Índice 2. COBIT 3. Planificación y Organización 4. Adquisición e implementación 5. Prestación y Soporte 6. Monitoreo 7. Aplicación de las Normas COBIT 8. Apéndice I 9.

Apéndice II 1. Introducción El siguiente trabajo tiene la finalidad de exponer las Normas COBIT de manera simple y comprensible. Para ello, además de realizar un desarrollo teórico de las mismas, incluimos un análisis de la situación actual del Departamento de Recursos Humanos de la organización INEXEI SCHOOL, explicamos si sus procedimientos respetan o no la norma, e indicamos qué debería hacerse para que aplique y cumpla con un determinado proceso de la norma. El cuerpo del trabajo esta dividido en dos partes principales las cuales reflejan las Características y Estructura de COBIT y el Relevamiento y Aplicación de las Normas COBIT en la Escuela. Además, incluimos dos Apéndices: en el apéndice I indicamos los componentes de COBIT como Producto y en el apéndice II incorporamos la lista completa de Dominios, Procesos y Objetivos de Control. Para Finalizar, adjuntamos con esta monografía un disquette que contiene el Resumen Ejecutivo (2ª Edición) de la norma y las Guías de Auditoría de la misma, las cuales pueden ser utilizadas por nuestros compañeros si desean profundizar más en el estudio de COBIT, y que en este trabajo son desarrolladas brevemente para no hacer tediosa la explicación de la norma y por razones de espacio obvias. 2. COBIT (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas) COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores Usuarios: La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus áreas. También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas. Características: Orientado al negocio Alineado con estándares y regulaciones "de facto"

   

 

 

Basado en una revisión crítica y analítica de las tareas y actividades en TI Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA) Principios: El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI. Requerimientos de la información del negocio Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos criterios: Requerimientos de Calidad: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones. Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica). Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa. Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad Confidencialidad: Protección de la información sensible contra divulgación no autorizada Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa. Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma. Recursos de TI En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio: Datos: Todos los objetos de información. Considera información interna y externa, estructurada o no, gráficas, sonidos, etc. Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. Tecnología: incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.

   

   

      o

Procesos de TI La estructura de COBIT se define a partir de una premisa simple y pragmática: "Los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos". COBIT se divide en tres niveles: Dominios Procesos Actividades Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.

a través de la creación y mantenimiento de un modelo de información de negocio. con el propósito de determinar el nivel de soporte que reciben los requerimientos del negocio de los sistemas existentes. dirección tecnológica y estrategias de migración. el cual incorporara las reglas de sintaxis de datos de la organización y deberá ser continuamente actualizado. Finalmente. que deberá concordar con los planes a largo y corto plazo de tecnología de información y debiendo abarcar aspectos tales como arquitectura de sistemas. Se definen 34 objetivos de control generales. La propiedad de la información y la clasificación de severidad con el que se establecerá un marco de referencia de clasificación general relativo a la ubicación de datos en clases de información. asegurándose que se definan los sistemas apropiados para optimizar la utilización de esta información. se deberá evaluar los sistemas existentes en términos de: nivel de automatización de negocio. se deberá asegurar que se establezca un proceso para modificar oportunamente y con precisión el plan a largo plazo de tecnología de información con el fin de adaptar los cambios al plan a largo plazo de la organización y los cambios en las condiciones de la TI Estudios de factibilidad oportunos. teniendo en cuenta: La definición de objetivos de negocio y necesidades de TI. El diccionario de datos. satisfaciendo los requerimientos de negocio. Los cambios organizacionales. uno para cada uno de los procesos de las TI.             . resistencia. los que deberán ser traducidos periódicamente en planes operacionales estableciendo metas claras y concretas a corto plazo. funcionalidad. El monitoreo de desarrollos tecnológicos que serán tomados en consideración durante el desarrollo y mantenimiento del plan de infraestructura tecnológica. tomando en consideración: La capacidad de adecuación y evolución de la infraestructura actual. la consecución de la visión estratégica necesita ser planeada. Además. Las contingencias (por ejemplo. Su realización se concreta a través un proceso de planeación estratégica emprendido en intervalos regulares dando lugar a planes a largo plazo. redundancia. El inventario de soluciones tecnológicas e infraestructura actual. organizando de la mejor manera posible los sistemas de información. PO3 Determinación de la dirección tecnológica Objetivo: Aprovechar al máximo de la tecnología disponible o tecnología emergente. Estos procesos están agrupados en cuatro grandes dominios que se detallan a continuación junto con sus procesos y una descripción general de las actividades de cada uno: 3. Actividades: Acciones requeridas para lograr un resultado medible. Dominio: Planificación y organización Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio. capacidad de adecuación y evolución de la infraestructura). para asegurar sus logros futuros. estabilidad. deberán establecerse una organización y una infraestructura tecnológica apropiadas. complejidad. con lo que se evaluará sistemáticamente el plan de infraestructura tecnológica. Procesos: PO1 Definición de un plan Estratégico Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y los requerimientos de TI de negocio. Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control. costo y fortalezas y debilidades. a través de la creación y mantenimiento de un plan de infraestructura tecnológica. tomando en consideración: La documentación deberá conservar consistencia con las necesidades permitiendo a los responsables llevar a cabo sus tareas eficiente y oportunamente. comunicada y administrada desde diferentes perspectivas. la alta gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas generales de la organización. para que se puedan obtener resultados efectivos PO2 Definición de la Arquitectura de Información Objetivo: Satisfacer los requerimientos de negocio.

Los beneficios derivados de las actividades de TI deberán ser analizados en forma similar.  Supervisión. documentar y mantener una filosofía de calidad. con tareas y responsabilidades definidas y comunicadas. El control del gasto real. El compromiso con la calidad.     . seguridad y estándares de control interno deberá ser establecido por la Alta Gerencia y promoverse a través del ejemplo. necesitándose para esto estándares para traducir las opciones estratégicas en reglas de usuario prácticas y utilizables.          o PO5 Manejo de la inversión Objetivo: tiene como finalidad la satisfacción de los requerimientos de negocio. se deberán investigar diferentes alternativas de financiamiento. El personal clave. Toma en cuenta: Los código de ética / conducta. la Gerencia deberá crear una estructura para designar formalmente a los propietarios y custodios de los datos. Los niveles de asignación de personal. Sus funciones y responsabilidades deberán estar claramente definidas. Los roles y responsabilidades. teniendo en cuenta: El comité de dirección el cual se encargara de vigilar la función de servicios de información y sus actividades. se deberá tomar como base el sistema de contabilidad de la organización. Propiedad. implementados y mantenidos por todos los niveles de la función de servicios de información. la gerencia deberá asegurarse de que todo el personal deberá conocer y contar con la autoridad suficiente para llevar a cabo las funciones y responsabilidades que le hayan sido asignadas La descripción de puestos. deberá establecerse un control gerencial que garantice que la prestación de servicios por parte de la función de servicios de información se justifique en cuanto a costos. la Gerencia de la función de servicios de información deberá definir. los cuales deberán reflejar las necesidades identificadas en el plan de infraestructura tecnológica. conducta. mismo que deberá registrar. procesar y reportar rutinariamente los costos asociados con las actividades de la función de servicios de información La justificación de costos y beneficios.  o Planes de adquisición. debiendo ser comprendidos. la Gerencia deberá también asegurar y monitorear la duración de la implementación de sus políticas. Las directrices tecnológicas El cumplimiento. con la que se evitará la posibilidad de que un solo individuo resuelva un proceso crítico. PO4 Definición de la organización y de las relaciones de TI Objetivo: Prestación de servicios de TI Esto se realiza por medio de una organización conveniente en número y habilidades. deberán hacerse evaluaciones de requerimientos regularmente para asegurar para asegurar una asignación de personal adecuada en el presente y en el futuro. deberá delinear claramente tanto la responsabilidad como la autoridad. asegurando el financiamiento y el control de desembolsos de recursos financieros.     o PO6 Comunicación de la dirección y aspiraciones de la gerencia Objetivo: Asegura el conocimiento y comprensión de los usuarios sobre las aspiraciones del alto nivel (gerencia). para asegurar que las funciones y responsabilidades sean llevadas a cabo apropiadamente Segregación de funciones. se concreta a través de políticas establecidas y transmitidas a la comunidad de usuarios. Su realización se concreta a través presupuestos periódicos sobre inversiones y operaciones establecidas y aprobados por el negocio. teniendo en cuenta: Las alternativas de financiamiento. y ser adecuadas para su utilización en evaluaciones de desempeño. la gerencia deberá definir e identificar al personal clave de tecnología de información. incluyendo las definiciones de las habilidades y la experiencia necesarias para el puesto. custodia. el cumplimiento de las reglas de ética.

considerando factores como la educación. limites de los riesgos y la metodología para las evaluaciones de los riesgos. la estructura gerencial. de seguridad.: tecnológicos. a través de técnicas sólidas para administración de personal.       . deberá tener como base criterios objetivos. regulaciones y contratos Revisiones regulares en cuanto a cambios Búsqueda de asistencia legal y modificaciones Seguridad y ergonomía con respecto al ambiente de trabajo de los usuarios y el personal de la función de servicios de información. la alta gerencia deberá asegurar que esta política de seguridad y de control interno especifique el propósito y los objetivos. La evaluación objetiva y medible del desempeño. el alcance dentro de la organización.) de manera de que se pueda determinar la manera en la que los riesgos deben ser manejados a un nivel aceptable. Leyes. regulatorias y contractuales Para ello se realiza una identificación y análisis de los requerimientos externos en cuanto a su impacto en TI. etc. tomando medidas económicas para mitigar los riesgos y se toma en consideración: Identificación. llevando a cabo las medidas apropiadas para cumplir con ellos y se toma en consideración: Definición y mantenimiento de procedimientos para la revisión de requerimientos externos. según se requiera La capacitación. definición y actualización regular de los diferentes tipos de riesgos de TI (por ej. entrenamiento y o experiencia apropiados. satisfaciendo así los requerimientos de negocio. tomando como base una educación. la definición y asignación de responsabilidades para su implementación a todos los niveles y la definición de multas y de acciones disciplinarias asociadas con la falta de cumplimiento de estas políticas. Definición de alcances. Las políticas de seguridad y control interno. el personal deberá estar calificado. la experiencia y la responsabilidad. Los requerimientos de calificaciones.  o PO7 Administración de recursos humanos Objetivo: Maximizar las contribuciones del personal a los procesos de TI. se deberá asegurar que dichas evaluaciones sean llevada a cabo regularmente según los estándares establecidos y las responsabilidades específicas del puesto. los programas de educación y entrenamiento estarán dirigidos a incrementar los niveles de habilidad técnica y administrativa del personal.      o PO8 Asegurar el cumplimiento con los requerimientos Externos Objetivo: Cumplir con obligaciones legales. para la coordinación de estas actividades y para el cumplimiento continuo de los mismos. tomando en consideración: El reclutamiento y promoción. Los empleados deberán recibir asesoría sobre su desempeño o su conducta cuando esto sea apropiado. Actualización de evaluación de riesgos Metodología de evaluación de riesgos Medición de riesgos cualitativos y/o cuantitativos Definición de un plan de acción contra los riesgos para asegurar que existan controles y medidas de seguridad económicas que mitiguen los riesgos en forma continua. Privacidad Propiedad intelectual Flujo de datos externos y criptografía          o PO9 Evaluación de riesgos Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión de servicios de TI Para ello se logra la participación de la propia organización en la identificación de riesgos de TI y en el análisis de impacto.

la asignación de responsabilidades. el cual deberá promover la filosofía de mejora continua y contestar a las preguntas básicas de qué. Aprobación de fases de proyecto por parte de los usuarios antes de pasar a la siguiente fase. Plan de administración de riesgos para eliminar o minimizar los riesgos. Procesos: AI1 Identificación de Soluciones Automatizadas Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario Para ello se realiza un análisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios y toma en consideración: Definición de requerimientos de información para poder aprobar un proyecto de desarrollo. Dominio: Adquisición e implementación Para llevar a cabo la estrategia de TI. la realización de presupuestos de tiempo y recursos. Asignación de responsabilidades y autoridades a los miembros del personal asignados al proyecto.         . El involucramiento de los usuarios en el desarrollo. revisión post-implementación. implementación y mantenimiento de estándares y sistemas de administración de calidad por parte de la organización y se toma en consideración: Definición y mantenimiento regular del plan de calidad. Además. la organización deberá adoptar y aplicar sólidas técnicas de administración de proyectos para cada proyecto emprendido y se toma en consideración: Definición de un marco de referencia general para la administración de proyectos que defina el alcance y los límites del mismo. Aceptación de riesgos dependiendo de la identificación y la medición del riesgo. Presupuestos de costos y horas hombre Planes y metodologías de aseguramiento de calidad que sean revisados y acordados por las partes interesadas.  o PO10 Administración de proyectos Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversión Para ello se realiza una identificación y priorización de los proyectos en línea con el plan operacional por parte de la misma organización. de la incertidumbre incorporada al enfoque de evaluación de riesgos y de que tan económico resulte implementar protecciones y controles. inspecciones. Planes de prueba. Metodologías del ciclo de vida de desarrollo de sistemas que rija el proceso de desarrollo.          o PO11 Administración de calidad Objetivo: Satisfacer los requerimientos del cliente Para ello se realiza una planeación. este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. desarrolladas o adquiridas. adquisición. los avances. Documentación de pruebas de sistemas y programas Revisiones y reportes de aseguramiento de calidad 4. auditorias. como mínimo. implementación o modificación de los proyectos. Además. quién y cómo. que deben realizarse para alcanzar los objetivos del plan general de calidad. asi como implementadas e integradas dentro del proceso del negocio. implementación y mantenimiento de sistemas de información. los puntos de revisión y las aprobaciones. de la política organizacional. así como la metodología de administración de proyectos a ser adoptada y aplicada para cada proyecto emprendido. entrenamiento. las soluciones de Ti deben ser identificadas. Responsabilidades de aseguramiento de calidad que determine los tipos de actividades de aseguramiento de calidad tales como revisiones. La metodología deberá cubrir. etc. la determinación de tareas. Estudios de factibilidad con la finalidad de satisfacer los requerimientos del negocio establecidos para el desarrollo de un proyecto.

AI3 Adquisición y mantenimiento de la infraestructura tecnológica Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios Para ello se realizara una evaluación del desempeño del hardware y software. instalación y mantenimiento para no arriesgar la seguridad de los datos y programas ya almacenados en el mismo. Identificación de usuarios contra divulgación o mal uso) Contratación de terceros con el objeto de adquirir productos con buena calidad y excelente estado. Pistas de auditoria para ello deben existir mecanismos adecuados. Para ello se definen declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación estructurada con entregables claros y se toma en consideración: Requerimientos de usuarios. conversión y plan de aceptaciones adecuadamente formalizadas y toma en consideración: Capacitación del personal de acuerdo al plan de entrenamiento definido y los materiales relacionados. de aplicación.     o AI5 Instalación y aceptación de los sistemas Objetivo: Verificar y confirmar que la solución sea adecuada para el propósito deseado Para ello se realiza una migración de instalación. Mantenimiento preventivo del hardware con el objeto de reducir la frecuencia y el impacto de fallas de rendimiento. de acuerdo con el plan de prueba del proyecto y con los estándares establecidos antes de ser aprobado por los usuarios. Seguridad del software de sistema. la provisión de mantenimiento preventivo de hardware y la instalación. proceso y salida. Aceptación de instalaciones y tecnología a través del contrato con el Proveedor donde se acuerda un plan de aceptación para las instalaciones y tecnología especifica a ser proporcionada. Personalización de paquetes Realizar pruebas funcionales (unitarias. AI2 Adquisición y mantenimiento del software aplicativo Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio. de integración y de carga y estrés). de manera que los mismos permanezcan en permanente actualización para el mejor desempeño y control de los usuarios. Dichos mecanismos deben proporcionar la capacidad de proteger datos sensitivos (ej. requerimientos de servicio y material de entrenamiento y toma en consideración: Manuales de procedimientos de usuarios y controles. para realizar un correcto análisis y obtener un software claro y fácil de usar. Controles de aplicación y requerimientos funcionales Documentación (materiales de consulta y soporte para usuarios) con el objeto de que los usuarios puedan aprender a utilizar el sistema o puedan sacarse todas aquellas inquietudes que se les puedan presentar. Requerimientos de archivo. Manuales de Operaciones y controles. Materiales de entrenamiento enfocados al uso del sistema en la práctica diaria.  . seguridad y control del software del sistema y toma en consideración: Evaluación de tecnología para identificar el impacto del nuevo hardware o software sobre el rendimiento del sistema general. Interfase usuario-maquina asegurando que el software sea fácil de utilizar y que sea capaz de auto documentarse. de manera que estén en permanente actualización.             o AI4 Desarrollo y mantenimiento de procedimientos Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas. entrada. Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios.      Arquitectura de información para tener en consideración el modelo de datos al definir soluciones y analizar la factibilidad de las mismas. Seguridad con relación de costo-beneficio favorable para controlar que los costos no excedan los beneficios.

de manera que los elementos necesarios del sistema anterior sean convertidos al sistema nuevo. pruebas de regresión. desempeño. alteraciones no autorizadas y errores. Autorización de cambios Manejo de liberación de manera que la liberación de software este regida por procedimientos formales asegurando aprobación. coordinadas. operacional) con el objeto de obtener un producto satisfactorio. restricciones (límites en la cantidad de trabajo). Revisiones post implementación con el objeto de reportar si el sistema proporciono los beneficios esperados de la manera mas económica. frecuentemente clasificados como controles de aplicación. Pruebas específicas (cambios. Con el fin de proveer servicios. Definición de las responsabilidades de los usuarios y de la función de servicios de información Procedimientos de desempeño que aseguren que la manera y las responsabilidades sobre las relaciones que rigen el desempeño entre todas las partes involucradas sean establecidas. confiabilidad. Acreditación de manera que la Gerencia de operaciones y usuaria acepten los resultados de las pruebas y el nivel de seguridad para los sistemas. implementación y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual y toma en consideración: Identificación de cambios tanto internos como por parte de proveedores Procedimientos de categorización. deberán establecerse los procesos de soporte necesarios. con integridad y de manera oportuna. mantenidas y comunicadas a todos los departamentos afectados.     o Conversión / carga de datos. que abarca desde las operaciones tradicionales hasta el entrenamiento. Distribución de software. Garantías de integridad Convenios de confidencialidad Implementación de un programa de mejoramiento del servicio. distribución de impresión central y procedimientos de cambio. Provisiones para elementos sujetos a cargos en los acuerdos de niveles de servicio para hacer posibles comparaciones y decisiones de niveles de servicios contra su costo. niveles de soporte proporcionados al usuario. estableciendo medidas de control especificas para asegurar la distribución de software correcto al lugar correcto. Definición de dependencias asignando un Gerente de nivel de Servicio que sea responsable de monitorear y reportar los alcances de los criterios de desempeño del servicio especificado y todos los problemas encontrados durante el procesamiento. Dominio: Prestación y soporte En este dominio se hace referencia a la entrega de los servicios requeridos. plan de contingencia / recuperación. capacidad de crecimiento. empaque. cargos por servicio. AI6 Administración de los cambios Objetivo: Minimizar la probabilidad de interrupciones.                . Este dominio incluye el procesamiento de los datos por sistemas de aplicación. Evaluación del impacto que provocaran los cambios. desempeño. nivel mínimo aceptable de funcionalidad del sistema satisfactoriamente liberado. instalaciones de impresión central (disponibilidad). junto con el riesgo residual existente. entrega. Procesos Ds1 Definición de niveles de servicio Objetivo: Establecer una comprensión común del nivel de servicio requerido Para ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeño contra los cuales se medirá la cantidad y la calidad del servicio y se toma en consideración: Convenios formales que determinen la disponibilidad. Esto se hace posible a través de un sistema de administración que permita el análisis. priorización y emergencia de solicitudes de cambios. aceptación final. etc. 5. pasando por seguridad y aspectos de continuidad.

seguridad. así como en otras estipulaciones según sea apropiado. confiabilidad de configuración. desempeño y disponibilidad. daño o pérdida . Administración de capacidad estableciendo un proceso de planeación para la revisión del desempeño y capacidad de hardware con el fin de asegurar que siempre exista una capacidad justificable económicamente para procesar cargas de trabajo con cantidad y calidad de desempeño Prevenir que se pierda la disponibilidad de recursos mediante la implementación de mecanismos de tolerancia de fallas. Además. Acuerdos de confidencialidad. se deberá calificar a los terceros y el contrato deberá definirse y acordarse para cada relación de servicio con un proveedor. que cumplan y continúen satisfaciendo los requerimientos Para ello se establecen medidas de control dirigidas a la revisión y monitoreo de contratos y procedimientos existentes.      o Ds3 Administración de desempeño y capacidad Objetivo: Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado. Para ello se realizan controles de manejo de capacidad y desempeño que recopilen datos y reporten acerca del manejo de cargas de trabajo. Monitoreo Ds4 Asegurar el Servicio Continuo Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en caso de interrupciones Para ello se tiene un plan de continuidad probado y funcional. declarados y acordados. manejo y demanda de recursos y toma en consideración: Requerimientos de disponibilidad y desempeño de los servicios de sistemas de información Monitoreo y reporte de los recursos de tecnología de información Utilizar herramientas de modelado apropiadas para producir un modelo del sistema actual para apoyar el pronóstico de los requerimientos de capacidad. modificación. Monitoreo de la entrega de servicio con el fin de asegurar el cumplimiento de los acuerdos del contrato. tamaño de aplicaciones. divulgación. de asignación equitativos de recursos y de prioridad de tareas. con respecto a las políticas de la organización y toma en consideración: Acuerdos de servicios con terceras partes a través de contratos entre la organización y el proveedor de la administración de instalaciones este basado en niveles de procesamiento requeridos. monitoreo y requerimientos de contingencia. que esté alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio y toma en consideración: Planificación de Severidad Plan Documentado Procedimientos Alternativos Respaldo y Recuperación Pruebas y entrenamiento sistemático y singulares             o Ds5 Garantizar la seguridad de sistemas Objetivo: salvaguardar la información contra uso no autorizados. o Ds2 Administración de servicios prestados por terceros Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estén claramente definidas. en cuanto a su efectividad y suficiencia. Requerimientos legales regulatorios de manera de asegurar que estos concuerde con los acuerdos de seguridad identificados.

entrada.      Para ello se realizan controles de acceso lógico que aseguren que el acceso a sistemas. de los tiempos de respuesta y la identificación de tendencias         o Ds9 Administración de la configuración . distribución. Firewalls si existe una conexión con Internet u otras redes públicas en la organización de Utilización Monitoreo Ds6 Educación y entrenamiento de usuarios Objetivo: Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados Para ello se realiza un plan completo de entrenamiento y desarrollo y se toma en consideración: Curriculum de entrenamiento estableciendo y manteniendo procedimientos para identificar y documentar las necesidades de entrenamiento de todo el personal que haga uso de los servicios de información Campañas de concientización. suspensión y suspensión de cuentas de usuario Administración de llaves criptográficas definiendo implementando procedimientos y protocolos a ser utilizados en la generación. definiendo los grupos objetivos. emisión. establecimiento. evaluados asegurando al mismo tiempo la economía Monitoreo Ds8 Apoyo y asistencia a los clientes de TI Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente Para ello se realiza un Buró de ayuda que proporcione soporte y asesoría de primera línea y toma en consideración: Consultas de usuarios y respuesta a problemas estableciendo un soporte de una función de buró de ayuda Monitoreo de consultas y despacho estableciendo procedimientos que aseguren que las preguntas de los clientes que pueden ser resueltas sean reasignadas al nivel adecuado para atenderlas Análisis y reporte de tendencias adecuado de las preguntas de los clientes y su solución. calculados y asignados a los niveles de detalle requeridos y toma en consideración: Los elementos sujetos a cargo deben ser recursos identificables. medibles y predecibles para los usuarios Procedimientos y políticas de cargo que fomenten el uso apropiado de los recursos de computo y aseguren el trato justo de los departamentos usuarios y sus necesidades Tarifas definiendo e implementando procedimientos de costeo de prestar servicios. identificar y asignar entrenadores y organizar oportunamente las sesiones de entrenamiento Técnicas de concientización proporcionando un programa de educación y entrenamiento que incluya conducta ética de la función de servicios de información      o Ds7 Identificación y asignación de costos Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI Para ello se realiza un sistema de contabilidad de costos que asegure que éstos sean registrados. almacenamiento. utilización y archivo de llaves criptográficas con el fin de asegurar la protección de las mismas Manejo. detectivas y correctivas. monitoreados. para ser analizados. reporte y seguimiento de incidentes implementado capacidad para la atención de los mismos Prevención y detección de virus tales como Caballos de Troya. Perfiles e identificación de usuarios estableciendo procedimientos para asegurar acciones oportunas relacionadas con la requisición. datos y programas está restringido a usuarios autorizados y toma en consideración: el acceso lógico junto con el uso de los recursos de TI deberá restringirse a través de la instrumentación de mecanismos de autenticación de usuarios identificados y recursos asociados con las reglas de accesoautenticación y Autorización. certificación. estableciendo adecuadas medidas de control preventivas.

además de un conjunto de procedimientos de escalamiento de problemas para resolver de la manera más eficiente los problemas identificados. albergados tanto dentro como fuera de la empresa. actualización. Este proceso deberá controlar los documentos fuentes (de donde se extraen los datos). Para tal fin. disquetes. respaldo y recuperación de datos. de manera que estén completos. Ds13 Administración de la operación Objetivo: Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a cabo regularmente y de una manera ordenada Esto se logra a través de una calendarización de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades. autenticidad y confidencialidad de los datos almacenados. polvo.     o Objetivo: Dar cuenta de todos los componentes de TI. sean precisos y se registren apropiadamente. la gerencia deberá diseñar formatos de entrada de datos para los usuarios de manera que se minimicen lo errores y las omisiones durante la creación de los datos. Este sistema de administración de problemas deberá también realizar un seguimiento de las causas a partir de un incidente dado. CDs y cintas magnéticas) de todas las transacciones y datos manejados por la organización. Se deberán crear también procedimientos que validen los datos de entrada y corrijan o detecten los datos erróneos. calor excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad física. Para ello se necesita un sistema de manejo de problemas que registre y dé seguimiento a todos los incidentes. prevenir alteraciones no autorizadas. de manera que éstas no sean procesadas. Para ello. Ds12 Administración de las instalaciones Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego. teniendo un registro físico (discos. Cabe destacar la importancia de crear procedimientos para el almacenamiento. precisos y válidos durante su entrada. al momento de adquisición Administración de cambios en la configuración asegurando que los registros de configuración reflejen el status real de todos los elementos de la configuración Chequeo de software no autorizado revisando periódicamente las computadoras personales de la organización Controles de almacenamiento de software definiendo un área de almacenamiento de archivos para todos los elementos de software válidos en las fases del ciclo de vida de desarrollo de sistemas Ds10 Administración de Problemas Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder.    . definiendo e implementando procedimientos para tal fin. La gerencia deberá asegurar también la integridad. verificar la existencia física y proporcionar una base para el sano manejo de cambios Para ello se realizan controles que identifiquen y registren todos los activos de TI así como su localización física y un programa regular de verificación que confirme su existencia y toma en consideración: Registro de activos estableciendo procedimientos para asegurar que sean registrados únicamente elementos de configuración autorizados e identificables en el inventario. Lo cual se logra a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI. Ds11 Administración de Datos Objetivo: Asegurar que los datos permanezcan completos. la gerencia deberá establecer y documentar procedimientos para las operaciones de tecnología de información (incluyendo operaciones de red). los cuales deberán ser revisados periódicamente para garantizar su eficiencia y cumplimiento. como así también procedimientos de validación para transacciones erróneas. salida y almacenamiento.

como así también la organización. Para ello la gerencia deberá obtener una certificación o acreditación independiente de seguridad y control interno antes de implementar nuevos servicios de tecnología de información que resulten críticos. Los 34 procesos propuestos se concretan en 32 objetivos de control detallados anteriormente. Para ello la gerencia podrá definir indicadores claves de desempeño y/o factores críticos de éxito y compararlos con los niveles objetivos propuestos para evaluar el desempeño de los procesos de la organización. naturaleza y trabajo de auditoria realizado. Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeño gerenciales y la implementación de sistemas de soporte así como la atención regular a los reportes emitidos. diseñadas para proporcionar garantía razonable de que los objetivos empresariales se alcanzaran y que los eventos no deseados se preverán o se detectaran. Esta auditoria deberá respetar la ética y los estándares profesionales. comparaciones. Este proceso se lleva a cabo a intervalos regulares de tiempo. M3 Obtención de Aseguramiento Independiente Objetivo: Incrementar los niveles de confianza entre la organización. período de cobertura. evaluar su efectividad y emitir reportes sobre ellos en forma regular. La función de auditoria deberá proporcionar un reporte que muestre los objetivos de la auditoria. 6. El auditor deberá ser independiente del auditado. M4 Proveer Auditoria Independiente Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prácticas de su implementación. Procesos M1 Monitoreo del Proceso Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. M2 Evaluar lo adecuado del Control Interno Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI. integridad y confidencialidad. usos y costumbres y las estructuras organizativas. Para ello la gerencia deberá establecer los estatutos para la función de auditoria. seleccionando para ello auditores que sean técnicamente competentes. Luego la gerencia deberá adoptar como trabajo rutinario tanto hacer evaluaciones periódicas sobre la efectividad de los servicios de tecnología de información y de los proveedores de estos servicios como así también asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnología de información y de los proveedores de estos servicios. destacando en este documento la responsabilidad. Dominio: Monitoreo Todos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. procedimientos. autoridad y obligaciones de la auditoria. reconciliaciones y otras acciones rutinarias. Este es. conclusión y recomendaciones relacionadas con el trabajo de auditoria llevado a cabo. estándares. lo que se logra con el uso de auditorias independientes desarrolladas a intervalos regulares de tiempo. el ámbito de este dominio. es decir que cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes de auditoria. y corregirán" Un Objetivo de Control se define como "la declaración del resultado deseado o propuesto que se ha de    . precisamente. esto significa que los auditores no deberán estar relacionados con la sección o departamento que esté siendo auditado y en lo posible deberá ser independiente de la propia empresa.. Estas actividades de monitoreo continuo por parte de la Gerencia deberán revisar la existencia de puntos vulnerables y problemas de seguridad. La gerencia deberá también medir el grado de satisfacción del los clientes con respecto a los servicios de información proporcionados para identificar deficiencias en los niveles de servicio y establecer objetivos de mejoramiento. como así también para trabajar con nuevos proveedores de servicios de tecnología de información. clientes y proveedores externos. confeccionando informes que indiquen el avance de la organización hacia los objetivos propuestos. Un Control se define como "las normas. Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a través de actividades administrativas y de supervisión.

satisfacción en el trabajo y adecuada seguridad de empleo. y obtener por el servicio un beneficio monetario acorde a las ofertas educativa que brinda la Institución (según si el inscripto participa de escolaridad simple o doble) Incrementar cada año el número de inscriptos para obtener mayor rentabilidad y ampliar la comunidad educativa.Ingles). analizaremos como se deberían aplicar las Normas COBIT en una Organización. la estructura conceptual se puede enfocar desde tres puntos de vista: -Los recursos de las TI -Los criterios empresariales que deben satisfacer la información -Los procesos de TI Las tres dimensiones condeptuales de COBIT 7.org. Departamento de administración de personal: Comprende todo lo relacionado con el desarrollo y administración de políticas y programas que provean una estructura organizativa eficiente. Transmitir a la comunidad en general el perfil institucional y los beneficios que los alumnos obtienen por una educación personalizada. Políticas y estrategias del Departamento de Administración de personal Políticas Estrategias    . la misma indica los pasos a seguir para auditar cada uno de los procesos de TI de la norma. específicamente el proceso de TI Po7 "Administración de Recursos Humanos" Relevamiento: Organización: Colegio Privado que brinda un servicio de educación a niños de nivel inicial y primario. utilizando para ello la Guía de Auditoria presentada en la pagina Web www. tratamiento equitativo. Objetivos de la Organización: Ofrecer el servicio de una excelente educación con orientación bilingüe (Español . Norma Aplicada: COBIT. deportiva y ecológica en forma personalizada a los niños de nivel inicial y primario. Este reporte lo confeccionamos dándole el formato de un informe de auditoría:     Informe de Auditoria Entidad Auditada: ARCO IRIS SCHOOL Alcance de la auditoría: Esta auditoría comprende solamente al área de Recursos Humanos de la Arco Iris School. oportunidades de progreso. empleados calificados. Aplicación de las Normas COBIT A continuación.isaca. artística. con respecto al cumplimiento del proceso "Administración de Recursos Humanos" de la norma COBIT. Depende de la Gerencia de Administración.alcanzar mediante la aplicación de procedimientos de control en cualquier actividad de TI" En resumen.

etc. Funciones – Subfunsiones . Despidos: Terminación legal de las relaciones con los empleados en la forma mas beneficiosa para ellos . contratos de prueba. música. a. deportiva. pasantías. ecológica y artística. Seleccionar docentes con muy buenas referencias Los docentes de asignaturas especiales (plástica. Realizar periódicamente talleres de capacitación docente a nivel institucional donde se promueve la inteligencia emocional y el desarrollo personal. Educ. Buscar los postulantes (docentes y no docentes)     Análisis de las necesidades del cargo Desarrollo de especificaciones de trabajo Análisis de las fuentes de empleados potenciales Atracción de los posibles postulantes a. a.) deben tener experiencias mínimas en mas de una escuela y estar abalados con referencias por escrito Respetar las decisiones personales de los docentes y no docentes. Confección y entrega de los diferentes tipos de contratos de trabajo (contratos temporales.) con los objetivos que cubran las orientaciones Bilingüe. La Dirección académica debe evaluar constantemente el trabajo de los docentes y elevar los informes a la dirección general.    Orientación de los nuevos empleados mediante talleres de capacitación y entrega de documentación con las normativas (reglas con las que se rige la institución) Seguimiento de la actuación de los empleados (y empleados nuevos también).Para con el Personal Objetivo: perfeccionar al personal con el perfil Institucional Seleccionar docentes que respondan a los requerimientos del proyecto educativo institucional Realizar durante la selección de personal talleres de capacitación y evaluación de inteligencia emocional y desarrollo de la persona.) a. Evaluación de los postulantes en base a los resultados de los talleres. etc. a plazo fijo. Realizar el proceso de selección: Análisis de la capacidad de los aspirantes para decidir cual tiene mayores posibilidades. Instrucción y entrega de materiales: Entrenamiento. deportes. Antes de que un personal forme parte de la institución debe conocer y firmar las Normativas Institucionales donde se especifican todas las medidas.     Entrevistar los postulantes Realizar talleres de Pruebas de inteligencia emocional. información y entrega de materiales necesarios a los empleados contratados (o nuevos) para que cumplan sus obligaciones eficientemente. deberes y derechos de todo el personal docente y no docente La dirección general realiza periódicamente evaluaciones del rendimiento de trabajo individual y grupal mediante entrevistas. Inst. (grupales y personales) Educativas Objetivo: Lograr una excelencia educativa Brindar una educación excelente y personalizada Confeccionar un PEI (Proy.Tareas: 1-Realizar el reclutamiento: lograr que todos los puestos estén cubiertos por personal competente que cubran el perfil institucional por un costo razonable. Compra de materiales didácticos u otros servicios para entregar a los docentes y así los mismos puedan dictar sus clases eficientemente.

Determinar los servicios sociales para los empleados.Promocionar las Relaciones institucionales: Asegurar que las relaciones de trabajo entre la dirección general y los empleados al igual que la satisfacción en el trabajo y oportunidad de progreso del personal. Confirmar las referencias y otras documentaciones a la administración general. Efectuar los pagos correspondientes a los sueldos mensuales (el pago y entrega de recibos de sueldo se efectúa en la propia institución) a. sean desarrollados y mantenidos siguiendo los mejores intereses del colegio y de los empleados. Control de Horarios: Fijación de horas de trabajo y periodos de inasistencia con goce de haberes o sin el. a. clubes.   Negociación de convenios Interpretación y administración de estos a. También su función es la de desarrollar proyectos de Relaciones Institucionales con el medio externo (otras instituciones escolares. que sean justos tanto para el empleado como para el colegio. Fijar los valores monetarios de los puestos en forma justa y equitativa. de la manera que mejor contemple los intereses de la escuela y los docentes. Prepara la documentación para la gestión de obras sociales del personal. Clasificar la posición. Controlar la disciplina del personal   Fijar reglas de conducta y disposiciones mediante las normativas institucionales Establecer y administrar las medidas disciplinarias con respecto a inasistencias injustificadas. Investigar y verificar la documentación presentada por los empleados que luego conformaran el legajo de los .) a. Investigación de Personal:    Investigación de referencias de trabajos anteriores. a.y el colegio.   Determinación de servicio médicos y otros para los empleados (y alumnos) que cubran la seguridad e integridad física del personal dentro de la organización.   Realización de la entrevista de egreso Análisis de las bajas a. responsabilidades y requerimientos de los empleados     Preparación de las normativas institucionales donde están las especificaciones de trabajo Revisión periódica y corrección de las normativas. equitativamente y en tiempo. Planificación y administración de planes de vacaciones. etc.   Planificación y administración de políticas sobre horarios de trabajos o inasistencias. Realizar negociaciones colectivas: Lograr concordancia con las organizaciones de empleados reconocidas oficialmente y establecidas legalmente. 3. respecto a otros puestos en el colegio y a puestos similares en el mercado de trabajo. 2-Administrar sueldos y jornales: lograr que todos los empleados estén remunerados adecuada.

títulos oficiales. Proporcionar un entrenamiento "cruzado" de manera de tener personal de respaldo con la finalidad de solucionar posibles ausencias. Diagnóstico: De acuerdo con el Dominio "Planificación y Organización" y el Proceso "Administración de Recursos Humanos". creemos que se ajusta bastante bien a las normas COBIT en cuanto al proceso en cuestión. s importante destacar que ARCO IRIS SCHOOL tienes dificultados en cuanto a: Respaldo de Personal. Conclusiones: Por lo tanto. ya que la Dirección evalúa regularmente los procesos necesarios para asegurar que las practicas de reclutamiento y promoción de personal tengan excelentes resultados. ni de Procedimientos. etc. La organización ARCO IRIS SCHOOL. por lo cual los empleados pueden tener dudas con respecto a sus funciones. Cambios de puestos y Despidos. Aunque las evaluaciones de rendimiento no están definidas formalmente y por ende se puede llegar a tener problemas por la subjetividad de la persona que esta evaluando el desempeño. de manera que estén definidos todos los puestos de trabajo y sus correspondientes funciones. podemos especificar que para que la escuela cumpla con las normas COBIT en cuanto al proceso "Administración de Recursos Humanos" deberá: Realizar manuales de funciones. Definir y publicar formalmente las evaluaciones de rendimiento. considerando factores como la educación del personal. ya que el establecimiento implementa un proceso de evaluación de desempeño de los empleados y asesora a los mismos sobre su desempeño o conducta de manera apropiada. Aunque es importante destacar que no hay un manual de Funciones. de manera de aplicarlas a la hora de hacer la evaluación de desempeño para evitar problemas con el personal docente y no docente. donde identificamos con que normas esta cumpliendo la organización y con cuales no. ya que de lo contrario se pueden tener serios problemas por no haber realizado correctamente las investigaciones de seguridad. así como también la permanente capacitación. Establecer Procedimientos de Acreditación. puesto que no cuenta con suficiente personal de respaldo para solucionar posibles ausencias. Personal Calificado. de tal manera que los controles internos y la seguridad no se vean perjudicados por estos eventos. puesto que se verifica que el personal que lleva tareas especificas este capacitado y para ello se realizan Talleres Docentes. puesto que cuando se toman tales acciones se trata de que sean oportunas y apropiadas. puesto que la misma cumple con las siguientes actividades o tareas del mismo: Reclutamiento y Promoción personal. puesto que las investigaciones de seguridad asociada a la contratación no son llevadas a cabo. Entrenamiento de Personal. ya que la escuela no puede contar con suficiente personal por su economía actual. registración en la Junta de clasificaciones. resúmenes. etc. la experiencia y la responsabilidad. ya que en cuanto ingresa el personal y durante su permanencia en el establecimiento tiene a su disposición toda la información que necesite.         . de las gestiones administrativas del personal. Realizar manuales de Procedimientos. Procedimientos de Acreditación de Personal.mismos (DNI. de manera que los empleados puedan identificar cuales son las tareas que deben realizar de acuerdo a su puesto y funciones. a partir de allí definiremos que es lo que la escuela debería hacer para cumplir con las normas COBIT. según nuestro parecer y de acuerdo a lo relevado. Tampoco el personal encargado de puestos delicados como ser el Tesorero toma vacaciones interrumpidas con duración suficiente como para probar la habilidad de la organización para manejar casos de ausencia y detectar actividades fraudulentas.) 5-Generar Informes Confeccionar todos los informes mensuales. nosotros hemos desarrollado un análisis. semestrales y anuales con las estadísticas. Evaluación de Desempeño de los Empleados.

Estas guías proveen a la gerencia herramientas que permiten la auto evaluación y poder seleccionar opciones para implementación de controles y mejoras sobre la información y la tecnología relacionada. factores críticos de éxito. Apéndice I COBIT como Producto. reflejas eso en el documento 9. Herramientas de implementación: Muestra algunas de las lecciones aprendidas por aquellas organizaciones que han aplicado COBIT e incluye una guía de implementación con dos herramientas: Diagnóstico de conciencia Administrativa y Diagnóstico de Control en TI Como con cualquier investigación amplia e innovadora.1 Presupuesto Operativo Anual para la Función de Servicio de información 5. los cuales conforman la "Columna Vertebral" de COBIT.2 Responsabilidad de la Gerencia en cuanto a Políticas     . describe de manera general los procesos. las mismas proveen modelos de madurez. En total se describen 302 objetivos de control detallados (de 3 a 30 objetivos por cada uno de los procesos) Guías de Auditoria: Se hace una presentación del proceso de auditoria generalmente aceptado (relevamiento de información.2 Monitoreo de Costo . indicadores claves de objetivos e indicadores claves de desempeño para los 34 procesos de TI de COBIT. los recursos y los criterios de información. Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra los conceptos de: –Modelo de madurez CMM (prácticas de Control) –Indicadores claves de Desempeño de los procesos de TI –Factores Críticos de Éxito a tener en cuenta para mantener bajo control los procesos de TI. analistas de la industria y académicos de todo el mundo.2 Plan a largo plazo de Tecnología de Información 1. Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia y presenta los objetivos de control detallados para cada uno de los 34 procesos. evaluación de cumplimiento y evidenciación de los riesgos).3 Justificación de Costo .   8. COBIT será actualizado cada tres años.1 Tecnología de Información como parte del Plan de la Organización a corto y largo plazo 1. La validación también permite asegurar que los 41 materiales de referencia primarios no hayan cambiado.15 Relaciones 5.0 Comunicación de la dirección y aspiraciones de la gerencia 6. Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los 302 objetivos de control detallados. y.5 Planeación a corto plazo para la función de Servicios de Información 4.1 Ambiente positivo de control de la información 6. Apéndice II Relaciones de Objetivo de Control.4 Cambios al Plan a largo plazo de Tecnología de Información 1. Guías de Administración: Se enfoca de manera similar a los otros productos e integra los principios del Balance Business Scorecard.Beneficio 6.Beneficio 5. evaluación de control.0 Manejo de la Inversión en Tecnología de Información 5. Dominios. profesionales de administración de TI y de administración de desempeño.0 Definición de un Plan Estratégico de Tecnología de Información 1. si hubieran cambiado.3 Plan a largo plazo de Tecnología de Información Enfoque y Estructura 1. Esto asegurara que el modelo y la estructura permanezcan vigentes. Marco de Referencia (Framework): Incluye la introducción contenida en el resumen ejecutivo y presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT haciendo una presentación detallada de los 34 procesos contenidos en los cuatro dominios. incluye: Resumen Ejecutivo: es un documento dirigido a la alta gerencia presentando los antecedentes y la estructura básica de COBIT Además. Procesos y Objetivos de Control PLANEACIÓN Y ORGANIZACIÓN 1. Guías Gerenciales: Incluidas en la Tercera Edición. Las guías fueron desarrolladas por un panel de 40 expertos en seguridad y control.

0 Evaluación de Riesgos 9.4 Recursos para la implementación de Políticas 6.5 Comercio Electrónico 8.6 Evaluación de sistemas existentes 2. Procedimientos y Estándares 6.1 Marco de Referencia para la Administración de Proyectos 10.11 Asignación de Personal para Tecnología de Información 4.0 Identificación de Soluciones 1.3 Comunicación de las Políticas de la Organización 6.4 Entrenamiento Cruzado o Respaldo de Personal 7.2 Diccionario de Datos y Reglas de cinta de datos de la corporación 2.5 Aprobación del Proyecto 10.10 Políticas Específicas 6.9 Supervisión 4.2 Monitoreo de Tendencias y Regulaciones Futuras 3.0 Definición de la Arquitectura de Información 2.13 Control de Abastecimiento 1.3 Revisión de Logros Organizacionales 4.4 Definición del Proyecto 10.1 Planeación de la Infraestructura Tecnológica 3.0 Determinación de la dirección tecnológica 3.10 Administración Formal de Riesgos de Proyectos 10.14 Adquisición de Productos de Software 1.2 Formulación de Acciones Alternativas 1.5 Estándares de Tecnología 4.4 Privacidad.6 Estudio de Factibilidad Económica 1.15 Mantenimiento de Software de Terceras Partes 1.2 Participación del Departamento Usuario en la Iniciación de Proyectos 10.4 Medición de Riesgos 9.12 Plan de Entrenamiento .1 Definición de Requerimientos de Información 1. 1.7 Plan Maestro del Proyecto 10.8 Reporte de Análisis de Riesgos 1.6 Cumplimiento con Contratos de Seguros 9.6 Aprobación de las Fases del Proyecto 10.0 Aseguramiento del Cumplimiento de Requerimientos Externos 8.5 Mantenimiento de Políticas 6.9 Planeación de Métodos de Aseguramiento 10.1 Modelo de la Arquitectura de Información 2. Propiedad Intelectual y Flujo de Datos 8.1 Evaluación de Riesgos del Negocio 9.6 Aceptación de Riesgos 10.0 Administración de Recursos Humanos 7.0 Administración de proyectos 10.3 Esquema de Clasificación de Datos 2.9 Derechos de propiedad intelectual 6.3 Miembros y Responsabilidades del Equipo del Proyecto 10.16 Contratos de Programación de Aplicaciones 9.3 Contingencias en la Infraestructura Tecnológica 3.3 Identificación de Riesgos 9.12 Descripción de Puestos para el Personal de la Función de TI 4.2 Enfoque de Evaluación de Riesgos 9.5 Estudio de Factibilidad Tecnológica 1.1 Comité de planeación o dirección de la función de servicios de información 4.10 Segregación de Funciones 4.8 Política sobre el Marco de Referencia para la Seguridad y el Control Interno 6.7 Compromiso con la Calidad 6.8 Propiedad de Datos y Sistemas 4.6 Cumplimiento de Políticas.11 Plan de Prueba 10.4 Funciones y Responsabilidades 4.6 Evaluación de Desempeño de los Empleados 7.1.4 Planes de Adquisición de Hardware y Software 3.11 Ergonomía 1.5 Responsabilidad del aseguramiento de calidad 4.13 Personal clave de TI 4.12 Selección de Software de Sistema 1.7 Cambios de Puesto y Despidos 8.7 Propiedad y Custodia 4.9 Controles de Seguridad Económicos 1.8 Plan de Aseguramiento de la Calidad de Sistemas 10.4 Niveles de Seguridad 3.5 Procedimientos de Acreditación de Personal 7.2 Personal Calificado 7.3 Cumplimiento de los Estándares de Seguridad y Ergonomía 8.2 Ubicación de los servicios de información en la organización 4.3 Formulación de Estrategias de Adquisición.1 Reclutamiento y Promoción de Personal 7.14 Procedimientos para personal por contrato 6.11 Comunicación de Conciencia de Seguridad en TI 7.0 Definición de la Organización y de las Relaciones de TI 4.5 Plan de Acción contra Riesgos ADQUISICIÓN E IMPLEMENTACIÓN 1.1 Revisión de Requerimientos Externos 8.10 Diseño de Pistas de Auditoría 1.2 Prácticas y Procedimientos para el Cumplimiento de Requerimientos Externos 8.4 Requerimientos de Servicios de Terceros 1.3 Entrenamiento de Personal 7.7 Arquitectura de Información 1.6 Responsabilidad de la seguridad lógica y física 4.

2 Mantenimiento Preventivo para Hardware 3.2 Cambios Significativos a Sistemas Actuales 2.7 Actualización de la Metodología del Ciclo de Vida de Desarrollo de Sistemas 11.8 Disponibilidad de Recursos 3.3 Monitoreo y Reporte 3.0 Aseguramiento de Servicio Continuo 4.16 Materiales de Consulta y Soporte para Usuario 2.0 Adquisición y Mantenimiento de Arquitectura de Tecnología 3.18 Métricas de Calidad 11.9 Interfases Usuario-Máquina 2.1 Marco de Referencia de Continuidad de Tecnología de Información 4.5 Mantenimiento del Plan de Continuidad de Tecnología de Información .13 Disponibilidad como Factor Clave de Diseño 2.18 Aceptación de Tecnología 2.3 Aprobación del Diseño 2.9 Marco de Referencia de Adquisición y Mantenimiento para la Infraestructura de Tecnología 11.7 Definición y Documentación de Requerimientos de Entrada de Datos 2.4 Instalación del Software del Sistema 3.12 Estándares para Pruebas de Programas 11.2 Plan de Disponibilidad 3.1 Evaluación de Nuevo Hardware y Software 3.7 Pruebas y Acreditación de Seguridad 5.3 Planeación del Aseguramiento de Calidad 11.13 Plan de Revisión Post Implementación 11.0 Desarrollo y Mantenimiento de Procedimientos relacionados con Tecnología de Información 4.8 Prueba Operacional 5.4 Pruebas de Cambios 5.8 Coordinación y Comunicación 11.0 Adquisición y Mantenimiento de Software de Aplicación 2.4 Definición y Documentación de Requerimientos de Archivos 2.1 Plan General de Calidad 11.17 Revisión del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Función de Servicios de Información 11.3 Contenido del Plan de Continuidad de Tecnología de Información 4.10 Definición y Documentación de Requerimientos de Procesamiento 2.9 Calendarización de recursos 4.5 Mantenimiento del Software del Sistema 3.2 Manual de Procedimientos para Usuario 4.10 Evaluación de la 1.9 Promoción a Producción 5.17 Reevaluación del Diseño del Sistema 3.6 Prueba de Aceptación Final 5.12 Controlabilidad 2.1 Futuros Requerimientos y Niveles de Servicios Operacionales 4.3 Manual de Operación 4.19 Reportes de Revisiones de Aseguramiento de la Calidad 4.15 Documentación de las Pruebas del Sistema 11.1 Métodos de Diseño 2.16 Evaluación del Aseguramiento de la Calidad sobre el Cumplimiento de Estándar de Desarrollo 11.3 Seguridad del Software del Sistema 3.8 Definición de Interfases 2.2 Enfoque de Aseguramiento de Calidad 11.3 Conversión 5.1 Entrenamiento 5.11 Definición y Documentación de Requerimientos de Salida de Datos 2.10.2 Estrategia y Filosofía de Continuidad de Tecnología de Información 4.6 Pronóstico de Carga de Trabajo 3.6 Diseño para la Recopilación de Datos Fuente 2.15 Pruebas de Software de Aplicación 2.14 Estipulación de Integridad de TI en programas de software de aplicaciones 2.5 Criterios y Desempeño de Pruebas en Paralelo/Piloto 5.0 Administración de Calidad 11.4 Revisión de Aseguramiento de Calidad sobre el Cumplimiento de Estándares y Procedimientos de la Función de Servicios de Información 11.17 Aceptación de Instalaciones 1.5 Especificaciones de Programas 2.0 Instalación y Acreditación de Sistemas 5.5 Manejo de Desempeño Proactivo 3.5 Metodología del Ciclo de Vida de Desarrollo de Sistemas 11.4 Material de Entrenamiento 5.6 Controles para Cambios del Sofware del Sistema 3.7 Administración de Capacidad de Recursos 3.14 Pruebas Piloto/En Paralelo 11.6 Metodología del Ciclo de Vida de Desarrollo de Sistemas para Cambios Mayores a la Tecnología Actual 11.11 Estándares para la Documentación de Programas 11.10 Relaciones con Terceras Partes como Implementadores 11.13 Estándares para Pruebas de Sistemas 11.2 Adecuación del Desempeño del Software de Aplicación 5.4 Minimización de requerimientos de Continuidad de Tecnología de Información 4.4 Herramientas de Modelado 3.

10 Reportes de Violación y de Actividades de Seguridad 5.13 Confianza en Contrapartes 5.3 Escalamiento de Preguntas del Cliente 8.0 Apoyo y Asistencia a los Clientes de Tecnología de Información 8.3 Contratos con Terceros 2.4 Administración de Cuentas de Usuario 5.15 No Rechazo 5.6 Control de Usuarios sobre Cuentas de Usuario 5.0 Identificación y Asignación de Costos 6.1 Requerimientos de Disponibilidad y Desempeño 4.0 Garantizar la Seguridad de Sistemas 5.2 Procedimientos de Costeo 6.1 Interfases con Proveedores 2.8 Monitoreo 3.5 Revisión Gerencial de Cuentas de Usuario 5.22 Responsabilidades de la Administración de la Librería de Medios de proveedores externos de servicios 11.19 Prevención.5 Contratos con Outsourcing 2.3 Entrenamiento sobre Principios y Conciencia de Seguridad 8.5 Mantenimiento Autorizado 6.27 Protección de Mensajes Sensitivos 11.24 Funciones de Respaldo 11.4 Documentación y Procedimientos 6. Detección y Corrección de Software "Malicioso" 5.6 Continuidad de Servicios 2.2 Registro de Preguntas del Usuario 8.4 Monitoreo de Atención a Clientes .21 Sistema de Administración de la Librería de Medios 11.2 Organización de Entrenamiento 7.7 Capacitación sobre el Plan de Continuidad de Tecnología de Información 4.Implementación 6.4 Calificaciones de terceros 2.0 Administración de Desempeño y Capacidad 3.1 Inicio y Control de Requisiciones de Cambio 6.0 Definición de Niveles de Servicio 1.3 Procedimientos de Cargo y Facturación a Usuarios 7.2 Aspectos sobre los Acuerdos de Nivel de Servicio 1.11 Centro de Cómputo y Hardware de respaldo 4.4 Monitoreo y Reporte 1.2 Identificación.7 Vigilancia de Seguridad 5.1 Buró de Ayuda 8.1 Marco de Referencia para el Convenio de Nivel de Servicio 1.12 Procedimientos de Refinamiento del Plan de Continuidad de TI 5.17 Protección de funciones de seguridad 5.1 Identificación de Necesidades de Entrenamiento 7.2 Evaluación del Impacto 6.11Revisión Gerencial Post .14 Autorización de Transacciones 5.Satisfacción de los Requerimientos del Usuario 5.3 Procedimientos de Ejecución 1.23 Respaldo y Restauración 11.21 Protección de Valores Electrónicos ser Desechada 11.11 Manejo de Incidentes 5.6 Política de Liberación de Software 6.10 Recursos críticos de Tecnología de Información 4.1 Administrar Medidas de Seguridad 5.7 Relaciones de Seguridad 2.25 Almacenamiento de Respaldo 11.7 Distribución de Software ENTREGA DE SERVICIOS Y SOPORTE 1.19 Administración de Almacenamiento 11.1 Elementos Sujetos a Cargo 6.0 Administración de Cambios 6.20 Períodos de Retención y Términos de Almacenamiento 11.9 Administración Centralizada de Identificación y Derechos de Acceso 5.18 Administración de Llave Criptográfica 5.2 Relaciones de Dueños 2.3 Seguridad de Acceso a Datos en Línea 5.0 Educación y Entrenamiento de Usuarios 7.0 Administración de Servicios prestados por Terceros 2.20 Arquitecturas de FireWalls y conexión a redes públicas 5.26 Archivo 11.3 Control de Cambios 6.9 Procedimientos de Respaldo de Procesamiento para Departamentos Usuarios 4.12 Re-acreditación 5.16 Sendero Seguro 5.7 Programa de Mejoramiento del Servicio 2. Autenticación y Acceso 5.6 Elementos sujetos a Cargo 1.5 Revisión de Convenios y Contratos de Nivel de Servicio 1.8 Distribución del Plan de Continuidad de Tecnología de Información 4.6 Pruebas del Plan de Continuidad de Tecnología de Información 4.8 Clasificación de Datos 5.28 Autenticación e Integridad 6.

4 Manejo de Errores de Documentos Fuente 11.7 Competencia de la Función de Aseguramiento Independiente 3.16 Provisiones de Seguridad para Reportes de Salida 11.2 Documentación del Proceso de Inicio y de Otras Operaciones 13.4 Control de la Configuración 9.6 Suministro Ininterrumpido de Energía 13.5 Análisis y Reporte de Tendencias 9.13 Distribución de Salida de Datos 11.10 Validación y Edición de Procesamiento de Datos 11.8 Manejo de Errores en la Entrada de Datos 11.17 Protección de Información Sensible durante transmisión y transporte 11.15 Revisión de Salida de Datos y Manejo de Errores 11.12 Manejo y Retención de Salida de Datos 11.0 Monitoreo del Proceso 1.2 Discreción de las Instalaciones de Tecnología de Información 12.1 Seguridad Física 12.2 Base de la Configuración 9.3 Evaluación de la Satisfacción de Clientes 1.1 Estatutos de Auditoría 4.0 Evaluar lo adecuado del Control Interno 2.0 Obtención de Aseguramiento Independiente 3.0 Administración de Datos 11.1 Manual de procedimientos de Operación e Instrucciones 13.4 Seguridad de operación y aseguramiento de Control Interno 3.11 Manejo de Error en el Procesamiento de Datos 11.14 Balanceo y Conciliación de Datos de Salida 11.5 Continuidad de Procesamiento 13.2 Escalamiento de Problemas 10.3 Recopilación de Datos de Documentos Fuente 11. Suficiencia y Autorización 11.5 Software no Autorizado 9.5 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales 3.2 Certificación / Acreditación Independiente de Control y Seguridad de proveedores externos de servicios 3.3 Escolta de Visitantes 12.29 Integridad de Transacciones Electrónicas 11.4 Evaluación Independiente de la Efectividad de proveedores externos de servicios 3.6 Aseguramiento Independiente del Cumplimiento de leyes y requerimientos regulatorios y compromisos contractuales 3.2 Procedimientos de Autorización de Documentos Fuente 11.1 Sistema de Administración de Problemas 10.4 Salidas de la Calendarización de Trabajos Estándar 13.0 Administración de Instalaciones 12.6 Bitácoras de Operación 13.7 Operaciones Remotas MONITOREO 1.3 Reporte sobre el Nivel de Control Interno 2.1 Registro de la Configuración 9.6 Procedimientos de Autorización de Entrada de Datos 11.1 Certificación / Acreditación Independiente de Control y Seguridad de los servicios de TI 3.8 Participación Proactiva de Auditoría 4.1 Recolección de Datos de Monitoreo 1.9 Integridad de Procesamiento de Datos 11.0 Administración de Operaciones 13.4 Salud y Seguridad del Personal 12.3 Registro de Estatus 9.5 Retención de Documentos Fuente 11.3 Evaluación Independiente de la Efectividad .0 Proveer Auditoría Independiente 4.2 Independencia 11.4 Reportes Gerenciales 2.18 Protección de Información Crítica a de los Servicios de TI 3.1 Monitoreo de Control Interno 2.3 Seguimiento de Problemas y Pistas de Auditoría 11.6 Almacenamiento de Software 10.0 Administración de la Configuración 9.0 Administración de Problemas e Incidentes 10.30 Integridad Continua de Datos Almacenados 12.3 Calendarización de Trabajos 13.5 Protección contra Factores Ambientales 12.2 Evaluación de Desempeño 1.7 Chequeos de Exactitud.8.1 Procedimientos de Preparación de Datos 11.2 Operación oportuna del Control Interno 2.

7 Reporte 4.4.monografias.3 Ética y Estándares Profesionales 4.6 Desempeño del Trabajo de Auditoría 4.8 Actividades de Seguimiento Leer más: http://www.4 Competencia 4.com/trabajos14/auditoriasistemas/auditoriasistemas.5 Planeación 4.shtml#ixzz2XekPTBRe .

Master your semester with Scribd & The New York Times

Special offer for students: Only $4.99/month.

Master your semester with Scribd & The New York Times

Cancel anytime.