AUDITORIA EN INFORMATICA

METODOS DE CONTROL EN TI

Control Interno y Auditora

El Proceso de Auditora segn ISO 12207 (i)

PROCESOS PRINCIPALES ADQUISICIN SUMINISTRO DESARROLLO CALIDAD EXPLOTACIN

PROCESOS DE SOPORTE DOCUMENTACIN GESTIN DE CONFIGURACIN ASEGURAMIENTO DE VERIFICACIN VALIDACIN REVISIN CONJUNTA AUDITORA RESOLUCION DE PROBLEMAS

MANTENIMIENTO

PROCESOS DE LA ORGANIZACIN GESTIN MEJORA INFRAESTRUCTURA FORMACIN

El Proceso de Auditora segn ISO (ii)

Segn la norma ISO 12207, el Proceso de Auditora del Software (PAS) es uno de los procesos de soporte. Se define como el proceso para determinar el cumplimiento con los requerimientos, los planes o los contratos. Debe ser realizado por personas autorizadas con el propsito de mantener una valoracin independiente de los productos y procesos del software. Intervienen dos participantes: la parte auditora y la parte auditada. La norma ISO 14764 determina que el PAS da soporte en las siguientes actividades del PMS (Proceso de Mantenimiento del Software): Aceptacin/Revisin del Mantenimiento. Migracin. Retirada.

El Proceso de Auditora segn ISO (iii)

Consta de dos actividades: Implementacin del Proceso; y Auditora. Durante la Implementacin del Proceso se realizan las siguientes tareas: Se efectan auditoras de los hitos predeterminados en el plan del proyecto. El personal auditor no tendr responsabilidad directa sobre los productos software y actividades auditados. Todos los recursos necesarios para realizar la auditora debern ser acordados por las partes (incluyendo personal de apoyo, locales, infraestructura, hardware, software y herramientas).

El Proceso de Auditora segn ISO (iv)

Para cada auditora las partes debern acordar siguientes puntos: agenda; productos software ( y resultados de alguna actividad ) que sern revisados; alcance y procedimientos de la auditora; y criterios de entrada y salida para la auditora. Los problemas descubiertos durante las auditoras se registrarn y se pasarn al Proceso de Resolucin de Problemas.

Despus de completar una auditora, los resultados se documentarn y se proporcionarn a la parte auditada.
Las partes debern acordar el resultado de la auditora y cualquier responsabilidad y criterio de cierre.

El Proceso de Auditora segn ISO (v)

La actividad de auditora propiamente dicha consta de una nica tarea tendiente a garantizar que: Los elementos software (cdigo, etc.) reflejan la documentacin de diseo. La revisin de aceptacin y los requerimientos de prueba prescritos por la documentacin son adecuados para la aceptacin de los productos software. Los datos de prueba cumplen con la especificacin.

El Proceso de Auditora segn ISO (vi)

Los productos software fueron suficientemente probados y sus especificaciones cumplidas.

Los informes de pruebas son correctos y las discrepancias entre resultados actuales y esperados han sido resueltas. La documentacin de usuario cumple los estndares especificados.
Las actividades han sido conducidas de acuerdo con los requerimientos, planes y contratos aplicables. Los costes y calendarios se ajustan a los planes establecidos.

COBIT : Modelo de Gestin de TI

DEFINICIN
Control OBjectives for Information and Related Technology
(Objetivos de Control para Tecnologa de la Informacin y Tecnologas relacionadas)

DEFINICIN
COBIT es un modelo de gestin y control de TI, con el objetivo de consensuar: los riesgos del negocio las necesidades de control

y los aspectos tecnolgicos,

mediante la entrega de buenas prcticas aplicables a una estructura lgica de procesos y actividades

MISIN
Investigar, desarrollar, publicitar y promover un actualizado, confiable e internacionalmente aceptado conjunto de Objetivos para el control de TI, a ser utilizados en el desarrollo habitual de las operaciones tanto por gerentes del negocio, como por auditores.

CARACTERSTICAS

Orientado al negocio
Alineado con estndares y regulaciones de facto (COSO, IFAC, IIA, ISACA, AICPA) ntegro (basado en una revisin crtica y analtica de las tareas y actividades en TI) Flexible

Razones que llevan a considerar implantar un modelo de gestin de TI

Dependencia creciente del negocio frente a la informacin La Tecnologa soporta casi la totalidad de los procesos del negocio Los desarrollos constantes en TI y en las prcticas de negocio La responsabilidad por el uso de la tecnologa se extiende en la organizacin Los cambios ms importantes se realizan pero igual contina la presin hacia el cambio. Nivel de inversiones en tecnologa

Razones que llevan a considerar implantar un modelo de gestin de TI

Constante aumento de vulnerabilidades y un amplio espectro de amenazas.

Potencial de TI para efectuar cambios profundos en las organizaciones, crear nuevas oportunidades de negocios y reducir los costos
Incremento de la necesidad de contar con un modelo adecuado de gobernabilidad corporativa (corporate governance) Nuevas normativas (Sarbanes-Oxley act, comunicacin 2003/179, NTPs)

La Metodologa CobiT
Control Objectives for Information and Related Technologies. Propuesta por la ISACF (Information Systems Audit and Control Foundation). Es la principal propuesta metodolgica realizada a nivel internacional para abordar la Auditora de Sistemas de Informacin. Supone un paso muy importante al considerar que, a efectos de auditora, el sistema de informacin de una organizacin es UNICO, aunque ciertos procesos se realicen de forma manual y otros mediante el uso de la informtica. La filosofa de CobiT asimila los principios de reingeniera de empresas (BPR) y divide las funciones que ha de realizar un sistema de informacin en procesos que, a su vez, estn subdivididos en actividades y tareas ms simples. Los sistemas de informacin estn orientados a los procesos y por tanto su auditora se debe adaptar a estos conceptos.

La Metodologa CobiT - Audiencia

CobiT esta diseado para ser utilizado por tres audiencias distintas: Gestores: Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de Tecnologas de la Informacin (TI) frecuentemente impredecible. Usuarios: Para obtener una garanta en cuanto a la seguridad y control de los servicios de TI proporcionados internamente o por terceras partes. Auditores de Sistemas de Informacin: Para dar soporte a las opiniones mostradas a los Gestores sobre los controles internos. Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por todos aqullos con responsabilidades en el campo de las TI en las empresas.

PRINCIPIOS DE COBIT
Requerimientos del negocio

Procesos de TI

Recursos de TI

El concepto o enfoque del marco COBIT, se basa en que el control en TI se logra obteniendo la informacin necesaria para apoyar los requerimientos procesos del negocio, y considerando la informacin como resultado de la aplicacin combinada de recursos de TI que necesitan ser administrados por procesos de TI

La Metodologa CobiT - Fundamentos (ii)

Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios: Requerimientos de Calidad: Calidad Coste Entrega (servicio) Requerimientos Fiduciarios: Efectividad y eficiencia de las operaciones Fiabilidad de la informacin Cumplimiento de leyes y normas Requerimientos de Seguridad: Confidencialidad Integridad Disponibilidad

Requerimientos de la Informacin para el Negocio

Para satisfacer los objetivos del negocio la informacin debe cumplir con criterios que COBIT extrae de los ms reconocidos modelos:

Requerimientos de calidad (ISO 9000-3)

Calidad Costo Entrega

Requerimientos fiduciarios (Informe COSO)

{ {

Eficacia y eficiencia Confiabilidad de la informacin Cumplimiento de leyes y reglamentaciones

Requerimientos de seguridad (libro rojo, naranja y otros)

Disponibilidad Integridad Confidencialidad

Requerimientos de la Informacin para el Negocio

Partiendo de estos tres requerimientos criterios amplios, se identifican las siguientes siete categoras: Eficacia: se refiere a la relevancia y pertinencia de la informacin para el proceso de negocio y a su entrega en forma oportuna, correcta, consistente y til. se vincula con la provisin de informacin mediante el uso ptimo (el ms productivo y econmico) de los recursos.

Eficiencia:

Confidencialidad: se refiere a la proteccin de la informacin crtica, contra su divulgacin no autorizada.

Integridad: se vincula con la exactitud y la totalidad de la informacin, as como tambin con su validez de acuerdo con los valores y las expectativas de negocio.

Disponibilidad:

se relaciona con el hecho de que la informacin se encuentre disponible cuando la necesite el proceso de negocio, en el presente y en el futuro. Tambin se asocia con la proteccin de los recursos necesarios y las capacidades asociadas.

Cumplimiento: se refiere al cumplimiento de las leyes, reglamentaciones y disposiciones contractuales a las que est sujeto el proceso de negocio, vale decir, los criterios de negocio impuestos a nivel externo.
Confiabilidad de la informacin: se vincula con la provisin de la informacin adecuada, para que la gerencia maneje la entidad y ejerza sus responsabilidades de presentacin de informes financieros y de cumplimiento.

RECURSOS DE TI
Los recursos de TI, identificados en COBIT, para alcanzar los objetivos del negocio son los siguientes : Datos: objetos en su sentido ms amplio, es decir, internos y externos, estructurados y no estructurados, grficos, sonidos, etc. Sistemas de aplicacin: se entiende por tales la suma de los procedimientos manuales y programados.

Tecnologa: la tecnologa abarca el hardware, los sistemas operativos, los sistemas de administracin de bases de datos, las redes, los multimedios, etc. Instalaciones: recursos diversos utilizados para alojar y dar soporte a los sistemas de informacin Personas: habilidades, aptitudes, conocimientos y productividad del personal para planificar, organizar, adquirir, entregar, brindar soporte y monitorear los sistemas y servicios de informacin.

PROCESOS DE TI
Los recursos de las Tecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la informacin que la empresa necesita para alcanzar sus objetivos.

PROCESOS DE TI
Dominios Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional Conjuntos o series de actividades unidas con delimitacin o cortes de control. Acciones requeridas para lograr un resultado medible. Las actividades tienen un ciclo de vida mientras que las tareas son discretas.

Procesos

Actividades o tareas

PROCESOS DE TI
Los procesos se agrupan en cuatro grandes dominios: Planeacin y Organizacin (Planning and Organization) Adquisicin e implementacin (Acquisition and Implementation) Prestacin de Servicios y Soporte (Delivery and Support) Seguimiento (monitoring)

PROCESOS DE TI
Las definiciones de los cuatro dominios identificados para la clasificacin de alto nivel son: Planificacin y Organizacin Este dominio abarca aspectos estratgicos y tcticos y se vincula con la identificacin de la forma en que la tecnologa de informacin puede contribuir ms adecuadamente con el logro de los objetivos del negocio. Adems, es preciso planificar, comunicar y administrar la realizacin de la visin estratgica desde distintas perspectivas. Por ltimo, debe existir una correcta organizacin e infraestructura tecnolgica.

PROCESOS DE TI
Adquisicin e Implementacin Para realizar la estrategia de Ti, deben identificarse, desarrollarse o adquirirse soluciones de Ti y luego implantarse e integrarse en el proceso de negocio. Adems, este dominio abarca los cambios y el mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.

PROCESOS DE TI
Entrega y Soporte
En este dominio nos ocupamos de la entrega o prestacin efectiva de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitacin. Para prestar los servicios, deben establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento real de los datos por los sistemas de aplicacin, a menudo clasificados como controles de aplicaciones.

PROCESOS DE TI
Monitoreo Es preciso evaluar regularmente todos los procesos de TI, a medida que trascurre el tiempo para determinar su calidad y el cumplimiento de los requerimientos de control. De este modo, este dominio corresponde al seguimiento de la gerencia sobre los procesos de control de la organizacin y la garanta independiente provista por la auditoria interna y externa u obtenida de fuentes alternativas.

PROCESOS DE TI
Se definen 34 objetivos de control generales (OCGs), uno para cada uno de los procesos de las TI
Planeacin y Organizacin

Adquisicin e Implementacin

Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de TI Manejo de la inversin en TI Comunicacin de la directrices Gerenciales Administracin del Recurso Humano Asegurar el cumplir requerimientos externos Evaluacin de Riesgos Administracin de Proyectos Administracin de Calidad Identificacin de soluciones Adquisicin y mantenimiento de SW aplicativo Adquisicin y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalacin y Acreditacin de sistemas Administracin de Cambios

PROCESOS DE TI
Servicios y Soporte Definicin del nivel de servicio Administracin del servicio de terceros Administracin de la capacidad y el desempeo Asegurar el servicio continuo Garantizar la seguridad del sistema Identificacin y asignacin de costos Capacitacin de usuarios Soporte a los clientes de TI Administracin de la configuracin Administracin de problemas e incidentes Administracin de datos Administracin de Instalaciones Administracin de Operaciones Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditora independiente

Seguimiento

DEFINICIN DE CONTROL EN COBIT

Las polticas, procedimientos prcticas y estructuras organizacionales diseadas para proveer una razonable confiabilidad de que los objetivos del negocio sern alcanzados y que los eventos indeseables sern prevenidos o detectados y corregidos

DEFINICIN DE OBJETIVO DE CONTROL EN COBIT

Es la declaracin del resultado deseable o el propsito a lograr (el Que) mediante la implantacin de recomendaciones, procedimientos o tcnicas de control (el Como) en determinada actividad de tecnologa de la informacin
COBIT explicita cada objetivo del control a nivel de actividades Los 34 OCGs propuestos se concretan en 302 objetivos de control detallados (OCDs).

La metodologa CobiT - Estructura (iii)

Las tres dimensiones conceptuales de CobiT

COBIT: Estructura conceptual

Se puede enfocar desde tres puntos de vista :

Criterios de Informacin

Dominios

Procesos de TI

Procesos

Actividades

Personas Sistemas Aplicativos Tecnologa Instalaciones Datos

Proyecto COBIT
Steering Comittee
representantes de distintos mbitos Coordinacin ISACAF Grupos de investigacin USA, Europa y Australia

EL PRODUCTO COBIT
3ra EDICIN
Resumen Ejecutivo Herramientas de implementacin

Marco ReferencialEsquema Objetivos de Alto Nivel

Lineamientos Gerenciales

Objetivos de Control Detallados

Guas de Auditora

Modelos de Madurez

Factores Crticos de xito

Indicadores Clave de Rendimiento

Indicadores Clave de Logros

ELEMENTOS

Executive Summary Presentacin del mtodo Framework -- Explicacin del mtodo Control Objectives -- Controles mnimos Audit Guidelines -- Como auditar Management Guidelines -- Como medir la performance Implementation Guide -- Como implementar el mtodo

ESTRUCTURA
EVENTOS
Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulacin Riesgos

INFORMACIN Datos Applicaciones Tecnologa Instalaciones

Recursos Humanos Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

Objetivos del Negocio

Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento inndependiente Proveer una auditora independiente

CobiT

Definir un plan estratgico de TI Definir la arquitectura de informacin Determinar la direccin tecnolgica Definir la organizacin y relaciones de TI Manejo de la inversin en TI Comunicacin de la directrices Gerenciales Administracin del Recurso Humano Asegurar el cumplir requerimientos externos Evaluacin de Riesgos Administracin de Proyectos Administracin de Calidad

Req. Informacin

Seguimiento

Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad

Planeacin y Organizacin

Recursos de TI
Definicin del nivel de servicio Admistracin del servicio de terceros Administracin de la capacidad y el desempeo Asegurar el servicio continuo Garantizar la seguridad del sistema Identificacin y asignacin de costos Capacitacin de usuarios Soporte a los clientes de TI Administracin de la configuracin Administracin de problemas e incidentes Administracin de datos Administracin de Instalaciones Administracin de Operaciones

Datos, Aplicaciones Tecnologa, Instalaciones, Recurso Humano

Adquisicin e Implementacin

Servicios y Soporte

Identificacin de soluciones Adquisicin y mantenimiento de SW aplicativo Adquisicin y mantenimiento de arquitectura TI Desarrollo y mantenimiento de Procedimientos de TI Instalacin y Acreditacin de sistemas Administracin de Cambios

MARCO DE REFERENCIA
Lo que usted Obtiene

Procesos del Negocio

Lo que Usted Necesita

Criterios

Informacin

Recursos de TI
Datos Aplicaciones Tecnologa Instalaciones Recurso Humano

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

Concuerdan

MARCO DE REFERENCIA
El control de
Procesos de TI que satisfacen Requerimientos

de negocios

se habilitan por Objetivos De control

Prcticas
De Control

Diagrama de cascada

ASISTENTE DE NAVEGACIN
Planificacin y Organizacin Adquisicin e Implementacin Entrega y Soporte Monitoreo

Vnculo entre Procesos, Recursos y Criterios

El contol de los

Procesos de TI
que satisface los

Criterios de informacin

Requerimientos de Negocio

es habilitado por las

Declaraciones de Control

considerando las

Procesos de TI

Recursos de TI

Prcticas de Control

Tres posiciones ventajosas

OBJETIVOS DE CONTROL DE ALTO NIVEL: DS5

El control sobre el proceso de:
administrar la seguridad de los sistemas
Organizacin y planeacin Adquisicin e implementacin

Satisface los requerimientos del negocio:

salvaguardar informacin contra uso, difusin o modificaciones no autorizadas, dao o prdida

Entrega y soporte
Monitoreo

Es posible por:
controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas se encuentra restringido a usuarios autorizados

Considerando:
autorizacin, autenticacin, uso de perfiles e identificaciones, firewalls, deteccin y proteccin de virus, manejo de incidentes, etc.

P P S S S

Actividades de Control
Administrar Medidas de Seguridad Reacreditacin

Identificacin, Autenticacin y Acceso

Seguridad de Acceso a Datos en Lnea Administracin de Cuentas de Usuario Revisin Gerencial de Cuentas de Usuario

Confianza en Contrapartes
Autorizacin de transacciones No negacin Sendero Seguro

Control de Usuarios sobre Cuentas de Usuario

Vigilancia de Seguridad Clasificacin de Datos

Proteccin de funciones de seguridad

Administracin de Llaves Criptogrficas Prevencin, Deteccin y Correccin de Software "Malicioso

Identificacin y administracin de asignacin de derechos

Reportes de Violacin y de Actividades de Seguridad Manejo de Incidentes

Arquitectura de Fire Walls y conexin a redes pblicas

Proteccin de Valores Electrnicos

Las cinco formas de utilizar COBIT

Como una herramienta de comunicacin Como una herramienta de organizacin Como una consenso herramienta para estructurar

Como una herramienta de autoevaluacin de TI Como una herramienta para determinar el alcance de la tarea de auditora

COBIT PERMITE
Posibilidad de aplicar las prcticas en un amplio espectro de sistemas de informacin, independientemente de la tecnologa empleada Cumplimiento de las generalmente aplicables y aceptadas prcticas para el control de TI Aumentar el valor de la empresa Gestin orientada hacia el enfoque de dueos de procesos Alineacin de objetivos de TI con objetivos del negocio Utilizacin eficiente y eficaz de los recursos de TI

Gestin medible y auditable

COBIT NECESITA
CONCIENTIZACIN, CAPACITACIN Y ENTRENAMIENTO
ADAPTACIN A LA ORGANIZACIN

FIJAR ROLES Y RESPONSABILIDADES

SER COMPLEMENTADA CON OTROS MODELOS QUE ME PERMITAN CONTAR CON UN GOBIERNO CORPORATIVO ADECUADO

COBIT

Dominio: Planificacin y organizacin

Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologa de informacin puede contribuir de la mejor manera al logro de los objetivos de negocio.
Adems, la consecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes perspectivas.

DOMINIO: Planificacin y Organizacin

Proceso: 1
Proceso: 2

Definicin de un plan estratgico de TI

Definicin de la arquitectura de la informacin

Proceso: 3
Proceso: 4 Proceso: 5 Proceso: 6

Determinacin de la direccin tecnolgica

Definicin de la organizacin y el relacionamiento en TI Administracin de la inversin en TI Comunicacin de los objetivos y directivas de la gerencia

DOMINIO: Planificacin y Organizacin

Proceso: 7 Proceso: 8 Proceso: 9 Administracin de los recursos humanos Aseguramiento del cumplimiento de los requerimientos externos Evaluacin de riesgos

Proceso: 10
Proceso: 11

Administracin de proyectos
Administracin de la calidad

Dominio: Planificacin y organizacin

PO1 Definicin de un plan Estratgico
Objetivo: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos de TI de negocio, para asegurar sus logros futuros. La definicin de objetivos de negocio y necesidades de TI, la alta gerencia ser la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misin y las metas generales de la organizacin. El inventario de soluciones tecnolgicas e infraestructura actual, se deber evaluar los sistemas existentes en trminos de: nivel de automatizacin de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el propsito de determinar el nivel de soporte que reciben los requerimientos del negocio de los sistemas existentes. Los cambios organizacionales, se deber asegurar que se establezca un proceso para modificar oportunamente y con precisin el plan a largo plazo de tecnologa de informacin con el fin de adaptar los cambios al plan a largo plazo de la organizacin y los cambios en las condiciones de la TI Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos

 PO1 Definicin de un plan Estratgico

Dominio: Planificacin y organizacin

Dominio: Planificacin y organizacin

PO2 Definicin de la Arquitectura de Informacin
Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas de informacin, a travs de la creacin y mantenimiento de un modelo de informacin de negocio, asegurndose que se definan los sistemas apropiados para optimizar la utilizacin de esta informacin, tomando en consideracin: La documentacin deber conservar consistencia con las necesidades permitiendo a los responsables llevar a cabo sus tareas eficiente y oportunamente. El diccionario de datos, el cual incorporara las reglas de sintaxis de datos de la organizacin y deber ser continuamente actualizado. La propiedad de la informacin y la clasificacin de severidad con el que se establecer un marco de referencia de clasificacin general relativo a la ubicacin de datos en clases de informacin.

Dominio: Planificacin y organizacin

PO2 Definicin de la Arquitectura de Informacin

Dominio: Planificacin y organizacin

PO3 Determinacin de la direccin tecnolgica
Objetivo: Aprovechar al mximo de la tecnologa disponible o tecnologa emergente, satisfaciendo los requerimientos de negocio, a travs de la creacin y mantenimiento de un plan de infraestructura tecnolgica, tomando en consideracin: La capacidad de adecuacin y evolucin de la infraestructura actual, que deber concordar con los planes a largo y corto plazo de tecnologa de informacin y debiendo abarcar aspectos tales como arquitectura de sistemas, direccin tecnolgica y estrategias de migracin. El monitoreo de desarrollos tecnolgicos que sern tomados en consideracin durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica. Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuacin y evolucin de la infraestructura), con lo que se evaluar sistemticamente el plan de infraestructura tecnolgica. Planes de adquisicin, los cuales debern reflejar las necesidades identificadas en el plan de infraestructura tecnolgica.

Dominio: Planificacin y organizacin

PO3 Determinacin de la direccin tecnolgica

Dominio: Planificacin y organizacin

PO4 Definicin de la organizacin y de las relaciones de TI
Objetivo: Prestacin de servicios de TI El comit de direccin el cual se encargara de vigilar la funcin de servicios de informacin y sus actividades. Supervisin Segregacin de funciones Los roles y responsabilidades, La descripcin de puestos Los niveles de asignacin de personal El personal clave

Dominio: Planificacin y organizacin

PO4 Definicin de la organizacin y de las relaciones de TI

Dominio: Planificacin y organizacin

PO5 Manejo de la inversin
Objetivo: tiene como finalidad la satisfaccin de los requerimientos de negocio, asegurando el financiamiento y el control de desembolsos de recursos financieros.

Dominio: Planificacin y organizacin

PO6 Comunicacin de la direccin y aspiraciones de la gerencia
Objetivo: Asegurar el conocimiento y comprensin de los usuarios sobre las aspiraciones del alto nivel

Dominio: Planificacin y organizacin

PO7 Administracin de recursos humanos
Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo as los requerimientos de negocio, a travs de tcnicas slidas para administracin de personal.

Dominio: Planificacin y organizacin

PO8 Asegurar el cumplimiento con los requerimientos Externos
Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales Para ello se realiza una identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas para cumplir con ellos

Dominio: Planificacin y organizacin

PO9 Evaluacin de riesgos
Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de servicios de TI Para ello se logra la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, tomando medidas econmicas para mitigar los riesgos

 PO10 Administracin de proyectos

Dominio: Planificacin y organizacin

Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversin Para ello se realiza una identificacin y priorizacin de los proyectos en lnea con el plan operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido

DOMINIO: Adquisicin e Implantacin

Proceso: 12
Proceso: 13

Identificacin de soluciones
Adquisicin y mantenimiento de software de aplicacin

Proceso: 14
Proceso: 15 Proceso: 16 Proceso: 17

Adquisicin y mantenimiento de la infraestructura tecnolgica

Desarrollo y mantenimiento de procedimientos de TI Instalacin y certificacin de sistemas Administracin de cambios

Dominio: Adquisicin e implementacin

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

 AI1 Identificacin de Soluciones Automatizadas

Dominio: Adquisicin e implementacin

Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario Para ello se realiza un anlisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios

Dominio: Adquisicin e implementacin

AI2 Adquisicin y mantenimiento del software aplicativo
Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio. Para ello se definen declaraciones especficas sobre requerimientos funcionales y operacionales y una implementacin estructurada con entregables claros

 AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica

Dominio: Adquisicin e implementacin

Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios Para ello se realizara una evaluacin del desempeo del hardware y software, la provisin de mantenimiento preventivo de hardware y la instalacin, seguridad y control del software del sistema

 AI4 Desarrollo y mantenimiento de procedimientos

Dominio: Adquisicin e implementacin

Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas. Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de servicio y material de entrenamiento

 AI5 Instalacin y aceptacin de los sistemas

Dominio: Adquisicin e implementacin

Objetivo: Verificar y confirmar que la solucin sea adecuada para el propsito deseado Para ello se realiza una migracin de instalacin, conversin y plan de aceptaciones adecuadamente formalizadas

Dominio: Adquisicin e implementacin

AI6 Administracin de los cambios
Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores. Esto se hace posible a travs de un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual

DOMINIO: Entrega y Soporte

Proceso: 18
Proceso: 19

Definicin de los niveles del servicio

Administracin de los servicios prestados por terceros

Proceso: 20
Proceso: 21 Proceso: 22

Administracin de la capacidad y del desempeo del sistema

Aseguramiento de la continuidad del servicio Establecimiento de pautas para la seguridad de los sistemas

Proceso: 23

Identificacin e imputacin de costos

DOMINIO: Entrega y Soporte

Proceso: 24
Proceso: 25

Educacin y capacitacin de los usuarios

Asistencia y asesoramiento a los clientes de TI

Proceso: 26
Proceso: 27 Proceso: 28 Proceso: 29 Proceso: 30

Administracin de la configuracin
Administracin de problemas e incidentes Administracin de datos Administracin de instalaciones Administracin de las operaciones

Dominio: Prestacin y soporte

Procesos
Ds1 Definicin de niveles de servicio Ds2 Administracin de servicios prestados por terceros Ds3 Administracin de desempeo y capacidad Ds4 Asegurar el Servicio Continuo Ds5 Garantizar la seguridad de sistemas Ds6 Educacin y entrenamiento de usuarios Ds7 Identificacin y asignacin de costos Ds8 Apoyo y asistencia a los clientes de TI Ds9 Administracin de la configuracin Ds10 Administracin de Problemas Ds11 Administracin de Datos Ds12 Administracin de las instalaciones Ds13 Administracin de la operacin

Dominio: Prestacin y soporte

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin.

Dominio: Prestacin y soporte

Ds1 Definicin de niveles de servicio
Objetivo: Establecer una comprensin comn del nivel de servicio requerido Para ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio

Dominio: Prestacin y soporte

Ds2 Administracin de servicios prestados por terceros
Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas, que cumplan y continen satisfaciendo los requerimientos Para ello se establecen medidas de control dirigidas a la revisin y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la organizacin

Dominio: Prestacin y soporte

Ds3 Administracin de desempeo y capacidad
Objetivo: Asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado. Para ello se realizan controles de manejo de capacidad y desempeo que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos

Dominio: Prestacin y soporte

Ds4 Asegurar el Servicio Continuo
Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en caso de interrupciones Para ello se tiene un plan de continuidad probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio

Dominio: Prestacin y soporte

Ds5 Garantizar la seguridad de sistemas
Objetivo: salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdida Para ello se realizan controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados

Dominio: Prestacin y soporte

Ds6 Educacin y entrenamiento de usuarios
Objetivo: Asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades involucrados Para ello se realiza un plan completo de entrenamiento y desarrollo.

 Ds7 Identificacin y asignacin de costos

Dominio: Prestacin y soporte

Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI Para ello se realiza un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos

Dominio: Prestacin y soporte

Ds8 Apoyo y asistencia a los clientes de TI
Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente Para ello se realiza un Bur de ayuda que proporcione soporte y asesora de primera lnea

 Ds9 Administracin de la configuracin

Dominio: Prestacin y soporte

Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de cambios Para ello se realizan controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia

 Ds10 Administracin de Problemas

Dominio: Prestacin y soporte

Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder. Para ello se necesita un sistema de manejo de problemas que registre y d seguimiento a todos los incidentes, adems de un conjunto de procedimientos de escalamiento de problemas para resolver de la manera ms eficiente los problemas identificados

Dominio: Prestacin y soporte

Ds11 Administracin de Datos
Objetivo: Asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin, salida y almacenamiento. Lo cual se logra a travs de una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI

 Ds12 Administracin de las instalaciones

Dominio: Prestacin y soporte

Objetivo: Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad fsica.

 Ds13 Administracin de la operacin

Dominio: Prestacin y soporte

Objetivo: Asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada Esto se logra a travs de una calendarizacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades

DOMINIO: Monitoreo
Proceso: 31 Proceso: 32 Proceso: 33 Proceso: 34 Monitoreo de los procesos Evaluacin de la adecuacin del control interno Obtencin de aseguramiento independiente Provisin de auditora independiente

Dominio: Monitoreo
Todos los procesos de una organizacin necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Este es, precisamente, el mbito de este dominio.

Dominio: Monitoreo
Procesos
M1 Monitoreo del Proceso M2 Evaluar lo adecuado del Control Interno M3 Obtencin de Aseguramiento Independiente M4 Proveer Auditoria Independiente

Dominio: Monitoreo
M1 Monitoreo del Proceso
Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeo gerenciales y la implementacin de sistemas de soporte as como la atencin regular a los reportes emitidos.

 M2 Evaluar lo adecuado del Control Interno

Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI. Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a travs de actividades administrativas y de supervisin, comparaciones, reconciliaciones y otras acciones rutinarias., evaluar su efectividad y emitir reportes sobre ellos en forma regular.

Dominio: Monitoreo

 M4 Proveer Auditoria Independiente

Dominio: Monitoreo

Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas de su implementacin, lo que se logra con el uso de auditorias independientes desarrolladas a intervalos regulares de tiempo. Para ello la gerencia deber establecer los estatutos para la funcin de auditoria, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoria

 En resumen, la estructura conceptual se puede enfocar desde tres puntos de vista:

Los criterios empresariales que deben satisfacer la informacin Los recursos de las TI Los procesos de TI Las tres dimensiones conceptuales de COBIT

FIN