m

m





 
 






 m  

   
 

 
 
 




Investigar, desarrollar, publicar y promover un conjunto de

objetivos de control para tecnología de información, que

sea internacional y este actualizado para uso cotidiano de

gerentes, auditores y usuarios.






Ser el modelo de control para la TIð

 
     


mara proveer la  que requiere la

organización para lograr sus objetivos, los   ! 

deben ser administrados por un conjunto de "  ,

agrupados de forma adecuada y ejecutados acorde a

prácticas normalmente aceptadas.




 


½  ë poyo a decisiones de inversión en TI y control sobre su desempeño, balanceo del riesgo y el
control de la inversión en un ambiente a menudo impredecible.

½ 
 # ë
btienen una garantía sobre el control y seguridad de los productos que adquieren
interna y externamente.

½  !$ % ëSoportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la
organización y determinar el control mínimo requerido.

½   " &# ! 
ë mara identificar los controles que requieren en sus áreas.

½ '   $$# ! $#% mara saber que es lo mínimo que pueden exigir.
 a
 

0Tecnologías de Informática^

Se encargan de


(     

 

 


 mor medio de



 

   

   

 m

m



a




   




m 






 a


 

   


CobiT combina los principios contenidos por modelos
existentes y conocidos, como C
S
, S C y S S

#!! 0cumplimiento de
)$ ! requerimientos)  $ 0dentro del
#!! presupuesto). "$!! 0en el tiempo
indicado)

)$  $,!! -  operacional.

  &#!! de los reportes financieros.
*+ "#$ de leyes y regulaciones.

)$ ! !#!!.

'!!
$'!!.
 "&#!!.
 a


 
   



Se refiere a la información que es
relevante para el negocio y que debe
$,!!
ser entregada de manera $/
"$/   $$ -  &#.

Se refiere a la provisión de información

 a través del "$ 0más productivo y
económico) uso de los recursos.

Relativa a la protección de la
!#!! información sensitiva de su ,#
 $0!.

Se refiere a la 1$$! - "#$$!

de la información, así como su ,#!0/

$'!!
en concordancia con los valores y
expectativas del negocio.
 a


 
   



Se refiere a que la información debe estar
! "&# cuando es requerida por los
 "&#!! procesos del negocio ahora y en el futuro.
Involucra la #,'! de los recursos y
sus capacidades asociadas.

Se refiere a "# con aquellas leyes,

"#$ regulaciones y acuerdos contractuales, a los
que están sujetos los procesos del negocio.

Se refiere a la ",  de la información

""!  # #$ '/ para operar la
&#!! entidad y para ejercer sus responsabilidades
financieras y de cumplir con los reportes de
su gestión.
 


$ % Todos los objetos de información. Considera información interna y
externa, estructurada o no, gráficas, sonidos, etc.

"# % Entendido como los sistemas de información, que integran

procedimientos manuales y sistematizados.

#'2% Incluye hardware y software básico, sistemas operativos,

sistemas de administración de bases de datos, de redes,
telecomunicaciones, multimedia, etc.

 $# % Incluye los recursos necesarios para alojar y dar soporte a los
sistemas de información.

  3ë mor la habilidad, conciencia y productividad del personal

para planear, adquirir, prestar servicios, dar soporte y monitorear los
sistemas de Información.
 


"$!$#
'!!!# 44444444444444444444444444
 "# $
*5+/*6+/*7+/*8+/*9+/*5:+/*55+

'!!2 

*5+ $ "#

*6+$?!'!!
*7+ $ @! !  !
$ - !$
*8+$ !#" $
)"$# *;+ -! "#! ##!
4444444444444444444444444 "'
"!#  $ *<+$#!#&-
*5+/*6+/*<+/*=+/*9+/*>+ ! $!#&2
*=+!$ #2
*9+$?!#
*>+ $! "$"
*5:+ $ !
*55+
$&#$!!$

 $! !##
*9+/*55+ 444444444444444
*5+/*6+/*7+/*8+/*;+/*<+/
*=+/*9+/*>+/*5:+/*55+
 m 
A 7


grupación natural de
 procesos, normalmente
corresponden a una
responsabilidad organizacional
m 

Conjuntos de actividades
unidas con delimitación o
cortes de control.

$,!!
 $ cciones requeridas para
lograr un resultado medible. Las
ctividades tienen un ciclo de
vida mientras que las tareas
son discretas.
 



m#-'0

!) "#$

m $!, -"$

'$$
 




m# - '0
Se vincula con la identificación de la forma en que la tecnología de
información puede contribuir de la manera más adecuada con el logro de los
objetivos del negocio.

B C $D #! #  $$' ! 
- !# 'E B C "   $D

#0!    "$ !    E B C$! $! # " 
!$ ! # '0 # &@$, ! 
E B C $! - ! $ #
 ' ! 
E B C ""! # #!! ! #  $ ! 
" #
 !! !# 'E
 m 

m#-
'0

ÿ. Definir un plan estratégico de TI

2. Definir la arquitectura de información
3. Determinar la dirección tecnológica
4. Definir la organización y relaciones de la Función TI
5. dministrar la inversión en TI
6. Comunicación de la directrices Gerenciales
7. dministración del Recurso Humano
8. dministrar la Calidad
9. Evaluación y dministración de Riesgos
ÿ . dministración de mroyectos
 m 

m#-
'0

ÿ. f r l sr I

a $  # ) $ ! ' "

H ll r b l ó m r s l í l f rm ó y l s
r q s s sí m mb s r rs r lz ó l

   !

‡ f ó l s bj v s y s s r l s I
‡I v r s l s ló s fr sr r l
‡ C mb s r z v s
‡ Es v bl r
‡ Ex s v l s ss m s
 m 

m#-
'0

. f rl r r f r

a $  # ) $ ! ' "

U j r rg z l sss s f r

    !

r s
gl s s s s
Pr s l sf r
 m 

m#-
'0

-. r rl r l

a $  # ) $ ! ' "

T rv j l l í sp bl y r

    !

A y v l l p l fr sr r l
M rz l s s rr ll s l s
s
Pl s s
 m 

m#-
'0

D. f rl r z r l s l F I

a $  # ) $ ! ' "

E tr r l s s rv s l s I

   !

‡ C m té r
‡C s j v l r sp s b l
‡ mr p , st
‡ S p rv s
‡S r bl s
‡ R l s r sp s b l s
‡ s rp s l tr b j
‡ mr v s v l s
‡ Cl v p rs l
 m 

m#-
'0

‰. A sr rl v rs I

a $  # ) $ ! ' "

G r z r l co sol c y co rol r l g s o los r cursos f c rou

   !

‡ Consolidación de alternativas
‡ Control del gasto efectivo
‡ Justificación de los costes
‡ Justificación de los beneficios
 m 

m#-
'0

 . l r r s r l s

a $  # ) $ ! ' "

r z r l l s r y s sf s

   !

‡ g /é
‡Dr r s l gí
‡ f r
‡ s l
‡ mlí s s g r
‡ mlí s rl r
 m 

m#-
'0

·. A sr  l  rs



a $  # ) $ ! ' "

x
zr ls rb s l prsl  ls prss  TI

   !

‡ f rz y pr

‡ q ss  l 
‡ Er

‡ Csr  l 

‡ Evl   l j  bjv y
 bl
 m 

m#-
'0

[. A
sr  l 

a $  # ) $ ! ' "

L
jor ou y
 bl  l l   los srvos prs os por TI

   !

‡ ml  sruur  l l 
‡ Esá rs y prás  l 
‡ o ologí l lo  v  l srrollo l ss
s
‡ Esá rs  srrollo y   qus
‡  ,
ooro y rvs  l l 
 m 

m#-
'0

Î. vl   s s

a $  # ) $ ! ' "

D s rr l rlz  ls bjtvs  TI, rsp    ls mzs pr l

s mstr  ls srvs  TI

   !

‡ Dfrts tps  rss  TI 0tlí, s r  , t   , t.)
‡ lë lbl  sstms spífs
‡ vl   rss hst l fh
‡ t lí  álss  rss
‡   s  rs  tttvs y/  lttvs
‡ ml    rss
 m 

m     
F 

m>,#-! $#  ' !

V



 
o S 7799-3ë2 5 sistemas de gestión seguridad de la información. Directrices
para la gestión de riesgos de seguridad de la información o

barca las siguientesë

† Evaluación de riesgos
† Tratamiento del riesgo
† Gestión de la toma de decisiones
† Nueva evaluación de riesgo
† La vigilancia y el examen de perfil de riesgo
† Riesgo de la seguridad de la información en el contexto de la
gobernanza empresarial
† El cumplimiento de otras normas basadas en los riesgos y los
reglamentos
 m 

m#-
'0

ÿ
. A
sr  Prs

a $  # ) $ ! ' "

L rg  rsul s  prs r 

rs  
p, prsupus 
l  r  s.

   !

‡ r  rbj pr l 
sr  prgr
s  vrs  TI
‡ r  rbj pr l 
sr  prs
‡ Irrup  rs
‡ Dsrbu  rspsbl  s
‡ Pr  fs  prb
‡ Css  prsupus l prsl
‡ Pls  sgur   l l  
é s
½Recursos del proyecto
 




!)  
"#$

* Cambios y mantenimiento de los sistemas existentes para
garantizar la natural continuidad del ciclo de vida para estos
sistemas.
B C , "-$ ' # ) $ ' #
 !! !# 'E B C , "-$ 
$'!  $" - !$ !# " " $E B C&@D
!!$ # ,  $  ,0 
"#$! E B C & $D # "
$# !# 'E
 m 

!) 

"#$

ÿ. Identificación de soluciones utomatizada

2. dquisición y mantenimiento de SW aplicativo
3. dquisición y mantenimiento de arquitectura TI
4. Facilitar la
peración y el uso
5. dquirir recursos de TI
6. dministrar Cambios
7. Instalar y acreditar soluciones y cambios
 m 

!) 

"#$

ÿ. Identificación de soluciones utomatizadas

a $  # ) $ ! ' "

segurar la mejor aproximación para satisfacer los requisitos del usuario

   !

‡ Definición de la información de requisitos

‡ Estudios factibles 0costes, beneficios, alternativas, etc.)
‡ Requisitos de usuario
‡ rquitectura de la información
‡ Seguridad del coste-efectivo
‡ Contratación externa
 m 

!) 

"#$

2. dquisición y mantenimiento de SW aplicativo

a $  # ) $ ! ' "

Suministrar funciones automáticas que soporten de forma efectiva los procesos de

negocio

   !

½ ss  s r

½s  l vl
½s ll 
½Arv, s, rs  r ss xrs
½Irfz  l
 - s r
½rls  l  r ss  s r 
½

 m 

!) 

"#$

3. dquisición y mantenimiento de arquitectura TI

a $  # ) $ ! ' "

dquirir y dar mantenimiento a una infraestructura integrada y estándar de TI

   !

‡ sentamiento de la tecnología
‡ antenimiento del hardware preventivo
‡ Seguridad del sistema software, instalación, mantenimiento y cambio de controles
 m 

!) 

"#$

4. Facilitar la operación y el uso

a $  # ) $ ! ' "

Garantizar la satisfacción de los usuarios finales mediante ofrecimientos de servicios, y

de forma transparente integrar las soluciones de aplicación y tecnología dentro de
los procesos del negocio.

   !

½ mlan para soluciones de operación

½ Transferencia de conocimiento a la gerencia del negocio
½ Transferencia de conocimiento a usuarios finales
½ Transferencia de conocimiento al personal de operaciones y soporte
 m 

!) 

"#$

5. dquirir recursos de TI

G $  # ) $ !   "

Mejorr l reilidd de TI  su coriuci  l uilidd del eocio.

     !

½ Control de adquisición
½ dministración de contratos con proveedores
½ Selección de proveedores
½ dquisición de software
½ dquisición de recursos de desarrollo
½ dquisición de infraestructura, instalaciones y servicios relacionados
 m 

!) 

"#$

6. dministrar cambios

a $  # ) $ ! ' "

Responder a los requerimientos del negocio de acuerdo con la estrategia de

negocio.

   !

½Estándares y procedimientos para cambios
½Evaluación de impacto, priorización y autorización
½Cambios de emergencia
½Seguimiento y reporte del estatus de cambio
½Cierre y documentación del cambio
 m 

a

 
 
m  

H  :

:< ! $& .  $
. $  $
.  @
.   $%
El proceso de suministro contiene las actividades y tareas del proveedorë

$,!!

½ Inicio
½ mreparación de respuesta
½ Contrato
½ mlanificación
½ Ejecución y control
½ Revisión y evaluación
½ Entrega y finalización
 m 

!) 

"#$

7. Instalar y acreditar soluciones y cambios

a $  # ) $ ! ' "

Contar con sistemas nuevos o modificados que trabajen sin problemas importantes
después de la instalación

   !

½Entrenamiento
½mlan de prueba
½mlan de implantación
½ mbiente de prueba
½Conversión de sistema y datos
½Distribución del sistema
 




m $ ! , - "$

mrestación efectiva de los servicios requeridos, comprenden desde las

operaciones tradicionales sobre aspectos de seguridad y continuidad
hasta capacitación.

BC  $D $'! # , ! 
! !  # "!!

!# 'E BC $D "$0! #  $ ! 
E BC "0 # 0
! $&@ ! $#0 #  $ ! 
!  "!$, - 'E
BC $D "#$! !  !! # !#!!/ #
$'!! - # ! "&#!!E
 m 

m $!,-
"$

ÿ. Definición del nivel de servicio

2. dministración del servicio de terceros
3. dministración de la capacidad y el desempeño
4. segurar el servicio continuo
5. Garantizar la seguridad del sistema
6. Identificación y asignación de costos
7. Capacitación de usuarios
8. Soporte a los clientes de TI
9. dministración de la configuración
ÿ . dministración de problemas e incidentes
ÿÿ. dministración de datos
ÿ2. dministración de Instalaciones 0 mbiente Físico)
ÿ3. dministración de
peraciones
 m 

m $!,-
"$

ÿ. Definición del nivel de servicio

a $  # ) $ ! ' "

segurar la alineación de los servicios claves de TI con la estrategia del negocio

   !

½ Definición de servicios
½ Definición de responsabilidades
½ Garantías de integridad
½ onitoreo y reporte del cumplimento de los niveles de servicio
½ Revisión de los acuerdos de niveles de servicio y de los contratos
    m 
-! $# ,# ! ,
SL 0Service Level greement) o cuerdo de Nivel de Servicio es un
contrato escrito entre un proveedor de servicio y su cliente con
objeto de fijar el nivel acordado para la calidad del servicio.
Si se utiliza correctamente debeë

 Identificar y definir las necesidades del cliente

 mroporcionar un marco para la comprensión
 Simplificar cuestiones complejas
 Reducir las zonas de conflicto
 lentar el diálogo en caso de litigio
 Eliminar las expectativas poco realistas
$$/!&&"#'! $ .$ $ 
# #  '$ %

Servicios a ser entregados

Rendimiento, seguimiento y presentación de informes
mroblema de gestión
Cumplimiento legal y Resolución de Conflictos
Deberes y Responsabilidades del cliente
Seguridad
Derechos de propiedad intelectual y la información confidencial
Terminación
 m 

m $!,-
"$

2. dministración del servicio de terceros

a $  # ) $ ! ' "

segurar que las reglas y las responsabilidades de terceras partes están definidas de
forma clara, adheridas y continuar satisfaciendo los requisitos

   !

½ Identificación de las relaciones con todos los proveedores

½ dministración de las relaciones con los proveedores
½ dministración de riesgos del proveedor
½ onitoreo del desempeño del proveedor
 m 

m $!,-
"$

3. dministración de la capacidad y el desempeño

a $  # ) $ ! ' "

ptimizar el desempeño de la infraestructura, los recursos y las capacidades de TI en

respuesta a las necesidades del negocio.

   !

½ Disponibilidad y cumplimiento de los requisitos

½ Capacidad y desempeño actual
½ Capacidad y desempeño futuros
½ Disponibilidad de recursos TI
½ onitoreo y reporte
 m 

m $!,-
"$

4. segurar el servicio continuo

a $  # ) $ ! ' "

Hacer que los servicios de TI requeridos estén disponibles y asegurar un impacto de

negocio mínimo en caso de una ruptura mayor

   !

‡ Clasificación crítica
‡ mlan de continuidad documentado
‡ Recursos críticos de TI
½ antenimiento, mruebas, Entrenamiento y Distribución del plan de continuidad de TI
 m 

m $!,-
"$

5. Garantizar la seguridad del sistema

a $  # ) $ ! ' "

Salvaguardar la información contra el uso no autorizado, descubrimiento o

modificación, daño o pérdida

   !

‡ utorización
‡ utenticidad
‡ cceso
‡ Uso de protección e identificación
‡ Gestión de clave criptográfica
‡ Detección y prevención de virus
‡ Cortafuegos
 m 

m $!,-
"$

6. Identificación y asignación de costos

a $  # ) $ ! ' "

segurar un correcto conocimiento de los costes atribuidos a los servicios de TI

   !

‡ Recursos identificables y medibles

‡ odelación de costos y cargos
‡ Imponer valores
 m 

m $!,-
"$

7. Capacitación de usuarios

a $  # ) $ ! ' "

segurar que los usuarios son eficientes en el uso de la tecnología y que son
conscientes de los riesgos y responsabilidades en las que están involucrados

   !

‡ mlan de estudios de entrenamiento

‡ Campañas de conocimiento
‡ Técnicas de conocimiento
 m 

m $!,-
"$

8. Soporte a los clientes de TI

a $  # ) $ ! ' "

mermitir el efectivo uso de los sistemas de TI garantizando la resolución y el análisis de

las consultas de los usuarios finales, incidentes y preguntas.

   !

‡ Cuestiones del cliente y respuestas al problema

‡ onitorización de cuestiones y aclaraciones
‡ nálisis de tendencias e información
 m 

m $!,-
"$

9. dministración de la configuración

a $  # ) $ ! ' "

Considerar todos los componentes de TI, prevenir alteraciones no autorizadas,

verificar la existencia física y proveer de un fundamento para una gestión de cambio
firme

   !

‡ edios de registro
‡ Gestión del cambio de configuración
‡ Chequeo del software no autorizado
‡ Controles de almacenamiento de software
 m 

m $!,-
"$

ÿ . dministración de problemas e incidentes

a $  # ) $ ! ' "

segurar que los problemas e incidentes serán resueltos, e investigando la causa para
prevenir una nueva aparición de estos

   !

‡ Reglas suficientes de auditoría de problemas y soluciones

‡ Resolución oportuna de problemas anunciados
‡ Informes de incidentes
 m 

m $!,-
"$

ÿÿ. dministración de datos

a $  # ) $ ! ' "

segurar que los datos permanecen completos, correctos y válidos durante su

introducción, actualización y almacenamiento

   !

‡ Diseño del modelo

‡ Controles de entrada
‡ Controles de proceso
‡ Controles de salida
‡ lmacenamiento multimedia y gestión de copias de seguridad
‡ utenticidad e integridad
 m 

m $        
 $

ÿ2. dministración de Instalaciones 0 mbiente Físico)

a $  #  ) $ '  

mroveer de un medio físico apropiado que proteja el equipamiento de las TI y a las

personas contra riesgos naturales y riesgos provocados por el hombre

    

‡ Identificación de la situación
‡ Seguridad física
‡ Salud y seguridad del personal
‡ mrotección de amenazas del entorno
 m 

m $!,-
"$

ÿ3. dministración de
peraciones

a $  # ) $ ! ' "

segurar que las funciones importantes soportadas de las TI son realizadas

regularmente y de una forma ordenada

   !

‡ anual de procedimiento de operaciones

‡ Documentación del proceso puesto en marcha
‡ Gestión de servicios de la red
‡ mlanificación del trabajo y el personal
 




$H'$
Evaluar regularmente todos los procesos de TI para determinar su
calidad y el cumplimiento de los requerimientos de control.

BC ! # ! "I ! 
" !$$ # "&# $ ! )

 ! ! $!E BC  '$0 ) # $# $
 $, - $ E BCm! ,#  # ! "I ! # ) 
J
#0!  # $ !# 'E BC ! - "$ #  ' / #
$#/ # "#$ - # ! "IE
 m 

$H
'$

ÿ. onitorear y Evaluar el desempeño de TI

2. onitorear y Evaluar el control interno
3. Garantizar el cumplimiento regulatorio
4. mroporcionar gobierno de TI
 m 

$H
'$

ÿ. onitorear y Evaluar el desempeño de TI

a $  # ) $ ! ' "

Transparencia y entendimiento de los costos, beneficios, estrategia, políticas y niveles

de servicio de TI de acuerdo con los requisitos de gobierno.

   !

½étodo de monitoreo
½Evaluación del desempeño
½Reportes al consejo directivo y a ejecutivos
½ cciones correctivas
 m 

$H
'$

2. onitorear y evaluar el control interno

a $  # ) $ ! ' "

mroteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados

con TI.

   !

½onitorear el marco de trabajo de control interno
½Revisiones de uditoría
½ uto-evaluación de control
½Control interno para terceros
½ cciones correctivas
 $-,#
$-,##$#$

control interno situaciones a informar

Como ya se indicó las osituaciones a informaro, son asuntos que llaman la atención
del auditor, pues representan deficiencias importantes en el diseño y operación de
la estructura del control interno, que a su juicio podrían afectar negativamente la
capacidad de la organización.

Deficiencia en el diseño de la estructura del control interno

Diseño inadecuado de la estructura del control interno en general.

- usencia de una adecuada segregación de funciones, acorde con los objetivos de control
establecidos.
- Falta de revisión y aprobación adecuada de las transacciones, pólizas contables o reportes
emitidos.

Fallas en el suministro de información completa y correcta de acuerdo con los objetivos de la

entidad, como consecuencia de omisiones en la aplicación de los procedimientos de control.

- Violación intencional de los controles establecidos, por parte de personal de alto nivel jerárquico.

- Fallas en la protección de los activos, contra pérdidas, daños o uso indebido de los mismosð
 m 

$H
'$

3. Garantizar el cumplimiento regulatorio

a $  # ) $ ! ' "

Cumplir las leyes y regulaciones.

   !

½Identificar las leyes y regulaciones con impacto potencial sobre TI
½
ptimizar la respuesta a requerimientos regulatorios
½Evaluación del cumplimiento con requerimientos regulatorios
½ seguramiento positivo del cumplimiento
½Reportes integrados
 m 

$H
'$

4. mroporcionar gobierno de TI

a $  # ) $ ! ' "

La integración de un gobierno de TI con objetivos de gobierno corporativo y el

cumplimiento con las leyes y regulaciones

   !

½Establecer un marco de trabajo de gobierno para TI
½ lineamiento estratégico
½Entrega de valor
½ dministración de recursos
½ dministración de riesgos
½edición del desempeño
 
 &@$, !#' 



.,
ÿ +    ,  
 +  "   
ÿ

       +     


      +   
   


     
    ë
 '
%  
!     
( )      
* !   - .
/ !  ) 
0   
!   -
ÿ1 !   


"     ð 



 
 
 
 
    

    m  
  ! 

ÿ +     

 !     
 !    
  
 

'
!   
    
 

      
(
*
 
   
)   

  
  


  
/ #      
0 !     
ÿ1 !      
ÿÿ !    ÿ     
ÿ !     2! %34  !" 
  #$  
ÿ !   & m     

!" 
  " 
%   & 
 
"    '
(
!"   
! )
"  *  
  

 



½ 
 8.: 0mDF).

½ m# -  $ !  $ !
. TR J

DE TE
RÍ . Roberto Sobrinos Sánchez. ÿ9 de ayo de ÿ999.

½ 
% 3$ !
 ,. Fernando Ferrer

livares, CIS - mresidente IS C  Colombia.

½ ! $ !  ' ! 
. Fernando Izquierdo Duarte,

CIS - Ingeniero de Sistemas.
 å