Professional Documents
Culture Documents
COBIT
MARCO REFERENCIAL
3a Edicin
Emitido por el Comit Directivo de COBIT y
El IT Governance Institute MR
La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos
de control en tecnologa de informacin con autoridad, actualizados,
de carcter internacional y aceptados generalmente para el uso cotidiano
de gerentes de empresas y auditores.
IT GOVERNANCE INSTITUTE
ARGENTINA
ARUBA
AUSTRALIA
AUSTRIA
BAHAMAS
BAHRAIN
BANGLEDESH
BARBADOS
BLGICA
BERMUDA
BOLIVIA
BOSTSWANA
BRASIL
BRUENI
CANAD
CHILE
CHINA
COLOMBIA
COSTA RICA
CROATA
CURAZAO
CYPRUS
REPBLICA CHECA
DINAMARCA
REPBLICA DOMINICANA
ECUADOR
EGIPTO
ESTONIA
ISLAS FAEROE
FINLANDIA
FRANCIA
ALEMANIA
GHANA
GRECIA
GUAM
GUATEMALA
HONDURAS
HONG KONG
HUNGRA
ISLANDIA
INDIA
INDONESIA
IRLANDA
ISRAEL
ITALIA
IVORY COAST
JAMAICA
JAPN
JORDN
KENYA
COREA
KUWAIT
LATVIA
LEBANON
LIECHTENSTEIN
MARCO REFERENCIAL
programas y servicios.
Programas y Servicios de
la Asociacin
de la comunidad de negocios
internacionales y de la profesin de
controles de la TI.
Para ms Informacin
www.itgovernance.org
www.isaca.org
LITUANIA
LUXEMBURGO
MALASIA
MALTA
MALAWI
MXICO
PASES BAJOS
NUEVA GUINEA
NUEVA ZELANDA
NIGERIA
NORUEGA
OMN
PAKISTN
PANAM
PER
FILIPINAS
POLONIA
PORTUGAL
QATAR
RUSIA
SAIPAN
ARABIA SAUDITA
ESCOCIA
SEYCHELLES
SINGAPUR
REP. ESLOVACA
ESLOVENIA
SUDFRICA
ESPAA
SRI LANKA
ST. KITTS
ST. LUCIA
SUECIA
SUIZA
SIRIA
TAIWAN
TANZANIA
TASMANIA
TAILANDIA
TRINIDAD & TOBAGO
TURQUA
UGANDA
EMIRATOS ARAB
UNIDOS
REINO UNIDO
ESTADOS UNIDOS
URUGUAY
VENEZUELA
VIETNAM
GALES
YEMEN
ZAMBIA
ZIMBABWE
se miden.
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
Reconocimientos
Resumen Ejecutivo
14
20
Tabla Resumen
22
23
25
Objetivos de Control
Planeacin y Organizacin
Adquisicin e Implementacin
Entrega de Servicios y Soporte
Monitoreo
26
37
43
56
Apndice I
Lmite de Responsabilidad
La Information Systems Audit and Control AssociationISACA- y
el IT Governance Institute ITGI- (los propietarios) han creado esta
publicacin titulada COBIT: Objetivos de Control para la
Informacin y las Tecnologas Relacionadas (el trabajo)
principalmente como un recurso educativo para los profesionales
dedicados a las actividades de control. Los Propietarios declaran que
no responden o garantizan que el uso que se le de al Trabajo
asegurar un resultado exitoso. No deber considerarse que el
Trabajo incluye toda la informacin, los procedimientos o las
pruebas apropiadas o excluye otra informacin, procedimientos y
pruebas que estn razonablemente dirigidas a la obtencin de los
mismos resultados. Para determinar la conveniencia de cualquier
informacin, procedimiento o prueba especfica, los expertos en
control debern aplicar su propio juicio profesional a las
circunstancias especficas presentadas por los sistemas o por el
ambiente de tecnologa de informacin en particular.
Esta edicin de COBIT fue traducida al idioma espaol por Gustavo
Adolfo Sols Montes, Lucio Augusto Molina Focazzio, Johann Tello
Meryk y Roco Torres Surez, (los traductores). Los traductores
asumen la responsabilidad exclusiva por la actualizacin y por la
fidelidad de la traduccin. La Information Systems Audit and
Control Association (ISACA) y el IT Governance Institute (ITGI)
declaran que no responden por la actualizacin, totalidad, o por la
calidad de la traduccin. En ningn evento ISACA/ITGI ser
responsable ante un individuo u organizacin por los daos causados
en relacin con la edicin del lenguaje, cualquier actualizacin,
modificacin, localizacin o traduccin.
Acuerdo de Licencia de uso (disclosure)
63
Apndice II
Descripcin del Proyecto COBIT
67
Apndice III
Material de Referencia Primaria
68
Apndice IV
Glosario de Trminos Originales
71
MARCO REFERENCIAL
RECONOCIMIENTOS
Agradecimientos Especiales a los Captulos de ISACA del rea de la Capital Nacional y al de Boston por su contribucin a los Objetivos de Control de COBIT
Agradecimientos Especiales a los miembros de la Mesa Directiva de la Information Systems Audit and Control
Association y a los Fideicomisarios de la Information Systems Audit and Control Foundation, encabezados por el
Presidente Internacional Paul Williams, por su contnuo y firme apoyo al COBIT
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
RESUMEN EJECUTIVO
Un elemento crtico para el xito y la supervivencia de
las organizaciones, es la administracin efectiva de la
informacin y de la Tecnologa de Informacin (TI)
Relacionada. En esta sociedad global (donde la
informacin viaja a travs del ciberespacio sin las
restricciones de tiempo, distancia y velocidad) esta
criticidad emerge de:
z
La creciente dependencia en informacin y en los
sistemas que proporcionan dicha informacin
z
La creciente vulnerabilidad y un amplio espectro de
amenazas, tales como las ciber amenazas y la
guerra de informacin1
z
La escala y el costo de las inversiones actuales y
futuras en informacin y en tecnologa de
informacin; y
z
El potencial que tienen las tecnologas para cambiar
radicalmente las organizaciones y las prcticas de
negocio, crear nuevas oportunidades y reducir
costos
Para muchas organizaciones, la informacin y la
tecnologa que la soporta, representan los activos mas
valiosos de la empresa. Es ms, en nuestro competitivo
y rpidamente cambiante ambiente actual, la Gerencia
ha incrementado sus expectativas relacionadas con la
entrega de servicios de TI. Por lo tanto, la
Administracin requiere niveles de servicio que
presenten incrementos en calidad, en funcionalidad y en
facilidad de uso, as como un mejoramiento continuo y
una disminucin de los tiempos de entrega; al tiempo
que demanda que esto se realice a un costo ms bajo.
Muchas organizaciones reconocen los beneficios
potenciales que la tecnologa puede proporcionar. Las
organizaciones exitosas, sin embargo, tambin
comprenden y administran los riesgos asociados con
la implementacin de nuevas tecnologas.
Hay numerosos cambios en TI y en su ambiente de
operacin que enfatiza la necesidad de un mejor manejo
relacionado con los riesgos de TI. La dependencia en la
informacin electrnica y en los sistemas de TI son
esenciales para soportar los procesos crticos del
negocio. Adicionalmente, el ambiente regulatorio
demanda control estricto sobre la informacin. Esto a su
vez conduce a un incremento de los desastres en los
sistemas de informacin y al incremento del fraude
electrnico. La Administracin de los riesgos
1
2
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
objetivos, la Administracin debe entender el estado de
sus propios sistemas de TI y decidir el nivel de
seguridad y control que deben proveer estos sistemas.
Empoderamiento (empowerment)
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
Las Guas o Directrices Gerenciales de COBIT,
desarrolladas recientemente, ayudan a la Gerencia a
cumplir de una forma mas efectiva con las
necesidades y requerimientos del Gobierno de TI. Las
Directrices son acciones genricas orientadas a
proveer a la Administracin la direccin para
mantener bajo control la informacin de la empresa y
sus procesos relacionados, para monitorear el logro de
las metas organizacionales, para monitorear el
desempeo de cada proceso de TI y para llevar a cabo
un benchmarking de los logros organizacionales.
MARCO REFERENCIAL
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
APARICION DEL GOBIERNO DE LA EMPRESA Y
DEL GOBIERNO DE TI
Para lograr el xito en esta economa de informacin,
el Gobierno de la empresa y el Gobierno de TI no
pueden ser consideradas separadamente y en distintas
disciplinas. El gobierno efectivo de la empresa enfoca
el conocimiento y la experiencia en forma individual y
grupal, donde puede ser mas productivo, monitoreado
y medido el desempeo as como provisto el
aseguramiento para aspectos crticos. TI, por mucho
tiempo considerada aislada dentro del logro de los
objetivos de la empresa debe ahora ser considerada
como una parte integral de la estrategia.
El Gobierno de TI provee la estructura que une los
procesos de TI, los recursos de TI y las estrategias y
objetivos de la empresa. El Gobierno de TI integra e
institucionaliza de una manera ptima la planeacin y
organizacin, la adquisicin e implementacin, la
entrega de servicios y soporte y el monitoreo del
desempeo de TI. El Gobierno de TI es integral para el
xito del Gobierno de la Empresa asegurando una
eficiente y efectiva medicin para mejorar los procesos
de la empresa. El Gobierno de TI le permite a la
empresa tomar ventaja total de su informacin, al
maximizar sus beneficios, capitalizar sus
oportunidades y ganar ventaja competitiva.
10
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
Tambin TI es gobernado por buenas (o mejores)
prcticas para asegurar que la informacin de la
empresa y sus tecnologas relacionadas apoyan sus
objetivos del negocio, estos recursos son utilizados
responsablemente y sus riesgos son manejados
apropiadamente. Estas prcticas conforman una base
para la direccin de las actividades de TI las cuales
pueden ser enmarcadas en la Planeacin y
Organizacin, Adquisicin e Implementacin,
Entrega de Servicios y Soporte y Monitoreo para los
propsitos duales como son el manejo de riesgo
(para obtener seguridad, confiabilidad y
cumplimiento) y la obtencin de beneficios
(incrementando la efectividad y eficiencia). Los
reportes son enfocados sobre los resultados de las
actividades de TI, los cuales son medidos contra
diferentes prcticas y controles y el ciclo comienza
otra vez.
Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe dirigir y administrar las actividades de TI para alcanzar un
balance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades
mas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien se
estn desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organizacin contra las
mejores practicas industriales y los modelos internacionales. Para soportar estas necesidades la Gerencia necesita las Directrices
Gerenciales de COBIT en las cuales se han identificado Factores Crticos de Exito especficos, Indicadores Claves por Objetivo e
Indicadores Clave de Desempeo y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apdice I.
IT GOVERNANCE INSTITUTE
11
MARCO REFERENCIAL
RESPUESTA A LAS NECESIDADES
En vista de estos continuos cambios, el desarrollo de
este Marco Referencial de objetivos de control para TI,
conjuntamente con una investigacin continua aplicada
a controles de TI basada en este marco referencial,
constituyen el fundamento para el progreso efectivo en
el campo de los controles de sistemas de informacin.
Por otro lado, hemos sido testigos del desarrollo y
publicacin de modelos de control generales de
negocios como COSO [Committee of Sponsoring
Organisations of the Treadway Commisssion Internal
Control-Integrated Framework, 1992] en los EUA,
Cadbury en el Reino Unido, CoCo en Canad y King en
Sudfrica. Por otro lado, existe un nmero importante
de modelos de control ms enfocados al nivel de
tecnologa de informacin. Algunos buenos ejemplos
de esta ltima categora son el Security Code of Conduct
del DTI (Departamento de Industria y Comercio, Reino
Unido) y el Security Handbook de NIST (National
Institute of Standards and Technology, EUA). Sin
embargo, estos modelos de control con orientacin
especfica no proporcionan un modelo de control
completo y utilizable sobre tecnologa de informacin
como soporte para los procesos del negocio. El
propsito de COBIT es cubrir este vaco proporcionando
una base que est estrechamente ligada a los objetivos
de negocio, al mismo tiempo que se enfoca a la
tecnologa de informacin.
(El documento que ms se acerca al COBIT es una
publicacin reciente de AICPA/CICA Systrust TM
Principios y Criterios para la Confiabilidad de los
Sistemas. SysTrust es una autoridad que realiza
publicaciones para el Comit Ejecutivo de Servicios de
Aseguramiento de los Estados Unidos y para el Comit
de Desarrollo de Servicios de Calidad de Canad,
basado en parte en los Objetivos de Control de COBIT .
SysTrust est diseado para incrementar el confort de la
Administracin, los clientes y los socios de negocios
con los sistemas que soportan un negocio o una
actividad en particular. Los servicios de SysTrust
incluyen al contador pblico proporcionndole un
servicio de aseguramiento en el cual l o ella evala y
prueba si el sistema es confiable cuando lo mide contra
cuatro principios esenciales: Disponibilidad, seguridad,
integridad y mantenimiento.
Un enfoque hacia los requerimientos del negocio en
cuanto a controles para tecnologa de informacin y la
aplicacin de modelos de control emergentes y
estndares internacionales relacionados incluyen los
12
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
ORIENTACIN A OBJETIVOS DE NEGOCIO
El COBIT est alineado con los Objetivos del Negocio.
Los Objetivos de Control muestran una relacin clara y
distintiva con los objetivos del negocio con el fin de
apoyar su uso en forma significativa fuera de las
fronteras de la comunidad de auditora. Los Objetivos
de Control estn definidos con una orientacin a los
procesos, siguiendo el principio de reingeniera de
negocios. En dominios y procesos identificados, se
identifica tambin un objetivo de control de alto nivel
para documentar el enlace con los objetivos del
negocio. Adicionalmente, se establecen
consideraciones y guas para definir e implementar el
Objetivo de Control de TI.
La clasificacin de los dominios a los que se aplican los
objetivos de control de alto nivel (dominios y procesos);
una indicacin de los requerimientos de negocio para la
informacin en ese dominio, as como los recursos de
TI que reciben un impacto primario por parte del
objetivo del control, forman conjuntamente el Marco de
Referencia de COBIT. El Marco de Referencia toma
como base las actividades de investigacin que han
identificado 34 objetivos de alto nivel y 318 objetivos
de control detallados. El Marco de Referencia fue
presentado a la industria de TI y a los profesionales
dedicados a la auditora para abrir la posibilidad a
revisiones, cambios y comentarios. Las ideas obtenidas
fueron incorporadas en forma apropiada.
Control se
define como
Objetivo de
control de TI
se define como
Gobierno de TI
se define como
DEFINICIONES GENERALES
Para propsitos de este proyecto, se proporcionan las
siguientes definiciones. La definicin de Control est
adaptada del reporte COSO [Committee of Sponsoring
Organisations of the Treadway Commission. Internal
Control-Integrated Framework, 1992 y la definicin
para Objetivo de Control de TI ha sido adaptada del
reporte SAC (Systems Auditability and Control Report,
The Institute of Internal Auditors Research Foundation,
1991 y 1994).
IT GOVERNANCE INSTITUTE
13
MARCO REFERENCIAL
Requerimientos
Fiduciarios
(COSO)
Requerimientos
de Seguridad
Requerimientos de
Calidad
14
Calidad
Costo
Entrega o Distribucin (de servicio)
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
Comenzando el anlisis a partir de los requerimientos de
Calidad, Fiduciarios y de Seguridad ms amplios, se
extrajeron siete categoras distintas, ciertamente
superpuestas. A continuacin se muestran las
definiciones utilizadas por COBIT:
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
de la
Informacin
Se refiere a la provisin de
informacin apropiada para la
administracin con el fin de operar
la entidad y para ejercer sus
responsabilidades de reportes
financieros y de cumplimiento.
Sistemas de
Aplicacin
Tecnologa
Instalaciones
Personal
IT GOVERNANCE INSTITUTE
15
MARCO REFERENCIAL
El dinero o capital no se tuvo en cuenta como un recurso
para la clasificacin de objetivos de control para TI
debido a que puede considerarse como la inversin en
cualquiera de los recursos mencionados anteriormente.
Es importante hacer notar tambin que el Marco
Referencial no menciona, en forma especfica para
todos los casos, la documentacin de todos los aspectos
materiales importantes relacionados con un proceso
de TI particular. Como parte de las buenas prcticas, la
documentacin es considerada esencial para un buen
control y, por lo tanto, la falta de documentacin podra
ser la causa de revisiones y anlisis futuros de controles
de compensacin en cualquier rea especfica en
revisin.
16
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
El Marco de Referencia de COBIT consta de Objetivos
de Control de TI de alto nivel y de una estructura
general para su clasificacin y presentacin. La teora
subyacente para la clasificacin seleccionada se refiere a
que existen, en esencia, tres niveles de actividades de TI
al considerar la administracin de sus recursos.
Comenzando por la base, encontramos las actividades
y tareas necesarias para alcanzar un resultado medible.
Las actividades cuentan con un concepto de ciclo de
vida, mientras que las tareas son consideradas ms
discretas. Los procesos se definen entonces en un
nivel superior como una serie de actividades o tareas
conjuntas con cortes naturales (de control). En el
nivel ms alto, los procesos son agrupados de manera
natural en dominios. Su agrupamiento natural es
denominado frecuentemente como dominios de
responsabilidad en una estructura organizacional, y
est en lnea con el ciclo administrativo o ciclo de vida
aplicable a los procesos de TI.
Adquisicin e
implementacin
Jerga (jargon)
IT GOVERNANCE INSTITUTE
17
MARCO REFERENCIAL
del proceso del negocio. Adems,
este dominio cubre los cambios y el
mantenimiento realizados a
sistemas existentes, para asegurar
que el ciclo de vida es contnuo
para esos sistemas
Entrega
Entrega yy
soporte
soporte
Monitoreo
18
Primario
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
PROCESOS DE TI DE COBIT DEFINIDOS EN LOS CUATRO DOMINIOS
IT GOVERNANCE INSTITUTE
19
MARCO REFERENCIAL
HISTORIA Y ANTECEDENTES DE COBIT
20
___________
5
Gobierno (governance): sistema que establece la alta
gerencia para asegurar el logro de los objetivos de una
Organizacin.
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
HISTORIA Y ANTECEDENTES DE COBIT
IT GOVERNANCE INSTITUTE
21
MARCO REFERENCIAL
OBJETIVOS DE CONTROL
TABLA RESUMEN
La siguiente tabla proporciona una indicacin, por proceso y dominio de TI, de cules criterios de
informacin son impactados por los objetivos de alto nivel, as como una indicacin de cules
recursos de TI son aplicables.
22
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
PRINCIPIOS DE LOS OBJETIVOS DE CONTROL
El control de
Proceso de TI
Que satisface
Requerimiento de
Negocio
Es habilitado por
Declaracin de
Control
Considerando
Prcticas de
Control
IT GOVERNANCE INSTITUTE
23
MARCO REFERENCIAL
P
Planeacin &
Organizacin
Criterios de
Informacin
Dominios
De TI
Adquisicin &
Implementacin
Entrega &
Soporte
TI
Recursos
Monitoreo
3 3
ge
ap nte
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
ef
ec
tiv
ef ida
co icie d
nf nc
id
en ia
in cia
te
li
di grid dad
sp
a
d
o
cu nibi
m lid
a
p
co lim d
nf ien
ia
bi to
lid
ad
AYUDAS DE NAVEGACIN
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
24
IT GOVERNANCE INSTITUTE
3 3
ge
ap nte
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
ef
ec
tiv
ef ida
co icie d
nf nc
id
en ia
in cia
te
li
di grid dad
sp
on ad
cu ibi
m lid
a
p
co lim d
nf ien
ia
bi to
lid
ad
Monitoreo
MARCO REFERENCIAL
OBJETIVOS DE CONTROL
DE ALTO NIVEL
IT GOVERNANCE INSTITUTE
25
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
PO1
Planeacin &
Organizacin
Adquisicin &
Implementacin
S
Control sobre el proceso de TI de:
Entrega &
Soporte
Monitoreo
26
3 3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
ef
ec
ti
ef vida
i
co cie d
nf
n
id cia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
PO2
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
IT GOVERNANCE INSTITUTE
27
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO3
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
28
IT GOVERNANCE INSTITUTE
3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO4
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
m ilid
p
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
29
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO5
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
30
alternativas de financiamiento
Claros responsables del presupuesto
Control sobre los gastos actuales
justificacin de costos y concientizacin
sobre el costo total de la propiedad
justificacin del beneficio y
contabilizacin de todos los beneficios
obtenidos
Ciclo de vida del software de aplicacin y
de la tecnologa
Alineacin con las estrategias del negocio
de la empresa
Anlisis de impacto
IT GOVERNANCE INSTITUTE
3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO6
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
IT GOVERNANCE INSTITUTE
3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
31
MARCO REFERENCIAL
PO7
ef
ec
tiv
id
e
co ficie ad
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
m ilid
p
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
32
IT GOVERNANCE INSTITUTE
3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
al ga
ac
io
da nes
to
s
y toma en consideracin:
reclutamiento y promocin
Entrenamiento y requerimientos de
calificaciones
desarrollo de conciencia
entrenamiento cruzado y rotacin de puestos
Procedimientos para contratacin, veto y
despidos
evaluacin objetiva y medible del desempeo
responsabilidades sobre los cambios tcnicos y
de mercado
Balance apropiado de recursos internos y
externos
Plan de sucesin para posiciones clave
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO8
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
m ilid
p
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
IT GOVERNANCE INSTITUTE
33
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO9
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
34
3 3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO10
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
administracin de proyectos
que satisface los requerimientos de negocio de:
establecer prioridades y entregar servicios oportunamente y de
acuerdo al presupuesto de inversin
se hace posible a travs de:
La organizacin identificando y priorizando proyectos en
lnea con el plan operacional y la adopcin y aplicacin de
tcnicas de administracin de proyectos para cada proyecto
emprendido
y toma en consideracin:
3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
35
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION
PO11
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Administracin de la calidad
que satisface los requerimientos de negocio de:
satisfacer los requerimientos del cliente de TI
se hace posible a travs de:
la planeacin, implementacin y mantenimiento de estndares
de administracin de calidad y sistemas provistos para las
distintas fases de desarrollo, claros entregables y
responsabilidades explcitas
y toma en consideracin:
36
IT GOVERNANCE INSTITUTE
3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICIN E IMPLEMENTACIN
AI1
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
37
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICIN E IMPLEMENTACIN
AI2
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
38
IT GOVERNANCE INSTITUTE
3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICIN E IMPLEMENTACIN
AI3
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
39
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICIN E IMPLEMENTACIN
AI4
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
40
IT GOVERNANCE INSTITUTE
3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICIN E IMPLEMENTACIN
AI5
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Entrega &
Soporte
Monitoreo
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
Adquisicin &
Implementacin
41
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ADQUISICIN E IMPLEMENTACIN
AI6
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
administracin de cambios
que satisface los requerimientos de negocio de:
minimizar la probabilidad de interrupciones, alteraciones no
autorizadas y errores
se hace posible a travs de:
un sistema de administracin que permita el anlisis,
implementacin y seguimiento de todos los cambios
requeridos y llevados a cabo a la infraestructura de TI
actual
y toma en consideracin:
42
identificacin de cambios
procedimientos de categorizacin,
priorizacin y emergencia
Anlisis de impacto
autorizacin de cambios
Administracin de la liberacin del cambio
distribucin de software
Uso de herramientas automatizadas
Administracin de la configuracin
Rediseo del proceso del negocio
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS1
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
43
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS2
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
S
Entrega &
Soporte
Monitoreo
44
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS3
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
m ilid
p
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
requerimientos de disponibilidad y
desempeo
monitoreo y reporte automatizado
herramientas de modelado
administracin de capacidad
disponibilidad de recursos
Cambios en precio-rendimiento del
hardware y software
IT GOVERNANCE INSTITUTE
3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
45
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS4
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
46
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS5
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Monitoreo
Requerimientos de privacidad y
confidencialidad
Autorizacin, autenticacin y control de
acceso
identificacin de usuarios y perfiles de
autorizacin
Necesidad de saber y necesidad de tener
(need-to-know and need-to-have)
administracin de llaves criptogrficas
manejo, reporte y seguimiento de incidentes
Prevencin y deteccin de virus
Firewalls
Administracin centralizada de seguridad
Entrenamiento a los usuarios
Herramientas para monitoreo del
cumplimiento, pruebas de intrusin y reportes
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
47
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS6
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
48
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS7
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Plan de entrenamiento
Inventario de habilidades
Campaas de concientizacin
Tcnicas de concientizacin
Uso de nuevas tecnologas y mtodos de
entrenamiento
Productividad del personal
Desarrollo de una base de conocimientos
3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
IT GOVERNANCE INSTITUTE
49
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS8
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
50
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS9
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Administracin de la configuracin
que satisface los requerimientos de negocio de:
dar cuenta de todos los componentes de TI, prevenir
alteraciones no autorizadas, verificar la existencia fsica y
proporcionar una base para la sana administracin del cambio
se hace posible a travs de:
controles que identifiquen y registren todos los activos
de TI as como su localizacin fsica y un programa
regular de verificacin que confirme su existencia
y toma en consideracin:
registro de activos
administracin de cambios en la
configuracin
chequeo de software no autorizado
controles de almacenamiento de software
Integracin e interrelacin de hardware y
software
Uso de herramientas automatizadas
IT GOVERNANCE INSTITUTE
3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
51
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS10
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
52
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS11
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
Administracin de datos
que satisface los requerimientos de negocio de:
asegurar que los datos permanezcan completos, precisos y vlidos
durante su entrada, actualizacin y almacenamiento
se hace posible a travs de:
una combinacin efectiva de controles generales y de
aplicacin sobre las operaciones de TI
y toma en consideracin:
diseo de formatos
controles sobre documentos fuente
controles de entrada, procesamiento y salida
identificacin, movimiento y administracin de
la librera de medios
Recuperacin y almacenamiento de datos
autenticacin e integridad
propiedad de datos
polticas de administracin de datos
modelos de datos y estndares de
representacin de datos
integracin y consistencia en todas las
plataformas
requisitos legales y regulatorios
IT GOVERNANCE INSTITUTE
3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
53
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS12
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
54
acceso a instalaciones
identificacin del sitio (instalacin)
seguridad fsica
Polticas de inspeccin y escalamiento
Plan de continuidad de negocios y
administracin de crisis
salud y seguridad del personal
Polticas de mantenimiento preventivo
proteccin contra amenazas ambientales
Monitoreo automatizado
IT GOVERNANCE INSTITUTE
3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS13
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
administracin de operaciones
que satisface los requerimientos de negocio de:
asegurar que las funciones importantes de soporte de TI estn
siendo llevadas a cabo regularmente y de una manera ordenada
se hace posible a travs de:
una programacin o planeacin de las actividades que sea
registrada y diligenciada con base en el cumplimiento de
todas las actividades
y toma en consideracin:
IT GOVERNANCE INSTITUTE
3 3
3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
55
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
MONITOREO
M1
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
56
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
MONITOREO
M2
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
m ilid
p
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
3 3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
57
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
MONITOREO
M3
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
S
Entrega &
Soporte
Monitoreo
que satisface los requerimientos de negocio de:
incrementar los niveles de confianza entre la organizacin,
clientes y proveedores externos
se hace posible a travs de:
revisiones de aseguramiento independientes llevadas a
cabo en intervalos regulares
y toma en consideracin:
58
certificaciones / acreditaciones
independientes
evaluaciones independientes de efectividad
aseguramiento independiente sobre
cumplimiento de requerimientos legales y
regulatorios
aseguramiento independiente del
cumplimiento de compromisos
contractuales
revisiones y benchmarking a proveedores
externos de servicios
Revisin por personal calificado del
aseguramiento de desempeo
involucramiento proactivo de la auditora
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
MARCO REFERENCIAL
OBJETIVOS DE CONTROL DE ALTO NIVEL
MONITOREO
M4
ef
ec
tiv
ef ida
i
co cie d
nf
id ncia
en
in c ia
te
li
di gri dad
sp da
o
d
cu nib
i
l
m
p id
co lim ad
nf ien
ia
bi to
lid
ad
Planeacin &
Organizacin
Adquisicin &
Implementacin
Entrega &
Soporte
independencia de auditora
involucramiento proactivo de la auditora
ejecucin de auditoras por parte de
personal calificado
aclaracin de resultados y
recomendaciones
actividades de seguimiento
Evaluacin del impacto de las
recomendaciones de la auditoria (costos,
beneficios, y riesgos)
IT GOVERNANCE INSTITUTE
3 3 3 3 3
g
ap ente
lic
a
te cion
cn
e
in olo s
st
g
al
ac a
io
da nes
to
s
59
MARCO REFERENCIAL
60
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
APENDICES
IT GOVERNANCE INSTITUTE
61
MARCO REFERENCIAL
62
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
IT GOVERNANCE INSTITUTE
63
MARCO REFERENCIAL
APNDICE I DIRECTRICES GERENCIALES DE
LGOBIERNO/GOBERNABILIDAD
DE TI
Criterios de
Informacin
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
Recursos de TI
Personas
Aplicaciones
Tecnologa
Instalaciones
Datos
64
z
z
z
z
z
z
z
z
z
z
z
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
orientado al resultado de los procesos
relacionados de la empresa. No hay procesos de
anlisis estndar. El monitoreo de TI est
implementado en una forma reactiva a incidentes
que han causado algunas prdidas o apuros a la
organizacin.
I - DIRECTRICES GERENCIALES
DEL GOBIERNO DE TI
Indicadores Clave de Desempeo - KPIs
z
z
z
z
z
z
z
IT GOVERNANCE INSTITUTE
65
MARCO REFERENCIAL
empresa. Aunque medidos, los procedimientos no
son sofisticados pero son la formalizacin de
prcticas existentes. Las herramientas estn
estandarizadas, utilizando tcnicas disponibles y
modernas. La idea de utilizar tarjetas de medicin
que balancean el negocio y TI son adoptadas por
la organizacin. Esto, sin embargo, deja que el
individuo, de acuerdo con su entrenamiento, siga
y aplique los estndares. El anlisis de causa
efecto es ocasionalmente aplicado. La mayora de
los procesos son monitoreados sobre mtricas
(bases), pero cualquier desviacin, debido a que
generalmente se basa en las iniciativas de los
individuos, probablemente no seran detectadas
por la Gerencia. De todas maneras, el registro
total del desempeo de los procesos claves es
realizado y la gerencia es recompensada basada
en mediciones clave de desempeo.
4 Administrado y Medible. Hay un completo
entendimiento de los aspectos de Gobierno de TI
a todos los niveles de la organizacin, soportado
por un entrenamiento formal. Hay un claro
entendimiento de quien es el cliente y sus
responsabilidades estn definidas y monitoreadas
a travs de acuerdos de nivel de servicio. Las
responsabilidades son claras y el proceso de
propiedad est establecido. Los procesos de TI
estn alineados con el negocio y con la estrategia
de TI. El mejoramiento de los procesos de TI est
basado primariamente sobre un entendimiento
cuantitativo y por ello es posible monitorear y
medir el cumplimiento con procesos y con
mtrica de procesos. Todos los responsables o
propietarios de los procesos son advertidos sobre
los riesgos, la importancia de TI y las
oportunidades que TI puede ofrecer. La Gerencia
ha definido una tolerancia bajo la cual los
procesos deben operar. Se toman acciones en la
mayora, pero no en todos los casos, donde
parece que los procesos no estn operando
efectiva o eficientemente. Los procesos se
mejoran ocasionalmente y se refuerzan las
mejores prcticas internas. Se estandariza el uso
66
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
IT GOVERNANCE INSTITUTE
67
MARCO REFERENCIAL
COSO: Committee of Sponsoring Organisations of the Treadway Commission. Internal Control - Integrated
Framework. 2 Vols. American Institute of Certified Accountants, New Jersey, 1994.
OECD Guidelines: Organisation for Economic Co-operation and Development. Guidelines for the Security of
Information, Paris, 1992.
DTI Code of Practice for Information Security Management: Department of Trade and Industry and British
Standard Institute. A Code of Practice for Information Security Management, London, 1993, 1995.
ISO 9000-3: International Organisation for Standardisation. Quality Management and Quality Assurance
Standards - Part 3: Guidelines for the Application of ISO 9001 to the development, supply and maintenance of
software, Switzerland, 1991.
An Introduction to Computer Security: The NIST Handbook: National Institute of Standards and Technology,
U.S. Department of Commerce. Washington, DC, 1995.
ITIL IT Management Practices: Information Technology Infrastructure Library. Practices and guidelines
developed by the Central Computer and Telecommunications Agency (CCTA), London, 1989.
IBAG Framework: Draft Framework from the Infosec Business Advisory Group to SOGIS (Senior Officials
Group on Information Security, advising the European Commission) Brussels, Belgium, 1994.
NSW Premiers Office Statements of Best Practices and Planning Information Management and Techniques:
Statements of Best Practice #1 through #6. premier's Department New South Wales, Government of New South
Wales, Australia, 1990 through 1994.
Memorandum Dutch Central Bank: Memorandum on the Reliability and Continuity of Electronic Data
Processing in Banking. De Nederlandsche Bank, Reprint from Quarterly Bulletin #3, Netherlands, 1998.
EDPAF Monograph #7, EDI: An Audit Approach: Jamison, Rodger. EDI: An Audit Approach, Monograph
Series #7, Information Systems Audit and Control Foundation, Inc., Rolling Meadows, IL, April 1994.
PCIE (president's Council on Integrity and Efficiency) Model Framework: A Model Framework for
Management Over Automated Information Systems. Prepared jointly by the president's Council on Management
Improvement and the president's Council on Integrity and Efficiency, Washington, DC, 1987.
Japan Information Systems Auditing Standards: Information System Auditing Standard of Japan. Provided by
the Chuo Audit Corporation, Tokyo, August 1994.
CONTROL OBJECTIVES: Controls in an Information Systems Environment: Control Guidelines and
Audit Procedures: EDP Auditors Foundation (now the Information Systems Audit and Control Foundation),
Fourth Edition, Rolling Meadows, IL, 1992.
CISA Job Analysis: Information Systems Audit and Control Association Certification Board. "Certified
Information Systems Auditor Job Analysis Study", Rolling Meadows, IL, 1994.
68
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
CICA Computer Control Guidelines: Canadian Institute of Chartered Accountants, Toronto, 1986.
IFAC International Guidelines for Managing Security of Information and Communications: International
Federation of Accountants, New York, NY, 1997.
IFAC International Guidelines on Information Technology Management - Managing Information
Technology Planning for Business Impact (Draft): International Federation of Accountants, New York, NY,
1998.
Standards for Internal Control in the U.S. Federal Government: U.S. General Accounting Office, Washington,
DC, 1983.
Guide for Auditing for Controls and Security, A System Development Life Cycle Approach: NBS Special
Publication 500-153: National Institute of Standards and Technology, U.S. Department of Commerce, Washington,
DC, 1988.
Government Auditing Standards: U. S. General Accounting Office, Washington, DC, 1994.
Denmark Generally Accepted IT Management Practices: The Institute of State Authorized Accountants,
Denmark, 1994.
SPICE: Software Process Improvement and Capability Determination. A standard on software process
improvement, British Standards Institution, London, 1995.
DRI International, Professional Practices for Business Continuity Planners: Disaster Recovery Institute
International. Guideline for Business Continuity Planners, St. Louis, MO, 1997.
IIA, SAC Systems Audibility and Control: Institute of Internal Auditors Research Foundation, Systems
Audibility and Control Report, Alamonte Springs, FL, 1991, 1994.
IIA, Professional Practices Pamphlet 97-1, Electronic Commerce: Institute of Internal Auditors Research
Foundation, Alamonte Springs, FL, 1997.
E & Y Technical Reference Series: Ernst & Young, SAP R/3 Audit Guide, Cleveland, OH, 1996.
C & L Audit Guide SAP R/3: Coopers & Lybrand, SAP R/3: Its Use, Control and Audit, New York, NY, 1997.
ISO IEC JTC1/SC27 Information Technology - Security: International Organisation for Standardisation (ISO)
Technical Committee on Information Technology Security, Switzerland, 1998.
ISO IEC JTC1/SC7 Software Engineering: International Organisation for Standardisation (ISO) Technical
Committee on Software Process Assessment. An Assessment Model and Guidance Indicator, Switzerland, 1992.
ISO TC68/SC2/WG4, Information Security Guidelines for Banking and Related Financial Services:
International Organisation for Standardisation (ISO) Technical Committee on Banking and Financial Services,
Draft, Switzerland, 1997.
IT GOVERNANCE INSTITUTE
69
MARCO REFERENCIAL
CCEB 96/011, Common Criteria for Information Technology Security Evaluation: Common Criteria
Implementation Board, Alignment and comparison of existing European, US and Canadian IT Security Criteria,
Draft, Washington, DC, 1997.
Recommended Practice for EDI: EDIFACT (EDI for Administration Commerce and Trade), Paris, 1987.
TickIT: Guide to Software Quality Management System Construction and Certification. British Department of
Trade and Industry (DTI), London, 1994
ESF Baseline Control - Communications: European Security Forum, London. Communications Network
Security, September 1991; Baseline Controls for Local Area Networks, September, 1994.
ESF Baseline Control - Microcomputers: European Security Forum, London. Baseline Controls Microcomputers
Attached to Network, June 1990.
Computerized Information Systems (CIS) Audit Manual: EDP Auditors Foundation (now the Information
Systems Audit and Control Foundation), Rolling Meadows, IL, 1992.
Guide for Developing Security Plans for Information Technology: NIST Special Publication 800-18, National
Institute for Standards and Technology, US Department of Commerce, Washington, DC 1998
Financial Information Systems Control Audit Manual (FISCAM): US General Accounting Office,
Washington, DC, 1999.
BS7799-Information Security Management: British Standards Institute, London, 1999.
CICA Information Technology Control Guidelines, 3er Edition: Canadian Institute of Chartered Accountants,
Toronto, 1998
ISO/IEC TR 1335-n Guidelines for the Management of IT Security, (GMITS) Parts 1-5: International
Organisation for Standardisation, Switzerland, 1998.
AICPA/CICA SystrustTM Principles and Criteria for Systems Reliability, Version 1.0: American Institute of
Certified Public Accountants, New York, and Canadian Institute of Chartered Accountants, Toronto, 1999.
70
IT GOVERNANCE INSTITUTE
MARCO REFERENCIAL
CCEB
CICA
CISA
Control
COSO
DRI
DTI
Departamento de Comercio e Industria del Reino Unido. (Department of Trade and Industry of
the United Kingdom)
EDIFACT
EDPAF
ESF
GAO
I4
IBAG
IFAC
IIA
IT GOVERNANCE INSTITUTE
71
MARCO REFERENCIAL
INFOSEC
Comit Consultivo para la Comisin Europea en Materia de Seguridad TI. (Advisory Committee
for IT Security Matters to the European Commission)
ISACA
ISACF
ISO
ISO9000
ITIL
ITSEC
NBS
NIST
(antes NBS)
Instituto Nacional de Estndares y Tecnologa. (National Institute of Standards
and Technology), con base en Washington D.C.
NSW
Objetivo de
impleControl
Una sentencia o declaracin del resultado deseado o propsito a ser alcanzado mediante la
mentacin de procedimientos de control en una actividad particular de TI
OECD
OSF
PCIE
SPICE
TCSEC
TickIT
72