Manual de Cobit 2da Edicion

La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de con-

trol en tecnologa de informacin con autoridad, actualizados, de carcter in-
ternacional y aceptados generalmente para el uso cotidiano de gerentes de
empresas y auditores.

DIRECTRICES DE AUDITORIA

Abril de 1998
2da Edicin

Emitido por el Comit Directivo de COBIT y
la Information Systems Audit and Control Foundation
ARGENTINA
ARUBA
AUSTRALIA
AUSTRIA
BAHAMAS
BAHRAIN
BANGLEDESH
BARBADOS
BLGICA
BERMUDA
BOLIVIA
BOSTSWANA
BRASIL
BRUENI
CANAD
CHILE
CHINA
COLOMBIA
COSTA RICA
CROATA
CURAZAO
CYPRUS
REPBLICA CHECA
DINAMARCA
REPBLICA DOMI-
NICANA
ECUADOR
EGIPTO
ESTONIA
ISLAS FAEROE
FINLANDIA
FRANCIA
ALEMANIA
GHANA
GRECIA
GUAM
GUATEMALA
HONDURAS
HONG KONG
HUNGRA
ISLANDIA
INDIA
INDONESIA
IRLANDA
ISRAEL
ITALIA
IVORY COAST
JAMAICA
JAPN
JORDN
KENYA
COREA
KUWAIT
LATVIA
LEBANON
LIECHTENSTEIN
LITUANIA
LUXEMBURGO
MALASIA
MALTA
MALAWI
MXICO
PASES BAJOS
NUEVA GUINEA
NUEVA ZELANDA
NIGERIA
NORUEGA
OMN
PAKISTN
PANAM
PER
FILIPINAS
POLONIA
PORTUGAL
QATAR
RUSIA
SAIPAN
ARABIA SAUDITA
ESCOCIA
SEYCHELLES
SINGAPUR
REP. ESLOVACA
ESLOVENIA
SUDFRICA
ESPAA
SRI LANKA
ST. KITTS
ST. LUCIA
SUECIA
SUIZA
SIRIA
TAIWAN
TANZANIA
TASMANIA
TAILANDIA
TRINIDAD & TO-
BAGO
TURQUA
UGANDA
EMIRATOS ARAB
UNIDOS
REINO UNIDO
ESTADOS UNI-
DOS
URUGUAY
VENEZUELA
VIETNAM
GALES
YEMEN
ZAMBIA
ZIMBABWE
INFORMATION SYSTEMS AUDIT AND
CONTROL ASSOCIATION
Una sola Fuente Internacional para los Controles
de la Tecnologa de Informacin
Information Systems Audit and Control
Association es una organizacin global
lder de profesionales que representa a
individuos en ms de 100 pases y compren-
de todos los niveles de la tecnologa de
informacin Direccin ejecutiva, media
gerencia y practicantes. La Asociacin est
nicamente posesionada para cubrir el
papel de generador central que armoniza
los estndares de las prcticas de control
de la TI a nivel mundial. Sus alianzas es-
tratgicas con otros grupos dentro del m-
bito profesional financiero, contable, de
auditora y de la TI aseguran un nivel sin
paralelo de integracin y compromiso a los
dueos del proceso de negocio.
Programas y Servicios
de la Asociacin
Los Programas y Servicios de la Asociacin
han ganado prestigio al establecer los nive-
les ms altos de excelencia en certificacin,
estndares, educacin profesional y publici-
dad tcnica.
su programa de certificacin (el Audi-
tor de Sistemas de Informacin Certi-
ficado) es la nica designacin global
en toda la comunidad de control y
auditora de la TI.
las actividades estndares establecen
la base de calidad mediante la cual
otras actividades de control y auditora
de la TI se miden.
su programa de educacin profesional
ofrece conferencias tcnicas y adminis-
trativas en cinco continentes, as como
seminarios en todo el mundo para
ayudar a los profesionistas de todo el
mundo a recibir educacin contina de
alta calidad.
su rea de publicidad tcnica propor-
ciona materiales de desarrollo profe-
sional y referencias con el fin de au-
mentar su distinguida seleccin de
programas y servicios.
La Information Systems Audit and Control
Association se cre en 1969 para cubrir las
necesidades nicas, diversas y de alta tecno-
loga en el naciente campo de la TI. En una
industria donde el progreso se mide en no-
nasegundos, ISACA se ha movido gil y
velozmente para satisfacer las necesidades
de la comunidad de negocios internaciona-
les y de la profesin de controles de la TI.
Para ms Informacin
Para recibir informacin adicional, puede
llamar al (+1.847.253.1545), enviar un e-
mail a (research@isaca.org) o visitar nuestra
pgina (www.isaca.org).
Reconocimientos 4-5

Resumen Ejecutivo 7-8

Antecedentes 9-10

El Marco Referencial de COBIT

Estableciendo la escena.........................................11-13
Los Principios del Marco Referencial...................14-18
Gua para la utilizacin del Marco
Referencial y Objetivos de Control.......................19-20

Tabla Resumen 21

Introduccin a los Lineamientos
de Auditoria 23-27, 29-31

Lineamiento General de Auditoria 28

Lineamientos de Auditora 33

Planeacin y Organizacin....................................35-86
Adquisicin e Implementacin............................87-118
Entrega de Servicios y Soporte..........................119-188
Monitoreo...........................................................189-204

Apndice I

Lista de Dominios, Procesos y
Objetivos de Control..........................................205-209

Apndice II

Material de Referencia Primaria........................210-211

Apndice III

Glosario de Trminos................................................212

Apndice IV

Proceso de Auditora..........................................213-216

Apndice V

Cumplimiento del Ao 2000..............................217-219

ndice 220-222
AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL 3
O OBJETIVOS BJETIVOS DE DE C CONTROL ONTROL PARA PARA LA LA I INFORMACIN NFORMACIN Y Y T TECNOLOGAS ECNOLOGAS A AFINES FINES
Lmite de Responsabilidad
La Information Systems Audit and Control Foundation y los patrocinadores
de COBIT: Objetivos de Control para la Informacin y Tecnologas afines,
han diseado este producto principalmente como una fuente de instruccin
para los profesionales dedicados a las actividades de control. La Information
Systems Audit and Control Foundation y los patrocinadores no declaran que
el uso de este producto asegurar un resultado exitoso. No deber conside-
rarse que este producto incluye todos los procedimientos o pruebas apropia-
dos o que excluye otros procedimientos y pruebas que estn razonablemente
dirigidos hacia la obtencin de los mismos resultados. Para determinar la
conveniencia de cualquier prueba o procedimiento especfico, los expertos
en control debern aplicar su propio juicio profesional a las circunstancias
de control especiales presentadas por cada entorno de sistemas en particu-
lar.

Acuerdo de Licencia (disclosure)
Copyright 1996, 1998 de la Information Systems Audit and Control Foun-
dation (ISACF). La reproduccin para fines comerciales no est permitida
sin el previo consentimiento por escrito de la ISACF. Se otorga permiso
para reproducir el Resumen Ejecutivo, el Marco Referencial y los Objetivos
de Control para uso interno no comercial, incluyendo almacenamiento en
medios de recuperacin de datos y transmisin en cualquier medio, inclu-
yendo electrnico, mecnico, grabado u otro medio. Todas las copias del
Resumen Ejecutivo, el Marco Referencial y los Objetivos de Control deben
incluir el siguiente reconocimiento y leyenda de derechos de autor:
Copyright 1996, 1998 Information Systems Audit and Control Foundation,
reimpreso con la autorizacin de la Information Systems Audit and Control
Foundation. Ningn otro derecho o permiso relacionado con esta obra es
otorgado.

Las Directrices de Auditora y el conjunto de herramientas de implementa-
cin no pueden ser reproducidos, almacenados en un sistema de recupera-
cin de datos o transmitido en ninguna forma ni por ningn medio
electrnico, mecnico, fotocopiado, grabado u otro medio- sin la previa
autorizacin por escrito de la ISACF.
Excepto por lo indicado, no se otorga ningn otro derecho o permiso rela-
cionado con esta obra.

Traducido al espaol de COBIT 2
da
Edicin: Objetivos de Control para la
Informacin y Tecnologas afines por Gustavo A. Sols Montes, CISA con
el permiso de la Information Systems Audit and Control Foundation
(ISACF). Esta traduccin no fue revisada por la ISACF, por lo tanto, no
garantiza la fidelidad y/o exactitud de la misma. Si desea obtener mayor
informacin sobre ISACF, visite su web site en www.isaca.org.

Information Systems Audit and Control Foundation
3701 Algonquin Road, Suite 1010
Rolling Meadows, Illinois 60008 USA.
Telfono: +1.847.253.1545
Fax: +1.847.253.1443
E-mail: research@isaca.org
Website: www.isaca.org

ISBN 0-9629440-6-8 (Audit Guidelines, English)
CONTENIDO
C COBI OBIT T
DIRECTRICES DE AUDITORA 4
PATROCINADORES DE LOS ASOCIADOS DE LA
CORPORACIN
Fellesdata a/s, Norway
NoviT a/s, Norway

PRINCIPALES CAPTULOS DE ISACA
PATROCINADORES
Benelux Norway
National Capital Area Toronto
New York Metropolitan

CAPTULOS DE ISACA ASOCIADOS
PATROCINADORES
Adelaide New Jersey
Atlanta New Mexico
Auckland North Alabama
Austin North Texas
Bangkok Northeast Ohio
Brisbane Northern United Kingdom
Canberra Philadelphia
Central Arkansas Pittsburgh
Central Indiana Puget Sound
Central Maryland Research Triangle
Central New York Sacramento
Denver San Diego
Detroit Santiago de Chile
Finland Seoul
Greater Hartford South Texas
Hawaii St. Louis
Houston Sweden
Hudson Valley Tokyo
Indonesia Tulsa
London Victoria
Los Angeles Virginia
Middle Tennessee Wellington
Minnesota Winnipeg
New England

CONTRIBUCIONES INDIVIDUALES
Bill Bartgis Teresa McCauley
John Beveridge Robert G. Parker
William Bialkowski Daniel Ramos
Alllen Bragan Deepak Sarup
Maryanne S. Canant Lily Shue
Michael Donahue Patrick Stachtchenko
John Lainhart Kevin Weston
Akira Matsuo
PRINCIPALES PATRIOCINADORES DE LA
CORPORACIN A NIVEL MUNDIAL
RECONOCIMIENTOS
ANALISTAS EXPERTOS USA
Prof. Ulric J. Gelinas, Bentley College
John Hayes, Price Waterhouse LLP
Greg Hedges, Arthur Andersen & Co., S.C.
Dave Kent, Price Waterhouse LLP
Tom Kothe, Ernst & Young LLP
John Lainhart, Inspector General, U.S. House of
Representatives, USA
Robert Roussey, University of Southern California

CALIDAD GARANTIZADA
Gary Austin, GAO
Chris Bagot, NATO
Rick Beatty, California Federal Bank
Peter De Koninck, Coopers & Lybrand
Balencia Dozier, Manufacturers Bank
Doris Gin, Arthur Andersen & Co., LLP
A.I. Heijkamp, Computercentrum VSB
Max Huijbers, Rijkscomputercentrum
Peter Maertens, NATO
Bill Pepper, Zergo, Ltd.
Mark Stanley, Santa Barbara Bank
Tjerk Terpstra, Inter Access
Mark Wheeler, Farmers Insurance
Carla Williams, Executive Consultants

AGRADECIMIENTO ESPECIAL a los miembros de la Mesa
directiva de la Information Systems Audit and Control Asso-
ciation, y los Fideicomisarios de la Information Systems
Audit and Control Foundation por su continuo y firme apoyo
a la familia de productos de COBIT

EL EQUIPO DEL PROYECTO
Erik Guldentops, S.W.I.F.T. S.C., Belgium
Eddy Schuermans, Coopers & Lybrand, Belgium
Thomas Lamm, ISACF, USA

COMIT QUE DIRIGE EL PROYECTO
Erik Guldentops, S.W.I.F.T. S.C., Belgium
John Beveridge, State Auditors Office,
Massachusetts, USA
Prof. Dr. Bart De Schutter, Vrije Universiteit Brussels,
Chairman BRT Belgium
Gary Hardy, Arthur Andersen, United Kingdom
John Lainhart, Inspector General, U.S. House of
Representatives, USA
Akira Matsuo, Chuo Audit Corporation, Japan
Eddy Schuermans, Coopers & Lybrand, Belgium
Paul Williams, Arthur Andersen, United Kingdom
Thomas Lamm, ISACF, USA

INVESTIGADORES
Vrije Universiteit Amsterdam, The Netherlands
Prof. M.E. Van Biene-Hershey
Ren Barlage, RB Consultants
California Polytechnic University, USA
Prof. Dan Manson, Lead Researcher

ANALISTAS EXPERTOS EUROPA
Chris Bagot, NATO
Ren Barlage, RB Consultants
Prof. Dr. Henri Beker, Zergo, Ltd.
John Beveridge, ISACA Past President
Erik Guldentops, S.W.I.F.T. S.C.
Gary Hardy, Arthur Andersen
Eddy Schuermans, Coopers & Lybrand
Alan Stanley, European Security Forum
Danny Van Riel, Johnson & Johnson
Bram Vandenberg, Ernst & Young
RECONOCIMIENTOS
C COBI OBIT T
R RESUMEN ESUMEN E EJECUTIVO JECUTIVO
U
n elemento crtico para el xito y la supervivencia de las organizaciones, es
la administracin efectiva de la informacin y de la Tecnologa de Informa-
cin (TI) relacionada. En esta sociedad global (donde la informacin viaja a
travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad)
esta criticalidad emerge de:
l la creciente dependencia en informacin y en los sistemas que proporcio-
nan dicha informacin
l la creciente vulnerabilidad y un amplio espectro de amenazas, tales como
las ciber amenazas y la guerra de informacin
l la escala y el costo de las inversiones actuales y futuras en informacin y
en tecnologa de informacin; y
l el potencial que tienen las tecnologas para cambiar radicalmente las
organizaciones y las prcticas de negocio, crear nuevas oportunidades y
reducir costos
Para muchas organizaciones, la informacin y la tecnologa que la soporta, repre-
sentan los activos mas valiosos de la empresa.
Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la
gerencia ha incrementado sus expectativas relacionadas con la entrega de servi-
cios de TI. Verdaderamente, la informacin y los sistemas de informacin son
penetrantes en las organizaciones (desde la plataforma del usuario hasta las
redes locales o amplias, cliente servidor y equipos Mainframe. Por lo tanto, la
administracin requiere niveles de servicio que presenten incrementos en cali-
dad, en funcionalidad y en facilidad de uso, as como un mejoramiento continuo
y una disminucin de los tiempos de entrega) al tiempo que demanda que esto se
realice a un costo ms bajo. Muchas organizaciones reconocen los beneficios
potenciales quela tecnologa puedeproporcionar. Las organizaciones exitosas,
sin embargo, tambin comprenden y administran los riesgos asociados con la
implementacin denueva tecnologa. Por lo tanto, la administracin debe tener
una apreciacin por, y un entendimiento bsico de los riesgos y limitantes del
empleo de la tecnologa de informacin para proporcionar una direccin efectiva
y controles adecuados. COBIT ayuda a salvar las brechas existentes entre riesgos
de negocio, necesidades de control y aspectos tcnicos. Proporciona prcticas
sanas a travs de un Marco Referencial de dominios y procesos y presenta
actividades en una estructura manejable y lgica. Las prcticas sanas de COBIT
representan el consenso de los expertos (le ayudarn a optimizar la inversin en
informacin, pero an ms importante, representan aquello sobre lo usted ser
juzgado si las cosas salen mal.
L
as organizaciones deben cumplir con requerimientos de calidad, de reportes
fiduciarios y de seguridad, tanto para su informacin, como para sus acti-
vos. La administracin deber obtener un balance adecuado en el empleo de sus
recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa,
sistemas de aplicacin y datos. Para cumplir con esta responsabilidad, as como
para alcanzar sus expectativas, la administracin deber establecer un sistema
adecuado de control interno. Por lo tanto, este sistema o marco referencial deber
existir para proporcionar soporte a los procesos de negocio y debe ser preciso en
la forma en la que cada actividad individual de control satisface los requerimien-
tos de informacin y puede impactar a los recursos de TI. El impacto en los
recursos de TI es enfatizado en el Marco Referencial de COBIT conjuntamente a
los requerimientos de informacin del negocio que deben ser alcanzados: efecti-
vidad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad. El control, que incluye polticas, estructuras, prcticas y procedi-
mientos organizacionales, es responsabilidad de la administracin.
La administracin, mediante este gobierno corporativo, debe asegurar que la
debida diligencia sea ejercitada por todos los individuos involucrados en la
administracin, empleo, diseo, desarrollo, mantenimiento u operacin de siste-
mas de informacin.
Un Objetivo de Control en TI es una definicin del resultado o propsito que se
desea alcanzar implementando procedimientos de control especficos dentro de
una actividad de TI.
L
a orientacin a negocios es el tema principal de COBIT. Esta diseado no
solo para ser utilizado por usuarios y auditores, sino que en forma ms
importante, esta diseado para ser utilizado como una lista de verificacin deta-
llada para los propietarios de los procesos de negocio. En forma incremental, las
prcticas de negocio requieren de una mayor delegacin y apoderamiento de los
dueos de procesos para que estos posean total responsabilidad de todos los
aspectos relacionados con dichos procesos de negocio. En forma particular, esto
incluye el proporcionar controles adecuados. El Marco Referencial de COBIT
proporciona herramientas al propietario de procesos de negocio que facilitan el
cumplimiento de esta responsabilidad. El Marco Referencial comienza con una
premisa simple y prctica:
Con el fin de proporcionar la informacin que la empresa necesita
para alcanzar sus objetivos, los recursos de TI deben ser administra-
dos por un conjunto de procesos de TI agrupados en forma natural.
C
ontina con un conjunto de 34 Objetivos de Control de alto nivel, uno para
cada uno de los Procesos de TI, agrupados en cuatro dominios: planeacin
& organizacin, adquisicin & implementacin, entrega (de servicio) y monito-
reo. Esta estructura cubre todos los aspectos de informacin y de la tecnologa
que la soporta. Dirigiendo estos 34 Objetivos de Control de alto nivel, el propie-
tario de procesos de negocio podr asegurar que se proporciona un sistema de
control adecuado para el ambiente de tecnologa de informacin. Adicionalmen-
te, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe
una gua de auditora o de aseguramiento que permite la revisin de los procesos
de TI contra los 302 objetivos detallados de control recomendados por COBIT
para proporcionar a la Gerencia la certeza de su cumplimiento y/o una recomen-
dacin para su mejora. COBIT contiene un conjunto de herramientas de imple-
mentacin que proporciona lecciones aprendidas por empresas que rpida y
exitosamente aplicaron COBIT en sus ambientes de trabajo. Incluye un Resumen
Ejecutivo para el entendimiento y la sensibilizacin de la alta gerencia sobre los
principios y conceptos fundamentales de COBIT. La gua de implementacin
cuenta con dos tiles herramientas (Diagnstico de Sensibilizacin Gerencial y
Diagnstico de Control en TI

) para proporcionar asistencia en el anlisis del
ambiente de control en una organizacin.
El Marco Referencial COBIT otorga especial importancia al impacto sobre los
recursos de TI, as como a los requerimientos de negocios en cuanto a efectivi-
dad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad que deben ser satisfechos. Adems, el Marco Referencial propor-
ciona definiciones para los requerimientos de negocio que son derivados de
objetivos de control superiores en lo referente a calidad, seguridad y reportes
fiduciarios en tanto se relacionen con Tecnologa de Informacin.
L
a administracin de una empresa requiere de prcticas generalmente aplica-
bles y aceptadas de control y gobierno en TI para medir en forma compara-
tiva tanto su ambiente de TI existente, como su ambiente planeado.
COBIT es una herramienta que permite a los gerentes comunicarse y salvar la
brecha existente entre los requerimientos de control, aspectos tcnicos y riesgos
de negocio. COBIT habilita el desarrollo de una poltica clara y de buenas prcti-
cas de control de TI a travs de organizaciones, a nivel mundial. El objetivo de
COBIT es proporcionar estos objetivos de control, dentro del marco referencial
definido, y obtener la aprobacin y el apoyo de las entidades comerciales, guber-
namentales y profesionales en todo el mundo.
Por lo tanto, COBIT esta orientado a ser la herramienta de gobierno de TI
que ayude al entendimiento y a la administracin de riesgos asociados
con tecnologa de informacin y con tecnologas relacionadas.
1
Guerra de informacin (information warfare)
2
Gobierno corporativo (corporate governance): Governance es
un trmino que representa el sistema que establece la alta ge-
rencia para asegurar el logro de los objetivos de una Organiza-
cin.
3
Lista de verificacin (check list)
4
Apoderamiento (empowerment)
5
Diagnstico de Sensibilizacin Gerencial (management
awareness diagnostic)
6
Diagnstico de Control en TI (IT control diagnostic)
7
Medir en forma comparativa (benchmark)
C COBI OBIT T
PROCESOS DE IT DE COBIT DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS
RECURSOS DE TI
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
PLANEACION Y
ORGANIZACION
ADQUISICION E
IMPLEMENTACION ENTREGA Y
SOPORTE
MONITOREO
PO1 Definir un Plan Estratgico de
Tecnologa de Informacin
PO2 Definir la Arquitectura de Informacin
PO3 Determinar la direccin tecnolgica
PO4 Definir la Organizacin y de las
Relaciones de TI
PO5 Manejar la Inversin en Tecnologa de
Informacin
PO6 Comunicar la direccin y aspiraciones de
la gerencia
PO7 Administrar Recursos Humanos
PO8 Asegurar el Cumplimiento de
Requerimientos Externos
PO9 Evaluar Riesgos
PO10 Administrar proyectos
PO11 Administrar Calidad
AI1 Identificar Soluciones
AI2 Adquirir y Mantener Software de
Aplicacin
AI3 Adquirir y Mantener Arquitectura de
Tecnologa
AI4 Desarrollar y Mantener Procedimientos
relacionados con TI
AI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios
DS1 Definir Niveles de Servicio
DS2 Administrar Servicios prestados por Terceros
DS3 Administrar Desempeo y Capacidad
DS4 Asegurar Servicio Continuo
DS5 Garantizar la Seguridad de Sistemas
DS6 Identificar y Asignar Costos
DS7 Educar y Entrenar a los Usuarios
DS8 Apoyar y Asistir a los Clientes de TI
DS9 Administrar la Configuracin
DS10 Administrar Problemas e Incidentes
DS11 Administrar Datos
DS12 Administrar Instalaciones
DS13 Administrar Operaciones
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditora independiente
INFORMACION
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
OBI
OBI
OBJEIVOS DE NEGOCIO OBJETIVOS DE NEGOCIO
DESARROLLO DEL PRODUCTO COBIT
COBIT ha sido desarrollado como un estndar generalmente
aplicable y aceptado para las buenas prcticas de seguridad y
control en Tecnologa de Informacin (TI). COBIT es la
herramienta innovadora para el gobierno
8
de TI -.
COBIT se fundamenta en los Objetivos de Control existentes
de la Information Systems Audit and Control Foundation
(ISACF), mejorados a partir de estndares internacionales
tcnicos, profesionales, regulatorios y especficos para la in-
dustria, tanto existentes como en surgimiento. Los Objetivos
de Control resultantes han sido desarrollados para su aplica-
cin en sistemas de informacin en toda la empresa. El
trmino generalmente aplicables y aceptados es utilizado
explcitamente en el mismo sentido que los Principios de Con-
tabilidad Generalmente Aceptados (PCGA o GAAP por sus
siglas en ingls). Para propsitos del proyecto, buenas prc-
ticas significa consenso por parte de los expertos.
Este estndar es relativamente pequeo en tamao, con el fin
de ser prctico y responder, en la medida de lo posible, a las
necesidades de negocio, manteniendo al mismo tiempo una
independencia con respecto a las plataformas tcnicas de TI
adoptadas en una organizacin. El proporcionar indicadores
de desempeo (normas, reglas, etc.), ha sido identificado co-
mo prioridad para las mejoras futuras que se realizarn al
marco referencial.
El desarrollo de COBIT ha trado como resultado la publica-
cin del Marco Referencial general y de los Objetivos de Con-
trol detallados, y le seguirn actividades educativas. Estas
actividades asegurarn el uso general de los resultados del
Proyecto de Investigacin COBIT.
Se determin que las mejoras a los objetivos de control origi-
nales deberan consistir en:
el desarrollo de un marco referencial para con-
trol en TI como fundamento para los objetivos
de control en TI y como una gua para la investi-
gacin consistente en auditora y control de TI;
una alineacin del marco referencial general y de
los objetivos de control individuales, con estn-
dares y regulaciones internacionales existentes de
hecho y de derecho; y
una revisin crtica de las diferentes actividades
y tareas que conforman los dominios de control
en TI y, cuando fuese posible, la especificacin de
indicadores de desempeo relevantes (normas,
reglas, etc.) y
una revisin crtica y actualizacin de las guas
actuales para desarrollo de auditoras de siste-
mas de informacin

Sin excluir ningn otro estndar aceptado en el campo del
control de sistemas de informacin que pudiera emitirse du-
rante la investigacin, las fuentes han sido identificadas ini-
cialmente como:

Estndares Tcnicos de ISO, EDIFACT, etc.
Cdigos de Conducta emitidos por el Council of Europe,
OECD, ISACA, etc.;
Criterios de Calificacin para sistemas y procesos de TI:
ITSEC, ISO9000, SPICE, TickIT, etc.;
Estndares Profesionales para control interno y audito-
ra: reporte COSO, GAO, IFAC, IIA, ISACA, estndares
CPA, etc.;
Prcticas y requerimientos de la Industria de foros
industriales (ESF, 14) y plataformas patrocinadas por el
gobierno (IBAG, NIST, DTI); y
Nuevos requerimientos especficos de la industria de la
banca y manufactura de TI. (Ver Apndice III Glosario de
Trminos para definiciones de siglas)

DEFINICIN DEL PRODUCTO COBIT
El desarrollo de COBIT ha resultado en la publicaci de:
l un Resumen Ejecutivo el cual, adicionalmente a esta
seccin de antecedentes, consiste en una Sntesis Ejecuti-
va (que proporciona a la alta gerencia entendimiento y
conciencia sobre los conceptos clave y principios de CO-
BIT) y el Marco Referencial (el cual proporciona a la alta
gerencia un entendimiento ms detallado de los concep-
tos clave y principios de COBIT e identifica los cuatro
dominios de COBIT y los correspondientes 34 procesos
de TI);
l el Marco Referencial que describe en detalle los 34 obje-
tivos de control de alto nivel e identifica los requerimien-
tos de negocio para la informacin y los recursos de TI
que son impactados en forma primaria por cada objetivo
de control;
Objetivos de Control, los cuales contienen declaraciones
de los resultados deseados o propsitos a ser alcanzados
mediante la implementacin de 302 objetivos de control
detallados y especficos a travs de los 34 procesos de TI;
ANTECEDENTES
8
Gobierno (governance): sistema que establece la alta gerencia
para asegurar el logro de los objetivos de una Organizacin.
C COBI OBIT T
l Directrices de Auditora, las cuales contienen los pasos
de auditora correspondientes a cada uno de los 34 objeti-
vos de control de TI de alto nivel para proporcionar asis-
tencia a los auditores de sistemas en la revisin de los
procesos de TI con respecto a los 302 objetivos detalla-
dos de control recomendados para proporcionar a la ge-
rencia certeza o una recomendaciones de mejoramiento;
l un Conjunto de Herramientas de Implementacin, el
cual proporciona lecciones aprendidas por organizacio-
nes que han aplicado COBIT rpida y exitosamente en sus
ambientes de trabajo.

El Conjunto de Herramientas de Implementacin incluye la
Sntesis Ejecutiva, proporcionando a la alta gerencia concien-
cia y entendimiento de COBIT. Tambin incluye una gua de
implementacin con dos tiles herramientas Diagnstico de
la Conciencia de la Gerencia
9
y el Diagnstico de Control de
TI
10
- para proporcionar asistencia en el anlisis del ambiente
de control en TI de una organizacin. Tambin se incluyen
varios casos de estudio que detallan cmo organizaciones en
todo el mundo han implementado COBIT exitosamente. Adi-
cionalmente, se incluyen respuestas a las 25 preguntas mas
frecuentes acerca de COBIT y varias presentaciones para dis-
tintos niveles jerrquicos y audiencias dentro de las organiza-
ciones.

EVOLUCIN DEL PRODUCTO COBIT
COBIT evolucionar a travs de los aos y ser el fundamento
de investigaciones futuras. Por lo tanto, se generar una fami-
lia de productos COBIT y al ocurrir esto, las tareas y activida-
des que sirven como la estructura para organizar los Objetivos
de Control de TI, sern refinadas posteriormente, tambin ser
revisado el balance entre los dominios y los procesos a la luz
de los cambios en la industria.

Una temprana adicin significativa visualizada para la familia
de productos COBIT, es el desarrollo de las Guas de Gerencia-
les
11
que incluyen Factores Crticos de Exito, Indicadores
Clave de Desempeo y Medidas Comparativas
12
. Esta adicin
proporcionar herramientas a la gerencia para evaluar el am-
biente de TI de su organizacin con respecto a los 34 Objeti-
vos de Control de alto nivel de COBIT. Los Factores Crticos
de Exito identificarn los aspectos o acciones ms importantes
para la administracin y poder as tomar dichas acciones o
considerar los aspectos para lograr control sobre sus procesos
de TI. Los Indicadores Clave de Desempeo proporcionarn
medidas de xito que permitan conocer a la gerencia si un
proceso de TI esta alcanzando los requerimientos de negocio.
La Medidas Comparativas definirn niveles de madurez que
pueden ser utilizadas por la gerencia para: (1) determinar el
nivel actual de madurez de la empresa; (2) determinar el nivel
de madurez que desea lograr, como una funcin de sus riesgos
y objetivos; y (3) proporcionar una base de comparacin de
sus prcticas de control de TI contra empresas similares o nor-
mas de la industria. Esta adicin proporcionar herramientas a
la gerencia para evaluar el ambiente de TI de su organizacin
con respecto a los 34 Objetivos de Control de alto nivel de
COBIT.
Las investigaciones y publicaciones han sido posibles gracias
a contribuciones de Unysis, Unitech Systems, Inc., MIS Trai-
ning Institute, Zergo, Ltd., y Coopers & Lybrand. El Forum
Europeo de Seguridad (European Security Forum ESF-)
amablemente puso a disposicin material para el proyecto.
Otras donaciones fueron recibidas de captulos miembros de
ISACA de todo el mundo.
SUMARI O DE LOS
EXECUTI VOS
MACRO REFERENCI AL
obj et i vos de cont rol de
al t o ni vel
GUI AS GERENCI ALS OBJ ETI VOS DETALLADOS
DE CONTROL
DI RECTRI CES DE
AUDI TORI A
Fac t or es Cr t i c os
del x i t o
Cumpl i mi ent o de l os
Pr i nc i pal es I ndi c ador es
Medi das Compar at i -
vas
Sumanodelos Executivos
Visindelos Executivos
Estudios delos Casos
FAQS
Presentacins dePowerPoint
Gui adeImplementacin
ProgramadelaConciencia
CONJ UNTODE HERRAMI ENTAS DE I MPLEMENTACI N
Familia de Productos COBIT

9
Diagnstico de la Conciencia de la Gerencia
(management awareness diagnostic)
10
Diagnstico de Control de TI (IT control diagnostic)
11
Guas gerenciales (management guidelines )
12
Medidas comparativas (benchmarks)
ANTECEDENTES, contina
LA NECESIDAD DE CONTROL EN TECNOLOGIA
DE INFORMACION
En aos recientes, ha sido cada vez ms evidente para los le-
gisladores, usuarios y proveedores de servicios la necesidad de
un Marco Referencial para la seguridad y el control de tecno-
loga de informacin (TI). Un elemento crtico para el xito y
la supervivencia de las organizaciones, es la administracin
efectiva de la informacin y de la Tecnologa de Informacin
(TI) relacionada. En esta sociedad global (donde la informa-
cin viaja a travs del ciberespacio sin las restricciones de
tiempo, distancia y velocidad) esta criticalidad emerge de:
l la creciente dependencia en informacin y en los siste-
mas que proporcionan dicha informacin
l la creciente vulnerabilidad y un amplio espectro de ame-
nazas, tales como las ciber amenazas y la guerra de
informacin
l la escala y el costo de las inversiones actuales y futuras
en informacin y en tecnologa de informacin; y
l el potencial que tienen las tecnologas para cambiar radi-
calmente las organizaciones y las prcticas de negocio,
crear nuevas oportunidades y reducir costos
Para muchas organizaciones, la informacin y la tecnologa
que la soporta, representan los activos mas valiosos de la em-
presa. Verdaderamente, la informacin y los sistemas de infor-
macin son penetrantes en las organizaciones (desde la pla-
taforma del usuario hasta las redes locales o amplias, cliente
servidor y equipos Mainframe. Muchas organizaciones reco-
nocen los beneficios potenciales que la tecnologa puede
proporcionar. Las organizaciones exitosas, sin embargo,
tambin comprenden y administran los riesgos asociados
con la implementacin de nueva tecnologa. Por lo tanto, la
administracin debe tener una apreciacin por, y un entendi-
miento bsico de los riesgos y limitantes del empleo de la tec-
nologa de informacin para proporcionar una direccin efec-
tiva y controles adecuados
La administracin debe decidir la inversin razonable en
seguridad y control en TI y cmo lograr un balance entre ries-
gos e inversiones en control en un ambiente de TI frecuente-
mente impredecible. La administracin necesita un Marco
Referencial de prcticas de seguridad y control de TI general-
mente aceptadas para medir comparativamente su ambiente de
TI, tanto el existente como el planeado.
Existe una creciente necesidad entre los USUARIOS en cuan-
to a la seguridad en los servicios TI, a travs de la acreditacin
y la auditora de servicios de TI proporcionados internamente
o por terceras partes, que aseguren la existencia de controles
adecuados. Actualmente, sin embargo, es confusa la imple-
mentacin de buenos controles de TI en sistemas de negocios
por parte de entidades comerciales, entidades sin fines de lu-
cro o entidades gubernamentales. Esta confusin proviene de
los diferentes mtodos de evaluacin, tales como ITSEC,
TCSEC, evaluaciones ISO9000, nuevas evaluaciones de con-
trol interno COSO, etc. Como resultado, los usuarios necesi-
tan una base general a ser establecida como primer paso.
Frecuentemente, los AUDITORES han tomado el liderazgo en
estos esfuerzos internacionales de estandarizacin, debido a
que ellos enfrentan continuamente la necesidad de sustentar y
apoyar frente a la Gerencia su opinin acerca de los controles
internos. Sin contar con un marco referencial, sta se convier-
te en una tarea demasiado complicada. Esto ha sido mostrado
en varios estudios recientes acerca de la manera en la que los
auditores evalan situaciones complejas de seguridad y con-
trol en TI, estudios que fueron dados a conocer casi simult-
neamente en diferentes partes del mundo. Incluso, la adminis-
tracin consulta cada vez ms a los auditores para que la ase-
soren en forma proactiva en lo referente a asuntos de seguri-
dad y control de TI.

EL AMBIENTE DE NEGOCIOS:
COMPETENCIA, CAMBIO & COSTOS
La competencia global es ya un hecho. Las organizaciones se
reestructuran con el fin de perfeccionar sus operaciones y al
mismo tiempo aprovechar los avances en tecnologa de siste-
mas de informacin para mejorar su posicin competitiva. La
reingeniera en los negocios, las reestructuraciones, el outsour-
cing, las organizaciones horizontales y el procesamiento distri-
buido son cambios que impactan la manera en la que operan
tanto los negocios como las entidades gubernamentales. Estos
cambios han tenido y continuarn teniendo, profundas impli-
caciones para la administracin y las estructuras de control
operacional dentro de las organizaciones en todo el mundo.
La especial atencin prestada a la obtencin de ventajas com-
petitivas y a la economa implica una dependencia creciente
en la computacin como el componente ms importante en la
estrategia de la mayora de las organizaciones. La automatiza-
cin de las funciones organizacionales, por su naturaleza, dicta
la incorporacin de mecanismos de control ms poderosos en
EL MARCO REFERENCIAL DE COBIT
ESTABLECIENDO LA ESCENA
13
Guerra de informacin (information warfare)
C COBI OBIT T
las computadoras y en las redes, tanto los basados en hardware
como los basados en software. Adems, las caractersticas
estructurales fundamentales de estos controles estn evolucio-
nando al mismo paso que las tecnologas de computacin y las
redes.
Si los administradores, los especialistas en sistemas de infor-
macin y los auditores desean en realidad ser capaces de cum-
plir con sus tareas en forma efectiva dentro de un marco con-
textual de cambios acelerados, debern aumentar y mejorar
sus habilidades tan rpidamente como lo demandan la tecnolo-
ga y el ambiente. Debemos comprender la tecnologa de con-
troles involucrada y su naturaleza cambiante si deseamos emi-
tir y ejercer juicios razonables y prudentes al evaluar las prc-
ticas de control que se encuentran en los negocios tpicos o en
las organizaciones gubernamentales.

RESPUESTA A LAS NECESIDADES
En vista de estos continuos cambios, el desarrollo de este Mar-
co Referencial de objetivos de control para TI, conjuntamente
con una investigacin continua aplicada a controles de TI ba-
sada en este marco referencial, constituyen el fundamento para
el progreso efectivo en el campo de los controles de sistemas
de informacin.
Por otro lado, hemos sido testigos del desarrollo y publicacin
de modelos de control generales de negocios como COSO
[Committee of Sponsoring Organisations of the Treadway
Commisssion Internal Control-Integrated Framework, 1992]
en los EUA, Cadbury en el Reino Unido y CoCo en Canad y
King en Sudfrica. Por otro lado, existe un nmero importan-
te de modelos de control ms enfocados al nivel de tecnologa
de informacin. Algunos buenos ejemplos de esta ltima ca-
tegora son el Security Code of Conduct del DTI (Department
of Trade and Industry, Reino Unido) y el Security Handbook
de NIST (National Institute of Standards and Technology,
EUA). Sin embargo, estos modelos de control con orientacin
especfica no proporcionan un modelo de control completo y
utilizable sobre tecnologa de informacin como soporte para
los procesos de negocio. El propsito de COBIT es el cubrir
este vaco proporcionando una base que est estrechamente
ligada a los objetivos de negocio, al mismo tiempo que se en-
foca a la tecnologa de informacin.
Un enfoque hacia los requerimientos de negocio en cuanto a
controles para tecnologa de informacin y la aplicacin de
nuevos modelos de control y estndares internacionales rela-
cionados, hicieron evolucionar los Objetivos de Control y pa-
sar de una herramienta de auditora, a COBIT, que es una
herramienta para la administracin. COBIT es, por lo tanto,
la herramienta innovadora para el gobierno de TI que
ayuda a la gerencia a comprender y administrar los ries-
gos asociados con TI.
Por lo tanto, el objetivo principal del proyecto COBIT es el
desarrollo de polticas claras y buenas prcticas para la seguri-
dad y el control de Tecnologa de Informacin, con el fin de
obtener la aprobacin y el apoyo de las entidades comerciales,
gubernamentales y profesionales en todo el mundo. La meta
del proyecto es el desarrollar estos objetivos de control princi-
palmente a partir de la perspectiva de los objetivos y necesida-
des de la empresa. Esto concuerda con la perspectiva COSO,
que constituye el primer y mejor marco referencial para la
administracin en cuanto a controles internos. Posteriormen-
te, los objetivos de control fueron desarrollados a partir de la
perspectiva de los objetivos de auditora (certificacin de in-
formacin financiera, certificacin de medidas de control in-
terno, eficiencia y efectividad, etc.)

AUDIENCIA: ADMINISTRACION, USUARIOS & AU-
DITORES
COBIT est diseado para ser utilizado por tres audiencias
distintas:
ADMINISTRACION:
Para ayudarlos a lograr un balance entre los riesgos
y las inversiones en control en un ambiente de tec-
nologa de informacin frecuentemente impredeci-
ble.
USUARIOS:
Para obtener una garanta en cuanto a la seguridad y
controles de los servicios de tecnologa de informa-
cin proporcionados internamente o por terceras
partes.
AUDITORES DE SISTEMAS DE INFORMA-
CION:
Para dar soporte a las opiniones mostradas a la ad-
ministracin sobre los controles internos.
Adems de responder a las necesidades de la audiencia inme-
diata de la Alta Gerencia, a los auditores y a los profesionales
dedicados al control y seguridad, COBIT puede ser utilizado
dentro de las empresas por el propietario de procesos de nego-
cio en su responsabilidad de control sobre los aspectos de in-
formacin del proceso, y por todos aqullos responsables de
TI en la empresa.
ORIENTACIN A OBJETIVOS DE NEGOCIO
Los Objetivos de Control muestran una relacin clara y distin-
tiva con los objetivos de negocio con el fin de apoyar su uso
en forma significativa fuera de las fronteras de la comunidad
de auditora. Los Objetivos de Control estn definidos con
una orientacin a los procesos, siguiendo el principio de rein-
geniera de negocios. En dominios y procesos identificados,
se identifica tambin un objetivo de control de alto nivel para
documentar el enlace con los objetivos del negocio. Se pro-
porcionan consideraciones y guas para definir e implementar
el Objetivo de Control de TI.
La clasificacin de los dominios a los que se aplican los obje-
tivos de control de alto nivel (dominios y procesos); una indi-
cacin de los requerimientos de negocio para la informacin
en ese dominio, as como los recursos de TI que reciben un
impacto primario por parte del objetivo del control, forman
conjuntamente el marco Referencial COBIT. El marco refe-
rencial toma como base las actividades de investigacin que
han identificado 34 objetivos de alto nivel y 302 objetivos
detallados de control. El Marco Referencial fue mostrado a la
industria de TI y a los profesionales dedicados a la auditora
para abrir la posibilidad a revisiones, dudas y comentarios.
Las ideas obtenidas fueron incorporadas en forma apropiada.

DEFINICIONES
Para propsitos de este proyecto, se proporcionan las siguien-
tes definiciones. La definicin de Control est adaptada del
reporte COSO [Committee of Sponsoring Organisations of the
Treadway Commission. Internal Control-Integrated Frame-
work, 1992 y la definicin para Objetivo de Control de TI
ha sido adaptada del reporte SAC (Systems Auditability and
Control Report). The Institute of Internal Auditors Research
Foundation, 1991 y 1994.

Las polticas, procedimientos, prcticas y
estructuras organizacionales diseadas
para garantizar razonablemente que los
objetivos del negocio sern alcanzados y
que eventos no deseables sern preveni-
dos o detectados y corregidos

Una definicin del resultado o propsito
que se desea alcanzar implementando
procedimientos de control en una activi-
dad de TI particular
Objetivo de
control en TI
se define
como
Objetivo de
control en TI
se define
como
Control se
define como
Control se
define como
C COBI OBIT T
Existen dos clases distintas de modelos de control disponibles ac-
tualmente, aqullos de la clase del modelo de control de nego-
cios (por ejemplo COSO) y los modelos ms enfocados a
TI (por ejemplo, DTI). COBIT intenta cubrir la brecha que existe
entre los dos. Debido a esto, COBIT se posiciona como una herra-
mienta ms completa para la Administracin y para operar a un
nivel superior que los estndares de tecnologa para la administra-
cin de sistemas de informacin.. Por lo tanto, COBIT es el mode-
lo para el gobierno de TI.
El concepto fundamental del marco referencial COBIT se refiere a
que el enfoque del control en TI se lleva a cabo visualizando la
informacin necesaria para dar soporte a los procesos de negocio y
considerando a la informacin como el resultado de la aplicacin
combinada de recursos relacionados con la Tecnologa de Informa-
cin que deben ser administrados por procesos de TI.
Para satisfacer los objetivos del negocio, la informacin necesita
concordar con ciertos criterios a los que COBIT hace referencia
como requerimientos de negocio para la informacin. Al estable-
cer la lista de requerimientos, COBIT combina los principios conte-
nidos en los modelos referenciales existentes y conocidos:

Calidad
Costo
Entrega (de servicio)

Efectividad & eficiencia de operaciones
Confiabilidad de la informacin
Cumplimiento de las leyes &
regulaciones

Confidencialidad
Integridad
Disponibilidad
La Calidad ha sido considerada principalmente por su aspecto
negativo (no fallas, confiable, etc.), lo cual tambin se encuentra
contenido en gran medida en los criterios de Integridad. Los aspec-
tos positivos pero menos tangibles de la calidad (estilo, atractivo,
ver y sentir
14
, desempeo ms all de las expectativas, etc.) no
fueron, por un tiempo, considerados desde un punto de vista de
Objetivos de Control de TI. La premisa se refiere a que la primera
prioridad deber estar dirigida al manejo apropiado de los riesgos al
compararlos contra las oportunidades. El aspecto utilizable de la
Calidad est cubierto por los criterios de efectividad. Se consider
que el aspecto de entrega (de servicio) de la Calidad se traslapa con
el aspecto de disponibilidad correspondiente a los requerimientos
de seguridad y tambin en alguna medida, con la efectividad y la
eficiencia. Finalmente, el Costo es tambin considerado que queda
cubierto por Eficiencia.

Para los requerimientos fiduciarios, COBIT no intent reinventar la
rueda se utilizaron las definiciones de COSO para la efectividad y
eficiencia de operaciones, confiabilidad de informacin y cumpli-
miento con leyes y regulaciones. Sin embargo, confiabilidad de infor-
macin fue ampliada para incluir toda la informacin no slo infor-
macin financiera.

Con respecto a los aspectos de seguridad, CobiT identific la confi-
dencialidad, integridad y disponibilidad como los elementos clave,
fue descubierto que estos mismos tres elementos son utilizados a
nivel mundial para describir los requerimientos de seguridad.

Comenzando el anlisis a partir de los requerimientos de Calidad,
Fiduciarios y de Seguridad ms amplios, se extrajeron siete categoras
distintas, ciertamente superpuestas. A continuacin se muestran las
definiciones de trabajo de COBIT:

Se refiere a que la informacin relevante
sea pertinente para el proceso del negocio,
as como a que su entrega sea oportuna,
correcta, consistente y de manera utilizable.

Se refiere a la provisin de informacin a
travs de la utilizacin ptima (ms pro-
ductiva y econmica) de recursos.

Se refiere a la proteccin de informa-
cin sensible contra divulgacin no
autorizada.

Se refiere a la precisin y suficiencia
de la informacin, as como a su vali-
dez de acuerdo con los valores y expec-
tativas del negocio.

LOS PRINCIPIOS DEL MARCO REFERENCIAL
Requerimientos
de Negocio
Recursos de TI
Procesos de TI
Requerimientos
Fiduciarios
(COSO)
Requerimientos
de Seguridad
Requerimientos de
Calidad
Efectividad
Confidencialidad
Eficiencia
Integridad
14
Ver y Sentir (look and feel)
Se refiere a la disponibilidad de la in-
formacin cuando sta es requerida por
el proceso de negocio ahora y en el
futuro. Tambin se refiere a la salva-
guarda de los recursos necesarios y
capacidades asociadas.

Se refiere al cumplimiento de aquellas
leyes, regulaciones y acuerdos contrac-
tuales a los que el proceso de negocios
est sujeto, por ejemplo, criterios de
negocio impuestos externamente.

Se refiere a la provisin de informacin
apropiada para la administracin con el
fin de operar la entidad y para ejercer
sus responsabilidades de reportes finan-
cieros y de cumplimiento.

Los recursos de TI identificados en COBIT pueden explicarse/
definirse como se muestra a continuacin:

Los elementos de datos en su ms am-
plio sentido, (por ejemplo, externos e
internos), estructurados y no estructura-
dos, grficos, sonido, etc.

Se entiende como sistemas de aplicacin
la suma de procedimientos manuales y
programados.

La tecnologa cubre hardware, software,
sistemas operativos, sistemas de admi-
nistracin de bases de datos, redes, mul-
timedia, etc.

Recursos para alojar y dar soporte a los
sistemas de informacin.

Habilidades del personal, conocimiento,
conciencia y productividad para planear,
organizar, adquirir, entregar, soportar y
monitorear servicios y sistemas de infor-
macin.

El dinero o capital no fue considerado como un recurso para la
clasificacin de objetivos de control para TI debido a que puede
definirse como la inversin en cualquiera de los recursos men-
cionados anteriormente y podra causar confusin con los re-
querimientos de auditora financiera.

El Marco referencial no menciona, en forma especfica para
todos los casos, la documentacin de todos los aspectos
materiales importantes relacionados con un proceso de TI
particular. Como parte de las buenas prcticas, la documenta-
cin es considerada esencial para un buen control y, por lo
tanto, la falta de documentacin podra ser la causa de revisio-
nes y anlisis futuros de controles de compensacin en cual-
quier rea especfica en revisin.

Otra forma de ver la relacin de los recursos de TI con respec-
to a la entrega de servicios se describe a continuacin:
La informacin que los procesos de negocio necesitan es pro-
porcionada a travs del empleo de recursos de TI. Con el fin
de asegurar que los requerimientos de negocio para la infor-
macin son satisfechos, deben definirse, implementarse y mo-
nitorearse medidas de control adecuadas para estos recursos.

Cmo pueden entonces las empresas estar satisfechas respec-
to a que la informacin obtenida presente las caractersticas
que necesitan? Es aqu donde se requiere de un sano marco
referencial de Objetivos de Control para TI. El diagrama mos-
trado a continuacin ilustra este concepto.

Disponibildad
Cumplimiento
Confiabilidad
de la
Informacin
Datos
Aplicaciones
Tecnologa
Instalaciones
Personal
mensaje
entrada
servicio
salida
TECNOLOGIA TECNOLOGIA
INSTALACIONES INSTALACIONES
GENTE GENTE
Sistemas de Aplicacin Sistemas de Aplicacin
Datos Datos
Eventos
Objetivosdenegocio
Oportunidadesdenegocio
Requerimientosexternos
Regulaciones
Riesgos
Informacin
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
PROCESOS PROCESOS
DE NEGOCIO DE NEGOCIO
INFORMACION INFORMACION
RECURSOS DE TI RECURSOS DE TI
datos datos
sistemas de aplicacin sistemas de aplicacin
tecnologa tecnologa
instalaciones instalaciones
gente gente
efectividad efectividad
eficiencia eficiencia
confidencialidad confidencialidad
integridad integridad
disponibilidad disponibilidad
cumplimiento cumplimiento
confiabilidad confiabilidad
Criterios Criterios
Concuerdan ?
El marco referencial consta de Objetivos de Control de TI de
alto nivel y de una estructura general para su clasificacin y
presentacin. La teora subyacente para la clasificacin selec-
cionada se refiere a que existen, en esencia, tres niveles de
actividades de TI al considerar la administracin de sus recur-
sos.
Comenzando por la base, encontramos las actividades y ta-
reas necesarias para alcanzar un resultado medible. Las acti-
vidades cuentan con un concepto de ciclo de vida, mientras
que las tareas son consideradas ms discretas. El concepto
de ciclo de vida cuenta tpicamente con requerimientos de
control diferentes a los de actividades discretas. Algunos
ejemplos de esta categora son las actividades de desarrollo
de sistemas, administracin de la configuracin y manejo de
cambios. La segunda categora incluye tareas llevadas a
cabo como soporte para la planeacin estratgica de TI, eva-
luacin de riesgos, planeacin de la calidad, administracin
de la capacidad y el desempeo.
Los procesos se definen entonces en un nivel superior como
una serie de actividades o tareas conjuntas con cortes natu-
rales (de control). Al nivel ms alto, los procesos son agru-
pados de manera natural en dominios. Su agrupamiento na-
tural es confirmado frecuentemente como dominios de res-
ponsabilidad en una estructura organizacional, y est en l-
nea con el ciclo administrativo o ciclo de vida aplicable a los
procesos de TI.

Por lo tanto, el marco referencial conceptual puede ser enfo-
cado desde tres puntos estratgicos: (1) recursos de TI, (2)
requerimientos de negocio para la informacin y (3) proce-
sos de TI. Estos puntos de vista diferentes permiten al marco
referencial ser accedido eficientemente. Por ejemplo, los
gerentes de la empresa pueden interesarse en un enfoque de
calidad, seguridad o fiduciario (traducido por el marco refe-
rencial en siete requerimientos de informacin especficos).
Un Gerente de TI puede desear considerar recursos de TI por
los cuales es responsable. Propietarios de procesos, especia-
listas de TI y usuarios pueden tener un inters en procesos
particulares. Los auditores podrn desear enfocar el marco
referencial desde un punto de vista de cobertura de control.
Estos tres puntos estratgicos son descritos en el Cubo COBIT
que se muestra a continuacin:

Con lo anterior como marco de referencia, los dominios son
identificados utilizando las palabras que la gerencia utilizara
en las actividades cotidianas de la organizacin y no la
jerga
15
del auditor -. Por lo tanto, cuatro grandes dominios
son identificados: planeacin y organizacin, adquisicin e
implementacin; entrega y soporte y monitoreo.
Dominios
Procesos
Actividades
I
n
s
t
a
l
a
c
i
o
n
e
s

D
a
t
o
s

G
e
n
t
e

S
i
s
t
e
m
a
s

d
e

A
p
l
i
c
a
c
i
n

T
e
c
n
o
l
o
g
a

Actividades
Dominios
Procesos
C
a
lid
a
d

F
id
u
c
ia
r
io
s

S
e
g
u
r
id
a
d

R
e
c
u
r
s
o
s

d
e

T
I

Criterios de informa-
P
r
o
c
e
s
o
s

d
e

T
I

C COBI OBIT T
15
Jerga (jargon)
Las definiciones para los dominios mencionados son las si-
guientes:

Este dominio cubre la estrategia y las
tcticas y se refiere a la identificacin
de la forma en que la tecnologa de
informacin puede contribuir de la me-
jor manera al logro de los objetivos del
negocio. Adems, la consecucin de la
visin estratgica necesita ser planeada,
comunicada y administrada desde dife-
rentes perspectivas. Finalmente, debe-
rn establecerse una organizacin y una
infraestructura tecnolgica apropiadas.

Para llevar a cabo la estrategia de TI,
las soluciones de TI deben ser identifi-
cadas, desarrolladas o adquiridas, as
como implementadas e integradas de-
ntro del proceso del negocio. Adems,
este dominio cubre los cambios y el
mantenimiento realizados a sistemas
existentes.

En este dominio se hace referencia a la
entrega de los servicios requeridos, que
abarca desde las operaciones tradicio-
nales hasta el entrenamiento, pasando
por seguridad y aspectos de continui-
dad.Con el fin de proveer servicios,
debern establecerse los procesos de
soporte necesarios. Este dominio inclu-
ye el procesamiento de los datos por
sistemas de aplicacin, frecuentemente
clasificados como controles de aplica-
cin.

Todos los procesos necesitan ser evaluados
regularmente a travs del tiempo para verifi-
car su calidad y suficiencia en cuanto a los
requerimientos de control.

En resumen, los Recursos de TI necesitan ser administrados
por un conjunto de procesos agrupados en forma natural, con
el fin de proporcionar la informacin que la empresa necesi-
ta para alcanzar sus objetivos.

El siguiente diagrama ilustra este concepto:

Planeacin y
organizacin
Adquiscin e
implementacin
Monitoreo
Entrega y
soporte
Entrega y
soporte
RECURSOS DE TI
datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
PLANEACION Y
ORGANIZACION
ADQUISICION E
IMPLEMENTACION ENTREGA Y
SOPORTE
MONITOREO
PO1 Definir un Plan Estratgico de
Tecnologa de Informacin
PO2 Definir la Arquitectura de Informacin
PO3 Determinar la direccin tecnolgica
PO4 Definir la Organizacin y de las
Relaciones de TI
PO5 Manejar la Inversin en Tecnologa de
Informacin
PO6 Comunicar la direccin y aspiraciones de
la gerencia
PO7 Administrar Recursos Humanos
PO8 Asegurar el Cumplimiento de
Requerimientos Externos
PO9 Evaluar Riesgos
PO10 Administrar proyectos
PO11 Administrar Calidad
AI1 Identificar Soluciones
AI2 Adquirir y Mantener Software de
Aplicacin
AI3 Adquirir y Mantener Arquitectura de
Tecnologa
AI4 Desarrollar y Mantener Procedimientos
relacionados con TI
AI5 Instalar y Acreditar Sistemas
AI6 Administrar Cambios
DS1 Definir Niveles de Servicio
DS2 Administrar Servicios prestados por Terceros
DS3 Administrar Desempeo y Capacidad
DS4 Asegurar Servicio Continuo
DS5 Garantizar la Seguridad de Sistemas
DS6 Identificar y Asignar Costos
DS7 Educar y Entrenar a los Usuarios
DS8 Apoyar y Asistir a los Clientes de TI
DS9 Administrar la Configuracin
DS10 Administrar Problemas e Incidentes
DS11 Administrar Datos
DS12 Administrar Instalaciones
DS13 Administrar Operaciones
M1 Monitorear los procesos
M2 Evaluar lo adecuado del control
Interno
M3 Obtener aseguramiento
independiente
M4 Proporcionar auditora independiente
INFORMACION
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
COBIT COBIT
OBJEIVOS DE NEGOCIO OBJ ETI VOS DE NEGOCI O
Debe tomarse en cuenta que estos procesos pueden ser aplica-
dos a diferentes niveles dentro de una organizacin. Por ejem-
plo, algunos de estos procesos sern aplicados al nivel corpo-
rativo, otros al nivel de la funcin de servicios de informacin,
otros al nivel del propietario de los procesos de negocio.

Tambin debe ser tomado en cuenta que el criterio de efectivi-
dad de los procesos que planean o entregan soluciones a los
requerimientos de negocio, cubrirn algunas veces los criterios
de disponibilidad, integridad y confidencialidad. en la prcti-
ca, se han convertido en requerimientos del negocio. Por
ejemplo, el proceso de identificar soluciones automatizadas
deber ser efectivo en el cumplimiento de requerimientos de
disponibilidad, integridad y confidencialidad.

Resulta claro que las medidas de control no satisfarn necesa-
riamente los diferentes requerimientos de informacin del
negocio en la misma medida. Se lleva a cabo una clasificacin
dentro del marco referencial COBIT basada en rigurosos infor-
mes y observaciones de procesos por parte de investigadores,
expertos y revisores con las estrictas definiciones determina-
das previamente.

Primario es el grado al cual el objetivo de con-
trol definido impacta directamente el
requerimiento de informacin de inte-
rs.

Secundario es el grado al cual el objetivo de con-
trol definido satisface nicamente de
forma indirecta o en menor medida el
requerimiento de informacin de inte-
rs.

Blanco (vaco) podra aplicarse; sin embargo, los re-
querimientos son satisfechos ms apro-
piadamente por otro criterio en este
proceso y/o por otro proceso.

Similarmente, todas las medidas de control no necesariamente
tendrn impacto en los diferentes recursos de TI a un mismo
nivel. Por lo tanto, el Marco Referencial de COBIT indica
especficamente la aplicabilidad de los recursos de TI
que son administrados en forma especfica por el proce-
so bajo consideracin (no por aquellos que simplemente
toman parte en el proceso). Esta clasificacin es hecha
dentro el Marco Referencial de COBIT basado en el mis-
mo proceso riguroso de informacin proporcionada por
los investigadores, expertos y revisores, utilizando las
definiciones estrictas indicadas previamente.
C COBI OBIT T
PERSPECTIVAS DIFERENTES; ENFOQUES
DIFERENTES
El marco referencial conceptual puede ser enfocado desde
tres puntos estratgicos:
1) recursos de TI, 2) requerimientos de negocio para la infor-
macin y 3) procesos de TI. Estos puntos de vista diferentes
permiten al marco referencial ser accedido eficientemente.

Por ejemplo, los gerentes de la empresa pueden interesarse
en un enfoque de calidad, seguridad o fiduciario (traducido
por el marco referencial en siete requerimientos de informa-
cin especficos). Un Gerente de TI puede desear considerar
recursos de TI por los cuales es responsable. Propietarios de
procesos, especialistas de TI y usuarios pueden tener un inte-
rs en procesos particulares. Los auditores podrn desear
enfocar el marco referencial desde un punto de vista de co-
bertura de control.
MARCO REFERENCIAL COBIT
El marco referencial COBIT ha sido limitado a objetivos de
control de alto nivel en forma de necesidades de negocio
dentro de un proceso de TI particular, cuyo logro es posible
a travs de un establecimiento de controles, para el cual de-
ben considerarse controles aplicables potenciales.

Los Objetivos de Control de TI han sido organizados por
proceso/actividad, pero tambin se han proporcionados ayu-
das de navegacin no solamente para facilitar la entrada a
partir de cualquier punto de vista estratgico como se expli-
c anteriormente, sino tambin para facilitar enfoques com-
binados o globales, tales como instalacin/implementacin
de un proceso, responsabilidades gerenciales globales para
un proceso y utilizacin de recursos de TI por un proceso.

Tambin deber tomarse en cuenta que los Objetivos de
Control COBIT han sido definidos en una manera genrica,
por ejemplo, sin depender de la plataforma tcnica, aceptan-
do el hecho de que algunos ambientes de tecnologa especia-
les pueden requerir una cobertura separada para objetivos de
control.
GUA PARA LA UTILIZACIN DEL MARCO RREFERENCIAL Y LOS
OBJETIVOS DE CONTROL COBIT
I
n
s
t
a
l
a
c
i
o
n
e
s

D
a
t
o
s

G
e
n
t
e

S
i
s
t
e
m
a
s

d
e

A
p
l
i
c
a
c
i
n

T
e
c
n
o
l
o
g
a

Actividades
Dominios
Procesos
C
a
l
i
d
a
d

F
i
d
u
c
i
a
r
i
o
s

S
e
g
u
r
i
d
a
d

R
e
c
u
r
s
o
s

d
e

Criterios de informacin
P
r
o
c
e
s
o
s

d
e

T
I

Considerando
Es habilitado por
Que satisface
Proceso de TI
Requerimiento
de Negocio
Declaracin de
Control
Prcticas de
Control
El control de
AYUDAS DE NAVEGACIN
Para facilitar el empleo eficiente de los objetivos de control
como soporte a los diferentes puntos de vista, se proporcio-
nan algunas ayudas de navegacin como parte de la presen-
tacin de los objetivos de control de alto nivel. Se proporcio-
na una ayuda de navegacin para cada una de las tres dimen-
siones del marco referencial COBIT - procesos, recursos y
criterios -

Los dominios son identificados ubicando la siguiente figura
en la esquina superior derecha de cada pgina en la seccin
de Objetivos de Control, agrandando y haciendo ms visible
el dominio bajo revisin.

La clave para el criterio de informacin ser proporcionado
la esquina superior izquierda en la seccin de Objetivos de
Control mediante la siguiente mini matriz, la cual identifi-
car cul criterio y en qu grado (primario o secundario) es
aplicable a cada Objetivo de Control de TI de alto nivel.

Una segunda mini matriz en la esquina inferior derecha en la
seccin de Objetivos de Control identifica los recursos de TI que
son administrados en forma especfica por el proceso bajo consi-
deracin - no aquellos que simplemente toman parte en el proce-
so -. Por ejemplo, el proceso administracin de informacin se
concentra particularmente en la integridad y confiabilidad de los
recursos de datos, mientras que disponibilidad y confidencialidad
son primariamente proporcionadas por los procesos que adminis-
tran los recursos que utilizan los datos (Ej. Aplicaciones y tecno-
loga).
C COBI OBIT T
Adquisicin &
Implementacin
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo

P

S
e
f
e
c
t
iv
id
a
d

e
f
ic
ie
n
c
ia

in
te
g
r
id
a
d

d
is
p
o
n
ib
ilid
a
d

c
u
m
p
lim
ie
n
to

c
o
n
fid
e
n
c
ia
lid
a
d

c
o
n
fia
b
ilid
a
d

P P
g
e
n
te

a
p
lic
a
c
io
n
e
s

te
c
n
o
lo
g
a

in
s
ta
la
c
io
n
e
s

d
a
to
s

Adquisicin &
Implementacin
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
Criterios de
Informacin
Dominios
DeTI
TI
Recursos

P

S
e
f
e
c
t
iv
id
a
d

e
f
ic
ie
n
c
ia

in
te
g
r
id
a
d

d
is
p
o
n
ib
ilid
a
d

c
u
m
p
lim
ie
n
to

c
o
n
fid
e
n
c
ia
lid
a
d

c
o
n
fia
b
ilid
a
d

P P
g
e
n
te

a
p
lic
a
c
io
n
e
s

te
c
n
o
lo
g
a

in
s
ta
la
c
io
n
e
s

d
a
to
s

Tres puntos de posicin
Criterios de Informacin Recursos de TI
e
f
e
c
t
iv
id
a
d
e
f
ic
ie
n
c
ia
c
o
n
f
id
e
n
c
ia
lid
a
d
in
t
e
g
r
id
a
d
d
is
p
o
n
ib
ilid
a
d
c
u
m
p
lim
ie
n
t
o
c
o
n
f
ia
b
ilid
a
d
r
e
c
u
r
s
o
s

h
u
m
a
n
o
s
s
is
t
e
m
a
s

d
e

in
f
o
r
m
a
c
i
n
t
e
c
n
o
lo
g
a
in
s
t
a
la
c
io
n
e
s
d
a
t
o
s
DOMINIO PROCESO
Planeacin y PO1 Definir un plan estratgico de sistemas P S
Organizacin PO2 Definir la arquitectura de informacin P S S S
PO3 Determinar la direccin tecnolgica P S
PO4 Definir la organizacin y sus relaciones P S
PO5 Administrar las inversiones (en TI) P P S
PO6 Comunicar la direccin y objetivos de la gerencia P S
PO7 Administrar los recursos humanos P P
PO8 Asegurar el apego a disposiciones externas P P S
PO9 Evaluar riesgos S S P P P S S
P010 Administrar proyectos P P
PO11 Administrar calidad P P P S
Adquisicin e AI1 Identificar soluciones de automatizacin P S
Implementacin AI2 Adquirir y mantener software de aplicacin P P S S S
AI3 Adquirir y mantener la arquitectura tecnolgica P P S
AI4 Desarrollar y mantener procedimientos P P S S S
AI5 Instalar y acreditar sistemas de informacin P S S
AI6 Administrar cambios P P P P S
Entrega de servicios y DS1 Definir niveles de servicio P P S S S S S
Soporte DS2 Administrar servicios de terceros P P S S S S S
DS3 Administrar desempeo y capacidad P P S
DS4 Asegurar continuidad de servicio P S P
DS5 Garantizar la seguridad de sistemas P P S S S
DS6 Identificar y asignar costos P P
DS7 Educar y capacitar a usuarios P S
DS8 Apoyar y orientar a clientes P
DS9 Administrar la configuracin P S S
DS10 Administrar problemas e incidentes P P S
DS11 Administrar la informacin P P
DS12 Administrar las instalaciones P P
DS13 Administrar la operacin P P S S
Monitoreo M1 Monitorear el proceso P S S S S S S
M2 Evaluar lo adecuado del control interno P P S S S S S
M3 Obtener aseguramiento independiente P P S S S S S
M4 Proporcionar auditora independiente P P S S S S S
r
e
c
u
r
s
o
s

s
is
t
e
m
a
s

d
e

a
p
lic
a
c
i
n

t
e
c
n
o
lo
g
ia

in
s
t
a
la
c
io
n
e
s

d
a
t
o
s

impacto de los objetivos de alto nivel, as como una indica-
cin de cules recursos de TI son aplicables.
La siguiente tabla proporciona una indicacin, por proceso
y dominio de TI, de cules criterios de informacin tienen
TABLA RESUMEN
C COBI OBIT T
COBI T LAS DI RECTRI CES DE AUDI TOR A
Las Directrices de Auditora ofrecen una herramienta com-
plementaria para la fcil aplicacin del Marco Referencial
y los Objetivos de Control COBIT dentro de las activida-
des de auditora y evaluacin. El propsito de las Directri-
ces de Auditora es contar con una estructura sencilla para
auditar y evaluar controles, con base en prcticas de audito-
ra generalmente aceptadas y compatibles con el esquema
global COBIT.

Los objetivos y prcticas individuales varan considerable-
mente de organizacin a organizacin y existen muchos
tipos de practicantes dedicados a actividades relacionadas
con la auditora; por ejemplo auditores externos, auditores
internos, evaluadores, revisores de calidad, y asesores tc-
nicos. Por estas razones, las Directrices de Auditora tie-
nen una estructura genrica y de alto nivel.

Los auditores deben cumplir con algunos requerimientos
generales para proporcionar a los directivos y a los posee-
dores de los procesos de negocios, seguridad y asesora
respecto a los controles en una organizacin: ofrecer una
seguridad razonable de que se est cumpliendo con los
objetivos de control correspondientes; identificar dnde se
encuentran las debilidades significativas en dichos contro-
les; justificar los riesgos que pueden estar asociados con
tales debilidades, y finalmente, aconsejar a estos ejecutivos
sobre las medidas correctivas que deben adoptarse. CO-
BIT ofrece polticas claras y prcticas eficaces en materia
de seguridad y control de informacin, as como tecnologa
asociada. Por tanto, las Directrices de Auditora firmemen-
te basados en los Objetivos de Control, toman la opinin
del auditor a partir de la conclusin de auditora, rempla-
zndola con criterios normativos (36 normas y las mejores
prcticas (?) tomadas de normas privadas y pblicas acep-
tadas a nivel mundial).

Estas Directrices de Auditora proporcionan orientaciones
para preparar planes de auditora que se integran al Marco
COBIT y a los Objetivos de Control detallados. Deben ser
usados conjuntamente con estos dos ltimos, y a partir de
ah pueden desarrollarse programas especficos de audito-
ra. Sin embargo, las Directrices no son exhaustivos ni
definitivos. No pueden incluir todo ni ser aplicables a to-
do, as que debern ajustarse a condiciones especficas.
No obstante, hay cuatro cosas que las Directrices no son:

2. Las Directrices de Auditora no pretenden ser una herra-
mienta para crear el plan y cobertura general de auditora
que considera una amplia gama de factores, incluyendo
debilidades anteriores, riesgo a la organizacin, incidentes
conocidos, nuevos acontecimientos, y seleccin de estra-
tegias. Aun cuando el Marco y los Objetivos de Control
ofrecen algunas orientaciones, los alcances de las Directri-
ces no incluyen una gua precisa para actividades especfi-
cas.

2. Las Directrices de Auditora no estn diseados como
instrumento para ensear las bases de la auditora, aun
cuando incorporen los elementos normalmente aceptados
de la auditora general y de TI.

3. Las Directrices de Auditora no pretenden explicar en
detalle la forma en que pueden utilizarse las herramientas
computarizadas para apoyar y automatizar los procesos de
auditora IT, en materia de planeacin, evaluacin, anli-
sis y documentacin (que incluyen las Tcnicas de Audi-
tora Asistidas por Computadora, pero no se limitan a
ellas). Existe un enorme potencial para usar la tecnologa
de informacin dirigida a aumentar la eficiencia y efecti-
vidad de las auditoras, pero una orientacin en este senti-
do, tampoco est dentro de los alcances de las Directrices.

4. Los Las Directrices de Auditora no son exhaustivos ni
definitivos, pero se desarrollarn conjuntamente con CO-
BIT y sus Objetivos de Control detallados.

Las Directrices de Auditora COBIT permiten al auditor cotejar
los procesos especficos de TI con los Objetivos de Control
COBIT recomendados para auxiliar a los directivos a identifi-
car en qu casos los controles son suficientes, o para asesorar-
los respecto a los procesos que requieren ser mejorados.

Desde el punto de vista de los directivos, los propietarios de los
procesos harn las preguntas: Estoy haciendo lo correcto?, y si
no es as: Qu puedo hacer para corregirlo? El Marco y las
Directrices de Auditora COBIT ayudarn a responder a estas
preguntas. El enfoque ofrece una perspectiva reactiva, mien-
tras que los auditores necesitan tambin apoyar a la directiva de
una manera proactiva. El Marco y las Directrices de Audito-
ra pueden aplicarse igualmente en forma proactiva en las pri-
meras etapas de los procesos y el desarrollo de proyectos, al
responder a la pregunta: What do I need so it will not need to
be fixed? (Qu es lo que necesito para no tener que ajustarlo
despus?
INTRODUCCIN A LAS DIRECTRICES DE AUDITORA
C COBI OBIT T
ESTRUCTURA GENERAL DE LAS DIRECTRICES DE
AUDI TOR A
El modelo ms comn para evaluar el control es el modelo
de auditora. Otro enfoque que se est adoptando cada vez
ms es el modelo de anlisis de riesgos, que se cubrir hacia
el final de esta introduccin. Todos aquellos involucrados
en la evaluacin del control pueden inclinarse por cualquiera
de los dos modelos.

Los objetivos de la auditora son:
Proporcionar administracin con aseguramiento
razonable de que se estn cubriendo los objetivos
de control,
En donde existan debilidades de control significa-
tivas, justificar los riesgos resultantes, y
Aconsejar a la administracin sobre acciones co-
rrectivas

La estructura generalmente aceptada del proceso de auditora
es:
Identificacin y documentacin
Evaluacin
Pruebas de cumplimiento
Pruebas justificantes

El proceso de TI, por lo tanto, se audita mediante:
La obtencin de un entendimiento de los riesgos
relacionados con los requerimientos del negocio, y
de las medidas relevantes de control
La evaluacin de la conveniencia de los con-
troles establecidos
La valoracin del cumplimiento
por medio de probar si los controles
establecidos estn funcionando co-
mo se espera, de manera consisten-
te y continua
La justificacin del riesgo de que
los objetivos de control no se estn
cumpliendo mediante el uso de tc-
nicas analticas y/o consultando
fuentes alternativas.

Con el objetivo de brindar asistencia a la administracin en
la forma de asesora de aseguramiento, hemos desarrollado
esta estructura dentro de un marco referencial fundamentado
en los requerimientos del COBIT:
Presentacin en un enfoque de niveles
Orientacin hacia los objetivos del negocio
Manejado en funcin del proceso
Enfocado sobre
Los recursos que necesitan administrarse
Los criterios de informacin que se requieren

En el nivel ms alto, este enfoque general de auditora est
apoyado por:
El marco referencial de COBIT, particularmente el
resumen con la clasificacin de procesos de TI, los
criterios de informacin aplicables y los recursos
de TI (vea la pgina 21)
Los requerimientos para el proceso de auditora
mismo (vea la seccin Requerimientos del Proceso
de Auditora en la pgina 26)
Los requerimientos genricos para la auditora de
procesos de TI (vea la seccin Directrices de Au-
ditora Genricos de TI, pgina 27)
Los principios generales de control (vea la seccin
Observaciones del Proceso de Control, pgina 27)

El segundo nivel est compuesto por las Directrices detalla-
dos de auditora para cada uno de los procesos de TI como
se muestra en la seccin principal de esta publicacin.
Las Directrices han sido presentados en una plantilla estn-
dar que sigue la estructura general de Obtencin, Evalua-
cin, Valoracin y Justificacin. Esta plantilla ha sido apli-
cada a las Directrices de Auditora Genricos de TI, as co-
mo tambin a las Directrices de Auditora Detallados.
En el tercer y ltimo nivel, el auditor puede complementar
las Directrices de Auditora para cubrir las condiciones loca-
les, conduciendo la fase de planeacin de auditora con pun-
tos de atencin de auditora que influyen sobre los objetivos
detallados de control mediante:
Criterios especficos del sector
Estndares de la industria
Elementos especficos de la plataforma
Tcnicas detalladas de control empleadas

De importancia para este nivel est el hecho de que los obje-
tivos de control no son necesariamente aplicables siempre y
en cualquier lugar. Por lo tanto se sugiere que se realice una
evaluacin de riesgos de alto nivel para determinar sobre qu
objetivos se necesita enfocarse especficamente y cules
pueden ignorarse.
Todos estos elementos se ofrecen para apoyar la planeacin
y la realizacin de las auditoras de TI, y para una mejor
aplicacin integrada de los lineamientos detallados de audi-
tora. Los lineamientos no son exhaustivos y no son aplica-
bles universalmente.
El nivel de informacin de apoyo (lineamientos genricos,
requerimientos del proceso de auditora y observaciones de
control) ayudar a los auditores a desarrollar el programa de
auditora que necesitan.

Nivel 1

Enfoque general de auditora de TI
Marco Referencial de COBIT
Requerimientos del Proceso de Auditora
Observaciones de Control
Directriz General de Auditora
Nivel 2

Directrices del proceso de auditora

Directrices de Auditora detallados
Nivel 3

Puntos de atencin de auditora para
complementar los objetivos detallados
de control

Condiciones Locales
Criterios especficos del sector
Estndares de la industria
Elementos especficos de la plataforma
Tcnicas detalladas de control utilizadas
ESTRUCTURA DETALLADA PARA LA APLICACIN DE LAS DIRECTRICES DE AUDITORA
REQUERIMIENTOS DEL PROCESO DE AUDITORA
Una vez definido qu vamos a auditar y sobre qu vamos a
proporcionar aseguramiento, tenemos que determinar el enfo-
que o estrategia ms apropiado para llevar a cabo el trabajo de
auditora. Primero tenemos que determinar el alcance correcto
de nuestra auditora. Para lograrlo, necesitamos investigar,
analizar y definir:
Los procesos del negocio involucrados;
Las plataformas y los sistemas de informacin que
estn apoyando el proceso del negocio, as como la
interconectividad con otras plataformas o sistemas;
Los papeles y responsabilidades definidas de TI,
incluyendo qu ha sido realizado por fuentes internas
y externas; y
Los riesgos asociados del negocio y las decisiones
estratgicas.

El siguiente paso es identificar los requerimientos de informa-
cin que tienen una relevancia particular con respecto a los
procesos del negocio. Luego necesitaremos identificar los
riesgos inherentes de TI, as como el nivel general de control
que puede asociarse con el proceso del negocio. Para lograrlo,
identificamos:
Los cambios recientes en el ambiente del negocio
que tienen impacto sobre TI;
Los cambios recientes al ambiente de TI, nuevos
desarrollos, etc.;
Los incidentes recientes relevantes para los controles
y el ambiente del negocio;
Los controles de monitoreo de TI aplicados por la
administracin;
Los reportes recientes de auditora y/o certificacin;
y
Los resultados recientes de autoevaluaciones.
Basndonos en la informacin obtenida, ahora podemos se-
leccionar los procesos relevantes de COBIT, as como tam-
bin los recursos que aplican a los mismos. Esto pudiera
requerir que ciertos procesos de COBIT necesiten auditarse
varias veces, cada vez para una plataforma o sistema distin-
to.

La persona deber determinar una estrategia de auditora
basndose en el plan detallado de auditora que deber ela-
borarse con ms profundidad, por ejemplo, si uno busca un
enfoque basado en controles o un enfoque sustantivo.

Finalmente, necesitan considerarse todos los pasos, tareas y
puntos de decisin para llevar a cabo la auditora. Un ejem-
plo de un proceso genrico de auditora (con pasos, tareas y
puntos de decisin), que sigue la plantilla estndar, se pro-
porciona en el Apndice IV.
C COBI OBIT T
DI RECTRI Z GENERAL DE AUDI TOR A DE TI
La plantilla en la pgina 28 presenta los requerimientos ge-
nricos para auditar procesos de TI para brindar el primer
nivel de lineamientos de auditora, generalmente aplicables a
todos los procesos. Est primordialmente orientado hacia la
comprensin del proceso y la determinacin de la propiedad
y deber ser el fundamento y el marco referencial para todos
los lineamientos detallados de auditora.
Esta misma plantilla luego se aplica a los 34 procesos que se
identifican en el Marco Referencial de COBIT.
OBSERVACI ONES DEL PROCESO DE CONTROL
Los principios generales de control tambin pueden propor-
cionar una gua adicional sobre cmo complementar las Di-
rectrices de Auditora. Estos principios estn primordial-
mente enfocados sobre el proceso y las responsabilidades del
control, los estndares de control y los flujos de la informa-
cin de control.
El control, desde el punto de vista de la administracin, se
define como el determinar qu se est logrando; esto es, eva-
luar el desempeo y si es necesario aplicar medidas correcti-
vas para que el desempeo tome lugar de acuerdo con lo
planeado.
Definir el alcance de la auditora
procesos del negocio involucrados
plataformas, sistemas y su interconectividad, que
apoyan el procesos
papels, responsabilidades y estructura organizacional
Identificar los requerimientos de informacin rele-
vantes para el proceso del negocio
revelancia para el proceso del negocio
Identificar los riesgos inherentes de TI y el nivel
general de control
cambios recientes e incidentes en el ambiente del nego-
cio y de la tecnologa
resultados de auditoras, autoevaluaciones, y certificacin
controles de monitores aplicados por la administracin
Selccionar procesos y plataformas para auditar
procesos
recursos

REQUERIMIENTOS DEL PROCESO DE AUDITORA
Fijar una estrategia de auditora
Controles de riesogo x
Pasos y tareas
Puntos de decisin
El proceso de control consiste de cuatro pasos. Primero, s
especfico un estndar de desempeo deseado para un proce-
so. Segundo, existe un medio de saber qu esta sucediendo
en el proceso, por ejemplo, el proceso proporciona informa-
cin de control a una unidad de control. Tercero, la unidad
de control compara la informacin con el estndar. Cuarto,
si lo que realmente est sucediendo no cumple con el estn-
dar, la unidad de control dirige aquella accin correctiva a
tomar, en forma de informacin para el proceso. A partir de
este modelo, las siguientes observaciones de control pueden
resultar relevantes para la auditora:
1. Para que este modelo funcione, la responsabilidad por
el proceso del negocio (o en este caso, de la TI) debe
ser claro y la responsabilidad no debe ser ambigua. Si
no es as, la informacin de control no fluir y no podr
tomarse accin correctiva.
2. Los estndares pueden ser de una amplia variedad, des-
de planes y estrategias de alto nivel hasta indicadores
clave de desempeo (KPI - Key Performance Indica-
tors) y factores crticos de xito (CSF Critical Success
Factors). Los estndares claramente documentados,
mantenidos y comunicados son necesarios para un buen
proceso de control. La responsabilidad clara por la cus-
todia de dichos estndares tambin es un requerimiento
para un buen control.
3. El proceso de control tiene los mismos requerimientos:
bien documentado en cuanto a cmo funciona y con
responsabilidades claras. Un aspecto importante es la
clara definicin de lo que constituye una desviacin,
esto es, cules son los lmites de desviacin.
4. La oportunidad, integridad y conveniencia de la infor-
macin de control, as como tambin otra informacin,
son bsicas para el buen funcionamiento de un sistema
de control y es algo que el auditor debe tratar.
Tanto la informacin de control como la informacin de
accin correctiva tendrn requerimientos como evidencia,
con el fin de establecer la responsabilidad despus del even-
to.
Normas
Estndares
KPI / CSF
Comparacin
Proceso
Acto
Informacin
De Control
C COBI OBIT T
DIRECTRIZ GENERAL DE AUDITORA
OBTENCIN DE UN ENTENDIMIENTO
Los pasos de auditora a realizar para documentar las actividades subyacentes a los objetivos de control, as como tambin iden-
tificar las medidas/procedimientos de control establecidas.

Etrevistar al personal adminstrativo y de staff indicado para lograr la comprensin de:
Los requerimientos del negocio y los riesgos asociados
La estructura organizacianal
Los papels y responsabilidades
Las medidas de control establecidas
La actividad de reporte a la administracin (estatus, desempeo, acciones)

Documentar los recursos de TI relacionados con el proceso que se ven especialmente afectados por el proceso bajo revisin. Con-
firmar el entendimiento del proceso bajo revisin, los Indicadores Clave de Desempeo (KPI) del proceso, las implicacones de
control, por ejemplo, mediante una revisin paso a paso del proceso.
EVALUACIN DE LOS CONTROLES
Los pasos de auditora a realizar en la evaluacin de la eficacia de las medidas de control establecidas o el grado en el que se
logra el objetivo de control. Bsicamente, decidir qu se va a probar, si se va a probar y cmo se va a probar.

Evaluar la conveniencia de las medidas de control para el proceso bajo revisin mediante la consideracin de los criterios inden-
tificados y las prcticas estndares de la industria, los Factores Crticos de xito (CSF) de las medidas de control y la aplicacin
del juicio profesional de auditor.
Existen procesos documentados
Existen resultados apropiados
La responsabilidad y es clara y eficaz
Existen controles compensatorios, en donde es necesario

Concluir el grado en el que se cumple el objetivo de control.
VALORACIN DEL CUMPLIMIENTO
Los pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como es debido, de
manera consistente y contiua, y concluir sobre la conveniencia de ambiente de control.

Obtener evidencia directa o indirecta de puntos/perodos seleccionados para asegurarse que se ha cumplido con los procedimien-
tos durante el perodo de revisin, utilizando evidencia tanto directa como indirecta.

Realizar una revisin limitada de la suficiencia de los resultados del proceso.

Determinar el nivel de pruebas justificantes y trabajo adicianal necesarios para asegurar que el proceso de TI es adecuado.
JUSTIFICAR EL RIESGO
Los pasos de auditora a realizar para justificar el riesgo de que no se cumpla el objetivo de control mendiante el uso de tcnicas
analticas y/o consultas a fuentes alternativas. El objetivo es respaldar la opinin e impresionar a la administratcin para que
tome accin. Los auditores tienen que ser creativos para encontrar y presentar esta informacin que con frecuencia es suscepti-
ble y confidencial.

Documentar las debilidades del control y las amenazas y vulnerabilidades resultantes.

Identifcar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-raz.

Brindar informacin comparativa; por ejemplo, mediante puntos de referencia.
Los controles tambin operan en diferentes niveles dentro
del ciclo tradicional de Planear-Hacer-Verificar-Corregir con
el que la administracin se siente cmoda. Este modelo ilus-
tra:
La secuencia lgica de planear-hacer-verificar y
corregir el plan si es necesario:
Cmo sucede esto a nivel estratgico, tctico y
administrativo;
Las diversas relaciones laterales y horizontales
El hacer estratgico da como resultado pla-
neacin tctica; el hacer tctico da como
resultado planeacin administrativa;
Las actividades de verificar y hacer co-
operan e influyen continuamente una con
otra; y
La actividad administrativa de verificar
reporta a verificar tctico, quien a su vez
reporta a verificar estratgico.
Cuando se evalan mecanismos de control, los revisores
debern estar conscientes de que estos controles operan en
estos diferentes niveles y de que tienen relaciones intrnse-
cas. La orientacin hacia el proceso de COBIT proporciona
algunas indicaciones acerca de los diferentes procesos de
control, niveles e interrelaciones, pero la implantacin o va-
loracin real de los sistemas de control requiere tomar en
cuenta esta compleja dimensin adicional.
RESUMEN
En breve, las Directrices de Auditora detallados siempre
pueden complementarse tomando en cuenta el Lineamiento
Genrico y el proceso bajo revisin, y obteniendo tareas de
auditora adicionales para lograr el objetivo de auditora. El
desarrollo del programa de auditora en s puede beneficiarse
de tomar en consideracin los requerimientos del proceso de
auditora de TI, el Marco Referencial de COBIT y los Objeti-
vos de Control de Alto Nivel, y las Consideraciones de Con-
trol que se muestran aqu.

RELACIN ENTRE LOS OBJ ETI VOS DE CONTROL Y LAS DI-
RECTRICES DE AUDI TOR A
Los objetivos han sido desarrollados a partir de una orienta-
cin al proceso porque la administracin est buscando ase-
sora a proactivo sobre cmo tratar el problema de mantener
TI bajo control. Los Objetivos de Control ayudan a la admi-
nistracin a establecer el control sobre el proceso, las Direc-
trices de Auditora ayudan al auditor o asesor a asegurar que
el proceso est realmente bajo control, de tal manera que los
requerimientos de informacin necesarios para lograr los
objetivos del negocio sern satisfechos.
La relacin entre estos dos conceptos es el proceso, por lo
que las Directrices de Auditora han sido desarrollados para
cada uno de los procesos, en oposicin para cada uno
de los objetivos de control.
Plan Accin Verificacin
Estratgico
Tctico
Administrativo
Correccin
Reporte
Reporte
En cuanto al marco referencial de control representado por el
modelo de cascada, las Directrices de Auditora pueden ver-
se como los elementos que proporcionan retroalimentacin a
partir de los procesos de control para los objetivos del nego-
cio. Los objetivos de control son la gua que baja por la cas-
cada para tener el proceso de TI bajo control. Las Directri-
ces de Auditora son la gua para regresar a la parte superior
de la cascada con la pregunta: Hay seguridad de que se
logre el objetivo del negocio? Algunas veces, las Directri-
ces de Auditora son traducciones literales de los Objetivos
de Control; con mayor frecuencia, las Directrices buscan la
evidencia de que el proceso est bajo control.

OPORTUNIDADES Y RETOS PARA LAS TAREAS DE EVALUA-
CIN
La utilizacin del Marco Referencial, los Objetivos de Con-
trol y las Directrices de Auditora como fundamento para la
tarea de auditora/valoracin nos presenta algunas ventajas
definitivas:
Permite dar prioridad a las actividades de auditora
y reas bajo revisin, utilizando las calificaciones
Primaria y Secundaria de los criterios de informa-
cin;
Conduce a reas de investigacin que normalmen-
te sin un marco referencial o modelo- no seran
tratadas;Puede desarrollarse una planeacin y se-
cuencia de entrevistas ms lgica conforme los
auditores avanzan en el proceso;
Las investigaciones pueden enfocarse utilizando el
indicador de qu recurso es ms importante en qu
proceso; y
Como un estndar para definir las reas de TI au-
ditables para el plan estratgico de auditora, con
el fin de asegurar
La cobertura eficaz de la auditora
La adquisicin/desarrollo oportuno de las
habilidades necesarias para la auditora.
Sin embargo, existen algunos retos en cuanto a la integra-
cin del marco referencial y de los objetivos dentro del tra-
bajo de auditora:
El cambio nunca es fcil (actitud, conjunto de
herramientas, conjunto de habilidades, ...);
La naturaleza detallada hace difcil la aplicacin
inicial, especialmente cuando se est verificando la
consumacin y aplicabilidad de los objetivos de
control para el rea bajo revisin;
Existe un grado necesario de repeticin en las Direc-
trices de Auditora porque rara vez hay una relacin
uno-a-uno entre el objetivo de control y los mecanis-
mos de control, un mecanismo contribuye de varias
maneras avarios objetivos, un objetivo necesitando
de varios mecanismos para poder lograrlo; y
Refuerza cierto formalismo (por ejemplo, registrar
informacin previa) que puede parecer innecesa-
rio.
C COBI OBIT T

Lineamientos
Detallados de Auditoria
Requerimientos de
Proceso de Auditoria
Marco de Referencia de Control
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
P S
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
aplicaciones
tecnologa
facilidades
datos gente

Prcticas de
Control
Los Estatutos
de Control
Requerimientos
de negocio
El control de
Lo cual satisface
es posible por
considerando las
Proceso de TI
Observaciones de Control
Normas
Estndares
KPI / CSF
Comparacin
Proceso
Acto
Informacin de
Control
Lineamiento
General de Auditoria
identificar
evaluar
probar
establecer
Uso en
comunicacin
ANLISIS DE RIESGOS COMO UN ENFOQUE ALTERNATIVO
DE EVALUACIN
El balance entre costo y riesgo es el siguiente problema a
tratar, esto es, tomar una decisin consciente de cmo se va
implementar cada uno de los objetivos de control y si se van
a implementar. Los enfoques de anlisis de riesgos tratan
esta decisin, a pesar de que permanece el principio proacti-
vo; los objetivos de control debern aplicarse en primera
instancia para lograr unos criterios de control de informacin
(eficacia, eficiencia, confidencialidad, disponibilidad, inte-
gridad, cumplimiento y confiabilidad). Es evidente que la
administracin necesita utilizar alguna forma de evaluacin
de riesgos del negocio para definir las medidas a implemen-
tar (vea CO PO9). Los auditores tambin realizarn alguna
forma de evaluacin de riesgos cuando elijan los dominios
del proceso y los objetivos de control para la revisin.
Un enfoque comnmente aceptado para el anlisis de riesgos
en TI es el siguiente: El modelo comienza
a partir de la valoracin de los activos, que dentro del Marco
Referencial de COBIT consiste en la informacin que tiene
los criterios requeridos para ayudar a lograr los objetivos del
negocio (incluyendo todos los recursos necesarios para pro-
ducir dicha informacin). El siguiente paso es el anlisis de
vulnerabilidad
que trata de la importancia de los criterios de

informacin dentro del proceso bajo revisin, por ejemplo, si
un proceso del negocio es vulnerable a la prdida de integri-
dad, entonces se requieren medidas especficas. Luego se
tratan las amenazas, esto es, aquello que puede provocar una
vulnerabilidad. La probabilidad de la amenaza, el grado de
vulnerabilidad y la severidad del impacto se combinan para
concluir acerca de la evaluacin del riesgo. Esto es seguido
por la seleccin de contramedidas (controles) y una evalua-
cin de su eficacia, que tambin identifica el riesgo residual.
La conclusin es un plan de accin despus del cual el ciclo
puede comenzar nuevamente.

El resultado de un anlisis de vulnerabilidad es la identificacin de amenazas
relevantes y el resultado de un anlisis de amenazas es la identificacin de
vulnerabilidades relevantes.

Valuacin
de Activos
Evaluacin
de Riesgo
Contra-
Medidas
Evaluacin de
Vulnerabilidad
Evaluacin
del Riesgo
Evaluacin
del Control
Plan de
Accin
Riesgo
Residual
Marco Referencial del Anlisis de Riesgo
LINEAMIENTOS DE AUDITORA 32
C COBI OBIT T
DIRECTRICES DE AUDITORA
C COBI OBIT T
PLANEACIN & ORGANIZACIN
C COBI OBIT T
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO1
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
P P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

c
o
n
f
i
a
b
i
l
i
d
a
d

Control sobre el proceso de TI de:

Definicin de un plan Estratgico de Tecnologa de Informacin

que satisface los requerimientos de negocio de:

Lograr un balance ptimo entre las oportunidades de tecnologa de in-
formacin y los requerimientos de TI de negocio, as como para asegu-
rar sus logros futuros.

se hace posible a travs de:

un proceso de planeacin estratgica emprendido en interva-
los regulares dando lugar a planes a largo plazo. Los planes a
largo plazo debern ser traducidos peridicamente en planes
operacionales estableciendo metas claras y concretas a corto
plazo:

y toma en consideracin:

definicin de objetivos de negocio y necesida-
des de TI
inventario de soluciones tecnolgicas e infraes-
tructura actual
servicios de vigilancia tecnolgica
21

cambios organizacionales
estudios de factibilidad oportunos
evaluacin de sistemas existentes
21
Vigilancia tecnolgica (technology watch)
PO 1 DEFINIR UN PLAN ESTRATGICO DE TECNOLOGA DE INFORMACIN
TANTO LOS OBJETIVOS DE CONTROL DETALLADOS COMO LOS DE ALTO NIVEL SON AUDITADOS ME-
DIANTE:
1 Tecnologa de Informacin como parte del Plan a largo y corto plazo
2 Plan a largo plazo de Tecnologa de Informacin
3 Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura
4 Cambios al Plan a largo plazo de Tecnologa de Informacin
5 Planeacin a corto plazo para la Funcin de Servicios de Informacin
6 Evaluacin de los sistemas existentes
OBJETIVOS DE CONTROL
La obtencin de un entendimiento a travs de:
Entrevistas:
Director General
Director de Operaciones
Director de Finanzas
Director de TI
Miembros del comit planeador de la funcin de servicios de informacin.
Presidencia y personal de recursos humanos de la funcin de servicios de informacin
Obteniendo:
Polticas y procedimientos inherentes al proceso de planeacin.
Tareas y responsabilidades de planeacin de la Presidencia.
Objetivos y planes a corto y largo plazo organizacionales.
Objetivos y planes a corto y largo plazo de tecnologa de informacin.
Reportes de estatus y minutas de las reuniones del comit planeador.
Evaluar los controles::
Considerando s:
Las polticas y procedimientos de negocios de la funcin de servicios de informacin siguen un enfoque de planeacin
estructurado. Se ha establecido una metodologa para formular y modificar los planes y que cubran, como mnimo:
misin y las metas de la organizacin
iniciativas de tecnologa de informacin para soportar la misin y las metas de la organizacin
oportunidades para las iniciativas de tecnologa de informacin
estudios de factibilidad de las iniciativas de tecnologa de informacin
evaluacin de los riesgos de las iniciativas de tecnologa de informacin
inversin ptima de las inversiones en tecnologa de informacin actuales y futuras
reingeniera de las iniciativas de tecnologa de informacin para reflejar los cambios en la misin y las metas
de la organizacin.
evaluacin de las estrategias alternativas para las aplicaciones de datos, tecnologa y organizacin
C COBI OBIT T
Los cambios organizacionales, la evolucin tecnolgica, los requerimientos regulatorios, la reingeniera de los procesos de
negocios, las fuentes externas e internas, etc. estn siendo consideradas y dirigidas adecuadamente en el proceso de
planeacin.
Existen planes de tecnologa de informacin a corto y largo plazo, si stos son actuales, estn dirigidos adecuadamente a la
empresa en general, si su misin y proyectos de tecnologa de informacin para las funciones clave de negocios estn
soportados por la documentacin apropiada segn lo definido en la metodologa de planeacin de tecnologa de infor-
macin.
Existen puntos de revisin para asegurar que los objetivos de tecnologa de informacin y los planes a corto y largo plazo
continan satisfaciendo los objetivos y los planes a corto y largo plazo organizacionales.
Los propietarios de procesos y la Presidencia de los planes de tecnologa de informacin llevan a cabo revisiones y aproba-
ciones formales.
El plan de la tecnologa de informacin evala los sistemas de informacin existentes en trminos del grado de automatiza-
cin, funcionalidad, estabilidad, complejidad, costos, fortalezas y debilidades del negocio.
8 Probando que:
Las minutas de las reuniones del comit planeador de la funcin de servicios de informacin reflejan el proceso de pla-
neacin.
Los elementos entregables y liberables de la metodologa de planeacin existen segn lo indicado.
Se incluyen iniciativas de tecnologa de informacin en los planes a corto y largo plazos de la funcin de servicios de
informacin (por ejemplo, cambios de hardware, planeacin de capacidad, arquitectura de informacin, desarrollo
u obtencin de nuevos sistemas, planeacin de recuperacin en caso de desastre, instalacin de plataformas para
nuevos procesamientos, etc.).
Las iniciativas de tecnologa de informacin soportan la investigacin, el entrenamiento, la asignacin de personal, las
instalaciones, el hardware y el software.
Se hayan identificado las implicaciones para las iniciativas de tecnologa de informacin
Se haya tomado en consideracin la optimizacin de inversiones de tecnologa de informacin actuales y futuras
Los planes a corto y largo plazo de tecnologa de informacin son consistentes con los planes a corto y largo plazo de
la organizacin, as como con los requerimientos de sta.
Se han modificado los planes para reflejar condiciones cambiantes.
Los planes a largo plazo de tecnologa de informacin son traducidos peridicamente en planes a corto plazo.
Existen tareas para implementar los planes.
Evaluar la suficiencia:
Evaluar el riesgo de los objetivos de control no cumplidos:
8 Llevando a cabo:
Mediciones ("Benchmarking") de planes estratgicos de tecnologa de informacin contra organizaciones similares o
buenas prcticas industriales reconocidas/estndares internacionales apropiados.
Una revisin detallada de los planes de TI para asegurar que las iniciativas de tecnologa de informacin reflejen la
misin y las metas de la organizacin.
Una revisin detallada de los planes de TI para determinar si, como parte de las soluciones de tecnologa de informa-
cin contenidas en los planes, se han identificado reas de debilidad dentro de la organizacin que requieren ser
mejoradas.
8 Identificando:
Fallas en la tecnologa de informacin para satisfacer la misin y las metas de la organizacin.
Fallas en la tecnologa de informacin para concordar los planes a corto y largo plazo.
Fallas en la tecnologa de informacin para satisfacer planes a corto plazo.
Fallas en la tecnologa de informacin para satisfacer lineamientos de costos y tiempos.
Oportunidades de negocios no aprovechadas.
Oportunidades de tecnologa de informacin no aprovechadas.
C COBI OBIT T
PO2
S S S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

22
Severidad (criticality)
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Definicin de la Arquitectura de Informacin


organizar de la mejor manera los sistemas de informacin


la creacin y mantenimiento de un modelo de informacin
de negocios y asegurando que se definan sistemas apropia-
dos para optimizar la utilizacin de esta informacin


documentacin
diccionario de datos
reglas de sintaxis de datos
propiedad de la informacin y clasificacin de
severidad
22

PO 2 DEFINICIN DE LA ARQUITECTURA DE INFORMACIN
1 Modelo de la Arquitectura de Informacin
2 Diccionario de Datos y Reglas de Sintaxis de Datos de la Corporacin
3 Esquema de Clasificacin de Datos
4 Niveles de Seguridad
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON
AUDITADOS AL:
Entrevistas:
Director de TI
Miembros del comit planeador de la funcin de servicios de informacin.
Presidencia de la funcin de servicios de informacin.
Funcionario de Seguridad
Obteniendo:
Polticas y procedimientos sobre la arquitectura de informacin.
Modelo de la arquitectura de informacin.
Documentos que soporten el modelo de la arquitectura de informacin, incluyendo el modelo de datos corpo-
rativo.
Diccionario de datos corporativo
Poltica de propiedad de datos
Funciones y responsabilidades de planeacin de la Presidencia.Objetivos y planes a corto y largo plazo de
tecnologa de informacin
Reporte de estatus y minutas de las reuniones del comit planeador
Considerando s:
Las polticas y procedimientos de la funcin de los servicios de informacin dirigen el desarrollo y mantenimiento del
diccionario de datos.
El proceso utilizado para actualizar el modelo de la arquitectura de informacin toma como base los planes a corto y
largo plazo, considera los costos y riesgos asociados y asegura que las aprobaciones formales de la Presidencia
sean obtenidas antes de hacer modificaciones al modelo.
Se utiliza algn proceso para mantener actualizados el diccionario de datos y las reglas de sintaxis de datos.
Se utiliza algn medio para distribuir el diccionario de datos para asegurar que ste sea accesible para las reas de de-
sarrollo y que los cambios sean reflejados inmediatamente.
C COBI OBIT T
Las polticas y procedimientos de la funcin de servicios de informacin dirigen la clasificacin de los datos, incluyen-
do categoras de seguridad y propiedad de datos, y si las reglas de acceso para las clases de datos estn claras y
apropiadamente definidas.
Los estndares definen la clasificacin "default" para los activos de datos que no contienen un identificador de clasifi-
cacin.
Las polticas y procedimientos de la funcin de servicios de informacin dirigen lo siguiente:
la existencia de un proceso de autorizacin que requiera que el propietario de los datos (tal como lo define la
poltica de propiedad de datos) autorice todos los accesos a stos datos, as como los atributos de seguridad
de los mismos.
los niveles de seguridad estn definidos para cada clasificacin de datos.
los niveles de acceso estn definidos y sean apropiados para la clasificacin de datos.
el acceso a datos delicados requiera de niveles de acceso explcitos y que los datos sean nicamente propor-
cionados si existe una verdadera necesidad de acceder a ellos.
8 Probando que:
Estn identificados los cambios realizados al modelo de arquitectura de informacin para confirmar que dichos cam-
bios reflejan la informacin de los planes a largo y corto plazo, as como los costos y los riesgos.
La evaluacin del impacto de cualquier modificacin realizada al diccionario de datos y cualquier cambio realizado al
diccionario de datos para asegurar que stos han sido comunicados efectivamente.
Varios sistemas de aplicacin operacional y proyectos de desarrollo para confirmar que el diccionario de datos es utili-
zado para la definicin de datos.
La adecuacin de la documentacin del diccionario de datos para confirmar que ste define los atributos de datos y los
niveles de seguridad para cada elemento de datos.
La propiedad de la clasificacin de datos, de los niveles de seguridad, de los niveles de acceso y "defaults".
Cada clasificacin de datos defina claramente:
quin puede tener acceso
quin es responsable de determinar el nivel de acceso apropiado
la aprobacin especfica requerida para el acceso
los requerimientos especiales para el acceso (por ejemplo, acuerdo de confidencialidad)
8 Llevando a cabo:
Mediciones ("Benchmarking") del modelo de arquitectura de informacin contra organizaciones similares o estn-
dares internacionales/buenas prcticas reconocidas en la industria apropiadas.
Una revisin detallada del diccionario de datos para asegurar que es completo en lo referente a elementos clave.
Una revisin detallada de los niveles de seguridad definidos para datos delicados, con el fin de verificar que se
haya obtenido la autorizacin apropiada para el acceso y que el acceso sea consistente con los niveles de seguri-
dad definidos en las polticas y procedimientos de la funcin de servicios de informacin.

8 Identificando:
Inconsistencias en el modelo de arquitectura de informacin y en el modelo de datos corporativo, en el diccionario
de datos corporativo, en los sistemas de informacin asociados y en los planes a largo y corto plazo de tecnologa
de informacin.
Elementos obsoletos en el diccionario de datos corporativo y reglas de sintaxis de datos en las que se haya perdido
tiempo debido a cambios realizados inadecuadamente al diccionario de datos.
Elementos de datos en los que la propiedad no haya sido claramente y/o apropiadamente determinada
Clases de datos que hayan sido definidos de manera no apropiada.
Niveles de seguridad de datos inconsistentes con la regla de "necesidad de acceso" ("need to know").
C COBI OBIT T
PO3
S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


determinacin de la direccin tecnolgica


aprovechar la tecnologa disponible o tecnologa emergente


la creacin y mantenimiento de un plan de infraestructura
tecnolgica


capacidad de adecuacin y evolucin de la in-
fraestructura actual
monitoreo de desarrollos tecnolgicos
contingencias
planes de adquisicin

PO 3 DETERMINACIN DE LA DIRECCIN TECNOLGICA
1 Planeacin de la Infraestructura Tecnolgica
2 Monitoreo de Tendencias y Regulaciones Futuras
3 Contingencias en la Infraestructura Tecnolgica
4 Planes de Adquisicin de Hardware y Software
5 Estndares de Tecnologa
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
8 Entrevistas:
Director General
Director de TI
Miembros del comit planeador de la funcin de servicios de informacin
Presidencia de la funcin de servicios de informacin

8 Obteniendo:
Polticas y procedimientos relacionados con la planeacin y el monitoreo de la infraestructura tecnolgica.
Tareas y responsabilidades de planeacin de la Presidencia.
Objetivos y planes a largo y corto plazo de la organizacin.
Objetivos y planes a largo y corto plazo de tecnologa de informacin.
Plan de adquisicin de hardware y software de tecnologa de informacin.
Plan de infraestructura tecnolgica.
Estndares de tecnologa.
Reportes de estatus y minutas de las reuniones del comit planeador.
8 Considerando s:
Existe un proceso para la creacin y la actualizacin regular del plan de infraestructura tecnolgica para confirmar
que los cambios propuestos estn siendo examinados primero para evaluar los costos y riesgos inherentes, y
que la aprobacin de la Presidencia sea obtenida antes de realizar cualquier cambio al plan.
El plan de infraestructura tecnolgica est siendo comparado contra los planes a largo y corto plazo de tecnologa
de informacin.
Existe un proceso para la evaluacin de la situacin tecnolgica actual de la organizacin para asegurar que abar-
ca aspectos tales como arquitectura de sistemas, direccin tecnolgica y estrategias de migracin.
C COBI OBIT T
La poltica y procedimientos de la funcin de los servicios de informacin aseguran la consideracin de la necesi-
dad de evaluar y monitorear las tendencias y condiciones regulatorias tecnolgicas presentes y futuras, y si
stas son tomadas en consideracin durante el desarrollo y mantenimiento del plan de infraestructura tecnol-
gica.
Se planean el impacto logstico y ambiental de las adquisiciones tecnolgicas.
Las polticas y procedimientos de la funcin de servicios de informacin aseguran que se considere la necesidad
de evaluar sistemticamente el plan tecnolgico para aspectos de contingencia (por ejemplo, redundancia, re-
sistencia, adecuacin y capacidad evolutiva de la infraestructura).
La administracin de la funcin de los servicios de informacin evala tecnologas de vanguardia, e incorpora
tecnologas apropiadas a la infraestructura de servicios de informacin actual.
Los planes de adquisicin de hardware y software suelen satisfacer las necesidades identificadas en el plan de
infraestructura tecnolgica y si stos son aprobados apropiadamente.
Se encuentran establecidos los estndares de tecnologa para los componentes tecnolgicos descritos en el plan de
infraestructura tecnolgica.
8 Probando que:
La administracin de la funcin de servicios de informacin comprende y utiliza el plan de infraestructura tecnolgica.
Se hayan realizado cambios al plan de infraestructura tecnolgica para identificar los costos y riesgos inherentes, y que
dichos cambios reflejen las modificaciones a los planes a largo y corto plazo de tecnologa de informacin.
La administracin de la funcin de servicios de informacin comprende el proceso de monitoreo y evaluacin de nue-
vas tecnologas, y que incorpora tecnologas apropiadas a la infraestructura de servicios de informacin actual.
La administracin de la funcin de servicios de informacin comprende el proceso de evaluar sistemticamente el plan
de tecnologa en cuanto a aspectos de contingencia (por ejemplo, redundancia, resistencia, adecuacin y capacidad
evolutiva de la infraestructura).
La existencia de un ambiente fsico de la funcin de servicios de informacin adecuado para alojar el hardware/
software actualmente instalado, as como nuevo hardware/software a ser aadido segn el plan de adquisiciones
actual aprobado.
El plan de adquisicin de hardware y software cumple con los planes a largo y corto plazo de tecnologa de informa-
cin, reflejando las necesidades identificadas en el plan de infraestructura tecnolgica.
El plan de infraestructura tecnolgica dirige la utilizacin de tecnologa actual y futura.
Se cumpla con los estndares de tecnologa y que stos sean agregados e incorporados como parte del proceso de desa-
rrollo.
El acceso permitido sea consistente con los niveles de seguridad definidos en las polticas y procedimientos de la fun-
cin de servicios de informacin, y que se haya obtenido la autorizacin apropiada para el acceso.
8 Llevando a cabo:
Mediciones ("Benchmarking") de la planeacin de infraestructura tecnolgica contra organizaciones
similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas.
Una revisin detallada del diccionario de datos para verificar que es completo en lo referente a elemen-
tos clave.
Una revisin detallada de los niveles de seguridad definidos para datos delicados.

8 Identificando:
Inconsistencias en el modelo de arquitectura de informacin y en el modelo de datos corporativo, en el
diccionario de datos corporativo, en los sistemas de informacin asociados y en los planes a largo
y corto plazo de tecnologa de informacin.
Elementos de diccionario de datos y reglas de sintaxis de datos obsoletos.
Aspectos de contingencia no considerados en el plan de infraestructura tecnolgica.
Planes de adquisicin de hardware y software de tecnologa de informacin que no reflejen las necesi-
dades de plan de infraestructura tecnolgica.
Estndares de tecnologa que no sean consistentes con el plan de infraestructura tecnolgica o con los
planes de adquisicin de hardware y software de tecnologa de informacin.
Un plan de infraestructura tecnolgica o planes de adquisicin de hardware y software de tecnologa
de informacin que no sean consistentes con los estndares de tecnologa.
Elementos clave omitidos en el diccionario de datos.
C COBI OBIT T
PO4
S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


definicin de la organizacin y de las relaciones de TI


prestacin de servicios de TI


una organizacin conveniente en nmero y habilidades, con
tareas y responsabilidades definidas y comunicadas


comit de direccin
responsabilidades a nivel de alta gerencia o del
consejo
propiedad, custodia
supervisin
segregacin de funciones
roles y responsabilidades
descripcin de puestos
niveles de asignacin de personal
personal clave

PO 4 DEFINICIN DE LA ORGANIZACIN Y DE LAS DEFINICIONES DE TI
1 Comit de planeacin o direccin de la funcin de servicios de informacin
2 Ubicacin de los servicios de informacin en la organizacin
3 Revisin de Logros Organizacionales
4 Funciones y Responsabilidades
5 Responsabilidad del aseguramiento de calidad
6 Responsabilidad de la Seguridad Lgica y Fsica
7 Propiedad y Custodia
8 Propiedad de Datos y Sistemas
9 Supervisin
10 Segregacin de Funciones
11 Asignacin de Personal para Tecnologa de Informacin
12 Descripcin de Puestos para el Personal de la Funcin de Servicios de Informacin
13 Personal Clave de Tecnologa de Informacin
14 Procedimientos para personal por contrato
15 Relaciones
8 Entrevistas:
Director General
Director de TI
Oficial de Aseguramiento de Calidad
Oficial de Seguridad de Informacin
Miembros del comit planeador de la funcin de servicios de informacin, recursos humanos y Presidencia.

8 Obteniendo:
Funciones y responsabilidades de planeacin de la Presidencia.
Objetivos y planes a largo y corto plazo organizacionales.
Objetivos y planes a largo y corto plazo de tecnologa de informacin.
Organigrama organizacional que muestre la relacin entre la funcin de servicios de informacin y otras funcio-
nes.
Polticas y procedimientos relacionadas con la organizacin y las relaciones de tecnologa de informacin.
Polticas y procedimientos relacionados con el aseguramiento de la calidad.
Polticas y procedimientos utilizados para determinar los requerimientos de asignacin de personal de la funcin
de servicios de informacin.Organigrama organizacional de la funcin de servicios de informacin.
C COBI OBIT T
Funciones y responsabilidades de la funcin de servicios de informacin.
Descripcin de los puestos clave de la funcin de servicios de informacin.
Reportes de estatus y minutas de las reuniones del comit de planeacin.
8 Considerando s:
Las polticas y los comunicados de la Presidencia aseguran la independencia y la autoridad de la funcin de los servi-
cios de informacin.
Se han definido e identificado la calidad de miembro, las funciones y las responsabilidades del comit de planeacin de
la funcin de servicios de informacin.
Los estatutos del comit de planeacin de la funcin de servicios de informacin alinean las metas del comit con los
objetivos y los planes a largo y corto plazo de la organizacin y con los objetivos y planes a largo y corto plazo de
tecnologa de informacin.
Se han establecido procesos para incrementar el conocimiento la conciencia, la comprensin y la habilidad para identi-
ficar y resolver problemas de administracin de la informacin.
Las polticas consideran la necesidad de evaluar y modificar la estructura organizacional para satisfacer objetivos y
circunstancias cambiantes.
Existen procesos e indicadores de desempeo para determinar la efectividad y aceptacin de la funcin de servicios de
informacin.
La Presidencia se asegura que las funciones y responsabilidades estn siendo llevadas a cabo.
Existen polticas que determinen las funciones y responsabilidades para todo el personal dentro de la organizacin con
respecto a sistemas de informacin, control y seguridad internos.
Existen campaas regulares para incrementar la conciencia y disciplina en cuanto al control y la seguridad interna.
Existen polticas y funciones de aseguramiento de la calidad.
La funcin de aseguramiento de la calidad cuenta con la independencia suficiente con respecto al personal de desarro-
llo de sistemas y con una asignacin de personal y experiencia adecuados para llevar a cabo sus responsabilidades.
Existen procedimientos establecidos dentro del aseguramiento de la calidad para calendarizar recursos y asegurar el
cumplimiento de las pruebas y aprobacin del aseguramiento de la calidad antes de que se implementen nuevos
sistemas o cambios a los sistemas.
La Gerencia ha asignado formalmente la responsabilidad a lo largo de toda la organizacin para la formalicen de polti-
cas y procedimientos de control y seguridad internos (tanto lgicos como fsicos) a algn funcionario de seguridad
de la informacin.
El funcionario de seguridad de la informacin comprende adecuadamente las funciones y responsabilidades y si stas
han mostrado consistencia con respecto a la poltica de seguridad de la informacin de la organizacin.
La poltica de seguridad de la organizacin define claramente las responsabilidades sobre la seguridad de la informa-
cin que cada propietario de activos (por ejemplo, usuarios, administracin y administradores de seguridad) debe
llevar a cabo.
Existen polticas y procedimientos que cubran datos y propiedad de sistemas para todas las fuentes de datos y sistemas
ms importantes.
Existen procedimientos para revisar y mantener cambios en la propiedad de los datos y los sistemas regularmente.
Existen polticas y procedimientos que describan las prcticas de supervisin para asegurar que las funciones y respon-
sabilidades sean ejercidas apropiadamente y que todo el personal cuente con suficiente autoridad y recursos para
llevar a cabo sus funciones y responsabilidades.
Existe una segregacin de funciones entre los siguientes pares de unidades:
desarrollo y mantenimiento de sistemas
desarrollo y operaciones de sistemas
desarrollo/mantenimiento de sistemas y seguridad de la informacin.
operaciones y control de datos
operaciones y usuarios
operaciones y seguridad de la informacin
La asignacin de personal y la competencia de la funcin de servicios de informacin es mantenida para asegurar su
habilidad para proporcionar soluciones tecnolgicas efectivas.
Existen polticas y procedimientos para la evaluacin y revalidacin de las descripciones de puestos de la funcin de
servicios de informacin.
Existen funciones y responsabilidades para procesos clave, incluyendo actividades del ciclo de vida de desarrollo de
sistemas (requerimientos, diseo, desarrollo, pruebas), seguridad de la informacin, adquisicin y planeacin de
capacidad.
Se utilizan indicadores clave de desempeo y/o factores crticos de xito al medir los resultados de la funcin de servi-
cios de informacin en el logro de objetivos organizacionales.
Existen polticas y procedimientos en la funcin de servicios de informacin para controlar las actividades de consul-
tores y dems personal por contrato, asegurando as la proteccin de los activos de la organizacin.
Existen procedimientos aplicables a tecnologa de informacin por contrato que sean adecuados y consistentes con las
polticas de adquisicin organizacionales.
Existen procesos para coordinar, comunicar y documentar los intereses dentro y fuera del directorio de la funcin de
8 Probando que:
El comit planeador de la funcin de servicios de informacin vigila a la funcin de servicios de informacin y sus ac-
tividades.
La propiedad de la jerarqua de reporte para la funcin de servicios de informacin.
La efectividad de la localizacin de la funcin de servicios de informacin dentro de la organizacin en cuanto a facili-
tar una relacin de sociedad con la alta Gerencia.
La Presidencia de la funcin de servicios de informacin comprenda cules son los procesos utilizados para monitorear,
medir y reportar el desempeo de la funcin de servicios de informacin.
La utilizacin de indicadores clave para evaluar el desempeo.
Los procesos para analizar los resultados reales contra los niveles meta, con el fin de determinar las acciones correcti-
vas realizadas cuando los resultados reales no alcanzan los niveles meta.
Las acciones realizadas por la administracin en cuanto a cualquier variacin significativa con respecto a los niveles
esperados de desempeo.
La administracin de usuarios/propietarios evala la capacidad de respuesta y la habilidad de la funcin de servicios de
informacin para proporcionar soluciones de tecnologa de informacin que satisfagan las necesidades de usua-
rios/propietarios.
La Gerencia de la funcin de servicios de informacin conoce sus funciones y responsabilidades.
C COBI OBIT T
Aseguramiento de la calidad se involucre en la prueba y aprobacin de los planes de proyectos de la funcin de servi-
cios de informacin.
El personal de seguridad de la informacin revisa los sistemas operativos y los sistemas de aplicacin esenciales.
La adecuacin de los reportes o documentacin de la funcin de seguridad de la informacin al evaluar la seguridad de
la informacin (tanto lgica como fsica) ya existente o en desarrollo.
Existe suficiente conocimiento, conciencia y una aplicacin consistente de las polticas y procedimientos de seguridad
de la informacin.
El personal asiste a los entrenamientos de seguridad y control interno.
La propiedad de los datos y sistemas se encuentra definida para todos los activos de informacin.
Los propietarios de datos y sistemas hayan aprobado los cambios realizados a dichos datos y sistemas.
Todos los datos y sistemas cuentan con un propietario o custodio que sea responsable del nivel de control sobre los
datos y sistemas.
El acceso a todos los activos de datos y sistemas es aprobado por el/los propietario(s) de los activos.
La lnea directa de autoridad y supervisin asociada con el puesto est en conformidad con las responsabilidades del
beneficiado.
Las descripciones de puestos delinean claramente tanto la autoridad como la responsabilidad.
Las descripciones de puestos describen claramente las aptitudes de negocios, relaciones y tcnicas requeridas.
Las descripciones de puestos hayan sido comunicadas con precisin y hayan sido comprendidas por el personal.
Las descripciones de puestos para la funcin de servicios de informacin contienen indicadores clave de desempeo
que han sido comunicados al personal.
Las funciones y responsabilidades del personal de la funcin de servicios de informacin corresponden tanto a las des-
cripciones de puestos publicadas como al organigrama.
Existan descripciones de puestos para las posiciones clave y que stas incluyan los mandatos de la organizacin relati-
vos a sistemas de informacin, control y seguridad internos.
La precisin de las descripciones de puestos comparadas contra las responsabilidades actuales de los encargados de
dichas posiciones.
La naturaleza y el alcance de la suficiencia de la segregacin de funciones deseada y de las limitaciones de funciones
dentro de la funcin de servicios de informacin.
El mantenimiento de la competencia del personal de tecnologa de informacin.
La propiedad de las descripciones de puestos como base para la adecuacin y la claridad de las responsabilidades, auto-
ridad y criterios de desempeo.
Las responsabilidades de administracin por contrato hayan sido asignadas al personal apropiado.
Los trminos de los contratos sean consistentes con los estndares normales para contratos de la organizacin y que los
trminos y condiciones contractuales estndar hayan sido revisados y evaluados por un consultor legal, cuyo
acuerdo haya sido obtenido.
Los contratos contienen clusulas apropiadas con respecto al cumplimiento de: polticas de seguridad corporativa y
control interno y estndares de tecnologa de informacin.
Existen procesos y/o estructuras que garantizan una coordinacin efectiva y eficiente para lograr relaciones exitosas.
8 Llevando a cabo:
Mediciones ("Benchmarking") de la organizacin y de las relaciones contra organizaciones similares o estndares
internacionales/buenas prcticas reconocidas por la industria apropiadas.
Una revisin detallada para determinar el impacto sobre la organizacin causada por un comit de planeacin de
la funcin de servicios de informacin no efectivo.
Una revisin detallada para medir el progreso de la funcin de servicios de informacin al tratar con problemas de
sistemas de informacin e implementar soluciones tecnolgicas.
Una revisin detallada para evaluar la estructura organizacional, las aptitudes del personal, las funciones y respon-
sabilidades asignadas, la propiedad de datos y sistemas, supervisin, segregacin de funciones, etc.
Una revisin detallada de la funcin de aseguramiento de la calidad para determinar su efectividad en la satisfac-
cin de los requerimientos de la organizacin.
Una revisin detallada de la funcin de seguridad de la informacin para determinar su efectividad para propor-
cionar seguridad general en la organizacin (tanto lgica como fsica) y entrenamiento de conocimiento y
conciencia de seguridad.
Una revisin detallada de una muestra de contratos para confirmar que stos hayan sido ejecutados apropiadamen-
te por ambas partes y que cumplan con los trminos contractuales estndar de la organizacin.

8 Identificando:
Debilidades en la funcin de servicios de informacin y sus actividades ocasionadas por una vigilancia no efectiva
por parte del comit de planeacin de dicha funcin.
Lagunas, traslapes, etc. en la estructura organizacional que traen como resultado ineficacia e ineficiencia en la
funcin de servicios de informacin.
Estructuras organizacionales inapropiadas, funciones faltantes, personal insuficiente, deficiencias en competencia,
funciones y responsabilidades no apropiadas, confusin en la propiedad de datos y sistemas, problemas de
supervisin, falta de segregacin de funciones, etc.
Sistemas en proceso de desarrollo, modificados o implementados que cumplen con los requerimientos de asegura-
miento de la calidad.
Sistemas en proceso de desarrollo, modificados o implementados que cumplen con los requerimientos de seguri-
dad (lgica, fsica, o ambos).
Contratos que no cumplen con los requerimientos contractuales de la organizacin.
Coordinacin y comunicacin no efectivas entre la funcin de servicios de informacin y otros intereses dentro y
fuera de esta funcin.
C COBI OBIT T
PO5
S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Manejo de la inversin


asegurar el financiamiento y el control de desembolsos de recursos
financieros


presupuestos peridicos sobre inversiones y operacin esta-
blecidos y aprobados por el negocio


alternativas de financiamiento
control del gasto real
justificacin de costos
justificacin del beneficio

PO 5 MANEJO DE LA INVERSIN EN TECNOLOGA DE INFORMACIN
1 Presupuesto Operativo Anual para la Funcin de Servicios de Informacin
2 Monitoreo de Costos
3 Justificacin de Costos
8 Entrevistas:
Director de TI
Miembros del comit de planeacin de la funcin de servicios de informacin

8 Obteniendo:
Polticas, mtodos y procedimientos organizacionales relacionados con la elaboracin del presupuesto y las activi-
dades de costeo.
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con la elaboracin del presu-
puesto y las actividades de costeo.
Presupuesto operativo actual y del ao inmediato anterior para la funcin de servicios de informacin.
Objetivos y planes organizacionales a corto y largo plazo.
Funciones y responsabilidades de planeacin de la Presidencia.
Reportes de variaciones y otros comunicados relacionados con el control y monitoreo de variaciones.
8 Considerando s:
El proceso de elaboracin del presupuesto de la funcin de servicios de informacin es consistente con el proceso de la
organizacin.
Existen polticas y procedimientos para asegurar la preparacin y la aprobacin adecuada de un presupuesto operativo
anual para la funcin de servicios de informacin, que sea consistente con el presupuesto y los planes a corto y
largo plazo de la organizacin y los planes a corto y largo plazo de tecnologa de informacin.
El proceso de elaboracin del presupuesto est vinculado con la administracin de las unidades ms importantes de la
funcin de servicios de informacin que contribuyen a su preparacin.
Existen polticas y procedimientos para monitorear regularmente los costos reales y compararlos con los costos proyec-
tados y si los costos reales tienen como base el sistema de contabilidad de costos de la organizacin.
Existen polticas y procedimientos para garantizar que la entrega y liberacin de servicios por parte de la funcin de
servicios de informacin se justifican en cuanto a costos y estn en lnea con los costos de la industria.
C COBI OBIT T
8 Probando que:
El soporte en el presupuesto de la funcin de servicios de informacin es el adecuado para justificar el plan opera-
tivo anual de dicha funcin.
Las categoras de gastos de la funcin de servicios de informacin son suficientes, apropiadas y han sido clasifica-
das adecuadamente.
El sistema para registrar, procesar y reportar los costos asociados con las actividades de la funcin de servicios de
informacin en forma rutinaria es adecuado.
El proceso de monitoreo de costos compara adecuadamente los costos reales contra los presupuestados.
Los anlisis costo/beneficio llevados a cabo por la administracin de los grupos de usuarios afectados, la funcin
de servicios de informacin y la Presidencia de la organizacin son revisados adecuadamente.
Las herramientas utilizadas para monitorear los costos son usadas efectiva y apropiadamente.
8 Llevando a cabo:
Mediciones ("Benchmarking") de presupuestos y costos contra organizaciones y buenas prcticas reconocidas en
la industria/estndares internacionales apropiados.
Una revisin detallada del presupuesto actual y del ao inmediato anterior contra los resultados reales, variaciones
y acciones correctivas aplicadas.
8 Identificando:
Presupuestos de la funcin de sistemas de informacin que no estn en lnea con el presupuesto y los planes a cor-
to y largo plazo de la organizacin y con los planes a corto y largo plazo de tecnologa de informacin.
Los costos reales de la funcin de servicios de informacin que no hayan sido capturados
C COBI OBIT T
PO6
S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


comunicacin de la direccin y aspiraciones de la gerencia


asegurar el conocimiento y comprensin del usuario sobre dichas aspi-
raciones


polticas establecidas y transmitidas a la comunidad de usua-
rios; adems, se necesita estndares para traducir las opcio-
nes estratgicas en reglas de usuario prcticas y utilizables


cdigo de tica / conducta
directrices tecnolgicas
cumplimiento
compromiso con la calidad
polticas de seguridad
polticas de control interno

PO 6 MANEJO DE LA INVERSIN EN TECNOLOGA DE INFORMACIN
8 Entrevistas:
Director General
Director de TI

8 Obteniendo:
Polticas y procedimientos relacionados con el marco referencial de control positivo y el programa de conocimien-
to y conciencia de la administracin, con el marco referencial de seguridad y control interno y con el programa
de calidad de la funcin de servicios de informacin.
Las funciones y responsabilidades de planeacin de la Presidencia.
Objetivos y planes a corto y largo plazo organizacionales..
Un programa de comunicacin.
1 Ambiente Positivo de Control de la Informacin
2 Responsabilidad de la Gerencia en cuanto a Polticas
3 Comunicacin de las Polticas de la Organizacin
4 Recursos para la Implementacin de Polticas
5 Mantenimiento de Polticas
6 Cumplimiento de Polticas, Procedimientos y Estndares
7 Compromiso con la Calidad
8 Poltica sobre el Marco Referencial para la Seguridad y el Control Interno
9 Derechos de la Propiedad Intelectual
10 Polticas para Situaciones Especficas
11 Comunicacin de la Sensibilizacin de Seguridad de la TI
C COBI OBIT T
Evaluar los controles:
Las polticas y procedimientos de la organizacin crean un marco referencial y un programa de conocimiento y conciencia, prestan-
do atencin especfica a la tecnologa de informacin, propiciando un ambiente de control positivo y considerando aspectos
como:
Integridad
valores ticos
cdigo de conducta
seguridad y control interno
competencia del personal
filosofa y estilo operativo de la administracin
responsabilidad, atencin y direccin proporcionadas por el consejo directivo o su equivalente
La alta gerencia promueve un ambiente de control positivo a travs del ejemplo.
La administracin ha aceptado la responsabilidad total sobre la formulacin, el desarrollo, la documentacin, la promulgacin, el
control y la revisin regular de las polticas que rigen las metas y directivas generales.
Existe un programa de conocimiento y conciencia formal para proporcionar comunicacin y entrenamiento relacionados con el
ambiente positivo de control de la administracin.
Existen polticas y procedimientos organizacionales para asegurar que los recursos adecuados y apropiados son asignados para im-
plementar las polticas de la organizacin de manera oportuna.
Existen procedimientos apropiados para asegurar que el personal comprende las polticas y procedimientos implementados, y que se
cumple con dichas polticas y procedimientos.
Las polticas y procedimientos de la funcin de servicios de informacin definen, documentan y mantienen una filosofa, polticas y
objetivos formales que rigen la calidad de los sistemas y servicios producidos, y que stos son consistentes con la filosofa,
polticas y objetivos de la organizacin.
La administracin de la funcin de servicios de informacin asegura que la calidad de la filosofa, las polticas y objetivos sea com-
prendida, implementada y mantenida a todos los niveles de la funcin de servicios de informacin.
Existen procedimientos que consideren la necesidad de revisar y aprobar peridicamente estndares, directivas, polticas y procedi-
mientos clave relacionados con tecnologa de informacin.
La Presidencia ha aceptado la responsabilidad total sobre el desarrollo de un marco referencial para el enfoque general de seguridad
y control interno.
El documento del marco referencial de seguridad y control interno especifica la poltica, propsito, objetivos, estructura administrati-
va, alcance dentro de la organizacin, asignacin de responsabilidades y definicin de sanciones y acciones disciplinarias de
seguridad y control interno asociados con la falta de cumplimiento de las polticas de seguridad y control interno.
Las polticas de seguridad y control interno identifican el proceso de control interno de la organizacin e incluye componentes de
control tales como:
ambiente de control
reevaluacin de riesgos
actividades de control
informacin y comunicacin
monitoreo
Existen polticas para asuntos especiales para documentar las decisiones administrativas sobre actividades, aplicaciones, sistemas y
tecnologas particulares.
8 Probando que:
Los esfuerzos de la administracin para fomentar un control positivo cubren los aspectos clave tales como: integridad, valores ticos,
cdigo de conducta, seguridad y control interno, competencia del personal, filosofa y estilo operativo de la administracin, y
responsabilidad, atencin y direccin proporcionados.
Los empleados han recibido el cdigo de conducta y que lo comprenden.
Se da el proceso de comunicacin de las polticas de la administracin relacionadas con el ambiente de control interno de la organi-
zacin.
Existe el compromiso de la administracin en cuanto a los recursos para formular, desarrollar, documentar, promulgar y controlar
polticas que cubren el ambiente de control interno.
La propiedad y habilidad para adaptarse a condiciones cambiantes de las revisiones regulares de estndares, directivas, polticas y
procedimientos por parte de la administracin.
Los esfuerzos de monitoreo de la administracin aseguran la asignacin adecuada y apropiada de recursos para implementar las
polticas de la organizacin de manera oportuna.
Los esfuerzos de reforzamiento por parte de la administracin con respecto a los estndares, directivas, polticas y procedimientos
relacionados con su ambiente de control interno estn asegurando su cumplimiento a travs de toda la organizacin.
La filosofa, polticas y objetivos de calidad determinan el cumplimiento y la consistencia con la filosofa, polticas y procedimientos
corporativos y de la funcin de servicios de informacin.
La administracin de la funcin de servicios de informacin y el personal de desarrollo y operaciones determinan la filosofa de
calidad y su poltica relacionada, y que los procedimientos y objetivos son comprendidos y cumplidos por todos los niveles
dentro de la funcin de servicios de informacin.
Los procesos de medicin aseguran que los objetivos de la organizacin sean alcanzados.
Miembros seleccionados de la administracin estn involucrados y comprenden el contenido de las actividades de seguridad y con-
trol interno (por ejemplo, reportes de excepcin, conciliaciones, comparaciones, etc.) bajo su responsabilidad.
Las funciones individuales, las responsabilidades y lneas de autoridad se comunican claramente y se comprenden en todos los nive-
les de la organizacin.
Los departamentos seleccionados evalan procedimientos para monitorear en forma rutinaria actividades de seguridad y control
interno (por ejemplo, reportes de excepcin, conciliaciones, comparaciones, etc.) y que se da en proceso para proporcionar
retroalimentacin a la administracin.
La documentacin del sistema seleccionado confirma que las decisiones administrativas del sistema especfico han sido documenta-
das y aprobadas de acuerdo con las polticas y procedimientos organizacionales.
La documentacin del sistema seleccionado confirma que las decisiones administrativas con respecto a actividades, sistemas de
aplicacin o tecnologas particulares han sido aprobadas por la Presidencia.
8 Llevando a cabo:
Mediciones ("Benchmarking") del marco referencial de control de la informacin y del programa de conocimiento y concien-
cia de la administracin contra organizaciones similares o estndares internacionales/buenas prcticas de la industria
reconocidas adecuadas.
Una revisin detallada de una muestra de proyectos aprobados de seguridad y control interno para determinar que los proyec-
tos fueron aprobados y tomaron como base un anlisis de riesgos y costo/beneficio.

8 Identificando:
Un marco referencial de control dbil que ponga en duda el compromiso de la administracin en cuanto al fomento de un am-
biente de control interno positivo a travs de la organizacin.
Fallas en la administracin para comunicar efectivamente sus polticas relacionadas con el ambiente de control interno de la
organizacin.
Falta de recursos asignados para formular, desarrollar, documentar, promulgar y controlar polticas que cubran el ambiente de
control interno.
Estndares, directivas, polticas y procedimientos no actuales.
Incumplimiento por parte de la administracin para asegurar el respeto a los estndares, directivas, polticas y procedimientos a
travs de la organizacin.
Deficiencias en la funcin de servicios de informacin en su compromiso con la calidad o en su habilidad para definir, docu-
mentar, mantener y comunicar efectivamente una filosofa, polticas y objetivos de calidad.
Debilidades en el marco referencial de seguridad y control interno de la organizacin y/o en la funcin de servicios de informa-
cin.
Ausencia de polticas para asuntos especficos requeridas para dirigir actividades, aplicaciones y tecnologas particulares.
C COBI OBIT T
PO7
P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


administracin de recursos humanos


maximizar las contribuciones del personal a los procesos de TI


tcnicas slidas para administracin de personal


reclutamiento y promocin
requerimientos de calificaciones
capacitacin
desarrollo de conciencia
entrenamiento cruzado
procedimientos de acreditacin
evaluacin objetiva y medible del desempeo

PO 7 ADMINISTRACIN DE RECURSOS HUMANOS
8 Entrevistas:
Funcionario de Recursos Humanos de la Organizacin y personal seleccionado
Personal seleccionado de seguridad
Administrador de la funcin de servicios de informacin
Funcionario de Recursos Humanos de la funcin de servicios de informacin
Administradores seleccionados de la funcin de servicios de informacin
Personal seleccionado de la funcin de servicios de informacin
Personal seleccionado asociado con posiciones sensibles en la funcin de servicios de informacin

8 Obteniendo:
Polticas y procedimientos relacionadas con la administracin de recursos humanos
Descripciones de puestos, formas de evaluacin del desempeo y formas de desarrollo y entrenamiento
Expedientes de personal de posiciones y personal seleccionado
1 Reclutamiento y Promocin de Personal
2 Personal Calificado
3 Entrenamiento de Personal
4 Entrenamiento Cruzado o Personal de Respaldo
5 Procedimientos de Acreditacin de Personal
6 Evaluacin de Desempeo de los Empleados
7 Cambio de Puesto y Despido
8 Considerando s:
Se utilizan criterios para reclutar y seleccionar personal para cubrir posiciones vacantes.
Las especificaciones de las habilidades y conocimientos requeridos para las posiciones staff toman en conside-
racin requerimientos relevantes de profesionales cuando sea apropiado.
La administracin y los empleados aceptan el proceso de competencia del puesto.
Los programas de entrenamiento son consistentes con los requerimientos mnimos documentados de la organi-
zacin relacionados con la educacin, el conocimiento y la conciencia generales que cubren los asuntos
de seguridad de la informacin.
La administracin est comprometida con el entrenamiento y el desarrollo profesional de sus empleados.
C COBI OBIT T
Las brechas tcnicas y administrativas estn identificadas y si se estn llevando a cabo las acciones apropiadas
para manejar estas brechas.
Se dan los procesos de entrenamiento cruzado y respaldo de personal regularmente para las funciones de posi-
ciones crticas.
Considerando si, contina
Se da reforzamiento la poltica de vacaciones ininterrumpidas.
Si el proceso de liquidacin de seguridad de la organizacin es adecuado.
Los empleados son evaluados tomando como base un conjunto estndar de perfiles de competencia para la posi-
cin y si se llevan a cabo evaluaciones en forma peridica.
Los procesos de despido y cambio de puesto aseguran la proteccin de los recursos de la organizacin.
Las polticas y procedimientos de recursos humanos concuerdan con leyes y regulaciones aplicables.
8 Probando que:

Las acciones de reclutamiento y/o seleccin, as como los criterios de seleccin reflejan objetividad y relevancia con
respecto a los requerimientos de la posicin.
El personal cuenta con los conocimientos adecuados de las operaciones para la funcin de su posicin o reas de res-
ponsabilidad.
Existen descripciones de puestos, y que stas sean revisadas y se mantienen actualizadas.
Los expedientes del personal contienen un reconocimiento del personal en cuanto a la comprensin del programa
general de educacin, conciencia y conocimiento de la organizacin.
Se de el proceso de entrenamiento y educacin continua para el personal apropiado asignado a funciones crticas.
El personal de seguridad de la informacin ha recibido el entrenamiento apropiado en procedimientos y tcnicas de
seguridad.
La administracin y el personal de la funcin de servicios de informacin tienen conocimiento, conciencia y com-
prenden las polticas y procedimientos organizacionales.
Los procedimientos de investigacin de despidos de seguridad son consistentes con leyes aplicables que rigen la con-
fidencialidad.
El conocimiento de los objetivos del negocio por parte del personal asignado a las funciones crticas de servi-
cios de informacin incluye la filosofa de los controles internos y los conceptos de control y seguridad de
sistemas de informacin.
Evaluar el riesgo de los objetivos de control no alcanzados:
8 Llevando a cabo:
Mediciones ("Benchmarking") de las actividades de recursos humanos contra organizaciones similares o estnda-
res internacionales/buenas prcticas reconocidas en la industria adecuados.
Una revisin detallada de las actividades de la administracin de recursos humanos de la funcin de servicios de
informacin.
8 Identificando:
Causas y objeciones/quejas por parte de candidatos al puesto potenciales/reales.
Discrepancias en las actividades de reclutamiento, transferencia, promocin y despido relacionadas con:
polticas y procedimientos no seguidos
acciones no aprobadas por parte de la administracin apropiada.
acciones no basadas en especificaciones de puestos y calificacin del personal.

Personal:
calificado no apropiadamente
cuyas oportunidades de entrenamiento y desarrollo no estn ligadas a las brechas de competencia.
cuyas evaluaciones de desempeo no existen o no dan soporte a la posicin ocupada y/o funciones llevadas a
cabo.
cuya investigacin de seguridad asociada con la contratacin no fue llevada a cabo.
cuyas investigaciones peridicas de seguridad no han sido llevadas a cabo.
Insuficiencias en los programas de entrenamiento y en las actividades
de desarrollo personal.
Insuficiencias en el entrenamiento cruzado y respaldo de personal clave.
Reconocimientos de polticas de seguridad que no hayan sido firmados.
Presupuestos y tiempos inadecuados asignados al entrenamiento y desarrollo del personal.
Reportes de asistencia del personal que lleva a cabo funciones crticas que no indiquen que se han tomado das de asue-
to y vacaciones.
C COBI OBIT T
PO8
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

c
o
n
f
i
a
b
i
l
i
d
a
d


aseguramiento del cumplimiento de requerimientos externos


cumplir con obligaciones legales, regulatorias y contractuales


la identificacin y anlisis de los requerimientos exter-
nos en cuanto a su impacto en TI, y llevando a cabo
las medidas apropiadas para cumplir con ellos


leyes, regulaciones, contratos
monitoreo de evoluciones legales y regula-
torios
revisiones regulares en cuanto a cambios
bsqueda de asistencia legal y modifica-
ciones
seguridad y ergonoma
privacidad
propiedad intelectual
flujo de datos
PO 8 ASEGURAMIENTO DEL CUMPLIMIENTO DE REQUERIMIENTOS EXTERNOS
Comprender a travs de:
8 Entrevistas:
Consejo legal de la organizacin
Funcionario de Recursos Humanos de la Organizacin

8 Obteniendo:
Requerimientos relevantes gubernamentales o externos (por ejemplo, leyes, legislaciones, guas, regulaciones y estnda-
res) con respecto a relaciones y revisiones de requerimientos externos, aspectos de seguridad y salud
(incluyendo ergonoma), aspectos de confidencialidad, requerimientos de seguridad de sistemas de informacin
y transmisin de datos criptogrficos - tanto nacional como internacional.
'Estndares/declaraciones contables nacionales o internacionales relacionadas con el uso de comercio electrnico
Reglamentos sobre impuestos relacionados con el uso de comercio electrnico
Estndares, polticas y procedimientos sobre:
revisiones de requerimientos externos
seguridad y salud (incluyendo ergonoma)
confidencialidad
seguridad
clasificacin de sensibilidad de datos ingresados, procesados, almacenados, extrados y transmitidos
comercio electrnico
seguros
Copias de todos los contratos con socios de intercambio electrnico y con el proveedor de intercambio electrnico de
datos (EDI), si aplica
Copias de todos los contratos de seguros relacionados con la funcin de servicios de informacin
Orientacin del consejo legal sobre los requerimientos "uberrimae fidei" (de buena fe) para los contratos de se-
guros (Uberrimae fidei requiere que ambas partes divulguen completamente a la otra todo lo relacionado
con el riesgo. En caso de no mostrarse buena fe en este sentido, el contrato ser anulable por la parte
agraviada y no podr se puesto en vigor nuevamente por la parte culpable).
Reportes de auditora de auditores externos, proveedores de servicios como terceras partes y dependencias gubernamen-
tales.
1 Revisin de Requerimientos Externos
2 Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos
3 Cumplimiento de los Estndares de Seguridad y Ergonoma
4 Confidencialidad y Flujo de Datos
5 Comercio Electrnico
6 Cumplimiento con los Contratos de Seguros
C COBI OBIT T
8 Considerando s:
Existen polticas y procedimientos para:
asegurar las acciones correctivas apropiadas relacionadas con la revisin oportuna de los requerimientos ex-
ternos y si existen procedimientos para asegurar un cumplimiento continuo.
coordinar la revisin de los requerimientos externos, con el fin de asegurar que se aplican oportunamente las
acciones correctivas que garantizan el cumplimiento de los requerimientos externos.
dirigir proteccin apropiada, as como objetivos de seguridad y salud.
asegurar que se proporcionan entrenamiento y educacin en seguridad y salud apropiadamente a todos los
empleados.
monitorear el cumplimiento de las leyes y regulaciones aplicables de seguridad y salud.
proporcionar la direccin/enfoque adecuados sobre confidencialidad de tal manera que todos los requeri-
mientos legales caigan dentro de este alcance.
informar a los aseguradores acerca de todos los cambios materiales realizados al ambiente de la funcin de
asegurar el cumplimiento con los requerimientos de los contratos de seguros
asegurar que se lleven a cabo las actualizaciones necesarias cuando de inicia un contrato de seguros nuevo/
modificado.

Los procedimientos de seguridad van de acuerdo con todos los requerimientos legales y si stos estn siendo tomados
en cuenta adecuadamente, incluyendo:
proteccin con "passwords" o contraseas y software para limitar el acceso
procedimientos de autorizacin
medidas de seguridad de terminales
medidas de encriptamiento de datos
controles contra incendios
proteccin contra virus
seguimiento oportuno de reportes de violaciones
8 Probando que:
Las revisiones de los requerimientos externos:
son actuales, completos y suficientes en cuanto a aspectos legales, gubernamentales y regulatorios
traen como resultado una pronta accin correctiva
Las revisiones de seguridad y salud son llevadas a cabo dentro de la funcin de servicios de informacin para
asegurar el cumplimiento de los requerimientos externos
Las reas problemticas que no cumplan con los estndares de seguridad y salud sean rectificadas
El cumplimiento de la funcin de servicios de informacin en cuanto las polticas y procedimientos de confidenciali-
dad y seguridad.
Los datos transmitidos a travs de las fronteras internacionales no violan las leyes de exportacin
Los contratos existentes con los proveedores de comercio electrnico consideren adecuadamente los requerimientos
especificados en las polticas y procedimientos organizacionales
Los contratos de seguros existentes consideren adecuadamente los requerimientos especificados en las polticas y pro-
cedimientos organizacionales
En donde se hayan impuesto lmites regulatorios a los tipos de encriptamiento que pueden ser utilizados (por ejemplo,
la longitud de la llave), la encriptamiento aplicada cumpla con las regulaciones
En donde las regulaciones o procedimientos internos requieran la proteccin y/o encriptamiento especial de ciertos
elementos de datos (por ejemplo, nmeros PIN bancarios, Nmeros de expedientes de Impuestos, de Inteligen-
cia Militar), dicha proteccin/encriptamiento sea proporcionada a estos datos.
Los procesos EDI reales desplegados por la organizacin aseguran el cumplimiento con las polticas y procedimientos
organizacionales y con los contratos individuales del socio de comercio electrnico (y del proveedor EDI, en
caso de aplicar)
8 Llevando a cabo:
Mediciones ("Benchmarking") del cumplimiento de los requerimientos externos, actividades EDI y requerimientos de
contratos de seguros contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en
la industria apropiados
Una revisin detallada de los archivos de requerimientos externos para asegurar que se han llevado a cabo acciones
correctivas, o bien, que estn siendo implementadas
Una revisin detallada de los reportes de seguridad para evaluar si la informacin sensible/confidencial (definida como
tal por procedimientos internos o por regulaciones externas) est siendo protegida apropiadamente en cuanto a
seguridad y confidencialidad

8 Identificando:
Requerimientos externos que no hayan sido cumplidos por la organizacin
Acciones significativas no resueltas/no corregidas en respuesta a las revisiones de requerimientos externos
Riesgos de seguridad y salud (incluyendo ergonoma) en el ambiente de trabajo que no hayan sido considerados
Debilidades en la confidencialidad y la seguridad relacionadas con flujos de datos y/o flujo de datos internacional
Interrupciones en el comercio electrnico
Debilidades en los contratos con socios comerciales relacionadas con procesos de comunicacin, mensajes de transac-
cin, seguridad y/o almacenamiento de datos
Debilidades en las relaciones de confianza con socios comerciales
Debilidades/equivocaciones en la cobertura del seguro
Incumplimientos de los trminos del contrato
C COBI OBIT T
PO9
S S P P P S S
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
P P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


evaluacin de riesgos


asegurar el logro de los objetivos de TI y responder a las amenazas
hacia la provisin de servicios de TI


la participacin de la propia organizacin en la identifica-
cin de riesgos de TI y en el anlisis de impacto, tomando
medidas econmicas para mitigar los riesgos


diferentes tipos de riesgos de TI (por ejemplo:
tecnolgicos, de seguridad, de continuidad, re-
gulatorios, etc.)
alcance: global o de sistemas especficos
actualizacin de evaluacin de riegos
metodologa de evaluacin de riesgos
medicin de riesgos cualitativos y/o cuantitati-
vos
plan de accin de riesgos
PO 9 EVALUACIN DE RIESGOS
8 Entrevistas:
Personal seleccionado de la funcin de servicios de informacin
Personal seleccionado de manejo de riesgos

8 Obteniendo:
Polticas y procedimientos relacionados con la evaluacin de riesgos
Documentos de evaluacin de riesgos del negocio
Documentos de evaluacin de riesgos operativos
Documentos de evaluacin de riesgos de la funcin de servicios de informacin
Detalles de la base sobre la cual se miden los riesgos y la exposicin a los riesgos
Expedientes de personal para personal seleccionado de evaluacin de riesgos
Polticas de seguros que cubren el riesgo residual
1 Evaluacin del Riesgo del Negocio
2 Enfoque de Evaluacin de Riesgos
3 Identificacin de Riesgos
4 Medicin de Riesgos
5 Plan de Accin contra Riesgos
6 Aceptacin de Riesgos
8 Considerando s:
Existe un marco referencial para la evaluacin sistemtica de riesgos, incorporando los riesgos de informacin
relevantes para el logro de los objetivos de la organizacin y formando una base para determinar la forma en
la que los riesgos deben ser manejados a un nivel aceptable.
El enfoque de evaluacin de riesgos asegura la evaluacin actualizada regular de riesgos tanto a nivel global como
a nivel especfico de sistemas.
Existen procedimientos de evaluacin de riesgos para determinar que los riesgos identificados incluyen factores
tanto externos como internos y toman en consideracin los resultados de las auditoras, inspecciones, e inci-
dentes identificados.
Los objetivos de toda la organizacin estn incluidos en el proceso de identificacin de riesgos.
C COBI OBIT T
Los procedimientos para el monitoreo de cambios en la actividad de procesamiento de sistemas determinan que
los riesgos y exposicin de los sistemas son ajustados oportunamente.
Existen procedimientos para el monitoreo y el mejoramiento continuos de la evaluacin de riesgos y controles de
mitigacin.
La documentacin de evaluacin de riesgos incluye:
una descripcin de la metodologa de evaluacin de riesgos
la identificacin de exposiciones significativas y los riesgos correspondientes
los riesgos y exposiciones correspondientes considerados
Se incluyen tcnicas de probabilidad, frecuencia y anlisis de amenazas en la identificacin de riesgos.
El personal asignado a evaluacin de riesgos est adecuadamente calificado
Existe un enfoque cuantitativo y/o cualitativo (o combinado) formal para la identificacin y medicin de riesgos,
amenazas y exposiciones.
Se utilizan clculos y otros mtodos en la medicin de riesgos, amenazas y exposiciones
El plan de accin contra riesgos es utilizado en la implementacin de medidas apropiadas para mitigar los riesgos,
amenazas y exposiciones.
La aceptacin del riesgo residual toma en cuenta:
la poltica organizacional
la identificacin y medicin de riesgos
la incertidumbre inherente al enfoque de evaluacin de riesgos mismo
el costo y la efectividad de implementar salvaguardas y controles
La cobertura de los seguros compensan el riesgo residual
8 Probando que:
Se cumple con el marco referencial de evaluacin de riesgos en cuanto a que las evaluaciones de riesgos con actualiza-
das regularmente para reducir el riesgo a un nivel aceptable.
La documentacin de evaluacin de riesgos cumple con el marco referencial de evaluacin de riesgos y es mantenido y
preparado apropiadamente.
La administracin y el personal de la funcin de servicios de informacin tienen conocimiento y conciencia y estn
involucrados en el proceso de evaluacin de riesgos
La administracin comprende los factores relacionados con los riesgos y la probabilidad de amenazas
El personal relevante comprende y acepta formalmente el riesgo residual
Los reportes emitidos a la Presidencia para su revisin y acuerdo con los riesgos identificados y utilizacin en el moni-
toreo de actividades de reduccin de riesgos sean oportunos
El enfoque utilizado para analizar los riesgos traiga como resultado una medicin cuantitativa o cualitativa (o combina-
da) de la exposicin al riesgo
Los riesgos, amenazas y exposiciones identificados por la administracin y atributos relacionados con los riesgos sean
utilizados para detectar cada ocurrencia de una amenaza especfica.
El plan de accin contra riesgos es actual e incluye controles econmicos y medidas de seguridad para mitigar la expo-
sicin al riesgo
Existen prioridades desde la ms alta hasta la ms baja, y que existe una respuesta apropiada para cada riesgo:
control planeado preventivo de mitigacin.
control secundario detectivo
control terciario correctivo
Los escenarios de riesgo versus control estn documentados, son actuales y son comunicados al personal apropiado
Existe suficiente cobertura de seguros con respecto al riesgo residual aceptado y que ste es considerado contra varios
escenarios de amenaza, incluyendo:
incendio, inundaciones, terremotos, tornados, terrorismo y otros desastres naturales no predecibles
violaciones a las responsabilidades fiduciarias del empleado
interrupcin del negocio, ganancias perdidas, clientes perdidos, etc.
otros riesgos no cubiertos generalmente por la tecnologa de informacin y planes de riesgo/continuidad del
negocio
8 Llevando a cabo:
Mediciones ("Benchmarking") del marco referencial de evaluacin de riesgos contra organizaciones similares o estn-
dares internacionales/buenas prcticas reconocidas en la industria apropiados
Una revisin detallada del enfoque de evaluacin de riesgos utilizado para identificar, medir y mitigar los riesgos a un
nivel aceptable de riesgo residual

8 Identificando:
Riesgos no identificados
Riesgos que no hayan sido medidos
Riesgos no considerados/manejados a un nivel aceptable
Evaluaciones de riesgos obsoletos y/o evaluaciones de informacin en riesgo obsoleta
Medidas incorrectas cuantitativas y/o cualitativas de riesgos, amenazas y exposiciones
Planes de accin contra riesgos que no aseguren controles econmicos y medidas de seguridad
Falta de aceptacin formal del riesgo residual
Cobertura de seguros inadecuada
C COBI OBIT T
PO10
P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


administracin de proyectos


establecer prioridades y entregar servicios oportunamente y de acuer-
do al presupuesto de inversin


identificacin y priorizacin de los proyectos en lnea con el
plan operacional por parte de la misma organizacin. Ade-
ms, la organizacin deber adoptar y aplicar slidas tcni-
cas de administracin de proyectos para cada proyecto em-
prendido


la propiedad de los proyectos
el involucramiento de los usuarios
la estructuracin jerrquica de tareas y los pun-
tos de revisin
asignacin de responsabilidades
aprobacin de fases y proyecto
presupuestos de costos y horas hombre
planes y metodologa de aseguramiento de cali-
dad
PO 10 ADMINISTRACIN DE PROYECTOS
8 Entrevistas:
Administrados de Calidad de la Organizacin
Administrador/Coordinador de Calidad de Proyectos
Propietarios/patrocinadores del Proyecto
Lder del equipo del Proyecto
Coordinador de Aseguramiento de Calidad
Administracin de la funcin de servicios de informacin

8 Obteniendo:
Polticas y procedimientos relacionados con el marco referencial de administracin de proyectos
Polticas y procedimientos relacionados con la metodologa de administracin de proyectos
Polticas y procedimientos relacionados con los planes de aseguramiento de la calidad
Polticas y procedimientos relacionados con los mtodos de aseguramiento de la calidad
Plan Maestro del Proyecto de Software (Software Project Master Plan (SPMP))
Plan de Aseguramiento de la Calidad del Software (Software Quality Assurance Plan (SQAP))
Reportes de estatus del proyecto
Reportes de estatus y minutas de las reuniones del comit de planeacin
Reportes de Calidad del Proyecto
1 Marco Referencial para la Administracin de Proyectos
2 Participacin del Departamento Usuario en la Iniciacin de Proyectos
3 Miembros y Responsabilidades del Equipo del Proyecto
4 Definicin del Proyecto
5 Aprobacin del Proyecto
6 Aprobacin de las Fases del Proyecto
7 Plan Maestro del Proyecto
8 Plan de Aseguramiento de la Calidad de Sistemas
9 Planeacin de Mtodos de Aseguramiento
10 Manejo Formal de Riesgos de Proyectos
11 Plan de Prueba
12 Plan de Entrenamiento
13 Plan de Revisin Post-Implementacin
8 Considerando s:
El marco referencial de administracin de proyectos:
define el alcance y los lmites para la administracin de proyectos
asegura que las demandas del proyecto sean revisadas en cuanto a su consistencia con el plan operativo
aprobado y si los proyectos son priorizados de acuerdo con este plan
define la metodologa de administracin de proyectos a ser adoptada y aplicada en cada proyecto emprendi-
do, incluyendo:
planeacin del proyecto
asignacin de personal
asignacin de responsabilidades y autoridad
distribucin de tareas
presupuestos de tiempo y recursos
puntos de revisin
puntos de verificacin
aprobaciones
suficiencia y actualizacin
asegura la participacin de la administracin del departamento usuario afectado (propietario/patrocinador) en
la definicin y autorizacin de un proyecto de desarrollo, implementacin o modificacin
especifica la base sobre la cual los miembros del personal son asignados a los proyectos
define las responsabilidades y la autoridad de los miembros del equipo del proyecto
asegura la creacin de estatutos claros por escrito que definan la naturaleza y alcance del proyecto antes de
comenzar a trabajar sobre el mismo
proporciona un documento inicial de definicin del proyecto que incluya estatutos claros sobre la naturaleza
y alcance del proyecto
incluye las siguientes razones para llevar a cabo el proyecto, entre ellas:
una definicin del problema a ser resuelto o del proceso a ser mejorado
una definicin de la necesidad del proyecto expresada en trminos de incrementar la habilidad de la or-
ganizacin para alcanzar metas
un anlisis de las deficiencias en sistemas relevantes existentes
las oportunidades que se abriran al incrementar la eficiencia y hacer ms econmica la operacin
el control interno y la necesidad de seguridad que seria satisfecha por los proyectos
considera la manera en la que los estudios de factibilidad de los proyectos propuestos deben ser preparados y
aprobados por la Presidencia, incluyendo:
el ambiente del proyecto - hardware, software, telecomunicaciones
el alcance del proyecto - lo que este incluir y excluir en la primera implementacin y en las subse-
cuentes
las limitaciones del proyecto - lo que debe retenerse durante este proyecto, an cuando las oportunida-
des de mejora a corto plazo parezcan obvias
los beneficios y costos a ser realizados por el patrocinador o propietario/patrocinador del proyecto
delinea la manera en la que cada fase del proceso de desarrollo (por ejemplo, preparacin de estudios de fac-
tibilidad, definicin de requerimientos, diseo del sistema, etc.) debe ser aprobada antes de proceder a la si-
C COBI OBIT T
guiente fase del proyecto (por ejemplo, programacin, pruebas del sistema, pruebas de transacciones, pruebas en
paralelo, etc.)
requiere el desarrollo de un SPMP para cada proyecto y especifica la manera en la que el control deber ser mante-
nido a travs de la vida del proyecto, as como perodos (puntos de revisin) y presupuestos del mismo
cumple con el estndar organizacional para SPMPs o, en caso de no existir ste, con algn otro estndar apropiado
requiere el desarrollo de un SQAP para cada proyecto, asegura que ste se encuentre integrado con el SPMP y que
sea revisado y acordado formalmente por todas las partes involucradas
delinea la manera en la que el programa de manejo formal de riesgos del proyecto elimina o minimiza los riesgos
relacionados con el mismo
asegura el desarrollo de un plan de pruebas para cada proyecto de desarrollo, implementacin y modificacin
asegura el desarrollo de un plan adecuado para el entrenamiento de personal propietario/patrocinador y de las fun-
ciones de servicios de informacin para cada proyecto de desarrollo, implementacin y modificacin
Se monitores y reportan a la Presidencia los puntos de revisin y compra de software, compra de hardware, pro-
gramacin por contrato, actualizaciones de redes, etc.)
Los puntos de revisin y costos que excedan los montos y tiempos presupuestados requieren la aprobacin de la administra-
cin apropiada de la organizacin
SQAP cumple con el estndar organizacional para SQAPs, o en caso de no existir ste, con los criterios seleccionados ante-
riormente
Las tareas de aseguramiento SQAP soportan la acreditacin de sistemas nuevos o modificados y aseguran que los estatutos
de control interno y seguridad cumplen con los requerimientos
Todos los propietarios/patrocinadores del proyecto han comentado sobre el SPMP y el SQAP y estn de acuerdo sobre los
elementos entregables y liberables finales.
El proceso de post-implementacin es una parte integral del marco referencial de la administracin del proyecto para asegu-
rar que los sistemas de informacin nuevos o modificados han aportado los beneficios planeados
8 Probando que:
La metodologa de administracin de proyectos y todos los requerimientos fueron seguidos con consistencia
La metodologa de administracin de proyectos fue comunicada a todo el personal apropiado involucrado en el proyec-
to
La definicin escrita de la naturaleza y alcance del proyecto concuerda con un patrn estndar
La naturaleza y alcance del involucramiento del propietario/patrocinador en la definicin y autorizacin del proyecto,
as como la conformidad con el involucramiento esperado del propietario/patrocinador segn lo estipulado por el
marco referencial de administracin de proyectos
La asignacin de los miembros del personal al proyecto y la definicin de responsabilidades y autoridad de los miembros del
equipo del proyecto sean respetadas
Existe evidencia de una definicin por escrito clara de la naturaleza y alcance del proyecto antes de comenzar a trabajar sobre
el mismo
Se ha aprobado y preparado un estudio de factibilidad
Se obtienen las aprobaciones por parte de la administracin de la funcin de sistemas de informacin y de los propietarios /
patrocinadores para cada fase del proyecto de desarrollo
Cada fase del proyecto es completada y que se obtienen las aprobaciones apropiadas segn los requerimientos del SPMP
Se han desarrollado y aprobado el SPMP y el SQAP de acuerdo con el marco referencial de la administracin de proyectos
C COBI OBIT T
El SPMP y el SQAP son suficientemente especficos y detallados
Las actividades/reportes obligatorios identificados han sido realmente ejecutados/producidos (por ejemplo, que se han lleva-
do a cabo reuniones del Comit Ejecutivo de Planeacin, reuniones para el proyecto o similares, que se han registrado
minutas de las reuniones y que stas han sido distribuidas a las partes relevantes, que se preparan y distribuyen reportes
a las partes relevantes)
Se ha desarrollado y aprobado un plan de pruebas de acuerdo con el marco referencial de administracin de proyec-
tos y que ste es suficientemente especfico y detallado
Las actividades/reportes obligatorios identificados en le plan de pruebas han sido realmente ejecutados/producidos
Existen criterios de acreditacin utilizados para el proyecto y que stos:
se derivan de metas e indicadores de desempeo
se derivan de requerimientos cuantitativos acordados
aseguran que los requerimientos de control interno y seguridad son satisfechos
estn relacionados con el "Qu" esencial versus el "cmo" arbitrario
definen un proceso formal de aprobacin/no aprobacin
son capaces de una demostracin objetiva dentro de un perodo de tiempo limitado
no redefinen simplemente los requerimientos de los documentos de diseo
Le programa de manejo de riesgos ha sido utilizado para identificar y eliminar o por lo menos minimizar los riesgos relacio-
nados con el proyecto
Se ha cumplido con el plan de pruebas, que los propietarios/patrocinadores, as como las funciones de programacin y asegu-
ramiento de la calidad, han creado revisiones de las pruebas, y que se ha cumplido con un proceso de aprobacin segn
lo esperado
Se ha preparado un plan para el entrenamiento del personal de las funciones de servicios de informacin y para los propieta-
rios/patrocinadores, que ste ha dado el tiempo suficiente para completar las actividades de entrenamiento requeridas, y
que ha sido utilizado para el proyecto
Se ha cumplido y seguido un plan de revisin post-implementacin para el proyecto
8 Llevando a cabo:
Mediciones ("Benchmarking ") del marco referencial de administracin de proyectos contra organizaciones similares o estn-
dares internacionales/buenas prcticas reconocidas en la industria apropiadas
Una revisin detallada de:
el plan maestro del proyecto para determinar el alcance de la participacin del propietario/patrocinador y la ade-
cuacin del proceso general para definir, autorizar y ejecutar el proyecto, incluyendo:
definicin de las funciones del sistema
factibilidad, dadas la limitaciones del proyecto
determinacin de los costos y beneficios del sistema
propiedad de los controles del sistema
impacto e integracin en otros sistemas propietarios/patrocinadores
compromiso de recursos (de personal y econmicos) por parte del propietario/patrocinador
definicin de responsabilidades y autoridad de los participantes en el proyecto
criterios de aceptacin deseables y alcanzables
puntos de revisin y verificacin en la autorizacin de las diferentes fases del proyecto
elaboracin de grficas de Gantt, bitcoras de problemas, resmenes de reuniones, etc. en la administracin del
proyecto
reportes de calidad para determinar si existen problemas sistemticos en el proceso de planeacin de aseguramien-
to de la calidad de sistemas en la organizacin
el programa de manejo formal de riesgos del proyecto para determinar si se han identificado y eliminado, o por lo
menos minimizado los riesgos.
la ejecucin del plan de pruebas para determinar que ste prob completamente todo el proyecto de desarrollo,
implementacin o modificacin del sistema
la ejecucin del plan de entrenamiento para determinar que ste ha preparado adecuadamente a propietarios/
patrocinadores y al personal de la funcin de servicios de informacin en el uso del sistema
la revisin post-implementacin para determinar si los beneficios otorgados corresponden a los planeados

8 Identificando:
Proyectos que:
sean administrados inadecuadamente
hayan excedido fechas claves
hayan excedido costos
sean obsoletos
no hayan sido autorizados
no sean tcnicamente factibles
no sean econmicos
no otorguen los beneficios planeados
no contengan puntos de verificacin
no sean aprobados en puntos de verificacin claves
no hayan sido acreditados para implementacin
no satisfagan los requerimientos de control interno y seguridad
no eliminen o mitiguen los riesgos
no hayan sido probados completamente
necesitaran un entrenamiento no llevado a cabo o inadecuado para el sistema en proceso de implementacin
no hayan contado con una revisin post-implementacin
C COBI OBIT T
PO11
S P P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Administracin de calidad


satisfacer los requerimientos del cliente


la planeacin, implementacin y mantenimiento de estnda-
res y sistemas de administracin de calidad por parte de la
organizacin


estructura del plan de calidad
responsabilidades de aseguramiento de la cali-
dad
metodologa del ciclo de vida de desarrollo de
sistemas
pruebas y documentacin de sistemas y progra-
mas
revisiones y reporte de aseguramiento de cali-
dad
PO 11 ADMINISTRACIN DE CALIDAD
8 Entrevistas:
Director General
Director de TI
Administrador de la Calidad de la Organizacin
Administrador de la Calidad de la Funcin de Servicios de Informacin
Propietarios/patrocinadores del sistema

8 Obteniendo:
Polticas y procedimientos relacionados con el aseguramiento de la calidad, el ciclo de vida del desarrollo de siste-
mas y la documentacin de sistemas
Funciones y responsabilidades de planeacin de la Presidencia
1 Plan General de Calidad
2 Enfoque de Aseguramiento de Calidad
3 Planeacin del Aseguramiento de Calidad
4 Revisin del Aseguramiento de Calidad sobre el Cumplimiento de Estndares y Procedimientos de la Funcin de
Servicios de Informacin
5 Metodologa del Ciclo de Vida de Desarrollo de Sistemas
6 Metodologa del Ciclo de Vida de Desarrollo de Sistemas par Cambios Mayores a la Tecnologa Actual
7 Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas
8 Coordinacin y Comunicacin
9 Marco Referencial de Adquisicin y Mantenimiento para la Infraestructura de Tecnologa
10 Relaciones con Terceras Partes como Implementadores
11 Estndares para la Documentacin de Programas
12 Estndares para Pruebas de Programas
13 Estndares para Pruebas de Sistemas
14 Pruebas Piloto/En Paralelo
15 Documentacin de las Pruebas del Sistema
16 Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares de Desarrollo
17 Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Funcin de Servicios de Informacin
18 Reportes de Revisiones de Aseguramiento de la Calidad
19 Reportes de Revisin de Aseguramiento de Calidad
C COBI OBIT T
Plan estratgico, poltica de calidad, manual de calidad y plan de calidad de la organizacin del Plan estratgico, poltica
de calidad, manual de calidad, plan de calidad y plan de administracin de la configuracin de la funcin de
servicios de informacin
Grficas de todas las funciones de aseguramiento de la calidad
Minutas de las reuniones individuales de planeacin de la calidad
Minutas de las reuniones convocadas para la revisin de la metodologa del ciclo de vida del desarrollo de sistemas
Copias de las revisiones a la metodologa del ciclo de vida del desarrollo de sistemas
Reportes de estatus y minutas de las reuniones del comit de planeacin
8 Considerando s:
El plan de calidad:
toma como base los planes a corto y largo plazo de la organizacin
fomenta la filosofa de mejora continua y responde a las preguntas bsicas qu, quin y cmo
es completo y actual
El plan de calidad de la funcin de servicios de informacin:
toma como base el plan general de calidad de la organizacin y los planes a corto y largo plazo de tecnologa de
informacin
fomenta la filosofa de mejora continua y responde a las preguntas bsicas qu, quin y cmo
es completo y actual
Si el enfoque estndar de calidad existe, y si ste:
es aplicable tanto a las actividades generales como a las especficas del proyecto
es escalable y, de esta manera, aplicable a todos los proyectos
es comprendido por todo el personal involucrado en un proyecto y en actividades de aseguramiento de la calidad
fue aplicable a travs de todas las fases de un proyecto
El enfoque estndar de aseguramiento de la calidad prescribe los tipos de actividades de aseguramiento de la calidad (y espe-
cifica revisiones, auditoras, inspecciones, etc.) a ser llevados a cabo para alcanzar los objetivos del plan general de cali-
dad
La planeacin de aseguramiento de la calidad prescribe el alcance y calendarizacin de las actividades de aseguramiento de la
calidad
Las revisiones de aseguramiento de la calidad evalan el cumplimiento general de los estndares, polticas y procedimientos
de la funcin de servicios de informacin
La Presidencia ha definido e implementado estndares, polticas y procedimientos de servicios de informacin, incluyendo
una metodologa formal de ciclo de vida del desarrollo de sistemas adquirida, desarrollada internamente o una combina-
cin de ambas
La metodologa del ciclo de vida del desarrollo de sistemas:
rige el proceso de desarrollar, adquirir, implementar y mantener sistemas de informacin computarizados y tecno-
loga afn
soporta y fomenta los esfuerzos de desarrollo/modificacin que cumplen con los planes a corto y largo plazos de la
funcin de servicios de informacin y de la organizacin
requiere un proceso de desarrollo y modificacin estructurado que contenga puntos de revisin en momentos clave
de decisin, as como la autorizacin para proceder con el proyecto en cada punto de revisin
es completa y actual
es capaz de ser adaptada/escalada para acoplarse a todos los tipos de desarrollo que ocurren dentro de la organiza-
cin
es aplicable a la creacin y mantenimiento tanto de software adquirido como desarrollado internamente
cuenta con provisiones documentadas para cambios tecnolgicos
ha construido un marco referencial general en cuanto a la adquisicin y mantenimiento de la infraestructura tecno-
lgica
cuenta con pasos a seguir (tales como adquisicin, programacin, documentacin y pruebas, establecimiento de
parmetros, y "applying fixes") que deben ser regidos por, y estar en lnea con el marco referencial de adquisicin
y mantenimiento de la infraestructura tecnolgica
fomenta la provisin de criterios para la aceptacin de terceras partes como implementadores, manejo de cambios,
manejo de problemas, funciones participantes, instalaciones, herramientas y estndares y procedimientos de soft-
ware
requiere el mantenimiento de documentacin detallada de programacin y de sistemas (por ejemplo, diagramas de
flujo, diagramas de flujo de datos, narrativas escritas de programacin, etc.), y que dichos requerimientos hayan
sido comunicados a todo el personal involucrado
requiere que la documentacin se mantenga actualizada al ocurrir cambios
requiere la aplicacin de pruebas rigurosas y slidas de programas/sistemas
define las circunstancias bajo las cuales deben conducirse pruebas piloto o en paralelo de sistemas nuevos o modi-
ficados
requiere, como parte de cada proyecto de desarrollo, implementacin o modificacin de sistemas, que las pruebas
sean verificadas, documentadas y retenidas en forma independiente
El enfoque de aseguramiento de la calidad de la organizacin:
requiere que se lleve a cabo una revisin post-implementacin para asegurar que todos los sistemas nuevos o mo-
dificados sean desarrollados y puestos en produccin de acuerdo con la metodologa del ciclo de vida del desarro-
llo de sistemas, mismo que debe ser respetado por el equipo del proyecto
requiere una revisin de la medida en la que los sistemas nuevos o modificados han alcanzado los objetivos esta-
blecidos para ellos por la administracin
trae como resultado reportes, los cuales propician el llevar a cabo el desarrollo de sistemas y las recomendaciones
de efectividad para la administracin (tanto para los usuarios como para la funcin de servicios de informacin)
como corresponda
cuenta con recomendaciones a las que se les da seguimiento peridicamente y que son reportadas a los funciona-
rios de la Presidencia apropiados
La administracin de la funcin de servicios de informacin de la Presidencia revisa y actualiza apropiadamente la metodolo-
ga del ciclo de vida del desarrollo de sistemas con regularidad para asegurar su suficiencia para tecnologa nueva y de
desarrollo/modificacin
Existe una variacin de niveles de control para los distintos tipos de proyectos de desarrollo y mantenimiento (por ejemplo, si
los proyectos grandes reciben mayor control que los pequeos)
El logro de una coordinacin y comunicacin estrecha a travs del ciclo de vida de desarrollo de sistemas entero se da entre
los clientes de la funcin de servicios de informacin y los implementadores del sistema
Existe un compromiso apropiado por parte de las diferentes funciones/personas dentro de la organizacin (por ejemplo, admi-
nistracin de la funcin de servicios de informacin, funcionario de seguridad, personal legal, personal de aseguramien-
to de la calidad, personal de auditora, usuarios, etc.)
Existen medidas para medir los resultados de las actividades, permitiendo una evaluacin sobre si se han logrado las
metas de calidad
C COBI OBIT T
8 Probando que:
Los procedimientos para el desarrollo del Plan de Calidad de la funcin de servicios de informacin incluyen las si-
guientes entradas:
Planes a corto y largo plazo de la organizacin
Planes a corto y largo plazo de la funcin de servicios de informacin
Poltica de Calidad de la organizacin
Poltica de Calidad de la funcin de servicios de informacin
Plan de Calidad de la organizacin
Plan de administracin de la configuracin de la funcin de servicios de informacin
El Plan de Calidad de la funcin de servicios de informacin toma como base los planes a corto y largo plazo de la funcin de
servicios de informacin, los cuales definen:
los esfuerzos y/o adquisiciones de desarrollo de sistemas de aplicacin
interfases con otros sistemas (internos y externos)
la plataforma/infraestructura de la funcin de servicios de informacin requerida para soportar los sistemas e inter-
fases
los recursos (tanto financieros como humanos) para desarrollar/soportar el ambiente de la funcin de servicios de
informacin planeado
el entrenamiento requerido para desarrollar y soportar ambiente de la funcin de servicios de informacin planea-
do
El Plan de Calidad de la funcin de servicios de informacin considera lo siguiente:
en trminos medibles no ambiguos, el nivel planeado del servicio a ser otorgado a los clientes (internos o externos)
en trminos medibles no ambiguos, los "outages" planeados mximos para cada sistema y plataforma
las estadsticas de desempeo requeridas para monitorear los objetivos planeados de desempeo/"outage", inclu-
yendo la manera en la que deben ser reportados y a quin deben ser distribuidos
los procesos de monitoreo/revisin necesarios para asegurar el desarrollo/modificacin/transicin en el ambiente/
infraestructura de la funcin de servicios de informacin identificados en la funcin de servicios de informacin
los planes a corto y largo plazo: estn correctamente planeados, monitoreados, probados, documentados, imple-
mentados y cuentan con el entrenamiento y los recursos necesarios
los intervalos en los que el Plan de Calidad debe ser actualizado
El personal de aseguramiento de la Calidad cumple consistentemente con el enfoque y el plan de aseguramiento de la
calidad y otros procedimientos operativos establecidos
La metodologa del ciclo de vida de desarrollo de sistemas asegura apropiadamente:
controles suficientes durante el proceso de desarrollo para sistemas y tecnologas nuevas
comunicacin con todos los empleados apropiados involucrados en el desarrollo y mantenimiento de sistemas
se utilizan procedimientos para los cambios tecnolgicos
se utilizan procedimientos para asegurar la aceptacin y aprobacin de los usuarios
la adecuacin de los acuerdos de terceras partes como implementadores
Los usuarios comprenden los controles y requerimientos de la metodologa del ciclo de vida del desarrollo de sistemas
Los mecanismos de control de cambios dentro de la metodologa del ciclo de vida del desarrollo de sistemas permiten el lle-
var a cabo cambios a la metodologa y que sta es un documento "vivo"
El registro de las revisiones y modificaciones a la metodologa del ciclo de vida del desarrollo de sistemas de la organizacin
refleja los nuevos sistemas y tecnologas considerados actualmente y esperados en el futuro
Los resultados completos de las pruebas de programas y sistemas (incluyendo resultados de pruebas en paralelo/piloto) son
revisados y retenidos para pruebas futuras
Existe un proceso para resolver problemas encontrados durante la pruebas
Se ha llevado a cabo una revisin post-implementacin por parte del personal de aseguramiento de la calidad
Los representantes del departamento usuario involucrados en los proyectos de desarrollo de sistemas estn satisfechos con el
uso actual de la metodologa
El personal de aseguramiento de la calidad comprende claramente su funcin dentro de la organizacin
Se requiere el llevar a cabo una revisin de aseguramiento de la calidad subsecuente al trmino de todas las pruebas del siste-
ma y de la revisin y aprobacin de los resultados de las pruebas por parte del personal de la administracin de la fun-
cin de servicios de informacin apropiada, de aseguramiento de la calidad y de los usuarios
La revisin de aseguramiento de la calidad trae como resultado acciones correctivas por parte de la administracin
Se llevan a cabo revisiones post-implementacin, que los resultados son comunicados a la Presidencia y que se requieren
planes de accin para las reas de implementacin con necesidad de mejoras.
Los resultados de las mediciones de las metas de calidad, existen y se trabaja con ellos
8 Llevando a cabo:
Mediciones ("Benchmarking") de la metodologa del ciclo de vida del desarrollo de sistemas contra organizaciones
similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Una revisin detallada de las medidas de desempeo incluidas en el Plan de Calidad y asegurar s stas:
son alcanzables
satisfacen los requerimientos/expectativas de la corporacin
satisfacen los requerimientos/expectativas de los usuarios
son medibles
Una revisin detallada de una muestra de proyectos para asegurar que:
se ha cumplido con la metodologa del ciclo de vida del desarrollo de sistemas
toda adaptacin/escalamiento de la metodologa del ciclo de vida del desarrollo de sistemas es apropiada y ha
sido aprobada
se han obtenido aprobaciones en todos los puntos de revisin y por parte de todo el personal clave de control
(por ejemplo, funcionario de seguridad de la funcin de servicios de informacin, personal de aseguramiento
de la calidad, representantes de los usuarios, etc.)
se han dado una coordinacin y comunicacin estrechas entre los usuarios de la funcin de servicios de infor-
macin y los implementadores de sistemas (internos o terceras partes)
se ha seguido el marco referencial para la adquisicin y el mantenimiento para la infraestructura tcnica, jun-
to con cualquier paso relevante involucrado
el desarrollo/las modificaciones fueron terminados satisfactoria y oportunamente
se terminaron los reportes apropiados de aseguramiento de la calidad y se llevaron a cabo las acciones correc-
tivas necesarias de manera oportuna
Una revisin detallada de la manera en la que la documentacin de la programacin y los sistemas es preparada, revi-
sada, aprobada y mantenida
C COBI OBIT T
Una revisin detallada de la manera en la que las pruebas de programas y sistemas (incluyendo pruebas piloto/en para-
lelo) y la documentacin son preparadas, aprobadas y mantenidas
Una revisin detallada del proceso de verificacin de post-implementacin de aseguramiento de la calidad para asegu-
rar que los reportes consideran el cumplimiento de las provisiones del proceso del ciclo de vida del desarrollo de
sistemas, as como los aspectos de efectividad y calidad de los sistemas nuevos/modificados
8 Identificando:
Planes de calidad que no se relacionen con los planes a corto y largo plazo
Instancias en la que no se utilice la metodologa del ciclo de vida del desarrollo de sistemas y aquellas situaciones de
sobreutilizacin de la metodologa (por ejemplo demasiada estructura en proyectos pequeos, y no suficiente en
proyectos mayores)
Las instancias en las que la metodologa del ciclo de vida del desarrollo de sistemas haya sido utilizada inapropiada-
mente (por ejemplo, aplicar la metodologa del ciclo de vida del desarrollo de sistemas para desarrollos internos en
la implementacin de un paquete de software "off-the-shelf", sin modificarla de manera correspondiente)
Instancias en las que la coordinacin y la comunicacin entre el personal involucrado en el proceso del ciclo de vida
del desarrollo de sistemas (incluyendo terceras partes como implementadores) sean pobres o inexistentes
Instancias en las que los distintos pasos a seguir en la adquisicin y mantenimiento de la infraestructura de tecnologa
(por ejemplo, adquisicin, programacin, documentacin y pruebas; establecimiento de parmetros; mantenimien-
to y "applying fixes") no hayan sido seguidas adecuadamente
Situaciones en las que no exista documentacin de los programas y/o sistemas, en donde sta sea inadecuada o no est
actualizada
Instancias en las que las pruebas de programas y/o sistemas (incluyendo pruebas piloto/en paralelo) no hayan sido lle-
vadas a cabo, hayan sido realizadas inadecuadamente y/o no hayan sido documentadas o hayan sido documentadas
inadecuadamente
Situaciones en las que las verificaciones de revisiones/post implementacin de aseguramiento de la calidad no hayan
sido llevadas a cabo o hayan sido realizadas inadecuadamente
Situaciones en las que las verificaciones de revisiones/post implementacin de aseguramiento de la calidad hayan sido
ignoradas por la administracin y en las que se hayan implementado sistemas que no deberan haber sido imple-
mentados
ADQUISICIN & IMPLEMENTACIN
C COBI OBIT T
ADQUISICION E IMPLEMENTACION
AI1
Adquisicin &
Implementacin
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

c
o
n
f
i
a
b
i
l
i
d
a
d


Identificacin de soluciones


asegurar el mejor enfoque para cumplir con los requerimientos del
usuario


un anlisis claro de las oportunidades alternativas com-
paradas contra los requerimientos de los usuarios


definicin de requerimientos de informacin
estudios de factibilidad ( de costo-beneficio,
alternativas, etc)
arquitectura de informacin
seguridad con relacin de costo-beneficio
favorable
pistas de auditora
contratacin de terceros
aceptacin de instalaciones y tecnologa

AI 1 ADMINIIDENTIFICACIN DE SOLUCIONES
8 Entrevistas:
Director de TI
Propietarios/patrocinadores del proyecto
Administracin de contratos

8 Obteniendo:
Polticas y procedimientos relacionados con el ciclo de vida de desarrollo de sistemas y con la adquisicin de software
Objetivos y planes a corto y largo plazo de tecnologa de informacin
Documentacin seleccionada del proyecto, incluyendo definicin de requerimientos, anlisis de alternativas, estudios
de factibilidad tecnolgica, estudios de factibilidad econmica, anlisis de modelos de datos de la empresa /
arquitectura de informacin, anlisis de riesgos, estudios de economa sobre control/seguridad interna, anlisis de
pistas de auditora, estudios ergonmicos, y planes de aceptacin y resultados de pruebas de instalaciones y tecno-
loga especfica
Contratos seleccionados relacionados con la compra, desarrollo o mantenimiento de software
1 Definicin de Requerimientos de Informacin
2 Formulacin de Acciones Alternativas
3 Formulacin de la Estrategia de Adquisicin
4 Paquetes de Software de Aplicacin
5 Estudio de Factibilidad Tecnolgica
6 Estudio de Factibilidad Econmica
7 Arquitectura de Informacin
8 Reporte de Anlisis de Riesgos
9 Controles Econmicos de Seguridad
10 Diseo de Pistas de Auditora
11 Ergonoma
12 Seleccin del Software del Sistema
13 Control de Abastecimiento
14 Adquisicin de Productos de Software
15 Mantenimiento de Software de Terceras Partes
16 Contratos de Programacin de Aplicaciones
17 Aceptacin de Instalaciones
18 Aceptacin de Tecnologa
C COBI OBIT T
8 Considerando s:
Existen polticas y procedimientos que requieren que:
los requerimientos de usuarios satisfechos por el sistema existente o a ser satisfechos por el nuevo sistema propues-
to o modificado sean claramente definidos antes de la aprobacin de cualquier proyecto de desarrollo, implementa-
cin o modificacin
los requerimientos de los usuarios sean revisados y aprobados por escrito por el propietario/patrocinador enterado
antes de la aprobacin de cualquier proyecto de desarrollo, implementacin o modificacin
los requerimientos operativos y funcionales de la solucin sean satisfechos incluyendo desempeo, seguridad, con-
fiabilidad, compatibilidad y legislacin
las soluciones alternativas a los requerimientos de los usuarios sean estudiadas y analizadas antes de seleccionar
una u otra solucin de software
se lleve a cabo la identificacin de paquetes de software comercial que satisfagan los requerimientos del usuario
para un proyecto especfico de desarrollo o modificacin antes de tomar la decisin final
las alternativas para la adquisicin de los productos de software estn claramente definidos en trminos de practici-
dad, internamente desarrollados, a travs del contacto o mejorar el software existente o una combinacin de todos
los anteriores
el propietario/patrocinador enterado prepare, analice y apruebe un estudio de factibilidad tcnica para cada alterna-
tiva con el fin de satisfacer los requerimientos del usuario establecidos para el desarrollo de un proyecto de siste-
mas nuevo o modificado
en cada proyecto de desarrollo, modificacin o implementacin de sistemas, se lleve a cabo un anlisis de los cos-
tos y los beneficios asociados con cada alternativa considerada para satisfacer los requerimientos del usuario
el propietario/patrocinador enterado prepare, analice y apruebe un estudio de factibilidad econmica antes de tomar
la decisin respecto a desarrollar o modificar un proyecto de sistemas nuevo o modificado propuesto
se preste atencin al modelo de datos de la empresa mientras de identifica y analiza la factibilidad de las soluciones
en cada proyecto de desarrollo, implementacin o modificacin de sistemas propuesto, se prepare y documente un
anlisis de las amenazas a la seguridad, de las debilidades y los impactos potenciales y las salvaguardas factibles de
seguridad y control interno para reducir o eliminar el riesgo identificado
los costos y los beneficios de seguridad sean examinados cuidadosamente para garantizar que los costos de los
controles no exceden los beneficios
se obtenga una aprobacin formal del estudio costo/beneficio por parte de la administracin
se requieran controles y pistas de auditora apropiados para ser aplicados en todos los sistemas modificados o nue-
vos propuestos durante la fase de diseo del proyecto
las pistas de auditoria y los controles dan la posibilidad de proteger a los usuarios contra la identificacin o mal uso
de su identidad por parte de otros usuarios (ej., ofreciendo anonimato, psedonimos, ausencia de vnculos y confi-
dencialidad)
cada proyecto de desarrollo, implementacin o modificacin de sistemas propuesto preste atencin a los problemas
ergonmicos asociados con la introduccin de sistemas automatizados
la administracin de la funcin de servicios de informacin identifique todos los programas de software de siste-
mas potenciales que satisfarn sus requerimientos operativos
los productos sean revisados y probados antes de ser adquiridos y utilizados
la compra de productos de software siga las polticas de adquisicin de la organizacin definiendo el marco refe-
rencial para la creacin de la solicitud de propuesta, la seleccin del proveedor de software y la negociacin del
contrato.
para el software con licencia adquirido de terceras partes, los proveedores cuenten con procedimientos apropiados
para validar, proteger y mantener los derechos de integridad de los productos de software
la adquisicin de servicios de programacin por contrato se justifique a travs de una requisicin de servicios por
escrito por parte de un miembro designado de la funcin de servicios de informacin
se acuerde en el contrato con el proveedor un plan de aceptacin de las instalaciones y que dicho plan defina los
procedimientos y criterios de aceptacin
los productos finales de los servicios de programacin por contrato terminados sean revisados y probados de acuer-
do con los estndares establecidos por el grupo de aseguramiento de la calidad de la funcin de servicios de infor-
macin y otras partes interesadas antes de pagar por el trabajo realizado y aprobar el producto final
se acuerde en el contrato con los proveedores un plan de aceptacin para tecnologa especfica, y que dicho plan
defina los procedimientos y criterios de aceptacin
la adquisicin de servicios de programacin por contrato sea justificada a travs de una requisicin por escrito de
servicios por parte de un miembro designado de la funcin de servicios de informacin
Se lleve a cabo un anlisis de riesgos en lnea con el marco referencial general de evaluacin de riesgos
Existen los mecanismos para asignar o mantener los atributos de seguridad para la exportacin e importacin de datos, y para
interpretarlos correctamente.
La administracin haya desarrollado e implementado un enfoque de adquisicin central, que describa un conjunto comn de
procedimientos y estndares a ser seguidos en la adquisicin de servicios de hardware, software y servicios de tecnolo-
ga de informacin
Los contratos estipulen que el software, la documentacin y otros elementos entregables y liberables sean sujetos a pruebas y
revisiones antes de ser aceptados
Las pruebas incluidas en las especificaciones del contrato consisten en pruebas de sistema, pruebas de integracin, pruebas de
hardware y componentes, pruebas de procedimientos, pruebas de carga y estrs, pruebas de afinacin y desempeo,
pruebas de regresin, pruebas de aceptacin del usuario, y finalmente, pruebas piloto del sistema total para evitar cual-
quier falla inesperada del sistema
Las pruebas de aceptacin de instalaciones son llevadas a cabo para garantizar que stas y el ambiente, satisfacen los requeri-
mientos especificados en el contrato
Las pruebas de aceptacin de tecnologa especfica deberan incluir inspeccin, pruebas de funcionalidad y de carga de traba-
jo
8 Probando que:
Los requerimientos de los usuarios satisfechos por el sistema existente y a ser satisfechos por el sistema nuevo o modificado
propuesto hayan sido claramente definidos, revisados y aprobados por escrito por parte del usuario enterado antes del
desarrollo, implementacin o modificacin del proyecto
Los requerimientos de las soluciones funcionales y operativas sean satisfechos incluyendo desempeo, seguridad, confiabili-
dad, compatibilidad y legislacin
Todas las debilidades y deficiencias de procesamiento en el sistema existente hayan sido identificadas y sean tomadas en
cuenta y resueltas completamente por el sistema nuevo o modificado propuesto
Los cursos de accin alternativos que satisfarn los requerimientos de los usuarios, establecidos para un sistema nuevo o
modificado propuesto, hayan sido analizados apropiadamente
Los paquetes de software comercial que satisfagan las necesidades de un proyecto particular de desarrollo o modificacin de
sistemas hayan sido identificados y considerados apropiadamente
Todos los costos y beneficios identificables asociados con cada alternativa hayan sido soportados apropiadamente e incluidos
como parte del estudio de factibilidad econmica requerido
Se haya prestado atencin al modelo de datos de arquitectura de informacin/empresa al identificar y analizar su factibilidad
El reporte de anlisis de riesgos en cuanto a amenazas a la seguridad, vulnerabilidades e impactos potenciales y las salva-
guardas factibles de seguridad y control interno sea preciso, completo y suficiente
C COBI OBIT T
Los problemas de seguridad y control interno hayan sido tomados en cuenta apropiadamente en la documentacin del diseo
del sistema
La aprobacin de la administracin en cuanto a que los controles existentes y planeados son suficientes y aportan beneficios
apropiados comparados con los costos de compensacin
Existen mecanismos disponibles para las pistas de auditora o que stos pueden ser desarrollados para la solucin identificada
y seleccionada
Se ha tomado en cuenta un diseo amigable al usuario para mejorar las habilidades finales de ste durante el diseo del siste-
ma y el desarrollo de diseo de pantallas, formatos de reporte, instalaciones de ayuda en lnea, etc.
Se han considerado aspectos ergonmicos durante el diseo y el desarrollo del sistema
Se han incluido aspectos de desempeo de usuarios (por ejemplo, tiempo de respuesta del sistema, capacidades de carga/
descarga, y reportes "ad hoc") en las especificaciones de requerimientos del sistema antes de su diseo y desarrollo
La identificacin de todos los programas de software de sistemas potenciales que satisfacen los requerimientos operativos
La funcin de servicios de informacin cumpla con un conjunto comn de procedimientos y estndares en la adquisicin de
hardware, software y servicios relacionados con tecnologa de informacin
Los productos adquiridos sean revisados y probados antes de ser usados y costeados completamente
El acuerdo de compra de software permite al usuario tener una copia del cdigo fuente el programa, si aplica
Las actualizaciones, renovaciones de tecnologa y "fixes" son especificados en los documentos de adquisicin
El mantenimiento de terceras partes incluye los requerimientos de validacin proteccin y mantenimiento de la integridad del
producto de software
El personal de programacin por contrato trabaja sujetndose al mismo nivel de pruebas, revisin y aprobaciones que se exi-
ge a los programadores propios de la organizacin
La funcin de aseguramiento de la calidad de la organizacin es responsable de la revisin y aprobacin del trabajo llevado a
cabo por los programadores por contrato
La propiedad y suficiencia del plan de aceptacin de instalaciones, incluyendo los procedimientos y criterios de aceptacin
La propiedad y suficiencia del plan especfico de aceptacin de tecnologa, incluyendo inspecciones, pruebas de funcionali-
dad y pruebas de carga de trabajo
8 Llevando a cabo:
Mediciones ("Benchmarking:) de la identificacin de los requerimientos de los usuarios para lograr soluciones automatiza-
das contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
la identificacin de soluciones automatizadas para satisfacer los requerimientos del usuario (incluyendo la defini-
cin de requerimientos del usuario, formulacin de cursos de accin alternativos; identificacin de paquetes de
software comercial y elaboracin de estudios de factibilidad de desempeo tecnolgico, de factibilidad econmica,
de arquitectura de informacin y de anlisis de riesgos)
la seguridad, los controles internos (incluyendo la consideracin de diseos amigables al usuario, ergonoma, etc.)
y las pistas de auditora disponibles o "desarrollables" para la solucin identificada y seleccionada
la seleccin e implementacin del software del sistema
las polticas y procedimientos existentes de adquisicin de software para la adecuacin y el cumplimiento del con-
trol interno de la organizacin
la manera en la que se administra el mantenimiento de terceras partes
la manera en la que la programacin de aplicacin por contrato ha sido monitoreada y administrada
la identificacin de todo lo especificado en el contrato por parte de la administracin de la funcin de servicios de
informacin
el proceso de aceptacin de tecnologa especfica para asegurar que las inspecciones, pruebas de funcionalidad y
pruebas de carga de trabajo satisfacen los requerimientos especificados en el contrato
8 Identificando:
Las deficiencias en la metodologa del ciclo de vida del desarrollo de sistemas de la organizacin
Soluciones que no satisfacen los requerimientos del usuario
Tentativas de desarrollo de sistemas que:
no hayan considerado cursos alternativos de accin, trayendo como resultado una solucin ms costosa
no hayan considerado los paquetes de software comercial que podran haber sido implementados en menos tiem-
po y a un menor costo
no hayan considerado la factibilidad tecnolgica de las alternativas o hayan considerado inapropiadamente la fac-
tibilidad tecnolgica de la solucin elegida, trayendo como resultado la incapacidad para implementar la solucin
como fue diseada originalmente
hayan hecho suposiciones equivocadas en el estudio de factibilidad econmica, trayendo como resultado la elec-
cin del curso de accin incorrecto
no hayan considerado el modelo de datos de la arquitectura de informacin/empresa, trayendo como resultado la
eleccin del curso de accin incorrecto
no hayan conducido anlisis de riesgos slidos, y consecuentemente, no hayan identificado adecuadamente los
riesgos (incluyendo amenazas, vulnerabilidades e impactos potenciales) o los controles internos y de seguridad
para reducir o eliminar los riesgos identificados
Soluciones que:
estuvieran ya sea sobre controladas o no controladas suficientemente debido a que la economa de los controles y
la seguridad fueron examinados inapropiadamente
no hayan contado con pistas de auditora adecuadas
no hayan considerado los aspectos ergonmicos y de diseo amigable para el usuario, trayendo como resultado
errores en la entrada de datos que podran haber sido evitados
no hayan seguido el enfoque de adquisiciones establecido por la organizacin, trayendo como resultado costos
adicionales creados por la organizacin
La falta de software de sistemas necesario
La inefectividad del software de sistemas debido al establecimiento incorrecto de parmetros
Mantenimiento de software de terceras partes que no haya satisfecho los trminos del contrato, afectando negativamente a la
organizacin en el logro de su misin y/o metas
Programas de aplicacin por contrato que no hayan satisfecho los trminos del contrato, trayendo como consecuencia costos
adicionales a la organizacin, atraso en la implementacin de los sistemas, etc.
Situaciones en las que las instalaciones hayan sido aceptadas sin probar completamente el ambiente, trayendo como conse-
cuencia no satisfacer los requerimientos de los usuarios y/o no cumplir con los trminos del contrato
Las instancias en las que se haya aceptado una tecnologa especfica, pero que no se hayan llevado a cabo adecuadamente
inspecciones, pruebas de funcionalidad y pruebas de carga de trabajo, trayendo como resultado el que la tecnologa no
satisfaga los requerimientos del usuario y/o no cumpla con los trminos del contrato
Cualquier falla del sistema
C COBI OBIT T
AI2
S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Adquisicin &
Implementacin
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


adquisicin y mantenimiento de software de aplicacin


proporcionar funciones automatizadas que soporten efectivamente al
negocio


la definicin de declaraciones especficas sobre requerimien-
tos funcionales y operacionales y una implementacin es-
tructurada con entregables claros


requerimientos de usuarios
requerimientos de archivo, entrada, proceso y
salida
interface usuario mquina
personalizacin de paquetes
pruebas funcionales
controles de aplicacin y requerimientos fun-
cionales
documentacin
AI 2 ADQUISICIN Y MANTENIMIENTO DE SOFTWARE DE APLICACIN
8 Entrevistas:
Director de TI
Propietarios / patrocinadores de proyectos

8 Obteniendo:
Polticas y procedimientos relacionados con la metodologa del ciclo de vida del desarrollo de sistemas
Documentacin seleccionada del proyecto, incluyendo aprobaciones de diseos, definicin de requeri-
mientos de archivo, especificaciones de programas, diseo de recopilacin de datos fuente, definicin
de requerimientos de entrada, interfase usuario - mquina, definicin de requerimientos de procesa-
miento, definicin de requerimientos de salida, requerimientos de control interno/seguridad, requeri-
mientos de disponibilidad, provisiones para la integridad de tecnologa de informacin, plan de prue-
bas y resultados del software de aplicacin, materiales de soporte y referencia para usuarios y reeva-
luacin del diseo del sistema
1 Mtodos de Diseo
2 Cambios Significativos a Sistemas Actuales
3 Aprobacin del Diseo
4 Definicin y Documentacin de Requerimientos de Archivos
5 Especificaciones de Programas
6 Diseo para la Recopilacin de Datos Fuente
7 Definicin y Documentacin de Requerimientos de Entrada de Datos
8 definicin de Interfases
9 Interfase Usuario - Mquina
10 Definicin y Documentacin de Requerimientos de Procesamiento
11 Definicin y Documentacin de Requerimientos de Salida de Datos
12 Controlabilidad
13 Disponibilidad como Factor Clave de Diseo
14 Estipulaciones de Integridad TI para Software de Programas de Aplicacin
15 Pruebas de Software de Aplicacin
16 Materiales de Consulta y Soporte para Usuario
17 Reevaluacin del Diseo del Sistema
C COBI OBIT T
8 Considerando s:
Las polticas y procedimientos aseguran:
la metodologa del ciclo de vida de desarrollo de sistemas de la organizacin aplica tanto para el desarrollo de nuevos
sistemas como para la modificacin de sistemas existentes y participacin del usuario
el vnculo con el usuario al crear las especificaciones de diseo y al verificar stas contra los requerimientos del usua-
rio
en el caso de cambios mayores a los sistemas existentes, se observe un proceso de ciclo de vida de desarrollo de siste-
mas similar al del utilizado en los casos de desarrollo de nuevos sistemas
las especificaciones de diseo sean aprobadas por la administracin, los departamentos usuarios afectados y la Presi-
dencia de la organizacin, cuando esto sea apropiado para todos los proyectos nuevos de modificacin y desarrollo de
sistemas
se aplica un proceso apropiado para definir y documentar el formato de archivos para cada proyecto nuevo de desa-
rrollo o modificacin de sistemas, incluyendo que se requiera el respeto de las reglas de diccionario de datos
se preparan especificaciones detalladas de programas para cada proyecto de desarrollo o modificacin de informa-
cin, y que estas especificaciones concuerdan con las especificaciones del diseo del sistema
se especifican los mecanismos adecuados para la recoleccin y captura de datos para cada desarrollo nuevo del siste-
ma o proyecto de modificacin
se especifican los mecanismos adecuados para la recopilacin y entrada de datos para cada nuevo proyecto de desa-
rrollo o modificacin de sistemas
existen mecanismos adecuados para la definicin y documentacin de los requerimientos de entrada para cada pro-
yecto nuevo de desarrollo o modificacin de sistemas
existe el desarrollo de una interfase entre el usuario y la mquina fcil de utilizar y autodocumentable (por medio de
funciones de ayuda en lnea)
existen mecanismos adecuados para la definicin y documentacin de los requerimientos de procesamiento para cada
nuevo proyecto de desarrollo o modificacin de sistemas
existen mecanismos adecuados para la definicin y documentacin de los requerimientos de salida para cada nuevo
proyecto de desarrollo o modificacin de sistemas
se especifican mecanismos adecuados para asegurar los requerimientos de seguridad y control internos para cada
proyecto nuevo de desarrollo o modificacin de sistemas
los requerimientos de seguridad y control interno incluyen controles de aplicacin que garantizan la precisin, sufi-
ciencia y autorizacin de entradas y salidas
se considera la disponibilidad en el proceso de diseo de sistemas nuevos o modificados en la etapa ms temprana
posible, y que esta consideracin debe analizar, en caso necesario, un incremento a travs de mejoras de manteni-
miento y confiabilidad
los programas de aplicacin contienen provisiones que verifican rutinariamente las tareas llevadas a cabo por el soft-
ware para ayudar a asegurar la integridad de los datos
el software de aplicacin es probado de acuerdo con el plan de pruebas del proyecto y los estndares establecidos
antes de ser aprobado por el usuario
se preparan manuales adecuados de soporte y referencia para usuarios (preferiblemente en formato electrnico) como
parte del proceso de desarrollo o modificacin de cada sistema
el diseo del sistema es reevaluado siempre que ocurren discrepancias tecnolgicas y/o lgicas significativas durante
el desarrollo o el mantenimiento del sistema
La metodologa del ciclo de vida de desarrollo de sistemas asegura que los materiales de soporte y referencia para usuarios
son actualizados de manera precisa y oportuna
La metodologa de ciclo de vida de desarrollo de sistemas requiere el llevar a cabo una evaluacin de sensibilidad durante la
iniciacin del desarrollo o modificacin de nuevos sistemas
La metodologa de ciclo de vida de desarrollo de sistemas requiere la evaluacin de los aspectos bsicos de seguridad y con-
trol interno de un sistema nuevo a ser desarrollado o modificado, junto con el diseo conceptual del sistema, con el fin de
integrar los conceptos de seguridad en el diseo lo ms pronto posible
La metodologa del ciclo de vida de desarrollo de sistemas requiere que los aspectos de seguridad lgica y de las aplicaciones
sean considerados e incluidos en el diseo de nuevos sistemas o modificaciones de sistemas existentes
La evaluacin de los aspectos de control internos y de seguridad est basada en un buen marco referencial
Los sistemas de Inteligencia Artificial estn funcionando en una interaccin o en el marco referencial con los operadores
humanos para asegurar que las decisiones importantes sean aprobadas.
La exposicin de la informacin sensible que se utiliza durante las pruebas de la aplicacin se reduce ya sea con limitaciones
severas de acceso o la despersonalizacin de los datos histricos.
8 Probando que:
La participacin del usuario en el proceso de ciclo de vida de desarrollo de sistemas es significativa
La metodologa del ciclo de vida de desarrollo de sistemas asegura que existe un proceso que considera apropiadamen-
te todos los aspectos de diseo de sistemas (por ejemplo, entrada, procesamiento, salida, controles internos, segu-
ridad, recuperacin en caso de desastre, tiempo de respuesta, reportes, control de cambios, etc.)
Los usuarios clave de los sistemas estn involucrados en el proceso del diseo del sistema
Que la revisin del diseo y el proceso de aprobacin aseguran que todos los problemas han sido resueltos antes de
comenzar a trabajar sobre la siguiente fase del proyecto
Los cambios mayores a los sistemas existentes aseguran que stos han sido desarrollados utilizando una metodologa
de ciclo de vida de desarrollo de sistemas similar a la utilizada para el desarrollo de nuevos sistemas
Existen los procedimientos de aprobacin del diseo para asegurar que la programacin del sistema no se inicie hasta
que se hayan obtenido las aprobaciones correspondientes
Los requerimientos de archivo y la documentacin del sistema, as como el diccionario de datos, son consistentes con
los estndares
Se aprueban las especificaciones finales de archivos
Las especificaciones de programacin concuerdan con las especificaciones del diseo del sistema
Las especificaciones del diseo de recoleccin de datos y de entrada de datos concuerdan
Existen las especificaciones del diseo de la interfase usuario - mquina
Las especificaciones usuario - mquina es fcil de utilizar y que autodocumentacin (utilizando instalaciones de ayuda
en lnea) funciona
Se documenten las interfaces internas y externas
Los requerimientos de procesamiento forman parte de las especificaciones del diseo
Los requerimientos de salida forman parte de las especificaciones del diseo
Los requerimientos de seguridad y control interno forman parte de las especificaciones del diseo
Las especificaciones de diseo de los requerimientos de controles de aplicacin garantizan la precisin, suficiencia,
oportunidad y autorizacin de las entradas y las salidas
Los requerimientos de seguridad y control interno han sido incluidos en el diseo conceptual del sistema (ya sea nuevo
C COBI OBIT T
o modificado) lo ms tempranamente posible
El funcionario de seguridad est involucrado activamente en el proceso de diseo, desarrollo e implementacin del
proyecto del nuevo sistema o de modificacin del sistema
El diseo del sistema determina si se han cuantificado las mejoras de disponibilidad/confiabilidad en trminos de tiem-
po y de procedimientos ms eficientes en comparacin con mtodos anteriores, en caso de aplicar
Las provisiones de programas de aplicacin verifican rutinariamente las tareas llevadas a cabo por el software para
asegurar la integridad de los datos
Existen estndares de pruebas establecidos
Existe un plan de pruebas del proyecto y un proceso de aprobacin del usuario
Los materiales de soporte y referencia para usuarios, as como las instalaciones de ayuda en lnea estn disponibles
La funcin de "help desk" apoya efectivamente a los usuarios para solucionar problemas de procesamiento cada vez
ms complejos
El proceso para escalar los problemas del help desk incluye el seguimiento, monitoreo y reporte de tales problemas a la
administracin de la funcin de servicios de informacin apropiada
Se requiere la existencia de mecanismos para actualizar la documentacin de los usuarios
Existe la comunicacin sobre los cambios a la documentacin de los usuarios
Se da el proceso de reevaluacin siempre que ocurren discrepancias tecnolgicas y/o lgicas significativas
8 Llevando a cabo:
Mediciones ("Benchmarking") de los costos de adquirir y desarrollar software de aplicacin contra organizaciones similares
o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
documentacin seleccionada del diseo del sistema para evaluar la adecuacin de las especificaciones del diseo y
el cumplimiento del diseo en cuanto a dichas especificaciones
proyectos seleccionados de desarrollo o modificacin de nuevos sistemas, determinando si los documentos de espe-
cificacin del diseo han sido revisados y aprobados por la administracin de la funcin de servicios de informa-
cin y las funciones de los usuarios afectados, as como por la Presidencia de la organizacin cuando esto sea apro-
piado
documentacin seleccionada del software para asegurar que los requerimientos de archivo (por lo menos para los
archivos mencionados a continuacin) son comprendidos claramente por el equipo de implementacin del proyecto
y estn siendo estructurados por sistema y requerimientos del usuario, as como por las reglas de diccionario de
datos de la organizacin:
Maestro
Transacciones
Comando
Programa
Control
Tablas
Reportes
Impresin
Bitcora
Transmisin
proyectos de desarrollo o modificacin de nuevos sistemas para asegurar que los archivos, programas, instrumentos
de recopilacin de datos fuente, entradas, interfaces usuario - mquina, pasos de procesamiento y salidas identifica-
dos en diagramas de flujo/diagramas de flujo de datos, corresponden a las especificaciones varias del diseo del
sistema
proyectos de desarrollo o modificacin de nuevos sistemas para determinar que siempre que se identifiquen discre-
pancias tcnicas y/o lgicas, ocurra un proceso efectivo de reevaluacin del diseo del sistema
proyectos de desarrollo o modificacin de nuevos sistemas para determinar la existencia de cualquier discrepan-
cia de diseo tcnico o cualquier cambio funcional necesario
proyectos de desarrollo o modificacin de nuevos sistemas y diseos conceptuales de sistemas para evaluar la
adecuacin de las provisiones de seguridad y control interno que aseguren la precisin, la suficiencia, la oportuni-
dad y la autorizacin de las entradas y salidas, as como la integracin de los conceptos de seguridad en el diseo
lo ms tempranamente posible
proyectos de desarrollo o modificacin de nuevos sistemas para evaluar el diseo a la luz de una mayor confiabi-
lidad y disponibilidad para el usuario final, as como de "mantenibilidad" para el personal de mantenimiento de la
funcin de servicios de informacin
proyectos para evaluar la adecuacin de la verificacin de integridad de los datos de los programas de aplicacin
proyectos de desarrollo o modificacin de nuevos sistemas para asegurar que los materiales de referencia para los
usuarios son actuales y consistentes con la documentacin del sistema y que stos satisfacen completamente las
necesidades del usuario
Una revisin detallada de la efectividad de:
el proceso de especificacin de programas para asegurar que stos estn escritos de acuerdo a las especificaciones
del diseo del usuario
el proceso de especificacin de entradas para asegurar que los programas estn escritos de acuerdo a las especifi-
caciones del diseo del usuario
el proceso de especificacin de interfase usuario - mquina para asegurar que los programas estn escritos de
acuerdo a las especificaciones del diseo del usuario
el proceso de especificacin de procesamiento para asegurar que los programas estn escritos de acuerdo a las
especificaciones del diseo del usuario
el proceso de especificacin de salidas para asegurar que los programas estn escritos de acuerdo a las especifica-
ciones del diseo del usuario
Una revisin detallada de los estndares de prueba de la organizacin y la implementacin de los planes de pruebas rela-
cionados para proyectos seleccionados de desarrollo y modificacin de nuevos sistemas
Una revisin detallada de la satisfaccin del usuario con el sistema, sus reportes, la documentacin y material de referencia
para el usuario, las instalaciones de ayuda, etc.
8 Identificando:
Deficiencias en la metodologa de ciclo de vida de desarrollo de sistemas utilizada para los proyectos de desarrollo o modi-
ficacin de nuevos sistemas
Especificaciones de diseo que no reflejen los requerimientos del usuario
Requerimientos de archivo que no sean consistentes con las reglas de diccionario de datos de la organizacin
Proyectos de desarrollo o modificacin de nuevos sistemas que contengan archivos, programas, seleccin de datos fuente,
entradas, interfaces usuario - mquina, procesamiento, requerimientos de salida y/o Controlabilidad inadecuadamente
definidos
Proyectos de desarrollo o modificacin de nuevos sistemas en los que la disponibilidad no haya sido considerada en el pro-
ceso de diseo
Deficiencias en la integridad de los datos en software de programas de aplicacin en proyectos de desarrollo o modificacin
de nuevos sistemas
Deficiencias en los estndares de pruebas de la organizacin, trayendo como consecuencia la implementacin de sistemas
que procesan incorrectamente los datos, y emiten incorrectamente reportes
Deficiencias en los planes de prueba en proyectos nuevos de desarrollo o modificacin de sistemas
Deficiencias en los materiales de soporte y referencia para usuarios en proyectos nuevos de desarrollo o modificacin de
sistemas
Discrepancias tcnicas y/o lgicas significativas que hayan ocurrido durante el desarrollo o mantenimiento del sistema que
no hayan trado como consecuencia la reevaluacin del diseo del sistema, y por lo mismo, no hayan sido corregidos o
hayan trado como resultado correcciones provisionales no econmicas en el sistema
C COBI OBIT T
AI3
Adquisicin &
Implementacin
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

c
o
n
f
i
a
b
i
l
i
d
a
d


adquisicin y mantenimiento de arquitectura de software


proporcionar las plataformas apropiadas para soportar aplicaciones de
negocios


la evaluacin del desempeo de hardware y software, la pro-
visin de mantenimiento
preventivo de hardware y la instalacin,
seguridad y control del software del sistema


evaluacin de tecnologa
mantenimiento preventivo de hardware
seguridad del software de sistema, instalacin,
mantenimiento y control sobre cambios

AI 3 ADQUISICIN Y MANTENIMIENTO DE ARQUITECTURA DE TECNOLOGA
8 Entrevistas:
Director de TI
Propietarios / patrocinadores de proyectos

8 Obteniendo:
Polticas y procedimientos relacionados con la metodologa del ciclo de vida del desarrollo de sistemas
Documentacin seleccionada del proyecto, incluyendo aprobaciones de diseos, definicin de requerimientos de ar-
chivo, especificaciones de programas, diseo de recopilacin de datos fuente, definicin de requerimientos de en-
trada, interfase usuario - mquina, definicin de requerimientos de procesamiento, definicin de requerimientos de
salida, requerimientos de control interno/seguridad, requerimientos de disponibilidad, provisiones para la integri-
dad de tecnologa de informacin, plan de pruebas y resultados del software de aplicacin, materiales de soporte y
referencia para usuarios y reevaluacin del diseo del sistema
1 Evaluacin de Nuevo Hardware y Software
2 Mantenimiento Preventivo para Hardware
3 Seguridad del Software del Sistema
4 Instalacin del Software del Sistema
5 Mantenimiento del Software del Sistema
6 Controles para Cambios del Software del Sistema
8 Considerando s:
Existen polticas y procedimientos que aseguran que:
se prepara un plan de evaluacin formal para evaluar el nuevo hardware y software en cuanto a cualquier
impacto sobre el desempeo global del sistema
la posibilidad de acceso al software del sistema y con ella, la posibilidad de interrumpir los sistemas de in-
formacin operativa es limitada
la preparacin, instalacin y mantenimiento del software del sistema no amenaza la seguridad de los datos y
programas almacenados en el sistema
se seleccionan parmetros del software del sistema para asegurar la integridad de los datos y programas al-
macenados en el sistema
C COBI OBIT T
el software del sistema es instalado y mantenido de acuerdo con el marco referencial de adquisicin y man-
tenimiento de la infraestructura de tecnologa
los proveedores de software del sistema proporcionan estatutos de aseguramiento de la integridad como par-
te de su software y todas las modificaciones al mismo
la prueba global (por ejemplo, utilizando una metodologa de ciclo de vida de desarrollo de sistemas) de
software del sistema ocurre antes de que ste sea introducido al ambiente de produccin
los passwords o contraseas de instalacin proporcionados por el proveedor de software son modificados al
momento de la instalacin y que los cambios al software del sistema son controlados en lnea con los proce-
dimientos de administracin de cambios de la organizacin
Existen polticas y procedimientos para el mantenimiento preventivo de hardware (tanto el operado por la funcin de
servicios de informacin como por las funciones de los usuarios afectados) para reducir la frecuencia y el impacto
de las fallas de desempeo
Se cumple con los pasos y la frecuencia de mantenimiento preventivo prescritos por el proveedor para cada dispositivo
de hardware operado por la funcin de servicios de informacin y las funciones de los usuarios afectados
8 Probando que:
Existen los estatutos de aseguramiento de la integridad del software entregados por el proveedor de software del sis-
tema para todo el software del sistema (incluyendo todas las modificaciones) y considera las exposiciones resul-
tantes en el software del sistema
La evaluacin del desempeo trae como resultado la comparacin con los requerimientos del sistema
Existe un proceso formal de evaluacin del desempeo
El calendario de mantenimiento preventivo asegura que el mantenimiento de hardware programado no tendr ningn
impacto negativo sobre aplicaciones crticas o sensibles
El mantenimiento programado asegura que no ha sido planeado para perodos pico de carga de trabajo y que la fun-
cin de servicios de informacin y las operaciones de los grupos de usuarios afectados son suficientemente
flexibles para adaptar el mantenimiento preventivo rutinario planeado
Los programas operativos de servicios de informacin aseguran que existen las preparaciones adecuadas para mane-
jar anticipadamente los tiempos muertos de hardware ocasionados por mantenimiento no programado
Los parmetros del software del sistema aseguran que fueron elegidos los correctos por parte del personal apropiado
de la funcin de sistemas de informacin con el fin de asegurar la integridad de los datos y los programas alma-
cenados en el sistema
El acceso se restringe nicamente a un nmero limitado de operadores dentro de la funcin de servicios de informa-
cin
El software del sistema es instalado y mantenido de acuerdo con el marco referencial de adquisicin y mantenimiento
para la infraestructura de tecnologa
Se llevan a cabo pruebas completas (utilizando una metodologa de ciclo de vida de desarrollo de sistemas) para todo
el software del sistema antes de autorizar su introduccin al ambiente de produccin
Todos los passwords o contraseas de instalacin del software del sistema proporcionados por los proveedores fue-
ron cambiados al momento de la instalacin
Todos los cambios al software del sistema fueron controlados de acuerdo con los procedimientos de administracin
de cambios de la organizacin
La administracin del sistema (por ejemplo, adicin de nuevos usuarios al sistema y a las redes; creacin y respaldo de
bases de datos, asignacin de espacio para almacenamiento de datos, prioridades del sistema, etc.) se restringen
nicamente a un nmero limitado de operadores dentro de la funcin de servicios de informacin
8 Llevando a cabo:
Mediciones ("Benchmarking") de la adquisicin, implementacin y mantenimiento de hardware y software contra orga-
nizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Una revisin de tallada de:
la documentacin seleccionada de sistemas operacionales o proyectos de desarrollo o modificacin de siste-
mas para determinar si los requerimientos formales de desempeo de hardware y software (incluyendo refe-
rencias para volumen de transaccin, tiempos de procesamiento y respuesta, tamaos de archivos y bases de
datos, volmenes de redes y compatibilidad de protocolos de comunicaciones) existen para todos los siste-
mas
prcticas de mantenimiento de hardware para determinar si el mantenimiento est siendo llevado a cabo de
acuerdo con los lineamientos del proveedor y calendarizado de tal manera que no afecte el desempeo global
del sistema
documentacin seleccionada de sistemas operacionales y sistemas en desarrollo o modificacin para evaluar
las habilidades potenciales para burlar las restricciones de seguridad de acceso lgicas existentes proporcio-
nadas por el software del sistema
instalacin, mantenimiento del sistema y controles de cambio para asegurar el cumplimiento con el marco
referencial de adquisicin y mantenimiento para la infraestructura de tecnologa y la integridad del sistema

8 Identificando:
Evaluaciones de desempeo que hayan afectado el desempeo global del sistema
Problemas de mantenimiento preventivo que hayan afectado el desempeo global del sistema Debilidades en la prepa-
racin, instalacin y mantenimiento de software del sistema (incluyendo la seleccin de parmetros inapropiados
de software del sistema) que hayan amenazado la seguridad de los datos y los programas almacenados en el siste-
ma
Debilidades en las pruebas de software del sistema que pudieran amenazar la seguridad de los datos y los programas
almacenados en el sistema
Debilidades en el proceso de control de cambios del software del sistema que pudieran amenazar la seguridad de
los datos y los programas almacenados en el sistema
C COBI OBIT T
AI4
S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Adquisicin &
Implementacin
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


desarrollo y mantenimiento de procedimientos relacionados con tecnologa de
informacin


asegurar el uso apropiado de las aplicaciones y de las soluciones tec-
nolgicas establecidas


un enfoque estructurado del desarrollo de manuales de pro-
cedimientos de operaciones para usuarios, requerimientos de
servicio y material de entrenamiento


procedimientos y controles de usuarios
procedimientos y controles operacionales
materiales de entrenamiento
AI 4 DESARROLLO Y MANTENIMIENTO DE PROCEDIMIENTOS DE TECNOLOGA DE NFORMACIN
8 Entrevistas:
Desarrollo de aplicaciones de la funcin de servicios de informacin
Mantenimiento de la funcin de servicios de informacin
Control de cambios de la funcin de servicios de informacin
Operaciones de la funcin de servicios de informacin
Recursos humanos/entrenamiento de la funcin de servicios de informacin
Administracin de aseguramiento de la calidad de la funcin de servicios de informacin
Usuarios seleccionados de recursos de sistemas de informacin

8 Obteniendo:
Polticas y procedimientos organizacionales relacionados con:
Planeacin estratgica y objetivos del negocio, planeacin de sistemas de informacin y desarrollo de aplicaciones
Polticas y procedimientos de las funciones de servicios de informacin relacionadas con el desarrollo del sistema, in-
cluyendo: organigrama, metodologa del ciclo de vida de desarrollo de sistemas, planeacin de capacidad, manua-
les de usuarios y operaciones, materiales de entrenamiento, pruebas y migracin a estatus de produccin y docu-
mentos de planeacin de reanudacin/ contingencia
1 Futuros Requerimientos y Niveles de Servicios Operacionales
2 Manual de Procedimientos para Usuario
3 Manual de Operaciones
4 Material de Entrenamiento
8 Considerando s:
Los requerimientos operativos fueron determinados con estadsticas histricas de desempeo disponibles y en-
tradas del usuario con respecto a incrementos/decrementos esperados
El nivel de servicio y las expectativas de desempeo estn o suficientemente detallados para permitir el seguimiento, la
emisin de reportes y las oportunidades de mejora
Los requerimientos operativos y los niveles de servicio estn determinados utilizando tanto desempeo histrico y
ajustes de usuario como mediciones o "benchmarks" de la industria
Los niveles de servicio y requerimientos de procesamiento son un paso integral en la planeacin de nuevos sistemas
Los manuales de procedimientos de usuarios, el manual de operaciones y los materiales de entrenamiento estn des-
arrollados como parte de cada proyecto de desarrollo, implementacin o modificacin de sistemas de informacin,
y se mantienen actualizados
C COBI OBIT T
8 Probando que:
Existen requerimientos operacionales y que stos reflejan tanto las expectativas de operacin como las de los usuarios
El desempeo operacional est siendo medido, comunicado y corregido en donde existen deficiencias
El personal de operaciones y los usuarios estn conscientes y tienen conocimiento de los requerimientos de desempe-
o
El personal de operaciones cuenta con manuales de operaciones para todos los sistemas y procesamientos bajo su
responsabilidad
Todo el movimiento de programas de desarrollo de aplicaciones a produccin requiere la actualizacin o creacin de
un manual de operaciones
Existen manuales de entrenamiento de usuarios para todas las aplicaciones, y reflejan actualmente la funcionalidad de
la aplicacin
Existen manuales de entrenamiento para todos los sistemas existentes y nuevos, y que stos apoyan a los usuarios,
reflejando el uso del sistema en la prctica diaria
Los manuales de usuario incluyen, pero no se limita a:
visin global de los sistemas y el ambiente
explicacin de todas la entradas, programas, salidas e integracin (con otros sistemas) de los sistemas
explicacin de todas las pantallas de entrada y despliegue de datos
explicacin de todos los mensaje de error y la respuesta apropiada
procedimientos y/o recursos de escalamiento de problemas
El manual de operacin incluyen, pero no se limita a:
nombre del sistema, nombre de los programas, secuencia de ejecucin
definicin de los nombres de todos los archivos de entrada, proceso y de salida y del formato del medio
calendarizacin para las corridas diarias, semanales, mensuales, trimestrales, cuatrimestrales, fin de ao,
etc.
comandos y parmetros de consola que requieran entradas por parte del operador
mensajes y respuestas de mensajes de error
procedimientos de respaldo, reinicio y recuperacin en varios puntos o al darse una terminacin anormal
formatos o procedimientos de salidas especiales; distribucin de reportes/salidas
procedimiento de solucin en caso de emergencia, si aplica
Se llevan a cabo el entrenamiento y el mantenimiento continuo de la documentacin de aplicacin, manuales de ope-
racin y de usuario
8 Llevando a cabo:
Para una seleccin de proyectos de desarrollo de sistemas, revisiones y aprobaciones de documentacin en cuanto a:
la consideracin de futuros requerimientos y niveles de servicio de usuarios
la tarea, entrega y liberacin para la creacin y mantenimiento de manuales de usuario
la tarea, entrega y liberacin para la creacin y mantenimiento del manual de operacin
la tarea, entrega y liberacin de entrenamiento para el usuario para comprender y utilizar nuevos sistemas o
nuevas modificaciones
Entrevistas a los usuarios para confirmar la suficiencia de las tentativas de desarrollo de sistemas, incluyendo los ma-
nuales desarrollados y el entrenamiento proporcionado
El anlisis tanto de manuales de usuario como de operaciones en cuanto a actualidad y mantenimiento continuo

8 Identificando:
deficiencias en los manuales de usuarios, operaciones y entrenamiento
la no existencia de acuerdos de niveles servicio entre el proveedor y la funcin de servicios de informacin
Vendedor y funcin de servicios de informacin
funcin y usuarios de servicios de informacin
debilidades organizacionales para desarrollar y correr las aplicaciones requeridas
C COBI OBIT T
AI5
S S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Adquisicin &
Implementacin
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
P P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


instalacin y acreditacin de sistemas


verificar y confirmar que la solucin sea adecuada para el propsito
deseado


la realizacin de una migracin de instalacin, conversin y
plan de aceptacin adecuadamente formalizados


capacitacin
conversin / carga de datos
pruebas especficas
acreditacin
revisiones post implementacin

AI 5 INSTALACIN Y ACREDITACIN DE SISTEMAS
8 Entrevistas:
Director de TI
Entrenamiento, desarrollo de aplicaciones, seguridad, aseguramiento de la calidad y administracin de operaciones de
la funcin de servicios de informacin
Administracin seleccionada de sistemas recientemente desarrollados/en desarrollo
Contratos con proveedores para recursos de desarrollo de sistemas

8 Obteniendo:
Polticas y procedimientos organizacionales relacionados con la planeacin del ciclo de vida de desarrollo de sistemas
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con polticas y comits de segu-
ridad, planeacin del ciclo de vida de desarrollo de sistemas para programas, unidades, planes de prueba
del sistema, entrenamiento de usuarios, migracin de sistemas de prueba a produccin, aseguramiento de la
calidad y entrenamiento
Plan y calendarizacin del ciclo de vida de desarrollo de sistemas, estndares de programacin de ciclo de vida de desa-
rrollo de sistemas, incluyendo procesos de requisicin de cambios
Reportes muestra de estatus de tentativas de desarrollo de sistemas
Reportes post-implementacin de tentativas de desarrollo anteriores
1 Entrenamiento
2 Adecuacin del Desempeo del Software de Aplicacin
3 Conversin
4 Pruebas de Cambios
5 Criterios y Desempeo de Pruebas en Paralelo/Piloto
6 Prueba de Aceptacin Final
7 Pruebas y Acreditacin de Seguridad
8 Prueba Operacional
9 Promocin a Produccin
10 Evaluacin de la Satisfaccin de los Requerimientos del Usuario
11 Revisin Gerencial Post - Implementacin
8 Considerando s:
Existen polticas y procedimientos relacionados con el proceso de ciclo de vida de desarrollo de sistemas
C COBI OBIT T
Existe una metodologa formal de ciclo de vida de desarrollo de sistemas para la instalacin y acreditacin de siste-
mas, incluyendo, pero no limitndose a, un enfoque en fases sobre: entrenamiento, adecuacin del desempeo,
plan de conversin, pruebas de programas, grupos de programas (unidades) y del sistema total, un plan de prue-
bas prototipo o paralelo, pruebas de aceptacin, pruebas y acreditacin de seguridad, pruebas operativas, contro-
les de cambio, revisin y modificacin de implementacin y post-implementacin
Se lleva a cabo el entrenamiento de usuarios como parte de cada tentativa de desarrollo
Los controles de los programas/sistema son consistentes con los estndares de seguridad de la organizacin y con las
polticas, procedimientos y estndares de la funcin de servicios de informacin
Existen varias libreras de desarrollo, prueba y produccin para los sistemas en proceso
Existen criterios predeterminados para probar el acierto, las fallas y la terminacin de tentativas futuras
El proceso de aseguramiento de la calidad incluye la migracin independiente de desarrollo a las libreras de produc-
cin y la suficiencia de la aceptacin requerida de los usuarios y grupos de operacin
Los planes de prueba para simulacin de volmenes, intervalos de proceso y disponibilidad y acreditacin de salidas
forman parte del proceso
El programa de entrenamiento asociado con una muestra de varias tentativas de desarrollo de sistemas contiene: dife-
rencias con respecto al sistema anterior, cambios que afecten las entradas, procesamiento, calendarizacin, dis-
tribucin, interfaces con otros sistemas, errores y correccin de errores
Las herramientas automatizadas optimizan los sistemas desarrollados, en produccin, y si estas herramientas son uti-
lizadas para oportunidades de eficiencia
La solucin de problemas ocurre en relacin con un desempeo por debajo de lo ptimo
8 Probando que:
Se ha incluido en todas las tentativas de desarrollo de nuevos sistemas un plan formal para el entrenamiento de
usuarios
El personal est consciente, comprende y tiene conocimiento de la necesidad de controles formales de desarrollo de
sistemas y entrenamiento de usuarios para cada instalacin e implementacin de desarrollo
La consciencia, comprensin y conocimiento de usuarios seleccionados con respecto a sus responsabilidades en el
diseo, aprobacin, pruebas, entrenamiento, conversin y proceso de implementacin es conocida y conside-
rada
Se da seguimiento a los costos reales del sistema comparados con los costos estimados, y al desempeo real contra
el esperado de los sistemas nuevos o modificados
Existe un plan de pruebas que cubre todas las reas de recursos de sistemas de informacin: software de
aplicacin, instalaciones, tecnologa y usuarios
Los usuarios comprenden todas las fases y responsabilidades en el desarrollo de sistemas, incluyendo:
especificaciones de diseo, incluyendo iteraciones durante el ciclo de desarrollo
anlisis costo/beneficio y estudio de factibilidad
aprobacin en cada paso del proceso de desarrollo del sistema
compromiso y evaluacin del plan de pruebas y los resultados de las pruebas al ocurrir stas
aprobacin y aceptacin del sistema a travs del ciclo de desarrollo
aprobacin final y aceptacin del sistema
evaluacin de la suficiencia del entrenamiento recibido para sistemas recientemente entregados y libera-
dos
El personal de desarrollo y la administracin aseguran la estabilidad de los requerimientos de los usuarios una vez
acordados stos
La satisfaccin del usuario es medida contra los elementos entregables y liberables de los proveedores, en compara-
cin con los productos internos
8 Llevando a cabo:
Mediciones ("Benchmarking") de la instalacin y acreditacin de sistemas contra organizaciones similares o estndares
internacionales/buenas prcticas reconocidas en la industria apropiadas
el cumplimiento del grupo de desarrollo con las fechas lmite y tareas en relacin con la satisfaccin del
usuario la funcionalidad del sistema una vez completado
el material de entrenamiento asociado con sistemas anteriores
la revisin independiente y migracin de los sistemas del ambiente de prueba al estatus y las libreras de
produccin por parte de la funcin de aseguramiento de la calidad
las herramientas y monitoreo de redes y recursos utilizados para recopilar estadsticas para mantenimiento y
optimizacin, asegurando el soporte a las aplicaciones desarrolladas para lograr un desempeo mximo a un
costo mnimo
registros de una tentativa de desarrollo para determinar la disponibilidad de:
Entrenamiento de usuarios
Seguridad
Desempeo de software
Documentacin y resultados de pruebas
Plan de conversin
Migracin a produccin
Control de cambios durante el desarrollo
Satisfaccin de las necesidades del usuario
Pruebas piloto o en paralelo
Revisin post-implementacin
conclusiones de auditora interna o externa con respecto al proceso de diseo de sistemas
resultados de las pruebas para confirmar si stos satisfacen los criterios predefinidos y si todas las funciones
del sistema fueron incluidas en los planes de prueba
discusiones de la administracin sobre los resultados de las pruebas, as como cualquier prueba terminada o
proyecto de desarrollo
participacin del usuario en el proceso de desarrollo
pistas de auditora dirigidas a recrear una actividad o el anlisis de errores segn sea necesario
participacin del proveedor en la tentativa de desarrollo incluyendo:
lo razonable de los costos
el cumplimiento con las fechas lmite
la funcionalidad entregada y liberada
C COBI OBIT T
8 Identificando:
Para una seleccin de proyectos recientes de ciclo de vida de desarrollo de sistemas:
compromiso del usuario y aprobacin formal en cada fase del proceso de desarrollo de sistemas
plan de pruebas para programas, unidades, sistemas (incluyendo prototipo o en paralelo), conversin, imple-
mentacin, y revisin post-implementacin
consistencia apropiada con los estndares de seguridad y control interno
tareas y calendarizacin apropiadas para la conversin de datos
la realizacin de pruebas independientemente de aqullas de desarrollo, modificacin o mantenimiento del
sistema
aceptacin formal por parte de los usuarios con respecto a la funcionalidad, seguridad, integridad y riesgo
remanente del sistema
Los manuales de operacin para calendarizacin, corridas, recuperacin/reinicio, respaldo / "backout" y solucin de
errores consideran:
la separacin fsica y lgica de las libreras de productos con respecto a las de desarrollo o pruebas
los procedimientos de solucin entre las expectativas de los usuarios y la funcionalidad del sistema entrega-
do y liberado, cuando stos se encuentren en conflicto
Para los proveedores:
la formalidad de las relaciones con los proveedores y la existencia de contratos
la consideracin de servicios especficos y costos
que el desempeo del proveedor es controlado tambin por la metodologa del ciclo de vida de desarrollo de
sistemas de la organizacin
el cumplimiento del proveedor en cuanto a desempeo, fechas lmite y especificaciones de costos de los
contratos
C COBI OBIT T
AI6
S P P P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Adquisicin &
Implementacin
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
P P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


administracin de cambios


minimizar la probabilidad de interrupciones, alteraciones no autoriza-
das y errores


un sistema de administracin que permita el anlisis, imple-
mentacin y seguimiento de todos los cambios requeridos y
llevados a cabo a la infraestructura de TI actual


identificacin de cambios
procedimientos de categorizacin, priorizacin
y emergencia
evaluacin del impacto
autorizacin de cambios
manejo de liberacin
distribucin de software

AI 6 ADMINISTRACIN DE CAMBIOS
8 Entrevistas:
Director de TI
Administracin de desarrollo de sistemas, aseguramiento de la calidad de control de cambios, operaciones y seguridad
Administracin de usuarios seleccionada involucrada en el diseo y utilizacin de aplicaciones de sistemas de informa-
cin

8 Obteniendo:
Polticas y procedimientos organizacionales relacionadas con: planeacin de sistemas de informacin, control de cam-
bios, seguridad y ciclo de vida de desarrollo de sistemas
Polticas y procedimientos de la funcin de servicios de sistemas de informacin relacionadas con: metodologa del
ciclo de vida de desarrollo de sistemas, estndares de seguridad, aseguramiento independiente de la calidad, im-
plementacin, distribucin, mantenimiento, cambios de emergencia, liberacin de software y control de versiones
del sistema.
Plan de desarrollo de aplicaciones
Formato y bitcora de requisiciones de control de cambios
Contratos con proveedores relacionados con servicios de desarrollo de aplicacin
1 Inicio y Control de Requisiciones de Cambio
2 Evaluacin del Impacto
3 Control de Cambios
4 Documentacin y Procedimientos
5 Mantenimiento Autorizado
6 Poltica de Liberacin de Software
7 Distribucin de Software
8 Considerando s:
Existe y se utiliza una metodologa para priorizar los requerimientos de cambios al sistema de los
Se consideran procedimientos de cambios de emergencia en los manuales de operaciones
El control de cambios es un procedimiento formal tanto para los usuarios como para los grupos de desarrollo
La bitcora de control de cambios asegura que todos los cambios mostrados fueron resueltos
El usuario est satisfecho con el resultado de los cambios solicitados - calendarizacin y costos
C COBI OBIT T
Para una seleccin de cambios en la bitcora de control de cambios:
el cambio trajo como resultado modificaciones en los programas y operaciones
los cambios hayan sido llevados a cabo como fueron documentados
la documentacin actual refleja el ambiente modificado
El proceso de cambios es monitoreado en cuanto a mejoras en el conocimiento, efectividad en el tiempo de respuesta y
satisfaccin del usuario con respecto al proceso
El mantenimiento al sistema de Intercambio de rama privada o Exchange Private Branch (PBX) se incluye en los pro-
cedimientos de control de cambios
8 Probando que:
Para una muestra de cambios, la administracin ha aprobado los siguientes puntos:
solicitud de cambios
especificacin del cambio
acceso al programa fuente
finalizacin del cambio por parte del programador
solicitud para mover el programa fuente al ambiente de prueba
finalizacin de pruebas de aceptacin
solicitud de compilacin y paso a produccin
determinacin y aceptacin del impacto general y especfico
desarrollo de un proceso de distribucin
La revisin del control de cambios en cuanto a la inclusin de:
fecha del cambio solicitado
persona(s) que lo solicitan
solicitud aprobada de cambios
aprobacin del cambio realizado - funcin de servicios de informacin
aprobacin del cambio realizado usuarios
fecha de actualizacin de documentacin
fecha de paso a produccin
aprobacin del cambio por parte de aseguramiento de la calidad
aceptacin por parte de operaciones
Los tipos de anlisis de cambios realizados al sistema para la identificacin de tendencias
La evaluacin de la adecuacin de las libreras de la funcin de servicios de informacin y la determinacin de la
existencia de niveles de cdigo base para prevenir la regresin de errores
Existen procedimientos de entradas y salidas ("check in/check out) para cambios
Todos los cambios en la bitcora fueron resueltos a satisfaccin de los usuarios y que no se llevaron a cabo cambios
que no hayan sido registrados en la bitcora
Los usuarios tienen consciencia y conocimiento de la necesidad de procedimientos formales de control de cambios
El proceso de reforzamiento del personal asegura el cumplimiento de los procedimientos de control de cambios
8 Llevando a cabo:
Mediciones ("Benchmarking") de la administracin de control de cambios contra organizaciones similares o estnda-
res internacionales/buenas prcticas reconocidas en la industria apropiadas
Para sistemas seleccionados de la funcin de servicios de informacin:
una verificacin en cuanto a si la documentacin determina el requerimiento o si el cambio del sistema ha
sido aprobado y priorizado por parte de la administracin de las reas usuarias afectadas y el proveedor de
servicios
la confirmacin de la existencia y adecuacin de evaluacin del impacto en formas de control de cambios
la obtencin del conocimiento del cambio a travs de un acuse de recibo de solicitud de cambios de la fun-
cin de servicios de informacin
la asignacin del cambio a los recursos apropiados de desarrollo
la adecuacin de los sistemas y los planes de prueba de los usuarios y sus resultados
la migracin formal de prueba a produccin va grupo de aseguramiento de la calidad
la actualizacin de los manuales de usuario y de operacin para reflejar el cambio
la distribucin de la nueva versin a los usuarios apropiados
8 Identificando:
Para una seleccin de cambios de informacin que:
slo se llevaron a cabo cambios aprobados
todos los cambios han sido considerados
las libreras actuales (fuente y objeto) reflejan los cambios ms recientes
las variaciones en el procedimiento de control de cambios entre:
aplicaciones adquiridas e internas
software de aplicacin y de sistemas
tratamiento del control de cambios por parte del proveedor
C COBI OBIT T
ENTREGA & SOPORTE
C COBI OBIT T
ENTREGA DE SERVICIOS Y SOPORTE
DS1
S S S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo
P P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Definicin de niveles de servicio


establecer una comprensin comn del nivel de servicio reque-
rido


el establecimiento de convenios de niveles de servicio
que formalicen los criterios de desempeo contra los
cuales se medir la cantidad y la calidad del servicio


convenios formales
definicin de responsabilidades
tiempos y volmenes de respuesta
dependencias
cargos
garantas de integridad
convenios de confidencialidad

DS 1 DEFINICIN DE NIVELES DE SERVICIO
8 Entrevistas:
Director de Informacin
Administrador del nivel de servicio/contrato de servicios de informacin
Administrador de operaciones de la funcin de servicios de informacin
Administracin de usuarios

8 Obteniendo:
Polticas y procedimientos generales para la organizacin asociadas a las relaciones proveedor/usuario
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con:
Acuerdos de nivel de servicio
Contenido de emisin de reportes operativos, tiempos y distribucin
Mtodos de seguimiento de desempeo
Actividades de accin correctiva
Documentacin de la funcin de servicios de informacin relacionada con:
Reportes de desempeo de nivel de servicio
Algoritmos de cargo y metodologa para calcular cargos
Programas de mejora del servicio
Recurso resultante de un bajo desempeo
Acuerdos de nivel de servicio con usuarios y proveedores internos y externos
1 Marco de Referencia para el Convenio de Nivel de Servicio
2 Aspectos sobre los Acuerdos de Nivel de Servicio
3 Procedimientos de Ejecucin
4 Monitoreo y Reporte
5 Revisin de Convenios y Contratos de Nivel de Servicio
6 Elementos sujetos a Cargo
7 Programa de Mejoramiento del Servicio
8 Considerando s:
Se identifica por poltica un proceso de acuerdo de nivel de servicio
La participacin en el proceso por parte del usuario se requiere para la creacin y modificacin de acuerdos
Estn definidas las responsabilidades de usuarios y proveedores
La administracin monitorea y emite reportes sobre el logro de los criterios de desempeo de servicio especificados y
sobre todos los problemas encontrados
C COBI OBIT T
Existe un proceso de revisin regular llevado a cabo por la administracin
Se identifica un proceso de recurso en caso de un bajo desempeo
Los acuerdos de nivel de servicio incluyen, pero no se limitan a contar con:
definicin de servicio
costo del servicio
nivel de servicio mnimo cuantificable
nivel de soporte por parte de la funcin de servicios de informacin
disponibilidad, confiabilidad y capacidad de crecimiento
planeacin de recuperacin en caso de desastre/contingencia
requerimientos de seguridad
procedimientos de cambio para cualquier parte del acuerdo
acuerdo por escrito y formalmente aprobado entre el proveedor y el usuario del servicio
revisin/renovacin/no renovacin del perodo efectivo y del nuevo perodo
contenido y frecuencia del reporte de desempeo y pago de servicios
cargos realistas comparados contra la historia, la industria y las buenas prcticas
clculo de cargos
compromiso de mejoras al servicio
8 Probando que:
Para una muestra de acuerdos pasados y en proceso, el contenido incluye:
definicin del servicio
costo del servicio
nivel de servicio mnimo cuantificable
nivel de soporte por parte de la funcin de servicios de informacin
disponibilidad, confiabilidad y capacidad de crecimiento
procedimiento de cambios para cualquier parte del acuerdo
planeacin de recuperacin en caso de desastre/contingencia
acuerdo por escrito y formalmente aprobado entre el proveedor y el usuario del servicio
revisin/renovacin/no renovacin del perodo efectivo y nuevo perodo
contenido y la frecuencia del reporte de desempeo el pago de servicios
cargos realistas comparados con la historia, la industria y las buenas prcticas
clculos de cargos
compromiso de mejoras al servicio
aprobacin formal por parte de usuarios y proveedores
Los usuarios apropiados estn conscientes, tienen conocimiento y comprenden los procesos y procedimientos del
acuerdo de nivel de servicio
El nivel de satisfaccin del usuario en cuanto al proceso y acuerdos reales del nivel de servicio actuales es suficiente
El servicio proporciona registros para asegurar razones para un bajo desempeo ("non-performance") y para asegurar
que existe un programa para la mejora del desempeo
La precisin de los cargos reales concuerda con el contenido del acuerdo
Se da seguimiento al desempeo histrico comparndolo contra el compromiso de mejora al servicio determinado an-
teriormente
Los reportes sobre el logro del desempeo de servicio especificado son utilizados apropiadamente por la administra-
cin para asegurar un desempeo satisfactorio
Los reportes sobre todos los problemas encontrados son utilizados apropiadamente para asegurar que se toman las ac-
ciones correctivas correspondientes
8 Llevando a cabo:
Mediciones ("Benchmarking") de los acuerdos del nivel de servicio contra organizaciones similares o estndares inter-
nacionales/buenas prcticas reconocidas en la industria
Una revisin:
del acuerdo de nivel de servicio para determinar que se definen y alcanzan las provisiones cualitativas y
cuantitativas que confirman las obligaciones
del acuerdo de nivel de servicio seleccionado para confirmar que los procedimientos de solucin de proble-
mas, especficamente el desempeo bajo sean incluidos y llevados a cabo

8 Identificando:
La conveniencia de las provisiones que describen, coordinan y comunican la relacin entre el proveedor y el usuario de
los servicios de informacin
Clculos incorrectos para categoras seleccionadas de informacin
Revisiones continuas y acciones correctivas llevadas a cabo por la administracin de reportes del nivel de servicio
La conveniencia de las mejoras a los servicios propuestos en comparacin con el anlisis costo/beneficio
La conveniencia de la capacidad de los proveedores para alcanzar en el futuro los objetivos comprometidos de mejoras
C COBI OBIT T
DS2
S S S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo
P P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


administracin de servicios prestados por terceros


asegurar que las tareas y responsabilidades de las terceras partes estn
claramente definidas, que cumplan y continen satisfaciendo los re-
querimientos


medidas de control dirigidas a la revisin y monitoreo de
contratos y procedimientos existentes, en cuanto a su efecti-
vidad y suficiencia, con respecto a las polticas de la organi-
zacin


acuerdos de servicio con terceras partes
acuerdos de confidencialidad
requerimientos legales regulatorios
monitoreo de la entrega de servicio

DS 2 ADMINISTRACIN DE SERVICIOS PRESTADOS POR TERCEROS
8 Entrevistas:
Administrador de contrato/nivel de servicio de servicios de informacin
Administracin de las operaciones de la funcin de servicios de informacin
Funcionario de seguridad de la funcin de servicios de informacin

8 Obteniendo:
Polticas generales para la organizacin asociadas con los servicios adquiridos y en particular, con las relaciones con
proveedores como terceras partes
Polticas y procedimientos de la funcin de servicios de informacin asociadas con: relaciones con terceras partes, pro-
cedimientos de seleccin de proveedores, contenido del control de dichas relaciones, seguridad lgica y fsica,
mantenimiento de la calidad por parte de los proveedores, planeacin de contingencias y fuentes externas
Una lista de todas las relaciones actuales con terceras partes y de los contratos reales asociados con ellas
El reporte del nivel de servicio relacionado con las relaciones y servicios proporcionados por terceras partes
Las minutas de las reuniones en las que se discuten la revisin de los contratos, la evaluacin del desempeo y la admi-
nistracin de las relaciones
Los acuerdos de confidencialidad para todas las relaciones con terceras partes
Las listas de seguridad de acceso con los perfiles y recursos disponibles para los vendedores
1 Interfases con Proveedores
2 Relaciones de propietarios
3 Contratos con Terceros
4 Calificaciones de Terceros
5 Contratos con Fuentes Externas
6 Continuidad de Servicios
7 Relaciones de Seguridad
8 Monitoreo
8 Considerando s:
Existen polticas y procedimientos de la funcin de servicios de informacin asociadas con las relaciones con terceras
partes, y si stas son consistentes con las polticas generales de la organizacin
Existen polticas que consideran especficamente la necesidad de contratos, de una definicin del contenido de los mis-
mos, del propietario o administrador de las relaciones responsable de asegurar la creacin, mantenimiento, moni-
toreo y renegociacin de los contratos
LINEAMIENTOS DE AUDITORA 126
C COBI OBIT T
Considerando si, contina
Las interfaces estn definidas para agentes independientes involucrados en la conduccin del proyecto y dems partes
como los subcontratados.
Los contratos representan un registro completo de las relaciones con los proveedores como terceras partes
Los contratos estn establecidos especficamente para la continuidad de los servicios, y que dichos contratos incluyen
una planeacin de contingencias por parte del proveedor para asegurar la continuidad del servicio a los usuarios de
stos
El contenido de los contratos incluye por lo menos lo siguiente:
aprobacin formal administrativa y legal
entidad legal que proporciona los servicios
servicios proporcionados
acuerdos cualitativos y cuantitativos de nivel de servicio
costo de los servicios y frecuencia de su pago
proceso de solucin de problemas
sanciones por bajo desempeo
proceso de disolucin
proceso de modificacin
reporte de servicio - contenido, frecuencia y distribucin
funciones entre las partes del contrato durante la vida del mismo
aseguramiento de continuidad que indica que el servicio ser proporcionado por el proveedor
usuarios de los servicios y procesos y frecuencia de las comunicaciones del proveedor
duracin del contrato
nivel de acceso proporcionado por el proveedor
garantas de confidencialidad
derecho a acceso y a auditar
Los acuerdos de depsito se han negociado en su momento
Los terceros en potencia se han calificado adecuadamente mediante la evaluacin de su habilidades para proveer el
servicio requerido (vencimiento del trabajo)
8 Probando que:
La precisin y existencia de la lista de contratos y de los contratos
Ningn servicio es proporcionado por algn proveedor no incluido en la lista de contratos mencionada
Los proveedores mencionados en los contratos efectivamente estn llevando a cabo los servicios definidos
La administracin/los propietarios de los proveedores comprenden su responsabilidad dentro del contrato
Las polticas y procedimientos de la funcin de servicios de informacin asociadas con las relaciones con terceras partes
existen y son consistentes con las polticas generales de a organizacin
Existen polticas que consideran especficamente la necesidad de establecer contratos, la definicin del contenido de los
mismos, del propietario o administrador de la relacin responsable de asegurar que los contratos sean creados, man-
tenidos, monitoreados y renegociados segn se requiera
Los contratos representan un registro completo de las relaciones con los proveedores como terceras partes
Los contratos estn establecidos para asegurar especficamente la continuidad de los servicios, y que dichos contratos
incluyen una planeacin de contingencias por parte del proveedor para asegurar el servicio continuo a los usuarios
El contenido de los contratos incluyen por lo menos lo siguiente:
aprobacin formal administrativa y legal
entidad legal para proporcionar los servicios
servicios proporcionados
acuerdos cuantitativos y cualitativos del nivel de servicio
costo y frecuencia de los servicios y su pago
proceso de solucin de problemas
sanciones por bajo desempeo
proceso de disolucin
proceso de modificacin
reporte de servicios - contenido, frecuencia y distribucin
funciones entre las partes del contrato durante la vida del mismo
aseguramiento de la continuidad de los servicios prestados por el proveedor
usuarios de los servicios y frecuencia del proceso de comunicaciones del proveedor
duracin del contrato
nivel de acceso proporcionado por el proveedor
garantas de confidencialidad
derecho de acceso y de auditar
Los usuarios tienen consciencia, conocimiento y comprenden la necesidad de contar con polticas de contratos y con los
contratos mismos para proporcionar servicios
Existe una independencia adecuada entre el proveedor y la organizacin
Se dan independientemente la bsqueda y la seleccin de proveedores
La lista de seguridad de acceso incluye nicamente un nmero mnimo de proveedores requeridos, y que dicho acceso es
el mnimo necesario
El acceso de hardware y software a los recursos de la organizacin es administrado y controlado para minimizar su utili-
zacin por parte de los proveedores
El nivel real de servicios proporcionados se compara en gran medida con las obligaciones contractuales
Las instalaciones, personal, operaciones y controles de fuentes externas aseguran un nivel de desempeo requerido com-
parable con el esperado
El monitoreo continuo de liberacin y entrega de servicios por parte de terceros es llevado a cabo por la administracin
Se llevan a cabo auditoras independientes de las operaciones de la parte contratante
Existen los reportes de evaluacin para terceros con el fin de evaluar sus capacidades para entregar el servicio requerido
Las interfases de los agentes independientes involucrados en la conduccin del proyecto estn documentadas en el con-
trato.
La historia de la actividad de litigacin - actual y anterior
Los contratos con proveedores PBX estn y cubiertos
C COBI OBIT T
8 Llevando a cabo:
Mediciones ("Benchmarking") de los servicios de terceras partes contra organizaciones similares o estndares internacio-
nales/buenas prcticas reconocidas en la industria
Una revisin detallada de cada uno de los contratos de terceras partes para determinar provisiones cualitativas y cuantita-
tivas que confirmen la definicin de las obligaciones
8 Identificando:
Provisiones que describen, coordinan y comunican la relacin entre el proveedor y el usuario de los servicios de informa-
cin
Facturas de terceras parte que reflejan cargos precisos por servicios por contrato seleccionados
El vnculo de la organizacin con los proveedores como terceras partes que asegura la comunicacin de problemas de
contrato entre las partes y los usuarios de los servicios
La aprobacin de todos los contratos por parte de la administracin y el consejo legal
La puesta en prctica de evaluaciones de riesgos para confirmar la necesidad de las relaciones o la necesidad de modifi-
car la relacin
La revisin continua y las acciones correctivas sobre los reportes de contratos llevadas a cabo por la administracin
Lo razonable de la aplicacin de los cargos en comparacin con el desempeo interno, externo y de la industria
La existencia de planes de contingencia para todos los servicios contratados, especficamente para los servicios de recu-
peracin en caso de desastre de la funcin de servicios de informacin
Para las funciones de fuentes externas, defectos aparentes u oportunidades para mejorar el desempeo o reducir costos
La implementacin de recomendaciones contenidas en auditoras independientes llevadas a cabo por la parte contratante
C COBI OBIT T
DS3
S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo
P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


administracin de desempeo y capacidad


asegurar que la capacidad adecuada est disponible y que se
est haciendo el mejor uso de ella para alcanzar el desempeo
deseado


controles de manejo de capacidad y desempeo que
recopilen datos y reporten acerca del manejo de cargas
de trabajo, tamao de aplicaciones, manejo y demanda
de recursos


requerimientos de disponibilidad y desem-
peo
monitoreo y reporte
herramientas de modelado
administracin de capacidad
disponibilidad de recursos
DS 3 ADMINISTRACIN DE DESEMPEO Y CAPACIDAD
8 Entrevistas:
Administracin de operaciones de la funcin de servicios de informacin
Administracin de la capacidad de la funcin de servicios de informacin
Administracin de redes de la funcin de servicios de informacin

8 Obteniendo:
Polticas y procedimientos globales para la organizacin relacionados con la disponibilidad, monitoreo y reporte del
desempeo, pronstico de la carga de trabajo, administracin de la capacidad y calendarizacin
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: el enlace de la capacidad con el
plan del negocio, la disponibilidad de los servicios, la planeacin de la disponibilidad, el monitoreo continuo y la
administracin del desempeo
Representaciones del producto por parte del proveedor con respecto a las normas de capacidad y desempeo
Una lista de todos los productos actuales del proveedor en lo referente a hardware, software, comunicaciones y perif-
ricos
Reportes de monitoreo de redes de comunicacin
Minutas de las reuniones en las que se discuten la planeacin de la capacidad, las expectativas de desempeo y la
"afinacin" del desempeo
Documentos de disponibilidad, capacidad, carga de trabajo y planeacin de recursos
Presupuesto de TI anual incluyendo las suposiciones relacionadas con la capacidad y el desempeo
Reportes relacionados con el desempeo operativo dentro de la funcin de servicios de informacin, incluyendo el
reporte y la historia de la solucin de problemas
1 Requerimientos de Disponibilidad y Desempeo
2 Plan de Disponibilidad
3 Monitoreo y Reporte
4 Herramientas de Modelado
5 Manejo de Desempeo Proactivo
6 Pronstico de Carga de Trabajo
7 Manejo de Capacidad de Recursos
8 Disponibilidad de Recursos
9 Calendarizacin de Recursos
8 Considerando s:
Los perodos de tiempo y el nivel de servicio estn definidos para todos los servicios proporcionados por la funcin de
C COBI OBIT T
servicios de informacin
Los perodos de tiempo y los niveles de servicio reflejan los requerimientos del usuario
Los perodos de tiempo y los niveles de servicio son consistentes con las expectativas de desempeo del potencial del
equipo
Existe un plan de disponibilidad, si ste es actual y refleja los requerimientos del usuario
Se lleva a cabo y se reporta un monitoreo continuo del desempeo de todo el equipo y de la capacidad, y si la falta de
un desempeo adecuado es considerada por la administracin y si se consideran formalmente las oportunidades de
mejoras al desempeo
Se monitorea el desempeo ptimo de configuracin utilizando herramientas de modelado para maximizar el desempe-
o y al mismo tiempo, minimizar la capacidad a los niveles requeridos
Los usuarios y los grupos de desempeo operativo revisan proactivamente la capacidad, el desempeo, y si se llevan a
cabo modificaciones a la calendarizacin de la carga de trabajo
El pronstico de la carga de trabajo incluye las entradas hechas por los usuarios debido a demandas cambiantes y por
los proveedores debido a nueva tecnologa o a mejoras a los productos actuales
8 Probando que:
Las estadsticas sobre reportes de desempeo, capacidad y disponibilidad son precisas, incluyendo una comparacin
entre las explicaciones de las variaciones de desempeo histricas y las pronosticadas
El proceso de cambios para modificar los documentos de planeacin de disponibilidad, capacidad y carga de trabajo
refleja los cambios en la tecnologa o los requerimientos del usuario
Los reportes de anlisis de flujo de trabajo consideran las oportunidades de eficiencia de procesos adicionales
El reporte de informacin del desempeo para los usuarios relacionado con el uso y la disponibilidad, existe, incluyen-
do capacidad calendarizacin de carga de trabajo y tendencias
Existen procedimientos de escalamiento, que stos son seguidos y son apropiados para la solucin de problemas
La fase de post - implementacin de la metodologa de desarrollo de sistemas incluye criterios para determinar el creci-
miento futuro y los cambios a las expectativas de desempeo
Los niveles de soporte proporcionados por la funcin de servicios de informacin son suficientes para apoyar las metas
de la organizacin
8 Llevando a cabo:
Mediciones ("Benchmarking") de la administracin del desempeo y la capacidad contra organizaciones similares o
estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Pruebas de las necesidades continuas del negocio, para asegurar que los trminos y requerimientos de disponibilidad
de TI reflejan adecuadamente estas necesidades
Una revisin del proceso de planeacin de capacidad y recursos para asegurar la modificacin oportuna de los planes,
tomando como base las necesidades cambiantes del negocio
Una verificacin para asegurar que las expectativas de desempeo estn siendo alcanzadas en lo referente a capacidad,
respuesta y disponibilidad
Una comparacin de los requerimientos de desempeo desde una perspectiva de anlisis costo/beneficio, para asegurar
que no existen excedentes de capacidad o recursos
Una verificacin peridica del reporte de desempeo producido y revisado por la administracin
Identificando:
Reportes de desempeo en cuanto a oportunidades de mejora o solucin de debilidades
Las expectativas de desempeo de los usuarios estn siendo satisfechas, y que las modificaciones basadas en cambios
de requerimientos estn siendo reflejadas en el plan
Bitcoras o reportes de problemas que confirmen que los problemas ocurridos durante el procesamiento fueron consi-
derados oportunamente y que se llevaron a cabo las acciones correctivas apropiadas
Problemas especficos encontrados y el aseguramiento de la efectividad del proceso de solucin de problemas
C COBI OBIT T
DS4
P S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo
P P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


garantizar la seguridad de sistemas


mantener el servicio disponible de acuerdo con los requeri-
mientos y continuar su provisin en caso de interrupciones


teniendo un plan de continuidad probado y funcional,
que est alineado con el plan de continuidad del nego-
cio y relacionado con los requerimientos de negocio


clasificacin de severidad
plan documentado
procedimientos alternativos
respaldo y recuperacin
pruebas y entrenamiento sistemticos y
regulares

DS 4 ASEGURAMIENTO DE SERVICIO CONTINUO
8 Entrevistas:
Administracin de contingencias de la funcin de servicios de informacin
Administracin de recursos humanos o entrenamiento
Organizaciones de usuarios con necesidades de reanudacin/contingencia
Administrador del centro de cmputo de recuperacin del proveedor
Administrador del almacenamiento fuera del centro de cmputo
Administrador de riesgos/seguros

8 Obteniendo:
Polticas y procedimientos generales para la organizacin relacionados con el proceso de planeacin de recuperacin/
contingencia
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: el marco referencial, el plan, la
filosofa, la estrategia, la priorizacin de aplicaciones, el plan de pruebas, los respaldos y rotaciones regulares y el
entrenamiento de recuperacin de desastres/contingencia
El plan de recuperacin de desastres/contingencia de la funcin de servicios de informacin
Los usuarios de los servicios de planes de reanudacin del negocio/contingencia
Los resultados de las pruebas de los planes para usuario de recuperacin de desastre/contingencia y reanudacin del
negocio/contingencia ms recientes
La metodologa para determinar la priorizacin de aplicaciones en caso de desastre
Los contratos de los proveedores que dan soporte a los servicios de recuperacin/soporte
Polticas de seguros por interrupcin del negocio
1 Marco de Referencia para Continuidad de TI
2 Estrategia y Filosofa del Plan de Continuidad de TI
3 Contenido del Plan de Continuidad de TI
4 Reduccin de los Requerimientos de la Continuidad de TI
5 Mantenimiento del Plan de Continuidad de TI
6 Prueba del Plan de Continuidad de TI
7 Capacitacin para el Plan de Continuidad de TI
8 Distribucin del Plan de Continuidad de TI
9 Procedimientos de Respaldo del Procesamiento Alterno en el Departamento Usuario
10 Recursos de TI Crticos
11 Respaldo del Sitio y Hardware
12 Procedimientos de Involucramiento
C COBI OBIT T
8 Considerando s:
Las polticas organizacionales requieren de un marco referencial de recuperacin/contingencia y de un plan como parte
de los requerimientos normales de operacin tanto para la funcin de servicios de informacin como para todas las
organizaciones dependientes de los recursos de sistemas de informacin
Las polticas y procedimientos de la funcin de servicios de informacin requieren de:
una filosofa y un marco referencial consistentes en relacin con el desarrollo de un plan de recuperacin de desas-
tres/contingencia
una priorizacin de las aplicaciones con respecto a los tiempos de recuperacin y regreso
una evaluacin de riesgos y la consideracin de seguros por prdidas del negocio en situaciones de recuperacin
de desastre/contingencia para la funcin de servicios de informacin, as como para los usuarios de los recursos
una determinacin de funciones y responsabilidades especficas con respecto a la planeacin de recuperacin de
desastres/contingencia con pruebas, mantenimiento y requerimientos de actualizacin especficos
un acuerdo de contrato formal con los proveedores que prestan servicios para proporcionar servicios en caso de
desastre, incluyendo instalaciones de centro de cmputo o relaciones de respaldo, anticipndose a una necesidad
real
la inclusin de los siguientes puntos como contenido mnimo en cada plan de recuperacin de desastre/
contingencia:
Procedimientos de emergencia para garantizar la seguridad de todos los miembros del personal afectados
Funciones y responsabilidades de la funcin de servicios de informacin, de los proveedores que prestan ser-
vicios de recuperacin de desastres, de los usuarios de los servicios y del personal administrativo de soporte
Un marco referencial de recuperacin de desastres consistente con un plan de contingencias a largo plazo
Una lista de los recursos de sistemas que requieren alternativas (hardware, perifricos, software)
Una lista de las aplicaciones mayores y menores, de los tiempos de recuperacin requeridos y de las normas
de desempeo esperadas
Funciones administrativas para comunicar y proporcionar servicios de soporte tales como beneficios, nmina,
comunicacin externa, seguimiento de costos, etc. en caso de desastre
Escenarios de desastre varios, desde las prdidas mnimas hasta la prdida total de la capacidad y respuesta
en suficiente detalle para llevar a cabo una ejecucin paso a paso.
La identificacin de equipo especfico y necesidades de suministros tales como impresoras de alta velocidad,
firmas, formatos, equipo de comunicacin, telfonos, etc., as como de una fuente y fuente
El entrenamiento, la consciencia y el conocimiento de las funciones individuales y de equipo en el plan de
recuperacin de desastre
La calendarizacin de las pruebas, los resultados de la ltima prueba y las acciones correctivas llevadas a
cabo tomando como base la(s) prueba(s) anterior(es)
El detalle de los proveedores de servicios contratados, de los servicios y de la expectativas de respuesta
La informacin logstica de la localizacin recursos clave, incluyendo el centro de cmputo de respaldo para
la recuperacin de sistemas operativos, aplicaciones, archivos de datos, manuales de operacin y documenta-
cin de programas/sistema/usuarios
Los nombres, direcciones, nmeros de telfono/ "localizadores" (pagers) actuales del personal clave
La inclusin de los planes de reconstruccin para la recuperacin en la localidad original de todos los siste-
mas y recursos
Las alternativas de reanudacin del negocio para todos los usuarios para el establecimiento de localidades de
trabajo alternativas, una vez que los recursos de sistemas de informacin estn disponibles (por ejemplo, el
sistema ha sido recuperado en el centro de cmputo alternativo pero el edificio de los usuarios sufri un in-
cendio y no est disponible
Los requerimientos de la agencia reguladora con respecto a la planeacin de contingencia estn siendo satisfechos
Los planes de contingencia para usuarios son desarrollados tomando como base la no disponibilidad de los recursos
fsicos para llevar a cabo procesamientos crticos - manuales y computarizados
Los sistemas de telefona, Correo de Voz, fax y sistemas de imgenes son parte del plan de continuidad
Los sistemas de imgenes, los sistemas de fax, los documentos en papel y los medios de almacenamiento masivo son
parte del plan de continuidad.
8 Probando que:
Existen planes de recuperacin de desastre/contingencia, que ste es actual y que es comprendido por todas las partes
afectadas
Se ha proporcionado a todas las partes involucradas un plan regular de entrenamiento de contingencia y recuperacin
en caso de desastre
Se han seguido todas las polticas y procedimientos relacionadas con el desarrollo del plan
El contenido del plan tiene como base el contenido descrito anteriormente, y que:
los objetivos del plan de contingencia han sido alcanzados
se ha seleccionado a las personas apropiadas para llevar a cabo funciones de liderazgo
el plan ha recibido las revisiones y aprobaciones apropiadas por parte de la administracin
el plan ha sido probado recientemente y que ste trabaj de acuerdo con lo esperado, o que cualquier defi-
ciencia encontrada trajo como resultado la aplicacin de correcciones al plan
existe un vnculo entre el plan de recuperacin en caso de desastres y el plan de negocios de la organizacin
los procedimientos manuales alternativos son documentados y probados como parte de la prueba global
Se han dado el entrenamiento, la consciencia y el conocimiento de los usuarios y del personal de la funcin de servi-
cios de informacin en cuanto a funciones, tareas y responsabilidades especficas dentro del plan
Las relaciones y tiempos del proveedor contratado son consistentes con las expectativas y necesidades del usuario
El contenido del centro de cmputo de respaldo est actualizado y es suficiente con respecto a los procedimientos nor-
males de rotacin fuera del centro de cmputo
8 Llevando a cabo:
Mediciones ("Benchmarking") de la planeacin de recuperacin de desastres/contingencias contra organizaciones simi-
lares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
los objetivos del plan para asegurar una estrategia apropiada y una interfase con la estrategia de continuidad
general del negocio
la comprensin apropiada del personal con respecto a proporcionar liderazgo como coordinadores del plan
el plan verificado y aprobado por los niveles apropiados de la presidencia
los miembros seleccionados de la funcin de servicios de informacin y del departamento usuario para verifi-
car que las necesidades del negocio estn incluidas en el plan de contingencia
C COBI OBIT T
los procedimientos de usuario para el procesamiento de datos manual alternativo para asegurar que stos es-
tn documentados por los departamentos usuarios con el fin de ser utilizados cuando ocurra un desastre, y
hasta que haya posibilidad de restaurar las operaciones despus del desastre
los suministros de aplicacin especficos, para asegurar que existe inventario suficiente en un centro de cm-
puto exterior (por ejemplo, cintas magnticas, reserva de cheques, reserva de certificados, etc.)
8 Identificando:
Los contratos de los proveedores para verificar los tiempos para obtener suministros y la suficiencia de detalles del
servicio, oportunidad, niveles de servicio y costos
Las provisiones para adquirir componentes de redes o de telecomunicaciones especializadas
Escenarios varios a corto plazo y permanentes como parte del plan
La priorizacin de aplicaciones ocurridas en forma consistente con las expectativas de los usuarios
Que existen contratos por escrito para instalaciones de centro de cmputo externas proporcionales a las necesidades
Velocidad, respuesta, disponibilidad y soporte de procesamiento del centro de cmputo alternativo, suficientes para los
requerimientos de los usuarios
Plan(es) de recuperacin de desastre del (de los) proveedor(es) para asegurar la continuidad de sus servicios en caso de
desastre
La lejana de los servicios alternativos del proveedor con respecto al centro de cmputo original, con el fin de eliminar
la posibilidad de desastres mutuos
Pruebas peridicas del plan, habiendo ocurrido ajustes al plan basndose en pruebas
Al personal usuario y de la funcin de servicios de informacin, asegurndose que haya recibido regularmente entrena-
miento en recuperacin de desastres
La existencia de equipos, funciones y responsabilidades de reconstruccin similares, as como pruebas para migrar el
procesamiento desde el lugar de procesamiento alternativo al centro de cmputo original
C COBI OBIT T
DS5
S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo
P P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


garantizar la seguridad de sistemas


salvaguardar la informacin contra uso no autorizados, divulga-
cin, modificacin, dao o prdida


controles de acceso lgico que aseguren que el acceso
a sistemas, datos y programas est restringido a usua-
rios autorizados


autorizacin
autenticacin
acceso
perfiles e identificacin de usuarios
administracin de llaves criptogrficas
manejo, reporte y seguimiento de inciden-
tes
Prevencin y deteccin de virus
Firewalls

DS 5 GARANTIZAR LA SEGURIDAD DE SISTEMAS
8 Entrevistas:
Oficial de seguridad Senior de la organizacin
Administracin de la seguridad y presidencia de la funcin de servicios de informacin
Administrador de la base de datos de la funcin de servicios de informacin
Administrador de la seguridad de la funcin de servicios de informacin
Administracin de desarrollo de aplicaciones de la funcin de servicios de informacin

8 Obteniendo:
Polticas y procedimientos globales para la organizacin referentes a la seguridad y el acceso de los sistemas de infor-
macin
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: seguridad y acceso a los siste-
mas de informacin
Polticas y procedimientos relevantes, as como requerimientos de seguridad legales y regulatorios de los sistemas de
informacin (por ejemplo, leyes, regulaciones, lineamientos, estndares industriales) incluyendo:
1 Manejo de las Medidas de Seguridad
2 Identificacin, Autenticacin y Acceso
3 Seguridad de Acceso a Datos en Lnea
4 Administracin de Cuentas de Usuario
5 Revisin Gerencial de Cuentas de Usuario
6 Control de Usuario de las Cuentas de Usuario
7 Vigilancia de Seguridad
8 Clasificacin de Datos
9 Administracin Centralizada de Identificacin y Derechos de Acceso
10 Reportes de Actividades de Violacin y Seguridad
11 Manejo de Incidentes
12 Re-acreditacin
13 Confianza en el Colega
14 Autorizacin de Transaccin
15 No Rechazo
16 Ruta Confiable
17 Proteccin de las Funciones de Seguridad
18 Administracin de Llaves Criptogrficas
19 Prevencin, Deteccin y Correccin del Software Daino
20 Arquitectura de Firewalls y Conexiones con las Redes Pblicas
21 Proteccin del Valor Electrnico
C COBI OBIT T
procedimientos de administracin de cuentas de usuario
poltica de seguridad del usuario o de proteccin de la informacin
estndares relacionados con el comercio electrnico
esquema de clasificacin de datos
inventario de software de control de acceso
plano de los edificios/habitaciones que contienen recursos de sistemas de informacin
inventario o esquema de los puntos de acceso fsico a los recursos de sistemas de informacin (por ejem-
plo, mdems, lneas telefnicas y terminales remotas)
procedimientos de control de cambios de software de seguridad
procedimientos de seguimiento, solucin y escalamiento de problemas
reportes de violaciones a la seguridad y procedimientos de revisin administrativa
inventario de dispositivos de encriptacin de datos y de estndares de encriptacin
lista de los proveedores y clientes con acceso a los recursos del sistema
lista de los proveedores de servicios utilizados en la transmisin de datos
prcticas de administracin de redes relacionadas con pruebas continuas de seguridad
copias de los contratos de los proveedores de servicios de transmisin de datos
copias de documentos firmados de seguridad y conocimiento de los usuarios
contenido del material de entrenamiento de seguridad para nuevos empleados
reportes de auditora de auditores externos, proveedores de servicios como terceras partes y dependen-
cias gubernamentales relacionadas con la seguridad de los sistemas de informacin
8 Considerando s:
Se cuenta con un plan de seguridad estratgico que proporcione una direccin y control centralizados sobre la seguridad de
los sistemas de informacin, as como requerimientos de seguridad de usuario con propsitos de consistencia
Se cuenta con una organizacin de seguridad centralizada responsable de asegurar el acceso apropiado a los recursos del sis-
tema
Se cuenta con un esquema de clasificacin de datos en operacin que indique que todos los recursos del sistema cuentan con
un propietario responsable de su seguridad y contenido
Se cuenta con perfiles de seguridad de usuario que representen los menos accesos requeridos y que muestren revisiones
regulares a los perfiles por parte de la administracin con fines de reacreditacin
El entrenamiento de los empleados incluye un conocimiento y conciencia sobre seguridad, las responsabilidades de los pro-
pietarios y los requerimientos de proteccin contra virus
Se cuenta con reportes de violaciones a la seguridad y procedimientos formales de solucin de problemas. Estos reportes
debern incluir:
intentos no autorizados de acceso al sistema (sign on)
intentos no autorizados de acceso a los recursos del sistema
intentos no autorizados para consultar o modificar las definiciones y reglas de seguridad
privilegios de acceso a recursos por ID de usuario
modificaciones autorizadas a las definiciones y reglas de seguridad
accesos autorizados a los recursos (seleccionados por usuario o recurso)
cambio de estatus de la seguridad del sistema
accesos a las tablas de parmetros de seguridad del sistema operativo
Existen mdulos criptogrficos y procedimientos clave de mantenimiento, si stos son administrados centralizadamente y si
son utilizados para todas las actividades de acceso externo y de transmisin
Existen estndares de administracin criptogrfica claves tanto para la actividad centralizada como para la de los usuarios
Los controles de cambios al software de seguridad son formales y consistentes con los estndares normales de desarrollo y
mantenimiento de sistemas
Los mecanismos de autenticidad en uso proveen las siguientes facilidades:
uso individual de datos de autenticidad (ej., passwords y no re- utilizables)
autentificacin mltiple (ej., se utilizan dos o ms mecanismos de autenticidad diferentes)
autenticidad basada en la poltica (ej., capacidad para especificar procedimientos de autenticidad aparte en los
eventos especficos)
autenticidad a demanda (ej., capacidad de volver a autentificar al usuario, en ocasiones, despus de la autentifica-
cin inicial)
El nmero de sesiones concurrentes correspondientes al mismo usuario estn limitadas
Al entrar, aparece un mensaje de advertencia preventivo en relacin al uso adecuado del hardware, software o conexin.
Se despliega una pantalla de advertencia antes de completar la entrada para informar al lector que los accesos no autorizados
podran causar responsabilidades legales
Al lograrse la sesin exitosamente, se despliega el historial de los intentos exitosos y fallidos de acceso a la cuenta del usuario
La poltica de password incluye:
cambio inicial de password la primera vez de uso
longitud adecuada mnima del password
la frecuencia obligada mnima de cambio de password
verificacin del password en la lista de valores no permitidos (ej., verificacin de diccionario)
proteccin adecuada para los passwords de emergencia
El procedimiento formal para resolucin de problemas incluye:
ID de usuario suspendido despus de 5 intentos de entrada fallidos
Fecha del ltimo acceso y el nmero de intentos fallidos se despliega al usuario autorizado de las entradas
El tiempo de autenticidad se limita a 5 minutos, despus del cual se concluye la sesin
Se le informa al usuario la suspensin, pero no la razn de la misma
Los procedimientos de marcacin incluyen la marcacin anterior o autenticidad base prueba
Los mtodos de control de locacin se utilizan para aplicar restricciones adicionales a las locaciones especficas
El acceso al servicio VoiceMail y el sistema PBX est controlado con los mismos controles fsicos y lgicos de los sistemas
computacionales
Ocurren el refuerzo a las polticas de posicin delicada, incluyendo:
se les pide a los empleados en puestos delicados que permanezcan alejados de la organizacin durante un periodo
adecuado cada ao gregoriano; durante este tiempo su ID de usuario se suspende; y las personas que lo sustituyen
deben notificar a la administracin en caso de advertirse cualquier anormalidad de seguridad
la rotacin de personal sin previa notificacin al personal en reas delicadas se realiza de tiempo en tiempo
El hardware y software de seguridad, como los mdulos de encriptacin, estn protegidos contra la intromisin o divulga-
cin, el acceso se limita a la base de la necesidad de conocimiento
El acceso a los datos de seguridad como el manejo de la seguridad, datos de transaccin delicados, passwords y claves de
encriptacin se limita a la base de la necesidad de conocimiento
Se utilizan rutas confiables para transmitir informacin delicada no encriptados
Para evitar la suspensin del servicio por ataques con faxes basura, se toman medidas de seguridad como:
evitar la publicacin de nmeros de fax fuera de la organizacin en la base de necesidad de conocimiento
C COBI OBIT T
las lneas de fax utilizadas para solicitudes del negocio no se utilizan con otros fines
Las medidas preventivas y detectoras de control se han establecido con respecto a los virus de computadoras
Para reforzar la integridad de los valores electrnicos, se toman las medidas:
facilidades de lector de tarjeta protegido contra la destruccin, publicacin o modificacin de la informacin de la
tarjeta
la informacin de la tarjeta (NIP y dems informacin) se protege contra la divulgacin del intruso
se evita la falsificacin de las tarjetas
Para reforzar la proteccin de las facilidad de seguridad, se toman medidas:
el proceso de identificacin y autenticidad requiere ser repetido despus de un cierto periodo de inactividad
un sistema de candado, un botn de fuerza o una secuencia de salida se puede activar cuando la terminal se deja encen-
dida
8 Probando que:
La funcin de servicios de informacin cumple con los estndares de seguridad relacionados con:
autenticacin y acceso
administracin de clasificacin de perfiles de usuario y seguridad de datos
reportes y revisin gerencial de las violacin e incidentes de seguridad
estndares criptogrficos administrativos clave
deteccin de virus, solucin y comunicacin
clasificacin y propiedad de datos
Existen procedimientos para la requisicin, establecimiento y mantenimiento del acceso de usuarios al sistema
Existen procedimientos para el acceso externo de recursos del sistema, por ejemplo, "logon, ID, password o contrasea
y dial back
Se lleva un inventario de los dispositivos del sistema para verificar su suficiencia
Los parmetros de seguridad del sistema operativo tienen como base estndares locales/del proveedor
Las prcticas de administracin de seguridad de la red son comunicadas, comprendidas e impuestas
Los contratos de los proveedores de acceso externo incluyen consideraciones sobre responsabilidades y procedimientos de
seguridad
Existen procedimientos de logon reales para sistemas, usuarios y para el acceso de proveedores externos
Se emiten reportes de seguridad en cuanto a la oportunidad, precisin y respuesta gerencial a incidentes
El acceso a las llaves y mdulos criptogrficos se limita a necesidades reales de consulta
Existen llaves secretas para la transmisin
Los procedimientos para la proteccin contra software maligno incluyen:
todo el software adquirido por la organizacin se revisa contra los virus antes de su instalacin y uso
existe una poltica por escrito para bajar archivos (downloads), aceptacin o uso de aplicaciones gratuitas y com-
partidas y esta poltica est vigente
el software para aplicaciones altamente sensibles est protegido por MAC (Messsage Authentication Code- Cdi-
go de Autentificacin de Mensajes) o firma digital, y fallas de verificacin para evitar el uso del software
los usuarios tienen instrucciones para la deteccin y reportes de virus, como el desempeo lento o crecimiento
misterioso de archivos
existe una poltica y un procedimiento vigente para la verificacin de disquetes externos al programa de compra
normal de la organizacin
Los firewalls poseen por lo menos las siguientes propiedades:
todo el trfico de adentro hacia fuera y viceversa debe pasar por estos firewalls (esto no debe limitarse a los contro-
les digitales, debe reforzarse fsicamente)
slo se permitir el paso al trfico autorizado, como se define en la poltica de seguridad local
los firewalls por s misma es inmune a la penetracin
el trfico se intercambia en firewalls a la capa de aplicacin nicamente
la arquitectura del firewall combina las medidas de control tanto a nivel de la red como de la aplicacin
la arquitectura del firewall refuerza la discontinuidad de un protocolo en la capa de transportacin
la arquitectura del firewall debe estar configurada de acuerdo a la filosofa de arte mnima
la arquitectura del firewall debe desplegar slida autentificacin para la administracin y sus componentes
la arquitecura del firewall oculta la estructura de la red interna
la arquitectura del firewall provee una auditora de todas las comunicaciones hacia o a travs del sistema del fire-
wall y activar alarmas cuando se detecte alguna actividad sospechosa
el host de la organizacin, que provee el soporte para las solicitudes de entrada al servicio de las redes pblicas,
permanece fuera del firewall
la arquitectura del firewall se defiende de los ataques directos (ej., a travs del monitoreo activo de la tecnologa de
reconocimiento de patrones y trfico)
todo cdigo ejecutable se explora en busca de cdigos malignos ej., virus, applets dainos) antes de introducirse a
la red interna
8 Llevando a cabo:
Mediciones (Benchmarking) de la seguridad de los sistemas de informacin contra organizaciones similares o estndares
internacionales/buenas prcticas reconocidas en la industria apropiadas
Una revisin detallada de la seguridad de los sistemas de informacin, incluyendo evaluaciones de penetracin de la seguri-
dad fsica y lgica de los recursos computacionales, de comunicacin, etc.
Entrevistas a los nuevos empleados para asegurar el conocimiento y la conciencia en cuanto a seguridad y en cuanto a las
responsabilidades individuales, por ejemplo, confirmar la existencia de declaraciones de seguridad firmadas y el entre-
namiento para nuevos empleados en cuanto a seguridad
Entrevistas a usuarios para asegurar que el acceso est determinado tomando como base la necesidad (menor necesidad) y
que la precisin de dicho acceso es revisada regularmente por la gerencia
8 Identificando:
Accesos inapropiados por parte de los usuarios a los recursos del sistema
Inconsistencias con el esquema o inventario de redes en relacin con puntos de acceso faltantes, accesorios faltantes, etc.
Deficiencias en los contratos en cuanto a la propiedad y responsabilidades relacionadas con la integridad y seguridad de los
datos en cualquier punto de la transmisin entre en envo y la recepcin
Empleados no verificados como usuarios legtimos o antiguos empleados que cuenten an con acceso
Requisiciones informales o no aprobadas de acceso a los recursos del sistema
Software de monitoreo de redes que no indique a la administracin de redes las violaciones a la seguridad
Defectos en los procedimientos de control de cambios del software de redes
La no utilizacin de llaves secretas en los procedimientos de emisin/recepcin de terceras partes
Deficiencias en los protocolos para generacin de llaves, almacenamiento de distribucin, entrada, uso, archivo y proteccin
La falta de software actualizado para la deteccin de virus o de procedimientos formales para prevenir, detectar, corregir y
comunicar contaminaciones
C COBI OBIT T
DS6
P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo
P P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


identificacin y asignacin de costos


asegurar un conocimiento correcto de los costos atribuibles a los servi-
cios de TI


un sistema de contabilidad de costos que asegure que stos
sean registrados, calculados y asignados a los niveles de
detalle requeridos


recursos identificables y medibles
procedimientos y polticas de cargo
tarifas
DS 6 IDENTIFICACIN Y ASIGNACIN DE COSTOS
8 Entrevistas:
Gerencia administrativa o de asignacin de costos de la funcin de servicios de informacin
Administracin de usuarios seleccionada facturada y absorbente de costos

8 Obteniendo:
Polticas y procedimientos generales para la organizacin relacionadas con la planeacin y la preparacin del presu-
puesto
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con la agregacin de costos, factura-
cin, metodologa y reportes de desempeo/costos
Los siguientes elementos de la funcin de servicios de informacin:
Presupuesto actual y del ao anterior
Reportes de seguimiento de la utilizacin de los recursos de los sistemas de informacin
Datos fuente utilizados en la preparacin de los reportes de seguimiento
Metodologa o algoritmo de asignacin de costos
Reportes histricos de facturacin
Los siguientes elementos de la administracin de usuarios:
Presupuesto actual y del ao anterior para los costos de la funcin de servicios de informacin
Plan de desarrollo y mantenimiento de sistemas de informacin del ao en curso
Gastos presupuestados para los recursos de sistemas de informacin, incluyendo aquellos facturados o absor-
bidos
1 Elementos Sujetos a Cargo
2 Procedimientos de Costeo
3 Procedimientos de Cargo y Facturacin a Usuarios
8 Considerando s:
La funcin de servicios de informacin cuenta con un grupo responsable de reportar y emitir facturas a los usuarios
Existen procedimientos que:
creen un plan anual de desarrollo y mantenimiento con la identificacin de prioridades por parte del usuario en
cuanto a desarrollo, mantenimiento y gastos operacionales
permitan a los usuarios una determinacin de muy alto nivel en cuanto a en qu se gastan los recursos de la fun-
cin de servicios de informacin
generen un presupuesto anual para la funcin de servicios de informacin, incluyendo:
Cumplimiento con los requerimientos organizacionales en cuanto a la preparacin de presupuestos
Consistencia en cuanto a cules costos deben ser asignados por los departamentos usuarios
C COBI OBIT T
Comunicacin de costos histricos, suposicin de nuevos costos para la comprensin del usuario en cuanto
a cules costos son incluidos y facturados
Autorizacin del usuario de todos los costos presupuestados a ser asignados por la funcin de servicios de
informacin
Frecuencia de la emisin de reportes y cargo real de costos a los usuarios
seguimiento de los costos asignados de todos los recursos de los sistemas de informacin en cuanto (pero sin limi-
tarse) a:
Hardware operacional
Equipo perifrico
Utilizacin de telecomunicaciones
Desarrollo y soporte de aplicaciones
Generales administrativos
Costos de servicios de proveedores externos
Help desk
Instalaciones y mantenimiento
Costos directos e indirectos
Gastos fijos y variables
Costos discrecionales
asistan en la emisin regular de reportes para los usuarios en cuanto al desempeo para las distintas categoras de
costos
reporten a los usuarios en cuanto a mediciones (benchmarks) externas relacionadas con la efectividad de costos,
con el fin de permitir una comparacin contra las expectativas de la industria u otras fuentes alternativas de servi-
cios para los usuarios
permitan la modificacin oportuna de la asignacin de costos para reflejar los cambios en las necesidades del ne-
gocio
aprueben y acepten formalmente los cargos al ser recibidos
identifiquen las oportunidades de mejora de la funcin de servicios de informacin para reducir las facturaciones o
para obtener un mejor valor por los cargos
Los reportes aseguran que los elementos sujetos a costo son identificables, medibles y predecibles
Los reportes capturan y resaltan los cambios en los componentes de costos o en el algoritmo de asignacin
8 Probando que:
Existe una metodologa de asignacin de costos, que los usuarios estn de acuerdo en cuanto a su equidad, y que gene-
ra tanto costos como reportes
Existe un programa de mejora para reducir costos o aumentar el desempeo de los recursos de los sistemas de informa-
cin
Los procesos de asignacin y reporte fomentan un uso ms apropiado, efectivo y consistente de los recursos computa-
cionales, que stos aseguran el tratamiento justo de los departamentos usuarios y sus necesidades, y que los cargos
reflejan los costos asociados con la prestacin de servicios
8 Llevando a cabo:
Mediciones (Benchmarking) de la contabilidad de costos y de la metodologa de facturacin contra organizaciones
similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Un reclculo de la facturacin a partir de datos fuente, a travs de un algoritmo de asignacin de facturacin y dentro
del flujo de reportes a usuarios
La precisin de los datos en el reporte de desempeo, como:
utilizacin de CPU
utilizacin de perifricos
utilizacin de DASD
lneas de cdigo escritas
lneas/pginas impresas
modificaciones a programas llevadas a cabo
nmero de PCs, telfonos, archivos de datos
consultas al help desk
nmero, duracin de las transmisiones
La compilacin de los datos fuente de recursos en el reporte de desempeo es correcta
Se cuenta con el algoritmo real para compilar y asignar costos a facturacin
La precisin de la facturacin a usuarios especficos sea probada frecuentemente
Las facturaciones a usuarios sean aprobadas
Se lleven a cabo revisiones de consistencia de la facturacin entre los diferentes usuarios
El progreso en el plan de desarrollo de usuarios tenga como base los costos expendidos
Se lleve a cabo una revisin de la distribucin de reportes en cuanto a utilizacin e informacin de costos
La satisfaccin del usuario en cuanto a :
lo razonable de la facturacin comparada con las expectativas presupuestadas
el plan de desarrollo anual contra los costos
lo razonable de la facturacin comparada con las fuentes alternativas, por ejemplo benchmarks
la comunicacin de tendencias que incrementara/decrementara la facturacin
solucin de las variaciones comparadas contra la facturacin esperada
8 Identificando:
Oportunidades para una mayor efectividad y propiedad de la metodologa de facturacin
incluyendo ms componentes de costos
modificando los ndices o unidades de medida de asignacin de costos
modificando el algoritmo mismo de costos
mecanizando o integrando la funcin de contabilidad con equipo y reportes generadores de aplicaciones
Inconsistencias dentro del algoritmo de asignacin
Inconsistencias de asignacin entre diferentes usuarios
Oportunidades para la mejora de recursos de sistemas
Oportunidades para el usuario con el fin de aplicar de una mejor manera los recursos de servicios de informacin para
alcanzar los requerimientos de negocios del usuario
Mejoras en la eficiencia de los procesos de recopilacin, acumulacin, asignacin, reporte y comunicacin, los cuales
de traducirn en un mejor desempeo o menor costo para los usuarios de los servicios proporcionados
Que las tendencias de costos reflejadas por las variaciones y el anlisis hayan sido traducidas a cargos modificados en
los perodos siguientes y hayan sido reflejadas en la estructura de costos
Que existen oportunidades para hacer de la funcin de servicios de informacin un centro de provecho y beneficios al
proporcionar servicios a otros usuarios internos o externos
Si la funcin de servicios de informacin es un centro de provecho y beneficios, que la contribucin de dichos benefi-
cios contra el plan y el presupuesto sea alcanzada y que destaquen las oportunidades para aumentar los beneficios
C COBI OBIT T
DS7
S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo
P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


educacin y entrenamiento de usuarios


asegurar que los usuarios estn haciendo un uso efectivo de la tecnolo-
ga y estn conscientes de los riesgos y responsabilidades involucrados


un plan completo de entrenamiento y desarrollo


curriculum de entrenamiento
campaas de concientizacin
tcnicas de concientizacin

DS 7 EDUCACIN Y ENTRENAMIENTO DE USUARIOS
8 Entrevistas:
Administrador de entrenamiento o recursos humanos de la organizacin
Administrador de entrenamiento o de recursos humanos de la funcin de servicios de informacin
Administradores y empleados seleccionados de la funcin de servicios de informacin
Administradores y empleados seleccionados de los departamentos usuarios

8 Obteniendo:
Polticas y procedimientos generales para la organizacin con respecto al entrenamiento sobre controles y conciencia
de seguridad, beneficios para los empleados enfocados al desarrollo, programas de entrenamiento para los usua-
rios de servicios, instalaciones educacionales y requerimientos de educacin continua profesional
Programas, polticas y procedimientos de entrenamiento y de educacin de la funcin de servicios de informacin rela-
cionados con controles y conciencia de seguridad, seguridad tcnica y controles
Programas de entrenamiento disponibles (tanto internos como externos) para seguridad y conciencia de controles intro-
ductorios y continuos, as como para entrenamiento dentro de la organizacin
1 Identificacin de necesidades de entrenamiento
2 Organizacin de Entrenamiento
3 Entrenamiento sobre principios y conciencia de Seguridad
8 Considerando s:
Existen polticas y procedimientos relacionados con una conciencia continua de seguridad y controles
Se cuenta con un programa de educacin/entrenamiento enfocado a los principios de seguridad de los sistemas de infor-
macin y de control
Los nuevos empleados tienen conocimiento y conciencia de la responsabilidad de seguridad y control con respecto a la
utilizacin y la custodia de los recursos de sistemas de informacin
Se cuenta con polticas y procedimientos vigentes relacionados con entrenamiento y si stos estn actualizados con
respecto a la configuracin tcnica de los recursos de sistemas de informacin
Existe disponibilidad de oportunidades de entrenamiento interno, considerando tambin la asistencia de los empleados
Existe disponibilidad de oportunidades de entrenamiento tcnico externo, considerando tambin la asistencia de los
empleados
Si una funcin de entrenamiento asesora las necesidades de entrenamiento del personal con respecto a seguridad y con-
troles, trasladando estas necesidades en oportunidades de entrenamiento interno o externo
Se requiere a todos los empleados asistir a entrenamientos de conciencia de control y seguridad continuamente, los cua-
les incluiran, sin limitarse a:
principios generales de seguridad de sistemas
C COBI OBIT T
conducta tica de la funcin de servicios de informacin
prcticas de seguridad para la proteccin contra daos ocasionados por fallas que afecten la disponibilidad,
confidencialidad, integridad y desempeo de las funciones en una forma segura
existen las responsabilidades asociadas con la custodia y utilizacin de los recursos de sistemas de informa-
cin
la seguridad de la informacin y los sistemas de informacin cuando se utilizan externamente al lugar
La capacitacin sobre la sensibilizacin a la seguridad incluye una poltica para evitar la exposicin de la informacin
sensible a travs de conversaciones (ej., avisando el estatus de la informacin a todas las personas que toman parte
en la conversacin)
8 Probando que:
Los nuevos empleados tienen conciencia y conocimiento de la seguridad, controles y responsabilidades fiduciarias de
poseer y utilizar recursos de sistemas de informacin
Las responsabilidades de los empleados con respecto a la confiabilidad, integridad, disponibilidad, confidencialidad y
seguridad de todos los recursos de los sistemas de informacin es comunicada continuamente
Un grupo de la funcin de servicios de informacin es formalmente responsable del entrenamiento, conciencia de segu-
ridad y controles y mantenimiento de programas de educacin continua para certificaciones profesionales
Se considera continuamente la evaluacin de las necesidades de entrenamiento para empleados
El desarrollo o la participacin en los programas de entrenamiento relacionados con seguridad y controles es parte de
los requerimientos de entrenamiento
Existen programas reales nuevos y a largo plazo de entrenamiento sobre conciencia de seguridad para empleados
Los acuerdos de confidencialidad son firmados por todos los empleados
No faltan estatutos de confidencialidad y conflicto de intereses para empleados
No faltan evaluaciones de necesidades de entrenamiento para empleados
8 Llevando a cabo:
Una revisin de los manuales de entrenamiento en cuanto a su adecuacin y suficiencia con respecto a controles de
seguridad, confidencialidad, confiabilidad, disponibilidad e integridad
Entrevistas al personal de la funcin de servicios de informacin para determinar la identificacin de necesidades de
entrenamiento y la extensin o satisfaccin de tales necesidades

8 Identificando:
Inconsistencias en el currculum ofrecido como respuesta a las necesidades de entrenamiento
Deficiencias en la conciencia de los usuarios en cuanto a problemas de seguridad relacionados con la utilizacin de los
recursos de los sistemas de informacin
C COBI OBIT T
DS8
P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo
P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Apoyo y asistencia a los clientes de TI


asegurar que cualquier problema experimentado por los usuarios sea
atendido apropiadamente


un Bur de ayuda que proporcione soporte y asesora de
primera lnea


consultas de usuarios y respuesta a problemas
monitoreo de consultas y despacho
anlisis y reporte de tendencias

55
Bur de ayuda (help desk)
DS 8 APOYO Y ASISTENCIA PARA LOS CLIENTES DE TECNOLOGA DE INFORMACIN
8 Entrevistas:
Administrador de soporte del bur de ayuda de la funcin de sistemas de informacin
Usuarios seleccionados de los servicios de informacin

8 Obteniendo:
Polticas y procedimientos generales para la organizacin relacionados con el soporte a usuarios de la funcin de servi-
cios de informacin
Organigrama, misin, polticas y procedimientos de la funcin de servicios de informacin relacionados con las activi-
dades de bur de ayuda
Reportes relacionados con la preguntas de los usuarios, su solucin y estadsticas de desempeo del bur de ayuda
Cualquier estndar de desempeo para las actividades del bur de ayuda
Acuerdos de nivel de servicios entre la funcin de servicios de informacin y usuarios diversos
Archivos personales que muestren las credenciales y experiencia profesional del personal del bur de ayuda
1 Bur de Ayuda
2 Registro de preguntas del Usuario
3 Escalamiento de preguntas del cliente
4 Monitoreo de atencin a clientes
5 Anlisis y reporte de tendencias
8 Considerando s:
La naturaleza de la funcin del bur de ayuda (por ejemplo, la forma en la que las requisiciones de ayuda son procesa-
das y la ayuda es proporcionada) es efectiva
Existen instalaciones reales, divisiones o departamentos que lleven a cabo la funcin del bur de ayuda, as como per-
sonal o posiciones responsables del bur de ayuda
El nivel de documentacin para las actividades del bur de ayuda es adecuado y actual
Existe un proceso real para registrar requisiciones de servicios y si se hace uso de dicha bitcora
El proceso para la escalacin de preguntas y la intervencin de la administracin para su solucin son suficientes
El perodo de tiempo para atender las preguntas recibidas es adecuado
Existen los procedimientos para el seguimiento de tendencias y reportes de las actividades del bur de ayuda
Se identifican y ejecutan formalmente iniciativas de mejora de desempeo
Se alcanzan y se cumple con los acuerdos de nivel de servicio y los estndares de desempeo
El nivel de satisfaccin del usuario peridicamente se revisa y se reporta
C COBI OBIT T
8 Probando que:
Las polticas y procedimientos son actuales y precisos en relacin con las actividades del bur de ayuda
Los compromisos de nivel de servicio son conservados y que las variaciones son explicadas
Las preguntas son atendidas de una forma oportuna
El anlisis y reporte de tendencias asegura que los reportes:
son emitidos y que se toman las medidas necesarias para mejorar el servicio
incluyen problemas especficos, anlisis de tendencias y tiempos de respuesta
son enviados a las personas responsables con la autoridad para resolver los problemas
Se obtienen para una muestra de requisiciones de ayuda, confirmacin de la precisin, oportunidad y suficiencia de la
respuesta
Las encuestas sobre el nivel de satisfaccin del usuario existen y se trabaja con ellas
8 Llevando a cabo:
Entrevistas con usuarios seleccionados para determinar su satisfaccin en cuanto a:
actividades de bur de ayuda
reporte de actividades
cumplimiento de los compromisos de nivel de servicio
Una revisin de la competencia y capacidad del personal del bur de ayuda con respecto a la realizacin de sus tareas
Una revisin de preguntas seleccionadas escaladas en cuanto a lo adecuado de sus respuestas
Una revisin de los reportes de tendencias y posibles oportunidades de mejoras de desempeo

8 Identificando:
Interacciones inadecuadas de las actividades del bur de ayuda con respecto a otras funciones dentro de la funcin de
servicios de informacin, as como a las organizaciones usuarias
Procedimientos y actividades insuficientes relacionadas con problemas en el reporte de recepcin, registro, seguimien-
to, escalamiento y solucin de preguntas
Deficiencias en el proceso de escalamiento con respecto a la falta de involucramiento por parte de la administracin o a
acciones correctivas efectivas
Oportunidad inadecuada en el reporte de problemas o insatisfaccin del usuario en cuanto al proceso de reporte de pro-
blemas.
C COBI OBIT T
DS9
S S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo
P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Administracin de la configuracin


dar cuenta de todos los componentes de TI, prevenir alteraciones no
autorizadas, verificar la existencia fsica y proporcionar una base para
el sano manejo de cambios


controles que identifiquen y registren todos los activos de
TI as como su localizacin fsica y un programa regular de
verificacin que confirme su existencia


registro de activos
administracin de cambios en la configuracin
chequeo de software no autorizado
controles de almacenamiento de software

DS 9 ADMINISTRACIN DE LA CONFIGURACIN
1 Registro de la Configuracin
2 Base de la Configuracin
3 Estado de Cuenta
4 Control de la Configuracin
5 Software no Autorizado
6 Almacenamiento de Software
8 Entrevistas:
Administracin de operaciones de la funcin de servicios de
informacin
Administracin de soporte de sistemas de la funcin de servicios de informacin
Administracin de instalaciones
Personal de soporte de proveedores de software
Personal de administracin de activos relacionados con computacin
Administrador de aseguramiento de la calidad

8 Obteniendo:
Un inventario de la configuracin: hardware, software de sistema operativo, software de aplicaciones, instalaciones y
archivos de datos dentro y fuera de las instalaciones
Polticas y procedimientos organizacionales relacionados con la adquisicin, inventario y disposicin de software y
equipo computacional comprado, rentado o arrendado
Polticas organizacionales relacionadas con la utilizacin de software o equipo no autorizado
Polticas y procedimientos de la funcin de servicios de informacin relacionados especficamente con la adquisicin,
disposicin y mantenimiento de los recursos de la configuracin
Polticas y procedimientos de la funcin de servicios de informacin relacionados con las funciones de aseguramiento
de la calidad y de control de cambios en cuanto a la transferencia independiente y el registro de la migracin del
desarrollo de software nuevo y modificado hacia los archivos y estatus de produccin
Informacin de la base de la configuracin
Registros contables de activos fijos y arrendamientos relacionados con los recursos de sistemas
Reportes relacionados con adiciones, eliminaciones y cambios a la configuracin de los sistemas
Listas del contenido de las distintas libreras prueba, desarrollo y produccin
Inventario del contenido del almacenamiento fuera de las instalaciones equipo, archivos, manuales y formas inclu-
yendo material en manos de los proveedores
C COBI OBIT T
8 Considerando s:
El proceso para crear y controlar las bases de la configuracin (el punto en el diseo y desarrollo de un elemento de la
configuracin ms all del cual no ocurren ms avances sin llevar a cabo un estricto control de la configuracin)
es apropiado
Existen funciones para mantener la base de la configuracin
Existe un proceso para controlar los estados de cuenta de los recursos adquiridos y arrendados incluyendo entradas,
salidas e integracin con otros procesos
Los procedimientos de control de la configuracin incluyen:
integridad en la base de la configuracin
controles de autorizacin de acceso programados en el sistema de administracin de cambios
la recuperacin de los elementos de la configuracin y las requisiciones de cambios en cualquier momento
la terminacin de la configuracin y de los reportes que evalan lo adecuado de los procedimientos de regis-
tro de la configuracin
evaluaciones peridicas de la funcin de registro de la configuracin
el personal responsable de la revisin del control de la configuracin satisfaga los requisitos de conocimien-
tos, destrezas y habilidades
la existencia de procedimientos para revisar el acceso a las bases del software
los resultados de las revisiones sean proporcionados a la administracin para llevar a cabo acciones correcti-
vas
Se lleva a cabo regularmente una revisin peridica de la configuracin con registros de inventario y de cuentas
La base de la configuracin cuenta con historia suficiente para dar seguimiento a los cambios
Existen procedimientos de control de cambios de software para:
establecer y mantener una librera de programas de aplicacin con licencia
asegurar que la librera de programas de aplicacin con licencia sea controlada adecuadamente
asegurar la confiabilidad e integridad del inventario de software
asegurar la confiabilidad e integridad del inventario de software autorizado utilizado y revisar la existencia de
software no autorizado
asignar responsabilidades sobre el control de software no autorizado a un miembro especfico del personal
registrar el uso de software no autorizado y reportar a la administracin para llevar a cabo acciones correcti-
vas
determinar si la administracin llev a cabo acciones correctivas sobre las violaciones
Los procesos de migracin de aplicaciones de desarrollo al ambiente de pruebas y finalmente al estatus de produccin
interactuan con el reporte de la configuracin
El proceso de almacenamiento de software incluye:
definir un rea segura de almacenamiento de archivos (librera) para todo el software vlido en fases apropia-
das del ciclo de vida de desarrollo de sistemas
requerir separacin de las libreras de almacenamiento de software entre ellas y con respecto a las reas de
almacenamiento de archivos de desarrollo, pruebas y produccin
requerir la existencia dentro de las libreras fuente que permitan la colocacin temporal de mdulos fuente a
ser transferidos al perodo de ciclo de produccin
requerir que cada miembro de todas las libreras cuente con un propietario designado
definir controles de acceso lgicos y fsicos
establecer responsabilidades sobre el software
establecer un seguimiento de auditora
detectar, documentar y reportar a la administracin todas las instancias en las que no se cumpla con este pro-
cedimiento
determinar si la administracin llev a cabo acciones correctivas
Existe una coordinacin entre el desarrollo de aplicaciones, el aseguramiento de la calidad y las operaciones con res-
pecto a la actualizacin de la base de la configuracin al realizarse cambios

8 Probando que:
Todos los elementos de la configuracin se encuentran bajo un control base
Las polticas y procedimientos relacionados con el reporte de la configuracin son actuales y precisos
Se cumple con los estndares de desempeo con respecto al mantenimiento y reporte de la configuracin
Se lleva a cabo una comparacin entre el inventario fsico del equipo y los registros de contabilidad de activos
Existe independencia de la migracin de pruebas a produccin y registros de los cambios
Para una seleccin de salidas de base:
se lleve una base precisa, apropiada y aprobada de los elementos de la configuracin
los registros de la configuracin reflejen el estatus actual de todos los elementos de la configuracin, inclu-
yendo la historia de cambios
la administracin revise y evale peridicamente la consistencia de la configuracin, y que se lleven a cabo
acciones correctivas
las libreras de archivos hayan sido definidas conveniente y adecuadamente y en fases apropiadas del ciclo de
vida de desarrollo de sistemas
para todas las computadoras personales que contengan software no autorizado se reporten violaciones y la
administracin lleve a cabo acciones correctivas
los registros de la configuracin con respecto a producto, versin y modificaciones de los recursos proporcio-
nados por los proveedores sean precisos
los registros histricos de cambios a la configuracin sean precisos
existan mecanismos para asegurar que no exista software no autorizado en las computadoras, incluyendo:
Polticas y estatutos
Entrenamiento y conciencia de responsabilidades potenciales (legales y de producto)
Formas firmadas de cumplimiento por parte de todo el personal que utilice computadoras
Control centralizado del software computacional
Revisin continua del software computacional
Reportes de los resultados de la revisin
Acciones correctivas por parte de la administracin basadas en los resultados de las revisiones
el almacenamiento de programas de aplicacin y cdigo fuente sea definido durante el ciclo de desarrollo y
que el impacto de los registros de la configuracin sea determinado
la suficiencia e integridad de los registros de proveedores y fuera del site relacionados con la configuracin,
as como la precisin en los registros de la configuracin sean anticipados y considerados
se definan procedimientos de base de la configuracin para:
C COBI OBIT T
Registrar el evento que cre la base, el establecimiento de la base y los elementos de la configuracin
que deben ser controlados en la base
Modificar la base, incluyendo la autoridad requerida para aprobar los cambios a las bases de la configu-
racin aprobadas previamente
Registrar los cambios a la base y a los elementos de la configuracin que deben ser controlados en la
base
Asegurar que todos los elementos de la configuracin son registrados dentro de los productos de base
existe el reporte de estado de cuenta para:
El tipo de informacin a ser recopilada, almacenada, procesada y reportada (Esto deber incluir el esta-
tus de la base, los hallazgos en las revisiones de la base, requisiciones de cambios y estatus; revisin y
aprobacin/desaprobacin del control de la configuracin (s aplica); modificaciones realizadas; repor-
tes de problemas y estatus y la historia de la revisin de la configuracin)
La manera en la que los problemas de requisiciones de cambio son resueltos con un estado de cuenta
incompleto
Los tipos de reportes de estados de cuenta a ser generados y su frecuencia
La manera en la que el acceso a estos datos de estatus ser controlado
8 Llevando a cabo:
Una revisin detallada de la frecuencia y la oportunidad de las revisiones administrativas de los registros de la configu-
racin, lo cambios a los registros y la conciliacin de lo registros de inventario, cuenta y proveedor
Un anlisis del software de varias libreras en cuanto a posible duplicacin, identificacin de cdigo objeto faltante y
en cuanto a la eliminacin de archivos de datos o programas innecesarios -- y su reflejo en los registros de la con-
figuracin

8 Identificando:
Las debilidades en la conciencia y en el conocimiento de la administracin y el personal en cuanto a las polticas orga-
nizacionales con respecto a:
Los registros de la configuracin y los cambios realizados a estos registros
La colocacin de controles de configuracin en el ciclo de vida de desarrollo de sistemas La integracin de
los registros de configuracin, cuenta y proveedor
La no utilizacin de software no autorizado en computadoras personales
Posibles mejoras inadecuadas en la efectividad y la eficiencia de la funcin de creacin y mantenimiento de la funcin
de creacin y mantenimiento de la base de la configuracin
Deficiencias en los cambios de proveedores al ser reflejados en los registros de la configuracin, en los registros de
seguridad, o cambios a los registros por parte de los proveedores reflejados apropiadamente
C COBI OBIT T
DS10
S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo
P P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


administracin de problemas e incidentes


asegurar que los problemas e incidentes sean resueltos y que sus cau-
sas sean investigadas para prevenir cualquier recurrencia


un sistema de manejo de problemas que registre y d segui-
miento a todos los incidentes


suficientes pistas de auditora de problemas y
soluciones
resolucin oportuna de problemas reportados
procedimientos de escalamiento
reportes de incidentes
DS 10 MANEJO DE PROBLEMAS E INCIDENTES
1 Sistema de manejo de Problemas
2 Escalamiento de Problemas
3 Seguimiento de Problemas y Pistas de Auditora
8 Entrevistas:
Personal de soporte de operaciones de la funcin de servicios de informacin
Personal de soporte del bur de ayuda de la funcin de servicios de informacin
Personal de soporte de sistemas de la funcin de servicios de informacin
Personal de soporte de aplicaciones de la funcin de servicios de informacin
Usuarios seleccionados de los recursos de los sistemas de informacin

8 Obteniendo:
Un resumen de las instalaciones y posiciones de manejo de problemas que realizan la funcin de manejo de problemas
Polticas y procedimientos de la funcin de servicios de informacin relacionados con el manejo de problemas, inclu-
yendo procesos de reconocimiento, registro, solucin, escalamiento, seguimiento y reporte
Una lista de los problemas reportados durante un perodo representativo, incluyendo la fecha de ocurrencia, la fecha de
escalamiento (s aplica), la fecha de solucin y los tiempos de solucin
Una lista de las aplicaciones crticas que son escaladas inmediatamente a la atencin de la presidencia para darles prio-
ridad de solucin, o que son reportables como problemas crticos
Un conocimiento de cualquier aplicacin de manejo de problemas, y en particular un mtodo para asegurar que todos
los problemas son capturados, resueltos y reportados segn lo requerido
8 Considerando s:
Existe un proceso de manejo de problemas que asegure que todos los eventos operacionales que no son parte de las
operaciones estndar son registrados, analizados y resueltos de manera oportuna, y que se generan reportes de
incidentes para problemas significativos
Existen procedimientos de manejo de problemas para:
definir e implementar un sistema de manejo de problemas
registrar, analizar y resolver de manera oportuna todos los eventos no-estndar
establecer reportes de incidentes para los eventos crticos y la emisin de reportes para usuarios
identificar tipos de problemas y metodologa de priorizacin que permitan una variedad de soluciones toman-
do el riesgo como base
definir controles lgicos y fsicos de la informacin de manejo de problemas
C COBI OBIT T
distribuir salidas con una base de necesidad de conocimiento
seguir las tendencias de los problemas para maximizar recursos y reducir la rotacin
recolectar entradas de datos precisas, actuales, consistentes y utilizables para la emisin de reportes
notificar los escalamientos al nivel apropiado de administracin
determinar si la administracin evala peridicamente el proceso de manejo de problemas en cuanto a una
mayor efectividad y eficiencia
asegurar la suficiencia de los seguimientos de auditora para los problemas de sistemas
asegurar la integracin entre los cambios, la disponibilidad, el sistema y el personal de manejo de la configu-
racin
8 Probando que:
Una muestra seleccionada de salidas de procesos cumple con los procedimientos establecidos relacionados con:
problemas no-crticos
problemas crticos/de alta prioridad que requieren escalamiento
el reporte de los requerimientos, el contenido, la precisin, la distribucin y las acciones llevadas a cabo
la satisfaccin del usuario con el proceso de manejo de problemas y los resultados
Va entrevistas, el conocimiento y la conciencia del proceso de manejo de problemas
8 Llevando a cabo:
Para una seleccin de problemas reportados, pruebas que aseguren que los procedimientos de manejo de problemas
fueron seguidos para todas las actividades no-estndar, incluyendo:
registro de todos los eventos no-estndar por proceso
seguimiento y solucin de todos y cada una de los eventos
nivel apropiado de respuesta tomando como base la prioridad del evento
escalamiento de problemas para eventos crticos
reporte apropiado dentro de la funcin de servicios de informacin y grupos usuarios
revisiones regulares de efectividad y eficiencia de procesos en cuanto a mejoras
expectativas y xito de programa de mejoras del desempeo

8 Identificando:
Ocurrencias de problemas no controlados formalmente por el proceso de manejo de problemas
Ocurrencias de problemas reconocidos pero no resueltos por proceso de manejo de problemas
Variaciones entre los eventos de procesos reales y formales con respecto a la solucin de problemas
Deficiencias de los usuarios en el proceso de manejo de problemas, en la comunicacin de problemas y su solucin --
en cuanto a posibles oportunidades de mejora
C COBI OBIT T
DS11
P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo
P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Administracin de datos


asegurar que los datos permanezcan completos, precisos y vlidos du-
rante su entrada, actualizacin y almacenamiento


una combinacin efectiva de controles generales y de aplica-
cin sobre las operaciones de TI


diseo de formatos
controles de documentos fuente
controles de entrada
controles de procesamiento
controles de salida
identificacin, movimiento y administracin de
la librera de medios
administracin de almacenamiento y respaldo
de medios
autenticacin e integridad

DS 11 ADMINISTRACIN DE DATOS
1 Procedimientos de Preparacin de Datos
2 Procedimientos de Autorizacin de Documentos Fuente
3 Recopilacin de Datos de Documentos Fuente
4 Manejo de Errores de Documentos Fuente
5 Retencin de Documentos Fuente
6 Procedimientos de Autorizacin de Entrada de Datos
7 Revisiones de Precisin, Suficiencia y Autorizacin
8 Manejo de Errores en la Entrada de Datos
9 Integridad de Procesamiento de Datos
10 Validacin y Edicin de Procesamiento de Datos
11 Manejo de Errores en el Procesamiento de Datos
12 Manejo y Retencin de Salida de Datos
13 Distribucin de Salida de Datos
14 Balanceo y Conciliacin de Datos de Salida
15 Revisin de Salida de Datos y Manejo de Errores
16 Provisiones de Seguridad para Reportes de Salida
17 Proteccin de Informacin Sensible
18 Proteccin de Informacin Sensible Desechada
19 Administracin de Almacenamiento
20 Perodos de Retencin y Trminos de Almacenamiento
21 Sistema de Administracin de la Librera de Medios
22 Responsabilidades de la Administracin de la Librera de Medios
23 Respaldo y Restauracin
24 Funciones de Respaldo
25 Almacenamiento de Respaldo
26 Archivo
27 Proteccin de mensajes sensibles
28 Autenticacin e Integridad
29 Integridad de Transacciones Electrnicas
30 Integridad contnua de Datos Almacenados
8 Entrevistas:
Administracin de bases de datos de la funcin de servicios de informacin
Administracin de entrenamiento/recursos humanos de la funcin de servicios de informacin
Administracin de soporte de sistemas de la funcin de servicios de informacin
Administracin de la seguridad de respaldos
Administraciones de usuarios varias para aplicaciones crticas de la misin
C COBI OBIT T

8 Obteniendo:
Polticas y procedimientos organizacionales relacionados con la naturaleza y administracin de datos, incluyendo:
flujo de datos dentro de la funcin de servicios de informacin y entre usuarios de datos
puntos en la organizacin en los que los datos son originados, concentrados en grupos o tandas (batched),
editados, capturados, procesados, extrados, revisados, corregidos y remitidos, y distribuidos a los usuarios
proceso de autorizacin de documentos fuente
procesos de recoleccin, seguimiento y transmisin de datos
procedimientos para asegurar la suficiencia, precisin, registro y transmisin de documentos fuente comple-
tos para captura
procedimientos utilizados para identificar y corregir errores durante la creacin original de datos
procedimientos para asegurar la integridad, confidencialidad y aceptacin de los mensajes delicados transmi-
tidos por Internet o cualquier otra red pblica
mtodos utilizados por la organizacin para retener documentos fuente (archivo, imagen, etc.), para definir
qu documentos deben ser retenidos, los requerimientos de retencin legales y regulatorios, etc.
sistemas de interfase que proporcionen y utilicen datos para las funciones de servicios de informacin
contratos de proveedores para llevar a cabo tareas de administracin de datos
reportes administrativos utilizados para monitorear actividades e inventarios
Una lista de todas las aplicaciones mayores, as como de la documentacin de usuario relacionada con:
mdulos que lleven a cabo revisiones de precisin, suficiencia y autorizacin de captura
funciones que lleven a cabo entradas de datos para cada aplicacin
funciones que lleven a cabo rutinas de correccin de errores de entrada de datos
mtodos utilizados para prevenir (por medios manuales y programados), detectar y corregir errores
control de la integridad de los procesos de datos emitidos
edicin y autenticacin de la validacin del procesamiento de datos tan cerca del punto de origen como sea
posible
manejo y retencin de salidas creadas por aplicaciones
salidas, distribucin de salidas y sistemas de interfase que utilizan salidas
procedimientos de balanceo de salidas para control de totales y conciliacin de variaciones
revisin de la precisin de los reportes de salida y de la informacin
seguridad en los reportes de procesamiento de salidas distribuidos
seguridad de los datos transmitidos y entre aplicaciones
disposicin de documentacin sensible de entrada, proceso y salida
procedimientos de control de proveedores como terceras partes con respecto a preparacin, entrada, procesa-
miento y salida
Polticas y procedimientos relacionados con cualquier depsito de bases de datos de la organizacin, incluyendo:
organizacin de la base de datos y diccionario de datos
procedimientos de mantenimiento y seguridad de bases de datos
determinacin y mantenimiento de la propiedad de las bases de datos
procedimientos de control de cambios sobre el diseo y contenido de la base de datos
reportes administrativos y seguimientos de auditora que definen actividades de bases de datos
Polticas y procedimientos relacionados con la librera de medios y con el almacenamiento de datos fuera del site, in-
cluyendo:
administracin de la librera de medios y del sistema de administracin de la librera
requerir la identificacin externa de todos los medios
requerir el inventario actual de todos los contenidos y procesos para actividades de control
procesos de administracin para proteger los recursos de datos
procedimientos de conciliacin entre registros reales y de datos
reciclaje de datos y rotacin de medios de datos
datos de pruebas pasadas de pruebas de inventario y recuperacin llevadas a cabo
funciones del personal de los medios y fuera del site en los planes de manejo de desastres y recuperacin del
negocio
8 Considerando s:
Para la preparacin de datos:
los procedimientos de preparacin de datos aseguran suficiencia, precisin y validez
existen procedimientos de autorizacin para todos los documentos fuente
existe una separacin de funciones entre el origen, la aprobacin y la conversin de documentos fuente a da-
tos
los datos autorizados permanecen completos, precisos y vlidos a travs de la creacin original de documen-
tos fuente
los datos son transmitidos de una manera oportuna
se lleva a cabo una revisin peridica de los documentos fuente en cuanto a su suficiencia y aprobaciones
apropiadas
se lleva a cabo un manejo apropiado de documentos fuente errneos
existe un control adecuado de informacin sensible en documentos fuente en cuanto a proteccin contra trans-
gresiones
los procedimientos aseguran suficiencia y precisin de documentos fuente, contabilidad apropiada para docu-
mentos fuente y conversin oportuna
la retencin de documentos fuente es lo suficientemente larga para permitir: la reconstruccin en caso de pr-
dida, la disponibilidad para revisiones y auditora, las averiguaciones de litigacin o los requerimientos regu-
latorios
Para la entrada de datos:
los documentos fuente siguen un proceso de aprobacin apropiada antes de su captura
existe una separacin de funciones apropiada entre las actividades de envo, aprobacin, autorizacin y entra-
da de datos
existen cdigos nicos de terminal o estacin e identificaciones seguras de operadores
existen procesos de uso, mantenimiento y control de cdigos de estacin e identificadores de operador
se lleva a cabo un seguimiento de auditora para identificar la fuente de entrada
existen verificaciones de rutina o revisiones de edicin de los datos capturados tan cerca del punto de origen
como sea posible
existen procesos apropiados de manejo de datos de entrada errneos
se asignan claramente las responsabilidades para hacer cumplir una autorizacin apropiada de los datos
C COBI OBIT T
Para el procesamiento de datos:
Los programas contienen rutinas de prevencin, deteccin y correccin de errores:
los programas deben probar las entradas en cuanto a errores (por ejemplo, validacin y edicin)
los programas deben validar todas las transacciones contra una lista maestra
los programas deben rechazar la anulacin de condiciones de error
Los procesos de manejo de errores incluyen:
la aprobacin de la correccin y del reenvo de errores
la definicin de las responsabilidades individuales para archivos suspendidos
la generacin de reportes de errores no resueltos por parte de los archivos en suspenso
la disponibilidad del esquema de priorizacin de archivos suspendidos tomando como base la edad y el tipo
Existen bitcoras de los programas ejecutados y las transacciones procesadas/rechazadas para propsitos de auditora
Existe un grupo de control para monitorear las actividades de entrada e investigar los eventos no-estndar, as como
balancear las cuentas de registros y totales de control para todos los datos procesados
Todos los campos son editados apropiadamente, an si uno de los campos contiene algn error
Las tablas utilizadas en la validacin son revisadas frecuentemente
Existen procedimientos por escrito para la correccin y reenvo de datos con errores incluyendo una solucin no des-
criptiva para reprocesamiento
Las transacciones reenviadas son procesadas exactamente como fueron procesadas originalmente
La responsabilidad de la correccin de errores reside dentro de la funcin de envo original
Los sistemas de Inteligencia Artificial estn colocados en un marco referencial de control interactivo con operadores
humanos que aseguran que las decisiones importantes se aprueben
Para las salidas, interfaces y distribucin:
El acceso a las salidas est restringido fsica y lgicamente a personal autorizado
Se lleva a cabo una revisin continua de necesidades de salidas
Las salidas son balanceadas rutinariamente con respecto a totales de control
Existen seguimientos de auditora para facilitar el seguimiento del procesamiento de transacciones y la conciliacin de
datos confusos
La precisin de los reportes de salidas es revisada y los errores contenidos en las salidas son revisados por personal
capacitado
Existe una definicin clara de problemas de seguridad durante las salidas, interfaces y distribucin
Las violaciones a la seguridad durante cualquier fase son comunicadas a la administracin, se llevan a cabo acciones
correctivas sobre ellas y son reflejadas apropiadamente en nuevos procedimientos
El proceso y la responsabilidad de la disposicin de salidas est claramente definida
La destruccin de materiales utilizados pero no requeridos despus de procesados es presenciada por alguien
Todos los medios de entrada y salida son almacenados en localidades fuera del site en caso de requerirse en un futuro
La informacin marcada como eliminada cambia de tal forma que no se pueda recuperar
Para la librera de medios:
El contenido de la librera de medios es inventariada sistemticamente
Las discrepancias descubiertas por el inventario son solucionadas oportunamente
Se toman medidas para mantener la integridad de los medios magnticos almacenados en la librera
Existen procesos de administracin para proteger el contenido de la librera de medios
Las responsabilidades de la administracin de la librera de medios han sido asignadas a miembros especficos del
personal de la funcin de servicios de informacin
Existen estrategias de respaldo y restauracin de medios
Los respaldos de medios se llevan a cabo de acuerdo con la estrategia de respaldos y si la utilidad de los respaldos es
verificada regularmente
Los respaldos de medios son almacenados con seguridad y si las localidades de almacenamiento son revisadas peridi-
camente en cuanto a la seguridad de sus acceso fsico y a la seguridad de los archivos de datos y otros elementos
Los periodos de retencin y almacenamiento estn definidos por documentos, datos, programas, reportes y mensajes
(de entrada y salida) as como los los datos (claves, certificados) utilizados para su encriptacin y autentificacin
Los procedimientos adecuados estn activos en relacin al archivo de informacin (datos y programas) en lnea con
los requerimientos legales y del negocio y reforzando la capacidad de respuesta y reproduccin
Para la autentificacin e integridad de informacin:
La integridad de los archivos de datos se verifica peridicamente
Las solicitudes externas a la organizacin recibidas por va telefnica o correo de voz se verifican confirmado por tel-
fono o algn otro medio de autentificacin
Un mtodo preestablecido se utiliza independiente a la verificacin de la autentificacin de la fuente y el contenido de
las solicitudes de transaccin recibida va fax o sistemas de imgenes
La firma electrnica o la certificacin se utilizan para verificar la integridad y autenticidad de los documentos electr-
nicos que entran
8 Probando que:
La preparacin de datos:
Para una muestra seleccionada de documentos fuente, existe consistencia evidente con respecto a los procedimientos
establecidos relacionados con la autorizacin, aprobacin, precisin, suficiencia y recepcin de entrada de datos y
si la entrada de datos es oportuna
El personal de las fuentes, entradas y conversin tiene conciencia y comprende los requerimientos de control en la pre-
paracin de datos
La entrada de datos:
Se envan de datos de prueba (tanto transacciones correctas como errneas) para asegurar que se llevan a cabo revisio-
nes de precisin, suficiencia y autorizacin
Para transacciones seleccionadas se comparan los archivos maestros antes y despus de la captura
Existe una apropiada revisin de retencin, solucin y de la integridad en el manejo de errores
Los procedimientos y acciones de manejo de errores cumplen con las polticas y controles establecidos
El procesamiento de datos:
Se utilizan efectivamente los totales de control corrida-a-corrida y los controles de actualizacin de archivos maestros
Se envan datos de prueba (tanto transacciones correctas como errneas) para asegurar que se llevan a cabo la valida-
cin, autenticacin y edicin de procesamiento de datos tan cerca del punto de origen como sea posible
El proceso de manejo de errores es llevado a cabo de acuerdo con los procedimientos y controles establecidos
Se llevan a cabo la retencin, solucin y revisin apropiada de la integridad en el manejo de errores y que stas funcio-
nan adecuadamente
Los procedimientos y acciones del manejo de errores cumplen con los procedimientos y controles establecidos
La Salida, Interfase y Distribucin de Datos:
La salida es balanceada rutinariamente contra totales de control relevantes
C COBI OBIT T
Los seguimientos de auditora son proporcionados para facilitar el seguimiento del procesamiento de transacciones en
la conciliacin de datos confusos o errneos
Los reportes de salida son revisados en cuanto a su precisin por parte del proveedor y los usuarios relevantes
Existen la retencin, solucin y revisin apropiada de la integridad en el manejo de errores y que stas funcionan ade-
cuadamente
Los procedimientos y acciones de manejo de errores cumplen con las polticas y controles establecidos
Los reportes de salidas son asegurados al esperar ser distribuidos, as como aqullos ya distribuidos a los usuarios de
acuerdo con los procedimientos y controles establecidos
Existe la proteccin adecuada para la informacin sensible durante la transmisin y transporte contra los accesos no
autorizados y las modificaciones
Existe una proteccin adecuada de informacin sensible durante la transmisin y transporte en cuanto a accesos y mo-
dificaciones no autorizadas
Los procedimientos y acciones de informacin sensible dispuesta cumplen con los procedimientos y controles estable-
cidos
La Librera de Medios:
El contenido de la librera de medios es inventariado sistemticamente, que todas las discrepancias encontradas son
solucionadas oportunamente y se toman medidas para mantener la integridad de los medios almacenados en la
librera
Los procedimientos de administracin diseados para proteger el contenido de la librera de medios existen y funcio-
nan adecuadamente
Las responsabilidades de la administracin de la librera de medios son asignadas apropiadamente
La librera de medios es independiente de las funciones de preparacin, entrada, procesamiento y salida
La estrategia de respaldos y restauracin de medios es apropiada
Los respaldos de medios se llevan a cabo apropiadamente de acuerdo con la estrategia de respaldo definida
Los sites de almacenamiento de medios son seguros fsicamente y que su inventario est actualizado
El almacenamiento de datos considera los requerimientos de recuperacin y la economa o efectividad de costos
Los perodos de retencin y los trminos de almacenamiento son apropiados para documentos, datos, programas y re-
portes
El riesgo de maldireccionar mensajes (por carta, fax o e-mail) se reduce con los procedimientos adecuados
Los controles normalmente se aplican a un proceso de transaccin especfico, como faxes o contestadores telefnicos
automticos, tambin aplica a sistemas computacionales que soportan la transaccin o proceso (ej., software de
fax en las computadoras personales)
8 Llevando a cabo:
Mediciones (Benchmarking) de la administracin de datos contra organizaciones similares o estndares internacio-
nales/buenas prcticas reconocidas en la industria apropiadas
Para una seleccin de transacciones, la confirmacin de la propiedad del procesamiento durante:
la preparacin de datos
el procesamiento de entradas
el procesamiento de datos
la salida, distribucin o integracin
el manejo de errores en todas las fases del procesamiento
la integridad de los datos a travs del manejo de errores en todas las fases del procesamiento
retencin y destruccin
Pruebas especficas para lo siguiente:
suficiencia, precisin y validez durante cada fase del procesamiento
aprobaciones y autorizaciones aprobadas
existencia de controles preventivos, detectivos y correctivos dentro del procesamiento o va funciones manuales/
procedimientos de grupos de control
retencin de documentos fuente para la revisin posterior de la consistencia con respecto a los requerimientos de
retencin
recuperacin de una seleccin de documentos fuente y medios de transacciones para confirmar la existencia y la
precisin
anlisis de la disponibilidad del seguimiento de auditora: existencia, identificacin de fuente/operador y asegu-
rar que cualquier sistema de interfase cuenta con niveles iguales de control sobre las transacciones
edicin de las funciones de programas de entrada y procesamiento, incluyendo, pero sin limitarse a:
Blancos en campos requeridos
Validacin de cdigos de transacciones
Montos negativos
Cualquier otra condicin apropiada
suficiencia de las pruebas de validacin internas al procesamiento
archivos suspendidos con transacciones defectuosas, incluyendo los siguientes controles:
Identificacin inmediata del operador que comete el error y aviso del error
Todas las transacciones de error son transferidas a estos archivos suspendidos
El registro es mantenido hasta que la transaccin es resuelta y eliminada
Las transacciones muestran cdigo de error, fecha y hora de captura, operador y mquina
Los archivos de suspenso crean reportes de seguimiento para la revisin administrativa, el anlisis de tendencias
y entrenamiento correctivo
separacin de la funciones de origen, entrada, procesamiento, verificacin y distribucin
Para una seleccin de transacciones de salida:
revisar una muestra de listas de transacciones procesadas en cuanto a su suficiencia y precisin
revisar una muestra de reportes de salida en cuanto a precisin y suficiencia
revisar los calendarios de retencin de salidas en cuanto a su adecuacin y cumplimiento de los procedimientos
confirmar que la distribucin real de una muestra de salidas fue llevada a cabo con procesin
confirmar el procesamiento integrado confirmando la salida de una bitcora de procesamiento de transacciones
de un sistema con la entrada de la bitcora de otro sistema
revisar los procedimientos de balanceo para todas las entradas, salidas de procesamiento y otras transacciones de
uso de sistemas
confirmar que nicamente personal autorizado tiene acceso a reportes sensibles
confirmar la destruccin o relocalizacin de almacenamientos fuera del site para todos los medios de datos por
polticas y procedimientos de retencin
confirmar los perodos reales de retencin contra los procedimientos de retencin
atestiguar la entrega o transmisin real de salidas sensibles y el cumplimiento con los procedimientos de proce-
samiento, distribucin y seguridad
C COBI OBIT T
confirmar la creacin e integridad de los respaldos en asociacin con el procesamiento normal, as como para
los requerimientos del plan de recuperacin en caso de desastre
Para la librera de medios:
revisar el acceso del os usuarios a los servicios sensibles: determinar que el acceso es apropiado
seleccionar una muestra de medios a ser destruida y observar el proceso completo; verificar el cumplimiento
de los procedimientos aprobados
determinar la adecuacin de los controles para los datos en almacenamientos fuera del site y mientras los da-
tos estn en trnsito
obtener resultados del inventario de la librera de medios ms reciente; confirmar su precisin
confirmar que los procesadores de registro son suficientes para accesar los medios necesarios
revisar los controles en cuanto a las desviaciones o bypass restringidos de reglas de etiquetado internas e
internas
probar el cumplimiento de los controles internos y externos va revisin de medios seleccionados
revisar los procedimientos de creacin de respaldos para asegurar la existencia de datos suficientes en caso de
desastre
confirmar las inspecciones de la librera de medios por requerimientos calendarizados

8 Identificando:
cuando los archivos de produccin son accesados directamente por los operadores que antes y despus no
creen ni se mantengan imgenes de archivos
formas de entrada y salida sensibles (por ejemplo, certificados de reservas) no protegidas
bitcoras no llevadas y mantenidas para totales batch y de control para todas las fases del procesamiento
reportes de salidas no tiles a los usuarios: datos relevantes y tiles, reportes necesarios, distribucin apropia-
da, formato y frecuencia adecuados, acceso en lnea a los reportes tomado en consideracin
datos transmitidos sin controles adicionales, incluyendo:
Accesos de envo/recepcin de transmisiones limitados
Autorizacin e identificacin apropiadas del emisor y del receptor
Medios seguros de transmisin
Encriptacin de datos transmitidos y algoritmos de decodificacin apropiados
Pruebas de integridad de la transmisin en cuanto a su suficiencia
Procedimientos de retransmisin
contratos de proveedores con controles faltantes como servicios de destruccin
deficiencias fuera del site con respecto a amenazas al ambiente tales como fuego, agua, fallas elctricas y
accesos no autorizados
C COBI OBIT T
DS12
P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo
P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Administracin de instalaciones


proporcionar un ambiente fsico conveniente que proteja al equipo y al
personal de TI contra peligros naturales o fallas humanas


la instalacin de controles fsicos y ambientales adecuados
que sean revisados regularmente para su funcionamiento
apropiado


acceso a instalaciones
identificacin del centro de cmputo
seguridad fsica
salud y seguridad del personal
proteccin contra amenazas ambientales

8 Considerando s:
La localizacin de las instalaciones no es obviamente externa, se encuentra en el rea u organizacin menos accesible,
y si el acceso es limitado al menor nmero de personas
Los procedimientos de acceso lgico y fsico son suficientes, incluyendo perfiles de seguridad de acceso para emplea-
dos, proveedores, equipo y personal de mantenimiento de las instalaciones
Los procedimientos y prcticas de administracin de llave ("Key" ) y lectora de tarjetas ("card reader") son adecuados,
incluyendo la actualizacin y revisin continuas tomando como base una menor necesidad de acceso
DS 12 ADMINISTRACIN DE INSTALACIONES
1 Seguridad Fsica
2 Bajo Perfil de las Instalaciones de Tecnologa de Informacin
3 Escolta de Visitantes
4 Salud y Seguridad del Personal
5 Proteccin contra Factores Ambientales
6 Suministro Ininterrumpido de Energa
8 Entrevistas:
Administrador de las Instalaciones
Oficial de Seguridad
Administrador de Riesgos
Administrador de la seguridad de la funcin de servicios de informacin

8 Obteniendo:
Polticas y procedimientos organizacionales relacionados con la administracin, disposicin o plano, seguridad, inven-
tario de activos fijos e inventario de las instalaciones, as como adquisicin/arrendamiento de capital
Polticas y procedimientos de la funcin de servicios de informacin relacionados con la disposicin o plano de las
instalaciones, la seguridad fsica y lgica, acceso, mantenimiento, visitantes, salud, seguridad y requerimientos
ambientales, mecanismos de entrada y salida, reporte de seguridad, contratos de seguridad y mantenimiento, in-
ventario de equipo, procedimientos de vigilancia, y requerimientos regulatorios
Una lista de los individuos que tienen acceso a las instalaciones y la disposicin o plano de las instalaciones
Una lista de los acuerdos de desempeo, capacidad y nivel de servicios con respecto a las expectativas de desempeo
de los recursos de los sistemas de informacin (equipo e instalaciones), incluyendo estndares industriales
Copia del documento de planeacin de recuperacin/contingencia en caso de desastre
C COBI OBIT T
Las polticas de acceso y autorizacin de entrada/salida, escolta, registro, pases temporales requeridos, cmaras de vigi-
lancia son apropiadas para todas las reas y especialmente para las reas ms sensibles
Se llevan a cabo revisiones peridicas de los perfiles de acceso, incluyendo revisiones administrativas
Existen y se llevan a cabo los procesos de revocacin, respuesta y escalamiento en caso de violaciones a la seguridad
Existe el proceso de signage con respecto a la no identificacin de reas sensibles, y si es consistente con los requeri-
mientos de seguro, cdigo de construccin local y regulatorios
Las medidas de control de seguridad y acceso incluyen a los dispositivos de informacin porttiles utilizados fuera del
sitio
Se lleva a cabo una revisin de los registros de visitantes, asignacin de pases, escolta, persona responsable del visitan-
te, bitcora para asegurar tanto los registros de entradas como de salidas y el conocimiento de la recepcionista con
respecto a los procedimientos de seguridad
Se lleva a cabo una revisin de los procedimientos de aviso contra incendio, cambios de clima, problemas elctricos y
procedimientos de alarma, as como las respuestas esperadas en los distintos escenarios para los diferentes niveles
de emergencias ambientales
Se lleva a cabo una revisin de los procedimientos de control de aire acondicionado, ventilacin, humedad y las res-
puestas esperadas en los distintos escenarios de prdida o extremos no anticipados
Existe una revisin del proceso de alarma al ocurrir una violacin a la seguridad, que incluya:
definicin de la prioridad de la alarma (por ejemplo, apertura de la puerta por parte de una persona armada
que ha entrado en las instalaciones)
escenarios de respuesta para cada alarma de prioridad
responsabilidades del personal interno versus personal de seguridad local o proveedores
interaccin con las autoridades locales
revisin del simulacro de alarma ms reciente
La organizacin es responsable del acceso fsico dentro de la funcin de servicios de informacin, incluyendo:
desarrollo, mantenimiento y revisiones continuas de polticas y procedimientos de seguridad
establecimiento de relaciones con proveedores relacionados con la seguridad
contacto con la administracin de las instalaciones en cuanto a problemas de tecnologa relacionados con
seguridad
coordinacin del entrenamiento y conciencia sobre seguridad para la organizacin
coordinacin de actividades que afecten en control de acceso lgico va aplicaciones centralizadas y software
de sistema operativo
proporcionar entrenamiento y crear conciencia de seguridad no slo dentro de la funcin de servicios de in-
formacin, sino para los servicios de usuarios
Se llevan a cabo prcticas de distribuidores automticos y servicios de conserjera para investigacin del personal en
las instalaciones de la organizacin
Se llevan a cabo la actualizacin y negociacin del contenido de los contratos de servicio
Los procedimientos de pruebas de penetracin y los resultados
coordinan los escenarios de prueba de penetracin fsica
coordinan la prueba de penetracin fsica con proveedores y autoridades locales
Se cumple con las regulaciones de salud, seguridad y ambiente
La seguridad fsica es tomada en cuenta en el plan de recuperacin/contingencia en caso de desastre y abarca una segu-
ridad fsica similar en las instalaciones aprovisionadas
Existen elementos de infraestructura especficos alternativos necesarios para implementar seguridad:
fuente de poder ininterrumpida (UPS)
alternativas o reruteo de lneas de telecomunicacin
recursos alternativos de agua, gas, aire acondicionado y humedad
8 Probando que:
El personal tiene conciencia y comprende la necesidad de seguridad y controles
Los armarios cableados estn fsicamente protegidos con el acceso posible autorizado y el cableado se encuentra bajo
tierra o conductos protegidos tanto como sea posible
El proceso de signage identifica rutas de emergencia y qu hacer en caso de una emergencia o violacin a la seguri-
dad
Los directorios de telfono en otra partes de la instalacin no identifican localidades sensibles
La bitcora de visitantes sigue apropiadamente los procedimientos de seguridad
Existen los procedimientos de identificacin requeridos para cualquier acceso dentro o fuera va observacin
Las puertas, ventanas, elevadores, ventilas y ductos o cualquier otro modo de acceso estn identificados
El site computacional est separado, cerrado y asegurado y es accesado nicamente por personal de operaciones y gen-
te de mantenimiento tomando como base un acceso necesario
El personal de las instalaciones rota turnos y toma vacaciones y descansos apropiados
Existen los procedimientos de mantenimiento y registro para un desempeo de trabajo oportuno
Las variaciones de las polticas y procedimientos en las operaciones de los turnos segundo y tercero son reportadas
Los planes fsicos son actualizados a medida que cambian la configuracin, el ambiente y las instalaciones
Los registros y el equipo de monitoreo ambiental y de seguridad --debajo, en, sobre, y alrededor son mantenidos
No se almacenan tiles peligrosos
Existe el seguimiento de auditora de control de acceso sobre software de seguridad o reportes clave de administracin
Se ha dado seguimiento a toda emergencia ocurrida en el pasado o a su documentacin
El personal con acceso son empleados reales
Se llevan a cabo verificaciones de suficiencia de administracin clave de acceso
Se otorga una educacin en seguridad fsica y conciencia de seguridad
Existe una cobertura y experiencia de seguros para los gastos asociados con algn evento de seguridad, prdida del
negocio y gastos para recuperar la instalacin
El proceso para la implementacin de acceso a cambios de llaves y controles de procesos lgicos es continuo y conoci-
do
El ambiente cumple con los requerimientos regulatorios establecidos
Las bitcoras de mantenimiento de alarmas no pueden ser modificadas inapropiadamente
La frecuencia de cambios a los cdigos de acceso y revisiones de perfil involucramiento de usuario e instalaciones
es documentada
8 Llevando a cabo:
Mediciones (Benchmarking) de administracin de instalaciones contra organizaciones similares o estndares interna-
cionales/buenas prcticas reconocidas en la industria apropiadas
Comparaciones de la disposicin o plano fsico contra bosquejos del edificio y dispositivos de seguridad
Determinaciones sobre:
la no aparicin de la instalacin en s como una localidad de servicios de sistemas, ni siquiera sugerida indi-
rectamente va direcciones, sealamientos de estacionamiento, etc.
la limitacin del nmero de puertas por cdigos locales de construccin/seguro
la suficiente proteccin de las instalaciones a travs de barreras fsicas para evitar el acceso inapropiado de
vehculos y personas
patrones de trnsito para asegurar que el flujo no dirige a las personas hacia las reas de seguridad
la suficiencia del monitoreo con videos y la revisin de cintas
C COBI OBIT T
la existencia de espacio apropiado para el equipo computacional en cuanto a acceso, temperatura y manteni-
miento
la suficiencia y disponibilidad de las cubiertas para el equipo contra agua o elementos externos en caso de
emergencia
la revisin de las bitcoras de mantenimiento de alarmas y el reporte del ltimo reporte de simulacro
Pruebas sobre temperatura, humedad, electricidad sobre y debajo de los pisos falsos; si han ocurrido anomalas, cu-
les fueron las actividades de investigacin/solucin resultantes
Revisiones de todos los seguros y bisagras (bisagras dentro de la habitacin)
Una visita de las instalaciones sin portar gafete para determinar si se llevan a cabo detenciones e interrogatorios sobre
el hecho de no portar gafete
Revisiones de la cobertura del guardia/recepcionista cuando un visitante es escoltado a travs de las instalaciones
Pruebas de seguridad de penetracin de las instalaciones

8 Identificando:
Suficiencia de signage, extinguidores de incendios, sistemas de aspersin, UPS, drenaje, cableado y mantenimiento
regular
Para las ventanas: asegurar que ningn recursos es visible desde el exterior, que no existan aparadores en el centro de
datos
Determinacin de pruebas de seguridad de penetracin
Pruebas de visitantes, incluyendo registro, gafete, escolta, inspeccin, salida
Discrepancias en la bitcora de visitantes y en los gafetes de visitantes
Evaluacin de los perfiles e historia de acceso tomando como base el reporte clave de la administracin incluyendo el
reemplazo de gafetes/tarjetas maestras y artculos perdidos inactivos
Revisin de estadsticas de desastres locales
Desarrollo de escenarios de penetracin en caso de desastre
Contratos de proveedores para asegurar que se llevan a cabo una investigacin de personal y el cumplimiento con los
requerimientos de salud y seguridad
Pruebas de UPS y verificar que los resultados cumplan con los requerimientos operacionales y de capacidad para soste-
ner las actividades crticas de procesamiento de datos
Pruebas de acceso de informacin (bitcoras, cintas, registros) para asegurar que stos son revisados por los usuarios y
la administracin en cuando a su propiedad
Pruebas de procedimientos de monitoreo de entrada a la instalacin cerca del rea
C COBI OBIT T
DS13
S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo
P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


administracin de operaciones


asegurar que las funciones importantes de soporte de TI estn siendo
llevadas a cabo regularmente y de una manera ordenada


una calendarizacin de actividades de soporte que sea regis-
trada y completada en cuanto al logro de todas las activida-
des


manual de procedimiento de operaciones
documentacin de procedimientos de arranque
administracin de servicios de red
calendarizacin de personal y cargas de trabajo
proceso de cambio de turno
registro de eventos de sistemas
DS 13 MANEJO DE OPERACIONES
1 Manual de Procedimientos de Operacin e Instrucciones
2 Documentacin del Proceso de Inicio y de Otras Operaciones
3 Calendarizacin de Trabajos
4 Salidas de la Calendarizacin de Trabajos Estndar
5 Continuidad de Procesamiento
6 Bitcoras de Operacin
7 Operaciones Remotas
8 Entrevistas:
Administracin de la planeacin de recuperacin/contingencia en caso de desastre de la funcin de servicios de infor-
macin
Usuarios seleccionados de los recursos de la funcin de servicios de informacin
Proveedores seleccionados que proporcionan servicios o productos de software por contrato

8 Obteniendo:
Polticas y procedimientos organizacionales relacionados con la administracin de operaciones y el rol de sistemas de
informacin en el cumplimiento de los objetivos del negocio
Polticas y procedimientos de la funcin de servicios de informacin relacionados con el rol operacional, las expectati-
vas de desempeo, la calendarizacin de trabajos, los acuerdos de nivel de servicio, las instrucciones para el ope-
rador, la rotacin de personal, la planeacin de recuperacin/contingencia en caso de desastre y las operaciones de
instalaciones remotas
Instrucciones operacionales para la funcin general de inicio, trmino, calendarizacin de la carga de trabajo, estnda-
res, acuerdos de nivel de servicio, procedimientos fijos de emergencia, respuestas de procesamiento anormal, bit-
coras de consola, seguridad fsica y lgica, separacin de libreras de desarrollo y produccin y procedimientos de
problemas de escalamiento
Una muestra seleccionada de instrucciones operacionales para aplicaciones clave incluyendo, calendarizacin, entra-
das, tiempo de procesamiento, mensajes de error, instrucciones de fin anormal, reinicio, procedimientos de proble-
mas de escalamiento, trabajos antes y despus y archivos fuera del site
8 Considerando s:
Existe evidencia sobre:
la suficiencia de todos los procesamientos llevados a cabo, reinicios y recuperaciones
la suficiencia de la carga de programa inicial (IPL) y del procedimiento de trmino
estadsticas de suficiencia del calendario para confirmar el trmino completo y exitoso de todos los requeri-
mientos
la separacin fsica y lgica de las libreras fuente y objeto, de pruebas/desarrollo/produccin y los procedi-
mientos de control de cambios para trasladar programas de una librera a otra
estadsticas de desempeo para actividades operacionales, incluyendo, aunque sin limitarse a:
Capacidad, utilizacin y desempeo de hardware y perifricos
Utilizacin y desempeo de memoria
Utilizacin y desempeo de telecomunicaciones
prueba de que el desempeo alcanza las normas de desempeo de producto, los estndares de desempeo
definidos internamente y los compromisos de acuerdo de nivel de servicio de usuarios
el mantenimiento, retencin y revisin peridicos de las bitcoras de operacin
la oportunidad de mantenimiento realizado a todo el equipo
la rotacin de turnos, el disfrute de vacaciones y el mantenimiento de competencia de los operadores
C COBI OBIT T
8 Probando que:
Los miembros del personal de operaciones tienen conciencia y comprenden:
los procedimientos de operacin por los que son responsables
las expectativas de desempeo dentro de las instalaciones normas de proveedores, estndares organizacio-
nales y acuerdos de nivel de servicio con los usuarios
el programa fijo de emergencia, as como los procedimientos de reinicio/recuperacin
los requerimientos y la revisin administrativa de los requerimientos de la bitcora de operaciones
los procedimientos de escalamiento de problemas
la comunicacin de cambios de turno y las responsabilidades entre turnos
procedimientos de cambio o rotacin para trasladar programas de desarrollo a produccin
interaccin con las instalaciones remotas de procesamiento y las instalaciones centrales de procesamiento
las responsabilidades de comunicacin de oportunidades de mejoras a la productividad a la administracin
8 Llevando a cabo:
Una revisin de las estadsticas de desempeo operacional (equipo y personal) para asegurar lo adecuado de su utiliza-
cin; compararlas contra organizaciones similares, normas de proveedores y estndares internacionales/buenas
prcticas reconocidas en la industria apropiadas
Una revisin de una muestra limitada de manuales de operacin de la funcin de servicios de informacin y determinar
si cumplen con los requerimientos de las polticas y los procedimientos
Un examen de la documentacin de los procesos de inicio y trmino y confirmar que los procedimientos son probados
y actualizados regularmente
Un examen de la calendarizacin de procesamiento para asegurar lo adecuado y la suficiencia del desempeo compara-
do contra el plan o calendario
8 Identificando:
Usuarios seleccionados y asegurando la suficiencia del desempeo operacional relacionado con actividades continuas y
acuerdos de nivel de servicio
Una muestra de trminos anormales (ABENDS) para trabajos y determinando la solucin a los problemas ocurridos
Las experiencias de entrenamiento, rotacin de turnos y vacaciones de los operadores
Una muestra de bitcoras de consola para revisar la precisin, las tendencias en el desempeo y la revisin administra-
tiva de la solucin de problemas evaluar el escalamiento de problemas si aplica
A usuarios para determinar la satisfaccin con el compromiso del acuerdo de nivel de servicio
Procedimientos de mantenimiento preventivo completados en todo el equipo por sugerencia del proveedor
C COBI OBIT T
MONITOREO
C COBI OBIT T
MONITOREO
M1
S S S S S S P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Monitoreo
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


monitoreo del proceso


asegurar el logro de los objetivos establecidos para los procesos de TI


la definicin por parte de la gerencia de reportes e indicado-
res de desempeo gerenciales, la implementacin de siste-
mas de soporte as como la atencin regular a los reportes
emitidos


indicadores clave de desempeo
factores crticos de xito
evaluacin de la satisfaccin de clientes
reportes gerenciales

M 1 MONITOREAR LOS PROCESOS
1 Recolectar Datos de Monitoreo
2 Evaluar el Desempeo
3 Evaluar la Satisfaccin del Cliente
4 Reporte Administrativo
8 Entrevistas:
Director Ejecutivo
Director de auditora interna
Director de servicios de informacin y administracin de control de calidad
Gerente de auditora externa
Usuarios seleccionados de recursos de la funcin de servicios de informacin
Miembros del comit de auditora, si aplica

8 Obteniendo:
Polticas y procedimientos organizacionales relacionadas con la planeacin, administracin, monitoreo y reporte del
desempeo
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con el monitoreo y el reporte del
desempeo, estableciendo iniciativas de mejoramiento del desempeo y frecuencia de las revisiones
Reportes de las actividades de la funcin de servicios de informacin incluyendo, pero no limitados a: reportes inter-
nos, reportes de auditoras internas, reportes de auditoras externas, reportes de usuarios, encuestas de satisfaccin
de los usuarios, planes de desarrollo de sistemas y reportes de avance, minutas del comit de auditora y cualquier
otro tipo de evaluacin del uso de los recursos de la funcin de servicios de informacin de la organizacin.
Documentos de planeacin de la funcin de servicios de informacin con objetivos para cada grupo de recursos y el
desempeo real en comparacin con dichos planes.
8 Considerando s:
Los datos identificados para monitorear los recursos de la funcin de servicios de informacin son apropiados
Se usan indicadores clave del desempeo y/o factores crticos para el xito para medir el desempeo de la funcin de
servicios de informacin en comparacin con los niveles deseables.
Los reportes internos de la utilizacin de los recursos de la funcin de servicios de informacin (gente, instalaciones,
aplicaciones, tecnologa y datos) son adecuados.
C COBI OBIT T
Existe una revisin administrativa de los reportes de desempeo de los recursos de la funcin de servicios de informa-
cin
Considerar si, contina
Existen controles de monitoreo para proporcionar una retroalimentacin confiable y til de manera oportuna
La respuesta de la organizacin a las recomendaciones de mejoramiento de control de calidad, auditora interna y audi-
tora externa es apropiada
Existen iniciativas y resultados de mejoramiento del desempeo deseado
Se est dando el desempeo organizacional en comparacin con las metas establecidas dentro de la organizacin
La confiabilidad y utilidad de los reportes de desempeo para no usuarios es suficiente, tales como auditor externo,
comit de auditora y alta administracin de la organizacin
La oportunidad de los reportes permite una respuesta rpida ante las excepciones o incumplimientos identificados del
desempeo
Los reportes son suficientes en comparacin con las polticas y procedimientos establecidos para el desempeo de las
actividades (por ejemplo, reportes de desempeo)
8 Probando que:
Existen reportes de monitoreo del desempeo de la informacin
Existe revisin administrativa de los reportes de monitoreo del desempeo e iniciativas de acciones correctivas
Los empleados estn conscientes y comprenden las polticas y procedimientos relativos al monitoreo del desempeo
La calidad y el contenido de los reportes internos se relacionan con:
La recoleccin de datos de monitoreo del desempeo
El anlisis de los datos de monitoreo del desempeo
El anlisis de los datos del desempeo de los recursos
Las acciones administrativas sobre problemas del desempeo
El anlisis de encuestas de satisfaccin de los usuarios
La alta administracin est satisfecha con los reportes sobre el monitoreo del desempeo
8 Llevando a cabo:
Referencia del monitoreo del desempeo respecto a organizaciones similares o estndares internacionales/prcticas
industriales reconocidas apropiados
Revisin de la relevancia de los datos dentro de los procesos que se estn monitoreando
Revisin del desempeo real contra lo planeado en todas las reas de la funcin de servicios de informacin
Satisfaccin real contra lo anticipado de los usuarios de todas las reas de la funcin de servicios de informacin
Anlisis del grado de cumplimiento de las metas de desempeo e iniciativas de mejoramiento
Anlisis del nivel de implantacin de las recomendaciones de la administracin
8 Identificando:
La responsabilidad, autoridad e independencia del personal de monitoreo dentro de la organizacin de sistemas de in-
formacin
C COBI OBIT T
MONITOREO
M2
S S S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Monitoreo
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


Evaluar lo adecuado del control interno


asegurar el logro de los objetivos de control interno establecidos para
los procesos de TI


el compromiso de la Gerencia de monitorear los controles
internos, evaluar su efectividad y emitir reportes sobre ellos
en forma regular


monitoreo permanente de control interno
comparacin con mejores prcticas
reportes de errores y excepciones
autoevaluaciones
reportes gerenciales

M 2 EVALUAR LA SUFICIENCIA DEL CONTROL INTERNO
1 Monitoreo del Control Interno
2 Operacin Oportuna de los Controles Internos
3 Reportes del Nivel de Control Interno
4 Aseguramiento de la Seguridad Operacional y del Control Interno
8 Entrevistas:
Director Ejecutivo
Director de servicios de informacin y administracin de control de calidad
Usuarios seleccionados de los recursos de la funcin de servicios de informacin

8 Obteniendo:
Polticas y procedimientos organizacionales relacionadas con la planeacin, administracin, monitoreo y reporte de los
controles internos
Polticas y procedimientos de la funcin de servicios de informacin relacionadas con el monitoreo y el reporte de los
controles internos y la frecuencia de las revisiones
Reportes de las actividades de la funcin de servicios de informacin incluyendo, pero no limitados a: reportes inter-
nos, reportes de auditoras internas, reportes de auditoras externas, reportes de usuarios, encuestas de satisfaccin
de los usuarios, planes de desarrollo de sistemas y reportes de avance, minutas del comit de auditora y cualquier
otro tipo de evaluacin de los controles internos de la funcin de servicios de informacin
Polticas y procedimientos especficos de la funcin de servicios de informacin relativos al aseguramiento de la segu-
ridad operacional y del control interno
8 Considerando s:
Los datos identificados para monitorear los controles internos de la funcin de servicios de informacin son apropiados
Los reportes internos de los datos de control interno de la funcin de servicios de informacin son adecuados
Existe una revisin administrativa de los controles internos de la funcin de servicios de informacin
Existen controles de monitoreo para proporcionar retroalimentacin confiable y til de manera oportuna
La respuesta de la organizacin a las recomendaciones de mejoramiento del control de calidad, auditora interna y au-
ditora externa es apropiada
C COBI OBIT T
Existen iniciativas y resultados de mejoramiento del control interno deseable
Se est dando el desempeo organizacional en comparacin con las metas establecidas dentro de la organizacin
La informacin concerniente a errores, inconsistencias y excepciones de control interno se mantiene de manera siste-
mtica y se reporta a la administracin
La confiabilidad y utilidad de los reportes de control interno para no usuarios, tales como auditor externo, comit de
auditora y alta administracin de la organizacin, es suficiente
La oportunidad de los reportes permite una respuesta rpida ante las excepciones o incumplimientos identificados del
control interno
Los reportes de control interno son suficientes en comparacin con las polticas y procedimientos establecidos para el
desempeo de las actividades (por ejemplo, reportes de control interno)
8 Probando que:
Existen reportes de monitoreo del control interno
Est habiendo revisin administrativa de los reportes de control interno e iniciativas de acciones correctivas
Los empleados estn conscientes y comprenden las polticas y procedimientos relativos al monitoreo del control interno
La calidad y el contenido de los reportes internos se relacionan con:
La recoleccin de datos de monitoreo del control interno
El desempeo del cumplimiento del control interno
Las acciones administrativas sobre problemas del control interno
El aseguramiento de la seguridad operacional y del control interno
La alta administracin est satisfecha con los reportes sobre la seguridad y el control interno
8 Llevando a cabo:
Referencia de la evaluacin del control interno respecto a organizaciones similares o estndares internacionales/
prcticas industriales reconocidas apropiados
Revisin de la relevancia de los datos dentro de los procesos que se estn monitoreando y en el reporte de los controles
internos
Marco de referencia para la revisin de los controles internos de toda la organizacin y en particular de la funcin de
servicios de informacin para asegurar la suficiencia de la cobertura y de los diversos niveles de detalle para los
responsables del proceso
Revisin del control interno real contra lo planeado en todas las reas de la funcin de servicios de informacin
Anlisis del grado de cumplimiento de las metas de control interno e iniciativas de mejoramiento
Revisin de la satisfaccin del comit de auditora con los reportes sobre los controles internos
Anlisis del nivel de implantacin de las recomendaciones de la administracin

8 Identificando:
Las reas adicionales para el probable reporte de control interno, en consistencia con los requerimientos de servicios de
informacin, auditora, administracin, auditores externos y regulativos
La responsabilidad, autoridad e independencia del personal de revisin de control interno dentro de la organizacin de
sistemas de informacin
C COBI OBIT T
MONITOREO
M3
Monitoreo
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

S S S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

c
o
n
f
i
a
b
i
l
i
d
a
d


obtencin de aseguramiento independiente


incrementar los niveles de confianza entre la organizacin, clientes y
proveedores externos


revisiones de aseguramiento independientes llevadas al cabo
en intervalos regulares


certificaciones / acreditaciones independientes
evaluaciones independientes de efectividad
aseguramiento independiente sobre cumpli-
miento de requerimientos legales y regulatorios
aseguramiento independiente de cumplimiento
de compromisos contractuales
revisiones a proveedores externos de servicios
aseguramiento de desempeo por personal cali-
ficado
involucramiento proactivo de auditora
M 3 OBTENER ASEGURAMIENTO INDEPENDIENTE
1 Acreditacin/Certificacin Independiente de la Seguridad y el Control Interno de los Servicios de Tecnologa de
Informacin
2 Acreditacin/Certificacin Independiente de la Seguridad y el Control Interno de los Proveedores Externos de Ser-
vicios
3 Evaluacin Independiente de la Eficacia de los Servicios de Tecnologa de Informacin
4 Evaluacin Independiente de la Eficacia de los Proveedores Externos de Servicios
5 Aseguramiento Independiente del Cumplimiento de Requerimientos Regulativos y Legales y de Compromisos Con-
tractuales
6 Aseguramiento Independiente del Cumplimiento de Requerimientos Regulativos y Legales y de Compromisos Con-
tractuales por parte de Proveedores Externos de Servicios
7 Responsabilidad de la Funcin de Aseguramiento Independiente
8 Involucramiento Proactivo de Auditora
8 Entrevistas:
Director Ejecutivo
Director de la funcin de servicios de informacin
Gerente de la entidad de aseguramiento independiente

8 Obteniendo:
Organigrama a nivel de toda la organizacin y manual de polticas y procedimientos
Polticas y procedimientos relativas al proceso de aseguramiento independiente
Contratos/Acuerdos de servicio con el proveedor del servicio de tecnologa de informacin
Requerimientos legales y regulativos pertinentes y compromisos contractuales
Contratos, presupuestos, reportes previos e historial de desempeo de aseguramiento independiente
Historial de experiencia y educacin continua del personal de aseguramiento independiente
Reportes de auditoras previas
8 Considerando s:
Los contratos de aseguramiento independiente estn debidamente establecidos/ejecutados para asegurar la cobertura de
revisin adecuada (por ejemplo, certificacin/acreditacin, evaluacin de eficacia y evaluaciones de cumplimiento)
C COBI OBIT T
La acreditacin/certificacin independiente se obtiene antes de implantar servicios nuevos e importantes de tecnologa
de informacin
La re-certificacin/re-acreditacin independiente de los servicios de tecnologa de informacin se obtiene en un ciclo
rutinario despus de la implantacin
La certificacin/acreditacin independiente se obtiene antes de utilizar a los proveedores de servicios de tecnologa de
informacin
La re-certificacin/re-acreditacin se obtiene en un ciclo rutinario
La evaluacin independiente de la eficacia de los servicios de tecnologa de informacin se obtiene en un ciclo rutina-
rio
La evaluacin independiente de la eficacia de los proveedores de servicios de tecnologa de informacin se obtiene en
un ciclo rutinario
Las revisiones independientes del cumplimiento de la funcin de servicios de informacin con los requerimientos lega-
les y regulativos y los compromisos contractuales se obtiene en un ciclo rutinario
Las revisiones independientes del cumplimiento de proveedores externos de servicios con los requerimientos legales y
regulativos y los compromisos contractuales se obtiene en un ciclo rutinario
El personal de aseguramiento independiente es competente y realiza su tarea de acuerdo a los estndares profesionales
apropiados
El programa de educacin profesional continua ayuda para proporcionar la capacitacin tcnica al personal de asegura-
miento independiente
La administracin busca el involucramiento de auditora antes de decidir sobre soluciones del servicio de tecnologa de
informacin
8 Probando que:
La alta administracin aprueba el desempeo de la entidad de aseguramiento independiente
La certificacin/acreditacin independiente antes de la implantacin de nuevos servicios importantes de tecnologa de
informacin es global, completa y oportuna
La re-certificacin/re-acreditacin independiente de los servicios de tecnologa de informacin se realiza en un ciclo
rutinario despus de la implantacin, y que es global, completa y oportuna
La certificacin/acreditacin independiente antes de utilizar proveedores de servicios de tecnologa de informacin es
global, completa y oportuna
La re-certificacin/re-acreditacin independiente se realiza en un ciclo rutinario y es global, completa y oportuna
La evaluacin independiente de la eficacia de los servicios de tecnologa de informacin se realiza en un ciclo rutinario
y es global, completa y oportuna
La evaluacin independiente de la eficacia de los proveedores de servicios de tecnologa de informacin se realiza en
un ciclo rutinario y es global, completa y oportuna
Las revisiones independientes del cumplimiento de la funcin de servicios de informacin con los requerimientos lega-
les y regulativos y los compromisos contractuales se realizan en ciclos rutinarios y son globales, completas y
oportunas
Las revisiones independientes del cumplimiento de proveedores externos de servicios con los requerimientos legales y
regulativos y los compromisos contractuales se realizan en ciclos rutinarios y son globales, completas y oportunas
Los reportes de la funcin de aseguramiento independiente son relevantes en cuanto a hallazgos, conclusiones y reco-
mendaciones
La funcin de aseguramiento independiente posee las habilidades y el conocimiento necesarios para realizar un trabajo
competente
Est habiendo involucramiento proactivo, antes de decidir sobre soluciones del servicio de tecnologa de informacin
8 Llevando a cabo:
Referencia de las actividades de revisin de la entidad de aseguramiento independiente respecto a organizaciones simi-
lares o estndares internacionales/prcticas industriales reconocidas apropiados
Una revisin detallada que:
verifique los contratos de aseguramiento independiente respecto a las actividades de revisin realizadas
determine la suficiencia y oportunidad de las certificaciones/acreditaciones
determine la suficiencia y oportunidad de las re-certificaciones/re-acreditaciones
determine la suficiencia y oportunidad de las evaluaciones de eficacia
determine la suficiencia y oportunidad de las revisiones de cumplimiento de requerimientos legales y regula-
tivos y de compromisos contractuales
verifique la capacidad del personal de la funcin de aseguramiento independiente
verifique el involucramiento proactivo de auditora

8 Identificando:
El valor agregado de las actividades de revisin de aseguramiento independiente
El desempeo real contra lo planeado con relacin a los planes y presupuestos de aseguramiento independiente
El grado y la oportunidad del involucramiento proactivo de auditora
C COBI OBIT T
MONITOREO
M4
S S S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Monitoreo
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
P P P P P
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d


proveer auditora independiente


incrementar los niveles de confianza y beneficiarse de recomendacio-
nes basadas en mejores prcticas


auditoras independientes desarrolladas en intervalos regula-
res


independencia de auditora
involucramiento proactivo de auditora
ejecucin de auditoras por parte de personal
calificado
aclaracin de resultados y recomendaciones
actividades de seguimiento

M 4 PREPARAR AUDITORAS INDEPENDIENTES
1 Contratacin de Auditora
2 Independencia
3 tica y Estndares Profesionales
4 Capacidad
5 Planeacin
6 Realizacin del Trabajo de Auditora
7 Reporte
8 Actividades de Seguimiento
8 Entrevistas:
Director Ejecutivo
Director de la funcin de servicios de informacin y administracin de control de calidad

8 Obteniendo:
Organigrama a nivel de toda la organizacin y manual de polticas y procedimientos
Cdigo de conducta a nivel organizacin
Polticas y procedimientos relativos al proceso de auditora independiente
Contratacin de auditora, misin, polticas, procedimientos y estndares, reportes previos y planes de auditora
Opiniones de auditora externa, revisiones y planes de auditora
Historial de experiencia y educacin continua del personal de auditora independiente
Evaluacin del riesgo de auditora, presupuesto e historial de desempeo
Minutas de las reuniones del comit de auditora, si aplica
8 Considerando s:
El comit de auditora est debidamente establecido y se rene con regularidad, si aplica
La organizacin de auditora interna est debidamente establecida
Las auditoras externas contribuyen a la consecucin del plan de auditora
La adherencia de la auditora a los cdigos profesionales aplicables es suficiente
Considerar si, contina
La independencia del auditor est confirmada mediante declaraciones de conflicto de intereses firmadas
C COBI OBIT T
El plan de auditora se basa en la metodologa de evaluacin de riesgos y en las necesidades generales del plan
Las auditoras se planean y supervisan de manera adecuada
El programa de educacin profesional continua ayuda en la capacitacin tcnica de los auditores
El personal de auditora es competente y realiza sus tareas de acuerdo con los estndares profesionales de auditora
Existe un proceso adecuado de reporte de los hallazgos de la auditora hacia la administracin
El seguimiento de todos los problemas de control se est realizando de manera oportuna
La cobertura de la auditora incluye todo el rango de auditora de sistemas de informacin (por ejemplo, controles ge-
nerales y de aplicaciones, ciclo de desarrollo del sistema, rentabilidad, economa, eficiencia, eficacia, enfoque
proactivo de auditora, etc.)
8 Probando que:
La alta administracin aprueba el desempeo de la funcin de auditora independiente
Las actitudes de la alta administracin son consistentes con la contratacin de auditora
Referencias de auditora interna respecto a los estndares profesionales
La designacin de auditores asegura la independencia y las habilidades necesaria
Hay mejora continua en la experiencia profesional del personal de auditora
El contenido del reporte de auditora es relevante respecto a las recomendaciones
Existen reportes de seguimiento que resumen la oportunidad de la implantacin
8 Llevando a cabo:
Referencia de la funcin de auditora respecto a organizaciones similares o estndares internacionales/prcticas indus-
triales reconocidas apropiados
Una revisin detallada que:
verifique que el plan de auditora representa una revisin cclica y continua
la auditora est contribuyendo al xito del negocio y a los planes de Tecnologa de Informacin
la evidencia de la funcin de auditora apoya las conclusiones y recomendaciones
los hallazgos de la auditora estn siendo comunicados y se est tomando ventaja de los mismos o se estn
reduciendo riesgos
las recomendaciones de la auditora estn siendo implantadas de manera consciente respecto al beneficio que
representan

8 Identificando:
El costo/beneficio de las recomendaciones de la auditora
El desempeo real contra lo planeado con relacin al plan y presupuesto de auditora
El grado de integracin entre la auditora externa y la interna
PLANEACIN Y ORGANIZACIN
1.0 Definir un Plan Estratgico de TI
1.1 TI como Parte del Plan a Largo y Corto
Plazo de la Organizacin
1.2 Plan a Largo Plazo de TI
1.3 Planeacin a Largo Plazo de TI Enfoque
y Estructura
1.4 Cambios en el Plan a Largo Plazo de TI
1.5 Planeacin a Corto Plazo para la Funcin
de Servicios de Informacin
1.6 Evaluacin de los Sistemas Existentes
2.0 Definir la Arquitectura de la Informacin
2.1 Modelo de Arquitectura de la Informacin
2.2 Diccionario de Datos Corporativos y Re-
glas de Sintaxis de Datos
2.3 Esquema de Clasificacin de Datos
2.4 Niveles de Seguridad
3.0 Determinar el Rumbo Tecnolgico
3.1 Planeacin de la Infraestructura Tecnolgi-
ca
3.2 Monitoreo de Tendencias y Regulaciones
Futuras
3.3 Contingencia de Infraestructura Tecnolgi-
ca
3.4 Planes de Adquisicin de Hardware y Soft-
ware
3.5 Estndares de Tecnologa
4.0 Definir la Organizacin y las Relaciones de TI
4.1 Comit Directivo o de Planeacin de la
Funcin de Servicios de Informacin
4.2 Lugar dentro del Organigrama de la Fun-
cin de Servicios de Informacin
4.3 Revisin de los Logros Organizacionales
4.4 Funciones y Responsabilidades
4.5 Responsabilidad por el Aseguramiento de
Calidad
4.6 Responsabilidad por la Seguridad Lgica y
Fsica
4.7 Propiedad y Custodia
4.8 Propiedad de los Datos y del Sistema
4.9 Supervisin
4.10 Segregacin de Obligaciones
4.11 Personal de TI
4.12 Descripciones de Puestos para el Personal
de la Funcin de Servicios de Informacin
4.13 Personal Clave de TI
4.14 Procedimientos de Contratacin de Personal
APNDICE I
LISTA DE DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL
4.15 Relaciones
5.0 Administrar la Inversin de TI
5.1 Presupuesto Anual Operativo de la Funcin
de Servicios de Informacin
5.2 Monitoreo de Costo y Beneficio
5.3 Justificacin de Costo y Beneficio
6.0 Comunicar los Objetivos y el Rumbo Admi-
nistrativo
6.1 Ambiente Positivo de Control de Informa-
cin
6.2 Responsabilidad de la Administracin so-
bre las Polticas
6.3 Comunicacin de las Polticas Organiza-
cionales
6.4 Recursos para la Implantacin de Polticas
6.5 Mantenimiento de Polticas
6.6 Cumplimiento de las Polticas, Procedi-
mientos y Estndares
6.7 Compromiso de Calidad
6.8 Poltica de Marco de Referencia para la
Seguridad y el Control Interno
6.9 Derechos de Propiedad Intelectual
6.10 Polticas para Asuntos Especficos
6.11 Comunicacin de la Consciencia de Segu-
ridad de TI
7.0 Administrar los Recursos Humanos
7.1 Reclutamiento y Promocin de Personal
7.2 Requerimientos del Personal
7.3 Capacitacin del Personal
7.4 Capacitacin Cruzada o Respaldo de Perso-
nal
7.5 Procedimientos de Liquidacin de Personal
7.6 Evaluacin del Desempeo de los Emplea-
dos
7.7 Cambio de Puesto y Terminacin
8.0 Asegurar el Cumplimiento de los Requeri-
mientos Externos
8.1 Revisin de Requerimientos Externos
8.2 Prcticas y Procedimientos para el Cumpli-
miento de los Requerimientos Externos
8.3 Cumplimiento de la Seguridad y Ergono-
ma
8.4 Privacidad, Propiedad Intelectual y Flujo
de Datos
8.5 Comercio Electrnico
8.6 Cumplimiento de Contratos de Aseguranza
9.0 Evaluar los Riesgos
9.1 Evaluacin de Riesgos de Negocios
C COBI OBIT T
APNDICE I
9.2 Enfoque de Evaluacin de Riesgos
9.3 Identificacin del Riesgo
9.4 Medicin del Riesgo
9.5 Plan de Accin para el Riesgo
9.6 Aceptacin del Riesgo
10.0 Administrar los Proyectos
10.1 Marco de Referencia para la Administra-
cin de Proyectos
10.2 Participacin del Departamento del
Usuario en la Iniciacin del Proyecto
10.3 Miembros y Responsabilidades del Equi-
po del Proyecto
10.4 Definicin del Proyecto
10.5 Aprobacin del Proyecto
10.6 Aprobacin de Fase del Proyecto
10.7 Plan Maestro del Proyecto
10.8 Plan del Sistema de Aseguramiento de
Calidad
10.9 Planeacin de Mtodos de Aseguramien-
to
10.10 Manejo Formal del Riesgo del Proyecto
10.11 Plan de Pruebas
10.12 Plan de Capacitacin
10.13 Plan de Revisin Post-Implantacin
11.0 Administrar la Calidad
11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de Calidad
11.3 Planeacin de Aseguramiento de Calidad
11.4 Revisin de Adherencia a los Estndares
y Procedimientos de Aseguramiento de
Calidad de la Funcin de Servicios de
Informacin
11.5 Metodologa del Ciclo de Desarrollo de
Sistemas
11.6 Metodologa del Ciclo de Desarrollo de
Sistemas para Cambios Importantes en
Tecnologa Existente
11.7 Actualizacin de la Metodologa del Ci-
clo de Desarrollo de Sistemas
11.8 Coordinacin y Comunicacin
11.9 Marco de Referencia de Adquisicin y
Mantenimiento para la Infraestructura
Tecnolgica
11.10 Relaciones con Implantadores Externos
11.11 Estndares de Documentacin de Progra-
mas
11.12 Estndares de Prueba de Programas
11.13 Estndares de Prueba de Sistemas
11.14 Pruebas Paralelas/Piloto
11.15 Documentacin de Pruebas del Sistema
11.16 Evaluacin de Adherencia a los Estnda-
res de Desarrollo de Aseguramiento de
Calidad
11.17 Revisin de la Consecucin de los Obje-
tivos de Aseguramiento de Calidad de la
Funcin de Servicios de Informacin
11.18 Medicin de la Calidad
11.19 Reportes de Revisiones de Aseguramien-
to de Calidad

ADQUISICIN E IMPLANTACIN
1.0 Identificar las Soluciones
1.1 Definicin de los Requerimientos de In-
formacin
1.2 Formulacin de Cursos de Accin Alter-
nativos
1.3 Formulacin de la Estrategia de Adquisi-
cin
1.4 Requerimientos de Servicios Externos
1.5 Estudio de Factibilidad Tecnolgica
1.6 Estudio de Factibilidad Econmica
1.7 Arquitectura de la Informacin
1.8 Reporte de Anlisis de Riesgos
1.9 Controles Rentables de Seguridad
1.10 Diseo de Esquemas de Auditora
1.11 Ergonoma
1.12 Seleccin del Software del Sistema
1.13 Control de Procuracin
1.14 Adquisicin del Software
1.15 Mantenimiento Externo del Software
1.16 Programa de Contrato de Aplicaciones
1.17 Aceptacin de Instalaciones
1.18 Aceptacin de Tecnologa
2.0 Adquirir y Dar Mantenimiento al Software de
Aplicacin
2.1 Mtodos de Diseo
2.2 Cambios Importantes en los Sistemas
Existentes
2.3 Aprobacin del Diseo
2.4 Definicin y Documentacin de los Re-
querimientos de Archivo
2.5 Especificaciones del Programa
2.6 Diseo de Recoleccin de Datos Fuente
APNDICE I
2.7 Definicin y Documentacin de los Re-
querimientos de Datos de Entrada
2.8 Definicin de Interfaces
2.9 Interfaz Usuario-Mquina
2.10 Definicin y Documentacin de los Reque-
rimientos de Procesamiento de Datos
2.11 Definicin y Documentacin de los Reque-
rimientos de Datos de Salida (Resultados)
2.12 Capacidad de Control
2.13 Disponibilidad como Factor Clave de Dise-
o
2.14 Provisiones de Integridad de TI en Softwa-
re y Programas de Aplicacin
2.15 Pruebas del Software de Aplicacin
2.16 Material de Referencia y Apoyo para el
Usuario
2.17 Re-evaluacin del Diseo del Sistema
3.0 Adquirir y Dar Mantenimiento a la Arquitec-
tura Tecnolgica
3.1 Evaluacin de Hardware y Software Nue-
vos
3.2 Mantenimiento Preventivo del Hardware
3.3 Seguridad del Software del Sistema
3.4 Instalacin del Software del Sistema
3.5 Mantenimiento del Software del Sistema
3.6 Cambio en los Controles del Software del
Sistema
4.0 Desarrollar y Mantener Procedimientos de TI
4.1 Requerimientos Operativos y Niveles de
Servicios Futuros
4.2 Manual de Procedimientos del Usuario
4.3 Manual de Operaciones
4.4 Materiales de Capacitacin
5.0 Instalar y Acreditar los Sistemas
5.1 Capacitacin
5.2 Ajuste de Desempeo del Software de
Aplicacin
5.3 Conversin
5.4 Pruebas de los Cambios
5.5 Criterios y Desempeo de las Pruebas Para-
lelas/Piloto
5.6 Prueba de Aceptacin Final
5.7 Acreditacin y Pruebas de Seguridad
5.8 Prueba Operativa
5.9 Promocin para Produccin
5.10 Evaluacin de Cumplimiento de los Reque-
rimientos del Usuario
5.11 Revisin Administrativa Post-
Implementacin
6.0 Manejar los Cambios
6.1 Iniciacin y Control de la Solicitud de
Cambios
6.2 Evaluacin del Impacto
6.3 Control de los Cambios
6.4 Documentacin y Procedimientos
6.5 Mantenimiento Autorizado
6.6 Poltica de Lanzamiento de Software
6.7 Distribucin de Software

SUMINISTRO Y SOPORTE
1.0 Definir los Niveles de Servicio
1.1 Marco de Referencia de Acuerdos de Nivel
de Servicio
1.2 Aspectos de los Acuerdos de Nivel de Ser-
vicio
1.3 Procedimientos de Desempeo
1.4 Monitoreo y Reporte
1.5 Revisin de los Acuerdos y Contratos de
Nivel de Servicio
1.6 Artculos con Cargo
1.7 Programa de Mejoramiento de Servicio
2.0 Manejar los Servicios de Terceros
2.1 Interfaces de Proveedores
2.2 Relaciones con el Propietario
2.3 Contratos con Terceros
2.4 Requerimientos de Terceros
2.5 Contratos Externos
2.6 Continuidad de Servicios
2.7 Relaciones de Seguridad
2.8 Monitoreo
3.0 Administrar el Desempeo y la Capacidad
3.1 Requerimientos de Disponibilidad y Des-
empeo
3.2 Plan de Disponibilidad
3.3 Monitoreo y Reporte
3.4 Herramientas de Modelaje
3.5 Administracin Proactiva del Desempeo
3.6 Pronstico de la Carga de Trabajo
3.7 Administracin de la Capacidad de los Re-
cursos
3.8 Disponibilidad de los Recursos
3.9 Programacin de Recursos
4.0 Asegurar el Servicio Continuo
4.1 Marco de Referencia de Continuidad de TI
C COBI OBIT T
APNDICE I
4.2 Plan Estratgico y Filosofa de Continui-
dad de TI
4.3 Contenido del Plan de Continuidad de TI
4.4 Reduccin de los Requerimientos de
Continuidad de TI
4.5 Mantenimiento del Plan de Continuidad
de TI
4.6 Pruebas del Plan de Continuidad de TI
4.7 Capacitacin del Plan de Continuidad de
TI
4.8 Distribucin del Plan de Continuidad de
TI
4.9 Procedimientos de Respaldo del Procesa-
miento Alternativo de Datos del Departa-
mento del Usuario
4.10 Recursos Crticos de TI
4.11 Sitio y Hardware de Respaldo
4.12 Procedimientos de Wrap-up
5.0 Asegurar la Seguridad de los Sistemas
5.1 Manejo de las Medidas de Seguridad
5.2 Identificacin, Autentificacin y Acceso
5.3 Seguridad del Acceso a Datos En Lnea
5.4 Administracin de la Cuentas del Usuario
5.5 Revisin Administrativa de las Cuentas
del Usuario
5.6 Control del Usuario de las Cuentas del
Usuario
5.7 Vigilancia de Seguridad
5.8 Clasificacin de Datos
5.9 Identificacin de Central y Administra-
cin de Derechos de Acceso
5.10 Reportes de Violacin y Actividades de
Seguridad
5.11 Manejo de Incidentes
5.12 Re-Acreditacin
5.13 Confianza de la Contraparte
5.14 Autorizacin de Transacciones
5.15 No-Repudio
5.16 Ruta Confiable
5.17 Proteccin de las Funciones de Seguridad
5.18 Administracin de la Clave Criptogrfica
5.19 Prevencin, Deteccin y Correccin de
Software Malicioso
5.20 Arquitectura de Barreras de Proteccin y
Conexiones con Redes Pblicas
5.21 Proteccin de Bienes Electrnicos
6.0 Identificar y Atribuir los Costos
6.1 Artculos Cobrables
6.2 Procedimientos de Costeo
6.3 Procedimientos de Facturacin y Reem-
bolso al Usuario
7.0 Educar y Capacitar a los Usuarios
7.1 Identificacin de las Necesidades de Ca-
pacitacin
7.2 Organizacin de la Capacitacin
7.3 Capacitacin de Consciencia y Principios
de Seguridad
8.0 Ayudar y Aconsejar a los Clientes de TI
8.1 Oficina de Asistencia
8.2 Registro de las Preguntas del Cliente
8.3 Agravamiento de las Preguntas del Clien-
te
8.4 Monitoreo de Habilitacin
8.5 Anlisis y Reporte de Tendencias
9.0 Manejar la Configuracin
9.1 Registro de la Configuracin
9.2 Fundamento de la Configuracin
9.3 Estatus de Contabilidad
9.4 Control de la Configuracin
9.5 Software No Autorizado
9.6 Almacenamiento de Software
10.0 Manejar los Problemas e Incidentes
10.1 Sistema de Manejo de Problemas
10.2 Agravamiento de Problemas
10.3 Rastreo y Ruta de Auditora de Proble-
mas
11.0 Manejar los Datos
11.1 Procedimientos de Preparacin de Datos
11.2 Procedimientos de Autorizacin de Do-
cumentos Fuente
11.3 Recoleccin de Datos de Documentos
Fuente
11.4 Manejo de Errores de Documentos Fuen-
te
11.5 Retencin de Documentos Fuente
11.6 Procedimientos de Autorizacin de Ali-
mentacin de Datos
11.7 Chequeos de Precisin, Integridad y Au-
torizacin
11.8 Manejo de Errores de Alimentacin de
Datos
11.9 Integridad de Procesamiento de Datos
11.10 Validacin y Edicin de Procesamiento
de Datos
11.11 Manejo de Errores de Procesamiento de
Datos
APNDICE I
11.12 Manejo y Retencin de Datos de Salida
(Resultados)
11.13 Distribucin de Resultados
11.14 Balance y Conciliacin de Resultados
11.15 Revisin y Manejo de Errores de Resul-
tados
11.16 Provisin de Seguridad para Reportes de
Resultados
11.17 Proteccin de Informacin Delicada Du-
rante la Transmisin y el Transporte
11.18 Proteccin de Informacin Delicada Des-
echada
11.19 Manejo del Almacenamiento
11.20 Perodos de Retencin y Plazos de Alma-
cenamiento
11.21 Sistema de Administracin de Archivo de
Medios
11.22 Responsabilidades de la Administracin
del Archivo de Medios
11.23 Respaldo y Restauracin
11.24 Tareas de Respaldo
11.25 Almacenamiento del Respaldo
11.26 Archivo
11.27 Proteccin de Mensajes Delicados
11.28 Autentificacin e Integridad
11.29 Integridad de las Transacciones Electr-
nicas
11.30 Integridad Continua de los Datos Alma-
cenados
12.0 Manejar las Instalaciones
12.1 Seguridad Fsica
12.2 Perfil del Sitio de TI
12.3 Escolta a Visitantes
12.4 Salud y Seguridad del Personal
12.5 Proteccin Contra Factores Ambientales
12.6 Suministro Ininterrumpido de Energa
13.0 Manejar las Operaciones
13.1 Procedimientos de las Operaciones de
Procesamiento y Manual de Instrucciones
13.2 Documentacin del Proceso de Inicio y
Otras Operaciones
13.3 Programacin de Tareas
13.4 Desviaciones de la Programacin Estn-
dar de Tareas
13.5 Continuidad de Procesamiento
13.6 Bitcoras de Operaciones
13.7 Operaciones Remotas

MONITOREO
1.0 Monitorear las Operaciones
1.1 Recoleccin de Datos de Monitoreo
1.2 Evaluacin del Desempeo
1.3 Evaluacin de la Satisfaccin del Cliente
1.4 Reporte Administrativo
2.0 Evaluar la Suficiencia del Control Interno
2.1 Monitoreo del Control Interno
2.2 Operacin Oportuna de los Controles Inter-
nos
2.3 Reporte del Nivel de Control Interno
2.4 Aseguramiento de Seguridad Operativa y
Control Interno
3.0 Obtener Aseguramiento Independiente
3.1 Certificacin/Acreditacin Independiente
de la Seguridad y el Control Interno de los
Servicios de TI
3.2 Certificacin/Acreditacin Independiente
de Proveedores Externos de Servicios
3.3 Evaluacin Independiente de la Eficacia de
los Servicios de TI
3.4 Evaluacin Independiente de la Eficacia de
los Proveedores Externos de Servicios
3.5 Aseguramiento Independiente del Cumpli-
miento de los Requerimientos Legales y
Regulativos y Compromisos Contractuales
3.6 Aseguramiento Independiente del Cumpli-
miento de los Requerimientos Legales y
Regulativos y Compromisos Contractuales
de Proveedores Externos de Servicios
3.7 Competencia de la Funcin de Asegura-
miento Independiente
3.8 Involucramiento Proactivo de Auditora
4.0 Preparar Auditoras Independientes
4.1 Contrato de Auditora
4.2 Independencia
4.3 tica y Estndares Profesionales
4.4 Competencia
4.5 Planeacin
4.6 Realizacin del Trabajo de Auditora
4.7 Reporte
4.8 Actividades de Seguimiento
C COBI OBIT T
APNDICE II MATERIAL DE REFERENCIA PRINIPAL
COSO: Comit de las organizaciones patrocinadas de la Comisin Treadway. Control Interno Marco de Referencia Inte-
grado. 2 vols. Instituto Americano de Contadores Certificados, Nueva Jersy, 1994.
Directrices OECD: Organizacin para la Cooperacin Econmica y el Desarrollo. Directrices para la Seguridad de la
Informacin, Pars, 1992.
Cdigo DTI para el Manejo de la Seguridad de la Informacin: Departamento de Comercio e Industria y el Instituto
Britnico de Estndares. Un Cdigo para el Manejo de la Seguridad de la Informacin, Londres, 1993, 1995.
IS0-9000-3: Organizacin Internacional de Estandarizacin. Estndares de la Administracin de Calidad y Aseguramiento
de Calidad Parte 3: Directrices para la aplicacin del IS0-9001 para el desarrollo, abastecimiento y mantenimiento del
software, Suiza 1991.
Manual de Seguridad NIST: Instituto Nacional de Estndares y Tecnologa, Departamento de Comercio de E.U.A. Una
introduccin a la Seguridad Computacional: El Manual NIST, Washington, DC, 1995.
Prcticas del Manjeo de la TI del ITIL: Biblioteca de la Infraestructura de la Tecnologa de la Informacin. Prcticas y
Directrices desarrollados para la Agencia Central de Computacin y Telecomunicaciones (CCTA), Londres, 1989.
Marco de Referencia IBAG: Marco de Referencia Preliminar del Grupo de Consultora de Negocios para SOGIS (Grupo
de Directores Ejecutivas de la Seguridad de Informacin, Recomendando a la Comisin Europea) Bruselas, Blgica, 1994.
Declaraciones de la Oficina del Primer Ministro de NSW sobre las Mejores Prcticas y, las Tcnicas y Manejo de la
Informacin de Planeacin: Declaracin de la Mejores Prcticas #1 a la #6. Departamento del Primer Ministro de New
South Wales, Gobierno de New South Wales, Australia, de 1990 a 1994.
Memorndum del Banco Central Holands: Memorndum sobre la Confiabilidad y Continuidad del Procesamiento elec-
trnico de Datos en la Banca. Banco de Nederlandsche, Reimpreso de Boletn Trimestral #3, Pases Bajos, 1998.
Monografa EDPAF #7, EDI: Un Enfoque de Auditora: Jamison, Rodger. EDI. Un Enfoque de Auditora, Serie Mono-
grfica #7, Fundacin de Auditora y Control de los Sistemas de Informacin; INC, Rolling Meadows, IL, Abril 1994.
Marco de Referencia Modelo de PCIE (Consultora Presidencial sobre Integridad y Eficiencia: Un Marco de Refe-
rencia Modelo para la Administracin sobre los Sistemas de Informacin Autorizados. Elaborado conjuntamente por el
Consejo Presidencial para el Mejoramiento de la Administracin y el Consejo Presidencial sobre Integridad y Eficiencia,
Washington, DC, 1987.
Estndares de Auditora para los Sistemas de Informacin en Japn: Estndares de Auditora para los Sistemas de
Informacin de Japn. Proporcionando por la cooperacin de Auditora Chuo, Tokio, Agosto 1994.
Controles de los OBJETIVOS DE CONTROL en un Ambiente de Sistema de Informacin: Directrices de Control y
Procedimientos de Auditora: Fundacin de Auditores EDKP (ahora la Fundacin de Control y Auditora de los Sistemas
de Informacin), cuarta Edicin, Rolling Meadows, IL, 1992.
Anlisis de Puesto CISA: Consejo de Certificacin de la Asociacin de Control y Auditora de Sistema de Informacin.
Estudio de Anlisis de Puesto de Auditor de Sistemas de Informacin Certificado, Rolling Meadows, IL 1994.
Directrices de Controles Computacionales CICA: Instituto Canadiense de Peritos Contables, Toronto, 1986.
Directrices Internacionales IFAC para el Manejo de la Seguridad de la Informacin y Comunicaciones: Federacin
Internacional de Contadores, Nueva York, NY, 1997.
Directrices Internacionales IFAC sobre el Manejo de la Tecnologa de Informacin Manejo de la Planeacin de la
Tecnologa de Informacin para el Impacto de Negocios (Borrador): Federacin Internacional de Contadores, Nueva
York, NY, 1998.
Estndares de Control Interno en el Gobierno Federal de E.U.A.: Oficina General de Tesorera de E.U.A., Washington,
DC, 1983.
Gua para la Auditora de Controles y Seguridad, un Enfoque del Grado de Vida de Desarrollo de Sistemas: Publi-
cacin Especial NBS, 500-153: Instituto Nacional de Estndares y Tecnologa, Departamento de Comercio de E.U.A., Was-
hington, DC, 1998.
Estndares gubernamentales de Auditora: Oficina General de Tesorera de EUA, Washington, Dc, 1994.
Prcticas generalmente aceptadas del Manejo de la TI en Dinamarca: El Inst. de Contadores Autorizados por el Estado,
Dinamarca, 1994.
SPICE: Mejoras al Proceso del Software y Determinacin de la capacidad. Un estndar sobre el mejoramiento del proceso
del software, institucin de Estndares Britnico, Londres, 1995.
DRI Internacional, Prcticas Profesionales para planeadores de la continuidad del Negocio: Instituto Internal para la
Recuperacin en casos de Desastre, Gua para los planeadores de la Continuidad del Negocio, San Luis, MO, 1997.
IIA, Pantleto de Prcticas Profesionales 97-1, Comercio Electrnico: Instituto de la Fundacin de Investigacin de Au-
ditores Internos, Alamonte Springs, FL, 1997.
Series de Referencias Tcnicas E &Y: Ernest & Young, Gua de Auditora, SAP R/3, Cleveland, OH 1996.
Gua de Auditora C&L SAP R/3: Coopers & Lybrand, SAP R/3: Su Uso Control y Auditora, Nueva York, NY, 1997
Tecnologa de Informacin ISO IEC JTC
Tecnologa de Informacin IS0 IEC JTC1/SC27 Seguridad: Organizacin Internacional de Estandarizacin, Comit-
Tcnico para la Seguridad de la Tecnologa de Informacin, Suiza, 1998.
IS0 TC68/WGA, Directrices para la Seguridad de la Informacin para la Banca y Servicios Financieros Relaciona-
dos: Organizacin Internacional de Estandarizacin (ISO) Comit Tcnico para la Banca y Servicios Financieros, Borrador,
Suiza, 1997.
CCEB 96/011, Criterios Comunes para la Evaluacin de la Seguridad de la Tecnologa de Informacin: Consejo de
implementacin de los Criterios Comunes, Alineacin y comparacin de los criterios de seguridad de la TI Europeos, E.U.
A. y Canadienses, Borrador, Washington, DC, 1997.
Prctica Recomendada para EDI: EDIFACT (EDI para la Administracin de Comercio e Industria), Pars, 1987.
TICKIT: Gua para la Construccin y Certificacin de software por Sistemas de Manejo de la Calidad, Departamento de
Comercio e Industria Britnico (DTI), Londres, 1994.
Control Base ESF Comunicaciones: Foro de Seguridad Europeo, Londres, Seguridad de Redes de Comunicaciones,
Septiembre 1991, Controles Base para Redes de rea Local, Septiembre 1994.
Control Base ESF Microcomputadoras: Foro de Seguridad Europeo, Londres, Cantidades de Base, Microcomputadoras
Conectadas a la Red, Junio 1990.
Manual de Auditora de los Sistemas de Informacin Computalizados (CIS): Fundacin de Auditores EDP (ahora la
Fundacin de Control y Auditora de Sistema de Informacin), Rolling Meadows, IL, 1992.
C COBI OBIT T
APNDICE III GLOSARIO DE TRMINOS
AICPA Instituto Americano de Contadores Pblicos Certificado. (American Institute of Certified Public
Accountants)
CCEB Criterios comunes para seguridad en tecnologa de informacin. (Common Criteria for
Information Technology Security)
CICA Instituto Canadiense de Contadores. (Canadian Institute of Chartered Accountants)
CISA Auditor Certificado de Sistemas de Informacin. (Certified Information Systems Auditor)
Control Polticas, procedimientos, prcticas y estructuras organizacionales, diseados para proporcionar
una seguridad razonable de que los objetivos del negocio sern alcanzados y que eventos no
deseados sern prevenidos o detectados y corregidos.
COSO Comit de Organizaciones Patrocinadoras de la Comisin de Intercambio.
"Tradeway" (Committee of Sponsoring Organisations of the Tradeway Commission).
DRI Instituto Internacional de Recuperacin de Desastres. (Disaster Recovery Institute International)
DTI Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of
the United Kingdom)
EDIFACT Intercambio Electrnico de Datos para la Administracin, el Comercio y la Industria (Electronic
Data Interchange for Administration, Commerce and Trade)
EDPAF Fundacin de Auditores de Procesamiento Electrnico de Datos (Electronic Data Processing
Auditors Foundation), ahora ISACF.
ESF Foro Europeo de Seguridad (European Security Forum), cooperacin de 70+ multinacionales
europeas principalmente con el propsito de investigar problemas de seguridad y control
comunes de TI.
GAO Oficina General de Contabilidad de los EUA. (U.S. General Accounting Office)
I4 Instituto Internacional de Integridad de Informacin. (International Information Integrity
Institute), asociacin similar a ESF, con metas similares, pero con base principalmente en los
Estados Unidos y dirigida por el Instituto de Investigaciones de Stanford (Stanford Research
Institute)
IBAG Grupo Consultivo de Negocios Infosec (Infosec Business Advisory Group), representantes de la
industria que asesoran al Comit Infosec. Este Comit est compuesto por funcionarios de los
gobiernos de la Comunidad Europea y asesora a la Comisin Europea sobre cuestiones de
seguridad de TI.
IFAC Federacin Internacional de Contadores. (International Federation of Accountants)
IIA Instituto de Auditores Internos. (Institute of Internal Auditors)
INFOSEC Comit Consultivo para la Comisin Europea en Materia de Seguridad TI. (Advisory Committee
for IT Security Matters to the European Commission)
ISACA Asociacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit
and Control Foundation)
ISACF Fundacin para la Auditora y Control de Sistemas de Informacin. (Information Systems Audit
and Control Foundation)
ISO Organizacin de Estndares Internacionales. (International Standards Organisation) (con
oficinas en Gnova, Suiza)
ISO9000 Estndares de manejo y aseguramiento de la calidad definidos por ISO.
ITIL Biblioteca de Infraestructura de Tecnologa de Informacin. (Information Technology
Infrastructure Library)
ITSEC Criterios de Evaluacin de Seguridad de Tecnologa de Informacin (Information Technology
Security Evaluation Criteria). Combinacin de los criterios de Francia, Alemania, Holanda y
Reino Unido, soportadas consecuentemente por la Comisin Europea (ver tambin TCSEC, el
equivalente en los Estados Unidos).
NBS Departamento Nacional de Estndares de los Estados Unidos (National Bureau of Standards of
the U.S.)
NIST (antes NBS) Instituto Nacional de Estndares y Tecnologa. (National Institute of Standards
and Technology), con base en Washington D.C.
NSW Nueva Gales del Sur, Australia. (New South Wales, Australia)
Objetivo de Declaracin del resultado deseado o propsito a ser alcanzado al implementar
Control de TI procedimientos de control en una actividad particular de TI.
OECD Organizacin para la Cooperacin y el Desarrollo Econmico. (Organisation for Economic
Cooperation and Development)
OSF Fundacin de Software Pblico (Open Software Foundation)
PCIE Consejo Presidencial de Integridad y Eficiencia. (Presidents Council on Integrity and
Efficiency)
TCSEC Criterios de Evaluacin de Sistemas Computarizados Confiables. (Trusted Computer System
Evaluation Criteria), conocido tambin como "The Orange Book". Criterios de evaluacin de
seguridad para sistemas computarizados definidos originalmente por el Departamento de
Defensa de los Estados Unidos. Ver tambin ITSEC, el equivalente europeo.
TickIT Gua para la Construccin y Certificacin de Sistemas de Administracin de Calidad. (Guide to
Software Quality Management System Construction and Certification)
C COBI OBIT T
APNDICE IV PROCESO DE AUDITORA
(PREPARADO POR EL CAPTULO NACIONAL DE REA CAPITAL)
Los diagramas de flujo que se muestran a continuacin tratan
de cada uno de los pasos para la satisfaccin de un solo objeti-
vo de control. Define el objetivo del paso y especifica lo que
el auditor debe haber alcanzado antes de continuar con el si-
guiente paso. Finalmente, un diagrama de flujo es la represen-
tacin grfica del proceso de recoleccin de informacin y
toma de decisiones que deben ocurrir en cada uno de los pa-
sos.
Dado que muchos de los objetivos son particulares, no sugeri-
mos estos diagramas como una regla estricta. Resultan tiles
como gua porque representan un marco de referencia concep-
tual preciso para cada una de las fases del trabajo de auditora.
Se presenta un glosario consolidado de trminos despus de
cada diagrama. Los trminos definidos se representan en cur-
siva a lo largo del texto.

PASO DE AUDITORA DE IDENTIFICACIN/DOCUMENTACIN
Objetivo del Paso El objetivo del paso de auditora de iden-
tificacin/documentacin es que el auditor se familiarice con
la tarea cubierta por el objetivo de control y la manera en que
la administracin de SI cree que estn siendo controlados.
Esto incluye la identificacin de las personas, los procesos y la
locacin que realiza dicha tarea, y los procedimientos estable-
cidos que los controlan.
Resultados Deseados del Paso Al finalizar el paso de audito-
ra de identificacin/documentacin, el auditor deber haber
identificado, documentado y verificado:
Quin realiza la tarea cubierta por el objetivo de
control
Dnde se realiza la tarea
Cundo se realiza la tarea
Sobre qu datos de entrada se realiza la tarea
Qu datos de salida/resultados se esperan de la
tarea, y
Cules son los procedimientos establecidos para
realizar la tarea.

Inicio
Identidad,
Procesos,
Locaciones,
Individuos, y
Procedimientos
Entrevista
a clientes
Procedimientos
Percibidos del
cliente
Procedimientos
Definidos

Para
Evaluar
Procedimientos
Escritos

Fusin
Figura 1. Diagrama de Flujo del Paso de Auditora
Identificacin/Documentacin
PASO DE AUDITORA DE EVALUACIN
Objetivo del Paso El objetivo del paso de auditora de eva-
luacin es evaluar los procedimientos establecidos y determi-
nar si los procedimientos brindan una estructura de control
eficaz. Los procedimientos deben evaluarse contra los crite-
rios identificados, las prcticas estndar de la industria y el
criterio del auditor. Una estructura de control eficaz es efi-
ciente en costos y proporciona aseguramiento razonable de
que la tarea est siendo realizada y de que se estn cumplien-
do el objetivo de control.
Resultados Deseados del Paso Al finalizar el paso de audito-
ra de evaluacin, el auditor debe haber:
Evaluado las leyes, regulaciones y criterios organi-
zacionales en cuanto a su aplicacin sobre los pro-
cedimientos
Evaluado los procedimientos establecidos para
determinar si son eficientes en costos y proporcio-
nan aseguramiento razonable de que se est reali-
zando la tarea y de que se est cumpliendo el obje-
tivo de control
Evaluado los controles compensatorios utilizados
para apoyar procedimientos dbiles
Concluido si los procedimientos establecidos y los
controles compensatorios proporcionan conjunta-
mente una estructura de control eficaz
Identificado si son apropiadas las pruebas de cum-
plimiento.

PASO DE AUDITORA DE PRUEBAS DE CUMPLIMIENTO
Objetivo del Paso El objetivo del paso de auditora de prue-
bas de cumplimiento es analizar la adherencia de una organi-
zacin a los controles prescritos. Deber compararse los pro-
cedimientos reales y los controles compensatorios en relacin
con los procedimientos establecidos, y deber realizarse entre-
vistas y revisin de documentos para determinar si los contro-
les estn debida y consistentemente aplicados. Las pruebas de
cumplimiento solamente se realizan sobre la base de los pro-
cedimientos que han sido determinados como eficaces.
Resultados Esperados del Paso Al finalizar el paso de
auditora de pruebas de cumplimiento, el auditor debe
haber documentado la adherencia de la organizacin a los
procedimientos identificados anteriormente y debe haber
concluido si los procedimientos establecidos y los contro-
les compensatorios estn debida y consistentemente aplica-
dos. Basndose en el nivel de cumplimiento, el auditor
debe determinar el nivel de pruebas justificantes necesarias
para brindar aseguramiento de que el proceso de control es
adecuado.

PASO DE AUDITORA DE PRUEBAS JUSTIFICANTES
Objetivo del Paso El objetivo del paso de auditora de
pruebas justificantes es realizar las pruebas de datos
necesarias para brindar aseguramiento o no-aseguramiento
total a la administracin sobre la consecucin de un objeti-
vo de negocios dado.
Resultados Deseados del Paso Al finalizar el paso de
auditora de pruebas justificantes, el auditor deber haber
realizado pruebas suficientes sobre los resultados de la
tarea para concluir si se est alcanzando un objetivo de
control dado. Debern realizarse pruebas justificantes sig-
nificativas si:
No existen medidas de control
Las medidas de control han sido calificadas como no
satisfactorias, o
Las pruebas de cumplimiento indican que las medidas de
control no han sido debida y consistentemente aplicadas.

Prueba de
Cumplimiento
Prueba
Significativa
y Sustantiva
Leyes,
Requericiones,
y Criterios de
la Org.
Controles de
Comp.
Efectivo?
Identificar y
Evaluar los
Controles de
Compensacin
Procedimiento
Efectivo?
Evaluar los
Procedimientos
Definidos
Procedimientos
Definidos
Ident/Doc
Figura 2. Diagrama de Flujo del Paso de Auditora de Evaluacin
NO
NO
SI
SI
Proced.
Definido
Revisar Muestra de
resultados de Tareas
para Determinar el
cumplimiento de los
Proced. Definidos
Evaluacin Cumple
Adecuar los
Procedimientos de
Control aplicados de
manera apropiada y
consistente
Pruebas
Sustantivas
Limitadas
Muestreo de
Resultados de
las Tareas
Identificar
Procedimientos
Reales
Proced. Reales
Adecuados
Adecuar los
Procedimientos de
control imprecisos y
aplicados de manera
inconsistente
Pruebas
Significativas
Sustantivas
NO
NO
SI
Figura 3. Diagrama de Flujo del Paso de Auditora de Prueba del Cumplimiento
C COBI OBIT T

Desarrollar el inverso
de los Resultados de las
tareas y determine las
tcnicas de muestreo
Se requieren
pruebas
Significativas?
Realice el muestreo
Significativo aleatorio
o estadstico
Determinar si el
objetivo de Control
se ha logrado para
el Muestreo
Se cumpli el
objetivo de
Control?
Aseguramiento
No Aseguramiento
Realice el
Muestreo Limitado
Aleatorio o de
Juicio
Figura 4. Diagrama de Flujo del Paso de Auditora de Pruebas
SI SI
NO
NO
GLOSARIO:
Procedimientos Reales Son los procedimientos que estn
siendo realizados por la organizacin para satisfacer el
objetivo de auditora. Los procedimientos reales se identi-
fican durante la fase de auditora de pruebas de cumpli-
miento.
Controles Compensatorios Son los pasos o procedimien-
tos adicionales de control que no se relacionan directamen-
te con el objetivo de control que se est probando, pero
cuya presencia sirve para fortalecer los controles que s se
relacionan directamente con el objetivo de control. Los
controles compensatorios se identifican durante la fase de
pruebas de cumplimiento del trabajo de auditora. Los
controles compensatorios se procuran de manera activa
solamente cuando la eficacia de los controles establecidos
es cuestionable.
Objetivo de Control El resultado deseado de cualquier
procedimiento establecido para una organizacin. Desde el
punto de vista de Sistemas de Informacin, el objetivo de
control se utiliza para catalogar y definir el alcance del
trabajo de auditora que se est realizando.
Aseguramiento Razonable Un estndar para la evalua-
cin de la suficiencia de los procedimientos establecidos
para cumplir con un objetivo de control en particular. El
aseguramiento razonable involucra la aplicacin del crite-
rio, conocimiento y experiencia para desarrollar una opi-
nin informada. El aseguramiento razonable requiere que
un sistema de controles sea eficaz, pero no demasiado gra-
voso. El estndar de aseguramiento razonable tambin
requiere que un sistema de controles sea eficiente en cos-
tos.
Procedimientos Establecidos Controles que la organiza-
cin cree establecidos y que se siguen para brindar asegu-
ramiento de que se est cumpliendo el objetivo de control.
Los procedimientos establecidos son lo que la administra-
cin cree que est sucediendo. Incluyen tanto procedi-
mientos escritos, como procedimientos informales identifi-
cados por la administracin. Los procedimientos estableci-
dos se identifican en la fase de identificacin/
documentacin del trabajo de auditora y se comparan en
relacin con los procedimientos reales durante la fase de
cumplimiento.
Tarea El resultado deseado de una serie de procedimien-
tos cubiertos por un objetivo de control. La tarea es lo que
el objetivo de control est diseado a asegurar.
Datos de Entrada y Resultados de la Tarea Productos,
reportes o informacin requerida para, asociada con o re-
sultado de la realizacin de una tarea.
C COBI OBIT T
CUMPLIMIENTO DE LOS REQUERIMIENTOS DEL AO 2000
1 Asegurar que todos los programas de aplicacin cumplan con los requerimientos del Ao 2000
2 Asegurar que todo el hardware y software de sistema cumpla con los requerimientos del Ao 2000
3 Asegurar que existan planes para monitorear el cumplimiento de los requerimientos del Ao 2000 y que se efecte la
respuesta oportuna donde sea necesario
8 Entrevistas:
Director General de Finanzas
Director General de Informacin
Miembros seleccionados del Comit Directivo de la Funcin de Servicios de Informacin
Jefe del sub-comit especial para el Ao 2000 de la organizacin
Administracin de la Funcin de Servicios de Informacin responsable de las iniciativas para el Ao 2000
Personal de la Funcin de Servicios de Informacin responsable de la implantacin y los resultados de las iniciativas
para el Ao 2000
Usuarios responsables de aplicaciones de comercio electrnico

8 Obteniendo:
El plan para el Ao 2000 de la organizacin, incluyendo tiempos especficos y costo presupuestado
El reporte de evaluacin para el Ao 2000 de la organizacin
El anlisis, por parte de la funcin de servicios de informacin, del esfuerzo requerido para cumplir con los requerimien-
tos del Ao 2000, clasificado por aplicacin, programas y utilidades de los sistemas, y dispositivos de hardware
Informacin sobre certificacin de cumplimiento de los requerimientos del Ao 2000 de los distribuidores, y fecha anti-
cipada de cumplimiento, si no estn certificados todava
Minutas de las reuniones del sub-comit especial para el Ao 2000
Iniciativas importantes de la industria para resolver problemas a nivel industria (por ejemplo, comercio electrnico)
APNDICE V
Como una muestra de la aplicacin del Marco de Referencia de COBIT a problemas especficos, as como tambin a proce-
sos especficos, Robert Parker, ExPresidente de ISACA (AACSI), ha brindado una muestra de un lineamiento de auditora
aplicable al problema del Milenio Ao 2000, relacionado con los campos de datos de los programas de cmputo y las difi-
cultades potenciales de procesamiento asociados con el cambio de los ltimos dgitos de 99 a 00. A manera de demos-
tracin, no pretende incluir todos los aspectos, sino ms bien el ser de utilidad como un enfoque hacia el tema, utilizando el
Marco de Referencia de COBIT para desarrollar un lineamiento de auditora.
8 Considerando s:
La organizacin ha realizado una revisin de su utilizacin de la tecnologa de informacin, incluyendo la preparacin
de un inventario apropiado, y ha evaluado adecuadamente los problemas potenciales y especficos del Ao 2000
La organizacin ha establecido un plan para asegurar que sus sistemas cumplan con los requerimientos del Ao 2000 y
ha dedicado tiempo suficiente para un cumplimiento total
La organizacin ha desarrollado planes especficos para evaluar los sistemas antiguos que pueden no tener documenta-
cin o fuentes suficientes para permitir su modificacin para que cumplan con los requerimientos del Ao 2000
La organizacin negocia electrnicamente con proveedores (EDI; EFI, etc.), y si ellos necesitan cumplir con los reque-
rimientos del Ao 2000, incluyendo la certificacin apropiada
La calidad de la documentacin existente es suficiente para permitir que la organizacin cumpla con los requerimientos
para el Ao 2000
Los sistemas operativos y otro software estn certificados por su cumplimiento de los requerimientos para el Ao 2000
La organizacin ha utilizado 99 como una opcin predeterminada en el diseo de sistemas, particularmente en polti-
cas de retencin (por ejemplo, 99365 para especificar una retencin sin eliminar de los archivos guardados)
La organizacin ha adoptado una poltica que requiere que todo el software nuevo cumpla con los requerimientos para
el Ao 2000
La organizacin tiene la capacidad suficiente para llevar a cabo y finalizar las iniciativas para el Ao 2000, incluyendo
las pruebas de validacin, en el tiempo requerido
La organizacin ha adquirido y validado productos de software para ayudar en la implantacin de su programa para el
Ao 2000
La organizacin se apoya o se apoyar en fuentes externas para realizar su plan para el Ao 2000, y si dichos recursos
ya estn contratados
El plan para el Ao 2000 de la organizacin incluye dispositivos controlados por computadora, tales como puertas,
alarmas, elevadores, claves de seguridad, pases, mquinas de fax, etc.
La organizacin probablemente evitar un problema de creciente preocupacin dados el plan actual para el Ao 2000
y el estatus de cualquier iniciativa para el Ao 2000
8 Probando que:
El inventario de aplicaciones, utilidades, APIs, etc., es preciso y completo, y que el estatus del cumplimiento con los
requerimientos para el Ao 2000 est correcto
Los planes para el Ao 2000 sean razonables, completos y alcanzables, y que estn manejados apropiadamente
Que las interfaces electrnicas con los proveedores cumplan con los requerimientos para el Ao 2000
La documentacin es adecuada para permitir a la organizacin evaluar, actualizar y probar todos los programas reque-
ridos para hacer que la organizacin cumpla con los requerimientos del Ao 2000
Los fabricantes, distribuidores y otros proveedores hayan certificado sus productos como en cumplimiento de los re-
querimientos del Ao 2000, y que mantengan registros de dicha certificacin
Para los productos certificados para el Ao 2000, la organizacin ha realizado las pruebas apropiadas en su ambiente
normal/habitual de procesamiento, incluyendo las comunicaciones
El uso de las opciones predeterminadas 99 ha sido apropiadamente resuelto
Las polticas, procedimientos y estndares de la organizacin reflejan los requerimientos del Ao 2000 y se cumple
con ellos
Todos los acuerdos de licencia de software y hardware actual especifican el cumplimiento de los requerimientos del
Ao 2000 y/o una fecha lmite de cumplimiento especificada por el distribuidor/proveedor
C COBI OBIT T
La organizacin ha incluido tiempo de capacitacin suficiente para asegurar que todos los empleados de la Funcin de
Servicios de Informacin tengan los conocimientos para apoyar las iniciativas para el Ao 2000 de la organizacin
Los acuerdos de licencia de software permiten a la organizacin realizar pruebas para el Ao 2000 en sitios distintos de
la locacin principal con licencia
Las iniciativas para el Ao 2000 de la organizacin incluyen la prueba y validacin apropiada, incluyendo una prueba
completa de los sistemas, y que los sitios remotos apropiados han sido asegurados para simular ambientes remotos
de procesamiento y comunicaciones, y que han realizado dicha prueba
El plan comprende a los dispositivos, adems de los sistemas computacionales
El plan permita a la organizacin continuar con sus actividades normales de negocios, sin interrupciones, despus del
Ao 2000
8 Llevando a cabo:
Referencia de los planes e iniciativas para el Ao 2000 y de su estatus actual respecto a organizaciones similares o cri-
terios razonables apropiados
Una revisin detallada de las diversas iniciativas para el Ao 2000, incluyendo la evaluacin del tiempo estimado, los
recursos asignados, los conocimientos disponibles y el presupuesto establecido
Revisiones de los contratos con distribuidores y proveedores para calificar el grado de cumplimiento con los requeri-
mientos del Ao 2000
Revisiones de las pruebas para el Ao 2000 de la organizacin para evaluar el cumplimiento de los sistemas individua-
les para cubrir los requerimientos del Ao 2000 de la organizacin
Revisiones de los contratos externos para el Ao 2000 y evaluacin de los plazos y los resultados de los contratos

8 Identificando:
Planes e iniciativas para el Ao 2000 poco realistas o demasiado ambiciosos
Fondos, asignacin de recursos, personal y conocimientos insuficientes para el Ao 2000
Contratacin inadecuada o inapropiada en el rea de requerimientos para el Ao 2000
Pruebas inadecuadas o inapropiadas de los sistemas y programas de aplicacin que han sido modificados para cumplir
con los requerimientos del Ao 2000
Plazos, condiciones o temporalidad inadecuada o inapropiada para que el software suministrado por medio de distri-
buidores cumpla con los requerimientos del Ao 2000
Pruebas inadecuadas o inapropiadas del software de distribuidores externos que ha sido certificado por el distribui-
dor como en cumplimiento de los requerimientos para el Ao 2000
DGANOS QU PIENSA DE COBIT
Nos interesa conocer su reaccin a COBIT: Objetivos de Control para la Informacin y Tecnologa Rela-
cionada. Srvase proporcionar sus comentarios a continuacin. Las respuestas sern recopiladas y publi-
cadas en IS Audit and Control Journal.
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________
______________________________________________________________________________________

Nombre _____________________________________________________________________________________
Compaa _____________________________________________________________________
Direccin ____________________________________________________________________
Ciudad ______________________________ Estado/Provincia __________________________
Pas _________________________________ Cdigo Postal _____________________________
Nmero de Fax ________________________________________________________________
Direccin Electrnica ____________________________________________________________

? Estoy interesado en saber ms sobre cmo puede utilizarse CobiT dentro de mi organizacin.
Favor de solicitar a un representante de la Asociacin que se ponga en contacto conmigo.
? Envenme ms informacin sobre:
? Otros productos de CobiT
? Cursos de Capacitacin de CobiT (privados o sesiones generales)
? Certificacin de Auditor Certificado de Sistemas de Informacin [CISA (ACSI)]
? Conferencias de ISACA (AACSI)
? Membresa de la Asociacin
? IS Audit & Control Journal
? Otras publicaciones de ISACA (AACSI)

Muchas Gracias!

Todas las encuestas sern tomadas en consideracin.
Asociacin de Auditora y Control
de Sistemas de I nformacin
3701 ALGOLQUN ROAD, SUITE 1010
ROLLING MEADOWS, ILLINOIS 60008, USA
TELEPHONE: +1.847.253.1545
FACSMILE: +1.847.253.1443
E- MAIL: publication@isaca.org
WEB SITE: http//www.isaca.org
C COBI OBIT T
DIRECTRIZ GENRICA PARA AUDITORAS
OBTENCIN DE UNA COMPRENSIN
Los pasos de auditora a realizar para documentar las actividades subyacentes de los objetivos de control, as como tam-
bin para identificar las medidas de control/procedimientos establecidos existentes.
Entrevistar al personal y directivos para obtener una comprensin de:
Los requerimientos del negocio y los riesgos asociados
La estructura organizacional
Las funciones y responsabilidades
Las polticas y procedimientos
Las leyes y regulaciones
Las medidas de control existentes
El reporte administrativo (estatus, desempeo, puntos de accin)
Documentar los recursos de TI relacionados particularmente afectados por los procesos bajo revisin, los Indicadores Clave
de Desempeo [ICD (KPI)] del proceso, las implicaciones del control, mediante una revisin paso a paso del proceso

EVALUACIN DE LOS CONTROLES
Los pasos de auditora a realizar para la evaluacin de la eficacia de las medidas de control existentes o el grado en que
se logra un objetivo de control. Bsicamente, trata de decidir qu y cmo probarlo.
Evaluar la suficiencia de las medidas de control para el proceso bajo revisin, por medio de considerar los criterios identifi-
cados y las prcticas estndar de la industria, los Factores Crticos de xito [FCE (CSF)] de las medidas de control, y la
aplicacin del criterio profesional del auditor.
Existen procesos documentados
Existen resultados apropiados
Las responsabilidades son claras y eficaces
Existen controles compensatorios, donde es necesario
Concluir el grado en el que se cumple el objetivo de control.

EVALUACIN DEL CUMPLIMIENTO
Los pasos de auditora a realizar para asegurar que las medidas de control establecidas estn funcionando como debiera,
de manera consistente y continua, y concluir sobre la suficiencia del ambiente de control.
Obtener evidencia directa o indirecta para puntos/perodos seleccionados para asegurar que los procedimientos cumplieron
en el periodo bajo revisin, utilizando evidencia directa o indirecta.
Realizar una revisin limitada de la suficiencia de los resultados del proceso.
Determinar el nivel de pruebas justificantes y el trabajo adicional necesarios para asegurar que el proceso de TI es adecua-
do.

JUSTIFICACIN DEL RIESGO
Los pasos de auditora a realizar para justificar el riesgo de no cumplir con el objetivo de control mediante el uso de tcni-
cas analticas y/o consultando a fuentes alternativas. El objetivo es fundamentar la opinin y cimbrar a la administra-
cin para que tome accin. Los auditores deben ser creativos para encontrar y presentar esta informacin frecuentemente
confidencial y delicada.
Documentar las debilidades del control, y las amenazas y los puntos vulnerables resultantes.
Identificar y documentar el impacto real y potencial; por ejemplo, mediante el anlisis de causa-raz.
Brindar informacin comparativa; por ejemplo, mediante puntos de referencia.

Manual de Cobit 2da Edicion

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Manual de Cobit 2da Edicion

Uploaded by

Copyright:

Available Formats

La Misin de COBIT:

Investigar, desarrollar, publicar y promover un conjunto de objetivos de con-

que trata de la importancia de los criterios de

You might also like