Professional Documents
Culture Documents
½ ë poyo a decisiones de inversión en TI y control sobre su desempeño, balanceo del riesgo y el
control de la inversión en un ambiente a menudo impredecible.
½
# ë btienen una garantía sobre el control y seguridad de los productos que adquieren
interna y externamente.
½ !$ % ëSoportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la
organización y determinar el control mínimo requerido.
½ " &# ! ë mara identificar los controles que requieren en sus áreas.
½ ' $$# ! $#% mara saber que es lo mínimo que pueden exigir.
a
0Tecnologías de Informática^
Se encargan de
mor medio de
m m
a
m
a
CobiT combina los principios contenidos por modelos
existentes y conocidos, como CS, S C y S S
#!! 0cumplimiento de
)$ ! requerimientos) $ 0dentro del
#!! presupuesto). "$!! 0en el tiempo
indicado)
Relativa a la protección de la
!#!! información sensitiva de su ,#
$0!.
$# % Incluye los recursos necesarios para alojar y dar soporte a los
sistemas de información.
'!!2
$! !##
*9+/*55+ 444444444444444
*5+/*6+/*7+/*8+/*;+/*<+/
*=+/*9+/*>+/*5:+/*55+
m A 7
grupación natural de
procesos, normalmente
corresponden a una
responsabilidad organizacional
m
Conjuntos de actividades
unidas con delimitación o
cortes de control.
$,!!
$ cciones requeridas para
lograr un resultado medible. Las
ctividades tienen un ciclo de
vida mientras que las tareas
son discretas.
m#-'0
!) "#$
'$$
m# - '0
Se vincula con la identificación de la forma en que la tecnología de
información puede contribuir de la manera más adecuada con el logro de los
objetivos del negocio.
ÿ. f r l sr I
H ll r b l ó m r s l í l f rm ó y l s
r q s s sí m mb s r rs r lz ó l
f ó l s bj v s y s s r l s I
I v r s l s ló s fr sr r l
C mb s r z v s
Es v bl r
Ex s v l s ss m s
m
m#-
'0
. f rl r r f r
U j r rg z l sss s f r
!
r s
gl s s s s
Pr s l sf r
m
m#-
'0
-. r rl r l
T rv j l l í sp bl y r
!
A y v l l p l fr sr r l
M rz l s s rr ll s l s
s
Pl s s
m
m#-
'0
D. f rl r z r l s l F I
E tr r l s s rv s l s I
C m té r
C s j v l r sp s b l
mr p , st
S p rv s
S r bl s
R l s r sp s b l s
s rp s l tr b j
mr v s v l s
Cl v p rs l
m
m#-
'0
. A sr rl v rs I
Consolidación de alternativas
Control del gasto efectivo
Justificación de los costes
Justificación de los beneficios
m
m#-
'0
. l r r s r l s
r z r l l s r y s sf s
g /é
Dr r s l gí
f r
s l
mlí s s g r
mlí s rl r
m
m#-
'0
x
zr ls rb s l prsl ls prss TI
f rz y pr
q ss l
Er
Csr
l
Evl
l j bjv y
bl
m
m#-
'0
[. A
sr
l
L
jor ou y
bl
l l
los srvos prs
os por TI
ml
sruur
l l
Esá
rs y prás
l
o
ologí
l lo
v
l
srrollo
l ss
s
Esá
rs
srrollo y
qus
,
ooro y rvs
l l
m
m#-
'0
Î. vl s s
V
o S 7799-3ë2 5 sistemas de gestión seguridad de la información. Directrices
para la gestión de riesgos de seguridad de la información o
ÿ. A
sr
Prs
r
rbj pr l
sr
prgr
s
vrs TI
r
rbj pr l
sr
prs
Irrup
rs
Dsrbu
rspsbl
s
Pr fs
prb
Css prsupus
l prsl
Pls
sgur
l l
é
s
½Recursos del proyecto
!)
"#$
sentamiento de la tecnología
antenimiento del hardware preventivo
Seguridad del sistema software, instalación, mantenimiento y cambio de controles
m
!)
"#$
!)
"#$
5. dquirir recursos de TI
!
½ Control de adquisición
½ dministración de contratos con proveedores
½ Selección de proveedores
½ dquisición de software
½ dquisición de recursos de desarrollo
½ dquisición de infraestructura, instalaciones y servicios relacionados
m
!)
"#$
6. dministrar cambios
a
m
H :
:< ! $& . $
. $ $
. @
. $%
El proceso de suministro contiene las actividades y tareas del proveedorë
$,!!
½ Inicio
½ mreparación de respuesta
½ Contrato
½ mlanificación
½ Ejecución y control
½ Revisión y evaluación
½ Entrega y finalización
m
!)
"#$
Contar con sistemas nuevos o modificados que trabajen sin problemas importantes
después de la instalación
m $!,-
"$
½ Definición de servicios
½ Definición de responsabilidades
½ Garantías de integridad
½ onitoreo y reporte del cumplimento de los niveles de servicio
½ Revisión de los acuerdos de niveles de servicio y de los contratos
m
-! $# ,# ! ,
SL 0Service Level greement) o cuerdo de Nivel de Servicio es un
contrato escrito entre un proveedor de servicio y su cliente con
objeto de fijar el nivel acordado para la calidad del servicio.
Si se utiliza correctamente debeë
m $!,-
"$
segurar que las reglas y las responsabilidades de terceras partes están definidas de
forma clara, adheridas y continuar satisfaciendo los requisitos
m $!,-
"$
m $!,-
"$
Clasificación crítica
mlan de continuidad documentado
Recursos críticos de TI
½ antenimiento, mruebas, Entrenamiento y Distribución del plan de continuidad de TI
m
m $!,-
"$
utorización
utenticidad
cceso
Uso de protección e identificación
Gestión de clave criptográfica
Detección y prevención de virus
Cortafuegos
m
m $!,-
"$
m $!,-
"$
7. Capacitación de usuarios
segurar que los usuarios son eficientes en el uso de la tecnología y que son
conscientes de los riesgos y responsabilidades en las que están involucrados
m $!,-
"$
m $!,-
"$
9. dministración de la configuración
edios de registro
Gestión del cambio de configuración
Chequeo del software no autorizado
Controles de almacenamiento de software
m
m $!,-
"$
segurar que los problemas e incidentes serán resueltos, e investigando la causa para
prevenir una nueva aparición de estos
m $!,-
"$
m $
$
a $ # ) $ '
Identificación de la situación
Seguridad física
Salud y seguridad del personal
mrotección de amenazas del entorno
m
m $!,-
"$
$H'$
Evaluar regularmente todos los procesos de TI para determinar su
calidad y el cumplimiento de los requerimientos de control.
$H
'$
$H
'$
½étodo de monitoreo
½Evaluación del desempeño
½Reportes al consejo directivo y a ejecutivos
½ cciones correctivas
m
$H
'$
Como ya se indicó las osituaciones a informaro, son asuntos que llaman la atención
del auditor, pues representan deficiencias importantes en el diseño y operación de
la estructura del control interno, que a su juicio podrían afectar negativamente la
capacidad de la organización.
- usencia de una adecuada segregación de funciones, acorde con los objetivos de control
establecidos.
- Falta de revisión y aprobación adecuada de las transacciones, pólizas contables o reportes
emitidos.
- Violación intencional de los controles establecidos, por parte de personal de alto nivel jerárquico.
- Fallas en la protección de los activos, contra pérdidas, daños o uso indebido de los mismosð
m
$H
'$
$H
'$
4. mroporcionar gobierno de TI