursos. Como pueden entonces las empresas estar satisfechas respecto a que la informacin obtenida presente las caractersticas que necesitan? Es aqu donde se requiere de un sano marco referencial de Objetivos de Control para TI. El diagrama mostrado a continuacin ilustra este concepto.
Figura 9. Obtencin y anlisis de la Informacin
El marco referencial consta de Objetivos de Control de TI de alto nivel y de una estructura general para su clasificacin y presentacin. La teora subyacente para la clasificacin seleccionada se refiere a que existen, en esencia, tres niveles de actividades de TI al considerar la administracin de sus recursos. Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras que las tareas son consideradas ms discretas. El concepto de ciclo de vida cuenta tpicamente con requerimientos de control diferentes a los de actividades discretas. Algunos ejemplos de esta categora son las actividades de desarrollo de sistemas, administracin de la configuracin y manejo de cambios. La segunda categora incluye tareas llevadas a cabo como soporte para la planeacin estratgica de tecnologas de la informacin, evaluacin de riesgos, planeacin de la calidad, administracin de la capacidad y el desempeo. Los procesos se definen entonces en un nivel superior como una serie de actividades o tareas conjuntas con "cortes" naturales (de control). Al nivel ms alto, los procesos son agrupados de manera natural en dominios. Su agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad en una estructura organizacional, y est en lnea con el ciclo administrativo o ciclo de vida aplicable a los procesos de tecnologas de la informacin.
34
The Cobit Framework
Figura 10. Niveles de Actividades de TI
Por lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos estratgicos: recursos de TI, requerimientos de negocio para la informacin y procesos de TI. Estos puntos de vista diferentes permiten al marco referencial ser accedido eficientemente. Por ejemplo, los gerentes de la empresa pueden interesarse en un enfoque de calidad, seguridad o fiduciario (traducido por el marco referencial en siete requerimientos de informacin especficos). Un Gerente de TI puede desear considerar recursos de TI por los cuales es responsable. Propietarios de procesos, especialistas de TI y usuarios pueden tener un inters en procesos particulares. Los auditores podrn desear enfocar el marco referencial desde un punto de vista de cobertura de control. Estos tres puntos estratgicos son descritos en el Cubo COBIT que se muestra a continuacin:
Figura 11. El Cubo COBIT

35
The Cobit Framework
Con lo anterior como marco de referencia, los dominios son identificados utilizando las palabras que la gerencia utilizara en las actividades cotidianas de la organizacin (y no la "jerga" del auditor). Por lo tanto, cuatro grandes dominios son identificados: planificacin y organizacin, adquisicin e implementacin; entrega y soporte, y monitorizacin. Las definiciones para los dominios mencionados son las siguientes:
Planificacin y Organizacin Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgica apropiadas.
Adquisicin e Implementacin Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
Entrega y Soporte En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin
36
The Cobit Framework
Monitorizacin Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
En resumen, los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos. El siguiente diagrama ilustra este concepto:
Figura 12. Procesos de TI del COBIT definidos dentro de los cuatro dominios.
37
The Cobit Framework
Debe tomarse en cuenta que estos procesos pueden ser aplicados a diferentes niveles dentro de una organizacin. Por ejemplo, algunos de estos procesos sern aplicados al nivel corporativo, otros al nivel de la funcin de servicios de informacin, y otros al nivel del propietario de los procesos de negocio. Tambin debe ser tomado en cuenta que el criterio de efectividad de los procesos que planean o entregan soluciones a los requerimientos de negocio, cubrirn algunas veces los criterios de disponibilidad, integridad y confidencialidad (en la prctica, se han convertido en requerimientos del negocio). Por ejemplo, el proceso de "identificar soluciones automatizadas" deber ser efectivo en el cumplimiento de requerimientos de disponibilidad, integridad y confidencialidad. Resulta claro que las medidas de control no satisfarn necesariamente los diferentes requerimientos de informacin del negocio en la misma medida. Se lleva a cabo una clasificacin dentro del marco referencial COBIT basada en rigurosos informes y observaciones de procesos por parte de investigadores, expertos y revisores con las estrictas definiciones determinadas previamente. Esta clasificacin es la siguiente: Primario: es el grado al cual el objetivo de control definido impacta directamente el requerimiento de informacin de inters. Secundario: es el grado al cual el objetivo de control definido satisface nicamente de forma indirecta o en menor medida el requerimiento de informacin de inters. Blanco (vaco): podra aplicarse; sin embargo, los requerimientos son satisfechos ms apropiadamente por otro criterio en este proceso y/o por otro proceso.
Similarmente, todas las medidas de control no necesariamente tendrn impacto en los diferentes recursos de TI a un mismo nivel. Por lo tanto, el Marco Referencial de COBIT indica especficamente la aplicabilidad de los recursos de TI que son administrados en forma especfica por el proceso bajo consideracin (no por aquellos que simplemente toman parte en el proceso). Esta clasificacin es hecha dentro el Marco Referencial de COBIT basado en el mismo proceso riguroso de informacin proporcionada por los investigadores, expertos y revisores, utilizando las definiciones estrictas indicadas previamente.
38
The Cobit Framework
4.6. OBJETIVOS DE CONTROL DEL MARCO REFERENCIAL (THE COBIT FRAMEWORK). El marco refencial del COBIT ha sido limitado a una serie de objetivos de control de alto nivel, enfocados a las necesidades de negocio, dentro de un proceso de tecnologas de la informacin determinado. Los objetivos de control de las tecnologas de la informacin han sido organizados por proceso/actividad. Su forma de uso ha sido proporcionada no slo para facilitar la entrada desde un punto de vista ventajoso, sino tambin para facilitar aproximaciones globales (o combinadas), tales como la implementacin/instalacin de un proceso, responsabilidades globales de administracin para un proceso, y el uso de los recursos de las TI por parte de un proceso. Es preciso sealar que los objetivos de control de las TI han sido definidos de una forma general (no dependen de ninguna plataforma tcnica), aunque se debe aceptar el hecho de que algunos entornos de tecnologa especiales pueden necesitar espacios separados para los objetivos de control. La forma en que el marco referencial del COBIT presenta los objetivos de control es la siguiente:
Figura 13. Organizacin del Marco Referencial.
El marco refencial se divide en cuatro partes correspondientes a los cuatro dominios existentes (planificacin y organizacin, adquisicin e implementacin, entrega y soporte y monitorizacin). En cada parte, se reflejan los objetivos de control de alto nivel correspondientes a cada dominio (34 objetivos en total). Para cada uno de los objetivos de control, se sigue una organizacin como la mostrada en la Figura 13. Adems, se muestran dos tablas: una que identifica los criterios que son aplicables a cada objetivo de control y en qu grado lo hacen (P primario, S secundario, Blanco no se aplica ese criterio); y otra que identifica los recursos de TI que son gestionados especficamente por el proceso que se est considerando. Veamos ya, los 34 objetivos de control de alto nivel de las tecnologas de la informacin reflejados en el Marco de Referencia COBIT (COBIT FRAMEWORK):
39
The Cobit Framework
Objetivos de Control de Alto Nivel

Dominio de Planificacin & Organizacin PO1 Definir un plan Estratgico de Tecnologa de la Informacin
P S efectividad eficiencia confidencialidad integridad disponibilidad conformidad confiabilidad
Control sobre el proceso de TI de
Definir un plan estratgico de TI

que satisface el requisito de negocio
hallar un balance ptimo de oportunidades de tecnologa de la informacin y los requisitos de negocio as como tambin asegurar su realizacin adicional
es facilitado por
un proceso planificador estratgico emprendido a intervalos regulares dando origen a planes a largo plazo; los planes a largo plazo deberan ser traducidos peridicamente en planes operacionales que coloquen metas claras y concretas a corto plazo
y toma en consideracin
definicin de los objetivos de negocio y necesidades para las TI inventario de soluciones tecnolgicas e infraestructura actual servicios de tecnologa de vigilancia cambios organizativos estudio de viabilidad oportuno existencia de evaluaciones de sistemas
X X X X X personas aplicaciones tecnologa facilidades datos
PO2 Definir la Arquitectura de la Informacin

P S S efectividad eficiencia confidencialidad
40
The Cobit Framework

S integridad disponibilidad conformidad confiabilidad
definir la arquitectura de la informacin

una mejor organizacin de los sistemas de informacin

es facilitado por
creando y manteniendo un modelo de informacin de negocio y asegurando que los sistemas apropiados son definidos para optimizar el uso de esta informacin
documentacin diccionario de datos reglas sintcticas de datos propiedad de datos y clasificacin crtica
X personas aplicaciones tecnologa facilidades datos
PO3 Determinar la Direccin Tecnolgica

determinar la direccin tecnolgica

tomar ventaja de la tecnologa disponible y emergente

es facilitado por
creacin y mantenimiento de un plan de infraestructura tecnolgica

adecuacin y evolucin de la capacidad de la infraestructura actual

41
The Cobit Framework

monitorizacin de los desarrollos tecnolgicos contingencias planes de adquisicin

personas aplicaciones tecnologa facilidades datos
X X
PO4 Definir la Organizacin y las Relaciones de las TI

definir la organizacin y las relaciones de las TI

entregar los servicios de las TI

es facilitado por
una organizacin apropiada en nmeros y habilidades con roles y responsabilidades comunicadas y definidas
comit de direccin consejo de nivel de responsabilidad propiedad, custodia supervisin segregacin de obligaciones roles y responsabilidades descripciones del trabajo provisin de niveles clave personal
42
The Cobit Framework
PO5 Administrar la Inversin en TI

P P efectividad eficiencia confidencialidad integridad disponibilidad conformidad confiabilidad
administrar la inversin en TI
garantizar la consolidacin y controlar el gasto de los recursos financieros

es facilitado por
una inversin peridica y un presupuesto operacional establecido y aprobado por la empresa

consolidacin de alternativas control del gasto efectivo justificacin de los costes justificacin de los beneficios
X X X X personas aplicaciones tecnologa facilidades datos
PO6 Comunicar la Direccin y las Aspiraciones de la Gerencia

P efectividad eficiencia confidencialidad integridad disponibilidad conformidad confiabilidad
comunicar la direccin y las aspiraciones de la gerencia

garantizar el conocimiento del usuario y entendimiento de esos fines

43
The Cobit Framework

es facilitado por
polticas establecidas y comunicadas a la comunidad de usuario; adems, los estndares necesitan ser establecidos para traducir las opciones de estrategia en reglas de usuario que sean prcticas y tiles
cdigo de conducta/tica directrices de tecnologa conformidad comisin de calidad polticas de seguridad polticas de control interno
PO7 Administrar los Recursos Humanos

administrar los recursos humanos

maximizar las contribuciones del personal a los procesos de TI

es facilitado por
tcnicas firmes de gestin de personal

refuerzo y promocin requisitos de calidad entrenamiento construccin del conocimiento cross training procedimientos libres evaluacin de la ejecucin objetiva y medible
X personas aplicaciones 44
The Cobit Framework

tecnologa facilidades datos
PO8 Asegurar el Cumplimiento de los Requisitos Externos

P S
asegurar el cumplimiento de los requisitos externos

encontrar obligaciones legales, contractuales y reguladas

es facilitado por
identificacin y anlisis de requisitos externos para su impacto en las TI, y toma de medidas apropiadas para llevar a cabo su cumplimiento.
leyes, regulaciones y contratos monitorizacin legal y desarrollos regulados inspecciones regulares para cambios y mejoras bsqueda de consejos legales seguridad y ergonoma privacidad propiedad intelectual flujo de datos
X X personas aplicaciones tecnologa facilidades datos
PO9 Evaluar los Riesgos

S S P P efectividad eficiencia confidencialidad integridad
45
The Cobit Framework

P S S disponibilidad conformidad confiabilidad
evaluar los riesgos

de asegurar la realizacin de los objetivos de TI y respondiendo a las amenazas para el suministro de los servicios de TI
es facilitado por
la organizacin se autocompromete en los riesgos de las TI identificando y analizando el impacto, y tomando medidas efectivas de costes para mitigar los riesgos
diferentes tipos de riesgos de TI (tecnologa, seguridad, continuidad, etc.) alcance: global o sistemas especficos evaluacin de riesgos hasta la fecha metodologa de anlisis de riesgos medidas de riesgo cuantitativas y/o cualitativas plan de accin de riesgos
PO10 Administrar los Proyectos

administrar los proyectos

establecer prioridades y salvar a tiempo, y dentro del presupuesto

es facilitado por
la organizacin identificando y dando prioridad a los proyectos en lnea junto al plan operacional; adems, la organizacin debera adoptar y aplicar tcnicas de gestin de proyectos para cada uno
46
The Cobit Framework

de los proyectos tomados.
propiedad de proyectos complicacin del usuario interrupcin de tareas distribucin de responsabilidades proyecto y fase de aprobacin costes y presupuesto del personal planes de seguridad de la calidad y mtodos
PO11 Administrar la Calidad

P P P efectividad eficiencia confidencialidad integridad disponibilidad conformidad confiabilidad
administrar la calidad
encontrar los requisitos individuales de las TI

es facilitado por
la planificacin, implementacin y mantenimiento de estndares de gestin de calidad y sistemas por la organizacin; adems, la organizacin debera adoptar y aplicar una metodologa que se suministrase para las distintas fases del desarrollo y pudiese prever fases claras y libres
plan de estructura de la calidad responsabilidades de seguridad de la calidad metodologa del ciclo de vida del desarrollo del sistemas programacin y testeacin de sistemas y documentacin inspeccin de seguridad de la calidad e informes
X X X X personas aplicaciones tecnologa facilidades datos 47
The Cobit Framework
Dominio de Adquisicin & Implementacin AI1 Identificar Soluciones

identificar soluciones
de asegurar la mejor aproximacin para satisfacer los requisitos del usuario

es facilitado por
un anlisis claro de las oportunidades alternativas medidas contra los requisitos de usuario
definicin de la informacin de requisitos estudios factibles (costes, beneficios, alternativas, etc.) requisitos de usuario arquitectura de la informacin seguridad del coste-efectivo rastros de auditora contratacin externa aceptacin de las facilidades y la tecnologa
X X X personas aplicaciones tecnologa facilidades datos
AI2 Adquisicin y Mantenimiento de Aplicaciones Software

P P S S S efectividad eficiencia confidencialidad integridad disponibilidad conformidad confiabilidad
48
The Cobit Framework
adquisicin y mantenimiento de aplicaciones software

suministrar funciones automticas que soporten de forma efectiva los procesos de negocio
es facilitado por
la definicin de estados especficos de los requisitos funcionales y operativos, y una implementacin estructurada con dictmenes claros
requisitos de usuario archivo, gasto, proceso y requisitos externos interfaz de la mquina-usuario embalajes habituales testeo funcional controles de aplicacin y requisitos de seguridad documentacin
AI3 Adquisicin y Mantenimiento de la Infraestructura de la Tecnologa

P P S efectividad eficiencia confidencialidad integridad disponibilidad conformidad confiabilidad
adquisicin y mantenimiento de la infraestructura de la tecnologa

suministrar las plataformas adecuadas para soportar las aplicaciones de negocios

es facilitado por
el asentamiento de la implantacin de hardware y software, la provisin de mantenimiento del hardware preventivo, y la instalacin, seguridad y control de los sistemas software
asentamiento de la tecnologa
49
The Cobit Framework

mantenimiento del hardware preventivo seguridad del sistema software, instalacin, mantenimiento y cambio de controles
AI4 Desarrollar y Mantener Procedimientos de TI

P P S S S efectividad eficiencia confidencialidad integridad disponibilidad conformidad confiabilidad
desarrollar y mantener procedimientos de TI

asegurar el uso apropiado de las aplicaciones y que las soluciones tecnolgicas estn en su sitio
es facilitado por
una aproximacin estructurada para el desarrollo de los usuarios y de los manuales de procedimiento de operaciones, requisitos de servicio y materiales de entrenamiento
procedimientos de usuario y controles procedimientos operacionales y controles materiales de entrenamiento

AI5 Instalacin y Acreditacin de Sistemas

P efectividad eficiencia confidencialidad integridad
50
The Cobit Framework

S disponibilidad conformidad confiabilidad
instalacin y acreditacin de sistemas

verificar y confirmar que la solucin es conveniente para los propsitos propuestos

es facilitado por
la realizacin de una migracin de instalacin bien formalizada, conversin y un plan aceptado

entrenamiento datos carga/conversin testeos especficos acreditacin inspecciones post-implementacin

AI6 Gestin de Cambios

P P P P S efectividad eficiencia confidencialidad integridad disponibilidad conformidad confiabilidad
gestionar los cambios

minimizar la posibilidad de ruptura, alteraciones no autorizadas, y errores

es facilitado por
un sistema de gestin que se suministre para el anlisis, implementacin y obtencin de todos los cambios solicitados y realizados para las infraestructuras de TI existentes
51
The Cobit Framework

identificacin de los cambios categorizar, priorizar y procedimientos de emergencia asentamiento de impactos cambio de autoridad gestin de venta distribucin de software
Dominio de Entrega & Soporte DS1 Definir Niveles de Servicio

P P S S S S S efectividad eficiencia confidencialidad integridad disponibilidad conformidad confiabilidad
definir niveles de servicio

establecer un entendimiento comn del nivel de servicio requerido

es facilitado por
el establecimiento de un nivel de servicio conforme que formalice el criterio de realizacin en comparacin con que la cantidad y calidad de servicio ser medida
acuerdos formales definicin de responsabilidades tiempos de respuesta y volmenes cobro garantas de integridad acuerdos no declarados
X X X X X personas aplicaciones tecnologa facilidades datos 52
The Cobit Framework
DS2 Gestionar los Servicios Prestados por Terceros

gestionar los servicios prestados por terceros

asegurar que las reglas y las responsabilidades de terceras partes estn definidas de forma clara, adheridas y continuar satisfaciendo los requisitos
es facilitado por
medidas de control dirigidas en la inspeccin y monitorizacin de contratos existentes y procedimientos para su efectividad y conformidad con la poltica de la organizacin.
acuerdos de servicio con terceras partes acuerdos no declarados requisitos legales y regulados monitorizacin del servicio entregado
DS3 Administrar el Cumplimiento y la Capacidad

administrar el cumplimiento y la capacidad

53
The Cobit Framework

asegurar que la capacidad adecuada est disponible y que se est haciendo un uso ptimo y mejor para encontrar las necesidades de cumplimiento requeridas
es facilitado por
controles de gestin de capacidad y cumplimiento que coleccionen datos e informen en la gestin de trabajo, dimensionado de la aplicacin, recursos y gestin demandada
disponibilidad y cumplimiento de los requisitos monitorizacin e informacin herramientas de modelado gestin de la capacidad disponibilidad del recurso
DS4 Asegurar el Servicio Continuo

asegurar el servicio continuo

hacer que los servicios de TI requeridos estn disponibles y asegurar un impacto de negocio mnimo en caso de una ruptura mayor
es facilitado por
posesin de un continuado y testeado plan de TI que est en lnea con la totalidad del plan continuo de negocio y con sus requisitos de negocio relacionados
clasificacin crtica plan documentado procedimientos alternativos copias de seguridad y recuperacin anlisis y entrenamiento regular y sistemtico
54
The Cobit Framework

DS5 Garantizar la Seguridad del Sistema

efectividad eficiencia confidencialidad integridad disponibilidad conformidad confiabilidad
P P S S S
garantizar la seguridad del sistema

salvaguardar la informacin contra el uso no autorizado, descubrimiento o modificacin, dao o prdida

es facilitado por
controles de acceso lgico que aseguren que el acceso a los sistemas, datos y programas est restringido a los usuarios autorizados
autorizacin autenticidad acceso uso de proteccin e identificacin gestin de clave criptogrfica incidencia de manejo, informar y completar camino custodiado deteccin y prevencin de virus cortafuegos
DS6 Identificar y Atribuir Costes
55
The Cobit Framework
Planificacin y Gestin de Sistemas de Informacin Objetivos de Control de Alto Nivel

identificar y atribuir costes

asegurar un correcto conocimiento de los costes atribuidos a los servicios de TI

es facilitado por
un sistema de contabilidad de costes que asegure que dichos costes son registrados, calculados y localizados para el nivel de detalle requerido
recursos identificables y medibles imposicin de polticas y procedimientos imponer valores

DS7 Educar y Entrenar a los Usuarios

educar y entrenar a los usuarios

asegurar que los usuarios son eficientes en el uso de la tecnologa y que son conscientes de los riesgos y responsabilidades en las que estn involucrados
56
The Cobit Framework

es facilitado por
un entrenamiento comprensivo y un plan de desarrollo

plan de estudios de entrenamiento campaas de conocimiento tcnicas de conocimiento

DS8 Asistencia y Consejo a los Clientes de TI

asistir y aconsejar a los clientes de TI

asegurar que cualquier problema experimentado por el usuario ser resuelto apropiadamente
es facilitado por
una fcil ayuda que suministre soporte de primer orden y consejo

cuestiones del cliente y respuestas al problema monitorizacin de cuestiones y aclaraciones anlisis de tendencias e informacin
X X personas aplicaciones tecnologa facilidades datos
DS9 Gestin de la Configuracin
57
The Cobit Framework
Planificacin y Gestin de Sistemas de Informacin Objetivos de Control de Alto Nivel

S S
gestionar la configuracin
considerar todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proveer de un fundamento para una gestin de cambio firme
es facilitado por
controles que identifiquen y registren todos los medios de TI y su localizacin fsica, y un programa regular de verificacin que confirme dicha existencia
medios de registro gestin del cambio de configuracin chequeo del software no autorizado controles de almacenamiento de software
DS10 Gestin de Problemas e Incidentes

gestionar los problemas e incidentes
58
The Cobit Framework

asegurar que los problemas e incidentes sern resueltos, e investigando la causa para prevenir una nueva aparicin de estos
es facilitado por
una sistema de gestin de problemas que registre y avance todos los incidentes
reglas suficientes de auditora de problemas y soluciones resolucin oportuna de problemas anunciados subida de procedimientos informes de incidentes
DS11 Gestin de Datos

administrar los datos

asegurar que los datos permanecen completos, correctos y vlidos durante su introduccin, actualizacin y almacenamiento
es facilitado por
una combinacin efectiva de aplicacin y controles generales sobre las operaciones de TI

diseo del modelo controles de documentos fuente controles de entrada controles de proceso controles de salida identificacin multimedia, mecanismo y gestin de biblioteca almacenamiento multimedia y gestin de copias de seguridad autenticidad e integridad
59
The Cobit Framework

DS12 Administrar las Instalaciones

P P
administrar las instalaciones

proveer de un medio fsico apropiado que proteja el equipamiento de las TI y a las personas contra riesgos naturales y riesgos provocados por el hombre
es facilitado por
la instalacin de controles fsicos apropiados que son revisados regularmente para su propia funcin
acceso a facilidades identificacin de la situacin seguridad fsica salud y seguridad del personal proteccin de amenazas del entorno
DS13 Gestin de Operaciones

P P S efectividad eficiencia confidencialidad integridad
60
The Cobit Framework

S disponibilidad conformidad confiabilidad
gestionar las operaciones

asegurar que las funciones importantes soportadas de las TI son realizadas regularmente y de una forma ordenada
es facilitado por
un planificador de actividades soportadas que es registrado y aclarado para el cumplimiento de todas las actividades
manual de procedimiento de operaciones documentacin del proceso puesto en marcha gestin de servicios de la red planificacin del trabajo y el personal proceso cambiado registro del suceso del sistema
Dominio de Monitorizacin M1 Monitorizar los Procesos

P S S S S S S efectividad eficiencia confidencialidad integridad disponibilidad conformidad confiabilidad
monitorizar los procesos

asegurar la realizacin de la ejecucin de los objetivos establecidos para los procesos de las TI
61
The Cobit Framework

es facilitado por
la definicin de la administracin del informe relevante de gestin e indicadores realizados, implementacin de los sistemas soportados as como la aclaracin del informe sobre los fundamentos regulares
indicadores de realizacin de claves factores de sucesos crtico evaluaciones de la satisfaccin del cliente informe de la gestin
M2 Evaluar lo Adecuado del Control Interno

evaluar lo adecuado del control interno

asegurar la realizacin de los objetivos de control internos establecidos para los procesos de las TI
es facilitado por
la comisin de la administracin para monitorizar controles internos, fijando su efectividad, e informando de ellos con bases regulares
monitorizacin de controles internos en proceso test de pruebas (benchmarks) informe de error y excepcin autoevaluacin informe de la administracin
X X X X X personas aplicaciones tecnologa facilidades datos 62
The Cobit Framework
M3 Obtener Aseguramientos Independientes

obtener aseguramientos independientes

incrementar la confianza y el cuidado entre la organizacin, los clientes, y los proveedores a terceros
es facilitado por
inspecciones de la seguridad independiente llevadas a cabo en intervalos regulares

certificaciones/acreditaciones independientes evaluaciones de efectividad independientes seguridad independiente de conformidad con leyes y requisitos regulados seguridad independiente de conformidad con comisiones contractuales inspecciones a proveedores de servicios a terceros realizacin de inspecciones de seguridad por personal cualificado involucracin de auditoras proactivas
M4 Suministrar una Auditora Independiente

63
The Cobit Framework

Control sobre el proceso de TI de suministrar una auditora independiente que satisface el requisito de negocio
incrementar los niveles de confianza y beneficios desde el mejor consejo de prctica

es facilitado por
auditoras independientes llevadas a cabo en intervalos regulares

independencia de las auditoras involucracin de auditoras proactivas realizacin de auditoras por personal cualificado claridad de las decisiones y recomendaciones actividades continuas
4.7. LECTURAS RECOMENDADAS Control Objetives for Information and Related Technology. 2 Edition. 1998. Information Systems Audit and Control Foundation. E-MAIL: research@isaca.org I.S.A.C.A. (Information Systems Audit and Control Association), 1998. Informacin electrnica. Direccin: http://www.isaca.org COBIT 2 Edition Home 1998. Informacin Direccin: http://www.isaca.org/cobit.html electrnica.
COBIT 2 Edition Project Web Site 1998. Informacin electrnica. Direccin: http://www.isaca.org/ct_proj.html
COBIT 2 Edition Web Site (Downloads) 1998. Informacin electrnica. Direccin: http://208.240.90.17/ct_dwnld.html
64
The Cobit Framework
5. Vocabulario
A
activo, 3: importe total de los valores, efectos,
crditos y derechos que posee una persona o sociedad comercial. perfecta probidad.
I
integridad, 3: calidad de ntegro. De una
C
contingencia, 4: posibilidad de que una cosa
suceda o no suceda. Riesgo. confiabilidad, 3: fiabilidad, probabilidad de buen funcionamiento de una cosa. confidencialidad, 3: calidad de confidencial. Que se hace o se dice en confidencia, que contiene una confidencia. contramedida, 11: medida tomada para paliar o anular otra. categorizar, 52: ordenar o clasificar por categoras.
P
priorizar, 52: dar prioridad. Anterioridad de una cosa respecto a otra, en tiempo o en orden.
R
regulativo, 24: que regula. Ajustado y
conforme a regla. requerimiento, 3:requisito.Condicin necesaria para hacer una cosa.
S
salvaguardar, 5: proteger. Registrar un conjunto de informaciones contenidas en la memoria del ordenador sobre un soporte magntico.
D
disponibilidad, 3: propiedad de un sistema que
representa la continuidad del servicio prestado.
T
traslapar, 30: cubrir total o parcialmente una
cosa.
E
efectividad, 3: calidad de efectivo. eficiencia, 3: virtud y facultad para obtener un
efecto determinado.
V
vertebrar, 21: dar consistencia y estructura
internas; dar organizacin y cohesin.
F
fiduciario, 3: que depende del crdito o
confianza.
funcionalidad, 3: propiedad de lo que es funcional. Prctico, eficaz, utilitario.
65
The Cobit Framework
6. Bibliografa
Piattini Velthuis, Mario G.; Del Peso Navarro, Emilio. 1998. RA-MA. AUDITORA INFORMTICA. Un enfoque prctico. E-MAIL: rama@arrakis.es COBIT. Control Objetives for Information and Related Technology. 2 Edition. 1998. Information Systems Audit and Control Foundation. E-MAIL: research@isaca.org I.S.A.C.A. (Information Systems Audit and Control Association), 1998. Informacin electrnica. Direccin: http://www.isaca.org COBIT 2 Edition Home 1998. Informacin Direccin: http://www.isaca.org/cobit.html electrnica.
COBIT 2 Edition Project Web Site 1998. Informacin electrnica. Direccin: http://www.isaca.org/ct_proj.html
COBIT 2 Edition Web Site (Downloads) 1998. Informacin electrnica. Direccin: http://208.240.90.17/ct_dwnld.html
Canning College WEB Site, 1997. Direccin: http://www.canningcollege.wa.edu.au/reference.html
Curtin University of Technology Library and Information Service WEB Site, 1998. Direccin: http://www.curtin.edu.au:80/curtin/library/findinfo/ handouts/erefs.html
66
The Cobit Framework

Cobit

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cobit

Uploaded by

Copyright:

Available Formats

COBIT

GOVERNANCE, CONTROL and AUDIT for INFORMATION and RELATED TECHNOLOGY

Planificacin y Gestin de Sistemas de Informacin

Planificacin y Gestin de Sistemas de Informacin

Escuela Superior de Informtica (UCLM)

The Cobit Framework

Roberto Sobrinos Snchez

Planificacin y Gestin de Sistemas de Informacin

Escuela Superior de Informtica (UCLM)

The Cobit Framework

Roberto Sobrinos Snchez

Planificacin y Gestin de Sistemas de Informacin

Escuela Superior de Informtica (UCLM)

The Cobit Framework

Roberto Sobrinos Snchez

Planificacin y Gestin de Sistemas de Informacin

Escuela Superior de Informtica (UCLM)

The Cobit Framework

Roberto Sobrinos Snchez

Planificacin y Gestin de Sistemas de Informacin

Escuela Superior de Informtica (UCLM)

CONTROL INTERNO INFORMTICO SIMILITUDES

Tabla 1. Diferencias y similitudes del Control interno y la Auditora Informtica

The Cobit Framework

Roberto Sobrinos Snchez

Planificacin y Gestin de Sistemas de Informacin

Escuela Superior de Informtica (UCLM)

The Cobit Framework

Roberto Sobrinos Snchez

Planificacin y Gestin de Sistemas de Informacin

Escuela Superior de Informtica (UCLM)

Figura 1. Control Interno y Auditora

The Cobit Framework

Roberto Sobrinos Snchez

Planificacin y Gestin de Sistemas de Informacin

Escuela Superior de Informtica (UCLM)

Figura 2. Control Interno Informtico

The Cobit Framework

Roberto Sobrinos Snchez

Planificacin y Gestin de Sistemas de Informacin

Escuela Superior de Informtica (UCLM)

The Cobit Framework

Roberto Sobrinos Snchez

Planificacin y Gestin de Sistemas de Informacin

Escuela Superior de Informtica (UCLM)

The Cobit Framework

Roberto Sobrinos Snchez

Planificacin y Gestin de Sistemas de Informacin

Escuela Superior de Informtica (UCLM)

Figura 3. Factores de la Contramedida

The Cobit Framework

Roberto Sobrinos Snchez

Planificacin y Gestin de Sistemas de Informacin

Escuela Superior de Informtica (UCLM)

The Cobit Framework

Roberto Sobrinos Snchez

Planificacin y Gestin de Sistemas de Informacin

Escuela Superior de Informtica (UCLM)

Figura 4. Organizacin interna de la Seguridad Informtica

The Cobit Framework

Roberto Sobrinos Snchez

Planificacin y Gestin de Sistemas de Informacin

Escuela Superior de Informtica (UCLM)

The Cobit Framework